2025年信息系统安全专家个人信息保护法合规审计专题试卷及解析.pdfVIP

2025年信息系统安全专家个人信息保护法合规审计专题试卷及解析1

2025年信息系统安全专家个人信息保护法合规审计专题试

卷及解析

2025年信息系统安全专家个人信息保护法合规审计专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、根据《个人信息保护法》，处理个人信息应当遵循合法、正当、必要和诚信原则。

下列哪项不属于“必要原则”的具体要求？

A、处理目的明确且合理

B、采取对个人权益影响最小的方式

C、不得过度收集个人信息

D、确保个人信息处理活动公开透明

【答案】D

【解析】正确答案是D。必要原则要求处理个人信息应当限于实现处理目的的最小

范围，不得过度收集，选项A、B、C均体现了这一原则。选项D“公开透明”属于诚信

原则的范畴，要求个人信息处理者公开处理规则，明示处理目的、方式等。知识点：个

人信息处理的基本原则。易错点：考生容易混淆必要原则与诚信原则的具体要求，需注

意区分各原则的核心内涵。

2、个人信息保护影响评估（PIA）是《个人信息保护法》要求的重要合规措施。下

列哪种情形下，可以不进行个人信息保护影响评估？

A、处理敏感个人信息

B、利用个人信息进行自动化决策

C、处理不满十四周岁未成年人个人信息

D、企业内部员工通讯录管理

【答案】D

【解析】正确答案是D。《个人信息保护法》第五十五条规定了必须进行个人信息保

护影响评估的情形，包括处理敏感个人信息、利用个人信息进行自动化决策、委托处理

个人信息、向其他组织或个人提供个人信息、公开个人信息、处理不满十四周岁未成年

人个人信息等。企业内部员工通讯录管理属于常规人力资源管理活动，不涉及高风险处

理情形，可不必进行PIA。知识点：个人信息保护影响评估的适用情形。易错点：考生

可能误认为所有个人信息处理活动都需要进行PIA，需注意法律规定的特定高风险情

形。

3、个人信息处理者向第三方提供个人信息的，应当告知个人接收方的身份、联系

方式、处理目的等信息。下列哪项是例外情形？

A、涉及国家安全

B、涉及公共卫生事件

2025年信息系统安全专家个人信息保护法合规审计专题试卷及解析2

C、接收方为政府部门

D、法律规定的其他情形

【答案】D

【解析】正确答案是D。《个人信息保护法》第二十三条规定了告知义务的例外情形，

即法律、行政法规规定应当保密或者不需要告知的情形。选项A、B、C均属于具体情

形，但选项D“法律规定的其他情形”是概括性规定，涵盖了所有法律明确规定的例外情

况。知识点：个人信息提供时的告知义务例外。易错点：考生可能忽略法律规定的概括

性例外条款，需注意法律条文的完整理解。

4、个人信息保护合规审计的频率应当根据风险等级确定。下列哪项是高风险处理

活动的审计频率要求？

A、每年至少一次

B、每两年至少一次

C、每三年至少一次

D、根据实际情况灵活确定

【答案】A

【解析】正确答案是A。根据《个人信息保护法》及配套规定，处理敏感个人信息、

利用个人信息进行自动化决策等高风险处理活动，应当每年至少进行一次合规审计。低

风险处理活动可适当延长审计周期。知识点：个人信息保护合规审计的频率要求。易错

点：考生可能混淆不同风险等级的审计频率，需注意高风险活动的严格审计要求。

5、个人信息主体有权撤回其同意。下列哪项是撤回同意的法律后果？

A、撤回前基于同意的个人信息处理行为无效

B、个人信息处理者应当立即停止处理或删除个人信息

C、撤回同意不影响撤回前基于同意的个人信息处理活动的效力

D、个人信息处理者可以拒绝撤回请求

【答案】C

【解析】正确答案是C。《个人信息保护法》第十五条规定，个人信息主体有权撤回

其同意，撤回同意不影响撤回前基于同意的个人信息处理活动的效力。选项A错误，撤

回前基于同意的处理行为仍然有效；选项B错误，停止处理或删除个人信息需根据具

体情况判断；选项D错误，个人信息处理者不得拒绝撤回请求。知识点：个人信息主

体撤回同意的法律后果。易错点：考生可