2026年IT行业合规专员招聘考试题集.docxVIP

第PAGE页共NUMPAGES页

2026年IT行业合规专员招聘考试题集

一、单选题（共5题，每题2分）

1.某公司开发了一款涉及用户位置信息的App，根据《中华人民共和国个人信息保护法》，以下哪种做法是合规的？

A.未经用户同意收集位置信息并用于精准广告推送

B.在App隐私政策中说明收集位置信息的目的，但未提供拒绝选项

C.仅在用户主动开启导航功能时收集位置信息，并明确告知用途

D.收集位置信息用于内部管理，但未告知用户

2.某金融机构IT系统需与第三方数据服务商对接客户信息，依据《网络安全法》，以下哪项措施最能保障数据安全？

A.要求服务商提供加密传输协议

B.签订保密协议，但不审查服务商的合规资质

C.仅在服务商承诺删除数据后进行合作

D.由内部技术人员自行开发数据传输接口

3.某跨国科技公司在中国运营，需遵守《数据安全法》和GDPR，以下哪种数据跨境传输方式最合规？

A.直接将用户数据传输至美国服务器，未经安全评估

B.通过国家数据出境安全评估机制，获得批准后传输

C.将数据存储在中国境内服务器，但由境外公司运营

D.仅传输经用户明确同意的匿名化数据

4.某IT企业内部审计发现，部分员工访问了超出权限的系统数据，依据《信息安全技术网络安全等级保护基本要求》，以下哪项措施最有效？

A.仅加强密码复杂度要求

B.实施基于角色的访问控制（RBAC）

C.定期进行内部安全意识培训

D.仅依赖防火墙技术

5.某公司使用AI技术进行客户画像，依据《中华人民共和国人工智能法（草案）》，以下哪项做法需获得用户单独同意？

A.使用公开数据训练AI模型，不涉及个人特征

B.仅基于用户主动提供的偏好信息进行分析

C.通过面部识别技术分析用户行为，用于广告推送

D.使用匿名化数据进行分析，但未明确告知AI应用

二、多选题（共5题，每题3分）

1.某公司IT系统需处理医疗数据，依据《网络安全法》《数据安全法》《个人信息保护法》，以下哪些行为需获得患者授权？

A.将患者病历用于内部科研分析

B.与第三方医疗机构共享数据用于联合诊疗

C.开发健康管理App，收集患者血糖数据

D.向保险公司提供患者病史用于风险评估

2.某金融机构IT部门需开展安全渗透测试，以下哪些操作需事先通知合规部门？

A.模拟攻击内部网络，但未涉及核心数据

B.对合作伙伴系统进行测试，但未获得其同意

C.测试过程中发现系统漏洞，立即上报

D.仅在测试范围明确后通知相关部门

3.某企业使用云服务存储业务数据，依据《云计算安全指南》，以下哪些措施能有效降低数据泄露风险？

A.选择具备ISO27001认证的云服务商

B.对云存储数据加密，但未设置访问权限控制

C.定期审查云服务商的合规报告

D.将所有数据存储在同一云区域，简化管理

4.某科技公司开发智能硬件，涉及用户生物信息采集，依据《个人信息保护法》，以下哪些做法需明确告知用户？

A.使用指纹解锁功能，但未说明数据用途

B.将生物信息上传至云端，但未提供本地存储选项

C.开发面部识别功能，但未说明可能用于广告分析

D.仅在用户注册时告知采集目的，后续不再提醒

5.某企业需处理欧盟公民数据，依据GDPR，以下哪些情况下可免于获得用户同意？

A.数据处理用于履行合同义务，如订单管理

B.数据处理基于公共利益，如反欺诈监控

C.数据已公开，用户主动提供

D.数据处理仅用于内部统计，且不识别个人身份

三、判断题（共10题，每题1分）

1.企业内部员工离职后，其访问权限需立即撤销，这是《网络安全法》的强制性要求。

2.区块链技术因去中心化特性，无需遵守数据合规规定。

3.某公司使用自动化工具处理个人信息，即使未明确告知用户，也符合合规要求。

4.金融机构IT系统需满足等保三级要求，但可豁免部分合规检查。

5.AI算法的偏见属于技术问题，与合规无关。

6.企业可通过购买合规保险，免除数据泄露的法律责任。

7.中国境外的数据出境传输，无需遵守《数据安全法》规定。

8.企业内部制定合规手册，可替代外部律师的法律意见。

9.用户有权要求企业删除其个人信息，企业需在规定时间内响应。

10.云服务商需对客户数据承担最终责任，客户无需自行审计。

四、简答题（共4题，每题5分）

1.简述《个人信息保护法》中“告知-同意”原则的核心要求。

2.某公司需处理敏感个人信息，简述其应履行的风险评估程序。

3.解释“数据分类分级”在网络安全管理中的意义。

4.列举三种常见的网络安全事件，并说明对应的合规应对措施。

五、论述题（共2题，每题10分）

1.结合中国数据合规环境，分析AI技术应用中的主要法律风险及应对策略。