LOGO@2x-K
登录|注册
|搜索

考试大纲

发布时间:2025-10-24

中国计算机行业协会数据流通利用专业委员会

数据合规与保护专业能力评价

考试大纲

第 1 版

文件编号:CCIA-DCUC-DPCCA-01

发布日期:2025 年10月22日 实施日期:2025 年10月22日

数据合规与保护专业能力评价考试大纲

(第 1 版)

1.总则

本大纲依据数据合规法律法规(《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》《关键信息基础设施安全保护条例》)制定,适用于申请报名“数据合规与保护专业能力评价”的考试人员。

2.考试要求

2.1 考试科目

“数据合规与保护专业能力评价”考试

2.2 考试方式

“数据合规与保护专业能力评价”考试为线上闭卷考试,考试时间为 2 小时。

2.3 考试频次及地点

考试原则上每年组织 2 次,关注中国计算机行业协会“数据流通利用专业委员会”公众号考试通知,申请人可选择报名并参加考试。

2.4 考试题型及分值

2.5 考试合格判定

“数据合规与保护专业能力评价”考试的满分为 100 分,考试成绩 60 分(含)以上为合格。

2.6 考试结果发布

考生可在考试结束后 45 个工作日后在“数据流通利用专业委员会”官方网站查询考试成绩。

3.考试内容

3.1 数据合规基础模块

一、数据合规概述

(一)基本概念:数据的概念;数据合规的概念;数据合规的特点。

(二)国内外数据合规的发展趋势:域外视野下的数据合规;我国数据合规发展趋势。

二、法律框架及监管体系

(一)数据合规的规则:法律和司法解释;行政法规和部门规章;地方性法规;国家和团体标准。

(二)数据合规的监管体系:监管体系的演变过程;监管机构分工。

三、易混淆概念

(一)数据合规与企业合规

(二)数据合规与数据安全

(三)数据合规与数据治理

四、数据合规管理体系构建

(一)数据合规管理体系概述

(二)组织体系:组织架构;组织模式;职责分工;组织主要活动。

(三)制度体系:制度框架;数据合规管理的主要制度。

(四)运行体系:风险识别机制;监测预警机制;审查机制;评价与改进机制;举报与调查机制。

(五)保障体系:考核评价机制;宣传与培训机制;文化建设机制。

五、数据合规法律框架

(一)《网络安全法》及《关键信息基础设施安全保护条例》概要介绍;《网络安全法》的立法定位与核心制度;网络安全等级保护制度(2.0),分级要求、测评流程与企业责任;关键信息基础设施(CII)的重点保护;网络运营者的安全保护义务(技术、管理、应急)。

(二)《关键信息基础设施安全保护条例》要点;CII的认定范围与责任主体;运营者的特别安全义务(安全管理机构、负责人、采购安全等);数据出境安全要求的强调。

(三)《数据安全法》的立法定位;数据分类分级保护制度;一般数据、重要数据、核心数据的定义与区分;重要数据目录的管理与识别;全流程数据安全管理义务。

(四)个人信息保护的“基本法”;七大核心处理原则(合法正当必要、目的限制、告知同意、最小必要、公开透明、准确完整、责任明确);个人信息处理的基本规则与合法性基础(“告知-同意”为核心的多种情形);敏感个人信息的处理规则(单独同意、告知必要性、强化保护措施);自动化决策与用户画像的规制(透明度、拒绝权、结果公平);个人在个人信息处理活动中的权利(查阅、复制、更正、删除等)及企业响应机制。

(五)数据出境的三种合规路径:安全评估(适用情形、流程与材料),标准合同(适用情形、备案要求与合同要点),保护认证(适用情形与机制);《网络数据安全管理条例》中的重要信号与未来监管方向。

六、数据合规管理体系落地

(一)制度体系:核心制度文件清单与内容要点;个人信息保护政策/隐私政策;数据分类分级管理办法;数据安全事件应急响应预案;员工数据安全与合规管理制度。

(二)运行体系:数据合规风险评估机制与流程;数据生命周期各环节的合规控制点;数据安全事件应急处置与演练;合规培训与文化培育。

(三)保障体系:技术保障:加密、脱敏、访问控制、日志审计等;资源保障:预算、人员、工具;监督与改进:合规审计、绩效考核与持续优化(PDCA循环)。

3.2 数据安全合规模块

一、数据安全理论基础

(一)数据安全核心概念:数据安全的法律定义,CIA三要素,数据资产特征。

(二)数据安全威胁分析:内部威胁三大类型,外部威胁类型,技术与环境威胁。

(三)数据安全保护原则:四大保护原则,数据生命周期8个阶段。

(四)案例分析与应用:经验教训三层面。

二、数据安全法律合规框架

(一)国际数据保护法律体系:GDPR的生效时间、域外效力、处罚标准、处罚适用情形、基本原则等。

(二)中国数据安全法律体系架构:《网络安全法》《数据安全法》《个人信息保护法》等。

(三)数据安全监管体系。

(四)合规义务与责任体系:数据控制者主要义务,数据处理者主要义务,个人信息保护影响评估触发情形等;数据安全事件应急响应步骤,隐私政策必备内容。

三、数据资产管理与分类分级

(一)数据资产管理:数据资产盘点方法。

(二)数据分类维度,分级标准。

(三)数据安全风险评估步骤。

(四)第三方数据安全管理。

四、数据安全管理制度建设

(一)数据安全治理架构:组织架构职责,关键角色职责,决策机制构成。

(二)数据安全制度体系:基础制度构成、专项制度构成。

(三)数据全生命周期管控:不同生命周期管控措施。

五、数据安全技术防护措施

(一)身份认证与访问控制:访问控制模型

(二)数据加密技术:对称加密算法,非对称加密算法等。

(三)数据脱敏与防泄漏:脱敏算法,数据防泄漏原理等。

(四)新兴技术应用:零信任架构组成,隐私计算原理等。

六、数据安全运营与应急响应

(一)数据安全运营体系:安全运营中心职能定位,运营具体流程等。

(二)威胁检测与监控:安全监控方法,内外威胁情报处理方法等。

(三)应急响应机制:事件分类方法、响应具体流程等。

3.3 个人信息保护合规模块

一、个人信息保护法律法规

(一)个保法立法宗旨:立法宗旨的核心要素及立法的现实意义。

(二)个保法核心要求条款:核心条款的具体适用场景及判断标准。

(三)相关法规规章主旨及要求:相关法规与个保法的协同适用要点。

二、国家标准《个人信息安全规范》

(一)个人信息保护基本概念:核心概念的准确界定(如敏感个人信息的范围)及区分标准。​

(二)个人信息保护基本原则:原则在实际场景中的应用判断。

(三)个人信息处理全过程安全要求:各环节安全要求的具体实施要点(如存储期限的设定标准)。​

(四)个人信息安全管理要求:管理要求的落地措施(如应急预案的核心要素)。​

三、个人信息保护标准体系和监管治理

(一)个人信息保护标准体系:标准体系的结构及核心标准的适用范围。​

(二)个人信息保护监管和治理措施:监管主体的职责分工及主要监管措施的适用情形。

(三)典型违法违规行为:典型违法违规行为的特征及对应的法律责任。

四、个人信息告知同意和隐私政策

(一)告知的实施:告知的法定要素及合规实施场景。

(二)同意的实施:同意的合法要件及撤回机制的设计要求。

(三)隐私政策制定:隐私政策的合规要点及更新流程。

五、影响评估和合规审计

(一)个人信息保护影响评估原理和实践:评估的适用场景及报告核心内容的编制要求。

(二)个人信息保护合规审计原理和实践:审计的关键环节及整改跟踪的要求。

六、个人信息保护合规趋势

(一)人脸识别技术应用:人脸识别技术应用的合规边界及风险防控措施。

(二)人工智能技术应用:AI 技术应用中个人信息保护的核心要求及算法合规路径。

(三)个人信息保护社会责任:组织与个人在个人信息保护中的责任边界及协同机制。

3.4 数据跨境合规模块

一、基本概念

(一)我国跨境相关概念:重要数据、关键信息基础设施(以及关键信息基础设施运营者)、跨境传输;个人信息出境标准合同、个人信息保护认证、数据出境安全评估、个人信息保护影响评估。

(二)欧盟跨境相关概念:充分性认定、有约束力的企业规则(BCRs)、标准合同(SCC)。

(三)美国跨境相关概念:适用人群、受关注国家、管制数据类型、受限制交易。

二、全球数据流通监管趋势

(一)欧盟数据保护法(GDPR)法律渊源、发展和数据跨境流通机制的建立:Directive 95/46/EC对于个人数据保护的基本规则和基础;GDPR对于个人数据保护的规则限定;各国应用GDPR的基本情况;EDPB对于GDPR跨境传输规则的细化。

(二)中国数据跨境机制的起源和发展:我国数据领域“三大基本法”中的基本规则;《促进和规范数据跨境流动规定》《网络数据安全管理条例》的豁免;特别领域的数据跨境。

(三)美国数据跨境机制:国家层面的立法;美欧数据跨境“三代”协议安排;美国州法对于个人数据跨境的间接影响。

(四)东亚和东南亚国家的数据跨境流通机制:韩国个人数据保护法的数据跨境基本规则;日本个人数据保护法的数据跨境基本规则;东南亚各国个人数据保护法建立基本情况。

三、我国的数据跨境规则

(一)中国数据流通的合规机制的基本规则。

(二)特殊行业的数据跨境传输要求:汽车数据跨境的基本要求;测绘数据跨境的基本要求;人类遗传资源跨境的基本要求。

四、欧盟的数据跨境规则

(一)个人数据跨境传输的基本机制和分类。

(二)充分性认定的基本定义和认定情况:充分性认定的定义和现状;充分性认定后的效果;充分性认定的最新实践。

(三)有约束力的企业规则(BCRs)的基本定义和批准情况:有约束力的企业规则(BCRs)的申请条件;有约束力的企业规则(BCRs)的基本程序;有约束力的企业规则(BCRs)的实践情况。

(四)个人数据跨境传输标准合同的定义和基本情况:根据身份不同认定的四类合同;个人信息跨境传输标准合同的签订要求;进行个人信息保护影响评估(TIA)的基本要求;境外再转移欧盟个人数据的协议签订规则。

五、美国的数据跨境规则

(一)美国个人数据保护法的基本特点。

(二)《14117最终规则》的具体规定和要求:四大核心要素:适用人群、受关注国家、管制数据类型、受限制交易;三类交易分类:禁止、限制和豁免的基本概念和情形;敏感数据类别及触发阈值。

(三)美国州层面个人数据保护立法对数据跨境的影响。