2025年个人信息保护合规考试试题及答案

2025年个人信息保护合规考试试题及答案一、单项选择题（每题1分，共30分。每题只有一个正确答案，请将正确选项的字母填在括号内）1.根据《个人信息保护法》第十三条，处理个人信息应当取得个人的“告知—同意”，下列哪一项不属于“告知”必须包含的内容？A.处理目的B.保存期限C.数据出境接收方所在城市D.个人行使权利的方式答案：C2.某App在用户首次打开时通过弹窗一次性列出全部业务场景并勾选“同意”，该做法在合规层面最准确的定性是：A.有效履行了告知义务B.构成“捆绑同意”C.符合最小必要原则D.属于默示同意答案：B3.个人信息处理者发生数据泄露事件后，应在几小时内向省级以上网信部门报告？A.24小时B.48小时C.72小时D.立即答案：C4.下列哪类信息被《个人信息保护法》明确列为“敏感个人信息”？A.网络浏览记录B.精准定位轨迹C.14周岁以下未成年人的个人信息D.购物偏好标签答案：C5.处理敏感个人信息时，告知同意文本应当：A.使用小字号折叠展示B.单独告知并取得“单独同意”C.通过隐私政策链接即可D.允许用户事后撤回即可答案：B6.个人信息跨境传输安全认证制度由哪个部门牵头制定？A.国家市场监督管理总局B.国家互联网信息办公室C.工业和信息化部D.公安部答案：B7.某公司将中国用户数据存储在阿里云新加坡节点，未做数据出境安全评估，其直接违反的条款是：A.第十三条告知同意B.第二十八条敏感个人信息C.第三十八条数据出境管理D.第五十一条内控管理答案：C8.个人信息处理者委托第三方处理数据时，必须签署的书面文件应至少包括：A.委托合同、处理目的、期限、方式、保护措施B.保密承诺、免责条款C.数据所有权转让协议D.营销分成比例答案：A9.死者个人信息权利行使期限为自然人死后几年？A.1年B.2年C.3年D.其近亲属可永久行使答案：C10.个人信息保护影响评估（PIA）报告保存期限不得少于：A.1年B.2年C.3年D.5年答案：C11.下列哪项不属于个人信息处理者应当履行的“数据安全保护义务”？A.分类管理B.去标识化C.数据出境自由流动D.加密答案：C12.用户撤回同意后，个人信息处理者应当：A.立即停止处理并删除其个人信息B.可继续保存已匿名化数据C.可保留用于风控模型训练D.仅需停止营销推送答案：A13.个人信息保护合规审计的频次要求为：A.每年至少一次B.每两年一次C.仅在上市前一次D.由企业自行决定答案：A14.对大型互联网平台“守门人”义务首次提出的条款是：A.第五十八条B.第六十二条C.第三十九条D.第四十四条答案：A15.违反《个人信息保护法》最高可被处以：A.五千万元罚款B.上一年度营业额5%罚款C.吊销营业执照D.以上皆可答案：D16.个人信息处理者利用个人信息进行自动化决策时，应当保证决策的：A.商业机密性B.透明度和结果公平合理C.算法领先性D.不可解释性答案：B17.向境外提供个人信息时，以下哪项不属于“标准合同”必备条款？A.境外接收方再转移条件B.争议解决方式C.数据本地化备份地点D.个人权利救济渠道答案：C18.个人信息处理者因合并分立需要转移个人信息，正确的合规动作是：A.无需再告知个人B.向个人告知接收方名称联系方式并取得同意C.仅需内部审批D.仅需向监管部门备案答案：B19.对“人脸识别”技术最严格的合规要求出自：A.《网络安全法》B.《数据安全法》C.《个人信息保护法》第二十六条D.《民法典》合同编答案：C20.个人信息处理者应当设立“个人信息保护负责人”，其联系方式应当：A.仅内部掌握B.在隐私政策中公开C.向公安备案即可D.无需公开答案：B21.以下哪一项属于“去标识化”的合规做法？A.删除姓名保留手机号B.哈希加密手机号并加盐C.仅隐藏身份证中间六位D.用员工工号代替姓名答案：B22.个人信息处理者收到个人行使权利的申请后，应在几日内答复？A.7日B.10日C.15日D.30日答案：C23.对“用户画像”用于精准营销，法律要求的底线是：A.不得含敏感个人信息B.可默认开启C.无需提供关闭选项D.可强制推送答案：A24.个人信息跨境传输“安全认证”有效期为：A.1年B.2年C.3年D.5年答案：B25.以下哪一项不属于“个人信息”？A.已公开裁判文书中的姓名B.用户CookieIDC.设备MAC地址D.加密后不可逆的哈希值答案：D26.对“公共场所安装图像采集设备”最合规的做法是：A.设置显著提示标识B.无需提示，仅内部使用C.可自动关联身份D.可长期保存所有人脸答案：A27.个人信息处理者破产时，对数据处置的正确做法是：A.直接格式化服务器B.依法删除或匿名化C.出售给第三方回收成本D.无需处理答案：B28.对“算法推荐”显著影响个人权益的，个人有权要求：A.赔偿精神损失B.予以说明并拒绝仅通过自动化决策C.公开源代码D.停止使用互联网答案：B29.以下哪一项属于“履行法定职责”无需同意的例外？A.税务机关依法征税B.电商平台发货C.广告公司精准投放D.社交软件推荐好友答案：A30.对“个人信息保护合规认证”描述正确的是：A.国家强制认证B.企业自愿申请C.仅适用于外企D.一次认证永久有效答案：B二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）31.以下哪些情形需要“单独同意”？A.向第三方提供个人信息B.公开披露个人信息C.处理敏感个人信息D.跨境传输个人信息答案：ABCD32.个人信息处理者应当采取的技术措施包括：A.分类分级B.加密C.去标识化D.最小权限答案：ABCD33.以下哪些属于“个人信息保护影响评估”必须评估的内容？A.处理目的合法性B.对个人权益的影响C.安全措施有效性D.第三方SDK合规性答案：ABCD34.对“死者个人信息”权利行使主体包括：A.配偶B.成年子女C.父母D.兄弟姐妹答案：ABC35.以下哪些属于“数据出境安全评估”重点评估内容？A.数据规模B.数据敏感程度C.境外法律环境D.接收方履约能力答案：ABCD36.大型互联网平台应履行的“特别义务”包括：A.建立合规制度B.成立独立监督机构C.定期发布社会责任报告D.接受外部审计答案：ABCD37.以下哪些属于“自动化决策”透明义务？A.告知使用的数据来源B.提供关闭选项C.保证结果公平D.公开算法参数答案：ABC38.个人信息处理者应当建立“应急响应机制”包括：A.事件分级B.通知个人C.报告监管D.事后整改答案：ABCD39.以下哪些属于“敏感个人信息”？A.银行账户B.健康医疗C.行踪轨迹D.未成年人信息答案：ABCD40.对“人脸识别”合规要求包括：A.非强制B.非歧视C.非监控D.非存储答案：AB三、判断题（每题1分，共10分。正确打“√”，错误打“×”）41.个人信息处理者可以将用户数据作为资产抵押融资。答案：×42.匿名化信息不再适用《个人信息保护法》。答案：√43.用户注销账户后，平台可继续保留其个人画像用于模型训练。答案：×44.标准合同生效后，境外接收方再转移数据无需再签标准合同。答案：×45.个人信息保护负责人必须由公司副总经理以上级别担任。答案：×46.死者个人信息权利行使期限自死亡之日起计算。答案：√47.数据出境安全评估结果有效期为2年。答案：√48.个人信息处理者可以拒绝用户撤回同意。答案：×49.公共场所图像采集设备不得用于商业营销。答案：√50.个人信息处理者内部举报渠道必须对外公开。答案：√四、简答题（每题10分，共20分）51.简述“告知—同意”原则的例外情形并举例说明。答案：（1）履行法定职责或法定义务，如税务机关依法征税；（2）突发公共卫生事件，如疾控中心流调；（3）为公共利益实施新闻报道，如曝光失信被执行人；（4）已合法公开信息，如政府网站公示的行政许可；（5）法律、行政法规规定的其他情形，如反洗钱调查。52.请列出个人信息跨境传输“安全认证”流程的五个关键步骤。答案：（1）企业自评：对照认证规范开展差距分析；（2）第三方机构评估：选国家认监委指定机构进行技术验证；（3）整改复测：对发现风险点整改并复测；（4）颁发证书：通过后获有效期2年的认证证书；（5）持续监督：年度监督审核+飞行检查，违规可撤销证书。五、案例分析题（每题20分，共20分）53.背景：A公司运营健身App，收集用户身高、体重、心率、睡眠、经期、GPS轨迹，并将数据同步至美国总部服务器用于“全球健康大数据研究”。2025年3月，因API接口未鉴权，导致3亿条记录被爬取，包含大量18岁以下用户数据。事件发生后，A公司72小时内向国家网信办报告，但未单独告知未成年人监护人，也未在30日内向用户发布公告。问题：（1）指出A公司违反的法律条款；（2）说明应承担的行政责任；（3）提出整改方案。答案：（1）违反条款：①第十三条未就敏感个人信息取得单独同意；②第二十八条未对未成年人信息采取更严格保护措施；③第三十八条未通过安全评估即跨境传输；④第五十七条未履行事件告知义务。（2）行政责任：依据第六十六条，可处五千万元或上年营业额5%罚款；责令暂停相关业务、停业整顿；对直接负责的主管人员和