30题学会 个人信息保护影响评估（PIA） .docxVIP

30题学会个人信息保护影响评估（PIA）

一、法律基础与适用场景1、根据《个人信息保护法》，以下哪种情形必须开展PIA？A.处理匿名化信息

B.向境外提供个人信息C.收集用户昵称用于登录D.临时存储用户IP地址

答案：B

解析：根据《个保法》第55条，向境外提供个人信息属于必须开展PIA的法定情形。

2、PIA报告需至少保存多久？A.1年

B.3年C.5年

D.永久保存答案：B

解析：《个保法》第56条规定评估报告需保存至少3年。

3、下列哪项不属于PIA的适用场景？A.利用算法进行信用评分

B.委托第三方处理用户地址信息C.收集用户设备型号用于功能适配D.公开用户电话号码

答案：C解析：设备型号属于一般信息且处理目的必要，不涉及高风险场景。

二、评估内容与流程

4、PIA的核心评估内容不包括以下哪项？A.处理目的合法性

B.数据存储成本分析C.安全措施有效性D.个人权益影响程度

答案：B

解析：PIA关注合法性、风险性和措施有效性，而非成本。

5、风险评估等级划分的依据是？A.数据量大小

B.事件可能性和影响程度C.企业利润水平

D.用户投诉数量答案：B

解析：风险等级需综合事件发生概率和权益损害程度判定。

答案不一定准确，仅供参考

6、数据映射分析的目的是？A.统计用户数量

B.梳理数据生命周期和流转路径C.计算存储服务器成本

D.分析竞争对手数据答案：B

解析：数据映射是PIA的基础步骤，用于明确数据处理环节。

三、实施要求与实务挑战

7、PIA二星级认证要求必须包含？A.内部法务团队评估

B.第三方机构参与测评C.用户满意度调查

D.监管部门现场检查答案：B

解析：二星级需引入第三方机构出具报告。

8、中小企业实施PIA的主要困难是？A.缺乏专业团队和预算

B.用户数据量过少

C.无需遵守《个保法》D.监管部门未要求

答案：A

解析：资源限制是中小企业PIA落地的主要障碍。

9、动态风险管理要求企业？A.每季度更换安全软件

B.定期复查已评估场景C.每月提交审计报告D.每天备份数据

答案：B解析：业务或技术变更时需更新风险评估。

四、与其他制度的区别

10、PIA与合规审计的核心区别是？A.PIA是事前评估，审计是事后检查

B.PIA仅适用于跨国企业C.审计无需保存记录

D.PIA由监管部门主导答案：A

解析：PIA侧重风险预防，审计侧重合规验证。

11、以下哪项是合规审计的触发条件？A.处理敏感信息

答案不一定准确，仅供参考

B.用户超过1000万需定期审计C.数据加密措施不足

D.自动化决策算法优化答案：B

解析：《合规审计管理办法》规定超千万用户企业需定期审计。

五、技术措施与风险管理12、传输敏感信息时必备的措施是？A.匿名化处理

B.加密传输C.数据脱敏D.定期删除答案：B

解析：加密是保障传输安全的核心技术要求。

13、最小必要原则要求企业？A.收集尽可能多的用户数据

B.仅收集与处理目的直接相关的数据C.优先使用敏感信息

D.忽略用户同意答案：B

解析：最小必要原则禁止过度收集信息。

六、数据全生命周期与处理要求14、在数据全生命周期评估中，以下哪项不属于必须审查的环节？A.数据收集

B.数据存储C.数据销毁

D.数据营销推广答案：D

解析：数据全生命周期包括收集、存储、使用、转移、披露、处置、出境、删除等环节，营销推广属于业务场景而非合规审查的核心环节。

15、根据最小必要原则，以下做法符合要求的是？A.美图App要求用户提供地理位置以实现滤镜功能

B.电商平台仅收集用户手机号用于订单配送C.社交软件默认开启用户通讯录访问权限

D.新闻App收集用户身份证号用于年龄验证答案：B

解析：手机号与配送直接相关，属于必要范围；其他选项均超出最小必要范围。

16、处理儿童个人信息时，企业必须满足以下哪项要求？A.默认获得监护人同意

B.制定专门处理规则并显著标识

答案不一定准确，仅供参考

C.仅收集儿童昵称和头像D.无需单独告知处理目的

答案：B解析：《个保法》规定处理儿童信息需制定专门规则并显著标识。

七、技术措施与安全保障17、以下哪项技术措施是传输敏感信息的法定要求？A.匿名化处理

B.数据脱敏C.加密传输D.定期删除答案：C

解析：加密传输是保障传输安全的必要技术措施。

18、针对敏感信息存储，企业应采取的最高级别保护措施是？A.访问日志记录

B.双重认证与加密存储C