30题学会 个人信息保护影响评估（PIA）.pdfVIP

30PIA

题学会个人信息保护影响评估（）

一、法律基础与适用场景

1、根据《个人信息保护法》，以下哪种情形必须开展PIA？

A.处理匿名化信息

B.向境外提供个人信息

C.收集用户昵称用于登录

D.临时存储用户IP地址

​答案：B

​解析：根据《个保法》第55条，向境外提供个人信息属于必须开展PIA的法定情形。

2、PIA报告需至少保存多久？

A.1年

B.3年

C.5年

D.永久保存

​答案：B

​解析：《个保法》第56条规定评估报告需保存至少3年。

3、下列哪项不属于PIA的适用场景？

A.利用算法进行信用评分

B.委托第三方处理用户地址信息

C.收集用户设备型号用于功能适配

D.公开用户电话号码

​答案：C

​解析：设备型号属于一般信息且处理目的必要，不涉及高风险场景。

​二、评估内容与流程

4、PIA的核心评估内容不包括以下哪项？

A.处理目的合法性

B.数据存储成本分析

C.安全措施有效性

D.个人权益影响程度

​答案：B

​解析：PIA关注合法性、风险性和措施有效性，而非成本。

5、风险评估等级划分的依据是？

A.数据量大小

B.事件可能性和影响程度

C.企业利润水平

D.用户投诉数量

​答案：B

​解析：风险等级需综合事件发生概率和权益损害程度判定。

答案不一定准确，仅供参考

6、数据映射分析的目的是？

A.统计用户数量

B.梳理数据生命周期和流转路径

C.计算存储服务器成本

D.分析竞争对手数据

​答案：B

​解析：数据映射是PIA的基础步骤，用于明确数据处理环节。

​三、实施要求与实务挑战

7、PIA二星级认证要求必须包含？

A.内部法务团队评估

B.第三方机构参与测评

C.用户满意度调查

D.监管部门现场检查

​答案：B

​解析：二星级需引入第三方机构出具报告。

8、中小企业实施PIA的主要困难是？

A.缺乏专业团队和预算

B.用户数据量过少

C.无需遵守《个保法》

D.监管部门未要求

​答案：A

​解析：资源限制是中小企业PIA落地的主要障碍。

9、动态风险管理要求企业？

A.每季度更换安全软件

B.定期复查已评估场景

C.每月提交审计报告

D.每天备份数据

​答案：B

​解析：业务或技术变更时需更新风险评估。

​四、与其他制度的区别

10、PIA与合规审计的核心区别是？

A.PIA是事前评估，审计是事后检查

B.PIA仅适用于跨国企业

C.审计无需保存记录

D.PIA由监管部门主导

​答案：A

​解析：PIA侧重风险预防，审计侧重合规验证。

11、以下哪项是合规审计的触发条件？

A.处理敏感信息

答案不一定准确，仅供参考

B.用户超过1000万需定期审计

C.数据加密措施不足

D.自动化决策算法优化

​答案：B

​解析：《合规审计管理办法》规定超千万用户企业需定期审计。

​五、技术措施与风险管理

12、传输敏感信息时必备的措施是？

A.匿名化处理

B.加密传输

C.数据脱敏

D.定期删除

​答案：B

​解析：加密是保障传输安全的核心技术要求。

13、最小必要原则要求企业？

A.收集尽可能多的用户数据

B.仅收集与处理目的直接相关的数据

C.优先使用敏感信息

D.忽略用户同意

​答案：B

​解析：最小必要原则禁止过度收集信息。

六、数据全生命周期与处理要求

14、在数据全生命周期评估中，以下哪项不属于必须审查的环节？

A.数据收集

B.数据存储

C.数据销毁

D.数据营销推广

​答案：D

​解析：数据全生命周期包括收集、存储、使用、转移、披露、处置、出境、删除等环节，

营销推广属于业务场景而非合规审查的核心环节。

15、根据最小必要原则，以下做法符合要求的是？

A.美图App要求用户提供地理位置以实现滤镜功能

B.电商平台仅收集用户手机号用于订单配送

C.社交软件默认开启用户通讯录访问权限

D.新闻App收集用户身份证号用于年