2025年個人信息保護合規(guī)管理員技能比武考核試卷及答案一、單項選擇題（每題2分，共30分）1.根據(jù)《個人信息保護法》及相關規(guī)定，以下哪項不屬于“個人信息”的范疇？A.某用戶在社交平臺發(fā)布的公開動態(tài)中的昵稱B.經(jīng)去標識化處理后仍可通過其他信息復原到特定自然人的信息組合C.某醫(yī)院電子病歷系統(tǒng)中存儲的患者就診時間、診斷結(jié)果D.某電商平臺通過用戶購物記錄分析提供的“消費偏好標簽”答案：D（解析：消費偏好標簽若無法單獨或與其他信息結(jié)合識別特定自然人，則不屬于個人信息；去標識化后仍可復原的屬于個人信息，見《個人信息保護法》第4條）2.某金融機構(gòu)擬收集用戶的生物識別信息用于身份驗證，其合規(guī)操作應優(yōu)先滿足以下哪項要求？A.通過彈窗形式告知用戶收集目的、方式，用戶點擊“同意”后收集B.向用戶書面說明收集生物識別信息的必要性，并獲得單獨書面同意C.在隱私政策中列明可能收集生物識別信息，用戶注冊即視為同意D.僅通過APP首頁公告欄提示收集生物識別信息，無需單獨確認答案：B（解析：敏感個人信息處理需取得單獨同意，生物識別屬于敏感信息，見《個人信息保護法》第29條）3.關于個人信息處理中的“最小必要原則”，以下理解正確的是？A.只需收集與服務直接相關的信息，無需考慮信息類型B.收集范圍應限于實現(xiàn)服務目的所必需的最少信息類型和最短保存期限C.可以超范圍收集用戶信息，只要未明確告知用戶不使用D.保存期限可由企業(yè)自行決定，無需與處理目的關聯(lián)答案：B（解析：最小必要原則要求信息類型、數(shù)量、保存期限均需與處理目的嚴格對應，見《個人信息保護法》第6條）4.某企業(yè)因業(yè)務需要向第三方共享用戶個人信息，以下合規(guī)操作是？A.在隱私政策中籠統(tǒng)表述“可能向合作方共享信息”，未明確具體合作方B.與第三方簽訂數(shù)據(jù)共享協(xié)議，約定其僅能在授權(quán)范圍內(nèi)處理信息C.共享前未告知用戶，僅在共享后通過站內(nèi)信通知D.共享的信息包含用戶未授權(quán)的額外字段，因“合作方要求”未做篩選答案：B（解析：共享需告知接收方名稱、處理目的等，簽訂協(xié)議明確責任，見《個人信息保護法》第23條）5.某短視頻APP擬對14周歲以下兒童的個人信息進行處理，應履行的特殊義務是？A.無需特殊處理，與成年用戶一致B.取得兒童本人同意即可C.取得兒童監(jiān)護人的同意，并制定專門的兒童個人信息處理規(guī)則D.在隱私政策中單獨說明兒童信息處理方式，但無需額外同意答案：C（解析：14周歲以下兒童個人信息處理需監(jiān)護人同意并制定專門規(guī)則，見《個人信息保護法》第31條）6.根據(jù)《數(shù)據(jù)出境安全評估辦法》，以下哪類數(shù)據(jù)出境無需申報安全評估？A.關鍵信息基礎設施運營者收集和產(chǎn)生的個人信息B.處理100萬人以上個人信息的數(shù)據(jù)處理者向境外提供個人信息C.自上年1月1日起累計向境外提供10萬人以上個人信息的數(shù)據(jù)處理者D.某中小企業(yè)向境外母公司提供內(nèi)部員工的考勤信息（僅50人）答案：D（解析：中小企業(yè)處理不足10萬人信息且非關鍵信息基礎設施運營者，無需申報，見《數(shù)據(jù)出境安全評估辦法》第3條）7.個人信息保護影響評估（PIA）的核心目的是？A.證明企業(yè)已履行告知義務B.識別處理活動中的風險并提出改進措施C.替代隱私政策的制定D.滿足監(jiān)管部門的形式要求答案：B（解析：PIA需評估風險并提出應對措施，是主動合規(guī)的核心工具，見《個人信息保護法》第55條）8.用戶要求某平臺刪除其個人信息，平臺以“數(shù)據(jù)已備份至歸檔系統(tǒng)”為由拒絕，該行為違反了？A.個人信息主體的查閱復制權(quán)B.個人信息主體的刪除權(quán)C.個人信息主體的更正權(quán)D.個人信息主體的撤回同意權(quán)答案：B（解析：用戶行使刪除權(quán)時，企業(yè)需刪除所有副本，包括歸檔數(shù)據(jù)，見《個人信息保護法》第47條）9.某企業(yè)將用戶個人信息用于算法推薦，以下合規(guī)的告知方式是？A.在隱私政策中寫明“我們可能基于您的信息進行個性化推薦”B.通過彈窗明確告知“我們將收集您的瀏覽記錄用于個性化推薦，不同意則無法使用推薦功能”C.僅在注冊頁面底部小字標注“同意即授權(quán)用于個性化推薦”D.不主動告知，默認開啟推薦功能答案：B（解析：算法推薦屬于重大處理目的變更，需明確告知并取得同意，見《個人信息保護法》第17條）10.關于匿名化處理后的信息，以下說法正確的是？A.仍需遵守個人信息保護相關規(guī)定B.可以不受限制地使用和共享C.需與原始個人信息存儲在同一系統(tǒng)中D.需定期重新進行去標識化處理答案：B（解析：匿名化信息無法識別特定自然人，不屬于個人信息，無需適用《個人信息保護法》，見《個人信息保護法》第4條）11.某醫(yī)療機構(gòu)處理患者的健康信息（敏感個人信息），以下合規(guī)的存儲要求是？A.存儲在本地服務器，未加密B.存儲于云端，僅對管理員開放訪問權(quán)限C.采用加密技術(shù)存儲，并限制訪問權(quán)限至必要人員D.與其他非敏感信息混合存儲，未做區(qū)分答案：C（解析：敏感個人信息需采取嚴格加密、訪問控制等安全措施，見《個人信息保護法》第51條）12.用戶撤回對某APP的個人信息處理同意后，該APP應？A.繼續(xù)使用已收集的信息，因用戶曾同意B.停止基于該同意的處理活動，并刪除相關信息（或匿名化）C.僅停止新信息收集，已收集信息可繼續(xù)使用D.要求用戶書面說明撤回理由后再處理答案：B（解析：撤回同意后，企業(yè)需停止處理并刪除/匿名化，見《個人信息保護法》第15條）13.某跨國企業(yè)擬通過“標準合同”方式向境外提供個人信息，需履行的程序是？A.自行與境外接收方簽訂標準合同，無需備案B.向省級網(wǎng)信部門備案標準合同C.通過國家網(wǎng)信部門制定的標準合同模板簽訂，并向省級網(wǎng)信部門備案D.僅需內(nèi)部合規(guī)部門審核，無需外部備案答案：C（解析：標準合同需使用國家網(wǎng)信部門制定的模板，并向省級網(wǎng)信部門備案，見《數(shù)據(jù)出境安全評估辦法》第8條）14.個人信息保護合規(guī)管理員發(fā)現(xiàn)企業(yè)存在未授權(quán)收集用戶位置信息的行為，應首先采取的措施是？A.直接向監(jiān)管部門報告B.立即停止相關數(shù)據(jù)收集，并啟動內(nèi)部調(diào)查C.等待企業(yè)高層決策后處理D.修改隱私政策掩蓋問題答案：B（解析：發(fā)現(xiàn)違規(guī)應立即止損并調(diào)查，見《個人信息保護法》第52條對合規(guī)負責人的要求）15.某企業(yè)擬開展用戶畫像業(yè)務，以下哪項不屬于需評估的風險點？A.畫像結(jié)果對用戶權(quán)益的影響（如歧視性推送）B.畫像所依賴數(shù)據(jù)的合法性C.畫像算法的透明度（是否向用戶說明）D.畫像系統(tǒng)的服務器地理位置答案：D（解析：服務器位置不直接影響畫像業(yè)務的合規(guī)風險，其他選項均涉及權(quán)益影響或數(shù)據(jù)合法性，見GB/T35273-2020《信息安全技術(shù)個人信息安全規(guī)范》）二、多項選擇題（每題3分，共30分，少選、錯選均不得分）1.以下屬于“敏感個人信息”的有？A.15周歲未成年人的個人信息B.生物識別信息C.醫(yī)療健康信息D.金融賬戶信息答案：BCD（解析：敏感個人信息包括生物識別、醫(yī)療健康、金融賬戶等，14周歲以下兒童信息屬于特殊保護范疇但非敏感信息本身，見《個人信息保護法》第28條）2.個人信息處理者的合規(guī)義務包括？A.制定并公開個人信息處理規(guī)則B.定期對個人信息處理活動進行合規(guī)審計C.設立個人信息保護負責人（如處理規(guī)模超過一定數(shù)量）D.對員工進行個人信息保護培訓答案：ABCD（解析：全選，見《個人信息保護法》第51、52、54條）3.數(shù)據(jù)出境的主要合規(guī)路徑包括？A.數(shù)據(jù)出境安全評估B.個人信息保護認證C.簽訂標準合同D.經(jīng)用戶單獨同意后直接出境答案：ABC（解析：用戶同意不是獨立路徑，需結(jié)合其他方式，見《數(shù)據(jù)出境安全評估辦法》第2條）4.用戶行使“查閱復制權(quán)”時，個人信息處理者應提供的內(nèi)容包括？A.個人信息的存儲地點B.個人信息的處理方式C.個人信息的來源D.接收個人信息的第三方信息答案：BCD（解析：存儲地點非必須提供內(nèi)容，其他選項需提供，見《個人信息保護法》第45條）5.個人信息保護影響評估應包括的內(nèi)容有？A.個人信息的處理目的、方式的合法性、必要性B.對個人權(quán)益的影響及風險C.所采取的安全保護措施的有效性D.處理活動的預期收益答案：ABC（解析：預期收益非評估內(nèi)容，見《個人信息保護法》第55條）6.以下哪些行為可能構(gòu)成“過度收集個人信息”？A.電商APP要求用戶授權(quán)讀取通訊錄才能使用購物功能B.地圖APP收集用戶位置信息用于導航C.社交APP要求用戶提供身份證號才能注冊賬號D.視頻APP收集用戶觀看歷史用于推薦答案：AC（解析：通訊錄與購物無直接關聯(lián)，身份證號非注冊必需，見“最小必要原則”）7.個人信息處理者在發(fā)生個人信息泄露事件后，應履行的義務包括？A.立即采取補救措施B.通知可能受影響的用戶C.向履行個人信息保護職責的部門報告D.隱瞞事件以避免聲譽損失答案：ABC（解析：隱瞞違法，見《個人信息保護法》第57條）8.關于“告知-同意”原則，以下說法正確的有？A.告知內(nèi)容應具體明確，避免模糊表述B.同意需由用戶主動作出，不可默認勾選C.未成年人的同意需由監(jiān)護人代為作出（14周歲以下）D.同意后，用戶可隨時撤回答案：ABCD（解析：全選，見《個人信息保護法》第17-15條）9.以下哪些情形下，個人信息處理者無需取得用戶同意？A.為履行法定職責或法定義務所必需B.為應對突發(fā)公共衛(wèi)生事件所必需C.為公共利益實施新聞報道，合理處理個人信息D.為用戶提供產(chǎn)品更新提示，收集設備信息答案：ABC（解析：產(chǎn)品更新提示需取得同意，見《個人信息保護法》第13條）10.個人信息保護合規(guī)管理員的核心職責包括？A.監(jiān)督個人信息處理活動的合規(guī)性B.組織制定個人信息保護制度C.處理用戶關于個人信息的投訴D.代表企業(yè)與監(jiān)管部門溝通答案：ABCD（解析：全選，見《個人信息保護法》第52條）三、判斷題（每題1分，共10分，正確填“√”，錯誤填“×”）1.個人信息處理者可以將用戶的同意作為處理敏感個人信息的唯一合法基礎。（×）（解析：敏感個人信息處理需“必要性”+“單獨同意”，同意非唯一基礎，見《個人信息保護法》第29條）2.去標識化后的信息屬于個人信息，仍需遵守《個人信息保護法》。（×）（解析：去標識化后無法識別特定自然人的不屬于個人信息，見《個人信息保護法》第4條）3.個人信息處理者可以將用戶的“不注冊賬號”作為拒絕提供基礎服務的理由。（×）（解析：基礎服務不得強制注冊，見《個人信息保護法》第24條）4.數(shù)據(jù)跨境流動時，只要境外接收方所在國的個人信息保護水平不低于我國，即可直接出境。（×）（解析：需通過安全評估、認證或標準合同等路徑，見《數(shù)據(jù)出境安全評估辦法》）5.用戶要求刪除個人信息時，若數(shù)據(jù)已用于統(tǒng)計分析且無法關聯(lián)到特定個人，企業(yè)可拒絕刪除。（√）（解析：無法關聯(lián)到特定個人的信息無需刪除，見《個人信息保護法》第47條）6.個人信息保護影響評估報告需至少保存3年。（×）（解析：需保存至少3年，見《個人信息保護法》第55條）7.企業(yè)可以將用戶的“靜默同意”（如長期未操作視為同意）作為有效同意形式。（×）（解析：同意需主動作出，靜默同意無效，見《個人信息保護法》第14條）8.處理已公開的個人信息無需告知用戶，因信息已公開。（×）（解析：需告知處理目的、方式等，除非法律另有規(guī)定，見《個人信息保護法》第27條）9.個人信息保護合規(guī)管理員只需對企業(yè)高層負責，無需向監(jiān)管部門報告。（×）（解析：發(fā)現(xiàn)重大風險需向監(jiān)管部門報告，見《個人信息保護法》第52條）10.企業(yè)可以將用戶的生物識別信息與其他信息混合存儲，無需單獨加密。（×）（解析：敏感信息需采取嚴格加密措施，見《個人信息保護法》第51條）四、簡答題（每題6分，共30分）1.簡述個人信息處理者在處理個人信息時需履行的“告知”義務的具體內(nèi)容。答案：需告知以下內(nèi)容：（1）個人信息處理者的名稱或姓名、聯(lián)系方式；（2）個人信息的處理目的、處理方式；（3）個人信息的種類、保存期限；（4）個人信息主體的權(quán)利及行使方式；（5）接收個人信息的第三方的名稱或姓名、聯(lián)系方式、處理目的、處理方式和處理的個人信息種類；（6）法律、行政法規(guī)規(guī)定應當告知的其他事項。若處理敏感個人信息，還需告知處理的必要性及對個人權(quán)益的影響（依據(jù)《個人信息保護法》第17條）。2.列舉數(shù)據(jù)跨境流動的三種主要合規(guī)路徑，并說明各自適用條件。答案：（1）數(shù)據(jù)出境安全評估：適用于關鍵信息基礎設施運營者、處理100萬人以上個人信息的數(shù)據(jù)處理者、自上年1月1日起累計向境外提供10萬人以上個人信息或1萬人以上敏感個人信息的數(shù)據(jù)處理者；（2）個人信息保護認證：通過國家認可的認證機構(gòu)認證，證明符合規(guī)定的個人信息保護標準；（3）簽訂標準合同：非上述情形的數(shù)據(jù)處理者，使用國家網(wǎng)信部門制定的標準合同模板，并向省級網(wǎng)信部門備案（依據(jù)《數(shù)據(jù)出境安全評估辦法》第2、3、8條）。3.個人信息主體享有哪些核心權(quán)利？請至少列舉5項并簡要說明。答案：（1）知情權(quán)：了解個人信息處理情況；（2）查閱復制權(quán)：查閱、復制其個人信息；（3）更正補充權(quán)：要求更正不準確或補充不完整的個人信息；（4）刪除權(quán)：在法定情形下要求刪除個人信息；（5）撤回同意權(quán)：撤回對個人信息處理的同意；（6）解釋說明權(quán)：要求對個人信息處理規(guī)則進行解釋說明（依據(jù)《個人信息保護法》第44-50條）。4.個人信息保護影響評估（PIA）的主要步驟包括哪些？答案：（1）確定評估范圍：明確處理活動的目的、方式、涉及的個人信息種類等；（2）識別風險：分析處理活動對個人權(quán)益可能造成的風險（如泄露、濫用、歧視等）；（3）評估現(xiàn)有措施：評估已采取的安全技術(shù)措施和管理措施的有效性；（4）提出改進建議：針對風險提出降低或消除風險的措施；（5）形成評估記錄評估過程、結(jié)論及改進計劃，并保存至少3年（依據(jù)GB/T35273-2020及《個人信息保護法》第55條）。5.某企業(yè)擬通過APP收集用戶的位置信息（非敏感信息）用于本地生活服務推薦，需滿足哪些合規(guī)要求？答案：（1）合法性：收集目的需與服務直接相關，符合“最小必要”原則；（2）告知同意：明確告知收集位置信息的目的、方式，取得用戶主動同意（不可默認勾選）；（3）安全措施：采取加密、訪問控制等措施保護位置信息；（4）存儲期限：僅保存實現(xiàn)推薦目的所需的合理期限；（5）用戶權(quán)利保障：允許用戶隨時撤回同意、關閉位置權(quán)限，并提供刪除位置信息的途徑；（6）第三方共享：若向合作方共享，需告知接收方信息并簽訂協(xié)議（依據(jù)《個人信息保護法》第6、17、23、51條）。五、案例分析題（共50分）案例1（20分）：某電商平臺“快購”為提升用戶體驗，擬在APP中新增“智能客服”功能，通過分析用戶的聊天記錄、購物歷史、瀏覽記錄（含搜索關鍵詞）提供用戶畫像，用于自動回復及個性化推薦。已知該平臺注冊用戶超5000萬，其中14周歲以下用戶約20萬。請分析該功能上線前需履行的合規(guī)義務。答案：（1）告知同意：需向用戶明確告知收集聊天記錄、購物歷史等信息的目的（提供用戶畫像用于智能客服及推薦）、方式，取得主動同意；對14周歲以下用戶，需取得其監(jiān)護人同意，并制定專門的兒童信息處理規(guī)則（《個人信息保護法》第17、31條）。（2）最小必要原則：僅收集與智能客服功能直接相關的信息（如聊天記錄中的問題類型、購物歷史中的商品類別），避免超范圍收集（如用戶通訊錄）（第6條）。（3）敏感信息識別：若聊天記錄中包含醫(yī)療、金融等敏感信息，需單獨告知必要性并取得單獨同意（第29條）。（4）個人信息保護影響評估（PIA）：評估用戶畫像可能導致的權(quán)益風險（如歧視性推薦）、現(xiàn)有安全措施（如加密存儲聊天記錄）的有效性，提出風險控制措施（如限制畫像結(jié)果的使用范圍）（第55條）。（5）安全技術(shù)措施：對用戶聊天記錄、購物歷史等信息采用加密存儲，限制訪問權(quán)限至必要人員，防止泄露（第51條）。（6）用戶權(quán)利保障：提供用戶查閱、復制、更正畫像數(shù)據(jù)的途徑，允許撤回同意并刪除相關信息（第45、47、15條）。（7）數(shù)據(jù)跨境風險：若用戶畫像數(shù)據(jù)需向境外服務器傳輸，需評估是否符合數(shù)據(jù)出境安全評估、標準合同等要求（《數(shù)據(jù)出境安全評估辦法》第3條）。案例2（30分）：2025年3月，某省網(wǎng)信辦對本地醫(yī)療APP“健康助手”開展合規(guī)檢查，發(fā)現(xiàn)以下問題：（1）未在隱私政策中明確說明收集用戶的基因檢測信息（敏感個人信息）；（2）向第三方檢驗機構(gòu)共享用戶的診斷報告（