2026年隐私合规专员合规培训考核办法含答案.docxVIP

第PAGE页共NUMPAGES页

2026年隐私合规专员合规培训考核办法含答案

一、单选题（共10题，每题2分，共20分）

1.根据欧盟《通用数据保护条例》（GDPR），个人有权要求企业删除其个人数据，该权利被称为：

A.更正权

B.删除权（被遗忘权）

C.访问权

D.限制处理权

2.在中国《个人信息保护法》中，若企业处理个人信息可能对个人权益产生重大影响，应采取的特别措施是：

A.仅在获得个人明确同意后处理

B.获取个人书面授权

C.进行个人信息保护影响评估（PIA）

D.仅在获得监管机构批准后处理

3.以下哪种情形不属于《个人信息保护法》中规定的“敏感个人信息”？

A.个人身份证号码

B.个人生物识别信息

C.个人收入信息

D.个人宗教信仰

4.根据美国加州《消费者隐私法案》（CCPA），消费者有权要求企业提供其收集的个人信息用于哪些目的？

A.仅用于企业内部运营

B.仅用于广告推广

C.仅用于合作伙伴共享

D.个人消费偏好分析

5.企业在跨境传输个人信息时，若目的国法律保护水平低于数据出境前所在国，应采取的补充措施是：

A.停止数据传输

B.与目的国企业签订数据保护协议

C.获取个人同意并签订标准合同

D.仅在目的国监管机构批准后传输

6.根据GDPR，企业若发生个人信息泄露，应在多长时间内通知监管机构？

A.24小时内

B.72小时内

C.7天内

D.30天内

7.在中国，《个人信息保护法》规定，企业委托第三方处理个人信息时，应与第三方签订何种协议？

A.合作备忘录

B.数据处理协议（DPA）

C.服务合同

D.保密协议

8.根据美国《健康保险流通与责任法案》（HIPAA），以下哪类信息不属于受保护的健康信息（PHI）？

A.个人医疗诊断记录

B.个人保险费用信息

C.个人姓名

D.个人遗传信息

9.企业在处理未成年人的个人信息时，应遵循的原则是：

A.仅在获得监护人同意后处理

B.仅在获得未成年人同意后处理

C.无需特殊处理，与成年人类似

D.仅在获得学校许可后处理

10.根据GDPR，若企业处理个人信息时依赖“合法利益”而非“同意”机制，应进行何种评估？

A.合法利益平衡测试

B.敏感信息影响评估

C.数据保护影响评估

D.合规性审查

二、多选题（共5题，每题3分，共15分）

1.根据《个人信息保护法》，企业处理个人信息应遵循哪些原则？

A.合法、正当、必要

B.目的明确、最小化收集

C.公开透明、确保安全

D.及时更正、保证质量

2.在中国，以下哪些行为属于《个人信息保护法》禁止的“过度处理”？

A.未明确告知目的收集个人信息

B.处理与提供服务无关的个人信息

C.超出约定范围处理个人信息

D.仅在获得个人同意后处理敏感信息

3.根据GDPR，个人有哪些主要权利？

A.访问权

B.删除权

C.限制处理权

D.数据可携带权

E.反对权

4.企业在跨境传输个人信息时，应采取哪些保障措施？

A.签订标准合同

B.实施认证机制（如AEPD）

C.获取个人同意

D.进行数据保护影响评估

5.根据美国CCPA，消费者有哪些主要权利？

A.知情权（要求企业提供收集信息的目的）

B.删除权（要求企业删除个人信息）

C.选择不参与定向广告

D.授权他人访问其个人信息

三、判断题（共5题，每题2分，共10分）

1.企业在处理个人信息时，若获得个人明确同意，则无需遵守其他法律要求。（×）

2.敏感个人信息的处理，在中国和GDPR下均需获得个人特别授权。（√）

3.根据美国HIPAA，所有医疗信息均属于受保护的健康信息。（×）

4.企业在员工离职后，无需删除其个人信息。（×）

5.根据CCPA，企业可以无条件拒绝消费者访问其个人信息的请求。（×）

四、简答题（共4题，每题5分，共20分）

1.简述GDPR中“数据保护影响评估”（DPIA）的主要内容。

答：DPIA主要评估数据处理活动的风险，包括：

-个人数据处理的性质、范围、背景和目的；

-数据主体群体的敏感程度；

-数据泄露或滥用的潜在影响；

-采取的合规措施（如技术、组织措施）。

2.《个人信息保护法》中“最小化收集”原则的具体要求是什么？

答：企业收集个人信息时，应限于实现处理目的的最小范围，不得过度收集。例如：

-不得收集与服务无关的信息；

-不得通过多种方式过度收集同一信息（如同时要求姓名和身份证号）；

-不得在未明确告知目的的情况下收集信息。

3.根据CCPA，企业若拒绝消费者的删除请求，应提供哪些理由？

答：企业可拒绝删除请求的情形包括：

-法律法规要求保留信息；

-用于完成