2025年员工个人信息合规评估方法试题及答案.docxVIP

2025年员工个人信息合规评估方法试题及答案

一、单项选择题（每题仅有一个正确答案）

1.《个人信息保护法》规定，处理敏感个人信息应当取得个人的()

A.口头同意

B.书面同意

C.单独同意

D.默示同意

答案：C

解析：法律明确要求“单独同意”，即需就敏感信息处理目的、方式、范围等单独告知并取得明示同意。

2.员工入职场景下，收集身份证号的合法性基础最优先适用()

A.履行合同必需

B.劳动规章制度

C.法定义务

D.正当利益

答案：C

解析：依法参加社会保险系法定义务，收集身份证号属于“为履行法定义务所必需”。

3.个人信息保护影响评估（PIA）报告最低保存期限为()

A.1年

B.3年

C.5年

D.永久

答案：B

解析：《个人信息保护法》第55条要求PIA报告保存至少三年。

4.下列哪项不属于“最小必要”原则的直接体现()

A.数据可检索

B.数据最小化

C.目的限定

D.存储期限最小化

答案：A

解析：“可检索”属于可用性范畴，与最小必要无直接对应。

5.发生个人信息泄露事件后，企业向省级以上监管部门报告的时限为()

A.8小时

B.12小时

C.24小时

D.72小时

答案：C

解析：法规要求“立即”但最迟不超过24小时。

6.对跨境传输员工个人信息进行认证时，应优先采用()

A.数据出境安全评估

B.个人信息保护认证

C.标准合同

D.企业自律公约

答案：A

解析：关键信息基础设施运营者或处理大量个人信息者应优先通过安全评估。

7.员工离职后，其绩效数据保存期限确定的首要依据是()

A.财务档案管理办法

B.劳动争议诉讼时效

C.审计追溯需求

D.董事会决议

答案：B

解析：潜在劳动争议诉讼时效为一年，保存应覆盖该期间并适当延长。

8.下列哪项技术措施最能降低未授权访问风险()

A.数据脱敏

B.日志审计

C.多因素认证

D.数据分类分级

答案：C

解析：多因素认证直接提升身份验证强度，降低未授权访问概率。

9.对个人信息控制者进行合规审计的法定外部机构应具备()

A.ISO9001认证

B.网络安全等级保护测评资质

C.个人信息保护认证机构资格

D.会计师事务所执业许可

答案：C

解析：只有取得国家认监委个人信息保护认证机构资格方可开展法定审计。

10.在员工招聘环节，对候选人进行人脸识别比对，必须提前完成()

A.向公安备案

B.向网信部门备案

C.个人信息保护影响评估

D.劳动行政部门审批

答案：C

解析：使用人脸识别技术处理个人信息属于高风险处理活动，应先行PIA。

11.下列哪项不是数据安全能力成熟度模型（DSMM）的维度()

A.数据分类分级

B.合规策略

C.监控审计

D.备份与恢复

答案：B

解析：DSMM核心维度包括PA（ProcessArea）如分类分级、备份恢复等，不包含“合规策略”独立维度。

12.当员工行使删除权时，企业可拒绝的情形为()

A.信息已公开

B.信息已脱敏

C.信息为实现合法利益所必需

D.信息为履行法定义务所必需

答案：D

解析：法定义务优先于删除权，企业可依法拒绝。

13.对个人信息处理活动记录（RoPA）的最低更新频率建议是()

A.每日

B.每周

C.每月

D.每季度

答案：C

解析：监管指引建议月度更新，确保与业务同步。

14.发生员工信息泄露后，企业通知受影响员工的法定时限为()

A.立即

B.24小时

C.72小时

D.无强制要求

答案：C

解析：法律要求“及时”但最迟不超过72小时。

15.以下哪项最能体现“可问责性”原则()

A.数据加密

B.访问留痕

C.数据最小化

D.匿名化

答案：B

解析：访问留痕确保事后可追溯，体现可问责。

16.对第三方人力资源服务供应商的合规尽职调查，首要关注()

A.供应商股价

B.数据跨境节点

C.员工年龄结构

D.供应商品牌历史

答案：B

解析：数据跨境节点直接决定评估与监管路径。

17.个人信息保护负责人（DPO）必须具备的核心能力是()

A.财务审计

B.法律与技术复合背景

C.市场营销

D.生产管理

答案：B

解析：DPO需理解法律要求并能转化为技术控制措施。

18.员工数据分类分级时，首要参考的国家标准是()

A.GB/T35273

B.GB/T22239

C.GB/T25070

D.GB/T28448

答案：A

解析：GB/T35273《信息安全技术个人信息安全规范》直接适用于个人信息分级。

19.对“员工画像”进行自动化决策时，必须提供的透明度措施是()

A.源代码公开

B.