2025年数据隐私保护与合规管理考核试卷及答案.docxVIP

2025年数据隐私保护与合规管理考核试卷及答案

一、单项选择题（每题2分，共20分）

1.根据《个人信息保护法》及相关法规，以下哪项不属于“个人信息”的范畴？

A.已公开的企业工商登记信息（统一社会信用代码）

B.手机用户的设备IMEI号

C.患者在医院就诊的病历记录

D.某用户在社交平台发布的匿名动态（但可通过关联信息识别到本人）

答案：A

解析：《个人信息保护法》第4条规定，个人信息是以电子或其他方式记录的与已识别或可识别的自然人有关的各种信息。企业工商登记信息属于企业信息，不属于自然人个人信息；匿名动态若可关联识别到本人，仍属个人信息。

2.某电商平台拟对用户购物偏好数据进行自动化营销推送，根据《个人信息保护法》，以下哪项是合规的必要条件？

A.获得用户单独同意

B.向用户提供不针对其个人特征的选项

C.仅在用户注册时告知处理规则

D.无需额外说明，因用户已同意隐私政策

答案：B

解析：《个人信息保护法》第24条规定，通过自动化决策方式向个人进行信息推送、商业营销的，应当同时提供不针对其个人特征的选项，或向个人提供便捷的拒绝方式。单独同意非必须，但需提供“非个性化”选项。

3.甲公司因业务需要需将用户位置数据传输至境外关联公司，根据《数据出境安全评估办法》，以下哪种情形无需申报安全评估？

A.甲公司近一年处理100万用户的位置数据

B.甲公司近一年向境外提供5000人以上敏感个人信息

C.甲公司属于关键信息基础设施运营者

D.甲公司数据出境行为可能影响国家安全

答案：A

解析：《数据出境安全评估办法》第5条规定，需申报评估的情形包括：关键信息基础设施运营者数据出境；处理100万人以上个人信息的数据出境；自上年1月1日起累计向境外提供10万人以上个人信息或1万人以上敏感个人信息的数据出境。A选项未达到100万人阈值，无需评估。

4.某医疗机构拟将患者诊疗数据用于AI辅助诊断研发，根据《个人信息保护法》，以下哪项操作不符合“最小必要”原则？

A.仅提取患者年龄、疾病类型、治疗方案数据

B.去除患者姓名、身份证号等可直接识别身份的信息

C.收集患者家庭住址、联系方式用于随访

D.限制数据使用范围仅限于合作的三家科研机构

答案：C

解析：“最小必要”原则要求收集的个人信息数量、范围应与处理目的直接相关且为实现目的所必需。患者家庭住址、联系方式与AI辅助诊断研发无直接关联，超出必要范围。

5.某金融科技公司发现用户数据发生泄露，可能导致用户财产损失，根据《个人信息保护法》，其向履行个人信息保护职责的部门报告的时限应为？

A.立即

B.24小时内

C.3个工作日内

D.7个工作日内

答案：B

解析：《个人信息保护法》第57条规定，发生或可能发生个人信息泄露、篡改、丢失的，个人信息处理者应立即采取补救措施，并通知履行个人信息保护职责的部门和个人；通知部门的时限为“24小时内”，通知个人可根据影响延迟但需说明理由。

6.以下关于“匿名化”与“去标识化”的区别，表述正确的是？

A.匿名化后的数据仍可通过其他信息关联识别到个人

B.去标识化后的数据属于个人信息，匿名化后不属于

C.去标识化需符合行业标准，匿名化无强制要求

D.两者均无需获得用户同意即可处理

答案：B

解析：《个人信息保护法》第4条明确，匿名化处理后的信息不属于个人信息；去标识化后的数据仍可通过其他信息识别个人，因此仍属个人信息。

7.某社交平台用户要求查询其个人信息处理情况，平台应在多长时间内响应？

A.收到请求后15个工作日内

B.收到请求后30个自然日内

C.收到请求后7个工作日内

D.无明确时限要求，合理期限内即可

答案：B

解析：《个人信息保护法》第45条规定，个人请求查阅、复制其个人信息的，个人信息处理者应及时提供；未明确具体时限，但《常见类型移动互联网应用程序必要个人信息范围规定》等配套文件建议最长不超过30个自然日。

8.某企业拟开展数据安全影响评估（DSIA），以下哪项不属于评估内容？

A.数据处理的合法性、正当性、必要性

B.数据泄露可能造成的危害

C.员工绩效考核制度

D.安全防护措施的有效性

答案：C

解析：《数据安全法》第22条规定，数据安全影响评估应包括：数据处理的合法性、正当性、必要性；数据安全风险；安全防护措施；应急处置措施等。员工绩效考核与数据安全无直接关联。

9.以下哪项属于“敏感个人信息”？

A.15周岁未成年人的学习成绩