2025年信息系统安全专家移动应用用户隐私保护专题试卷及解析.pdfVIP

2025年信息系统安全专家移动应用用户隐私保护专题试卷及解析1

2025年信息系统安全专家移动应用用户隐私保护专题试卷

及解析

2025年信息系统安全专家移动应用用户隐私保护专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、根据《个人信息保护法》，移动应用在收集用户个人信息前，应当向用户明确告

知的内容不包括？

A、个人信息处理者的名称或者姓名

B、个人信息的处理目的

C、个人信息的保存期限

D、个人信息的加密方式

【答案】D

【解析】正确答案是D。《个人信息保护法》第十七条规定，个人信息处理者在处理

个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地告知个人信息处理

者的名称或者姓名、联系方式，个人信息的处理目的、处理方式，个人信息种类、保存

期限，以及个人行使权利的方式和程序等事项。加密方式属于技术实现细节，不属于法

定告知内容。知识点：个人信息告知义务。易错点：容易将技术实现细节与法定告知内

容混淆。

2、移动应用开发者为了防止用户隐私数据在传输过程中被窃取，应该采用的最基

本的安全措施是？

A、数据脱敏

B、使用HTTPS协议

C、本地数据加密

D、代码混淆

【答案】B

【解析】正确答案是B。HTTPS（超文本传输安全协议）通过SSL/TLS协议对传

输数据进行加密，是防止数据在传输过程中被窃听或篡改的基本措施。数据脱敏主要用

于非生产环境或展示层，本地数据加密保护存储状态的数据，代码混淆主要保护代码逻

辑不被轻易逆向。知识点：传输安全。易错点：混淆传输安全与存储安全、代码安全的

措施。

3、当移动应用需要访问用户的精确地理位置信息时，以下哪种做法最符合“最小必

要原则”？

A、在用户首次打开应用时即请求精确位置权限，并说明用于个性化推荐

B、仅在用户使用“附近门店”功能时，才请求精确位置权限，且功能关闭后立即停

止访问

2025年信息系统安全专家移动应用用户隐私保护专题试卷及解析2

C、请求精确位置权限，并承诺仅在用户使用应用期间访问，但实际后台持续访问

D、为了提升用户体验，在用户同意获取模糊位置后，自动升级为精确位置权限

【答案】B

【解析】正确答案是B。“最小必要原则”要求仅收集与当前处理目的直接相关的最少

信息，且在目的达成后不再收集。B选项仅在特定功能需要时请求权限，并在功能结束

后停止访问，完全符合该原则。A选项过早请求权限，C选项超范围使用，D选项未经

用户明确同意升级权限。知识点：最小必要原则。易错点：对“最小必要”的理解不够深

入，容易忽视使用场景的限定和目的达成后的停止。

4、移动应用进行隐私合规评估时，发现其隐私政策中写道“我们可能会与合作伙伴

共享您的信息以改善服务”，这种表述存在的主要问题是？

A、未明确共享信息的具体范围

B、未明确共享的具体目的

C、未明确共享的合作伙伴类型

D、以上都是

【答案】D

【解析】正确答案是D。根据相关法规和最佳实践，隐私政策中关于信息共享的表

述应具体、明确。仅笼统地提及“合作伙伴”和“改善服务”是不够的，需要说明共享的信

息类型、共享的具体目的、合作伙伴的类型或范围，以及用户对共享的控制权等。模糊

的表述侵犯了用户的知情权。知识点：隐私政策透明度。易错点：容易忽视隐私政策中

模糊表述带来的合规风险。

5、移动应用中常见的“设备唯一标识符”（如IMEI、IDFA等）属于？

A、个人敏感信息

B、普通个人信息

C、匿名化信息

D、非个人信息

【答案】A

【解析】正确答案是A。《个人信息安全规范》明确指出，设备唯一标识符属于个人

敏感信息，因为其与用户个人身份具有较强的关联性，一旦泄露或滥用可能对用户造成

较大危害。普通个人信息关联性较弱，匿名化信息已无法识别到个人，非个人信息则完

全不涉及个人。知识点：个人敏感信息识别。易错点：容易低估设备标识符的敏感度，

将其误认为普通信息。

6、用户在移动应用