数据合规面试题及答案.docxVIP

第PAGE页共NUMPAGES页

2026年数据合规面试题及答案

一、单选题（共5题，每题2分，总计10分）

1.中国《个人信息保护法》规定，处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，不得超出处理目的范围。以下哪种情形不属于“超出处理目的范围”？

A.在用户注册账号时收集其手机号码，但后续将其用于精准广告推送。

B.在用户同意的情况下，将收集的邮箱地址用于发送营销邮件。

C.将用户提供的生日信息用于生日祝福短信推送。

D.将用户填写的问卷调查数据用于市场调研，但未告知其可用于其他产品推广。

答案：C

解析：选项C中，收集生日信息的目的仅用于生日祝福，与用户明确授权的范围一致，未超出处理目的。其他选项均存在目的不明确或超出范围的情况。

2.欧盟《通用数据保护条例》（GDPR）要求企业在处理敏感个人信息时，必须获得数据主体的“明确同意”。以下哪种情况下，企业无需获得明确同意即可处理敏感个人信息？

A.为履行医疗合同，处理患者的健康数据。

B.为预防欺诈，处理用户的金融交易数据。

C.在用户自愿参与的情况下，处理其宗教信仰数据。

D.为进行学术研究，处理已匿名化的遗传数据。

答案：B

解析：GDPR允许在特定情况下（如履行合同或保护公共利益）处理敏感数据，但需符合严格条件。选项B中，预防欺诈属于保护公共利益，可能符合例外情形。其他选项均需明确同意或符合特定法律依据。

3.美国加州《加州消费者隐私法案》（CCPA）规定，消费者有权要求企业删除其个人信息。以下哪种情况下，企业可以拒绝删除请求？

A.数据已存储超过法律规定的保存期限。

B.数据已被用于自动化决策，且涉及重大利益。

C.数据已被公开披露，无法撤回。

D.消费者请求删除的数据属于履行合同所必需。

答案：D

解析：CCPA允许企业在履行合同或法律义务时保留数据，拒绝删除请求。其他选项均属于可删除的情形。

4.亚马逊云科技（AWS）的《隐私承诺》（PrivacyCommitment）中提到，其采用“隐私增强技术”（PETs）保护客户数据。以下哪种技术不属于PETs？

A.数据加密

B.数据匿名化

C.客户访问控制

D.实时数据监控

答案：D

解析：PETs包括加密、匿名化等技术，旨在降低数据暴露风险。实时监控属于数据使用范畴，而非隐私保护技术。

5.针对跨境数据传输，以下哪种情形需要获得数据主体同意并采取附加措施？

A.将用户数据传输至欧盟，并采用标准合同条款（SCCs）。

B.将用户数据传输至美国，但数据已被完全匿名化。

C.将用户数据传输至中国，并采用安全评估机制。

D.将用户数据传输至新加坡，数据主体已书面同意。

答案：D

解析：跨境传输需满足法律要求（如SCCs、安全评估等），若数据主体同意需额外确认。其他选项均符合合规要求。

二、多选题（共5题，每题3分，总计15分）

1.在中国《个人信息保护法》中，以下哪些行为属于“过度处理”个人信息？

A.在用户注册时要求填写身份证号码，但仅用于实名认证。

B.在用户同意接收营销邮件后，仍频繁发送无关广告。

C.在用户同意的情况下，将数据共享给第三方广告商。

D.收集用户的位置信息，但未提供关闭选项。

答案：B、D

解析：过度处理包括未经同意频繁营销、未提供关闭选项等。选项A和C符合合理处理原则。

2.GDPR要求企业在处理个人数据时，必须实施“适当的技术和组织措施”（TOMs）。以下哪些措施属于TOMs？

A.数据加密

B.定期安全审计

C.员工数据保护培训

D.数据泄露应急预案

答案：A、B、C、D

解析：TOMs涵盖技术（加密）和组织（审计、培训、应急预案）两方面。

3.CCPA赋予消费者哪些权利？

A.查询权

B.删除权

C.可携带权

D.自动化决策反对权

答案：A、B、C、D

解析：CCPA赋予消费者全面的数据权利，包括查询、删除、可携带和反对自动化决策。

4.中国《网络安全法》要求关键信息基础设施运营者采取哪些措施保护个人信息？

A.定期进行安全评估

B.建立数据备份机制

C.对员工进行保密培训

D.限制第三方数据访问

答案：A、B、C、D

解析：关键信息基础设施运营者需采取全面措施，包括技术、管理和人员培训。

5.跨境数据传输需满足哪些条件？

A.数据主体明确同意

B.采取标准合同条款（SCCs）

C.目的地国家提供充分保护

D.实施传输安全保障措施

答案：B、C、D

解析：SCCs、充分保护、安全措施是主要条件，同意是例外情形。

三、简答题（共5题，每题4分，总计20分）

1.简述中国《个人信息保护法》中的“最小必要原则”及其意义。

答案：最小必要原则指处理