個(gè)人信息保護(hù)工程師筆試試題一、單項(xiàng)選擇題（每題2分，共20分）根據(jù)《個(gè)人信息保護(hù)法》，在處理不滿____周歲未成年人個(gè)人信息前，個(gè)人信息處理者應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護(hù)人的同意。A.12B.14C.16D.18以下哪種情形不屬于《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南—個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范》中個(gè)人信息跨境傳輸?shù)暮戏窂剑緼.通過國家網(wǎng)信部門組織的數(shù)據(jù)出境安全評(píng)估B.按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證C.個(gè)人信息處理者與接收方訂立個(gè)人信息出境標(biāo)準(zhǔn)合同D.企業(yè)內(nèi)部集團(tuán)間直接傳輸關(guān)于個(gè)人信息匿名化，正確的表述是（）。A.匿名化處理后的數(shù)據(jù)可以通過一定技術(shù)手段復(fù)原個(gè)人信息B.匿名化是指?jìng)€(gè)人信息經(jīng)過處理無法識(shí)別特定自然人且不能復(fù)原C.匿名化處理后的數(shù)據(jù)不屬于個(gè)人信息，但受一定保護(hù)D.匿名化處理僅需去除姓名、身份證號(hào)等直接標(biāo)識(shí)信息依據(jù)《信息安全技術(shù)個(gè)人信息安全規(guī)范》，個(gè)人信息主體對(duì)其個(gè)人信息享有多項(xiàng)權(quán)利，當(dāng)個(gè)人信息主體發(fā)現(xiàn)其個(gè)人信息不準(zhǔn)確或不完整時(shí)，可行使（）。A.知情權(quán)B.決定權(quán)C.更正權(quán)D.刪除權(quán)在個(gè)人信息保護(hù)影響評(píng)估中，對(duì)于處理敏感個(gè)人信息的情形，評(píng)估頻率應(yīng)為（）。A.每年至少一次B.每?jī)赡曛辽僖淮蜟.每次處理前D.每季度至少一次以下哪項(xiàng)不是《數(shù)據(jù)出境安全評(píng)估申報(bào)指南（第一版）》規(guī)定的數(shù)據(jù)出境安全評(píng)估申報(bào)情形？A.數(shù)據(jù)處理者向境外提供重要數(shù)據(jù)B.關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和處理100萬人以上個(gè)人信息的數(shù)據(jù)處理者向境外提供個(gè)人信息C.自上年1月1日起累計(jì)向境外提供10萬人個(gè)人信息或者1萬人敏感個(gè)人信息的數(shù)據(jù)處理者向境外提供個(gè)人信息D.企業(yè)內(nèi)部日常業(yè)務(wù)數(shù)據(jù)傳輸至境外分支機(jī)構(gòu)《個(gè)人信息保護(hù)法》規(guī)定，個(gè)人信息處理者處理不滿十四周歲未成年人個(gè)人信息的，應(yīng)當(dāng)制定專門的個(gè)人信息處理規(guī)則，該規(guī)則不包括（）。A.處理目的B.處理方式C.監(jiān)護(hù)人聯(lián)系方式D.個(gè)人信息的種類當(dāng)個(gè)人信息處理者發(fā)生個(gè)人信息泄露事件時(shí)，按照相關(guān)法規(guī)要求，應(yīng)在發(fā)現(xiàn)泄露事件后的（）小時(shí)內(nèi)向履行個(gè)人信息保護(hù)職責(zé)的部門報(bào)告。A.6B.12C.24D.48在個(gè)人信息跨境傳輸中，標(biāo)準(zhǔn)合同條款中不涉及的內(nèi)容是（）。A.數(shù)據(jù)主體權(quán)利B.數(shù)據(jù)接收方所在國家或地區(qū)的安全環(huán)境C.數(shù)據(jù)處理目的D.違約責(zé)任依據(jù)《信息安全技術(shù)數(shù)據(jù)出境安全評(píng)估指南》，數(shù)據(jù)出境安全評(píng)估工作流程不包括（）。A.自評(píng)估B.申報(bào)C.專家評(píng)審D.數(shù)據(jù)清理二、多項(xiàng)選擇題（每題3分，共30分，少選得1分，選錯(cuò)不得分）《個(gè)人信息保護(hù)法》規(guī)定的個(gè)人信息處理者的義務(wù)包括（）。A.遵循合法、正當(dāng)、必要和誠信原則B.公開個(gè)人信息處理規(guī)則C.對(duì)個(gè)人信息實(shí)行分類管理D.采取相應(yīng)的加密、去標(biāo)識(shí)化等安全技術(shù)措施E.定期刪除所有個(gè)人信息以下屬于敏感個(gè)人信息的有（）。A.生物識(shí)別信息B.宗教信仰信息C.行蹤軌跡信息D.電子郵箱地址E.收入信息個(gè)人信息保護(hù)影響評(píng)估應(yīng)重點(diǎn)評(píng)估的內(nèi)容包括（）。A.個(gè)人信息處理活動(dòng)對(duì)個(gè)人權(quán)益的影響及風(fēng)險(xiǎn)B.所采取的保護(hù)措施的合法性、有效性和必要性C.處理敏感個(gè)人信息的必要性和合法性D.個(gè)人信息處理活動(dòng)的目的和方式是否合法、正當(dāng)、必要E.數(shù)據(jù)接收方的信譽(yù)和能力依據(jù)《數(shù)據(jù)出境安全評(píng)估申報(bào)指南》，數(shù)據(jù)處理者在進(jìn)行數(shù)據(jù)出境安全評(píng)估申報(bào)時(shí)，需提交的材料包括（）。A.數(shù)據(jù)出境安全評(píng)估申報(bào)書B.數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估報(bào)告C.數(shù)據(jù)出境合同或其他具有法律效力的文件D.數(shù)據(jù)處理者與數(shù)據(jù)接收方的營業(yè)執(zhí)照E.個(gè)人信息主體同意書關(guān)于個(gè)人信息刪除權(quán)，符合相關(guān)法規(guī)要求的表述有（）。A.個(gè)人信息處理目的已實(shí)現(xiàn)，個(gè)人信息主體可要求刪除B.個(gè)人信息處理違反法律、行政法規(guī)或者違反約定處理個(gè)人信息，個(gè)人信息主體有權(quán)請(qǐng)求刪除C.個(gè)人信息處理者必須立即刪除個(gè)人信息主體要求刪除的信息D.法律、行政法規(guī)規(guī)定的保存期限未屆滿，或者刪除個(gè)人信息從技術(shù)上難以實(shí)現(xiàn)的，個(gè)人信息處理者可以不刪除，但應(yīng)當(dāng)停止除存儲(chǔ)和采取必要的安全保護(hù)措施之外的處理E.個(gè)人信息主體撤回同意后，個(gè)人信息處理者應(yīng)刪除相關(guān)個(gè)人信息《信息安全技術(shù)個(gè)人信息安全規(guī)范》中規(guī)定的個(gè)人信息控制者在收集個(gè)人信息時(shí)應(yīng)遵循的原則有（）。A.最小必要原則B.公開透明原則C.合法性原則D.知情同意原則E.目的明確原則在個(gè)人信息保護(hù)工作中，常見的安全技術(shù)措施包括（）。A.訪問控制B.數(shù)據(jù)加密C.數(shù)據(jù)備份與恢復(fù)D.日志審計(jì)E.去標(biāo)識(shí)化處理以下關(guān)于個(gè)人信息跨境傳輸安全認(rèn)證的說法，正確的有（）。A.通過認(rèn)證的個(gè)人信息處理者可以在一定范圍內(nèi)進(jìn)行個(gè)人信息跨境傳輸B.認(rèn)證有效期一般為三年C.認(rèn)證機(jī)構(gòu)需對(duì)認(rèn)證活動(dòng)和結(jié)果的真實(shí)性、準(zhǔn)確性負(fù)責(zé)D.個(gè)人信息處理者在認(rèn)證有效期內(nèi)發(fā)生重大變化的，應(yīng)及時(shí)向認(rèn)證機(jī)構(gòu)報(bào)告E.認(rèn)證通過后，個(gè)人信息處理者無需再進(jìn)行其他安全評(píng)估依據(jù)《個(gè)人信息保護(hù)法》，個(gè)人信息處理者處理個(gè)人信息存在以下哪些情形時(shí)，個(gè)人信息主體有權(quán)依法請(qǐng)求個(gè)人信息處理者承擔(dān)民事責(zé)任？（）A.違反法律、行政法規(guī)的規(guī)定處理個(gè)人信息B.違反雙方的約定處理個(gè)人信息C.因個(gè)人信息處理者的過錯(cuò)導(dǎo)致個(gè)人信息泄露、篡改、丟失D.個(gè)人信息處理者超出處理目的處理個(gè)人信息E.個(gè)人信息處理者將個(gè)人信息提供給第三方個(gè)人信息保護(hù)相關(guān)的國際標(biāo)準(zhǔn)和框架包括（）。A.ISO/IEC29100:2011《信息技術(shù)安全技術(shù)隱私框架》B.OECD《隱私保護(hù)與個(gè)人數(shù)據(jù)跨境流動(dòng)指南》C.GDPR（《通用數(shù)據(jù)保護(hù)條例》）D.APEC跨境隱私規(guī)則（CBPR）E.CCPA（《加州消費(fèi)者隱私法案》）三、判斷題（每題2分，共20分）只要獲得個(gè)人信息主體的同意，個(gè)人信息處理者就可以隨意處理其個(gè)人信息。（）去標(biāo)識(shí)化處理后的信息不屬于個(gè)人信息。（）關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者向境外提供個(gè)人信息，必須通過國家網(wǎng)信部門組織的數(shù)據(jù)出境安全評(píng)估。（）個(gè)人信息保護(hù)影響評(píng)估只需在個(gè)人信息處理活動(dòng)開始前進(jìn)行一次。（）個(gè)人信息處理者可以將其收集的個(gè)人信息存儲(chǔ)在境外服務(wù)器上，無需任何審批。（）敏感個(gè)人信息的處理必須取得個(gè)人的單獨(dú)同意。（）當(dāng)個(gè)人信息主體撤回同意后，個(gè)人信息處理者應(yīng)立即刪除相關(guān)個(gè)人信息，無法刪除的需停止處理并采取必要措施。（）數(shù)據(jù)出境安全評(píng)估申報(bào)僅適用于數(shù)據(jù)處理者向境外提供重要數(shù)據(jù)的情形。（）個(gè)人信息處理者制定的個(gè)人信息處理規(guī)則無需向個(gè)人信息主體公開。（）ISO/IEC29100標(biāo)準(zhǔn)為全球個(gè)人信息保護(hù)提供了通用的隱私框架。（）四、簡(jiǎn)答題（每題10分，共30分）簡(jiǎn)述個(gè)人信息保護(hù)影響評(píng)估（PIA）的主要流程及核心評(píng)估內(nèi)容。結(jié)合《個(gè)人信息保護(hù)法》及相關(guān)標(biāo)準(zhǔn)，闡述個(gè)人信息處理者在個(gè)人信息跨境傳輸時(shí)可采用的合法路徑及其具體要求。分析個(gè)人信息主體在個(gè)人信息處理活動(dòng)中享有的主要權(quán)利，并說明個(gè)人信息處理者應(yīng)如何保障這些權(quán)利的實(shí)現(xiàn)。個(gè)人信息保護(hù)工程師筆試試題答案一、單項(xiàng)選擇題B2.D3.B4.C5.C6.D7.C8.C9.B10.D二、多項(xiàng)選擇題ABCD2.ABCE3.ABCDE4.ABC5.ABDE6.ABCDE7.ABCDE8.ABCD9.ABCD10.ABCDE三、判斷題×2.×3.√4.×5.×6.√7.√8.×9.×10.√四、簡(jiǎn)答題個(gè)人信息保護(hù)影響評(píng)估（PIA）主要流程：首先確定評(píng)估范圍和對(duì)象，明確需評(píng)估的個(gè)人信息處理活動(dòng)；然后開展風(fēng)險(xiǎn)識(shí)別，分析處理活動(dòng)對(duì)個(gè)人權(quán)益的影響及可能產(chǎn)生的風(fēng)險(xiǎn)；接著進(jìn)行風(fēng)險(xiǎn)分析與評(píng)價(jià)，判斷風(fēng)險(xiǎn)的嚴(yán)重程度和可能性；之后提出風(fēng)險(xiǎn)處置措施，針對(duì)高風(fēng)險(xiǎn)活動(dòng)制定降低風(fēng)險(xiǎn)的方案；最后形成評(píng)估報(bào)告，記錄整個(gè)評(píng)估過程和結(jié)果，并定期對(duì)評(píng)估內(nèi)容進(jìn)行復(fù)查。核心評(píng)估內(nèi)容：包括個(gè)人信息處理活動(dòng)的目的和方式是否合法、正當(dāng)、必要；處理敏感個(gè)人信息的必要性和合法性；個(gè)人信息處理活動(dòng)對(duì)個(gè)人權(quán)益的影響及風(fēng)險(xiǎn)，如是否會(huì)導(dǎo)致個(gè)人信息泄露、濫用、歧視性處理等；所采取的保護(hù)措施的合法性、有效性和必要性，確保措施能夠切實(shí)保障個(gè)人信息安全。合法路徑及要求：通過國家網(wǎng)信部門組織的數(shù)據(jù)出境安全評(píng)估：適用于數(shù)據(jù)處理者向境外提供重要數(shù)據(jù)；關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和處理100萬人以上個(gè)人信息的數(shù)據(jù)處理者向境外提供個(gè)人信息；自上年1月1日起累計(jì)向境外提供10萬人個(gè)人信息或者1萬人敏感個(gè)人信息的數(shù)據(jù)處理者向境外提供個(gè)人信息等情形。數(shù)據(jù)處理者需提前開展自評(píng)估，準(zhǔn)備申報(bào)材料，如數(shù)據(jù)出境安全評(píng)估申報(bào)書、風(fēng)險(xiǎn)自評(píng)估報(bào)告等，經(jīng)國家網(wǎng)信部門評(píng)估通過后，方可進(jìn)行數(shù)據(jù)出境。按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證：個(gè)人信息處理者需向具備資質(zhì)的認(rèn)證機(jī)構(gòu)提出申請(qǐng)，認(rèn)證機(jī)構(gòu)對(duì)個(gè)人信息處理者的處理活動(dòng)、保護(hù)措施等進(jìn)行審核，通過認(rèn)證后，個(gè)人信息處理者可在認(rèn)證范圍內(nèi)進(jìn)行個(gè)人信息跨境傳輸。認(rèn)證有效期內(nèi)，若發(fā)生重大變化需及時(shí)報(bào)告。個(gè)人信息處理者與接收方訂立個(gè)人信息出境標(biāo)準(zhǔn)合同：個(gè)人信息處理者需與境外接收方簽訂符合國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同條款，合同應(yīng)明確數(shù)據(jù)主體權(quán)利、數(shù)據(jù)處理目的、處理方式、違約責(zé)任等內(nèi)容，確保境外接收方對(duì)個(gè)人信息的保護(hù)水平不低于境內(nèi)要求。個(gè)人信息主體主要權(quán)利：知情權(quán)：有權(quán)知道個(gè)人信息處理者處理其個(gè)人信息的規(guī)則、目的、方式等。決定權(quán)：可自主決定是否向個(gè)人信息處理者提供個(gè)人信息，以及是否同意處理者的處理活動(dòng)。查閱權(quán)：能夠查閱自己的個(gè)人信息。復(fù)制權(quán)：可請(qǐng)求復(fù)制其個(gè)人信息。更正權(quán)：發(fā)現(xiàn)個(gè)人信息不準(zhǔn)確或不完整時(shí)，有權(quán)要求更正。刪除權(quán)：在特定情形下