个人信息安全保护法题库及答案解析

第第PAGE\MERGEFORMAT1页共NUMPAGES\MERGEFORMAT1页个人信息安全保护法题库及答案解析（含答案及解析）姓名：科室/部门/班级：得分：题型单选题多选题判断题填空题简答题案例分析题总分得分

一、单选题（共20分）

（每题2分，共20题）

1.根据中国《个人信息保护法》的规定，以下哪项行为属于处理敏感个人信息？（）

A.在用户注册时收集姓名和手机号码

B.为用户提供个性化推荐服务，收集浏览记录

C.向第三方出售用户地理位置信息

D.通过用户协议明确授权收集使用条款

答：________

2.企业在处理个人信息时，应当遵循的基本原则不包括？（）

A.合法、正当、必要原则

B.公开透明原则

C.最小化处理原则

D.自动化决策原则（未明确说明目的和影响）

答：________

3.哪种情况下，个人信息处理者可以不经个人同意直接处理其个人信息？（）

A.为订立、履行合同所必需

B.为保护自然人的生命健康等重大利益需要

C.经过个人同意但未明确用途

D.基于个人同意处理，但超出同意范围

答：________

4.个人信息保护影响评估制度适用于哪些场景？（）

A.首次收集个人信息

B.定期更新用户资料

C.仅用于内部管理决策

D.收集个人信息用于广告投放

答：________

5.在个人信息跨境传输中，若境外接收者所在国家或地区无法提供充分保护，个人信息处理者应采取的措施不包括？（）

A.取得专业机构的评估证明

B.与境外接收者签订约束性协议

C.仅在特定业务场景下传输

D.停止传输个人信息

答：________

6.敏感个人信息的处理需要取得个人的单独同意，以下哪项不属于敏感个人信息？（）

A.生物识别信息

B.行踪轨迹信息

C.财务账户信息

D.用户的购物偏好

答：________

7.未成年人个人信息的处理需要经过监护人同意，以下哪种情形下可以未经监护人同意直接处理？（）

A.为提供教育服务所必需

B.通过可穿戴设备收集健康数据

C.在游戏中收集昵称和头像信息

D.为新闻舆论监督目的收集信息

答：________

8.企业员工离职后，若其掌握的个人信息资料未及时销毁或脱敏，可能面临的法律责任不包括？（）

A.行政处罚

B.民事赔偿

C.刑事责任（如涉及故意泄露）

D.市场禁入

答：________

9.根据法律要求，个人信息处理者应当记录并定期审查个人信息处理活动，记录保存期限至少为？（）

A.3年

B.5年

C.7年

D.10年

答：________

10.用户要求删除其个人信息时，个人信息处理者应在多长时间内完成删除？（）

A.7日内

B.15日内

C.30日内

D.60日内

答：________

11.个人信息处理者委托第三方处理个人信息时，应当签订书面协议，协议内容不包括？（）

A.处理目的和方式

B.处理者的权利义务

C.用户的投诉渠道

D.第三方的收费标准

答：________

12.在公共场所安装图像采集设备时，个人信息处理者需要满足的条件不包括？（）

A.设置显著的提示标识

B.隐去个人面部特征

C.仅用于维护公共安全

D.定期向公众公布采集数据

答：________

13.个人信息处理者对个人信息进行自动化决策时，不得对个人在交易价格等交易条件上实行不合理的差别待遇，该规定属于《个人信息保护法》的哪项原则？（）

A.公开透明原则

B.知情同意原则

C.限定目的原则

D.数据安全原则

答：________

14.用户有权访问其个人信息，以下哪种情况不属于用户访问个人信息的权利范围？（）

A.查询其个人信息的处理记录

B.要求更正不准确的信息

C.删除其不希望被处理的信息

D.要求个人信息处理者停止自动化决策

答：________

15.个人信息处理者因违反法律义务导致个人信息泄露，应采取的补救措施不包括？（）

A.及时通知用户

B.向监管机构报告

C.采取技术措施防止泄露扩大

D.向用户支付违约金

答：________

16.哪种情况下，个人信息处理者的“合法利益”可以成为处理个人信息的正当理由？（）

A.为提高用户服务体验

B.为商业营销目的

C.为完成法定职责

D.为竞争对手收集信息

答：________

17.个人信息处理者对个人信息进行匿名化处理时，应确保原始信息无法被复原，这种处理方式的法律效力如何？（）

A.仅适用于公开场景

B.不受法律限制

C.仍需遵守最小化处理原则

D.可以完全豁免所有法律责任

答：________

18.在个人信息跨境传输场景中，若境外接收者所在国家采用“安全港”机制，个人信息处理者仍需履行的义务包括？（）

A.无需进行风险评估

B.必须与境外接收者签订约束性协议

C.可以完全自主决定传输内容

D.无需告知用户传输行为

答：________

19.教育机构在处理学生个人信息时，若未取得监护人的同意，可能违反的法律规定不包括？（）

A.《个人信息保护法》

B.《未成年人保护法》

C.《教育法》

D.《广告法》

答：________

20.个人信息处理者需要对个人信息进行加密存储，以下哪种加密方式不属于法律推荐的技术措施？（）

A.使用AES-256加密算法

B.对存储设备进行物理隔离

C.仅依赖用户密码保护

D.采用区块链技术存储

答：________

二、多选题（共15分）

（每题3分，共5题，多选、错选均不得分）

21.个人信息处理者收集个人信息时，应当明确告知个人的事项包括？（）

A.处理目的

B.处理方式

C.个人有权拒绝提供的信息

D.个人信息存储期限

E.个人投诉举报途径

答：________

22.以下哪些情形属于《个人信息保护法》中规定的“处理敏感个人信息”？（）

A.为提供医疗健康服务收集基因信息

B.为评估信用风险收集个人征信数据

C.为提供社交功能收集用户关系链信息

D.为分析市场趋势收集用户消费习惯

E.为身份核验收集人脸识别信息

答：________

23.个人信息处理者委托第三方处理个人信息时，应当履行的义务包括？（）

A.明确委托处理事项

B.约定双方的权利义务

C.定期审核第三方处理情况

D.限制第三方对个人信息的访问权限

E.对第三方进行经济利益激励

答：________

24.个人信息处理者对个人信息进行自动化决策时，需要满足的条件包括？（）

A.提供非自动化决策选项

B.隐去决策逻辑的算法参数

C.保障个人依法享有的权利

D.对决策结果进行人工干预

E.告知个人决策的依据和结果

答：________

25.个人信息泄露后，个人信息处理者应当采取的补救措施包括？（）

A.立即停止泄露行为

B.评估泄露可能造成的损害

C.向用户通报泄露情况

D.向监管机构报告泄露事件

E.采取技术措施降低泄露影响

答：________

三、判断题（共10分）

（每题1分，共10题，正确打“√”，错误打“×”）

26.个人信息处理者可以因“公共利益”而无条件处理个人的敏感个人信息。（）

答：________

27.用户有权撤回其同意处理个人信息的决定，撤回同意不影响处理者基于撤回前已处理的个人信息采取的法律行为。（）

答：________

28.敏感个人信息的处理需要取得个人的单独同意，但紧急情况下为保护个人生命健康等重大利益除外。（）

答：________

29.个人信息处理者对个人信息进行匿名化处理后，仍需遵守数据安全的要求。（）

答：________

30.个人信息跨境传输时，若境外接收者所在国家或地区未提供充分保护，个人信息处理者可以直接传输，无需额外措施。（）

答：________

31.个人信息处理者可以对用户进行“大数据杀熟”，只要其行为不违反消费者权益保护法即可。（）

答：________

32.未成年人个人信息的处理需要经过监护人同意，但学校为管理学生事务可以例外。（）

答：________

33.个人信息处理者对个人信息进行自动化决策时，可以完全自主决定，无需考虑个人的合理关切。（）

答：________

34.个人信息处理者可以对用户的个人信息进行商业利用，只要不违反用户明确拒绝的用途。（）

答：________

35.个人信息保护影响评估制度的适用范围仅限于处理敏感个人信息。（）

答：________

四、填空题（共10分）

（每空2分，共5空）

36.个人信息处理者处理个人信息应当具有明确、合理的目的，并应当______、______、______，不得超出处理目的，不得随意扩大处理范围。

答：________，________，________

37.个人信息处理者委托第三方处理个人信息时，应当采用书面形式，并约定双方的权利和义务，明确委托______、______、______等内容。

答：________，________，________

38.个人信息处理者因违反法律义务导致个人信息泄露，应当及时采取补救措施，并自泄露或者可能泄露之日起______日内，向履行个人信息保护职责的部门履行告知义务。

答：________

39.个人信息处理者对个人信息进行自动化决策时，不得对个人在______、______等方面实行不合理的差别待遇。

答：________，________

40.敏感个人信息的处理需要取得个人的______同意，且处理目的和方式应当______、______。

答：________，________，________

五、简答题（共25分）

（每题5分，共5题）

41.简述《个人信息保护法》中规定的“告知义务”的主要内容。

答：________

42.个人信息处理者如何履行“个人信息保护影响评估”制度的要求？

答：________

43.用户在个人信息处理过程中享有哪些主要权利？

答：________

44.企业在处理个人信息跨境传输时，需要考虑哪些风险和合规措施？

答：________

45.敏感个人信息的处理有哪些特殊要求？

答：________

六、案例分析题（共10分）

（每题10分，共1题）

案例：

某互联网公司通过用户协议收集用户的浏览记录、搜索关键词、消费习惯等个人信息，用于提供个性化推荐服务。公司声称“用户注册即默认同意所有数据处理”，并未明确告知处理目的和方式。后因系统漏洞导致部分用户敏感信息（如身份证号、银行卡信息）泄露，公司仅向用户发送了一条“系统优化导致信息泄露，请放心使用”的短信，未采取进一步补救措施。

问题：

（1）该公司在收集和处理个人信息方面存在哪些违法行为？

（2）该公司在信息泄露后应采取哪些补救措施？

（3）若用户要求公司删除其个人信息，公司应如何处理？

答：________

参考答案及解析

一、单选题

1.C

解析：根据《个人信息保护法》第39条，处理敏感个人信息需取得个人单独同意，出售敏感信息属于违法行为。A、B、D选项均属于常规信息处理场景。

2.D

解析：法律规定的原则包括合法、正当、必要、公开透明、最小化处理、目的限制、确保安全等，自动化决策本身不属于原则，但需遵守原则约束。

3.A

解析：根据第7条，处理个人信息需具有明确、合理的目的，为订立、履行合同所必需属于“合法基础”。B、C、D选项均需明确同意或法定依据。

4.A

解析：根据第50条，处理敏感个人信息、利用个人信息进行自动化决策、跨境传输等场景需进行影响评估。B、C、D选项不符合评估适用条件。

5.D

解析：根据第37条，若境外接收者无法提供充分保护，应停止传输或采取约束性协议、认证机制等措施，不能直接停止传输。

6.D

解析：购物偏好属于常规信息，生物识别、行踪轨迹、财务账户属于敏感信息。A、B、C均需单独同意。

7.A

解析：根据第13条，为提供教育服务所必需属于例外情形，但需取得监护人同意或适用其他法定依据。B、C、D选项均需明确同意。

8.D

解析：A、B、C均属于法律责任，市场禁入适用于严重违法行为，但通常需经监管机构决定，不能自行实施。

9.B

解析：根据第53条，处理活动记录至少保存5年。A、C、D均为错误期限。

10.B

解析：根据第16条，删除请求应在15日内响应。A、C、D均为错误时限。

11.D

解析：协议内容应包括处理目的、权利义务、投诉渠道等，但收费标准不属于强制条款。

12.D

解析：根据第24条，公共场所安装图像采集设备需设置显著提示，隐去个人特征，用于公共利益，但无需定期公布数据。

13.D

解析：自动化决策中的差别待遇属于“数据安全”原则的延伸，法律明确禁止此类行为。

14.D

解析：访问权利包括查询、更正、删除，但停止自动化决策属于监督权利，需通过投诉渠道行使。

15.D

解析：法律要求支付的是“赔偿”，而非“违约金”，且需根据实际损害确定。

16.A

解析：合法利益需符合必要性原则，如提高服务体验属于正当理由，但商业营销需额外取得同意。

17.C

解析：匿名化处理后仍需遵守最小化处理原则，法律未完全豁免所有责任。

18.B

解析：即使采用“安全港”机制，仍需签订约束性协议等保障措施。

19.D

解析：违反《个人信息保护法》《未成年人保护法》《教育法》均可能，但《广告法》与个人信息处理无直接关联。

20.C

解析：仅依赖用户密码保护属于弱保护措施，法律推荐使用加密、脱敏等技术手段。

二、多选题

21.ABCDE

解析：根据第13条，告知事项包括处理目的、方式、存储期限、投诉途径等。

22.AB

解析：基因信息、征信数据属于敏感信息，关系链、消费习惯、人脸识别不属于。

23.ABCD

解析：委托处理需明确事项、权利义务、审核义务，经济激励非法律要求。

24.ACE

解析：自动化决策需提供非自动化选项、保障个人权利、告知依据，算法参数无需隐藏。

25.ABCDE

解析：法律要求立即停止、评估损害、通报用户、报告监管、降低影响。

三、判断题

26.×

解析：敏感信息处理需单独同意，但公共利益例外。

27.√

解析：根据第13条，撤回同意不影响已处理行为的效力。

28.√

解析：紧急情况下为保护重大利益可例外处理。

29.√

解析：匿名化处理仍需确保数据安全。

30.×

解析：境外保护不足时需额外措施，不能直接传输。

31.×

解析：“大数据杀熟”违反公平交易原则，需同时遵守《消费者权益保护法》。

32.×

解析：学校管理学生事务仍需取得监护同意或适用其他依据。

33.×

解析：自动化决策需考虑个人合理关切。

34.×

解析：商业利用需符合