2025年人保护法题库及答案

2025年人保护法题库及答案一、单项选择题（每题2分，共40分）1.根据2025年《个人保护法》修订版，以下哪类信息不属于“敏感个人信息”范畴？A.14周岁以下未成年人的生物识别信息B.医疗健康信息（非疾病诊断）C.金融账户交易记录（单笔金额500元以下）D.宗教信仰信息答案：C。解析：敏感个人信息需满足“一旦泄露或滥用可能导致自然人的人格尊严受损或人身、财产安全受到严重危害”的标准。金融账户交易记录虽属个人信息，但单笔小额交易（通常指500元以下）因对主体权益影响有限，不纳入敏感信息范围（第21条）。2.某电商平台拟通过用户购物记录分析其消费偏好并推送定制广告，需履行的核心义务是？A.取得用户单独同意，并明确告知分析目的、方式及可能的信息流向B.仅需在隐私政策中概括说明“可能用于个性化推荐”C.无需额外告知，因用户注册时已勾选同意平台服务协议D.向省级网信部门备案分析模型的技术原理答案：A。解析：个性化推荐属于对个人信息的“自动化决策处理”，需单独取得同意，并详细告知处理目的、方式、信息用途及用户拒绝权（第24条）。3.个人信息处理者因合并导致信息主体变更时，新处理者应在多少个工作日内完成用户告知？A.3个工作日B.7个工作日C.15个工作日D.30个工作日答案：B。解析：信息处理者发生合并、分立等主体变更时，新处理者需在7个工作日内通过用户注册手机号、APP弹窗等有效方式告知用户新的处理规则及权利行使途径（第27条）。4.某医疗机构因数据中心故障导致5000名患者的诊疗记录泄露，根据《个人保护法》，其首要应对措施是？A.立即向社会公开道歉并承诺赔偿B.72小时内向履行个人信息保护职责的部门报告，并通知受影响用户C.自行启动内部调查，30日内形成书面报告D.与网络安全公司合作，48小时内修复系统漏洞答案：B。解析：发生个人信息泄露事件时，处理者需在72小时内向监管部门报告，并通过电话、短信等方式通知受影响用户（第57条）；未及时报告或隐瞒的，将面临加重处罚。5.跨境提供个人信息时，处理者需通过的“安全评估”由哪个部门组织实施？A.国家互联网信息办公室B.省级市场监督管理局C.所在地通信管理局D.国家数据局答案：A。解析：跨境提供个人信息的安全评估由国家网信部门（现国家数据局已整合相关职能，本题以2025年修订后表述为准）组织实施，评估内容包括接收方的保护水平、数据出境风险等（第39条）。6.个人要求查阅、复制其个人信息时，处理者应在多长时间内响应？A.收到申请后3个工作日内B.收到申请后7个工作日内C.收到申请后15个工作日内D.无明确时限，需“合理期限”内完成答案：B。解析：处理者需在收到查阅、复制申请后7个工作日内提供信息，或说明无法提供的理由（第45条）。7.以下哪项不属于个人信息处理者的“合规审计”范围？A.个人信息处理活动的合法性B.安全技术措施的有效性C.员工个人信息保护培训记录D.用户投诉处理的响应速度答案：D。解析：合规审计重点关注处理活动的合法性、安全措施有效性及员工培训落实情况（第51条），用户投诉响应速度属于服务质量范畴，不直接纳入审计范围。8.某社交平台未经用户同意，将用户地理位置信息共享给第三方广告公司，用户可主张的最高赔偿是？A.实际损失的2倍B.处理者因侵权所获利益的5倍C.500万元以下罚款D.上一年度营业额5%以下的罚款答案：B。解析：侵害个人信息权益的赔偿以用户实际损失或处理者侵权获利为基准，无法确定时，法院可根据侵权情节判决50万元以下赔偿；若处理者存在故意或重大过失，可按获利的1-5倍赔偿（第69条）。9.15周岁未成年人的个人信息处理，需取得谁的同意？A.未成年人本人B.未成年人父母或其他监护人C.学校D.未成年人本人及监护人共同同意答案：D。解析：14周岁以上不满18周岁的未成年人，处理其个人信息需取得本人及监护人的共同同意；14周岁以下则仅需监护人同意（第31条）。10.个人信息处理者委托第三方处理信息时，需与受托方签订的协议中必须包含？A.数据处理费用标准B.受托方的违约责任C.受托方的保密义务及数据安全保障措施D.委托处理的期限答案：C。解析：委托处理协议需明确受托方的保密义务、安全保障措施及责任划分，确保受托方处理行为符合本法要求（第28条）。11.以下哪种情形无需取得个人信息主体同意？A.为公共利益实施新闻报道，合理处理个人信息B.企业为统计员工考勤，收集指纹信息C.医院为疫情防控，收集患者行程轨迹D.金融机构为反洗钱，共享客户交易记录答案：A。解析：为公共利益实施新闻报道、舆论监督等，在合理范围内处理个人信息的，可无需取得同意（第13条第3项）。12.个人信息的“删除权”在以下哪种情形下不可行使？A.处理目的已实现，且无保存必要B.个人信息处理违反法律规定C.个人撤回同意，且无其他合法处理依据D.处理者因业务调整停止运营答案：D。解析：处理者停止运营时，需按规定转移或删除个人信息，用户仍可行使删除权；若因法律规定需留存（如金融机构按《反洗钱法》留存5年交易记录），则删除权受限（第47条）。13.某企业开发的AI算法基于用户社交动态预测其职业倾向，该行为属于？A.个人信息处理中的“分析”B.匿名化处理C.去标识化处理D.数据挖掘（不涉及个人信息）答案：A。解析：通过个人信息（社交动态）进行职业倾向预测，属于“分析”行为，需遵守个人信息处理规则（第4条）。14.个人信息跨境提供时，接收方所在国的保护水平需“不低于”我国标准，判断依据是？A.接收方国家的法律体系B.国家网信部门发布的评估指南C.行业自律组织的认证结果D.第三方机构的安全认证答案：B。解析：国家网信部门会发布跨境接收方保护水平的评估指南，作为判断“不低于我国标准”的依据（第40条）。15.处理者未按规定制定并公开个人信息处理规则，可能面临的最低罚款是？A.5万元B.10万元C.50万元D.100万元答案：B。解析：违反处理规则制定义务的，由监管部门责令改正，给予警告，没收违法所得；拒不改正的，处10万元以上100万元以下罚款（第66条）。16.以下哪项属于“去标识化”处理的典型特征？A.无法通过现有技术手段复原至特定自然人B.需结合其他信息方可识别特定自然人C.完全消除与自然人的关联性D.仅用于统计分析，不对外提供答案：B。解析：去标识化指通过技术手段使个人信息无法直接识别特定自然人，但仍可通过其他信息复原（第73条第2款）；匿名化则是彻底无法复原（第73条第3款）。17.个人信息保护影响评估报告的保存期限至少为？A.1年B.3年C.5年D.10年答案：C。解析：处理者需对个人信息保护影响评估报告和记录至少保存5年（第55条）。18.某教育类APP要求用户授权访问通讯录、相册、定位权限才能使用核心功能（在线课程学习），该行为违反了？A.最小必要原则B.公开透明原则C.目的明确原则D.质量保障原则答案：A。解析：核心功能（在线课程学习）无需通讯录、相册、定位权限，超范围收集违反“最小必要”原则（第6条）。19.个人信息主体发现信息不准确时，可要求处理者？A.立即删除B.更正或补充C.停止使用D.赔偿损失答案：B。解析：个人信息不准确时，主体有权要求处理者更正或补充（第46条）。20.处理者因合并导致信息转移，未履行告知义务，监管部门可对直接责任人员处？A.1万元以上10万元以下罚款B.5万元以上50万元以下罚款C.10万元以上100万元以下罚款D.上一年度收入1%以上10%以下罚款答案：A。解析：对直接责任人员，可处1万元以上10万元以下罚款；情节严重的，处10万元以上100万元以下（第66条）。二、判断题（每题1分，共10分）1.个人信息处理者可将“同意”作为提供产品或服务的唯一条件。（）答案：×。解析：不得将同意作为提供核心功能的唯一条件（第16条）。2.匿名化后的信息不属于个人信息，不受《个人保护法》规制。（）答案：√。解析：匿名化信息无法识别特定自然人，不适用本法（第4条）。3.处理敏感个人信息时，需取得个人的“书面同意”。（）答案：×。解析：敏感信息需“单独同意”，书面或电子形式均可（第23条）。4.个人信息跨境提供时，只需向用户告知接收方名称，无需说明接收方的保护措施。（）答案：×。解析：需告知接收方名称、联系方式、保护措施等（第39条）。5.处理者破产时，个人信息可作为资产转移给债权人。（）答案：×。解析：破产时需优先删除或按规定转移个人信息，不得擅自转移（第27条）。6.未成年人的父母可代为行使其个人信息权利（如查阅、删除）。（）答案：√。解析：监护人可代为行使未成年人的个人信息权利（第32条）。7.处理者只需在用户注册时告知个人信息处理规则，后续变更无需重复告知。（）答案：×。解析：处理规则变更时需重新告知并取得同意（第18条）。8.为公共利益实施的个人信息处理，可完全豁免告知义务。（）答案：×。解析：仍需在合理范围内告知，除非法律另有规定（第13条）。9.个人信息保护负责人需由企业法定代表人担任。（）答案：×。解析：可指定专人担任，无需是法定代表人（第52条）。10.处理者因技术故障导致信息泄露，若及时补救且未造成实际损失，可免于处罚。（）答案：×。解析：泄露事件本身即构成违法，未造成损失可从轻处罚，但不免责（第57条）。三、简答题（每题8分，共40分）1.简述“最小必要原则”在个人信息处理中的具体要求。答案：最小必要原则要求处理者在收集、使用个人信息时，仅收集实现处理目的所必需的最少信息，且信息类型、数量、范围应与处理目的直接相关；不得过度收集与目的无关的信息；处理方式应选择对个人权益影响最小的手段（第6条）。2.个人信息主体的“撤回同意权”行使后，处理者需履行哪些义务？答案：撤回同意后，处理者应停止基于该同意的个人信息处理活动；若处理活动无其他合法依据（如法律规定），需删除相关信息；已处理的信息应确保不再用于原目的或合理关联目的（第16条）。3.处理敏感个人信息时，除“单独同意”外，还需满足哪些额外要求？答案：需向个人告知处理敏感信息的必要性、对个人权益的影响；制定专门的处理规则；采取更严格的安全保护措施（如加密、访问控制）；定期进行个人信息保护影响评估（第23-25条）。4.个人信息跨境提供的“安全评估”主要审查哪些内容？答案：审查内容包括：跨境提供的必要性；接收方所在国的个人信息保护水平；接收方的技术能力和安全措施；数据出境后的使用范围和风险；个人信息主体的权利保障措施（第39-40条）。5.列举处理者违反《个人保护法》可能承担的三类法律责任。答案：（1）行政责任：警告、罚款（最高上一年度营业额5%或5000万元）、暂停业务、吊销许可；（2）民事责任：赔偿用户实际损失或处理者侵权获利；（3）刑事责任：构成犯罪的，追究相关人员侵犯公民个人信息罪（第66-71条）。四、案例分析题（每题10分，共10分）案例：某健身APP在用户注册时要求授权“读取短信”“访问通话记录”权限，否则无法使用“课程预约”功能。用户张某注册后发