2025年数据隐私保护与合规管理考核试卷及答案

2025年数据隐私保护与合规管理考核试卷及答案一、单项选择题（每题2分，共20分）1.根据《个人信息保护法》及相关法规，以下哪项不属于“个人信息”的范畴？A.已公开的企业工商登记信息（统一社会信用代码）B.手机用户的设备IMEI号C.患者在医院就诊的病历记录D.某用户在社交平台发布的匿名动态（但可通过关联信息识别到本人）答案：A解析：《个人信息保护法》第4条规定，个人信息是以电子或其他方式记录的与已识别或可识别的自然人有关的各种信息。企业工商登记信息属于企业信息，不属于自然人个人信息；匿名动态若可关联识别到本人，仍属个人信息。2.某电商平台拟对用户购物偏好数据进行自动化营销推送，根据《个人信息保护法》，以下哪项是合规的必要条件？A.获得用户单独同意B.向用户提供不针对其个人特征的选项C.仅在用户注册时告知处理规则D.无需额外说明，因用户已同意隐私政策答案：B解析：《个人信息保护法》第24条规定，通过自动化决策方式向个人进行信息推送、商业营销的，应当同时提供不针对其个人特征的选项，或向个人提供便捷的拒绝方式。单独同意非必须，但需提供“非个性化”选项。3.甲公司因业务需要需将用户位置数据传输至境外关联公司，根据《数据出境安全评估办法》，以下哪种情形无需申报安全评估？A.甲公司近一年处理100万用户的位置数据B.甲公司近一年向境外提供5000人以上敏感个人信息C.甲公司属于关键信息基础设施运营者D.甲公司数据出境行为可能影响国家安全答案：A解析：《数据出境安全评估办法》第5条规定，需申报评估的情形包括：关键信息基础设施运营者数据出境；处理100万人以上个人信息的数据出境；自上年1月1日起累计向境外提供10万人以上个人信息或1万人以上敏感个人信息的数据出境。A选项未达到100万人阈值，无需评估。4.某医疗机构拟将患者诊疗数据用于AI辅助诊断研发，根据《个人信息保护法》，以下哪项操作不符合“最小必要”原则？A.仅提取患者年龄、疾病类型、治疗方案数据B.去除患者姓名、身份证号等可直接识别身份的信息C.收集患者家庭住址、联系方式用于随访D.限制数据使用范围仅限于合作的三家科研机构答案：C解析：“最小必要”原则要求收集的个人信息数量、范围应与处理目的直接相关且为实现目的所必需。患者家庭住址、联系方式与AI辅助诊断研发无直接关联，超出必要范围。5.某金融科技公司发现用户数据发生泄露，可能导致用户财产损失，根据《个人信息保护法》，其向履行个人信息保护职责的部门报告的时限应为？A.立即B.24小时内C.3个工作日内D.7个工作日内答案：B解析：《个人信息保护法》第57条规定，发生或可能发生个人信息泄露、篡改、丢失的，个人信息处理者应立即采取补救措施，并通知履行个人信息保护职责的部门和个人；通知部门的时限为“24小时内”，通知个人可根据影响延迟但需说明理由。6.以下关于“匿名化”与“去标识化”的区别，表述正确的是？A.匿名化后的数据仍可通过其他信息关联识别到个人B.去标识化后的数据属于个人信息，匿名化后不属于C.去标识化需符合行业标准，匿名化无强制要求D.两者均无需获得用户同意即可处理答案：B解析：《个人信息保护法》第4条明确，匿名化处理后的信息不属于个人信息；去标识化后的数据仍可通过其他信息识别个人，因此仍属个人信息。7.某社交平台用户要求查询其个人信息处理情况，平台应在多长时间内响应？A.收到请求后15个工作日内B.收到请求后30个自然日内C.收到请求后7个工作日内D.无明确时限要求，合理期限内即可答案：B解析：《个人信息保护法》第45条规定，个人请求查阅、复制其个人信息的，个人信息处理者应及时提供；未明确具体时限，但《常见类型移动互联网应用程序必要个人信息范围规定》等配套文件建议最长不超过30个自然日。8.某企业拟开展数据安全影响评估（DSIA），以下哪项不属于评估内容？A.数据处理的合法性、正当性、必要性B.数据泄露可能造成的危害C.员工绩效考核制度D.安全防护措施的有效性答案：C解析：《数据安全法》第22条规定，数据安全影响评估应包括：数据处理的合法性、正当性、必要性；数据安全风险；安全防护措施；应急处置措施等。员工绩效考核与数据安全无直接关联。9.以下哪项属于“敏感个人信息”？A.15周岁未成年人的学习成绩B.普通成年人的身高体重C.企业员工的考勤记录D.电商用户的收货地址答案：A解析：《个人信息保护法》第28条规定，敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。15周岁未成年人虽超过14岁，但其学习成绩若涉及教育背景（特定身份），可能被认定为敏感信息（具体需结合场景判断，本题中A为最优选项）。10.某直播平台拟对用户评论进行自动化内容审核，根据《生成式人工智能服务管理暂行办法》，以下哪项操作合规？A.仅使用用户评论内容训练审核模型，无需告知用户B.对用户评论中涉及个人隐私的内容进行去标识化处理后用于模型训练C.要求用户必须同意评论数据用于模型训练，否则无法发布评论D.将用户评论数据直接提供给第三方AI公司用于商业模型开发答案：B解析：《生成式人工智能服务管理暂行办法》第10条规定，利用个人信息训练模型的，应取得个人单独同意，并履行告知义务；B选项中去标识化处理后的数据不属于个人信息，无需额外同意；C选项“必须同意”违反“最小必要”原则；D选项需用户同意。二、多项选择题（每题3分，共15分，少选、错选均不得分）1.某教育类APP收集用户信息时，以下哪些行为符合“告知-同意”原则？A.在注册页面以弹窗形式明确告知收集的信息类型、用途及存储期限B.用户拒绝提供非必要信息（如通讯录）时，仍允许使用核心功能（在线课程学习）C.针对12周岁儿童，获得其父母的书面同意D.以默认勾选方式获得用户同意答案：ABC解析：D选项“默认勾选”违反《个人信息保护法》第14条“应当由个人在充分知情的前提下自愿、明确作出”的要求；A符合“明确告知”；B符合“非必要信息拒绝不影响核心功能”；C符合“未成年人需监护人同意”。2.数据跨境传输的合规路径包括？A.通过国家网信部门组织的安全评估B.签订标准合同（个人信息出境标准合同）C.经专业机构认证符合规定的个人信息保护标准D.获得用户逐一单独同意答案：ABC解析：《个人信息保护法》第38条规定，数据跨境传输的合规路径包括安全评估、标准合同、认证；用户同意是合法性基础之一，但“逐一单独同意”非法定路径（需结合其他条件）。3.以下哪些情形可作为个人信息处理的合法性基础？A.为订立、履行个人作为一方当事人的合同所必需B.为应对突发公共卫生事件，保护自然人生命健康和财产安全所必需C.为公共利益实施新闻报道，在合理范围内处理个人信息D.个人信息已通过合法渠道公开，且处理活动符合公共利益答案：ABCD解析：《个人信息保护法》第13条列举了合法性基础，包括合同必需、公共利益（如新闻报道）、紧急情况、已公开信息（合理处理）等。4.数据分类分级的核心依据包括？A.数据的敏感程度（如普通、敏感、核心）B.数据的业务价值（如高、中、低）C.数据泄露可能造成的危害程度（如一般、较大、严重、特别严重）D.数据的存储介质（如数据库、文件、日志）答案：AC解析：《数据安全法》第21条要求，数据分类分级应根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度。业务价值和存储介质非核心依据。5.企业数据合规管理体系的关键组成部分包括？A.数据安全负责人与管理机构B.数据处理全流程的管理制度（如收集、存储、使用、共享）C.数据安全培训与考核机制D.数据泄露应急响应预案答案：ABCD解析：合规管理体系需覆盖组织架构（A）、制度流程（B）、人员能力（C）、应急处置（D）等全环节。三、判断题（每题2分，共10分，正确填“√”，错误填“×”）1.个人信息处理者无需对已公开的个人信息进行合规审查，可直接用于商业用途。（）答案：×解析：《个人信息保护法》第27条规定，处理已公开的个人信息，应符合该信息被公开时的用途；超出原用途的，需取得个人同意。2.数据安全影响评估报告需至少保存3年。（）答案：×解析：《数据安全法》第22条规定，数据安全影响评估报告和处理情况记录应至少保存5年。3.某公司将用户的姓名、手机号与第三方广告平台共享用于精准营销，只需在隐私政策中概括说明“可能与第三方共享信息”，无需具体列明接收方。（）答案：×解析：《个人信息保护法》第17条要求，告知内容应包括接收方的名称或姓名、联系方式，概括说明不符合“明确性”要求。4.自动化决策过程中，若未对个人权益造成重大影响，无需向个人说明决策逻辑。（）答案：×解析：《个人信息保护法》第24条规定，通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求说明；但即使未造成重大影响，处理者仍需在隐私政策中公开决策的基本原理。5.某医院因科研需要使用患者诊疗数据，可不经患者同意，只需匿名化处理即可。（）答案：√解析：《个人信息保护法》第27条规定，匿名化后的信息不属于个人信息，处理时无需取得同意。四、简答题（每题8分，共32分）1.简述数据分类分级的实施步骤。答案：数据分类分级是数据合规管理的基础，实施步骤通常包括：（1）明确目标与范围：确定需分类分级的数据对象（如用户数据、业务数据、内部管理数据）及覆盖的业务场景（如运营、研发、对外合作）。（2）识别数据资产：通过数据盘点，梳理所有数据的来源、存储位置、关联系统及当前处理活动（如收集、传输、删除）。（3）制定分类标准：基于业务属性（如用户数据、交易数据、日志数据）或法律属性（如个人信息、商业秘密、国家秘密）划分数据类别。（4）制定分级标准：根据数据泄露/破坏可能造成的危害程度（如对个人权益的影响、对企业运营的影响、对国家安全的影响），划分为核心、重要、一般三级（或类似分级）。（5）实施分类分级：由数据所有者、合规部门、技术部门共同评估，标注每条数据的类别和级别。（6）动态更新：根据业务变化、法规更新或数据处理活动调整，定期（至少每年一次）重新评估分类分级结果。2.列举用户“删除权”的实现场景及企业的响应要求。答案：用户删除权（“被遗忘权”）的实现场景包括：（1）处理目的已实现、无法实现或无需继续实现；（2）个人信息处理者停止提供产品或服务，或保存期限已届满；（3）个人撤回同意；（4）个人信息处理者违反法律、行政法规或约定处理个人信息；（5）法律、行政法规规定的其他情形（如《电子商务法》规定的用户注销账户后删除信息）。企业响应要求：（1）收到删除请求后，应在合理期限内（通常不超过30个自然日）完成删除；（2）若个人信息已共享给第三方，需通知第三方及时删除（除非第三方独立处理且企业无法控制）；（3）若数据已进行匿名化或去标识化处理且无法关联到原个人，可告知用户无法删除；（4）需记录删除过程，留存操作日志至少5年备查。3.简述数据安全合规审计的重点内容。答案：数据安全合规审计是验证企业数据处理活动符合法规要求的关键手段，重点内容包括：（1）制度合规性：检查数据安全管理制度（如《个人信息处理规则》《数据跨境传输管理办法》）是否覆盖全流程（收集、存储、使用、共享、删除），是否与《个人信息保护法》《数据安全法》等法规一致。（2）操作合规性：-收集环节：是否遵循“最小必要”原则，告知内容是否完整（类型、用途、存储期限、共享对象等），同意是否自愿明确；-存储环节：敏感数据是否加密存储，访问权限是否最小化（如“最小特权原则”），存储期限是否符合“必要且最短”要求；-共享环节：是否取得用户同意（或符合法定例外），是否签订数据共享协议（明确双方责任），接收方是否具备相应安全能力；-跨境传输环节：是否通过安全评估、标准合同或认证，风险评估是否完整；-删除环节：是否按用户请求或制度要求及时删除，备份数据是否同步清理。（3）技术措施有效性：检查加密、访问控制、日志审计等技术手段是否有效，如敏感数据加密率是否100%，访问日志是否完整记录操作时间、用户、内容。（4）应急管理：检查数据泄露应急预案是否定期演练（至少每年一次），泄露后的报告、通知流程是否可操作（如24小时内报告监管部门）。（5）人员管理：检查数据安全培训是否覆盖全体员工（尤其是接触敏感数据的岗位），培训记录是否完整；关键岗位（如数据安全负责人）是否具备相应资质。4.说明“隐私计算”在数据合规中的应用场景及价值。答案：隐私计算是在不泄露原始数据的前提下实现数据价值挖掘的技术集合（如联邦学习、安全多方计算、可信执行环境），其在数据合规中的应用场景及价值包括：（1）跨机构数据合作：-场景：金融机构与电商平台合作进行用户信用评估，需共享用户交易数据和还款记录；-价值：通过隐私计算，双方仅交换加密后的中间结果（如特征值），无需共享原始数据，避免因数据共享导致的合规风险（如未获用户同意、接收方安全能力不足）。（2）AI模型训练：-场景：医疗机构联合训练疾病预测模型，需使用多家医院的患者诊疗数据；-价值：采用联邦学习技术，各医院在本地训练模型并上传参数，中心节点聚合参数生成全局模型，原始数据不出域，符合“数据可用不可见”的合规要求。（3）数据查询与分析：-场景：政府部门需统计某区域人口健康数据，需调用多个社区的居民健康档案；-价值：通过安全多方计算，在加密状态下完成数据统计（如患病率、平均年龄），避免直接暴露个人健康信息，符合《个人信息保护法》对敏感信息的严格保护要求。（4）跨境数据处理：-场景：跨国企业需将境内用户行为数据传输至境外总部用于市场分析；-价值：利用隐私计算提取数据特征（如用户偏好趋势），而非原始数据，可能降低数据出境的风险等级（如从“100万人个人信息”降为“统计特征”），减少安全评估的必要性。五、案例分析题（共23分）案例背景：某在线医疗平台（以下简称“平台”）主要提供在线问诊、健康档案管理服务，注册用户超500万，其中包含10万孕妇的孕期检查数据（敏感个人信息）。2025年3月，平台发生以下事件：事件1：用户张某通过平台APP投诉，称其在未主动操作的情况下，收到多条某母婴产品的营销短信，短信落款为平台合作的第三方母婴电商（以下简称“电商”）。张某要求平台说明信息泄露原因，并删除其个人信息。经核查，平台与电商签订了《数据共享协议》，约定平台向电商提供用户的“孕产期”标签（通过用户孕期检查数据计算得出），用于精准营销，相关操作在平台隐私政策中表述为“可能与第三方共享用户特征信息用于商业合作”。事件2：平台拟将部分用户的健康档案数据（包含姓名、病历、检查报告）传输至境外关联公司，用于AI辅助诊断模型训练。境外关联公司所在国数据保护水平较低，且平台近一年已向境外提供过8万条个人信息（非敏感）。事件3：平台技术团队发现，因服务器配置错误，2000条用户的就诊记录（包含姓名、诊断结果）在未加密状态下被外部IP访问，可能已泄露。技术团队立即修复配置，但未第一时间通知用户或监管部门。问题：1.分析事件1中平台与电商的合作是否合规，说明理由及整改建议。（8分）2.判断事件2中数据跨境传输是否需要申报安全评估，说明理由及合规路径。（7分）3.指出事件3中平台的违规行为，说明正确的应急处置流程。（8分）答案：1.事件1合规性分析及整改建议：（1）不合规点：-数据共享未取得用户明确同意：平台将用户“孕产期”标签（基于孕期检查数据计算，属于敏感个人信息的衍生信息）共享给电商用于营销，需取得用户单独同意（《个人信息保护法》第29条：处理敏感个人信息应取得单独同意）。-告知不充分：隐私政策中“可能与第三方共享用户特征信息”表述模糊，未明确共享的具体信息类型（如孕产期标签）、接收方（电商）及用途（精准营销），违反“明确、具体”的告知要求（第17条）。-未提供拒绝选项：通过自动化决策推送营销信息，未向用户提供不针对其个人特征的选项（如拒绝接收该电商营销短信），违反第24条要求。（2）整改建议：-补充取得用户单独同意：通过弹窗或短信方式，向受影响用户告知共享的具体信息、接收方及用途，获得用户“点击确认”的单独同意。-完善隐私政策：明确列出可能共享的第三方名称、共享的信息类型（如孕产期标签）、用途及用户拒绝方式。-提供非个性化选项：在营销短信中增加“退订”链接，或在APP设置中增加“关闭母婴类营销推送”功能。2.事件2跨境传输合规性分析：（1）需要申报安全评估。理由：-平台处理用户健康档案数据（包含病历、检查报告）属于敏感个人信息（《个人信息保护法》第28条：医疗健康信息为敏感信息）。-《数据出境安全评估办法》第5条规定，自上年1月1日起累计向境外提供1万人以上敏感个人信息的数据出境需申报评估。平台近一年已向境外提供8万条非敏感个人信息，但本次传输的敏感个人信息若超过1万人（平台有10万孕妇数据，假设传输量≥1万），则触发评估要求。-境外接收方所在国数据保护水平较低，可能导致数