个人信息保护工程师考试试卷及答案

个人信息保护工程师考试试卷及答案一、填空题（共10题，每题1分）1.我国《个人信息保护法》明确，处理个人信息应当遵循合法、______、必要原则。2.个人信息的处理包括收集、存储、使用、加工、传输、提供、______等。3.GDPR是欧盟《______与隐私保护条例》的缩写。4.对个人信息进行______处理后，无法识别特定自然人且不能复原的，不属于个人信息。5.企业处理敏感个人信息应当取得个人的______同意。6.个人信息保护的核心原则之一是______最小化，即只收集必要的信息。7.我国负责统筹协调个人信息保护工作的部门是______。8.个人有权查阅、复制其个人信息，这是个人信息的______权。9.个人信息处理存在重大安全隐患时，处理者应立即采取补救措施并向______报告。10.匿名化与去标识化的区别在于是否能______特定自然人。二、单项选择题（共10题，每题2分）1.下列不属于个人信息的是（）A.身份证号B.手机号C.匿名化信息D.家庭住址2.处理敏感个人信息需取得个人的（）同意A.书面B.单独C.默示D.口头3.GDPR中数据主体要求删除信息的权利称为（）A.被遗忘权B.更正权C.限制处理权D.转移权4.下列属于敏感个人信息的是（）A.姓名B.健康状况C.邮箱D.职业5.数据泄露后，GDPR要求向监管机构报告的时限是（）小时内A.24B.48C.72D.966.个人信息处理的基本原则不包括（）A.合法B.高效C.必要D.透明7.我国个人信息保护法适用于（）的个人信息处理活动A.境内B.境外C.境内外D.仅企业内部8.个人对信息处理有异议时，处理者应（）A.立即删除B.核查并回复C.停止处理D.拒绝回应9.下列属于个人信息处理者义务的是（）A.任意收集信息B.制定隐私政策C.隐瞒处理目的D.拒绝个人请求10.数据跨境流动需符合的要求不包括（）A.安全评估B.单独同意C.任意传输D.备案三、多项选择题（共10题，每题2分）1.下列属于敏感个人信息的有（）A.生物识别信息B.宗教信仰C.金融账户D.工作单位2.个人信息处理的基本原则包括（）A.合法B.正当C.必要D.诚信3.GDPR中数据主体的权利有（）A.被遗忘权B.数据可携带权C.异议权D.限制处理权4.处理个人信息的合法情形包括（）A.取得个人同意B.合同订立必需C.公共利益必需D.突发公共事件必需5.个人信息安全保障措施包括（）A.加密技术B.定期审计C.安全培训D.第三方评估6.属于个人信息的有（）A.手机号B.住址C.身份证号D.去标识化信息7.数据跨境流动的合规要求有（）A.安全评估B.专业认证C.个人同意D.监管备案8.个人的主要权利包括（）A.查阅复制权B.更正权C.删除权D.转移权9.个人信息处理者的义务有（）A.制定隐私政策B.保障信息安全C.响应权利请求D.定期发布合规报告10.匿名化处理的特点是（）A.无法识别自然人B.不能复原C.仍属个人信息D.无需个人同意四、判断题（共10题，每题2分）1.匿名化信息仍属于个人信息。（）2.敏感个人信息只需默示同意即可处理。（）3.GDPR要求数据泄露72小时内通知监管机构。（）4.我国个人信息保护法适用于境内处理活动。（）5.企业可任意收集个人信息。（）6.被遗忘权是任何情况都必须删除信息。（）7.健康状况属于敏感个人信息。（）8.目的限制原则指仅为特定目的收集信息。（）9.数据跨境流动必须取得个人同意。（）10.处理者应定期进行安全评估。（）五、简答题（共4题，每题5分）1.简述个人信息与敏感个人信息的区别。2.简述《个人信息保护法》中个人的主要权利。3.简述数据泄露后的应对流程。4.简述数据跨境流动的合规要求。六、讨论题（共2题，每题5分）1.讨论企业如何平衡个人信息“合理利用”与“权益保护”的关系。2.讨论GDPR与我国《个人信息保护法》在数据主体权利方面的异同。---答案部分一、填空题答案1.正当2.公开3.通用数据保护4.匿名化5.单独6.目的7.国家网信部门8.查阅复制9.网信部门10.识别二、单项选择题答案1.C2.B3.A4.B5.C6.B7.A8.B9.B10.C三、多项选择题答案1.ABC2.ABCD3.ABCD4.ABCD5.ABCD6.ABC7.ABCD8.ABCD9.ABC10.ABD四、判断题答案1.×2.×3.√4.√5.×6.×7.√8.√9.×10.√五、简答题答案1.个人信息与敏感个人信息的区别个人信息是能单独或结合其他信息识别特定自然人的信息（如姓名、手机号）；敏感个人信息是泄露后易危害人格尊严或人身财产安全的信息（如健康、生物识别）。区别：①敏感信息处理需单独同意，普通信息需合法情形即可；②敏感信息泄露危害更大，处理要求更严格；③普通信息可用于一般场景，敏感信息需特定合法目的。2.个人的主要权利①查阅复制权：有权查阅、复制自身信息；②更正权：发现信息不准确可请求更正；③删除权：符合法定情形（如超目的存储）可请求删除；④转移权：可请求转移信息到指定处理者；⑤异议权：对处理活动有异议可请求核查；⑥限制处理权：符合条件（如信息不准确）可请求限制处理；⑦知情权：有权知晓处理目的、方式等。3.数据泄露应对流程①立即启动应急预案，采取补救措施（如停止泄露、加密数据）；②评估泄露影响（范围、是否危及权益）；③向监管机构报告（如网信部门，GDPR要求72小时内）；④通知受影响个人（若危及权益）；⑤调查泄露原因，整改漏洞；⑥记录过程，留存证据；⑦后续跟踪，防止再次发生。4.数据跨境流动合规要求①通过安全评估（处理者达到规模需评估）；②经专业机构认证；③取得个人单独同意（特定情形）；④符合国家数据出境规定；⑤向监管机构备案（部分情况）；⑥不得危害国家安全、公共利益及个人权益。六、讨论题答案1.企业平衡合理利用与权益保护的方法①遵循“目的限制、必要最小化”：仅收集必要信息，用于约定目的；②透明化：制定清晰隐私政策，明确处理规则；③安全保障：采取加密、访问控制等技术措施；④响应权利：及时处理个人查阅、删除等请求；⑤合规评估：定期检查处理活动是否合法；⑥合理利用：如用户画像需征得同意，不用于歧视。核心是合法合规下实现信息价值与权益共赢。2.GDPR与我国个保法的权利异同相同点：均规定查阅复制、更正、删除、异议等核心