文章总结： 本文是一份个人信息保护合规审计的自测练习题，旨在帮助读者检验对相关知识点的掌握程度。内容涵盖了合规审计的核心目标、应遵循的首要原则、个人信息全生命周期处理活动、敏感个人信息处理要求以及合规审计的完整流程等五个方面，并提供了详细的解析和标准答案。 综合评分： 85 文章分类： 数据安全,合规审计,应用安全,政策法规,解决方案

个人信息保护合规审计自测练习（1）

原创

合规酱 合规酱

合规社

2026年3月14日 15:54 上海

探寻合规之道，共筑数据保障之堡。专注为数据安全管理者、技术专家、隐私法务、律师等专业人士打造的知识共享与交流平台。

点击  “合规社”  > 点击右上角“···” > 设为星标⭐

本期为个人信息保护合规审计自测练习题。

通过做题，你可以随时检验自己对知识点的掌握程度，快速定位知识盲点，有针对性地查漏补缺，一步步夯实合规基础，提升专业能力。

反正闲着也是闲着，来，试试看，

一起来自测打卡。

👇👇👇

第1题：个人信息保护合规审计的核心目标是（  ）

A.提高业务运营效率

B.保障个人信息权益，确保处理活动合法合规

C.降低企业经营成本

D.完成监管检查任务

答案：B

解析：从立法本意来看，个人信息保护合规审计并非为了服务业务效率或成本控制，也不是单纯的应付监管，而是以保障自然人个人信息权益为核心，通过对个人信息处理全生命周期的制度、流程、技术、执行情况进行系统性核查，验证处理活动是否符合法律法规、国家标准及行业规范的要求。

参考：

GB/T 46903-2025《数据安全技术 个人信息保护合规审计要求》：3.1 个人信息保护合规审计 由独立的审计主体，依据法律法规、国家标准和行业规范，对个人信息处理者的个人信息处理活动、制度、技术和管理等进行检查、评价，并督促整改的活动。

《个人信息保护法》：第一条 为了保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用，制定本法。

⭐

第2题：依据国家标准，合规审计应当遵循的首要原则是（  ）

A.独立性

B.合法性

C.客观性

D.公正性

答案：B

解析：合法性是合规审计的第一原则，所有审计活动的开展、程序、方法、结论都必须严格遵循现行法律法规、国家标准和行业规范，不得超越法定权限，也不能违反法定程序。

实务结合：在实际审计工作中，审计人员不能仅凭经验或行业惯例开展审计，须以《个人信息保护法》《个人信息保护合规审计指引》GB/T 46903等明确的法规标准为依据；若审计程序违反法定要求，得出的审计结论将不具备法律效力，审计结果也无法被监管部门或企业认可。此外，根据《个人信息保护合规审计指引》，审计人员自身也应具备相应的专业能力与知识，以保障审计工作的质量。

易错点：易误选A（独立性），独立性是合规审计的重要原则，但并非首要原则，合法性是所有原则的基础。

参考：

GB/T 46903-2025《数据安全技术 个人信息保护合规审计要求》 ：4.1 审计原则 合规审计应遵循以下原则：a) 合法性：审计活动应符合国家法律法规、国家标准和行业规范的要求；b) 独立性：审计主体应独立于被审计的个人信息处理者，不受其干预；c) 客观性：审计应基于客观事实，避免主观臆断；d) 公正性：审计结论应公平、公正，不偏袒任何一方；e) 专业性：审计主体及人员应具备相应的专业知识和技能；f) 保密性：审计主体及人员应对审计过程中涉及的个人信息、商业秘密等保密。

⭐

第3题：下列哪一项不属于个人信息全生命周期处理活动？（  ）

A.收集、存储

B.使用、加工

C.产品功能设计

D.提供、公开、删除

答案：C

解析：个人信息全生命周期处理活动，特指对个人信息实际实施的收集、存储、使用、加工、传输、提供、公开、删除、销毁等一系列行为，是直接对个人信息产生影响的操作环节。而产品功能设计属于企业的业务开发流程，是在个人信息处理前的规划阶段，并非直接的个人信息处理行为。

很多企业在产品开发阶段，容易忽略将个人信息处理合规要求嵌入功能设计中（比如未考虑未成年人信息保护的设计逻辑），导致产品上线后出现合规问题，这就是混淆了产品设计与个人信息处理的边界，也是实务中常见的合规风险点。

参考：

《个人信息保护法》：第四条 个人信息处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

GB/T 35273-2020《信息安全技术 个人信息安全规范》第1章范围：本标准规定了开展收集、存储、使用、共享、转让、公开披露、删除等个人信息处理活动的原则和安全要求。

⭐

第4题：处理敏感个人信息应当取得个人的（  ）

A.概括同意

B.单独同意

C.默示同意

D.第三方同意

答案：B

解析：敏感个人信息（如生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等）一旦泄露或滥用，极易对自然人人格尊严、人身财产安全造成严重危害，因此法律对其同意规则作出了严格的特殊要求，必须取得个人单独、明示、自愿的同意，不能与一般个人信息捆绑同意，也不能通过默认勾选、概括同意的方式获取。

实务中，有些APP存在一揽子授权问题，比如要求用户授权收集通讯录、位置信息等一般信息时，默认勾选授权人脸等生物识别信息，这就违反了单独同意的要求；还有部分APP在用户注册时未单独提示敏感信息授权，直接默认同意，均会被监管部门认定为违规，要求整改并可能面临处罚。

参考：

《个人信息保护法》：

第二十八 条敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

第二十九条 处理敏感个人信息应当取得个人的单独同意；法律、行政法规另有规定的，从其规定。

《个人信息保护合规审计指引》第十三条 对个人信息处理者处理敏感个人信息进行合规审计的，应当重点审查下列事项：（一）基于个人同意处理个人信息的，处理生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息，是否事前取得个人的单独同意。

GB/T 45574-2025《数据安全技术 敏感个人信息处理安全要求》5.1 基于个人同意处理敏感个人信息的,应取得个人信息主体的单独同意

GB/T 35273-2020《信息安全技术 个人信息安全规范》5.4 收集个人信息时，应向个人信息主体告知收集、使用个人信息的目的、方式和范围，并获得个人信息主体的授权同意。

⭐

第5题：GB/T 46903 规定的个人信息保护合规审计完整流程是（  ）

A. 准备→实施→报告→整改→归档

B.实施→准备→报告→整改

C.准备→报告→实施→归档

D.实施→报告→整改→准备

答案：A

解析：GB/T 46903-2025 明确规定了合规审计的完整流程，需按照审计准备、审计实施、审计报告、问题整改、归档管理五个阶段依次开展，形成闭环管理，确保审计工作的规范性和有效性。此外，根据《个人信息保护合规审计管理办法》，若为响应监管部门要求而开展的强制审计，在整改完成后还需在15个工作日内向监管部门报送整改情况报告。

实务中，若省略任一阶段都会导致审计工作不完整：比如未做好准备阶段的资料收集、范围确定、人员组建等工作，会导致实施阶段效率低下、证据收集不足；未开展整改阶段的复核、跟踪，会导致审计发现的问题无法得到解决，审计失去实际意义；未进行归档管理，也会导致审计资料无法追溯，无法应对后续的监管检查或内部复盘。

参考：

GB/T 46903-2025《数据安全技术 个人信息保护合规审计要求》5 个人信息保护合规审计实施流程：个人信息保护合规审计实施流程包含审计准备、审计实施、审计报告、问题整改、归档管理5个阶段。

《个人信息保护合规审计管理办法》第十一条 个人信息处理者按照履行个人信息保护职责的部门要求开展个人信息保护合规审计的，应当按照要求对发现的问题进行整改，在整改完成后15个工作日内，向履行个人信息保护职责的部门报送整改情况报告。

星球内已上架合规审计相关材料

✅ GB/T 46903-2025 国标图解PPT

✅ 合规审计工作方案 / 计划 / 底稿 / 报告模板

✅ 个人信息保护合规审计要求映射表

✅ 未成年人个人信息保护核心法规、标准及合规审计要求清单

✅ 《个人信息保护合规审计管理办法》Q&A

✅ 个人信息保护合规审计人员能力要求和任职资格

✅ 个人信息保护意识 / 数据安全意识培训课件

✅ 个人信息保护法行政处罚案例、典型司法裁判案例

✅ 个人信息保护PIA评估问卷、访谈调研表格、相关制度

加入方式

扫码加入【合规社】知识星球，海量材料持续更新、直接下载。1240+已加入

⬇️⬇️⬇️

「 数据安全合规知识星球 」是一个专注于数据安全和个人信息保护的资源和知识集散地。星球提供图解PPT、数据安全合规管理制度模板、评估工具及评估报告模板、监管政策及标准汇编整理等，帮助组织或个人理解并遵守数据安全合规的法律法规，促进操作和业务流程的安全合规。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：合规社 合规酱 合规酱《个人信息保护合规审计自测练习（1）》