个人信息保护合规管理员测试考核试卷及答案

个人信息保护合规管理员测试考核试卷及答案一、单项选择题（每题2分，共20分）1.根据《个人信息保护法》，下列哪项不属于“个人信息”的范畴？A.自然人的姓名、出生日期B.已匿名化处理的用户行为数据C.自然人的生物识别信息D.能够单独或与其他信息结合识别特定自然人的电子邮箱2.个人信息处理者处理个人信息时，应遵循“最小必要”原则。以下哪种行为符合该原则？A.电商平台为优化推荐算法，收集用户近3年的全部购物记录B.银行仅收集办理信用卡所需的身份证、收入证明等必要信息C.社交软件要求用户授权读取通讯录以注册账号D.医疗APP在用户拒绝提供地理位置信息时，限制其使用在线问诊功能3.关于个人信息处理的“告知-同意”规则，下列表述错误的是？A.告知内容应具体、明确，避免使用模糊表述B.同意需由用户主动作出，不可默认勾选C.处理敏感个人信息时，需取得用户的“单独同意”D.用户撤回同意后，个人信息处理者可继续使用已收集的信息4.某企业拟将境内收集的个人信息传输至境外母公司，根据《个人信息保护法》及相关规定，下列哪项不是必须履行的程序？A.通过国家网信部门组织的安全评估B.与境外接收方订立数据传输合同C.向用户告知跨境传输的目的、范围、接收方等信息D.对数据接收方的个人信息保护水平进行评估5.以下哪类信息不属于《个人信息保护法》规定的“敏感个人信息”？A.15周岁未成年人的身份证号码B.某用户的宗教信仰信息C.某患者的诊疗记录D.某公务员的工作单位信息6.用户要求个人信息处理者删除其个人信息时，下列哪种情形处理者可以拒绝？A.用户因账号被盗要求删除历史交易记录B.处理者已停止提供产品或服务且无保存必要C.处理者基于合法的新闻报道目的需要保留信息D.用户撤回同意且处理者无其他合法处理依据7.个人信息保护合规审计的周期通常不超过？A.6个月B.1年C.2年D.3年8.个人信息处理者委托第三方处理个人信息时，下列哪项义务无需由委托方承担？A.对第三方的处理活动进行监督B.要求第三方履行个人信息保护义务C.第三方造成个人信息泄露时，由第三方单独承担责任D.向用户告知委托处理的情况9.根据《儿童个人信息网络保护规定》，处理14周岁以下儿童个人信息时，应当取得？A.儿童本人同意B.儿童监护人的同意C.学校的书面确认D.公安机关备案10.个人信息泄露事件发生后，个人信息处理者应在多长时间内向履行个人信息保护职责的部门报告？A.立即B.24小时内C.48小时内D.72小时内二、多项选择题（每题3分，共30分。每题至少有2个正确选项，错选、漏选均不得分）1.个人信息处理者的核心义务包括？A.制定并公开个人信息处理规则B.采取必要的技术和管理措施保障信息安全C.定期对个人信息处理活动进行合规审计D.向用户免费提供个人信息副本2.个人信息处理者在告知用户时，需明确说明的内容包括？A.个人信息的处理目的、方式B.个人信息的保存期限C.用户行使删除、更正权的方式D.个人信息的共享、转让情况3.下列属于敏感个人信息的有？A.16周岁学生的高考成绩B.某用户的婚恋状况C.某企业高管的行程轨迹D.某患者的基因信息4.个人信息跨境传输的合法路径包括？A.通过国家网信部门组织的安全评估B.经专业机构进行个人信息保护认证C.与境外接收方订立标准合同D.用户单独同意且风险可控5.发生个人信息泄露事件后，处理者应采取的措施包括？A.立即停止相关处理活动B.评估泄露可能造成的危害C.通知可能受影响的用户D.向监管部门报告6.去标识化与匿名化的主要区别在于？A.去标识化后仍有可能通过其他信息复原个人信息，匿名化则不能B.去标识化信息仍受《个人信息保护法》约束，匿名化信息不受约束C.去标识化需告知用户，匿名化无需告知D.去标识化可用于统计分析，匿名化不可7.用户享有的个人信息权益包括？A.查询、复制个人信息B.要求更正不准确的个人信息C.限制或拒绝他人对其个人信息的处理D.要求删除已公开的个人信息8.个人信息保护合规制度应包含的内容有？A.个人信息分类分级规则B.员工权限管理与培训机制C.数据泄露应急响应流程D.第三方合作方评估标准9.个人信息处理者与第三方合作时，需重点审查的内容包括？A.第三方的个人信息保护能力B.合作目的是否符合最小必要原则C.数据使用范围是否明确约定D.第三方是否具备独立法人资格10.处理未成年人个人信息时，需特别注意的合规要点包括？A.明确告知监护人处理目的、方式B.仅收集与未成年人年龄、身份相适应的信息C.设定未成年人模式，限制过度信息收集D.未经监护人同意，不得向第三方提供未成年人信息三、判断题（每题2分，共20分。正确填“√”，错误填“×”）1.个人信息处理者可以将“同意隐私政策”作为注册账号的必要条件，但需提供明确的拒绝选项。（）2.为提升用户体验，APP可以在用户未主动授权的情况下，后台收集设备信息用于优化算法。（）3.处理敏感个人信息时，除取得用户单独同意外，还需说明处理的必要性及对用户权益的影响。（）4.个人信息跨境传输时，只要用户同意，无需通过安全评估或认证。（）5.用户要求删除个人信息时，处理者应在合理期限内删除，若因技术原因无法立即删除，需向用户说明理由。（）6.个人信息泄露事件发生后，若未造成实际损害，处理者无需向用户告知。（）7.去标识化后的信息仍属于个人信息，处理时需遵守《个人信息保护法》。（）8.用户撤回同意后，处理者应停止基于该同意的个人信息处理活动，但已合法处理的信息可继续保留。（）9.个人信息处理者委托第三方处理信息时，可通过合同约定转移全部责任给第三方。（）10.处理14周岁以下儿童信息时，只需在隐私政策中告知儿童本人，无需取得监护人同意。（）四、简答题（每题6分，共30分）1.简述个人信息处理的合法性基础（至少列出4项）。2.列举“告知-同意”规则的具体要求（至少5项）。3.处理敏感个人信息需满足哪些特殊规则？4.个人信息跨境传输的主要合规路径有哪些？5.用户行使“查阅、复制权”时，个人信息处理者应如何响应？五、案例分析题（每题10分，共20分）案例1：某电商平台在用户注册时，要求授权读取通讯录、位置信息、相机权限，否则无法注册；隐私政策中仅笼统说明“为优化服务可能收集必要信息”，未明确收集范围和使用方式；用户尝试关闭通讯录权限时，APP提示“关闭权限将无法使用全部功能”。问题：分析该平台存在哪些合规问题？应如何改进？案例2：某医疗APP为提升用户健康管理功能，收集用户的基因检测数据、病历信息（含诊断结果），但仅在隐私政策中概括提及“可能收集健康相关信息”，未取得用户单独同意；后因系统漏洞导致5000条用户健康信息泄露，平台在第3天才向监管部门报告，并以“未造成实际损失”为由未通知用户。问题：指出该APP的违规行为，并说明正确的处理措施。答案一、单项选择题1.B2.B3.D4.B5.D6.C7.B8.C9.B10.B二、多项选择题1.ABCD2.ABCD3.ABD4.ABCD5.ABCD6.AB7.ABC8.ABCD9.ABC10.ABCD三、判断题1.√2.×3.√4.×5.√6.×7.√8.√9.×10.×四、简答题1.个人信息处理的合法性基础包括：（1）用户明确同意；（2）为订立/履行合同所必需；（3）为履行法定职责或义务；（4）为应对公共卫生事件等紧急情况；（5）为公共利益实施新闻报道、舆论监督等；（6）法律、行政法规规定的其他情形（列出4项即可）。2.“告知-同意”规则的具体要求：（1）告知内容需真实、准确、完整，包括处理目的、方式、范围、保存期限、用户权利等；（2）采用显著方式、清晰易懂的语言；（3）同意需由用户主动作出（如点击确认），不可默认勾选；（4）处理敏感个人信息需取得“单独同意”；（5）用户可随时撤回同意，撤回不影响已处理信息的合法性；（6）告知需在处理前完成（列出5项即可）。3.敏感个人信息处理的特殊规则：（1）仅在具有特定目的和充分必要性时处理；（2）需向用户告知处理的必要性及对权益的影响；（3）取得用户“单独同意”（书面或电子形式）；（4）采取严格的保护措施（如加密、访问控制）；（5）定期评估处理活动的合法性、必要性（答出4项即可）。4.跨境传输的主要合规路径：（1）通过国家网信部门组织的安全评估；（2）经专业机构认证符合国家规定的标准（如个人信息保护认证）；（3）与境外接收方订立标准合同（需通过备案）；（4）法律、行政法规或者国家网信部门规定的其他条件；（5）用户单独同意且处理者能够证明风险可控（答出4项即可）。5.处理者响应“查阅、复制权”的要求：（1）在合理期限内（一般不超过15个工作日）响应；（2）提供个人信息的副本，格式应为可机读的常用格式（如PDF、CSV）；（3）若信息数量较大，可提供链接或下载方式；（4）不得收取费用（法律另有规定除外）；（5）若无法提供，需说明理由并告知救济途径。五、案例分析题案例1合规问题及改进：问题：（1）超范围收集信息（通讯录、位置等非注册必要权限）；（2）告知不充分（未明确收集范围、使用方式）；（3）不当限制用户权限（关闭权限即限制全部功能）。改进措施：（1）仅收集注册必需的信息（如手机号），非必要权限改为“可选项”；（2）在隐私政策中详细列明收集的信息类型、使用场景及保存期限；（3）用户关闭非必要权限时，允许使用基础功能（如浏览商品）；（4）提供清晰的权限管理入口，支持用户随时调整授权。案例2违规行为及正确措施：违规行为：（1）处理敏感个人信息（基因、病历）未取得用户“