2025年《个人信息保护法》专题考试试题及答案

2025年《个人信息保护法》专题考试试题及答案一、单项选择题（每题1分，共20分。每题只有一个正确答案，错选、漏选均不得分）1.根据《个人信息保护法》第13条，处理个人信息应当取得个人同意，但下列哪一项属于“无需取得个人同意”的法定例外情形？A.为履行合同必需B.为新闻报道需要C.为提升用户体验D.为精准广告投放答案：A解析：第13条第1款第（二）项明确“为订立或履行个人作为一方当事人的合同所必需”属于合法性基础之一，无需另行取得同意。B、C、D均不在法定例外之列。2.个人信息处理者向境外提供个人信息时，应当具备的条件不包括：A.通过安全评估B.经专业机构认证C.与境外接收方订立标准合同D.境外接收方在境外证券交易所上市答案：D解析：第38条列举了跨境提供的三条路径：安全评估、认证、标准合同。境外上市并非法定条件，反而可能增加数据泄露风险。3.关于敏感个人信息，下列哪一表述正确？A.种族、宗教信仰、行踪轨迹均属于敏感个人信息B.处理敏感个人信息只需口头告知即可C.不满十四周岁未成年人信息一律按敏感个人信息处理D.处理敏感个人信息可不经单独同意答案：C解析：第28条第2款明确将“不满十四周岁未成年人个人信息”纳入敏感个人信息范畴，并适用更高保护标准。A项行踪轨迹未列入敏感清单；B、D违反第29条“单独同意”要求。4.个人信息处理者发生个人信息泄露事件后，最迟应在多少小时内履行“通知”义务？A.12小时B.24小时C.48小时D.72小时答案：D解析：第57条第1款要求“立即”采取措施并在“72小时内”通知履行个人信息保护职责的部门及个人信息主体。5.下列哪一项不属于个人信息处理者应当履行的“告知—同意”内容？A.处理目的B.保存期限C.数据出境接收方联系方式D.个人未来三年收入预测答案：D解析：第17条明确告知内容应包括处理者身份、联系方式、目的、方式、保存期限、个人权利等。收入预测与告知义务无关。6.个人信息保护影响评估（PIA）报告保存期限不少于：A.1年B.2年C.3年D.5年答案：C解析：第55条第2款要求PIA报告与处理情况记录一并保存“至少三年”。7.对“自动化决策”表述正确的是：A.可完全拒绝人工复审B.应保证决策透明和结果公平C.无需向个人说明算法原理D.商业营销场景下可强制个人接受答案：B解析：第24条确立自动化决策的透明、公平、可解释义务，并赋予个人拒绝权。8.个人信息处理者委托第三方处理个人信息时，下列哪项义务仍由“委托方”承担？A.数据存储加密B.对第三方的监督C.删除数据的技术方案D.服务器物理安全答案：B解析：第59条确立委托处理中的“监督责任”仍在委托方，受托方仅按约定处理。9.关于死者个人信息权利，下列说法正确的是：A.任何人均可行使B.近亲属可基于自身合法利益行使C.死者无权利，故无需保护D.仅公检法机关可查询答案：B解析：第49条赋予近亲属在“合法、正当利益”范围内行使查阅、复制、更正、删除等权利。10.国家网信部门对跨境数据传输安全评估的重点不包括：A.数据出境规模B.境外接收方所在国家法律环境C.接收方数据保护水平D.接收方员工国籍构成答案：D解析：评估要点聚焦数据敏感程度、规模、境外法律环境、接收方保护能力，与员工国籍无关。11.个人信息处理者因合并分立需转移个人信息，无需再取得个人同意的法定前提是：A.向个人发送短信提示B.接收方继续履行原处理目的C.在官网发布合并公告D.向监管部门备案答案：B解析：第22条允许“变更处理目的”之外的情形无需再次同意，但须履行告知义务。12.对“匿名化”表述正确的是：A.匿名化信息仍属个人信息B.匿名化后可自由跨境流通C.匿名化信息再识别风险为零D.匿名化无需任何技术措施答案：B解析：第73条定义匿名化为“无法识别且不能复原”，不再适用本法，故可自由流通，但技术层面仍需确保不可逆。13.个人信息保护负责人（DPO）在境内处理者员工人数达到多少时必须设置？A.50人B.100人C.200人D.无明确人数门槛答案：D解析：第52条仅要求“处理敏感个人信息或个人信息处理活动量大”应当设置，未设人数硬杠杆。14.对“个人请求删除”情形，处理者可以拒绝的是：A.处理目的已实现B.为实现新闻舆论监督C.停止产品运营D.个人撤回同意答案：B解析：第47条但书明确“法律、行政法规规定的保存期限未届满”或“新闻监督”等公共利益需要可豁免删除。15.关于“数据可携权”，下列说法正确的是：A.仅适用于敏感个人信息B.必须以结构化、通用格式提供C.个人无权要求转移至指定第三方D.可携权行使需支付高额费用答案：B解析：第45条第2款确立可携权，要求“符合国家标准”的结构化、通用格式，不得变相收费。16.对违法处理个人信息最高可处：A.100万元罚款B.5000万元罚款C.上一年度营业额5%罚款D.吊销营业执照答案：C解析：第66条设置“双罚制”，对情节严重者最高可处“上一年度营业额5%”或5000万元，取二者较高者。17.个人信息处理者利用“人脸识别”技术收集人脸信息，必须满足：A.取得单独同意B.在公共区域设置提示即可C.无需告知收集范围D.可默认开启答案：A解析：第26条要求公共场所采集人脸信息须“单独同意”并“明示目的”，禁止强制默认。18.对“未成年人个人信息”特殊保护，下列哪项合规？A.14周岁以下注册网络账号可仅验证生日B.未成年人画像默认开启个性化推荐C.处理未成年人信息应制定专门规则D.未成年人信息可无限期保存答案：C解析：第31条要求处理未成年人信息应制定“专门处理规则”，并征得监护人同意。19.个人信息处理者在“公开个人信息”时，无需：A.告知公开范围B.取得个人单独同意C.评估对个人权益影响D.向网信部门备案答案：D解析：第25条要求公开前告知、单独同意、影响评估，但未要求备案。20.对“大型互联网平台”特别义务，下列哪项属于新增要求？A.每季度发布社会责任报告B.每年接受第三方审计C.建立独立监督机构D.所有算法开源答案：A解析：第58条要求“定期发布个人信息保护社会责任报告”，接受社会监督。二、多项选择题（每题2分，共20分。每题有两个以上正确答案，多选、少选、错选均不得分）21.以下哪些情形处理者应当事前进行个人信息保护影响评估？A.处理敏感个人信息B.利用个人信息进行自动化决策C.委托处理个人征信信息D.向境外提供个人信息答案：ABD解析：第55条明确三类必须评估：敏感信息、自动化决策、跨境提供。委托处理虽需合同约定，但未强制评估。22.个人在个人信息处理活动中享有的权利包括：A.查阅、复制权B.更正、补充权C.删除权D.分红权答案：ABC解析：第44—48条系统规定个人权利，分红权属股东权利，与个人信息权无关。23.关于“告知同意”的例外，下列哪些符合法律规定？A.履行法定职责B.应对突发公共卫生事件C.新闻报道D.维护重大公共利益答案：ABD解析：第13条列举例外，新闻报道需“合理范围”且“已公开信息”，非绝对例外。24.对“数据出境安全评估”重点评估内容有：A.数据规模与敏感程度B.境外接收方数据保护水平C.数据出境后再转移风险D.接收方上市融资计划答案：ABC解析：评估指南聚焦数据安全与再转移风险，上市融资计划与评估无关。25.个人信息处理者停止运营产品或服务时，应当：A.及时停止收集个人信息B.以逐一送达方式通知个人C.提供个人信息删除渠道D.继续保留日志用于商业分析答案：ABC解析：第47条要求停止运营后停止收集、通知个人、提供删除，禁止继续商业利用。26.以下哪些信息属于“敏感个人信息”？A.14周岁未成年人网络浏览记录B.银行账号与存款余额C.医疗健康信息D.精确地理位置连续轨迹答案：BCD解析：第28条列举敏感清单，浏览记录未列入，但银行账号、健康信息、连续轨迹均属敏感。27.对“自动化决策”透明义务，处理者应当：A.向个人说明算法主要运行机制B.提供拒绝自动化决策的选项C.保证结果公平公正D.公开源代码答案：ABC解析：第24条要求透明、公平、可拒绝，未强制开源。28.个人信息处理者发生安全事件后，通知内容应包括：A.事件原因与影响范围B.已采取措施C.个人减轻损害建议D.处理者未来三年商业计划答案：ABC解析：第57条要求通知内容聚焦事件本身及防护建议，商业计划无需披露。29.对“死者个人信息”权利行使，近亲属应满足：A.自身合法正当利益B.死者生前未明确拒绝C.任意扩大请求范围D.尊重死者生前意愿答案：ABD解析：第49条设“双重限制”：近亲属利益正当+死者未拒绝，禁止扩大化。30.大型互联网平台违反“守门人”义务可能面临的处罚有：A.责令暂停相关业务B.处上一年度营业额5%罚款C.吊销业务许可D.公开曝光答案：ABCD解析：第66条、第58条授权监管部门综合使用暂停、罚款、吊销、曝光等手段。三、判断题（每题1分，共10分。正确打“√”，错误打“×”）31.个人信息处理者可以在用户拒绝授权后继续强制收集必要信息以保障基本功能。答案：×解析：强制收集违反“最小必要”原则，第6条、第16条明确禁止。32.匿名化信息因可再识别，仍受《个人信息保护法》调整。答案：×解析：第73条定义匿名化“不可识别且不可复原”，不再适用本法。33.个人提出删除请求时，处理者必须立即删除，不得有任何例外。答案：×解析：第47条但书允许法律、行政法规规定保存期限未届满或公共利益需要时豁免。34.处理敏感个人信息必须取得“书面同意”。答案：×解析：第29条要求“单独同意”，未强制书面，但需充分告知。35.个人信息可携权行使不得影响他人合法权益。答案：√解析：第45条第3款设置“他人权益”边界，防止数据冲突。36.境外司法机构要求提供境内个人信息，可直接提供。答案：×解析：第41条要求“经主管机关批准”，否则不得提供。37.公共采集人脸信息可用于商业营销。答案：×解析：第26条禁止超目的使用，公共采集仅限公共安全。38.个人信息处理者内部员工违规查询客户信息，处理者无需担责。答案：×解析：第68条确立“过错推定”责任，内部违规亦需赔偿。39.个人信息保护负责人必须向省级网信部门备案。答案：×解析：第52条仅要求“公开联系方式”，未强制备案。40.大型平台年度审计报告可委托无资质第三方出具。答案：×解析：第58条要求“具备相应资质”的第三方审计。四、填空题（每空1分，共10分）41.个人信息处理者应当采取相应的加密、________、去标识化等安全技术措施。答案：访问控制解析：第51条明确技术措施清单。42.处理个人信息应当具有明确、合理的________，不得过度收集。答案：目的解析：第6条确立“目的限定”原则。43.个人有权要求处理者对其个人信息处理规则进行________。答案：解释说明解析：第48条赋予个人“要求解释”权。44.对“十四周岁以下未成年人”个人信息处理，应取得________的同意。答案：监护人解析：第31条设置“监护人单独同意”。45.个人信息处理者委托处理时，应与受托方约定________与期限。答案：处理目的解析：第21条要求合同明确目的、期限、方式、保护措施。46.国家网信部门会同有关部门建立________个人信息保护合规认证制度。答案：跨境解析：第38条第1款第（二）项。47.大型平台应成立主要由________组成的独立监督机构。答案：外部成员解析：第58条要求“外部独立”。48.个人信息处理者停止运营时，应________或删除个人信息。答案：匿名化解析：第47条允许“删除或匿名化”。49.个人提出查阅请求，处理者应在________日内予以答复。答案：15解析：实践中参照《信息安全技术个人信息安全规范》GB/T35273—2020细化15日。50.对违法行为的举报，有关部门应在________个工作日内处理并告知举报人。答案：15解析：第63条要求“及时处理”，部门规章细化15日。五、简答题（每题10分，共20分）51.简述“告知—同意”原则在敏感个人信息处理中的特殊要求。答案要点：（1）告知内容：必须披露处理敏感信息的必要性、对个人权益的影响、安全措施；（2）同意形式：需“单独同意”，不得捆绑；（3）未成年人：14周岁以下需监护人单独同意；（4）变更处理目的、方式时，需重新告知并再次取得单独同意；（5）例外限制：法定例外极少，军事、国防、紧急避险等严格解释。解析：第17条、第29条、第31条共同构成高阶告知同意框架，体现“增强式告知+明示同意”。52.结合条文说明个人信息处理者在跨境提供数据时如何履行“三道防线”。答案要点：（1）安全评估防线：向境外提供个人信息达到规定数量或敏感程度，必须通过国家网信部门安全评估；（2）认证防线：未触发评估门槛的，可委托专业机构进行个人信息保护认证，取得认证证书；（3）标准合同防线：前两条不适用时，应与境外接收方订立国家网信部门制定的标准合同，明确双方权利义务、数据再转移限制、争议解决机制；（4）后续监督：无论哪道防线，处理者均应对接收方进行持续监督，发现风险时暂停或终止传输；（5）记录留存：保存评估报告、认证文件、标准合同及履行记录不少于三年，接受监管部门核查。解析：第38条、第55条、第57条形成“评估—认证—合同”梯次递进，兼顾安全与便利。六、案例分析题（每题20分，共20分）53.案情：A公司运营健身App，注册用户800万。2025年3月，A公司引入第三方广告SDK，默认开启“步数—商圈”精准推送，向B广告联盟共享用户实时位置与步数数据，未弹窗告知亦未提供关闭入口。3月15日，C用户发现自己在医院门诊的步行轨迹被推送药店