2025年个人信息保护合规管理员内部技能考核试卷及答案

2025年个人信息保护合规管理员内部技能考核试卷及答案一、单项选择题（每题2分，共20分）1.根据《个人信息保护法》，下列哪项不属于“个人信息”的范畴？A.某用户的手机号码B.经算法加工后可单独识别特定自然人的购物偏好数据C.已公开的企业工商登记信息（不含自然人身份信息）D.某患者的电子病历号（与身份证号关联）2.个人信息处理者通过自动化决策方式向个人进行信息推送、商业营销时，应当保障个人的哪项权利？A.要求解释权B.更正补充权C.复制权D.删除权3.处理不满十四周岁未成年人个人信息的，应当取得其父母或其他监护人的同意，且需制定专门的个人信息处理规则。该规定出自哪部法律？A.《数据安全法》B.《个人信息保护法》C.《网络安全法》D.《儿童个人信息网络保护规定》4.个人信息跨境传输时，若采用“标准合同”方式，个人信息处理者应当在合同签订后多少个工作日内向省级网信部门备案？A.10B.15C.20D.305.发生个人信息泄露事件后，个人信息处理者应当立即采取补救措施，并在多长时间内向履行个人信息保护职责的部门报告？A.24小时B.48小时C.3个工作日D.7个工作日6.某金融机构拟收集用户的“婚姻状况”信息用于风险评估，根据“最小必要”原则，下列哪项做法最合规？A.直接收集并存储用户婚姻状况、配偶职业等详细信息B.仅收集“是否已婚”字段，且明确告知用途C.要求用户提供结婚证扫描件作为验证依据D.通过第三方平台获取用户婚姻登记档案信息7.下列哪项技术处理后的信息不属于“匿名化”信息？A.对用户姓名进行哈希处理，且无法通过其他信息复原B.将用户身份证号分段打乱并删除出生年月部分C.对用户地址信息仅保留“XX省”层级，删除具体街道D.结合用户手机号、姓名、地址提供唯一编码，但编码无实际意义8.个人信息处理者向第三方提供个人信息时，若第三方变更处理目的，应当履行的核心义务是？A.无需额外操作，因已取得初始同意B.重新取得个人单独同意C.书面通知第三方限制处理范围D.在隐私政策中增加“第三方可自行调整处理目的”条款9.个人信息保护合规审计的周期一般不超过？A.半年B.1年C.2年D.3年10.某APP在用户注册时默认勾选“同意隐私政策”，但未提供单独拒绝选项。该行为违反了《个人信息保护法》的哪项原则？A.公开透明原则B.最小必要原则C.自愿原则D.目的明确原则二、多项选择题（每题3分，共30分，少选、错选均不得分）1.个人信息处理者应当履行的法定义务包括？A.制定并公开个人信息处理规则B.对个人信息处理活动定期开展合规审计C.设立个人信息保护负责人（处理规模超过一定数量时）D.对员工进行个人信息保护培训2.下列属于“敏感个人信息”的有？A.15周岁未成年人的学习轨迹数据B.某用户的宗教信仰C.某患者的基因检测结果D.某公务员的职务级别3.个人信息处理者向个人告知相关事项时，应当包含的内容有？A.个人信息的处理目的、方式B.个人信息的保存期限C.个人行使权利的方式和程序D.个人信息处理者的联系方式4.个人信息跨境传输的合法路径包括？A.通过国家网信部门组织的安全评估B.经专业机构进行个人信息保护认证C.与境外接收方签订标准合同D.按照我国缔结或参加的国际条约、协定执行5.发生个人信息泄露事件后，个人信息处理者应当采取的措施包括？A.立即暂停相关系统运行B.评估泄露信息的类型、数量及可能的危害C.通知可能受影响的个人（若危害较大）D.向社会公开事件详情及处理进展6.处理儿童个人信息时，除取得监护人同意外，还需满足的特殊要求有？A.制定专门的儿童个人信息处理规则B.明确告知儿童及其监护人处理的必要性C.提供便捷的儿童个人信息删除和账号注销功能D.定期对儿童个人信息处理活动进行安全评估7.去标识化处理的技术措施应满足的要求有？A.无法通过现有技术手段单独识别特定自然人B.结合其他信息仍可能识别时需明确告知C.处理后信息的保存期限应短于原始个人信息D.确保去标识化信息与原始个人信息的关联关系被切断8.与第三方合作处理个人信息时，个人信息处理者应当审查的内容包括？A.第三方的个人信息保护能力B.第三方处理个人信息的目的、范围C.第三方的违约责任条款D.第三方的业务规模和市场占有率9.确定个人信息保存期限时，应当考虑的因素有？A.法律、行政法规规定的保存期限B.个人信息处理目的的实现所需时间C.个人信息的类型和敏感程度D.存储成本和技术可行性10.个人信息保护培训的内容应至少包括？A.相关法律法规及内部合规制度B.个人信息泄露的风险点及防范措施C.个人信息处理系统的操作规范D.个人信息权益响应流程（如投诉、删除请求处理）三、判断题（每题1分，共10分，正确填“√”，错误填“×”）1.匿名化后的信息不属于《个人信息保护法》的调整范围。（）2.个人信息处理者可以将“同意隐私政策”作为注册使用服务的唯一条件。（）3.处理已公开的个人信息无需取得个人同意。（）4.敏感个人信息的处理只需在隐私政策中告知即可，无需取得单独同意。（）5.个人信息跨境传输时，若境外接收方所在国的个人信息保护水平高于我国，则无需进行安全评估。（）6.个人信息泄露事件报告应当包括泄露的原因、影响范围及已采取的补救措施。（）7.儿童个人信息的处理规则可以与成人信息处理规则合并表述，无需单独说明。（）8.个人信息处理者委托第三方处理个人信息的，应当与受托方签订书面协议，明确双方的权利义务。（）9.个人要求查阅、复制其个人信息的，个人信息处理者可以收取合理的成本费用。（）10.个人信息保护合规审计报告无需向内部员工公开，只需提交管理层即可。（）四、简答题（每题6分，共30分）1.简述《个人信息保护法》规定的个人信息处理“五大基本原则”及其核心要求。2.列举个人信息处理中“告知-同意”机制的具体要求（至少5项）。3.处理敏感个人信息时，除一般告知同意外，还需满足哪些特殊合规要求？4.个人信息跨境传输“标准合同”与“安全评估”两种路径的主要区别是什么？5.请描述个人信息泄露事件的应急响应流程（需包含关键步骤）。五、案例分析题（每题10分，共20分）案例1：某电商平台因系统漏洞导致50万用户的姓名、手机号、收货地址泄露，其中包含2000名13周岁以下儿童的信息。平台发现泄露后，未立即通知用户，仅在3日后向属地网信部门提交了书面报告，报告中未说明儿童信息泄露的具体情况。问题：分析该平台的违规行为及法律依据，并提出整改措施。案例2：某医疗类APP在用户注册时要求填写身份证号、血型、过敏史等信息，隐私政策中仅笼统表述“为提供健康管理服务需要收集必要信息”，未明确说明过敏史的具体用途；用户拒绝提供身份证号时，APP提示“不提供将无法使用任何功能”。问题：指出该APP的合规缺陷，并说明依据的法律条款。答案一、单项选择题1.C（《个人信息保护法》第4条，个人信息需与已识别或可识别的自然人关联，企业工商信息不含自然人身份信息时不属于）2.A（《个人信息保护法》第24条，自动化决策应保障个人的拒绝权和要求解释权）3.B（《个人信息保护法》第31条，明确不满十四周岁未成年人的特殊规则）4.D（《个人信息出境标准合同规定》第11条，备案时限为30个工作日）5.B（《个人信息保护法》第57条，一般需48小时内报告，紧急情况立即报告）6.B（“最小必要”要求收集范围与处理目的直接相关且最小，仅收集“是否已婚”符合要求）7.D（匿名化需无法通过任何方式复原，D选项的编码仍可能关联原始信息）8.B（《个人信息保护法》第23条，第三方变更处理目的需重新取得单独同意）9.B（《个人信息保护合规审计管理办法（试行）》建议周期不超过1年）10.C（《个人信息保护法》第14条，同意需基于个人自愿，默认勾选违反自愿原则）二、多项选择题1.ABCD（《个人信息保护法》第5、18、51、52条）2.ABC（《个人信息保护法》第28条，敏感信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等，14周岁以下未成年人信息视为敏感）3.ABCD（《个人信息保护法》第17条，告知内容需包括处理目的、方式、保存期限、权利行使方式及处理者联系方式）4.ABCD（《个人信息保护法》第38条，明确四种合法路径）5.BC（《个人信息保护法》第57条，需评估危害、采取补救措施，危害较大时通知个人；无需暂停系统运行，公开详情需视情况）6.ABCD（《儿童个人信息网络保护规定》第8、9、10条）7.AB（GB/T35273-2020，去标识化允许结合其他信息识别时需告知，无需切断所有关联）8.ABC（《个人信息保护法》第23条，需审查第三方的处理能力、目的范围及责任条款）9.ABC（《个人信息保护法》第19条，保存期限应“为实现处理目的所必要的最短时间”，需考虑法律规定、目的实现时间及信息敏感程度）10.ABCD（《个人信息保护法》第52条，培训需覆盖法规、风险防范、操作规范及权益响应）三、判断题1.√（《个人信息保护法》第4条，匿名化信息无法识别自然人，不属于个人信息）2.×（《个人信息保护法》第16条，不得将同意作为提供服务的唯一条件，基本功能所需信息除外）3.×（《个人信息保护法》第13条，处理已公开信息仍需符合“合理范围”，超出原公开范围需同意）4.×（《个人信息保护法》第29条，敏感信息处理需取得“单独同意”，仅告知不足）5.×（《个人信息出境安全评估办法》第4条，需综合评估接收方保护水平，而非仅比较高低）6.√（《个人信息保护法》第57条，报告需包含原因、影响及补救措施）7.×（《个人信息保护法》第31条，儿童信息处理规则需单独制定并明确告知）8.√（《个人信息保护法》第21条，委托处理需签订书面协议明确权利义务）9.√（《个人信息保护法》第49条，可收取合理成本费用）10.×（《个人信息保护合规审计管理办法（试行）》第12条，审计报告需向管理层及相关部门通报）四、简答题1.五大基本原则及核心要求：（1）合法、正当、必要和诚信原则：处理活动需符合法律规定，不得通过欺诈、误导等方式处理；（2）目的明确和最小必要原则：处理目的需明确具体，收集范围、处理方式应与目的直接相关且最小；（3）公开透明原则：处理规则需公开，告知内容真实、准确、完整；（4）确保安全原则：采取技术和管理措施保障个人信息安全；（5）主体参与原则：保障个人对其信息的查阅、复制、更正、删除等权利（《个人信息保护法》第5-9条）。2.“告知-同意”的具体要求：（1）告知需以显著方式、清晰易懂的语言作出；（2）同意需由个人主动作出，不得默认勾选或捆绑同意；（3）处理敏感个人信息需取得“单独同意”；（4）处理目的、方式、范围变更时需重新告知并取得同意；（5）通过自动化工具收集时，需提供不针对个人特征的选项（《个人信息保护法》第14-17条）。3.敏感个人信息处理的特殊要求：（1）取得个人“单独同意”（书面或其他明确方式）；（2）告知处理敏感信息的必要性及对个人权益的影响；（3）进行个人信息保护影响评估（PIPA）并留存记录；（4）采取严格的保护措施（如加密、访问控制）；（5）法律、行政法规规定的其他要求（如儿童信息需取得监护人同意）（《个人信息保护法》第29-31条）。4.标准合同与安全评估的主要区别：（1）适用范围：安全评估适用于关键信息基础设施运营者、处理100万人以上个人信息的处理者等；标准合同适用于其他一般情形；（2）程序要求：安全评估需通过国家网信部门组织的评估；标准合同需签订后向省级网信部门备案；（3）审查力度：安全评估对风险的审查更严格，需提交详细的风险自评估报告；标准合同以合同条款合规性审查为主；（4）时效性：安全评估结果有效期一般为2年；标准合同无固定有效期，变更时需重新备案（《个人信息出境安全评估办法》《个人信息出境标准合同规定》）。5.个人信息泄露应急响应流程：（1）事件发现与确认：通过监控系统或内部报告发现异常，验证泄露的真实性及范围；（2）风险评估：分析泄露信息的类型（如敏感信息占比）、可能造成的危害（如身份盗窃、诈骗风险）；（3）紧急补救：暂停相关系统功能、锁定泄露源、对剩余信息加密保护；（4）通知与危害较大时，以电话、短信等方式通知受影响个人；48小时内向属地网信部门报告（含泄露原因、影响、补救措施）；（5）后续处理：对责任部门/人员追责，更新安全措施（如修复系统漏洞），开展内部合规培训；（6）记录与复盘：留存事件处理记录至少3年，分析漏洞根源并完善应急预案（《个人信息保护法》第57条）。五、案例分析题案例1违规行为及整改措施：违规行为：（1）未及时通知用户：泄露可能危害个人