《个人信息保护法》试题附答案

《个人信息保护法》试题附答案一、单项选择题（每题2分，共30分）1.根据《个人信息保护法》，下列哪项不属于“个人信息”的范畴？A.自然人的姓名、出生日期B.已匿名化处理的用户消费记录C.自然人的生物识别信息、住址D.能够单独或与其他信息结合识别特定自然人的账号信息答案：B（依据第四条，匿名化处理后的信息不属于个人信息）2.个人信息处理者处理敏感个人信息时，除一般告知事项外，还需特别告知的内容是？A.个人信息的处理目的B.处理敏感个人信息的必要性C.个人信息的保存期限D.个人信息的处理方式答案：B（依据第二十九条，处理敏感个人信息应告知处理的必要性及对个人权益的影响）3.不满十四周岁未成年人的个人信息被处理时，个人信息处理者应取得谁的同意？A.未成年人本人B.未成年人的学校C.未成年人的父母或其他监护人D.未成年人住所地的居民委员会答案：C（依据第三十一条，不满十四周岁未成年人的个人信息处理需取得其父母或其他监护人的单独同意）4.个人信息处理者向境外提供个人信息时，不需要满足的条件是？A.通过国家网信部门组织的安全评估B.按照国家网信部门的规定经专业机构进行个人信息保护认证C.与境外接收方订立合同，约定双方的权利和义务D.向个人信息主体支付额外费用作为补偿答案：D（依据第三十八条，向境外提供个人信息需满足安全评估、认证、合同约定等条件，无支付费用要求）5.个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的，应当？A.直接转移给接收方B.经个人信息主体书面同意C.告知个人信息主体接收方的名称或姓名、联系方式D.由接收方承担全部法律责任答案：C（依据第二十二条，转移个人信息需向个人信息主体告知接收方的名称或姓名、联系方式、处理目的等）6.个人信息主体要求个人信息处理者删除其个人信息时，下列哪项不属于法定删除情形？A.处理目的已实现B.个人信息处理者违反法律规定处理个人信息C.个人信息主体撤回同意D.个人信息主体不再使用相关产品或服务答案：D（依据第四十七条，法定删除情形包括处理目的已实现/无法实现、撤回同意、违反法律规定等，“不再使用产品或服务”非法定情形）7.个人信息处理者利用个人信息进行自动化决策时，下列哪项行为不符合法律要求？A.保证决策的透明度和结果公平、公正B.仅向用户推送与其兴趣相关的商品信息，不提供不针对其个人特征的选项C.告知用户自动化决策的基本原理和影响D.用户有权拒绝仅通过自动化决策方式作出的决定答案：B（依据第二十四条，自动化决策应提供不针对个人特征的选项，或提供便捷的拒绝方式）8.履行个人信息保护职责的部门在履行职责时，无权采取的措施是？A.进入现场检查B.询问相关人员C.查阅、复制与个人信息处理活动有关的合同、记录等资料D.对个人信息处理者的法定代表人实施行政拘留答案：D（依据第六十四条，监管部门可采取检查、询问、查阅资料等措施，行政拘留非其职权范围）9.个人信息处理者的个人信息保护负责人应当？A.由技术部门负责人兼任B.直接向董事会报告工作C.具备计算机技术背景D.无需公开其联系方式答案：B（依据第五十二条，处理者应指定负责人，负责人直接向高层报告，需公开联系方式）10.个人信息处理者应当定期对其个人信息处理活动进行合规审计，审计频率至少为？A.每季度一次B.每半年一次C.每年一次D.每两年一次答案：C（依据第五十四条，合规审计应每年至少进行一次）11.个人信息处理者因业务需要，需将收集的个人信息提供给第三方时，应当？A.无需告知个人信息主体B.仅需告知第三方的名称C.明确告知提供的个人信息种类、目的D.由第三方自行向个人信息主体告知答案：C（依据第二十三条，提供给第三方需向个人信息主体告知接收方的名称、处理目的、方式和种类等）12.关于个人信息的保存期限，下列说法正确的是？A.保存期限应尽可能延长以满足业务需求B.保存期限应为处理目的所必要的最短时间C.法律未明确规定，由处理者自行决定D.保存期限不得超过五年答案：B（依据第十九条，保存期限应为实现处理目的所必要的最短时间）13.个人信息主体发现其个人信息不准确或不完整时，有权要求处理者？A.立即删除B.更正或补充C.停止处理D.赔偿损失答案：B（依据第四十六条，主体有权要求更正或补充不准确、不完整的个人信息）14.个人信息处理者发生个人信息泄露事件时，应当立即采取补救措施，并在多长时间内向履行个人信息保护职责的部门报告？A.24小时内B.48小时内C.3个工作日内D.7个工作日内答案：A（依据第五十七条，发生泄露应立即补救，并在24小时内报告）15.违反《个人信息保护法》规定，情节严重的，最高可处以下列哪项处罚？A.500万元罚款B.上一年度营业额5%以下罚款C.1000万元罚款D.上一年度营业额10%以下罚款答案：B（依据第六十六条，情节严重的，可处上一年度营业额5%以下或5000万元以下罚款，取较低者）二、多项选择题（每题3分，共30分）1.下列哪些情形属于《个人信息保护法》规定的“个人信息处理”？A.收集自然人的健康码信息B.对已收集的用户购物记录进行分析C.向合作方提供用户的联系方式D.对用户信息进行加密存储答案：ABCD（依据第四条，处理包括收集、存储、使用、加工、传输、提供、公开、删除等）2.个人信息处理的合法性基础包括？A.取得个人的同意B.为履行法定职责或法定义务所必需C.为公共利益实施新闻报道、舆论监督等行为D.为订立、履行个人作为一方当事人的合同所必需答案：ABCD（依据第十三条，合法性基础包括同意、法定职责、公共利益、合同必需等）3.敏感个人信息包括？A.生物识别信息B.宗教信仰信息C.特定身份信息（如犯罪记录）D.不满十六周岁未成年人的个人信息答案：ABC（依据第二十八条，敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等；不满十四周岁未成年人信息单独规定）4.个人信息主体享有哪些权利？A.查阅、复制个人信息的权利B.要求解释说明个人信息处理规则的权利C.撤回同意的权利D.要求删除个人信息的权利答案：ABCD（依据第四十四条至第四十七条，主体享有查阅、复制、解释说明、撤回同意、删除等权利）5.个人信息处理者应当建立健全个人信息保护制度，包括？A.个人信息分类管理制度B.个人信息安全影响评估制度C.个人信息泄露应急处置制度D.个人信息保护内部审计制度答案：ABCD（依据第五十一条，处理者需建立分类管理、安全影响评估、泄露应急、内部审计等制度）6.个人信息处理者向境外提供个人信息时，应当？A.明确境外接收方的个人信息保护责任义务B.评估境外接收方的保护水平是否符合我国标准C.经个人信息主体单独同意D.向监管部门备案答案：ABC（依据第三十八条，需评估境外保护水平、明确责任、取得单独同意；安全评估或认证为必要程序，备案非法定要求）7.下列哪些行为可能构成对《个人信息保护法》的违反？A.某APP在用户不同意收集位置信息时，拒绝提供核心功能服务B.某银行未告知客户即向关联公司提供其账户交易记录C.某教育机构将学生的考试成绩匿名化后用于教研统计D.某电商平台在用户注销账号后仍保留其历史订单信息答案：ABD（A违反第十六条“不得因拒绝提供非必要信息而拒绝服务”；B违反第二十三条“提供第三方需告知并同意”；D违反第四十七条“处理目的已实现应删除”；C匿名化处理合法）8.履行个人信息保护职责的部门包括？A.国家网信部门B.国务院工业和信息化主管部门C.国务院公安部门D.县级以上地方人民政府有关部门答案：ABCD（依据第六十条，中央层面包括网信、工业和信息化、公安等部门，地方由县级以上有关部门负责）9.个人信息处理者的安全保障义务包括？A.采取加密、去标识化等技术措施B.制定内部管理制度和操作规程C.定期对工作人员进行安全教育和培训D.公开个人信息保护负责人的联系方式答案：ABCD（依据第五十一条至第五十二条，安全保障义务包括技术措施、管理制度、人员培训、公开负责人信息等）10.个人信息主体可以通过哪些途径维护自身权益？A.向个人信息处理者提出异议并要求处理B.向履行个人信息保护职责的部门投诉C.向人民法院提起诉讼D.向消费者协会申请调解答案：ABCD（依据第六十九条等，主体可通过协商、投诉、诉讼、调解等途径维权）三、判断题（每题1分，共10分）1.个人信息处理者可以将“同意”作为提供产品或服务的唯一条件。（）答案：×（依据第十六条，不得因拒绝提供非必要信息而拒绝服务）2.处理已公开的个人信息无需取得个人同意。（）答案：×（依据第十三条，处理已公开信息仍需符合合法性基础，如为公共利益等，否则需同意）3.个人信息处理者可以将敏感个人信息用于与处理目的无关的其他用途。（）答案：×（依据第二十九条，敏感个人信息处理需严格限于实现目的所必需）4.个人信息主体撤回同意后，处理者应当停止处理，但已处理的信息无需删除。（）答案：×（依据第四十七条，撤回同意后，除法律另有规定外，应删除或匿名化处理）5.个人信息处理者的个人信息保护负责人可以由数据安全部门负责人兼任。（）答案：√（法律未禁止兼任，只需直接向高层报告）6.个人信息跨境提供时，境外接收方的保护水平无需符合我国标准。（）答案：×（依据第三十八条，需评估境外接收方保护水平是否符合我国标准）7.个人信息处理者发生泄露事件后，只需向监管部门报告，无需告知受影响的个人。（）答案：×（依据第五十七条，除报告外，还应及时告知受影响个人）8.不满十四周岁未成年人的个人信息属于敏感个人信息。（）答案：√（依据第三十一条，不满十四周岁未成年人信息参照敏感个人信息处理）9.个人信息处理者可以将用户的浏览记录与其他信息结合，识别特定自然人。（）答案：√（识别特定自然人是个人信息的核心特征，合法处理时允许）10.个人信息处理者的合规审计报告无需向监管部门提交。（）答案：×（依据第五十四条，合规审计情况需按规定报送监管部门）四、简答题（每题6分，共30分）1.简述《个人信息保护法》中“告知-同意”原则的具体要求。答案：（1）告知应明确、具体、易懂，包括处理目的、方式、种类、保存期限、接收方等事项；（2）同意需由个人自愿、明确作出，不可通过默认勾选等方式强制；（3）处理敏感个人信息、向境外提供信息等需取得单独同意；（4）个人有权撤回同意，处理者应提供便捷撤回方式；（5）告知内容发生变更时，需重新取得同意。（依据第十四条至第十七条）2.敏感个人信息的定义及处理规则是什么？答案：敏感个人信息是一旦泄露或非法使用，容易导致自然人的人格尊严受侵害或人身、财产安全受危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等。处理规则：（1）仅当有特定目的和充分必要性时方可处理；（2）需向个人告知处理的必要性及对权益的影响；（3）取得个人的单独同意；（4）不满十四周岁未成年人的敏感信息需取得其父母或监护人的单独同意；（5）采取严格的保护措施。（依据第二十八条至第三十一条）3.个人信息跨境提供的条件有哪些？答案：（1）通过国家网信部门组织的安全评估；（2）按照国家网信部门规定经专业机构认证；（3）与境外接收方订立合同，明确双方权利义务；（4）评估境外接收方的个人信息保护水平是否符合我国标准；（5）取得个人的单独同意；（6）法律、行政法规规定的其他条件。（依据第三十八条）4.个人信息处理者的安全保障义务包括哪些内容？答案：（1）制定内部管理制度和操作规程；（2）采取加密、去标识化等技术措施；（3）合理确定个人信息处理的操作权限；（4）定期对工作人员进行安全教育和培训；（5）制定并组织实施个人信息安全事件应急处置预案；（6）指定个人信息保护负责人并公开其联系方式；（7）定期进行合规审计；（8）法律、行政法规规定的其他义务。（依据第五十一条至第五十四条）5.个人信息主体的“删除权”在哪些情形下可以行使？答案：（1）处理目的已实现、无法实现或无需继续实现；（2）个人信息处理者停止提供产品或服务，或保存期限已届满；（3）个人撤回同意；（4）个人信息处理者违反法律、行政法规或约定处理个人信息；（5）法律、行政法规规定的其他情形。处理者应在上述情形下主动删除，个人也可要求删除。（依据第四十七条）五、案例分析题（每题10分，共30分）案例1：某电商平台在用户注册时，要求勾选“同意收集手机号、通讯录、位置信息”方可使用服务，否则无法注册。用户张某注册后发现，平台频繁向其推送基于通讯录好友购物偏好的广告，且无法关闭该推送功能。问题：该电商平台的行为违反了《个人信息保护法》的哪些规定？答案：（1）违反“最小必要”原则和第十六条：平台将收集通讯录、位置信息作为注册的必要条件，而这些信息可能并非提供核心功能（注册）所必需，用户拒绝提供时应允许使用核心服务；（2）违反第二十四条自动化决策规定：平台基于通讯录好友信息推送广告，属于自动化决策，未向用户提供不针对个人特征的选项或便捷的拒绝方式；（3）违反第十七条告知义务：未明确告知用户通讯录信息的具体用途（用于好友购物偏好分析），告知内容不充分；（4）违反第十四条同意规则：通过勾选格式条款强制同意，非用户自愿、明确的同意。案例2：某教育机构因系统漏洞导致2000名学生的姓名、身份证号、成绩信息泄露，机构在发现泄露后第3天才向监管部门报告，且未通知受影响学生。问题：该教育机构的行为存在哪些违法之处？应承担何种法律责任？答案