2026年国际合规认证常识题库含答案.docxVIP

第PAGE页共NUMPAGES页

2026年国际合规认证常识题库含答案

选择题（共10题，每题2分）

1.根据欧盟《通用数据保护条例》（GDPR），个人数据的处理活动达到何种规模的企业必须指定数据保护官（DPO）？

A.年处理量超过25万条记录

B.年处理量超过50万条记录且数据处理是核心业务

C.所有企业无论规模都必须指定DPO

D.仅在处理敏感数据时才需指定DPO

2.美国《萨班斯-奥克斯利法案》（SOX）主要针对哪些类型的企业强制实施财务报告内部控制审计？

A.所有上市公司

B.仅金融行业上市公司

C.年收入超过1亿美元的非金融企业

D.仅在纽约证券交易所上市的企业

3.在《新加坡数据保护法案》（PDPA）中，何种情况下企业可合法收集和使用个人数据？

A.仅在获得个人明确同意时

B.仅为履行合同所必需时

C.仅在法律或监管要求时

D.以上所有情况均合法

4.日本《个人信息保护法》（PIPA）要求企业采取何种措施防止数据泄露？

A.仅实施加密技术

B.仅定期进行安全培训

C.建立数据安全管理体系并定期评估

D.仅在发生泄露时向监管机构报告

5.根据《联合国全球契约》原则，企业应如何履行合规责任？

A.仅遵守所在国家法律

B.仅遵守行业特定标准

C.遵守国际法和商业道德，主动消除负面影响

D.仅在利益相关者施压时才采取行动

6.ISO37001反腐败管理体系标准要求企业如何识别腐败风险？

A.仅通过内部审计发现

B.结合利益相关者访谈和流程分析

C.仅依赖外部监管机构建议

D.仅在出现投诉时才进行调查

7.英国《网络安全法》（COPPA）主要针对哪些领域的网络安全监管？

A.仅金融行业网络基础设施

B.所有关键信息基础设施（CII）

C.仅政府机构信息系统

D.仅医疗和电信行业数据传输

8.中国《网络安全法》要求关键信息基础设施运营者如何保护数据安全？

A.仅实施技术防护措施

B.建立数据分类分级管理制度并定期报送国家网信部门

C.仅在遭受攻击时向公安机关报告

D.仅对核心数据实施加密

9.根据《香港隐私条例》，个人有权要求企业删除其个人数据的前提条件是什么？

A.仅当数据不准确时

B.仅当数据被滥用时

C.仅当个人撤回同意时

D.当数据不再为合法目的所需要时

10.澳大利亚《隐私法案》中，何种行为属于未经授权的“主动披露”（ActiveDisclosure）？

A.在获得个人同意后公开其信息

B.仅在法律要求时披露个人信息

C.向第三方出售个人数据用于营销

D.仅在内部会议上讨论个人信息

判断题（共10题，每题1分）

1.根据美国《健康保险流通与责任法案》（HIPAA），医疗机构可以未经患者同意将其健康信息用于研究。

（正确/错误）

2.欧盟GDPR允许企业在数据泄露后30日内向监管机构报告。

（正确/错误）

3.新加坡PDPA规定，企业必须获得个人“明示同意”才能将其数据跨境传输至美国。

（正确/错误）

4.日本PIPA要求企业对员工进行定期的反腐败培训，但未规定具体频率。

（正确/错误）

5.ISO37001标准要求企业对所有员工实施背景调查以预防腐败。

（正确/错误）

6.英国COPPA强制要求关键信息基础设施运营商每半年进行一次渗透测试。

（正确/错误）

7.中国《网络安全法》规定，未经用户同意不得收集其行踪信息。

（正确/错误）

8.香港《隐私条例》允许企业在数据泄露后60日内向个人发送通知。

（正确/错误）

9.澳大利亚《隐私法案》禁止企业将个人信息用于与最初收集目的不同的“再利用”。

（正确/错误）

10.美国SOX法案仅适用于在纳斯达克上市的公司。

（正确/错误）

简答题（共5题，每题4分）

1.简述ISO37001标准中“腐败风险评估”的核心要素。

2.比较欧盟GDPR和美国CCPA在数据跨境传输规则上的主要差异。

3.中国《网络安全法》对关键信息基础设施运营者的数据本地化要求有哪些？

4.新加坡PDPA中“合法、公平、透明”数据处理的含义是什么？

5.ISO37001标准如何要求企业建立反腐败培训机制？

案例分析题（共2题，每题8分）

1.某跨国科技公司因未妥善保护欧盟客户数据被罚款2亿欧元。分析其可能违反的GDPR条款及合规改进措施。

2.一家中国电商平台因将用户购物数据出售给第三方被查处。结合中国《网络安全法》和《数据安全法》，说明其违规行为及法律责任。

答案与解析

选择题

1.B

解析：GDPR要求年处理量超过50万条记录且数据处理是核心业务的企业必须指定DPO。

2.A

解析：SOX适用于所有上市公司，重点是财务报告内部控制。

3.D