一、单项选择题
1、对于关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者处理个人信息的相关活动🎓,以下描述错误的是?()
A.在中华人民共和国境内收集和产生的个人信息,应当存储在境内。B.在中华人民共和国境内收集和产生的个人信息确需向境外提供的📃,应当通过国家网信部门组织的安全评估🧤。C.法律、行政法规和国家网信部门规定可以不进行安全评估的,可以从其规定。D.在中华人民共和国境内收集和产生的个人信息可以存储在境内或者境外🔣。
2↘️、根据《个人信息保护法》,以下哪类信息不属于敏感个人信息?()
A.身份证号码B.个人征信信息C.电话号码D.14周岁以下(不含)未成年人的个人信息
3、个人信息处理者在受理个人信息主体注销账户请求后👨🏿🦱,需要人工处理的♑️,应在多长时间内必须完成核查和处理▪️?()
A.2个工作日B.7个工作日C.15个工作日D.30个工作日
4🖖🏿、以下哪项不属于个人信息主体自主作出的肯定性动作🪁?()
A.主动点击B.注册C.填写D.默认勾选
5、开展以下哪种个人信息处理活动需要进行个人信息保护影响评估?()
A.处理敏感个人信息B.自动化决策C.个人信息出境D.以上都是
6🧝🏼♀️、关于利用个人信息进行自动化决策🧚♀️,以下说法错误的是?()
A.应当保证决策的透明度和结果公平🤸♂️🧑🦽、公正B.不得对个人在交易条件上实行不合理的差别待遇C.必须向个人提供拒绝方式或不针对其个人特征的选项D.需要征得个人的单独同意
7🎊、以下关于 敏感个人信息的理解哪个是正确的?()
A. 敏感个人信息和重要数据是指同一个概念B. 敏感个人信息不同于隐私C. 所有处理敏感个人信息的情形必须取得个人信息主体的同意D. 敏感个人信息不包括个人财产信息
8、根据我国《个人信息保护法》,通过自动化决策方式向个人进行信息推送、商业营销📤,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的()方式。
A.选择B.拒绝C.同意D.查看
9🧑⚕️、在公共场所安装图像采集💂🏽♀️、个人身份识别设备,所收集的个人图像🙏、身份识别信息只能用于(),不得用于其他目的;取得个人单独同意的除外🧛🏽♀️。
A♚🦘、维护公共秩序的目的B、维护信息安全的目的C💆🏼🤔、维护公序良俗的目的D🤛🏿、维护公共安全的目的
10、下列选项违反收集个人信息的最小必要原则的是🚵🏽♂️?()
A.甲使用一款导航App导航,该App要求甲输入出发地和目的地并要求打开手机的位置权限。B.乙使用一款导航App,该App还包含了网约车功能,但要求用户提供电话号码、支付方式才能使用网约车功能。C.丙使用一款外卖App,该App要求丙提供个人的收货地址0️⃣🏄🏼♀️、联系方式、支付方式和位 置权限🤺🦗。D.丁使用一款购物App,该App要求丁提供个人的收货地址🤥、联系方式和支付方式。
11、以下哪种情况可以向第三方提供收集到的敏感个人信息?()
A.经过处理无法识别特定个人且不能复原B.向个人详细说明向第三方提供个人信息的用途和范围C.收集个人信息前已经通过一揽子授权的方式取得了个人的同意D.第三方承诺不对外泄露提供的敏感个人信息
12🧙🏽🧘🏿、在处理下列哪种个人信息时🪺,应当制定专门的个人信息处理规则🙌🏼?
A.敏感个人信息B.不满十四周岁未成年人个人信息C.关键信息基础设施收集的个人信息D.向境外提供的个人信息
13🧏🏽♀️、个人信息主体请求注销账户🧞,注销过程如需进行身份核验,要求个人信息主体再次提供的个人信息类型应:
A. 要求和注册时提供的个人信息类型一样多B. 不多于注册、使用等服务环节收集的个人信息类型C. 根据实际情况,由个人信息处理者确定提供的个人信息类型D. 至少包括联系方式和身份证号码
14、小安在某求职网站上上传了自己的一些基本信息,希望有新宝gg会聘用他,但是有一天他发现该网站公布的他的信息有错误,小安连忙联系了网站的运营方🚽,该运营方应当为小安:
A. 提供注销账户的方法B. 提供请求更正或补充信息的方法C. 提供删除信息的方法D. 提供信息复制的方法
15💇🏿♀️、下列哪一项是个人信息处理者委托处理个人信息时的正确做法🕦🔟?()
A. 在委托合同中约定个人信息安全保护措施B. 受托人超过受托范围处理个人信息C. 不对受托人的个人信息处理活动进行监督D. 未经委托人同意🏌🏼♀️,转委托他人处理个人信息
16🧝🏽♂️、个人信息保护影响评估应包括的内容是🙍🏿♀️?()
A🆙、个人信息的处理目的、处理方式等是否合法、正当、必要B、对个人权益的影响及安全风险C、所采取的保护措施是否合法🏃🏻、有效并与风险程度相适应D🍇、以上都包含
17、下列选项⛺️,应当将个人信息存储在中华人民共和国境内的是?()
A. 甲县民政局收集的婚姻登记信息B. 乙新宝gg是一家初创企业,非关键信息基础设施运营者,拥有十多万消费者客户,因业务需要签订的一千份电子合同🤜🏼,合同上有客户个人信息。C. 丙新宝gg是关键信息基础设施运营者,其在非洲援建时在非洲收集的当地员工个人信息。D. 丁新宝gg处理敏感个人信息量达到了一个亿,其在香港的分新宝gg收集的香港居民个人信息🐛。
18🥷、下列选项违反《个人信息保护法》的是?()
A. 甲平台利用个人信息进行自动化决策,识别出是新用户后👩🦲,会给新用户提供一张8折优惠券。B. 乙新宝gg通过自动化决策方式向用户进行个性化广告推荐🚴🏼,乙新宝gg会在个性化推荐之外同时展示了其他的广告。C. 丙新宝gg通过自动化决策向用户进行个性化广告推荐,丙新宝gg向用户提供了关闭个性化广告推荐的选项,但用户很难找到该选项。D. 丁银行的App有自动判断用户贷款额度的功能,用户对App自动判断的额度有异议的,可以申请人工复核。
19😟、下列关于未成年人个人信息保护的选项正确的是?()
A. 18周岁以下未成年人的个人信息为敏感个人信息。B. 处理16周岁以下未成年人个人信息应当取得该未成年人父母或其他监护人同意🪯。C. 处理16周岁以下未成年人个人信息应当制定专门的处理规则。D. 15岁的小明在注册账号时,只需自己同意就可以填写相关个人信息。
20👩🏻🚒𓀐、小王是新宝gg的数据管理专员🙉,目前正在忙于数据出境安全评估的申报工作👩🏿🎨。在申报之前,新宝gg应当先进行自评估🔅,下列哪一项不属于自评估应当考虑的?()
A. 拟向境外提供的数据的经济价值B. 拟向境外提供的数据的规模C. 境外接收方处理数据的必要性D. 境外接收方是否有能力保障出境数据的安全
21、下列哪项行为行为需要进行网络安全审查?()
A. 境内A新宝gg是一家视频网站,注册用户100万,想到纳斯达克上市。B. 境内B新宝gg是一家网购平台,平台用户注册量有1000万,欲到香港上市。C. 境内C新宝gg是一家提供跨国订酒店业务的新宝gg🤽🏼♂️,注册用户500万,因业务需要需要向境外提供个人信息✒️。D. 境内D新宝gg自上年1月1日起累计向境外提供了10万个人信息🦸🏼♂️。
22、下列哪项行为会被认为“未公开收集使用个人信息规则”👶🏿?()
A.在App中设有独立隐私政策文本B.隐私政策需要通过4次操作才能访问C.在App首次运行时通过弹窗方式提示用户阅读隐私政策D.隐私政策的文字又小又密👸🏽,阅读吃力。
23、以下哪项行为属于“未明示收集使用个人信息的目的、方式和范围”?()
A.个人信息使用规则对应的内容通俗易懂B.在隐私政策中明示App收集使用个人信息的目的⛹🏼♂️、方式和范围C.直接更新隐私政策,不通知用户。D.申请打开收集个人信息权限时同步告知用户目的
24📃、以下哪项行为不会被认定为“未经用户同意收集使用个人信息”👩🏻🦽➡️?()
A.实际收集的个人信息没有超出用户授权范围B.以默认选择同意隐私政策等非明示方式征求用户同意C.故意隐瞒、掩饰收集使用个人信息的真实目的🙌,误导用户同意收集个人信息D.违反公布的收集使用规则收集使用个人信息🧗🏻♂️。
25🧑🧒、收集使用个人信息的目的🙆🏿♂️、方式、范围发生变化时,下列哪项行为不属于通知用户的适当方式?()
A.直接更新B.弹窗消息C.邮件告知D.红点提示
26、下列哪项活动适用《个人信息保护法》?()
A.甲参加同学聚会🥇🛎,为了方便同学日后联系,收集了同学们的联系方式并建立了同学录。B.乙参加同学聚会,为了向同学们推送自家产品,收集了同学们的联系方式🐎。C.丙喜欢追星,会去收集喜欢明星的生日、爱好🙎♀️、个人行程等信息。D.丁的爷爷奶奶想出去旅游🛠,丁收集爷爷奶奶的身份信息帮他们订机票🍋,酒店。
27、下列告知方式符合法律规定的是🤵🏼♀️👳🏿♀️?()
A.甲App的某项需要收集用户的位置信息,在隐私政策里告知用户需要使用位置信息的是哪些功能🚖,并在该功能需要调用位置信息时弹窗告知用户。B.乙App在其隐私政策里写到:为了更好地为用户提供服务🧚♀️,将会收集用户姓名🎥、位置信息和检索记录等信息。C.丙App在其隐私政策里详尽地列出了哪种功能需要处理哪种个人信息🧑🏻🦱🙇🏻♀️,同时为了让隐私政策更可信,使用了大量的专业术语。D.丁App在其隐私政策里使用通俗易懂的语言告知了用户需要哪些功能需要处理哪种个人信息🐡,但其隐私政策使用字体过小、排版紧凑,用户阅读起来很费劲。
28、下列处理个人信息的活动,无需对个人进行告知的是➔?()
A.甲到房屋登记中心办理房屋登记🤛,房屋登记中心需要收集甲的姓名、身份证号和房屋信息。B.乙到银行办理贷款业务👵🏿,银行需要查询乙的征信信息🧜🏼♀️。C.公安机关办理一起涉黑案件,经有关办案程序批准后对犯罪嫌疑人丙进行监听👨🏽🦲。D. 丁医院急诊室来了一名的患者🔞,为了对进行救治,需要了解其个人基本信息🟫、既往病史等,医生通过系统直接获取用户信息📏。
29、哪项技术是个人信息合规审计中用于验证数据完整性和未被篡改的关键手段?
A.数字签名B.数据去重C.入侵检测D.数据脱敏
30、在个人信息合规审计中,哪项技术可以帮助处理敏感数据?
数据挖掘数据脱敏数据加密数据仓库
31◽️、在进行个人信息合规审计时,哪项技术有助于识别和防止未授权的数据访问?
加密通信数据挖掘去标识化访问控制
32、个人信息处理者应当每年编制本组织个人信息保护合规审计计划,年度审计计划应当报()批准🧑🏼🦰,并确保相关方知悉♚。
A. IT管理部门B. 组织最高管理层C. 法务部门D. 内部审计部门
33、处理超过()个人信息的个人信息处理者👨🏼🎨,每年至少开展一次🎧;其他个人信息处理者🧑🏼🎤,每(D)年至少开展一次🧒🏻。
A. 10万人🖐;1B. 100万人;1C. 10万人;2D. 100万人👨🏼🎤;2
34、个人信息保护合规审计过程中收集或发现的与审计依据有关并能够证实的记录、事实陈述或其他信息🪅,是()。
A. 审计证据B. 审计发现C. 审计结论D. 审计结果
35、执行个人信息保护合规审计的专业机构应当保持独立性和客观性,连续为同一审计对象开展个人信息保护合规审计不得超过()次👨🏻🦯。
A. 1B. 2C. 3D. 4
36👨🏽🎤、审计个人信息处理者在个人信息安全事件应急预案方面的合规性时,哪一项不是必需的⚗️? ()
A.新宝gg是否制定个人信息安全事件应急预案(若有🟠,则提供该预案的文本)B.新宝gg的个人信息安全事件应急预案是否经过信息安全专家审定C.新宝gg是否就个人信息安全事件应急预案实施演练(若有💃🏻,请提供演练记录)D.预案是否与新宝gg面临的风险相适应
37、执行个人信息保护合规审计任务时,审计团队收集的审计证据不包括以下哪项? ()
A.用户交互界面截图B.同行的数据合规实践C.新宝gg内部流程与记录D.信息安全等技术文档
38、审计个人信息处理者在个人信息权利响应上的合规时,可以从下列哪个方面收集审计证据? ()
A.App等应用的用户交互界面B.隐私政策/个人信息保护政策C.技术措施D.以上都需要
39、审计下列哪项合规义务,审计团队需进入信息系统收集审计证据🍯?()
A.处理敏感个人信息前,应向个人告知处理敏感个人信息的必要性以及对个人权益的影响B.对外提供个人信息前应实施个人信息保护影响评估C.获取儿童监护人的同意前,应验证儿童监护人的身份。D.对于通过信息系统收集处理个人信息的个人信息处理者🤾🤛🏼,如收集处理个人信息是基于取得用户同意的,则个人信息处理者应对用户的同意进行记录🏄🏿♀️🚶♂️➡️。
40👰🏽、审计隐私政策(个人信息保护政策)时👩🏻,下列哪项不应被判定为不合规🖕?
更新隐私政策中,将原本为订票而收集的地理位置权限同时用于网约车叫车,未重新取得用户同意🔲。更新隐私政策时👨👨👧👧,增加了隐私政策中陈述收集的个人信息字段,未重新取得用户同意更新的隐私政策中变更了处理者的联系邮箱🫙,仅告知用户👨🏻🎨,未重新取得用户同意。隐私政策陈述的安全保护措施与新宝gg实际不一致
二⛑、多项选择题
1、个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇🪡。个人信息处理者应:()
A.在使用过程中定期(至少每年一次)开展个人信息保护影响评估,并依评估结果改进保护个人信息主体的措施🧄。B.在使用过程中定期(至少每半年一次)开展个人信息保护影响评估,并依评估结果改进保护个人信息主体的措施🧑⚕️🎶。C.在规划设计阶段或首次使用前开展个人信息保护影响评估,并依评估结果采取有效的保护个人信息主体的措施。D.向个人信息主体提供针对自动决策结果的投诉渠道,并支持对自动决策结果的人工复核👩🏿🌾。
2、依据《个人信息保护法》规定,下列哪些情形🌙,个人信息处理者应当主动删除个人信息?(个人信息处理者未删除的🚵🏿♀️,个人有权请求删除)()
A.处理目的已实现、无法实现或者为实现处理目的不再必要B.个人信息处理者停止提供产品或者服务🛻,或者保存期限已届满C.个人撤回同意D.人信息处理者违反法律、行政法规或者违反约定处理个人信息

3、以下哪些行为违反了个人信息主体针对多项业务功能自主选择的要求?()
A.以改善服务质量👩🏼🎨、提升使用体验、研发新产品、增强安全性等为由🦂🥯,强制要求个人信息主体同意收集其个人信息。B.当个人信息主体自主作出肯定性动作,如主动点击💂🏼👩🏼✈️、勾选、填写等动作后,个人信息处理者在个人信息主体开启该业务功能前就开始收集个人信息。C.关闭或退出业务功能的途径或方式与个人信息主体选择使用业务功能的途径或方式同样方便。D.个人信息主体不授权同意使用、关闭或退出特定业务功能的,频繁征求个人信息主体的授权同意。
4、个人信息主体要求注销账户时🔕,注销过程不应设置不合理的条件或提出额外要求增加个人信息主体义务👩🎨,如()
A.注销单个账户视同注销多个产品或服务B.注销账户后删除个人信息C.要求个人信息主体填写精确的历史操作记录作为注销的必要条件D.注销账户时必须要做身份核验
5、个人信息主体权益定性方式可以分为以下几个维度?()
A.限制个人自主决定权B.个人名誉受损或遭受精神压力C.引发差别性待遇D.人身财产受损
6🧑🏽🦰📭、依据《个人信息保护法》🚅,哪些情况下个人信息处理者需要进行个人信息保护影响评估🫅👂🏻?()
A.处理敏感个人信息B.利用个人信息进行自动化决策C.委托处理个人信息🚘、向其他个人信息处理者提供个人信息、公开个人信息D.向境外提供个人信息
7🕖、以下属于个人信息去标识化的有哪些🤦?()
A.住址🪵:北京市昌平区天通苑8号楼808室→北京市**区**苑*号楼*室B.月薪:12000元→10000元~20000元C.姓名:王小明→王重阳D.手机号:15236651234→152****1234
8、委托第三方专业机构进行个人信息保护合规审计的🙆🏼👧🏻,应由第三方专业机构组建审计组🐔,必要时,在保持独立原则的前提下🧑🏼🦲👨🍼,组织内部的()等具有审计或个人信息保护相关专业能力的人员可以参与审计并提供支持。
A.内审团队B.安全团队C.法务团队D.研发团队
9🦻🏽♌️、审计方案编制完成后,审计组长和被审计方应对审计方案进行评审📷,审计方案评审应重点考虑以下哪些事项?()
A.结合以往开展的审计工作,审计方案是否可以改进。B.审计工作的过程和输出物是否遵循相关的法律法规、标准规范等的要求C.与审计工作有关的保密和安全事宜D.相关方对审计工作进一步的需求和期望
10、个人信息保护合规审计常用的审计方法有哪些?()
A.访谈交流B.文件检查C.现场检查D.日志分析

三👩🦽、判断题
1💈、通过个人信息保护影响评估可以发现企业日常经营管理中的风险,指导企业建立合规机制避免违规事件的发生。
对错
2、为了保障用户个人信息安全💬,在收集用户信息后,宜将去标识化后的信息与可用于恢复识别个人的信息分开存储😳,确保在针对去标识化信息的后续处理中不重新识别个人。
对错
3、内部合规审计是内审部门对组织中各类业务和控制进行独立评价。
对错
4、外审从改善内部管理出发,通过对发现的问题采取相应纠正措施、预防措施,推动质量改进。
对错
5、审计过程中,收集机房检查记录、产品或服务实际运行检查记录等审计证据,只需要1名个人信息保护合规审计人员参加检查并在检查记录签字即证明证据有效。
对错
6🤱🏻、个人信息保护合规审计可采信履行个人信息保护职责的部门本年度组织的或者仍处于有效期内的网络安全、数据安全、个人信息保护相关安全评估、认证结果。
对错
7、不符合项指的是一种潜在的问题或者一种虽然当前未违反具体规定,但如果不加以改进可能会导致未来出现安全风险的现象👵。
对错
8🤹🏽、个人信息处理者应当妥善保管个人信息保护合规审计底稿、报告等档案资料,相关资料至少保存3年。
对错
9🪸、医院在收集了病人的基因数据前采取了线上方式收集个人的同意,具体方式是患者在平板收电脑上签署《提供基因数据授权同意书》👩🏼🎤,并对该同意书进行存档,以便随时调取👨🦼➡️,审计团队认为这不符合书书面形式要求🌷,审计团队的意见是正确。
对错
10♉️、对于用户为注册App提供的个人邮箱,用户同意的隐私文本没有将邮箱用于其他文本的内容🧑🏻🤝🧑🏻,现新宝gg营销部门向这些邮箱发送新品广告🦹🏻♀️,且在邮件底部提供了退订按钮💏,被审计团队判定为违规🤸🏻♂️,审计团队的意见是合理的。

CCRC-PIPCA个人信息保护合规审计师认证马老师:13521730416/13391509126

四、简答题
1. 审计某款App收集处理儿童个人信息的合规时,请简述对应的个人信息保护合规审计流程✊🏿、方法和审计内容(要点)以及优化建议。
2. 被审计部门应对审计中发现的问题,制定有效可行的整改方案👈🏽,制定整改方案之前需要对不符合原因进行分析,常见的不符合原因有哪些𓀁🏃🏻♂️?请从制度流程建设👼🏽、法规合规(遵从)👩🏼🚀、内部控制、人员培训教育🧑🧒🧒、安全技术防护、个人信息安全事件响应等方面阐述
