2025年职业健康管理师《健康信息管理法规》备考题库及答案解析

2025年职业健康管理师《健康信息管理法规》备考题库及答案解析一、单项选择题（每题1分，共30分。每题只有一个正确答案，请将正确选项字母填入括号内）1.根据《中华人民共和国基本医疗卫生与健康促进法》，健康信息属于哪一类数据？A.公共数据B.国家核心数据C.个人信息D.重要数据答案：C解析：健康信息直接关联自然人身份，依法纳入个人信息范畴，受《个人信息保护法》特别保护。2.用人单位依据《职业病防治法》建立职业健康监护档案，法定保存期限为：A.10年B.20年C.30年D.长期答案：D解析：第三十六条明确“长期保存”，直至劳动者最后一次接触职业病危害因素后三十年以上。3.向境外提供人类遗传资源信息，审批部门是：A.国家卫健委B.科技部C.国家密码局D.国家网信办答案：B解析：《人类遗传资源管理条例》规定科技部负责跨境数据出境安全评估与审批。4.发生个人信息泄露事件后，处理者向省级以上卫健部门报告的时限为：A.24小时B.3个工作日C.5个工作日D.7个工作日答案：B解析：《个人信息保护法》第五十五条要求“三个工作日内”报告并记录。5.健康信息系统安全等级保护定级，一般二级系统测评周期是：A.每半年一次B.每年一次C.每两年一次D.每三年一次答案：B解析：《网络安全等级保护条例》规定二级系统每年至少开展一次等级测评。6.下列哪项不属于《电子病历应用管理规范（2022）》规定的“关键数据”？A.药物过敏史B.输血史C.门诊费用清单D.手术记录答案：C解析：费用清单属财务数据，不直接决定诊疗安全，故未被列入关键数据。7.职业健康检查机构对疑似职业病的报告时限是：A.立即B.24小时内C.3日内D.7日内答案：B解析：《职业健康检查管理办法》第十九条要求“24小时内”向所在地卫健部门报告。8.根据《数据出境安全评估办法》，处理个人信息达到多少条需申报评估？A.10万B.50万C.100万D.500万答案：C解析：第二条明确“累计向境外提供100万人以上个人信息”须申报安全评估。9.健康信息脱敏时，对“出生日期”宜采用的最佳技术是：A.哈希B.截断C.偏移D.泛化答案：D解析：泛化至“年代”或“年龄段”既保留统计价值又去标识化，风险最低。10.用人单位未建立职业健康档案，可处以罚款区间：A.1千—1万B.5千—5万C.1万—10万D.5万—30万答案：C解析：依据《职业病防治法》第七十条，罚款额度为1万元以上10万元以下。11.健康信息系统的日志留存期限不少于：A.1个月B.3个月C.6个月D.12个月答案：C解析：《医疗卫生机构网络安全管理办法》规定日志留存不少于六个月。12.对未成年人健康信息处理的基本原则是：A.合理必要B.监护人同意C.最小够用D.分级分类答案：B解析：《个人信息保护法》第三十一条，处理未成年人信息须取得监护人单独同意。13.发生ransomware攻击导致健康数据加密，单位应最先启动的预案是：A.数据恢复B.断网隔离C.通报公安D.媒体公关答案：B解析：先隔离遏制扩散，符合《网络安全事件应急预案》技术响应流程。14.下列哪项属于《职业健康检查报告》法定内容？A.检查费用B.劳动者婚姻状况C.结论及处理意见D.家庭住址答案：C解析：《职业健康检查管理办法》附件格式要求必须载明结论及处理意见。15.健康信息跨境传输合同需参照的示范条款发布机构是：A.国标委B.国家网信办C.国家卫健委D.市场监管总局答案：B解析：2022版《个人信息出境标准合同》由网信办制定并公布。16.对涉及“重要数据”的健康信息系统，每年至少开展应急演练次数为：A.1次B.2次C.3次D.4次答案：A解析：《网络安全法》及配套文件要求每年至少组织一次重要数据应急演练。17.用人单位对离岗劳动者职业健康监护档案的移交对象是：A.劳动者本人B.档案局C.所在地卫健部门D.社会保险经办机构答案：A解析：《职业健康监护管理办法》第二十条，档案随劳动者移交本人。18.健康信息脱敏后重新识别风险最高的字段组合是：A.性别+年龄B.邮编+出生月C.病种+医院D.职业+民族答案：B解析：邮编缩小地理范围，出生月缩小年龄范围，组合后重识别概率>0.3。19.对职业病危害因素监测记录，法定保存年限为：A.5年B.10年C.15年D.30年答案：B解析：《职业病防治法》第三十六条要求监测记录保存不少于十年。20.健康信息系统上线前必须通过的安全环节是：A.等保测评B.渗透测试C.代码审计D.安全认证答案：A解析：等级保护测评是法律强制要求，其余为推荐性措施。21.发生个人信息泄露，单位需告知主体的形式不包括：A.电话B.弹窗C.公告D.内部邮件答案：D解析：内部邮件无法确保主体知悉，不符合《个人信息保护法》第五十三条。22.对科研用脱敏健康数据再次识别化，需重新取得：A.伦理批件B.知情同意C.卫健备案D.公安许可答案：B解析：一旦可重新识别即回归个人信息范畴，须重新获得知情同意。23.下列哪项属于《网络数据安全管理条例（征求意见稿）》新增的“敏感个人信息”子类？A.基因数据B.定位数据C.购物记录D.设备指纹答案：A解析：基因数据明确写入“敏感个人信息”定义，严格限制处理场景。24.用人单位未告知劳动者职业健康检查结果，最高可罚款：A.1万B.3万C.5万D.10万答案：C解析：《职业病防治法》第七十条，未告知可处5万元以下罚款。25.健康信息系统的“三同步”原则不包括：A.同步规划B.同步建设C.同步运行D.同步测评答案：D解析：测评为事后环节，三同步指规划、建设、运行同步落实安全。26.向境外提供人类遗传资源信息，如数据量小于多少可适用简易程序？A.500人B.1000人C.5000人D.1万人答案：A解析：科技部公告2021年第6号明确500人以下且非重要遗传家系可简易审批。27.健康信息主体行使删除权时，单位可拒绝的情形是：A.数据已公开B.数据已脱敏C.法定保存期限未满D.数据已备份答案：C解析：法定保存期内，删除请求可依法拒绝，但需告知理由。28.对职业病诊断鉴定结论不服，提起行政诉讼的时限为：A.15日B.30日C.60日D.90日答案：B解析：《职业病防治法》第五十条，收到鉴定书之日起30日内起诉。29.健康信息跨境传输自评估报告保存期限不少于：A.1年B.2年C.3年D.5年答案：C解析：《数据出境安全评估办法》第十条要求保存至少三年。30.下列哪项不是《医疗卫生机构网络安全管理办法》规定的网络安全第一责任人？A.法定代表人B.主要负责人C.信息化分管院长D.首席信息官答案：D解析：办法明确“法定代表人或主要负责人”为第一责任人，不包括CIO。二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）31.依据《个人信息保护法》，处理健康信息应具备的合法性基础包括：A.取得个人同意B.履行法定职责C.公共利益报道D.突发公共卫生事件应对E.数据资产交易答案：ABD解析：C需严格比例原则，E缺乏合法性基础。32.职业健康监护档案应包含的内容有：A.劳动者姓名B.职业史C.既往病史D.家庭遗传史E.职业健康检查结果答案：ABCE解析：家庭遗传史非法定必含项，除非与职业危害相关。33.健康信息系统安全等级保护定级要素包括：A.受侵害客体B.对客体侵害程度C.系统服务范围D.数据敏感程度E.投资金额答案：ABCD解析：投资金额不影响定级。34.发生数据泄露后，单位应记录的要素有：A.泄露时间B.泄露数量C.可能后果D.已采取措施E.责任人婚姻状况答案：ABCD解析：婚姻状况与事件无关。35.向境外提供健康数据，须通过科技部审批的情形有：A.涉及重要遗传家系B.数据量超过500人C.数据涉及罕见病D.数据用于药物临床前研究E.数据已脱敏答案：ABC解析：脱敏后不再属遗传资源信息，无需审批。36.用人单位在职业健康信息管理中的义务包括：A.告知危害B.支付检查费用C.建立档案D.定期备份数据E.向媒体公开检查结果答案：ABCD解析：检查结果属个人信息，未经同意不得公开。37.健康信息脱敏常用技术有：A.掩码B.哈希加盐C.差分隐私D.K匿名E.对称加密答案：ABCD解析：对称加密属存储安全，不针对脱敏。38.依据《电子签名法》，可靠的电子签名需满足的条件有：A.专有性B.控制唯一性C.改动可发现D.第三方认证E.国家密码算法答案：ABC解析：第三方认证非强制，算法未限定。39.健康信息系统上线运行前，必须完成的安全测试有：A.等保测评B.漏洞扫描C.渗透测试D.代码审计E.压力测试答案：AB解析：渗透、代码、压力为推荐，等保与漏扫为强制。40.对劳动者健康信息跨境传输，应事前开展：A.个人影响评估B.出境安全评估C.伦理审查D.标准合同备案E.公安备案答案：ABCD解析：公安备案非健康信息出境必备。三、填空题（每空1分，共20分）41.《个人信息保护法》自____年____月____日起施行。答案：2021年11月1日42.健康信息保存期限届满，应当进行____或____处理。答案：删除；匿名化43.职业健康检查分为____、在岗期间、离岗时和____四类。答案：上岗前；应急44.等级保护2.0将网络安全分为____个等级，健康信息系统最高可定为____级。答案：五；五45.向境外提供人类遗传资源信息，审批通过后颁发____号决定书。答案：国科遗办46.用人单位对疑似职业病病人应当及时安排____，并书面告知____。答案：诊断；劳动者本人47.健康信息脱敏后，重识别风险高于____时，不得对外开放。答案：0.0948.发生数据泄露，单位应在____个工作日内向所在地省级卫健部门报告。答案：349.职业健康监护档案的法定保存期限为自劳动者最后一次接触危害之日起不少于____年。答案：3050.健康信息系统等级保护三级测评周期为____年一次。答案：每年51.对跨境传输的健康信息，应依法与境外接收方签订____合同。答案：标准52.用人单位未组织职业健康检查，情节严重的，可被责令____。答案：停产整顿53.健康信息系统的日志应至少保存____个月。答案：654.处理超过____万人的个人信息，应设立境外接收方____。答案：100；代表55.职业健康检查机构应具有____级以上卫健行政部门批准的____。答案：省；职业健康检查资质56.健康信息主体有权向处理者查阅、复制其____数据。答案：个人信息57.对未成年人健康信息，处理前须取得其____的单独同意。答案：监护人58.健康信息跨境传输安全评估由____办公室牵头组织。答案：国家网信59.职业健康检查结果书面告知劳动者的时间为检查后____个工作日内。答案：1060.用人单位对离岗劳动者健康监护档案移交应制作____清单。答案：交接四、判断题（每题1分，共10分。正确打“√”，错误打“×”）61.健康信息脱敏后即可自由出境，无需评估。答案：×解析：脱敏不彻底仍可能属重要数据，需评估。62.职业健康检查费用可由劳动者先行垫付后再报销。答案：×解析：用人单位必须全额承担，不得转嫁。63.等级保护三级系统每年至少进行一次测评。答案：√64.健康信息保存期限届满必须立即物理销毁。答案：×解析：可匿名化后用于科研。65.用人单位可将职业健康档案存放于第三方云盘，无需加密。答案：×解析：云存储须加密并签订保密协议。66.向境外提供基因数据，只要脱敏就无需审批。答案：×解析：基因数据出境无论是否脱敏均须科技部审批。67.劳动者拒绝职业健康检查，用人单位可解除劳动合同。答案：×解析：需先教育，不得直接解除。68.健康信息系统可通过渗透测试代替等保测评。答案：×解析：渗透测试不能替代等保测评。69.发生数据泄露，单位可先内部消化，确认重大后再报告。答案：×解析：应先行报告，不得隐瞒。70.用人单位对职业健康监护档案负有保密义务。答案：√五、简答题（每题6分，共30分）71.简述《个人信息保护法》下处理健康信息应遵循的“最小必要”原则的实施要点。答案：（1）目的明确：仅为特定、明确、合法的健康管理或医疗服务目的；（2）数据类型最小：不收集与目的无关的健康数据；（3）数据量最小：控制样本量、字段量至实现目的所需最低；（4）保存期限最短：设定与目的匹配的最短保存期，到期删除或匿名化；（5）访问权限最小：基于角色与审批，仅授权直接责任人；（6）二次利用限制：超出原目的需重新取得明示同意并评估。72.列举用人单位在职业健康监护信息管理中必须落实的五项法定制度。答案：1.职业健康检查制度；2.职业健康监护档案建立与保存制度；3.检查结果书面告知制度；4.疑似职业病报告制度；5.档案随劳动者移交制度。73.说明健康信息系统等级保护定级为“三级”的判定标准。答案：（1）受侵害客体：公民、法人和其他组织的合法权益，以及社会秩序、公共利益；（2）侵害程度：严重损害，如大规模健康信息泄露可导致重大公共卫生事件、社会恐慌；（3）系统服务范围：地市级以上区域或10万人以上提供服务；（4）数据敏感程度：涉及遗传资源、传染病、精神疾患等敏感数据；（5）业务重要性：系统停机将严重影响医疗服务连续性。74.简述数据出境安全评估的“风险自评估”应包含的核心内容。答案：1.数据出境必要性、正当性、可行性说明；2.数据规模、范围、类型、敏感程度；3.境外接收方所在国家或地区法律政策环境；4.境外接收方数据保护水平、责任义务、技术能力；5.数据在境外再转移风险；6.数据主体权益救济渠道；7.拟采取的安全防护措施；8.风险点及残余风险分析。75.说明劳动者离岗时职业健康信息管理流程。答案：（1）提前30日书面通知劳动者参加离岗检查；（2）由具备资质机构完成离岗职业健康检查；（3）10个工作日内将书面结果告知劳动者；（4）建立或更新职业健康监护档案，保存期限不少于30年；（5）档案密封并制作交接清单，移交劳动者本人；（6）如发现疑似职业病，24小时内向属地卫健部门报告并告知劳动者申请诊断；（7）将汇总资料备份存档，确保可追溯。六、案例分析题（每题10分，共20分）76.案例：A公司委托B体检机构对1000名接噪工人开展在岗职业健康检查，B机构将检查结果原始电子表格（含姓名、身份证号、纯音测听图）通过普通邮件发送至A公司人事部邮箱。邮件被黑客窃取并在网络论坛出售。问题：（1）指出该事件中的违法行为；（2）说明应承担的法律责任；（3）提出整改措施。答案：（1）违法行为：1.B机构未采用加密或安全通道传输敏感个人信息，违反《个人信息保护法》第五十一条；2.未进行去标识化处理，违反最小必要原则；3.A公司未履行对接收方数据处理活动的监督义务，违反第五十九条。（2）法律责任：1.对B机构：省级以上卫健部门责令改正，给予警告，可处100万元以下罚款；对直接负责主管人员处1万—10万元罚款；2.情节严重，可暂停相关业务、停业整顿；3.对A公司：未尽到委托处理安全监督义务，可处10万—100万元罚款；4.若造成损失，承担连带民事赔偿；5.构成犯罪的，依据《刑法》第二百五十三条之一追究刑责。（3）整改措施：1.建立加密传输通道（TLS1.3、SFTP）；2.传输前删除身份证号，使用唯一编码；3.签署数据处理协议，明确保密与违约责任；4.对传输日志进行审计并保存6个月；5.开展员工安全意识培训与应急演练；6.上线数据泄露监测系统，发现异常阻断并报警；7.向受影响的1000名劳动者逐一告知，并提供信用监测服务。77.案例：C医疗集团计划将500万份电子病历中的影像数据（已脱敏）存储至位于美国的云服务商D公司，用于训练AI辅助诊断模型。C集团拟采用标准合同路径出境。问题：（1）判断是否需申报数据出境安全评估并说明理由；（2）列出C集团应完成的合规步骤；（3）指出与美国云服务商签订标准合同时必须约定的三项关键条款。答案：（1）需申报评估。理由：1.影像数据虽脱敏但仍可能通过AI模型反识别，属重要数据；2.数量500万份远大于100万人门槛，符合《数据出境安全评估办法》第二条。（2）合规步骤：1.开展数据出境风险自评估，形成报告；2.向省级网信办提交安全评估申报；3.配合国家网信办组织的评估，补充材料；4.获得评估通过决定书；5.与美国D公司签署网信办发布的标准合同；6.在网信部门备案标准合同；7.上线后每两年开展一次出境后风险评估，并向监管部门报告。（3）关键条款：1.境外接收方承诺不将中国数据用于与训练AI模型无关的目的；2.接受中国监管机构的现场、远程监督检查，并提供记录；3.数据主体享有便捷的可查阅、更正、删除以及救济渠道，包括设立中文客服并在15日内响应。七、计算与综合应用题（每题10分，共20分）78.某体检机构年度存储职业健康检查影像数据200TB，采用三副本机制，预计年增长率30%，存储系统需保留五年数据，RAID6+热备盘损耗率15%。计算五年后最低裸容量需求（以PB为单位，保留两位小数）。答案：初始数据量：200TB五年累计数据量：200×(1+30%)^0+…+200×(1+30%)^4=200×(1+1.3+1.69+2.197+2.8561)=200×8.0431=1608.62TB三副本：1608.62×3=