個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法試卷試題及答案一、單項(xiàng)選擇題（每題2分，共20分）1.根據(jù)《個(gè)人信息保護(hù)法》及相關(guān)規(guī)定，個(gè)人信息處理者開展合規(guī)審計(jì)時(shí)，重點(diǎn)不應(yīng)審查以下哪項(xiàng)內(nèi)容？A.個(gè)人信息處理的合法性基礎(chǔ)（如用戶同意、合法權(quán)益等）B.個(gè)人信息存儲(chǔ)期限是否符合“最小必要”原則C.員工個(gè)人社交媒體使用情況D.個(gè)人信息跨境傳輸?shù)暮弦?guī)性（如通過安全評(píng)估或認(rèn)證）2.某企業(yè)擬開展年度個(gè)人信息保護(hù)合規(guī)審計(jì)，其審計(jì)計(jì)劃中無需包含的內(nèi)容是：A.審計(jì)范圍（覆蓋的業(yè)務(wù)系統(tǒng)、部門及個(gè)人信息類型）B.審計(jì)組成員的績(jī)效考核目標(biāo)C.審計(jì)方法（如文檔審查、系統(tǒng)測(cè)試、人員訪談）D.審計(jì)時(shí)間安排（啟動(dòng)、實(shí)施、報(bào)告階段節(jié)點(diǎn)）3.關(guān)于合規(guī)審計(jì)的責(zé)任主體，正確的表述是：A.由企業(yè)IT部門獨(dú)立負(fù)責(zé)，無需其他部門參與B.應(yīng)當(dāng)由個(gè)人信息保護(hù)負(fù)責(zé)人或獨(dú)立于個(gè)人信息處理部門的機(jī)構(gòu)/人員實(shí)施C.可委托外部第三方機(jī)構(gòu)，但企業(yè)無需保留內(nèi)部審計(jì)記錄D.由企業(yè)法務(wù)部門負(fù)責(zé)，僅需審查合同條款合規(guī)性4.個(gè)人信息處理者在發(fā)生較大規(guī)模個(gè)人信息泄露事件后，應(yīng)當(dāng)在多長(zhǎng)時(shí)間內(nèi)啟動(dòng)專項(xiàng)合規(guī)審計(jì)？A.7個(gè)工作日內(nèi)B.15個(gè)工作日內(nèi)C.30個(gè)自然日內(nèi)D.無需專項(xiàng)審計(jì)，僅需整改5.合規(guī)審計(jì)報(bào)告中必須包含的內(nèi)容不包括：A.審計(jì)發(fā)現(xiàn)的問題（如超范圍收集、未履行告知義務(wù)等）B.對(duì)相關(guān)責(zé)任人員的行政處罰決定C.針對(duì)問題的整改建議（如完善授權(quán)流程、加強(qiáng)加密措施）D.審計(jì)結(jié)論（是否符合個(gè)人信息保護(hù)相關(guān)法規(guī)要求）6.以下哪項(xiàng)不屬于合規(guī)審計(jì)中“個(gè)人信息處理活動(dòng)記錄”的審查范圍？A.個(gè)人信息收集的具體字段及來源（如用戶主動(dòng)填寫、第三方共享）B.個(gè)人信息處理的目的、方式（如分析、共享、刪除）C.信息系統(tǒng)日志中用戶登錄及操作記錄D.企業(yè)年度財(cái)務(wù)報(bào)表中的數(shù)據(jù)相關(guān)支出7.某電商平臺(tái)擬向境外母公司傳輸用戶購(gòu)物記錄，合規(guī)審計(jì)需重點(diǎn)驗(yàn)證的文件不包括：A.與境外接收方簽訂的個(gè)人信息出境標(biāo)準(zhǔn)合同B.國(guó)家網(wǎng)信部門對(duì)跨境傳輸?shù)陌踩u(píng)估通過文件C.用戶針對(duì)跨境傳輸?shù)膯为?dú)同意記錄D.企業(yè)內(nèi)部關(guān)于數(shù)據(jù)跨境的風(fēng)險(xiǎn)評(píng)估報(bào)告8.合規(guī)審計(jì)中對(duì)“用戶權(quán)利保障”的審查，不包括以下哪項(xiàng)？A.用戶查詢、復(fù)制個(gè)人信息的申請(qǐng)?zhí)幚頃r(shí)效（是否在15個(gè)工作日內(nèi)響應(yīng)）B.用戶要求刪除個(gè)人信息時(shí)，企業(yè)是否已同步刪除關(guān)聯(lián)備份數(shù)據(jù)C.用戶投訴渠道的公示情況（如官網(wǎng)是否列明郵箱、電話）D.用戶注冊(cè)時(shí)設(shè)置的密碼復(fù)雜度要求9.關(guān)于合規(guī)審計(jì)的頻率，正確的要求是：A.僅需在企業(yè)首次處理個(gè)人信息前開展一次B.處理敏感個(gè)人信息的，每年至少審計(jì)一次；其他情形每?jī)赡曛辽僖淮蜟.由企業(yè)自行決定，無需遵循固定頻率D.發(fā)生數(shù)據(jù)泄露事件后，需每季度審計(jì)一次10.合規(guī)審計(jì)中發(fā)現(xiàn)企業(yè)未對(duì)收集的兒童個(gè)人信息采取特殊保護(hù)措施（如未取得監(jiān)護(hù)人同意），審計(jì)結(jié)論應(yīng)認(rèn)定為：A.符合要求，因兒童個(gè)人信息與普通用戶無差異B.基本符合，僅需補(bǔ)充監(jiān)護(hù)人同意流程C.不符合，違反《個(gè)人信息保護(hù)法》對(duì)敏感個(gè)人信息的特別規(guī)定D.無法判定，需進(jìn)一步收集證據(jù)二、判斷題（每題2分，共20分。正確打“√”，錯(cuò)誤打“×”）1.合規(guī)審計(jì)僅需審查技術(shù)措施（如加密、訪問控制），無需關(guān)注管理制度（如授權(quán)流程、培訓(xùn)記錄）。（）2.個(gè)人信息處理者委托第三方開展審計(jì)的，需對(duì)第三方的資質(zhì)和獨(dú)立性進(jìn)行評(píng)估，并保留審計(jì)過程記錄。（）3.用戶撤回同意后，企業(yè)無需在審計(jì)中關(guān)注已收集個(gè)人信息的處理情況，因用戶已放棄權(quán)利。（）4.合規(guī)審計(jì)報(bào)告需由審計(jì)負(fù)責(zé)人簽字，無需向企業(yè)主要負(fù)責(zé)人匯報(bào)。（）5.處理10萬人以上個(gè)人信息的個(gè)人信息處理者，應(yīng)當(dāng)指定個(gè)人信息保護(hù)負(fù)責(zé)人，并將其姓名、聯(lián)系方式通過官網(wǎng)等方式公示，這屬于審計(jì)的重點(diǎn)內(nèi)容。（）6.審計(jì)中發(fā)現(xiàn)企業(yè)將用戶手機(jī)號(hào)用于精準(zhǔn)營(yíng)銷，但未在隱私政策中明確說明，屬于“未履行告知義務(wù)”的違規(guī)行為。（）7.合規(guī)審計(jì)可以僅抽樣審查部分個(gè)人信息處理活動(dòng)，無需覆蓋全部業(yè)務(wù)場(chǎng)景。（）8.企業(yè)因業(yè)務(wù)需要合并個(gè)人信息處理系統(tǒng)時(shí)，無需針對(duì)合并后的系統(tǒng)額外開展審計(jì)。（）9.審計(jì)中需驗(yàn)證個(gè)人信息的刪除是否實(shí)現(xiàn)“不可恢復(fù)”（如物理刪除或徹底覆蓋），而非僅從前端界面隱藏。（）10.個(gè)人信息保護(hù)合規(guī)審計(jì)的目的是確保符合《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》等法規(guī)要求，無需考慮行業(yè)自律規(guī)范。（）三、簡(jiǎn)答題（每題10分，共30分）1.簡(jiǎn)述個(gè)人信息保護(hù)合規(guī)審計(jì)的主要步驟。2.合規(guī)審計(jì)中，對(duì)“個(gè)人信息處理目的的合法性”應(yīng)重點(diǎn)審查哪些內(nèi)容？3.某金融機(jī)構(gòu)擬委托第三方機(jī)構(gòu)開展合規(guī)審計(jì)，需注意哪些合規(guī)要點(diǎn)？四、案例分析題（30分）某在線教育平臺(tái)（用戶超500萬，收集信息包括姓名、手機(jī)號(hào)、課程學(xué)習(xí)記錄、支付信息）近期收到用戶投訴，稱其在未明確告知的情況下將用戶學(xué)習(xí)數(shù)據(jù)共享給第三方廣告公司。平臺(tái)擬啟動(dòng)合規(guī)審計(jì)。問題：（1）請(qǐng)列出審計(jì)過程中需重點(diǎn)審查的5項(xiàng)內(nèi)容。（2）若審計(jì)發(fā)現(xiàn)平臺(tái)確實(shí)存在未告知且未取得用戶同意的共享行為，應(yīng)提出哪些整改建議？答案一、單項(xiàng)選擇題1.C（員工社交媒體使用與個(gè)人信息處理活動(dòng)無關(guān)）2.B（審計(jì)計(jì)劃不包含成員績(jī)效考核目標(biāo)）3.B（需獨(dú)立于處理部門的機(jī)構(gòu)/人員實(shí)施）4.A（7個(gè)工作日內(nèi)啟動(dòng)專項(xiàng)審計(jì)）5.B（審計(jì)報(bào)告不包含行政處罰決定，僅提出整改建議）6.D（財(cái)務(wù)報(bào)表不屬于個(gè)人信息處理活動(dòng)記錄）7.D（內(nèi)部風(fēng)險(xiǎn)評(píng)估報(bào)告非必須驗(yàn)證文件）8.D（密碼復(fù)雜度屬于賬號(hào)安全，非用戶權(quán)利保障）9.B（敏感信息每年一次，其他每?jī)赡暌淮危?0.C（違反敏感個(gè)人信息特殊保護(hù)規(guī)定）二、判斷題1.×（需同時(shí)審查技術(shù)和管理措施）2.√（需評(píng)估第三方資質(zhì)并保留記錄）3.×（需審查撤回同意后的信息刪除情況）4.×（需向主要負(fù)責(zé)人匯報(bào)）5.√（屬于審計(jì)重點(diǎn)）6.√（未明確說明用途違反告知義務(wù)）7.×（需覆蓋全部處理活動(dòng)或合理抽樣并說明）8.×（系統(tǒng)合并需額外審計(jì)）9.√（需驗(yàn)證不可恢復(fù)性）10.×（需同時(shí)符合行業(yè)規(guī)范）三、簡(jiǎn)答題1.主要步驟：①審計(jì)準(zhǔn)備（制定計(jì)劃、組建團(tuán)隊(duì)、收集資料）；②審計(jì)實(shí)施（文檔審查、系統(tǒng)測(cè)試、人員訪談、現(xiàn)場(chǎng)檢查）；③問題確認(rèn)（與被審計(jì)部門核對(duì)發(fā)現(xiàn)的問題）；④報(bào)告編制（總結(jié)問題、提出建議）；⑤跟蹤整改（監(jiān)督整改措施落實(shí)）。2.重點(diǎn)審查：①處理目的是否具體、明確，是否與隱私政策聲明一致；②是否符合“最小必要”原則（如收集的信息類型是否超出實(shí)現(xiàn)目的所需）；③是否存在將個(gè)人信息用于與原聲明目的無關(guān)的場(chǎng)景（如將注冊(cè)信息用于營(yíng)銷需額外同意）；④處理目的變更時(shí)，是否重新取得用戶同意（如從“提供服務(wù)”變更為“數(shù)據(jù)分析”）。3.需注意：①第三方機(jī)構(gòu)的資質(zhì)（如是否具備數(shù)據(jù)安全審計(jì)經(jīng)驗(yàn)、是否獨(dú)立于平臺(tái)利益相關(guān)方）；②簽訂保密協(xié)議，明確第三方對(duì)個(gè)人信息的保護(hù)責(zé)任；③監(jiān)督審計(jì)過程（如參與關(guān)鍵環(huán)節(jié)討論）；④要求第三方提交詳細(xì)審計(jì)工作底稿；⑤平臺(tái)需保留對(duì)審計(jì)結(jié)論的最終確認(rèn)權(quán)，不能完全依賴第三方報(bào)告。四、案例分析題（1）重點(diǎn)審查內(nèi)容：①隱私政策中關(guān)于數(shù)據(jù)共享的告知條款（是否明確共享對(duì)象、目的、方式）；②用戶同意記錄（是否就共享行為取得單獨(dú)同意）；③數(shù)據(jù)共享的具體流程（如是否通過加密傳輸、接收方的安全能力評(píng)估記錄）；④第三方廣告公司的個(gè)人信息處理協(xié)議（是否約定數(shù)據(jù)使用范圍及保密義務(wù)）；⑤用戶投訴處理記錄（是否對(duì)投訴及時(shí)響應(yīng)并調(diào)查）。（2）整改建議：