个人信息保护强化训练

个人信息保护强化训练考试时间：______分钟总分：______分姓名：______单选题（每题2分，共20分）1.《个保法》中处理敏感个人信息的“单独同意”要求，以下表述正确的是（）A.可通过概括性方式取得同意B.需明确告知处理敏感个人信息的“特定目的”和“对个人权益的影响”C.仅需在隐私政策中提及敏感信息处理即可D.未满14周未成年人敏感信息无需单独同意2.根据《个保法》，以下个人信息处理情形中，无需取得个人同意的有（）A.为履行合同所必需，如电商平台根据订单信息发货B.为应对突发公共卫生事件，疾控部门收集涉疫个人信息C.新闻单位为报道公开事件而合理使用个人信息D.企业内部员工考勤数据的管理与分析3.关于个人信息处理者的“告知义务”，以下说法错误的是（）A.应当在处理个人信息前告知B.可以通过隐私政策概括告知所有处理事项C.告知内容应当真实、准确、完整D.未告知即处理个人信息属于违规4.某App在用户注册时要求授权获取通讯录，但实际仅用于验证用户身份，该行为违反了《个保法》的（）A.合法、正当、必要原则B.公开透明原则C.确保安全原则D.权利保障原则5.根据《个保法》，处理个人信息达到下列数量，应当履行个人信息保护影响评估义务的是（）A.个人信息处理者处理的个人信息不满10万人的B.处理敏感个人信息不满1万人的C.因跨境处理个人信息向境外提供个人信息的D.利用个人信息进行自动化决策的6.以下属于敏感个人信息的是（）A.姓名B.身份证号码C.银行卡号D.生物识别信息7.个人信息处理者因业务需要向境外提供个人信息的，应当（）A.向网信部门备案即可B.通过国家网信部门组织的安全评估C.与境外接收方签订合同即可D.无需特殊手续8.关于“最小必要原则”，以下理解正确的是（）A.收集的个人信息种类越多越好B.仅收集与处理目的直接相关的最小范围信息C.可以收集未来可能需要的信息D.敏感信息无需遵循最小必要原则9.个人信息主体对其个人信息享有的权利不包括（）A.查阅、复制权B.更正、补充权C.删除权D.转让权10.根据《个保法》，以下关于“自动化决策”的说法正确的是（）A.可以仅基于用户画像进行决策B.应当提供不依赖自动化决策的选项C.无需向用户说明决策规则D.自动化决策结果不可拒绝多选题（每题3分，共24分）1.根据《个保法》，以下个人信息处理情形中，无需取得个人同意的有（）A.为订立、履行个人作为一方当事人的合同所必需B.为履行法定职责或者法定义务所必需C.为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需D.为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息2.个人信息处理者履行“告知义务”时，隐私政策需包含的法定核心要素包括（）A.处理者的名称或姓名、联系方式B.个人信息处理目的、方式C.个人信息的种类D.个人信息存储期限3.以下关于敏感个人信息的处理，符合《个保法》规定的有（）A.取得个人的单独同意B.告知个人处理的必要性及对个人权益的影响C.采取严格保护措施D.可以与其他个人信息合并处理4.根据《个保法》，以下情形中，个人信息处理者应当删除个人信息的有（）A.处理目的已实现、无法实现或者为实现处理目的不再必要B.个人信息处理者停止提供产品或者服务C.撤回同意D.法律、行政法规规定的其他情形5.以下关于“数据出境”的说法正确的有（）A.关键信息基础设施运营者处理个人信息达到一定数量的，应当通过国家网信部门组织的安全评估B.其他个人信息处理者因业务需要向境外提供个人信息的，应当与境外接收方签订合同C.法律、行政法规和国家网信部门规定可以不进行安全评估的，可以不进行评估D.数据出境无需遵守任何限制6.个人信息处理者委托他人处理个人信息的，应当（）A.与受托方签订委托合同B.约定双方的权利和义务C.对受托方的个人信息处理行为进行监督D.无需对受托方的行为负责7.以下属于个人信息处理者“安全保障义务”的有（）A.制定内部管理制度和操作规程B.对个人信息进行分类管理C.采取相应的加密、去标识化等安全技术措施D.定期对个人信息保护情况进行审计8.根据《个保法》，以下关于“个人权利”的说法正确的有（）A.个人有权查阅、复制其个人信息B.个人发现个人信息不准确或者不完整的，有权请求更正、补充C.个人有权要求删除其个人信息D.个人无权撤回其同意判断题（每题约2.67分，共16分）1.“个人信息处理者因业务需要，可将用户个人信息共享给关联企业，但需在隐私政策中提前告知。”（）2.收集用户面部信息用于门禁验证，仅需一般告知，无需“单独同意”。（）3.个人信息处理者处理的个人信息不满10万人，无需履行个人信息保护影响评估义务。（）4.为人力资源管理所必需，企业可以无限制收集员工个人信息。（）5.个人信息处理者可以随意延长个人信息的存储期限。（）6.利用个人信息进行自动化决策时，应当向个人决策的重要性和不利后果作出解释。（）简答题（每题6分，共12分）1.简述个人信息处理者履行“告知义务”时，隐私政策需包含的法定核心要素（至少6项）。2.根据《个保法》，简述个人信息处理者处理敏感个人信息的条件。案例分析题（28分）某App“智能健身”在用户注册时，要求授权获取手机通讯录、位置信息、心率数据，并在隐私政策中表述：“为提供个性化健身建议，我们将收集您的相关信息，可能用于产品优化和服务改进。”后经调查，该App未取得用户同意，将位置数据与第三方广告公司共享，用于精准推送广告。请结合《个保法》分析：（1）该App在个人信息处理中存在哪些合规风险？（2）针对上述风险，提出具体整改措施。试卷答案单选题（每题2分，共20分）1.B解析：根据《个保法》第二十九条，处理敏感个人信息需取得单独同意，并明确告知特定目的和对个人权益的影响。A错误，单独同意不能通过概括方式取得；C错误，仅提及不足够；D错误，未满14周岁未成年人敏感信息需监护人同意。2.ABC解析：根据《个保法》第十三条，无需取得同意的情形包括：为订立、履行合同所必需；为履行法定职责或义务所必需；为应对公共卫生事件等；为公共利益实施新闻报道等。D错误，员工考勤数据需符合最小必要原则，不能无限制收集。3.B解析：根据《个保法》第十七条，告知义务要求在处理前告知，内容真实、准确、完整。B错误，隐私政策不能概括所有事项，特别是涉及敏感信息或共享时需单独告知。A、C、D正确。4.A解析：该行为违反最小必要原则，收集通讯录与验证身份目的不直接相关，超出必要范围。A正确。5.C解析：根据《个保法》第五十五条，处理敏感个人信息、跨境提供个人信息等情形需进行影响评估。C正确，跨境提供是明确要求。A和B错误，数量不是唯一标准；D错误，自动化决策需评估，但题目问“达到下列数量”，C更直接。6.D解析：根据《个保法》第二十八条，敏感个人信息包括生物识别信息等。D正确。A、B、C一般属于个人信息，但不一定是敏感的。7.B解析：根据《个保法》第三十八条，向境外提供个人信息需通过安全评估或其他规定方式。B正确。8.B解析：最小必要原则要求仅收集与处理目的直接相关的最小范围信息。B正确。A、C、D错误。9.D解析：根据《个保法》，权利包括查阅、复制、更正、补充、删除等，但不包括转让权。D正确。10.B解析：根据《个保法》第二十四条，自动化决策应提供拒绝的选项。B正确。A、C、D错误。多选题（每题3分，共24分）1.ABCD解析：所有选项均符合《个保法》第十三条规定的无需取得同意的情形。2.ABCD解析：根据《个保法》第十七条，告知内容必须包括处理者信息、目的、方式、种类、存储期限等。3.ABC解析：敏感个人信息处理需单独同意、告知必要性、严格保护。D错误，通常需单独处理或特别保护。4.ABCD解析：根据《个保法》第四十七条，删除情形包括目的实现、停止服务、撤回同意等。5.ABC解析：数据出境需安全评估或合同等。D错误，数据出境需遵守限制。6.ABC解析：根据《个保法》第二十一条，委托处理需合同、约定义务、监督。D错误，处理者需承担责任。7.ABCD解析：根据《个保法》第五十一条，安全保障义务包括制度、分类管理、技术措施、审计等。8.ABC解析：权利包括查阅、复制、更正、补充、删除、撤回同意。D错误。判断题（每题约2.67分，共16分）1.错误解析：根据《个保法》第二十一条，共享个人信息需告知并取得单独同意，仅告知不足够。2.错误解析：面部信息属于敏感个人信息，需单独同意。3.错误解析：影响评估义务不限于数量，而是根据处理性质（如敏感信息、跨境等）。4.错误解析：即使为必需，也需遵循最小必要原则，不能无限制收集。5.错误解析：存储期限应实现处理目的所必需，不能随意延长。6.正确解析：根据《个保法》第二十四条，自动化决策应对个人说明决策的重要性和不利后果。简答题（每题6分，共12分）1.答案要点：①处理者的名称或姓名、联系方式；②个人信息处理目的、方式；③个人信息的种类；④个人信息存储期限；⑤个人信息主体的权利（查阅、复制、更正、删除等）；⑥行使权利的方式和途径；⑦利用个人信息进行自动化决策的规则（如有）；⑧数据跨境提供的规则（如有）。解析：根据《个保法》第十七条，告知内容必须包括这些要素，确保用户知情权。2.答案要点：①取得个人的单独同意；②告知个人处理的必要性及对个人权益的影响；③采取严格保护措施。解析：敏感个人信息处理需满足更高标准，包括单独同意、告知必要性、严格保护。案例分析题（28分）（1）合规风险：①告知同意不充分：隐私政策未明确“共享位置数据给第三方广告公司”的目的（“产品优化和服务改进”与实际共享用途不符），未取得“单独同意”；②最小必要原则违反：注册时强制获取通讯录（与“健身”无直接关联），超出必要范围；③敏感信息未特殊保护：位置信息可能涉及行踪轨迹，属于敏感个人信息，未告知“处理的必要性及对个人权益的影响”，未取得“单独同意”；④数据共享违规：未取得同意将个人信息共享给第三方。（2）整改措施：①重新设计隐私政策：明确告知“共享位置数据