隐私合规能力考核卷.docxVIP

隐私合规能力考核卷

考试时间：______分钟总分：______分姓名：______

一、单项选择题（每题1分，共30分。下列每题选项中，只有一项是最符合题意的。）

1.根据中国《个人信息保护法》，以下哪一项不属于个人信息的处理活动？

A.收集用户的姓名和联系方式

B.分析用户的浏览历史以进行个性化推荐

C.保存组织内部员工的工作记录

D.对收集的个人信息进行匿名化处理，使其无法识别到特定个人

2.以下哪种情况属于《个人信息保护法》规定的“以告知同意方式处理个人信息”，且处理目的、方式、种类等显著变化的情形？

A.在用户注册时，明确告知并取得用户同意将其注册信息用于接收推广邮件。

B.在用户使用某项新功能时，仅提示“使用即同意”。

C.在用户同意收集其位置信息用于导航服务后，未经再次告知即将其用于精准广告推送。

D.更新用户协议，并将更新后的协议通过原注册邮箱发送给用户，未要求用户明确重新确认。

3.根据GDPR规定，在处理活动开始前，若处理目的不明确，应向数据主体说明处理目的。以下哪种情况通常不符合此要求？

A.电商网站在用户注册时说明可能会基于其购物行为进行营销推送。

B.上市公司在其官方网站隐私政策中概述了网站运营所需的数据收集目的。

C.一家初创公司在其产品发布初期，仅对内部团队说明产品数据用于迭代优化，未向用户公示。

D.汽车制造商向用户说明，收集车辆使用数据用于改进售后服务，并提供了选择退出机制。

4.敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，不包括：

A.行踪轨迹信息

B.用户的宗教信仰

C.公众可获得的地址信息

D.健康状况信息

5.《个人信息保护法》规定，处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。这主要体现了个人信息的哪项处理原则？

A.合法、正当、必要原则

B.公开透明原则

C.最小必要原则

D.存储限制原则

6.假设某互联网公司需要委托第三方服务商处理个人信息（如进行数据分析），依据《个人信息保护法》，该公司应采取哪些措施？

A.只需选择信誉良好的服务商即可。

B.与服务商签订书面协议，明确双方责任义务，并定期审计。

C.无需事先获得个人信息主体同意即可委托处理。

D.可以将包含个人身份信息的原始数据直接提供给任何第三方。

7.用户行使《个人信息保护法》规定的更正、删除等权利时，处理者通常的处理时限是：

A.自收到用户请求之日起5个工作日内

B.自收到用户请求之日起15个工作日内

C.自用户提出合理理由之日起，无固定时限

D.需经有关部门批准后，方可按法定程序处理

8.在个人信息的跨境传输方面，以下哪种情况通常需要经过个人信息主体单独同意？

A.将用户信息传输至同为欧盟成员国的另一家公司。

B.将用户信息传输至已加入《隐私保护协议》（PrivacyShieldFramework）的美国公司（该协议已被取代，但此处按旧框架设问）。

C.将去标识化后的统计数据传输至任何国家。

D.将用户的个人信息传输至我国香港特别行政区。

9.企业对其处理的个人信息承担安全保护义务。以下哪项措施不属于《个人信息保护法》要求的安全保护措施？

A.对个人信息进行分类分级管理。

B.确定处理个人信息的操作权限，定期更换密码。

C.将所有个人信息存储在内部服务器，不使用云服务。

D.制定内部安全管理制度和操作规程，对员工进行安全教育和培训。

10.因个人信息处理活动对个人权益造成损害，个人信息主体有权请求处理者采取补救措施。如果处理者拒绝，个人主体还可以采取哪种主要救济途径？

A.向用人单位投诉

B.向公安机关报案

C.向人民法院提起诉讼

D.向行业协会申请调解

11.根据欧盟GDPR，数据保护影响评估（DPIA）主要适用于哪些类型的处理活动？

A.处理大量个人数据

B.处理敏感个人数据

C.对个人权益和自由具有高风险的处理活动

D.由自动化决策（包括制定个性化推荐）单独决定对个人产生的重大影响

12.在产品或服务中嵌入第三方追踪器（如Cookies、SDK）以收集用户行为数据，通常需要遵守哪些要求？

A.只需确保代