2026年数据合规审计师笔试模拟

2026年数据合规审计师笔试模拟一、单选题（共10题，每题2分，共20分）1.根据《欧盟通用数据保护条例》（GDPR），个人有权要求企业删除其个人数据，该权利被称为？A.访问权B.更正权C.删除权（被遗忘权）D.限制处理权2.在中国，《个人信息保护法》规定，处理个人信息应遵循合法、正当、必要原则，以下哪项不属于“必要原则”的适用场景？A.为提供商品或服务所必需B.为履行法定或约定义务所必需C.为维护个人或他人重大利益所必需D.为扩大企业市场影响力所必需3.某企业通过第三方平台收集用户社交媒体数据用于精准营销，若该企业位于中国，需满足以下哪个条件才能合法处理？A.用户明确同意且获得报酬B.仅收集公开可访问的数据C.获得用户单独同意且进行匿名化处理D.数据处理不影响用户合法权益4.《网络安全法》规定，关键信息基础设施运营者需定期进行安全评估，以下哪项不属于评估范围？A.数据安全保护措施B.用户个人信息保护措施C.系统漏洞修复情况D.员工离职后的数据访问权限管理5.某金融机构将客户数据存储在境外服务器，若该机构位于中国，需满足以下哪个条件才能跨境传输数据？A.境外接收方承诺提供同等水平的隐私保护B.获得客户明确同意且签订数据保护协议C.境外数据接收方所在国家或地区获得中国认证D.数据传输仅用于内部管理目的6.根据《健康个人信息保护条例》（拟议中），以下哪项行为属于合法处理健康个人信息？A.将患者病历数据用于商业广告B.为医疗研究目的匿名化处理数据C.在未获得患者同意的情况下共享数据D.将数据用于健康评估但未脱敏7.某企业使用AI技术分析用户行为，若该技术可能推断用户敏感信息，需满足以下哪个条件才能合法使用？A.技术输出结果不识别到具体个人B.用户主动提供相关数据C.数据处理不影响用户合法权益D.企业具有技术能力进行匿名化处理8.《个人信息保护法》规定，处理敏感个人信息需取得个人“单独同意”，以下哪项不属于单独同意的要求？A.明确告知处理目的、方式、种类等B.提供拒绝同意的选项且不影响其他服务C.由企业授权人员代为勾选同意选项D.获得个人书面或电子签名确认9.某企业因系统漏洞导致用户数据泄露，根据《数据安全法》，企业需在多少小时内向相关部门报告？A.2小时B.6小时C.12小时D.24小时10.根据《个人信息保护法》，以下哪项属于“自动化决策”的例外情况？A.为提供商品或服务进行用户画像B.为信用评估进行用户行为分析C.为疫情防控进行数据统计D.为用户推荐商品进行算法推荐二、多选题（共5题，每题3分，共15分）1.根据《欧盟通用数据保护条例》（GDPR），个人享有以下哪些权利？A.访问权B.删除权C.限制处理权D.数据可携带权E.投诉权2.在中国，《个人信息保护法》规定，以下哪些属于个人信息处理者的义务？A.制定内部数据安全管理制度B.对员工进行数据保护培训C.定期进行数据泄露风险评估D.获得用户同意后收集数据E.向用户提供个人信息查询服务3.某企业需将客户数据跨境传输至美国，以下哪些措施可以降低合规风险？A.签订标准合同条款（SCCs）B.获得用户明确同意C.境外接收方承诺提供同等水平的隐私保护D.数据传输仅用于内部管理目的E.获得中国认证的跨境传输方案4.根据《网络安全法》，以下哪些属于关键信息基础设施的范畴？A.电力供应系统B.通信网络系统C.公共交通系统D.金融交易系统E.文化传播系统5.某企业使用AI技术进行用户画像，以下哪些行为可能涉及敏感个人信息处理？A.分析用户消费习惯B.推断用户健康状况C.识别用户地理位置D.统计用户年龄分布E.分析用户社交关系三、判断题（共10题，每题1分，共10分）1.根据《个人信息保护法》，处理个人信息需取得个人同意，但处理敏感个人信息时无需单独同意。（×）2.《欧盟通用数据保护条例》适用于所有处理欧盟公民个人数据的全球企业。（√）3.在中国，《数据安全法》规定，数据处理者需对数据安全负责，而数据控制者不承担责任。（×）4.企业可以通过用户协议条款免除数据泄露的赔偿责任。（×）5.根据《健康个人信息保护条例》，医疗机构可以为商业目的共享患者病历数据。（×）6.自动化决策中，若涉及对个人权益产生重大影响，需保证个人有拒绝的权利。（√）7.企业将用户数据存储在境外服务器，无需遵守中国《个人信息保护法》的规定。（×）8.根据《网络安全法》，关键信息基础设施运营者需定期进行安全评估，但无需向公众披露。（×）9.个人有权要求企业停止处理其个人信息，但需提供合理理由。（×）10.《个人信息保护法》规定，数据处理者需对数据安全负责，但可委托第三方管理数据。（√）四、简答题（共3题，每题5分，共15分）1.简述《欧盟通用数据保护条例》（GDPR）中的“数据主体权利”及其意义。2.在中国，《个人信息保护法》规定的数据处理者的主要义务有哪些？3.企业如何应对数据跨境传输的合规风险？五、案例分析题（共2题，每题10分，共20分）1.某电商平台通过用户浏览记录进行个性化推荐，但未明确告知用户数据收集目的，也未提供拒绝选项。该行为是否合规？请说明理由。2.某医疗机构将患者病历数据存储在境外服务器，未采取加密措施且未获得患者单独同意，后因系统漏洞导致数据泄露。该机构需承担哪些法律责任？答案与解析一、单选题答案1.C2.D3.C4.D5.C6.B7.A8.C9.B10.C解析：1.GDPR中的“删除权”即“被遗忘权”，允许个人要求企业删除其数据。2.“必要原则”要求处理目的、方式、种类等必须与处理目的相关且无其他合理方案，D选项属于商业目的，不属于必要场景。3.中国《个人信息保护法》要求处理敏感个人信息需取得“单独同意”，A、B、D选项均不符合要求。4.D选项属于员工管理范畴，不属于系统安全评估范围。5.跨境传输需满足中国认证或境外接收方承诺等条件，A、B、C、E选项均有助于降低合规风险。6.B选项属于敏感个人信息，需单独同意且仅用于合法目的。7.A选项属于公开数据，但若AI技术可能推断敏感信息，需脱敏或获得同意。8.单独同意需明确告知且提供拒绝选项，C选项代勾选违反要求。9.《数据安全法》要求6小时内报告数据泄露，B选项正确。10.C选项属于公共利益例外，其他选项属于自动化决策范畴。二、多选题答案1.A、B、C、D、E2.A、B、C、D、E3.A、B、C、E4.A、B、C、D5.B、C解析：1.GDPR赋予个人访问、删除、限制处理、可携带、投诉等权利。2.中国《个人信息保护法》要求处理者履行制度建设、培训、风险评估、同意获取、查询服务等义务。3.跨境传输需满足SCCs、用户同意、同等保护、中国认证等条件。4.关键信息基础设施包括电力、通信、交通、金融等系统。5.B选项涉及健康信息，C选项涉及地理位置信息，均属敏感信息。三、判断题答案1.×2.√3.×4.×5.×6.√7.×8.×9.×10.√解析：1.敏感个人信息处理需单独同意。2.GDPR适用于全球处理欧盟公民数据的实体。3.数据控制者和处理者均需承担责任。4.企业不能通过协议条款免除法律责任。5.医疗机构共享病历需获得患者同意。6.自动化决策需保障个人权益。7.跨境传输需遵守中国法律。8.关键信息基础设施需向公众披露安全评估结果。9.个人有权无条件拒绝自动化决策。10.数据处理者可委托第三方，但需确保合规。四、简答题答案1.GDPR中的“数据主体权利”及其意义：-访问权：个人可请求查看其数据。-删除权：个人可要求删除其数据。-限制处理权：个人可要求限制数据处理。-数据可携带权：个人可要求转移数据。-拒绝自动化决策权：个人可拒绝自动化决策。-投诉权：个人可向监管机构投诉。意义：保障个人数据自主权，促进数据合规使用。2.中国《个人信息保护法》规定的数据处理者义务：-制定内部数据安全管理制度。-对员工进行数据保护培训。-定期进行数据泄露风险评估。-获得用户同意后收集数据。-向用户提供个人信息查询服务。-确保数据安全存储和传输。3.企业如何应对数据跨境传输的合规风险：-签订标准合同条款（SCCs）。-获得用户明确同意。-境外接收方承诺提供同等保护。-获得中国认证的跨境传输方案。-实施数据加密和安全评估。五、案例分析题答案1.电商平台个性化推荐行为不合规：-未