分享｜“移动应用程序个人信息安全测试”技能竞赛笔试题

（总分 100 分）

姓名： 所在单位： 证件号码：

一、 填空题（每空 2 分，共 5 空，总分 10 分）

1. 个人信息是以电子或其他方式记录的能够____或者与其他信息结合____ 特定自然人身份或反映特定自然人活动情况的各种信息，包括个人____信息，如个人生物识别信息、行踪轨迹等。

2. 根据《个保法》规定，收集敏感个人信息前，应取得个人信息主体的_____ 同意。

3. 收集个人信息前应征得个人信息主体的授权同意。授权同意包括通过积极的行为作出授权即_____同意，或者通过消极的不作为而作出授权。

二、 单选题（每题 2 分，共 10 题，总分 20 分）

4. App 收集的个人信息类型应与实现服务的业务功能有直接关联关系，体现了个人信息安全的哪项基本原则。（）

A、权责一致

B、目的明确

C、最小必要

D、公开透明

5. 日常生活中为了保护个人信息安全，我们不应采取___。（）

A、签收快递后及时撕毁快递包裹上的个人信息

B、为了增加面试机会，大量投递个人简历

C、输入密码时确保无人偷窥

D、使用后及时销毁身份证复印件

6. 下列场景中不属于收集个人信息的是____。（）

A、某 App 自动采集用户的地理位置信息。

B、某 App 注册会员时需要用户输入职业类型。

C、某 App 通过嵌入第三方 SDK 记录用户行为日志。

D、某 App 支持离线地图为用户提供路线规划服务。

7. App 在收集下列各类（）信息时，除了向个人信息主体告知收集、使用个人信息的目的、方式和范围等规则，应征得个人信息主体的明示同意；并确保个人信息主体的明示同意是其在完全知情的基础上自主给出的、具体的、清晰明确的意愿。

A、个人信息主体账号、IP 地址、个人数字证书等。

B、个人学历、社保卡、体检报告等。

C、设备软件列表、网页浏览记录、交易和消费记录等。

D、好友列表、通信记录和内容、行踪轨迹等。

8. 下列哪种情形中，个人信息控制者可以不响应个人信息主体的请求。（）

A、当 App 存在将个人信息非法提供向第三方时，用户向个人信息控制者提出请求撤回授权同意和删除个人信息。

B、当 App 展示的个人信息有错误时，用户向个人信息控制者提出请求更正个人信息。

C、用户向个人信息控制者提出获取个人信息副本请求可能涉及商业秘密。

D、个人信息控制者响应用户的请求将导致个人信息主体或其他个人、组织的合法权益受到严重损害。

9. 某招聘类 App 在明示告知和征得用户同意后采集了本机的 MAC 地址、地理位置信息，注册时用户通过手动填写姓名、电话号码、身份证号码、学历等信息完成注册，则以下关于 App 向用户提供个人信息副本的描述正确的是（）。

A、宜提供姓名、电话号码、身份证号码、学历信息。

B、可不提供 MAC 地址、地理位置。

C、必须提供姓名、电话号码、身份证号码、学历信息、MAC 地址、地理位

置。

D、不能将个人信息副本传输给用户指定的第三方。

10. App 运营者（甲）购买了第三方服务提供者（乙）的短信接口服务，从而实现甲调用乙的短信接口向 App 客户端用户发送短信验证码、通知、广告等信息。甲与乙双方合同约定，乙不得留存或访问向甲提供短信接口服务中涉及的信息内容。请问该场景下甲与乙是以下哪种关系（）。

A、共享

B、转让

C、委托处理

D、共同个人信息控制者

11. A 公司因经营不善将其拥有的全部个人信息卖于 B 公司，且双方通过合同和技术手段确保 A 删除了全部个人信息。请问该场景下 A 与 B 是属于哪种关系（）

A、共享

B、转让

C、委托处理

D、共同个人信息控制者

12. App 在收集个人信息前可采用不同方式向用户进行告知，以下哪种场景的告知方式是不符合规范的（）。

A、某 App 提供的快捷登录功能需要收集用户的指纹识别信息，在首次启动时 App 主动弹出包含个人信息保护政策访问链接的独立界面，通过个人信息保护政策向个人信息主体告知了各项业务功能收集、使用个人信息的目的、方式和范围等规则，并提供了同意或不同意的选择按钮。

B、某 App 的注册、登录功能支持第三方平台账号登录，可通过第三方平台间接获取用户的账号、姓名、电话号码信息；App 在获取个人信息前，通过跳转至第三方平台的申请授权窗口的方式征得个人信息主体明示同意。

C、某 App 的基本业务功能需要收集用户的学历、学位、教育经历、培训经历等信息，在收集不满 14 周岁未成年人用户的个人信息前，通过单独弹窗的方式征得了未成年人或其监护人的明示同意。

D、某 App 提供多项需要收集个人信息的业务功能时，通过首次使用时弹窗形式和提供个人信息保护政策的方式告知了各项业务功能收集、使用个人信息的目的、方式和范围等规则。

13. 根据《个人信息保护法》规定，以下哪些活动属于对个人信息的处理（）。

A、产生、使用、维护、销毁

B、收集、传输、存储、销毁

C、产生、使用、加工、传输

D、收集、使用、加工、删除

三、 多选题（每题 4 分，共 5 题，总分 20 分，选错或少选多选均不得分）

14. 以下关于 App 收集个人信息的情形正确的是____。（）

A、征得授权同意前收集与业务功能有关的必要个人信息

B、征得授权同意后收集与业务功能无关的个人信息

C、征得授权同意后收集与业务功能有关的个人信息

D、征得授权同意后收集与业务功能有关的必要个人信息

15. 为保障敏感个人信息安全，招聘者在网上征集简历时应避免收集以下哪些个人信息：（）

A、手机号码

B、身份证号码

C、宗教信仰

D、生育信息

16. 以下行为中你认为哪些是不合规的：（）

A、某 App 为方便用户快速登录，登录界面默认勾选“我已阅读并同意隐私政策”。

B、App 业务功能中收集的个人信息与隐私政策中告知用户收集的个人信息类型不相符。

C、某 App 在用户同意隐私政策后，在后台持续采集设备软件列表、MAC 地址等个人信息，而隐私政策中未告知用户该种场景。

D、某 App 在用户同意隐私政策前，在后台多次调用 IMEI 接口将 IMEI 信息上传至服务器。

17. 个人信息控制者开展个人信息处理活动应遵循合法、正当、必要的原则，以下哪些说法是正确的：（）

A、向个人信息主体明示个人信息处理目的、方式、范围等规则，征求其授权同意。

B、以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等，如涉及商业秘密的，可不接受外部监督。

C、只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后，应及时删除个人信息。

D、向个人信息主体提供能够查询、更正、删除其个人信息，以及撤回授权同意、注销账户、投诉等方法。

18. 个人信息控制者在收集个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人信息主体告知下列事项。（）

A、个人信息控制者的身份信息

B、个人信息的处理目的、方式、范围以及保存期限

C、个人信息主体的权利和实现方法

D、提供个人信息后可能存在的安全风险

四、 判断题（每题 2 分，共 10 题，总分 20 分，请填写“对”或“错”）

19. 个人信息经匿名化处理后所得的信息不再属于个人信息。

20. 用户画像或特征标签不属于个人信息。

21. 向香港或澳门地区的个人信息处理者提供、传输个人信息，属于个人信息跨境提供。

22. 收集个人生物特征信息前，App 通过隐私政策告知收集、使用个人生物识别信息的目的、方式和范围，以及存储时间等规则，并征得用户的明示同意。

23. 采用泛化、假名化、加密等方法可实现个人信息的去标识化处理。

24. App 用户在申请注销账号操作时，受运营者统一账号管理平台的影响，需要同时注销平台旗下所有 App 相关账号。

25. 当用户拒绝提供 App 所需必要个人信息时，App 不再提供基本业务功能。

26. 某 App 向用户明示告知，为保障改善服务质量、提升使用体验、研发新产品、增强安全性等为由，须收集用户相应的个人信息。

27. 为满足收集个人信息最小必要原则，在设计 App 自动收集个人信息的业务功能时，可根据实际业务场景的需要对个人信息进行多次采集。

28. 用户在使用某 App 的扩展业务功能时，拒绝同意 App 扩展业务功能所必要收集的个人信息，App 可向用户拒绝提供基本业务功能。

五、 简答题（每题 5 分，共 3 题，总分 15 分）

29. 收集个人信息的方式有哪些？

30. 如何判断某款 App 是否存在超范围收集个人信息的行为？

31. 请举例说明明示同意与单独同意的联系与区别。

六、 场景分析题（共 3 题，总分 15 分）

32. （二选一）某教育类 App 需要老师通过后台系统注册填写学生信息后，学生才可以登录使用 App，那么 App 运营方通过哪种收集方式获得了学生个人信息？请给出理由。

添加图片注释，不超过 140 字（可选）

33. （二选一）某基金证券类 App 运营者存在基金代销的情况，用户从第三 方代销公司购买基金后其个人信息会在该基金公司核心系统留存，那么 App 运营者通过哪种收集方式获取了个人信息？请给出理由。

34. 某 App 属于社交、电子商务类型，要求注册用户具有虚拟的个人消费账 户。App 要求注销账号需满足以下条件之一：1）账号余额为 0；2）可消费卡券余额为 0 或已全部过期失效（等值金额过期默认是 1 年有效期）。 某用户拟注销平台账号时，发现其账号余额（定义见注 1）和可消费卡券余额（定义参考注 2）均大于 0 元，但又不足以购买 App 中相关商品或服务，且等待两月后卡券过期失效。

注 1：“账号余额”是使用货币购买的虚拟资产或退款所得，不支持提现。

注 2：“可消费卡券余额”是参加平台活动获得的等值金额奖励，如积分/消费券/红包等具有人民币价值且可消费的属性类型。

请问平台以上的做法是否符合 GB/T 35273 中关于注销账户的要求？请详细说明理由。

35. 您认为开展个人信息安全测试需具备哪些方面技术能力和哪些类别专业检测工具？贵单位在个人信息安全检测方面有哪些技术优势？

《笔试参考答案》

一、填空题 1.单独、识别、敏感 2.单独 3.明示

二、单选题 4-8. CBDDD 9-13.ACBCD

三、多选题 14.CD 15.BCD 16.ABCD 17.ACD 18.ABCD

四、判断题 19-28.对错对错对错对错对错

五、简单题

29.评分参考：（1）由个人信息主体主动提供；（2）通过与个人信息主体交 互或记录个人信息主体行为等自动采集；（3）通过共享、转让、搜集公开信息等间接获取个人信息等行为。描述了“主动提供”、“自动采集”、“间接获取”得 3 分，结果描述的完整性得 1-2 分。

30.评分参考：（1）判断 App 收集的必要个人信息是否超出相关服务类型的必要信息范围；（2）判断 App 收集的有关个人信息是否与隐私政策描述一致；

（3）判断 App 是否存在收集无关个人信息的情况。答出任意一点得 2 分，答出3 点得 5 分。

31.评分参考：明示同意和单独同意都是授权同意的一种方式，区别于默示同意。单独同意也是一种明示同意。完整描述明示同意与单独同意存在的联系（2 分）；单独同意是相对于一揽子同意的，明示同意是相对于默示同意的。完整描述明示同意与单独同意的区别（3 分）。

32.答案与分析：属于主动提供或直接获取（2 分）。由于老师与学生均为软件系统（含客户端 App 和后台系统）的用户，属于直接获取个人信息。（3 分）

33.答案与分析：属于间接获取（2 分）。该基金公司（个人信息控制者）通过第三方代销公司（其他个人信息控制者）共享或者委托处理获得个人信息主体的个人信息（3 分）。

34.答案与分析：不符合注销账户相关要求（2 分）。围绕该平台设置的注销账号条件存在不合理和额外增加个人信息主体义务的情况不满足 GB/T 35273 8.5d)的要求进行描述的（3 分）。

35.评分参考：体现了人员对个人信息相关法律法规、标准规范的理解（1 分）； 体现了人员技术能力（1 分）；体现了熟悉的工具（1 分）；体现单位情况：规模、项目经验、人员获证情况、管理情况等（2 分）。

（本文内容整理自市场监管总局发布的《移动应用程序个人信息安全测试技能竞赛总结报告》，仅作交流分享，如有侵权，请联系删除，更多内容可查看我的专栏）