2025年个人信息保护合规管理员技能比武考核试卷及答案

2025年个人信息保护合规管理员技能比武考核试卷及答案一、单项选择题（每题2分，共30分）1.根据《个人信息保护法》及相关规定，以下哪项不属于“个人信息”的范畴？A.某用户在社交平台发布的公开动态中的昵称B.经去标识化处理后仍可通过其他信息复原到特定自然人的信息组合C.某医院电子病历系统中存储的患者就诊时间、诊断结果D.某电商平台通过用户购物记录分析提供的“消费偏好标签”答案：D（解析：消费偏好标签若无法单独或与其他信息结合识别特定自然人，则不属于个人信息；去标识化后仍可复原的属于个人信息，见《个人信息保护法》第4条）2.某金融机构拟收集用户的生物识别信息用于身份验证，其合规操作应优先满足以下哪项要求？A.通过弹窗形式告知用户收集目的、方式，用户点击“同意”后收集B.向用户书面说明收集生物识别信息的必要性，并获得单独书面同意C.在隐私政策中列明可能收集生物识别信息，用户注册即视为同意D.仅通过APP首页公告栏提示收集生物识别信息，无需单独确认答案：B（解析：敏感个人信息处理需取得单独同意，生物识别属于敏感信息，见《个人信息保护法》第29条）3.关于个人信息处理中的“最小必要原则”，以下理解正确的是？A.只需收集与服务直接相关的信息，无需考虑信息类型B.收集范围应限于实现服务目的所必需的最少信息类型和最短保存期限C.可以超范围收集用户信息，只要未明确告知用户不使用D.保存期限可由企业自行决定，无需与处理目的关联答案：B（解析：最小必要原则要求信息类型、数量、保存期限均需与处理目的严格对应，见《个人信息保护法》第6条）4.某企业因业务需要向第三方共享用户个人信息，以下合规操作是？A.在隐私政策中笼统表述“可能向合作方共享信息”，未明确具体合作方B.与第三方签订数据共享协议，约定其仅能在授权范围内处理信息C.共享前未告知用户，仅在共享后通过站内信通知D.共享的信息包含用户未授权的额外字段，因“合作方要求”未做筛选答案：B（解析：共享需告知接收方名称、处理目的等，签订协议明确责任，见《个人信息保护法》第23条）5.某短视频APP拟对14周岁以下儿童的个人信息进行处理，应履行的特殊义务是？A.无需特殊处理，与成年用户一致B.取得儿童本人同意即可C.取得儿童监护人的同意，并制定专门的儿童个人信息处理规则D.在隐私政策中单独说明儿童信息处理方式，但无需额外同意答案：C（解析：14周岁以下儿童个人信息处理需监护人同意并制定专门规则，见《个人信息保护法》第31条）6.根据《数据出境安全评估办法》，以下哪类数据出境无需申报安全评估？A.关键信息基础设施运营者收集和产生的个人信息B.处理100万人以上个人信息的数据处理者向境外提供个人信息C.自上年1月1日起累计向境外提供10万人以上个人信息的数据处理者D.某中小企业向境外母公司提供内部员工的考勤信息（仅50人）答案：D（解析：中小企业处理不足10万人信息且非关键信息基础设施运营者，无需申报，见《数据出境安全评估办法》第3条）7.个人信息保护影响评估（PIA）的核心目的是？A.证明企业已履行告知义务B.识别处理活动中的风险并提出改进措施C.替代隐私政策的制定D.满足监管部门的形式要求答案：B（解析：PIA需评估风险并提出应对措施，是主动合规的核心工具，见《个人信息保护法》第55条）8.用户要求某平台删除其个人信息，平台以“数据已备份至归档系统”为由拒绝，该行为违反了？A.个人信息主体的查阅复制权B.个人信息主体的删除权C.个人信息主体的更正权D.个人信息主体的撤回同意权答案：B（解析：用户行使删除权时，企业需删除所有副本，包括归档数据，见《个人信息保护法》第47条）9.某企业将用户个人信息用于算法推荐，以下合规的告知方式是？A.在隐私政策中写明“我们可能基于您的信息进行个性化推荐”B.通过弹窗明确告知“我们将收集您的浏览记录用于个性化推荐，不同意则无法使用推荐功能”C.仅在注册页面底部小字标注“同意即授权用于个性化推荐”D.不主动告知，默认开启推荐功能答案：B（解析：算法推荐属于重大处理目的变更，需明确告知并取得同意，见《个人信息保护法》第17条）10.关于匿名化处理后的信息，以下说法正确的是？A.仍需遵守个人信息保护相关规定B.可以不受限制地使用和共享C.需与原始个人信息存储在同一系统中D.需定期重新进行去标识化处理答案：B（解析：匿名化信息无法识别特定自然人，不属于个人信息，无需适用《个人信息保护法》，见《个人信息保护法》第4条）11.某医疗机构处理患者的健康信息（敏感个人信息），以下合规的存储要求是？A.存储在本地服务器，未加密B.存储于云端，仅对管理员开放访问权限C.采用加密技术存储，并限制访问权限至必要人员D.与其他非敏感信息混合存储，未做区分答案：C（解析：敏感个人信息需采取严格加密、访问控制等安全措施，见《个人信息保护法》第51条）12.用户撤回对某APP的个人信息处理同意后，该APP应？A.继续使用已收集的信息，因用户曾同意B.停止基于该同意的处理活动，并删除相关信息（或匿名化）C.仅停止新信息收集，已收集信息可继续使用D.要求用户书面说明撤回理由后再处理答案：B（解析：撤回同意后，企业需停止处理并删除/匿名化，见《个人信息保护法》第15条）13.某跨国企业拟通过“标准合同”方式向境外提供个人信息，需履行的程序是？A.自行与境外接收方签订标准合同，无需备案B.向省级网信部门备案标准合同C.通过国家网信部门制定的标准合同模板签订，并向省级网信部门备案D.仅需内部合规部门审核，无需外部备案答案：C（解析：标准合同需使用国家网信部门制定的模板，并向省级网信部门备案，见《数据出境安全评估办法》第8条）14.个人信息保护合规管理员发现企业存在未授权收集用户位置信息的行为，应首先采取的措施是？A.直接向监管部门报告B.立即停止相关数据收集，并启动内部调查C.等待企业高层决策后处理D.修改隐私政策掩盖问题答案：B（解析：发现违规应立即止损并调查，见《个人信息保护法》第52条对合规负责人的要求）15.某企业拟开展用户画像业务，以下哪项不属于需评估的风险点？A.画像结果对用户权益的影响（如歧视性推送）B.画像所依赖数据的合法性C.画像算法的透明度（是否向用户说明）D.画像系统的服务器地理位置答案：D（解析：服务器位置不直接影响画像业务的合规风险，其他选项均涉及权益影响或数据合法性，见GB/T35273-2020《信息安全技术个人信息安全规范》）二、多项选择题（每题3分，共30分，少选、错选均不得分）1.以下属于“敏感个人信息”的有？A.15周岁未成年人的个人信息B.生物识别信息C.医疗健康信息D.金融账户信息答案：BCD（解析：敏感个人信息包括生物识别、医疗健康、金融账户等，14周岁以下儿童信息属于特殊保护范畴但非敏感信息本身，见《个人信息保护法》第28条）2.个人信息处理者的合规义务包括？A.制定并公开个人信息处理规则B.定期对个人信息处理活动进行合规审计C.设立个人信息保护负责人（如处理规模超过一定数量）D.对员工进行个人信息保护培训答案：ABCD（解析：全选，见《个人信息保护法》第51、52、54条）3.数据出境的主要合规路径包括？A.数据出境安全评估B.个人信息保护认证C.签订标准合同D.经用户单独同意后直接出境答案：ABC（解析：用户同意不是独立路径，需结合其他方式，见《数据出境安全评估办法》第2条）4.用户行使“查阅复制权”时，个人信息处理者应提供的内容包括？A.个人信息的存储地点B.个人信息的处理方式C.个人信息的来源D.接收个人信息的第三方信息答案：BCD（解析：存储地点非必须提供内容，其他选项需提供，见《个人信息保护法》第45条）5.个人信息保护影响评估应包括的内容有？A.个人信息的处理目的、方式的合法性、必要性B.对个人权益的影响及风险C.所采取的安全保护措施的有效性D.处理活动的预期收益答案：ABC（解析：预期收益非评估内容，见《个人信息保护法》第55条）6.以下哪些行为可能构成“过度收集个人信息”？A.电商APP要求用户授权读取通讯录才能使用购物功能B.地图APP收集用户位置信息用于导航C.社交APP要求用户提供身份证号才能注册账号D.视频APP收集用户观看历史用于推荐答案：AC（解析：通讯录与购物无直接关联，身份证号非注册必需，见“最小必要原则”）7.个人信息处理者在发生个人信息泄露事件后，应履行的义务包括？A.立即采取补救措施B.通知可能受影响的用户C.向履行个人信息保护职责的部门报告D.隐瞒事件以避免声誉损失答案：ABC（解析：隐瞒违法，见《个人信息保护法》第57条）8.关于“告知-同意”原则，以下说法正确的有？A.告知内容应具体明确，避免模糊表述B.同意需由用户主动作出，不可默认勾选C.未成年人的同意需由监护人代为作出（14周岁以下）D.同意后，用户可随时撤回答案：ABCD（解析：全选，见《个人信息保护法》第17-15条）9.以下哪些情形下，个人信息处理者无需取得用户同意？A.为履行法定职责或法定义务所必需B.为应对突发公共卫生事件所必需C.为公共利益实施新闻报道，合理处理个人信息D.为用户提供产品更新提示，收集设备信息答案：ABC（解析：产品更新提示需取得同意，见《个人信息保护法》第13条）10.个人信息保护合规管理员的核心职责包括？A.监督个人信息处理活动的合规性B.组织制定个人信息保护制度C.处理用户关于个人信息的投诉D.代表企业与监管部门沟通答案：ABCD（解析：全选，见《个人信息保护法》第52条）三、判断题（每题1分，共10分，正确填“√”，错误填“×”）1.个人信息处理者可以将用户的同意作为处理敏感个人信息的唯一合法基础。（×）（解析：敏感个人信息处理需“必要性”+“单独同意”，同意非唯一基础，见《个人信息保护法》第29条）2.去标识化后的信息属于个人信息，仍需遵守《个人信息保护法》。（×）（解析：去标识化后无法识别特定自然人的不属于个人信息，见《个人信息保护法》第4条）3.个人信息处理者可以将用户的“不注册账号”作为拒绝提供基础服务的理由。（×）（解析：基础服务不得强制注册，见《个人信息保护法》第24条）4.数据跨境流动时，只要境外接收方所在国的个人信息保护水平不低于我国，即可直接出境。（×）（解析：需通过安全评估、认证或标准合同等路径，见《数据出境安全评估办法》）5.用户要求删除个人信息时，若数据已用于统计分析且无法关联到特定个人，企业可拒绝删除。（√）（解析：无法关联到特定个人的信息无需删除，见《个人信息保护法》第47条）6.个人信息保护影响评估报告需至少保存3年。（×）（解析：需保存至少3年，见《个人信息保护法》第55条）7.企业可以将用户的“静默同意”（如长期未操作视为同意）作为有效同意形式。（×）（解析：同意需主动作出，静默同意无效，见《个人信息保护法》第14条）8.处理已公开的个人信息无需告知用户，因信息已公开。（×）（解析：需告知处理目的、方式等，除非法律另有规定，见《个人信息保护法》第27条）9.个人信息保护合规管理员只需对企业高层负责，无需向监管部门报告。（×）（解析：发现重大风险需向监管部门报告，见《个人信息保护法》第52条）10.企业可以将用户的生物识别信息与其他信息混合存储，无需单独加密。（×）（解析：敏感信息需采取严格加密措施，见《个人信息保护法》第51条）四、简答题（每题6分，共30分）1.简述个人信息处理者在处理个人信息时需履行的“告知”义务的具体内容。答案：需告知以下内容：（1）个人信息处理者的名称或姓名、联系方式；（2）个人信息的处理目的、处理方式；（3）个人信息的种类、保存期限；（4）个人信息主体的权利及行使方式；（5）接收个人信息的第三方的名称或姓名、联系方式、处理目的、处理方式和处理的个人信息种类；（6）法律、行政法规规定应当告知的其他事项。若处理敏感个人信息，还需告知处理的必要性及对个人权益的影响（依据《个人信息保护法》第17条）。2.列举数据跨境流动的三种主要合规路径，并说明各自适用条件。答案：（1）数据出境安全评估：适用于关键信息基础设施运营者、处理100万人以上个人信息的数据处理者、自上年1月1日起累计向境外提供10万人以上个人信息或1万人以上敏感个人信息的数据处理者；（2）个人信息保护认证：通过国家认可的认证机构认证，证明符合规定的个人信息保护标准；（3）签订标准合同：非上述情形的数据处理者，使用国家网信部门制定的标准合同模板，并向省级网信部门备案（依据《数据出境安全评估办法》第2、3、8条）。3.个人信息主体享有哪些核心权利？请至少列举5项并简要说明。答案：（1）知情权：了解个人信息处理情况；（2）查阅复制权：查阅、复制其个人信息；（3）更正补充权：要求更正不准确或补充不完整的个人信息；（4）删除权：在法定情形下要求删除个人信息；（5）撤回同意权：撤回对个人信息处理的同意；（6）解释说明权：要求对个人信息处理规则进行解释说明（依据《个人信息保护法》第44-50条）。4.个人信息保护影响评估（PIA）的主要步骤包括哪些？答案：（1）确定评估范围：明确处理活动的目的、方式、涉及的个人信息种类等；（2）识别风险：分析处理活动对个人权益可能造成的风险（如泄露、滥用、歧视等）；（3）评估现有措施：评估已采取的安全技术措施和管理措施的有效性；（4）提出改进建议：针对风险提出降低或消除风险的措施；（5）形成评估记录评估过程、结论及改进计划，并保存至少3年（依据GB/T35273-2020及《个人信息保护法》第55条）。5.某企业拟通过APP收集用户的位置信息（非敏感信息）用于本地生活服务推荐，需满足哪些合规要求？答案：（1）合法性：收集目的需与服务直接相关，符合“最小必要”原则；（2）告知同意：明确告知收集位置信息的目的、方式，取得用户主动同意（不可默认勾选）；（3）安全措施：采取加密、访问控制等措施保护位置信息；（4）存储期限：仅保存实现推荐目的所需的合理期限；（5）用户权利保障：允许用户随时撤回同意、关闭位置权限，并提供删除位置信息的途径；（6）第三方共享：若向合作方共享，需告知接收方信息并签订协议（依据《个人信息保护法》第6、17、23、51条）。五、案例分析题（共50分）案例1（20分）：某电商平台“快购”为提升用户体验，拟在APP中新增“智能客服”功能，通过分析用户的聊天记录、购物历史、浏览记录（含搜索关键词）提供用户画像，用于自动回复及个性化推荐。已知该平台注册用户超5000万，其中14周岁以下用户约20万。请分析该功能上线前需履行的合规义务。答案：（1）告知同意：需向用户明确告知收集聊天记录、购物历史等信息的目的（提供用户画像用于智能客服及推荐）、方式，取得主动同意；对14周岁以下用户，需取得其监护人同意，并制定专门的儿童信息处理规则（《个人信息保护法》第17、31条）。（2）最小必要原则：仅收集与智能客服功能直接相关的信息（如聊天记录中的问题类型、购物历史中的商品类别），避免超范围收集（如用户通讯录）（第6条）。（3）敏感信息识别：若聊天记录中包含医疗、金融等敏感信息，需单独告知必要性并取得单独同意（第29条）。（4）个人信息保护影响评估（PIA）：评估用户画像可能导致的权益风险（如歧视性推荐）、现有安全措施（如加密存储聊天记录）的有效性，提出风险控制措施（如限制画像结果的使用范围）（第55条）。（5）安全技术措施：对用户聊天记录、购物历史等信息采用加密存储，限制访问权限至必要人员，防止泄露（第51条）。（6）用户权利保障：提供用户查阅、复制、更正画像数据的途径，允许撤回同意并删除相关信息（第45、47、15条）。（7）数据跨境风险：若用户画像数据需向境外服务器传输，需评估是否符合数据出境安全评估、标准合同等要求（《数据出境安全评估办法》第3条）。案例2（30分）：2025年3月，某省网信办对本地医疗APP“健康助手”开展合规检查，发现以下问题：（1）未在隐私政策中明确说明收集用户的基因检测信息（敏感个人信息）；（2）向第三方检验机构共享用户的诊断报告（