2025年全媒体运营师用户画像数据合规性与隐私保护基础专题试卷及答案

2025年全媒体运营师用户画像数据合规性与隐私保护基础专题试卷及答案一、单项选择题（每题2分，共30分）1.根据《个人信息保护法》第十三条，处理个人信息应当取得个人同意，下列哪项情形属于“取得个人同意”的例外？A.为履行合同所必需B.为进行市场营销C.为提升用户体验D.为优化推荐算法答案：A2.在全媒体运营中，使用第三方SDK收集用户设备MAC地址，下列做法最符合最小必要原则的是：A.默认开启，用户可手动关闭B.首次启动弹窗告知并征得同意C.后台静默收集，后续脱敏使用D.仅在用户触发支付时读取一次答案：D3.某短视频平台计划将用户“点赞记录”用于训练推荐模型，其合法性基础选择“合法利益”时，必须完成的评估文件是：A.个人信息安全影响评估报告B.网络安全等级保护测评报告C.数据出境安全评估申报表D.算法备案表答案：A4.用户画像标签“母婴人群”被认定为敏感个人信息，其存储期限应当：A.与账号生命周期一致B.以实现处理目的所必需的最短时间为限C.永久保存用于历史回溯D.保存五年后匿名化答案：B5.依据《数据安全法》，发生个人信息泄露事件后，平台向省级以上网信部门报告的时限为：A.24小时内B.48小时内C.72小时内D.五个工作日内答案：A6.下列关于“匿名化”与“去标识化”的描述，正确的是：A.匿名化数据可逆，去标识化不可逆B.匿名化数据仍属于个人信息C.去标识化数据在任何情况下都无法识别特定自然人D.匿名化数据不再属于个人信息答案：D7.某新闻App使用人脸识别验证用户身份，其收集的人脸特征数据应当：A.存储于云端对象存储并开启公共读权限B.仅存储于用户设备本地安全区C.加密后存储于服务端，密钥托管在第三方邮箱D.明文存储于日志系统便于排障答案：B8.平台在隐私政策中告知“我们可能向关联公司共享您的信息”，但未列明关联公司名称，该做法违反的原则是：A.目的明确B.最小必要C.公开透明D.数据准确答案：C9.用户行使删除权时，平台下列回应符合法律规定的是：A.“您的数据已用于模型训练，无法删除”B.“删除将影响您后续观看体验，建议保留”C.“我们将在15个工作日内完成删除，并邮件告知结果”D.“数据已脱敏，故无需删除”答案：C10.对未成年人用户画像进行自动化决策时，必须：A.取得监护人单独同意B.默认开启“青少年模式”C.使用联邦学习技术D.将数据留存至未成年人年满18周岁答案：A11.下列关于Cookie墙（CookieWall）的做法，符合GDPR与中国法融合要求的是：A.拒绝同意则无法使用核心功能B.提供“付费替代同意”选项C.同意按钮与拒绝按钮同等显著D.预先勾选“同意”框答案：C12.平台拟将用户浏览数据用于跨平台广告投放，其合法性基础选择“同意”，则下列做法正确的是：A.一揽子同意“提升服务体验”B.将同意按钮设为红色大字号C.提供“拒绝”或“仅在本应用内”选项D.用户拒绝后再次弹窗直至同意答案：C13.数据跨境传输场景下，企业未通过国家网信部门组织的安全评估，却与境外接收方签订标准合同，该行为：A.合法，因已签署合同B.违法，可能被处以最高五千万元罚款C.合法，因属自由贸易试验区D.仅需向市级工信部门备案答案：B14.用户画像标签“疑似怀孕”被用于推送婴儿奶粉广告，其合规风险等级为：A.低B.中C.高D.可忽略答案：C15.下列关于“数据可携带权”的描述，错误的是：A.用户可要求获得结构化、通用、可机读的个人数据B.平台可直接以Excel形式提供C.数据范围仅限用户主动提供的信息D.平台应在验证身份后及时响应答案：C二、多项选择题（每题3分，共30分）16.以下哪些信息属于敏感个人信息？A.用户精确位置轨迹（连续30天）B.用户支付记录C.用户宗教信仰D.用户浏览新闻频道偏好答案：A、C17.平台在收集用户画像数据时，为落实“最小必要”原则，可采取的技术措施包括：A.端侧预处理，仅上传聚合结果B.采用差分隐私添加噪声C.默认开启“精确定位”D.使用安全多方计算答案：A、B、D18.依据《个人信息保护法》，个人有权：A.撤回同意B.限制处理C.拒绝自动化决策D.要求数据可携带答案：A、B、C、D19.下列哪些情形需要开展个人信息保护认证？A.处理超过100万人个人信息B.向境外提供个人信息C.上市前合规审计D.使用生物识别技术答案：A、B、D20.关于“用户画像”与“自动化决策”的关系，正确的是：A.用户画像是自动化决策的前置环节B.自动化决策必须完全依赖用户画像C.对用户权益有重大影响的自动化决策应提供人工复核D.用户有权拒绝仅通过自动化决策作出的决定答案：A、C、D21.平台在隐私政策中披露“共享”信息时，应列明：A.接收方名称与联系方式B.共享目的C.共享方式D.接收方数据安全能力答案：A、B、C、D22.以下哪些做法可降低用户画像数据泄露风险？A.对标签进行分级分类B.采用AES256加密存储C.将密钥与密文存放于同一数据库D.实施基于角色的访问控制答案：A、B、D23.当用户注销账号后，平台应当：A.停止收集个人信息B.删除或匿名化个人信息C.保留已脱敏的聚合统计数据D.继续向用户发送营销短信答案：A、B、C24.关于“联邦学习”在用户画像中的应用，正确的是：A.原始数据不出域B.需评估梯度泄露风险C.无需用户同意D.可结合差分隐私增强安全答案：A、B、D25.平台使用AI生成合成主播视频，涉及用户人脸数据训练，合规要点包括：A.取得肖像权授权B.告知用户合成事实C.对训练数据去标识化D.在视频画面显著标识“AI合成”答案：A、B、D26.以下哪些行为可能构成“大数据杀熟”？A.对老用户显示更高价格B.根据消费频率动态定价C.向新用户发放优惠券D.依据设备型号差异化定价答案：A、B、D27.关于“数据安全网关”在画像系统中的作用，正确的是：A.统一脱敏策略B.实时审计SQLC.阻断未授权标签导出D.允许研发人员明文导出全量日志答案：A、B、C28.平台向境外提供用户画像数据时，可采取的安全措施包括：A.数据出境前评估B.境外接收方承诺同等保护水平C.采用端到端加密通道D.将数据拆分到不同司法辖区答案：A、B、C29.以下哪些属于“明示同意”的有效形式？A.弹窗勾选B.语音朗读并录音C.沉默勾选D.手势验证并录像答案：A、B、D30.用户画像系统上线前，合规团队应完成的文档包括：A.个人信息保护影响评估报告B.数据分类分级清单C.标签字典与敏感度映射表D.源代码扫描报告答案：A、B、C三、判断题（每题1分，共10分）31.用户画像标签一旦生成，平台即可永久保存用于任何新业务。答案：错32.去标识化数据在任何条件下都无法识别特定自然人。答案：错33.平台可以在用户拒绝个性化推荐后，继续收集设备信息用于安全防护。答案：对34.未成年人个人信息可以在监护人未同意情况下用于学术研究。答案：错35.数据可携带权要求平台提供可编辑的Word格式文件。答案：错36.差分隐私技术能够在数据发布时加入噪声，降低重识别风险。答案：对37.只要数据已加密，平台即可自由向境外传输。答案：错38.用户注销后，平台可在后台保留原始日志30天用于审计。答案：对39.联邦学习模式下，参与方无需再单独进行数据出境评估。答案：错40.平台使用公开数据训练画像模型，无需遵守《个人信息保护法》。答案：错四、填空题（每空2分，共20分）41.我国《个人信息保护法》自________年________月________日起施行。答案：2021年11月1日42.处理个人信息应当具有明确、合理的目的，并遵循________原则。答案：最小必要43.个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行________。答案：合规审计44.数据出境安全评估的牵头部门是________。答案：国家互联网信息办公室45.用户画像标签分为一般标签、________标签与特殊标签。答案：敏感46.对个人信息实行分类分级保护时，通常采用________级分类法。答案：五47.平台应在________个工作日内响应用户行使权利的请求。答案：十五48.依据国标GB/T35273，个人信息控制者应当建立________制度，记录数据处理活动。答案：日志留存49.对敏感个人信息进行自动化决策时，应当提供________或人工复核的替代方案。答案：拒绝50.跨境传输个人信息的标准合同应当自合同生效之日起________个工作日内向省级以上网信部门备案。答案：十五、简答题（每题10分，共30分）51.简述“告知—同意”规则在全媒体运营用户画像场景下的落地要点。答案：（1）告知内容需完整，包括处理目的、方式、范围、存储期限、用户权利等；（2）告知时机应提前至收集前，采用弹窗、浮层等显著形式；（3）同意需明示，禁止默认勾选、沉默同意；（4）区分核心功能与附加功能，对附加功能需单独同意；（5）提供便捷的撤回同意途径，撤回后不影响核心功能；（6）对敏感个人信息须取得单独同意或书面同意；（7）保存同意日志，包括时间、内容、用户标识，保存期限不少于三年；（8）多语言版本同步更新，确保外籍用户理解一致；（9）若处理目的、范围变更，需重新告知并征得同意；（10）定期对告知同意流程进行合规审计与可用性测试。52.说明数据跨境传输场景下，平台如何同步满足中国《个人信息保护法》与欧盟GDPR的要求。答案：（1）先进行数据分类分级，识别出境数据是否含敏感个人信息；（2）若为中国法下的“关键个人信息”，应通过国家网信部门安全评估；（3）对欧盟居民数据，需确认是否存在“充分性决定”，若无，采用标准合同条款（SCC）或绑定企业规则（BCR）；（4）签署中欧双标准合同，将中国标准合同与欧盟SCC并行，确保条款无冲突；（5）实施补充技术措施：端到端加密、密钥境内托管、接收方限定用途；（6）建立数据主体权利响应通道，支持跨境访问、更正、删除请求；（7）设置数据泄露双重通知机制：72小时内向欧盟监管机构报告，24小时内向中国省级以上网信部门报告；（8）记录数据处理活动（RoPA），同时满足GDPRArticle30与中国《个人信息保护法》第三十八条；（9）定期进行跨境影响评估（DPIA），更新风险评估报告；（10）指定中欧双区域数据保护官（DPO/PIPO），建立联合合规委员会，年度审查接收方保护水平。53.结合实例说明如何对“用户流失预测模型”进行个人信息保护影响评估（PIA）。答案：（1）项目背景：某短视频平台拟基于用户30天行为数据训练XGBoost模型，预测流失概率，用于推送挽留优惠券；（2）数据映射：收集设备ID、浏览时长、点赞列表、支付记录、精确位置，其中支付记录与位置为敏感个人信息；（3）风险识别：a.数据泄露风险——训练集含明文手机号；b.歧视风险——模型对低收入群体召回率低，导致优惠分配不公；c.自动化决策风险——高概率流失用户被降低内容权重，影响信息获取权；（4）措施设计：a.对手机号进行哈希加盐，密钥托管于HSM；b.采用差分隐私，对梯度添加ε=1的噪声；c.引入公平性约束，使用均衡化召回率指标，确保AUC差异<0.05；d.提供“退出流失预测”开关，用户拒绝后采用随机策略；（5）利益衡量：平台提升留存率2.3%，用户获得更相关优惠，社会整体福利增加；（6）合规性检查：a.合法性基础为“同意”，已重新弹窗并取得14.2%活跃用户单独同意；b.数据保留期限90天，到期自动删除；（7）残余风险：差分隐私噪声可能降低模型准确率1.1%，但仍在可接受范围；（8）评估结论：风险等级由“高”降至“中”，建议每季度复评，并在模型上线前通过内部伦理委员会审查；（9）文档输出：形成《PIA报告》v1.3，附件含数据流图、威胁建模、测试报告、用户反馈记录，保存三年备查。六、案例分析题（每题20分，共40分）54.案例背景：A电商直播平台推出“智能选品助手”，通过抓取用户在第三方小程序的浏览记录、支付金额、社交群聊关键词，生成“潜在购买力”评分，并实时推送给品牌商。上线一周后，大量用户投诉称收到与自己消费能力不符的高价商品推荐，且无法关闭。监管部门介入调查，发现平台未在隐私政策中披露“跨小程序抓取”行为，也未提供拒绝自动化决策的选项。问题：（1）指出该平台违反的法律条款与对应责任；（8分）（2）提出整改措施，要求技术与管理并重；（8分）（3）说明如何向用户有效告知并重新取得同意。（4分）答案：（1）违反条款：a.《个人信息保护法》第十三条——缺乏明确合法性基础；b.第十七条——未真实、准确、完整告知处理目的、范围；c.第二十四条——未提供拒绝自动化决策选项；d.第六条——违反最小必要原则，过度收集群聊关键词；e.第六十六条——可能被处以五千万元以下或上一年度营业额5%以下罚款；（2）整改措施：技术：a.下架跨小程序SDK，删除已收集的群聊关键词；b.引入端侧联邦学习，仅上传加密的聚合向量；c.上线“关闭个性化选品”按钮，后端采用随机推荐兜底；管理：a.修订隐私政策，单列“跨应用数据融合”章节；b.建立数据分级审批，敏感标签需法务VP签字；c.设立算法伦理委员会，每季度审查模型公平性；（3）重新告知：a.采用弹窗+短视频解释“跨应用数据”用途；b.提供“一键拒绝”与“分场景同意”双选项；c.用户拒绝后，赠送无门槛券补偿，降低流失；d.保存同意日志，同步至审计平台备查。55.案例背景：B国际传媒集团拟将其欧洲子公司收集的5000万用户画像数据迁移至新加坡数据中心，用于训练全球内容推荐模型。数据含用户浏览历史、设备指纹、政治倾向标签。欧洲子公司认为已与中国总部签署欧盟委员会2021版SCC，即可直接传输。中国总部计划再将其中2000万中国用户数据回传至北京，用于本地化推荐。问题：（1）