个人信息保护合规审计管理办法试卷试题及答案

个人信息保护合规审计管理办法试卷试题及答案一、单项选择题（每题2分，共20分）1.根据《个人信息保护法》及相关规定，个人信息处理者开展合规审计时，重点不应审查以下哪项内容？A.个人信息处理的合法性基础（如用户同意、合法权益等）B.个人信息存储期限是否符合“最小必要”原则C.员工个人社交媒体使用情况D.个人信息跨境传输的合规性（如通过安全评估或认证）2.某企业拟开展年度个人信息保护合规审计，其审计计划中无需包含的内容是：A.审计范围（覆盖的业务系统、部门及个人信息类型）B.审计组成员的绩效考核目标C.审计方法（如文档审查、系统测试、人员访谈）D.审计时间安排（启动、实施、报告阶段节点）3.关于合规审计的责任主体，正确的表述是：A.由企业IT部门独立负责，无需其他部门参与B.应当由个人信息保护负责人或独立于个人信息处理部门的机构/人员实施C.可委托外部第三方机构，但企业无需保留内部审计记录D.由企业法务部门负责，仅需审查合同条款合规性4.个人信息处理者在发生较大规模个人信息泄露事件后，应当在多长时间内启动专项合规审计？A.7个工作日内B.15个工作日内C.30个自然日内D.无需专项审计，仅需整改5.合规审计报告中必须包含的内容不包括：A.审计发现的问题（如超范围收集、未履行告知义务等）B.对相关责任人员的行政处罚决定C.针对问题的整改建议（如完善授权流程、加强加密措施）D.审计结论（是否符合个人信息保护相关法规要求）6.以下哪项不属于合规审计中“个人信息处理活动记录”的审查范围？A.个人信息收集的具体字段及来源（如用户主动填写、第三方共享）B.个人信息处理的目的、方式（如分析、共享、删除）C.信息系统日志中用户登录及操作记录D.企业年度财务报表中的数据相关支出7.某电商平台拟向境外母公司传输用户购物记录，合规审计需重点验证的文件不包括：A.与境外接收方签订的个人信息出境标准合同B.国家网信部门对跨境传输的安全评估通过文件C.用户针对跨境传输的单独同意记录D.企业内部关于数据跨境的风险评估报告8.合规审计中对“用户权利保障”的审查，不包括以下哪项？A.用户查询、复制个人信息的申请处理时效（是否在15个工作日内响应）B.用户要求删除个人信息时，企业是否已同步删除关联备份数据C.用户投诉渠道的公示情况（如官网是否列明邮箱、电话）D.用户注册时设置的密码复杂度要求9.关于合规审计的频率，正确的要求是：A.仅需在企业首次处理个人信息前开展一次B.处理敏感个人信息的，每年至少审计一次；其他情形每两年至少一次C.由企业自行决定，无需遵循固定频率D.发生数据泄露事件后，需每季度审计一次10.合规审计中发现企业未对收集的儿童个人信息采取特殊保护措施（如未取得监护人同意），审计结论应认定为：A.符合要求，因儿童个人信息与普通用户无差异B.基本符合，仅需补充监护人同意流程C.不符合，违反《个人信息保护法》对敏感个人信息的特别规定D.无法判定，需进一步收集证据二、判断题（每题2分，共20分。正确打“√”，错误打“×”）1.合规审计仅需审查技术措施（如加密、访问控制），无需关注管理制度（如授权流程、培训记录）。（）2.个人信息处理者委托第三方开展审计的，需对第三方的资质和独立性进行评估，并保留审计过程记录。（）3.用户撤回同意后，企业无需在审计中关注已收集个人信息的处理情况，因用户已放弃权利。（）4.合规审计报告需由审计负责人签字，无需向企业主要负责人汇报。（）5.处理10万人以上个人信息的个人信息处理者，应当指定个人信息保护负责人，并将其姓名、联系方式通过官网等方式公示，这属于审计的重点内容。（）6.审计中发现企业将用户手机号用于精准营销，但未在隐私政策中明确说明，属于“未履行告知义务”的违规行为。（）7.合规审计可以仅抽样审查部分个人信息处理活动，无需覆盖全部业务场景。（）8.企业因业务需要合并个人信息处理系统时，无需针对合并后的系统额外开展审计。（）9.审计中需验证个人信息的删除是否实现“不可恢复”（如物理删除或彻底覆盖），而非仅从前端界面隐藏。（）10.个人信息保护合规审计的目的是确保符合《个人信息保护法》《数据安全法》等法规要求，无需考虑行业自律规范。（）三、简答题（每题10分，共30分）1.简述个人信息保护合规审计的主要步骤。2.合规审计中，对“个人信息处理目的的合法性”应重点审查哪些内容？3.某金融机构拟委托第三方机构开展合规审计，需注意哪些合规要点？四、案例分析题（30分）某在线教育平台（用户超500万，收集信息包括姓名、手机号、课程学习记录、支付信息）近期收到用户投诉，称其在未明确告知的情况下将用户学习数据共享给第三方广告公司。平台拟启动合规审计。问题：（1）请列出审计过程中需重点审查的5项内容。（2）若审计发现平台确实存在未告知且未取得用户同意的共享行为，应提出哪些整改建议？答案一、单项选择题1.C（员工社交媒体使用与个人信息处理活动无关）2.B（审计计划不包含成员绩效考核目标）3.B（需独立于处理部门的机构/人员实施）4.A（7个工作日内启动专项审计）5.B（审计报告不包含行政处罚决定，仅提出整改建议）6.D（财务报表不属于个人信息处理活动记录）7.D（内部风险评估报告非必须验证文件）8.D（密码复杂度属于账号安全，非用户权利保障）9.B（敏感信息每年一次，其他每两年一次）10.C（违反敏感个人信息特殊保护规定）二、判断题1.×（需同时审查技术和管理措施）2.√（需评估第三方资质并保留记录）3.×（需审查撤回同意后的信息删除情况）4.×（需向主要负责人汇报）5.√（属于审计重点）6.√（未明确说明用途违反告知义务）7.×（需覆盖全部处理活动或合理抽样并说明）8.×（系统合并需额外审计）9.√（需验证不可恢复性）10.×（需同时符合行业规范）三、简答题1.主要步骤：①审计准备（制定计划、组建团队、收集资料）；②审计实施（文档审查、系统测试、人员访谈、现场检查）；③问题确认（与被审计部门核对发现的问题）；④报告编制（总结问题、提出建议）；⑤跟踪整改（监督整改措施落实）。2.重点审查：①处理目的是否具体、明确，是否与隐私政策声明一致；②是否符合“最小必要”原则（如收集的信息类型是否超出实现目的所需）；③是否存在将个人信息用于与原声明目的无关的场景（如将注册信息用于营销需额外同意）；④处理目的变更时，是否重新取得用户同意（如从“提供服务”变更为“数据分析”）。3.需注意：①第三方机构的资质（如是否具备数据安全审计经验、是否独立于平台利益相关方）；②签订保密协议，明确第三方对个人信息的保护责任；③监督审计过程（如参与关键环节讨论）；④要求第三方提交详细审计工作底稿；⑤平台需保留对审计结论的最终确认权，不能完全依赖第三方报告。四、案例分析题（1）重点审查内容：①隐私政策中关于数据共享的告知条款（是否明确共享对象、目的、方式）；②用户同意记录（是否就共享行为取得单独同意）；③数据共享的具体流程（如是否通过加密传输、接收方的安全能力评估记录）；④第三方广告公司的个人信息处理协议（是否约定数据使用范围及保密义务）；⑤用户投诉处理记录（是否对投诉及时响应并调查）。（2）整改建议：