2025年《个人信息安全风险评估》知识考试题库及答案解析

2025年《个人信息安全风险评估》知识考试题库及答案解析单位所属部门：________姓名：________考场号：________考生号：________一、选择题1.个人信息处理活动开展前，应当进行风险评估，以下关于风险评估的说法正确的是（）A.风险评估是可选的，根据企业规模决定是否进行B.风险评估只需要评估信息泄露的风险C.风险评估需要考虑对个人权益的影响程度D.风险评估结果不需要与个人信息处理目的相对应答案：C解析：风险评估是个人信息处理活动中的必要环节，并非可选。评估范围不仅限于信息泄露，还包括其他可能的侵害个人权益的风险。风险评估需要综合考虑对个人权益的影响程度，并且评估结果应当与个人信息处理目的相对应，确保处理活动的合法性和必要性。2.在进行个人信息安全风险评估时，以下哪个因素不需要考虑（）A.个人信息的种类和数量B.个人信息处理的目的C.个人信息处理的方式D.企业员工的个人兴趣爱好答案：D解析：个人信息安全风险评估需要考虑的因素包括个人信息的种类和数量、个人信息处理的目的和处理方式等，这些因素直接关系到个人信息安全风险的高低。而企业员工的个人兴趣爱好与个人信息安全风险评估没有直接关系，不属于评估范围之内。3.个人信息处理活动存在较高风险时，应当采取哪些措施降低风险（）A.停止处理个人信息B.只要不泄露个人信息就不需要采取措施C.采取技术措施和管理措施降低风险D.由负责人决定是否采取措施答案：C解析：当个人信息处理活动存在较高风险时，应当采取技术措施和管理措施降低风险，确保个人信息处理的合法性和安全性。停止处理个人信息是一种极端措施，只有在风险无法控制的情况下才考虑。只要不泄露个人信息就不需要采取措施的说法是错误的，因为风险评估是预防性的，需要在问题发生前就采取措施。由负责人决定是否采取措施也是不合理的，应当根据风险评估结果采取相应的措施。4.个人信息主体行使删除权时，以下哪个说法是正确的（）A.个人信息主体可以随意要求删除个人信息B.只有在个人信息被泄露时才能要求删除C.处理者应当在收到删除请求后及时删除个人信息D.删除个人信息不影响已完成的交易答案：C解析：个人信息主体有权要求删除其个人信息，处理者应当在收到删除请求后及时删除个人信息。个人信息主体并非可以随意要求删除个人信息，需要满足一定的条件。只有在个人信息被泄露时才能要求删除的说法也是错误的，个人信息主体在任何情况下都有权要求删除其个人信息。删除个人信息可能会影响已完成的交易，需要根据具体情况进行处理。5.标识个人信息是一致性的原则是指（）A.个人信息必须与其他信息一致B.个人信息必须与其处理目的保持一致C.个人信息必须与其来源保持一致D.个人信息必须与个人信息主体提供的其他信息一致答案：B解析：标识个人信息是一致性的原则是指个人信息必须与其处理目的保持一致，即收集个人信息的目的是明确的，并且在整个处理过程中都应当遵循这个目的。个人信息必须与其他信息一致、与其来源保持一致或与个人信息主体提供的其他信息一致的说法都是错误的，因为一致性原则的核心是处理目的的一致性。6.以下哪种行为不属于个人信息处理活动（）A.收集用户的个人信息B.存储用户的个人信息C.删除用户的个人信息D.分析用户的兴趣爱好并用于广告投放答案：D解析：个人信息处理活动包括收集、存储、使用、加工、传输、提供、公开、删除等对个人信息进行操作的活动。分析用户的兴趣爱好并用于广告投放属于使用个人信息进行特定目的的加工，因此属于个人信息处理活动。而收集、存储、删除用户的个人信息也都属于个人信息处理活动。因此，以上所有选项都属于个人信息处理活动，题目选项设置有误。7.个人信息处理者对个人信息处理活动承担什么责任（）A.不承担任何责任B.只承担监督责任C.承担合法、正当、必要、诚信的责任D.只承担技术安全责任答案：C解析：个人信息处理者对个人信息处理活动承担合法、正当、必要、诚信的责任，需要确保个人信息处理的合法性和安全性。不承担任何责任、只承担监督责任或只承担技术安全责任的说法都是错误的，因为个人信息处理者需要承担全面的责任，包括合法性、正当性、必要性、诚信性等方面的责任。8.个人信息处理过程中，以下哪个环节不需要进行安全保护（）A.收集个人信息B.传输个人信息C.存储个人信息D.分析个人信息答案：D解析：个人信息处理过程中，收集、传输、存储等环节都需要进行安全保护，以防止个人信息泄露、篡改或丢失。分析个人信息虽然也需要保护，但相对于收集、传输、存储等环节，其安全保护的要求可能有所不同。然而，分析个人信息仍然属于个人信息处理活动，需要采取相应的安全保护措施。因此，以上所有选项都属于个人信息处理活动，并且都需要进行安全保护，题目选项设置有误。9.个人信息主体有权访问其个人信息，以下哪个说法是错误的（）A.个人信息主体可以访问其个人信息B.个人信息主体只能通过书面方式访问其个人信息C.个人信息主体有权获取其个人信息的处理目的D.个人信息主体有权访问其个人信息的副本答案：B解析：个人信息主体有权访问其个人信息，并且可以通过多种方式访问，包括书面方式、在线方式等。个人信息主体并非只能通过书面方式访问其个人信息，因此该说法是错误的。个人信息主体有权获取其个人信息的处理目的、有权访问其个人信息的副本等说法都是正确的。10.个人信息处理活动中，以下哪个说法是正确的（）A.个人信息处理者可以随意处理个人信息B.个人信息处理者需要取得个人信息主体的同意C.个人信息处理者需要确保个人信息处理活动的合法性D.个人信息处理者可以无条件公开个人信息答案：C解析：个人信息处理活动中，个人信息处理者需要确保个人信息处理活动的合法性，并且需要遵守相关法律法规的规定。取得个人信息主体的同意并非所有情况下都是必要的，例如在为订立合同所必需的情况下。无条件公开个人信息的说法也是错误的，因为公开个人信息需要遵守相关法律法规的规定，并且需要取得个人信息主体的同意。因此，只有确保个人信息处理活动的合法性这个说法是正确的。11.个人信息处理活动存在较低风险时，可以采取的措施是（）A.不采取任何措施B.只采取技术措施C.只采取管理措施D.采取必要的技术措施和管理措施答案：D解析：虽然风险评估结果显示个人信息处理活动存在较低风险，但并不意味着可以完全放任不管。为了确保个人信息的安全，应当根据风险评估的结果，采取必要的技术措施和管理措施来降低风险。仅仅采取技术措施或仅仅采取管理措施可能不足以应对所有潜在的风险，因此应当两者结合。12.个人信息处理者进行风险评估时，需要考虑的法律依据是（）A.企业内部规定B.行业惯例C.相关法律法规D.国际通行做法答案：C解析：个人信息处理者进行风险评估时，必须以相关的法律法规为依据，确保评估的合法性。企业内部规定、行业惯例或国际通行做法虽然可以作为参考，但不能作为风险评估的法律依据。只有严格遵守法律法规，才能确保个人信息处理的合规性。13.个人信息主体撤回同意后，个人信息处理者应当采取的措施是（）A.立即停止处理个人信息B.继续处理到合理目的为止C.通知其他处理者停止处理D.通知监管机构答案：A解析：根据规定，个人信息主体撤回同意后，个人信息处理者应当立即停止处理个人信息。这是对个人信息主体权利的尊重和保护。继续处理到合理目的为止是不合理的，因为同意已经撤回。通知其他处理者停止处理或通知监管机构可能是后续的步骤，但首要措施是立即停止处理。14.在进行个人信息安全风险评估时，需要评估的风险不包括（）A.个人信息泄露的风险B.个人信息被篡改的风险C.个人信息被非法利用的风险D.个人信息处理者员工的经济状况答案：D解析：个人信息安全风险评估主要关注个人信息在处理过程中可能面临的安全威胁和风险。这包括个人信息泄露、被篡改、被非法利用等风险。个人信息处理者员工的经济状况与个人信息安全风险评估没有直接关系，不属于评估范围之内。15.个人信息处理活动需要进行的定期评估是（）A.每年至少一次B.每半年至少一次C.每季度至少一次D.每月至少一次答案：A解析：根据规定，个人信息处理活动需要进行定期评估，以确保持续符合法律法规的要求。定期评估的频率应当根据实际情况确定，但至少每年进行一次。每半年、每季度或每月进行一次的频率可能过高，除非有特定的风险评估需求。16.个人信息处理者对个人信息处理活动进行影响评估时，需要考虑的因素不包括（）A.个人信息的敏感程度B.个人信息处理的方式C.个人信息处理的目的D.个人信息处理者的财务状况答案：D解析：个人信息处理者进行影响评估时，需要全面考虑个人信息处理活动对个人权益可能产生的影响。这包括个人信息的敏感程度、处理方式、处理目的等因素。个人信息处理者的财务状况与个人信息处理活动对个人权益的影响没有直接关系，不属于影响评估需要考虑的因素。17.个人信息主体有权访问其个人信息，访问方式不包括（）A.通过官方网站查询B.通过电子邮件申请C.通过邮寄方式获取纸质副本D.通过电话口头询问答案：D解析：个人信息主体有权访问其个人信息，并且可以通过多种方式访问，包括官方网站查询、电子邮件申请、邮寄方式获取纸质副本等。通过电话口头询问虽然是一种沟通方式，但通常不作为正式的访问方式，因为缺乏书面记录，容易产生纠纷。18.个人信息处理活动中，以下哪个说法是正确的（）A.个人信息处理者可以无条件公开个人信息B.个人信息处理者需要取得个人信息主体的同意C.个人信息处理者需要确保个人信息处理活动的合法性D.个人信息处理者可以随意处理个人信息答案：C解析：在个人信息处理活动中，个人信息处理者必须确保个人信息处理活动的合法性，遵守相关法律法规的规定。无条件公开个人信息、随意处理个人信息都是不合法的。取得个人信息主体的同意并非所有情况下都是必要的，例如在为订立合同所必需的情况下。因此，只有确保个人信息处理活动的合法性这个说法是正确的。19.个人信息处理者对个人信息处理活动进行风险评估后，需要采取的措施是（）A.立即停止所有处理活动B.根据评估结果采取相应的风险控制措施C.将评估结果公开给所有个人D.将评估结果提交给监管机构答案：B解析：个人信息处理者对个人信息处理活动进行风险评估后，需要根据评估结果采取相应的风险控制措施，以降低风险发生的可能性和影响程度。立即停止所有处理活动可能过于极端，除非风险评估结果显示风险无法控制。将评估结果公开给所有个人或提交给监管机构可能是后续的步骤，但首要措施是根据评估结果采取风险控制措施。20.个人信息处理活动中，以下哪个说法是正确的（）A.个人信息处理者可以随意处理个人信息B.个人信息处理者需要取得个人信息主体的同意C.个人信息处理者需要确保个人信息处理活动的合法性D.个人信息处理者可以无条件公开个人信息答案：C解析：在个人信息处理活动中，个人信息处理者必须确保个人信息处理活动的合法性，遵守相关法律法规的规定。无条件公开个人信息、随意处理个人信息都是不合法的。取得个人信息主体的同意并非所有情况下都是必要的，例如在为订立合同所必需的情况下。因此，只有确保个人信息处理活动的合法性这个说法是正确的。二、多选题1.个人信息安全风险评估需要考虑的因素包括（）A.个人信息的种类和数量B.个人信息处理的目的C.个人信息处理的方式D.个人信息处理者的规模E.个人信息主体的期望答案：ABC解析：个人信息安全风险评估需要综合考虑多种因素，包括个人信息的种类和数量、个人信息处理的目的和处理方式等。这些因素直接关系到个人信息安全风险的高低。个人信息处理者的规模和个人信息主体的期望虽然与个人信息安全相关，但不是风险评估的直接考虑因素。2.个人信息处理活动存在较高风险时，可以采取的措施包括（）A.停止处理个人信息B.采取增强技术安全措施C.采取增强管理安全措施D.限制个人信息的处理范围E.向个人信息主体提供更透明的信息答案：BCDE解析：当个人信息处理活动存在较高风险时，应当采取增强技术安全措施和增强管理安全措施来降低风险。停止处理个人信息是一种极端措施，只有在风险无法控制的情况下才考虑。限制个人信息的处理范围和向个人信息主体提供更透明的信息也是有效的风险控制措施，有助于提高个人信息处理的合法性和安全性。3.个人信息处理者进行风险评估时，需要遵守的原则包括（）A.合法性原则B.正当性原则C.必要性原则D.可行性原则E.透明性原则答案：ABCE解析：个人信息处理者进行风险评估时，需要遵守合法性、正当性、必要性、透明性等原则。可行性原则虽然重要，但不是风险评估的直接原则。风险评估的核心是确保个人信息处理的合法性和安全性，并尊重个人信息主体的权利。4.个人信息主体权利包括（）A.访问权B.更正权C.删除权D.撤回同意权E.授权他人代为行使权利权答案：ABCDE解析：个人信息主体享有多种权利，包括访问权、更正权、删除权、撤回同意权，以及授权他人代为行使权利权等。这些权利是个人信息主体对自己个人信息控制的重要体现，保障了个人信息主体的合法权益。5.个人信息处理活动中，以下哪些行为属于非法处理个人信息（）A.未经个人信息主体同意收集个人信息B.超出约定目的使用个人信息C.未经个人信息主体同意公开个人信息D.未采取必要的安全措施导致个人信息泄露E.在公开个人信息前未进行匿名化处理答案：ABCD解析：个人信息处理活动中，未经个人信息主体同意收集个人信息、超出约定目的使用个人信息、未经个人信息主体同意公开个人信息、未采取必要的安全措施导致个人信息泄露都属于非法处理个人信息的行为。在公开个人信息前未进行匿名化处理也可能属于非法处理个人信息，具体需要根据情况判断。但前四项明确属于非法处理行为。6.个人信息处理者进行风险评估时，需要考虑的信息包括（）A.个人信息的敏感性B.个人信息处理的规模C.个人信息处理的环境D.个人信息处理者的技术水平E.个人信息主体的期望答案：ABCD解析：个人信息处理者进行风险评估时，需要全面考虑多种信息，包括个人信息的敏感性、个人信息处理的规模和处理环境、个人信息处理者的技术水平等。个人信息主体的期望虽然重要，但不是风险评估的直接考虑因素。7.个人信息处理活动中，以下哪些措施有助于降低风险（）A.实施最小必要原则B.对个人信息处理人员进行培训C.定期进行安全审计D.采用加密技术保护个人信息E.建立应急响应机制答案：ABCDE解析：个人信息处理活动中，实施最小必要原则、对个人信息处理人员进行培训、定期进行安全审计、采用加密技术保护个人信息、建立应急响应机制等都有助于降低风险。这些措施从不同方面保障了个人信息的安全，降低了个人信息泄露、篡改或丢失的风险。8.个人信息主体有权要求个人信息处理者（）A.删除其个人信息B.更正其个人信息C.停止处理其个人信息D.删除或更正向第三方提供的其个人信息E.限制处理其个人信息答案：ABCDE解析：个人信息主体有权要求个人信息处理者删除、更正、停止处理、删除或更正向第三方提供的其个人信息，以及限制处理其个人信息。这些权利是个人信息主体对自己个人信息控制的重要体现，保障了个人信息主体的合法权益。9.个人信息处理者进行风险评估后，需要采取的措施包括（）A.根据评估结果制定风险控制措施B.将评估结果告知个人信息主体C.定期审查和更新风险评估结果D.记录风险评估过程和结果E.根据评估结果调整个人信息处理活动答案：ACDE解析：个人信息处理者进行风险评估后，需要根据评估结果制定风险控制措施、定期审查和更新风险评估结果、记录风险评估过程和结果，并根据评估结果调整个人信息处理活动。将评估结果告知个人信息主体可能是必要的，但不是所有情况下都要求，且需要考虑个人信息主体的期望和具体情况。10.个人信息处理活动中，以下哪些情况需要取得个人信息主体的同意（）A.收集个人信息B.使用个人信息超出约定目的C.公开个人信息D.传输个人信息至境外E.限制个人信息处理答案：ABCD解析：个人信息处理活动中，收集个人信息、使用个人信息超出约定目的、公开个人信息、传输个人信息至境外通常需要取得个人信息主体的同意。限制个人信息处理虽然可能需要个人信息主体的同意，但并非总是如此，例如在法律允许的情况下。因此，前四项是需要取得个人信息主体同意的典型情况。11.个人信息处理活动中，以下哪些措施有助于降低风险（）A.实施最小必要原则B.对个人信息处理人员进行培训C.定期进行安全审计D.采用加密技术保护个人信息E.建立应急响应机制答案：ABCDE解析：个人信息处理活动中，实施最小必要原则、对个人信息处理人员进行培训、定期进行安全审计、采用加密技术保护个人信息、建立应急响应机制等都有助于降低风险。这些措施从不同方面保障了个人信息的安全，降低了个人信息泄露、篡改或丢失的风险。12.个人信息主体有权访问其个人信息，访问方式包括（）A.通过官方网站查询B.通过电子邮件申请C.通过邮寄方式获取纸质副本D.通过电话口头询问E.通过授权第三方访问答案：ABCE解析：个人信息主体有权访问其个人信息，并且可以通过多种方式访问，包括官方网站查询、通过电子邮件申请、通过邮寄方式获取纸质副本等。通过电话口头询问虽然是一种沟通方式，但通常不作为正式的访问方式，因为缺乏书面记录，容易产生纠纷。通过授权第三方访问也是个人信息主体行使其权利的一种方式，但需要满足特定条件并明确授权范围。13.个人信息处理者进行风险评估时，需要考虑的因素包括（）A.个人信息的敏感性B.个人信息处理的规模C.个人信息处理的环境D.个人信息处理者的技术水平E.个人信息主体的期望答案：ABCD解析：个人信息处理者进行风险评估时，需要全面考虑多种因素，包括个人信息的敏感性、个人信息处理的规模和处理环境、个人信息处理者的技术水平等。个人信息主体的期望虽然重要，但不是风险评估的直接考虑因素。14.个人信息处理活动中，以下哪些行为属于非法处理个人信息（）A.未经个人信息主体同意收集个人信息B.超出约定目的使用个人信息C.未经个人信息主体同意公开个人信息D.未采取必要的安全措施导致个人信息泄露E.在公开个人信息前未进行匿名化处理答案：ABCD解析：个人信息处理活动中，未经个人信息主体同意收集个人信息、超出约定目的使用个人信息、未经个人信息主体同意公开个人信息、未采取必要的安全措施导致个人信息泄露都属于非法处理个人信息的行为。在公开个人信息前未进行匿名化处理也可能属于非法处理个人信息，具体需要根据情况判断。但前四项明确属于非法处理行为。15.个人信息主体权利包括（）A.访问权B.更正权C.删除权D.撤回同意权E.授权他人代为行使权利权答案：ABCDE解析：个人信息主体享有多种权利，包括访问权、更正权、删除权、撤回同意权，以及授权他人代为行使权利权等。这些权利是个人信息主体对自己个人信息控制的重要体现，保障了个人信息主体的合法权益。16.个人信息处理者进行风险评估后，需要采取的措施包括（）A.根据评估结果制定风险控制措施B.将评估结果告知个人信息主体C.定期审查和更新风险评估结果D.记录风险评估过程和结果E.根据评估结果调整个人信息处理活动答案：ACDE解析：个人信息处理者进行风险评估后，需要根据评估结果制定风险控制措施、定期审查和更新风险评估结果、记录风险评估过程和结果，并根据评估结果调整个人信息处理活动。将评估结果告知个人信息主体可能是必要的，但不是所有情况下都要求，且需要考虑个人信息主体的期望和具体情况。17.个人信息处理活动中，以下哪些情况需要取得个人信息主体的同意（）A.收集个人信息B.使用个人信息超出约定目的C.公开个人信息D.传输个人信息至境外E.限制个人信息处理答案：ABCD解析：个人信息处理活动中，收集个人信息、使用个人信息超出约定目的、公开个人信息、传输个人信息至境外通常需要取得个人信息主体的同意。限制个人信息处理虽然可能需要个人信息主体的同意，但并非总是如此，例如在法律允许的情况下。因此，前四项是需要取得个人信息主体同意的典型情况。18.个人信息处理者对个人信息处理活动进行影响评估时，需要考虑的因素包括（）A.个人信息的敏感程度B.个人信息处理的方式C.个人信息处理的目的D.个人信息处理的环境E.个人信息主体的期望答案：ABCD解析：个人信息处理者进行影响评估时，需要全面考虑个人信息处理活动对个人权益可能产生的影响。这包括个人信息的敏感程度、处理方式、处理目的和处理环境等因素。个人信息主体的期望虽然重要，但不是影响评估的直接考虑因素。19.个人信息处理活动中，以下哪些措施有助于降低风险（）A.实施最小必要原则B.对个人信息处理人员进行培训C.定期进行安全审计D.采用加密技术保护个人信息E.建立应急响应机制答案：ABCDE解析：个人信息处理活动中，实施最小必要原则、对个人信息处理人员进行培训、定期进行安全审计、采用加密技术保护个人信息、建立应急响应机制等都有助于降低风险。这些措施从不同方面保障了个人信息的安全，降低了个人信息泄露、篡改或丢失的风险。20.个人信息主体有权访问其个人信息，访问方式包括（）A.通过官方网站查询B.通过电子邮件申请C.通过邮寄方式获取纸质副本D.通过电话口头询问E.通过授权第三方访问答案：ABCE解析：个人信息主体有权访问其个人信息，并且可以通过多种方式访问，包括官方网站查询、通过电子邮件申请、通过邮寄方式获取纸质副本等。通过电话口头询问虽然是一种沟通方式，但通常不作为正式的访问方式，因为缺乏书面记录，容易产生纠纷。通过授权第三方访问也是个人信息主体行使其权利的一种方式，但需要满足特定条件并明确授权范围。三、判断题1.个人信息处理者可以无条件公开个人信息。（）答案：错误解析：个人信息处理者并非可以无条件公开个人信息。公开个人信息需要遵守相关法律法规的规定，并且通常需要取得个人信息主体的同意。除非法律法规另有规定或者取得个人信息主体的明确同意，否则个人信息处理者不得公开个人信息。2.个人信息主体撤回同意后，个人信息处理者可以继续处理个人信息。（）答案：错误解析：根据规定，个人信息主体撤回同意后，个人信息处理者应当立即停止处理个人信息。这是对个人信息主体权利的尊重和保护。继续处理个人信息属于违反规定的行为，除非法律另有规定或者处理活动属于撤回同意前已经进行的且无法避免的情况。3.个人信息处理活动中，只要不泄露个人信息就不需要采取措施。（）答案：错误解析：个人信息处理活动中，即使没有发生信息泄露，也需要采取必要的措施来保护个人信息的安全。这包括采取技术措施和管理措施来防止信息泄露、篡改或丢失。仅仅因为没有发生信息泄露就不采取措施是错误的，因为预防胜于治疗。4.个人信息处理者进行风险评估时，只需要考虑技术因素。（）答案：错误解析：个人信息处理者进行风险评估时，需要综合考虑多种因素，包括技术因素、管理因素和法律因素等。仅仅考虑技术因素是不全面的，因为个人信息安全不仅取决于技术手段，还取决于管理措施和法律法规的遵守情况。5.个人信息主体有权访问其个人信息，但访问方式由个人信息处理者单方面决定。（）答案：错误解析：个人信息主体有权访问其个人信息，并且可以选择合适的访问方式。个人信息处理者应当提供便捷的访问方式，并尊重个人信息主体的选择。访问方式并非由个人信息处理者单方面决定，个人信息主体有权根据自己的需求选择合适的访问方式。6.个人信息处理者对个人信息处理活动进行影响评估时，只需要考虑个人信息的敏感性。（）答案：错误解析：个人信息处理者进行影响评估时，需要全面考虑个人信息处理活动对个人权益可能产生的影响。这包括个人信息的敏感性、处理方式、处理目的和处理环境等因素。仅仅考虑个人信息的敏感性是不全面的，因为个人信息安全是一个综合性的问题。7.个人信息处理活动中，个人信息处理者的责任是无限的。（）答案：错误解析：个人信息处理者对个人信息处理活动承担相应的法律责任，但并非无限责任。其责任范围取决于法律法规的规定以及个人信息处理者的过错程度。如果个人信息处理者能够证明其已经采取了必要的措施来保护个人信息安全，并且在事件发生时没有过错，那么其责任可能会受到相应的减轻。8.个人信息主体有权撤回其同意处理其个人信息。（）答案：正确解析：根据规定，个人信息主体有权撤回其同意处理其个人信息。这是个人信息主体对自己个人信息控制的重要体现，保障了个人信息主体的权利。撤回同意后，个人信息处理者应当立即停止处理个人信息，除非法律另有规定或者处理活动属于撤回同意前已经进行的且无法避免的情况。9.