2025年旅游个人信息保护试题及答案

2025年旅游个人信息保护试题及答案一、单项选择题（每题2分，共20题，40分）1.根据《个人信息保护法》及2025年旅游行业新规，下列哪项不属于旅游活动中“个人信息”的范畴？A.旅游者在酒店登记的身份证号码B.旅行社系统中存储的游客行程偏好数据（如偏好靠窗座位）C.景区通过人脸识别采集的游客面部特征信息D.匿名化处理后无法识别特定旅游者的消费统计数据答案：D解析：《个人信息保护法》第4条规定，个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。2.某在线旅游平台在用户注册时，要求填写姓名、手机号、身份证号、紧急联系人电话、过往旅游消费记录五项信息。根据“最小必要”原则，平台必须收集的信息是？A.姓名、手机号B.姓名、手机号、身份证号C.姓名、手机号、过往旅游消费记录D.全部五项答案：A解析：《个人信息保护法》第16条规定，处理个人信息应当限于实现处理目的的最小范围，不得过度收集。注册环节仅需姓名和手机号即可完成基本身份验证，其他信息属于非必要信息。3.旅游者通过旅行社报名出境游，旅行社需将游客个人信息传输至境外地接社。根据2025年最新规定，下列哪项是合规传输的必要条件？A.取得旅游者单独书面同意B.向省级网信部门备案C.与境外接收方签订标准合同D.通过国家网信部门组织的安全评估答案：C解析：2023年《个人信息出境标准合同办法》实施后，除关键信息基础设施运营者和处理100万人以上个人信息的处理者外，其他主体可通过签订标准合同实现个人信息出境，无需强制安全评估（但需自行评估风险）。4.某景区为提升游客体验，在入口处部署人脸识别系统，用于快速验证门票。根据《个人信息保护法》，景区应当履行的告知义务不包括？A.告知游客人脸识别信息的存储期限B.告知游客拒绝使用人脸识别的替代验证方式（如身份证核验）C.告知游客人脸识别信息将用于景区内其他商业广告推送D.告知游客信息处理的责任人及联系方式答案：C解析：《个人信息保护法》第17条规定，告知内容需包括处理目的、方式、种类、保存期限、个人信息主体权利等，但不得将未明示的用途（如商业广告推送）作为告知内容。5.旅游者发现某旅游平台未经同意，将其在平台内的浏览记录（如酒店、景点搜索记录）提供给第三方旅游攻略APP。平台的行为侵犯了旅游者的哪项权利？A.查阅权B.复制权C.决定权D.更正权答案：C解析：《个人信息保护法》第20条规定，个人信息处理者处理个人信息应当取得个人的同意（法律另有规定的除外），未经同意向第三方提供信息侵犯了个人对信息处理的决定权。6.某酒店因系统漏洞导致5000名住客的姓名、手机号、入住时间信息泄露。根据《个人信息保护法》，酒店应当在多长时间内向履行个人信息保护职责的部门报告？A.立即B.24小时内C.48小时内D.72小时内答案：B解析：《个人信息保护法》第57条规定，发生个人信息泄露、篡改、丢失的，个人信息处理者应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人；通知个人可能造成重大影响的，应当在24小时内报告。7.13周岁的未成年人小张随父母参加亲子游，旅行社在收集其个人信息时，应当？A.仅需取得小张本人同意B.仅需取得小张父母或其他监护人同意C.同时取得小张本人及监护人同意D.无需取得同意，因未成年人信息由监护人代为处理答案：B解析：《个人信息保护法》第30条规定，处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。8.某旅游APP在用户协议中约定“用户同意本APP收集并使用位置信息用于行程规划，否则无法使用预约景区门票功能”。根据2025年监管要求，该约定是否合法？A.合法，因位置信息是预约门票的必要信息B.不合法，因用户拒绝提供非必要信息时，APP不得拒绝提供核心功能服务C.合法，因用户协议已明确告知D.不合法，因位置信息属于敏感个人信息，需单独同意答案：B解析：2025年《互联网信息服务算法推荐管理规定》补充要求，处理非必要个人信息时，不得将同意收集作为提供核心功能服务的前提条件。预约门票的核心功能无需实时位置信息，仅需景区地址即可完成，因此位置信息属于非必要信息。9.旅游者通过某旅行网站预订酒店后，网站未经同意将其订单信息（含酒店名称、入住时间）用于推送同类酒店优惠广告。网站的行为违反了？A.目的限制原则B.公开透明原则C.最小必要原则D.质量原则答案：A解析：《个人信息保护法》第6条规定，处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。将订单信息用于广告推送超出了“预订酒店”的原始处理目的，违反目的限制原则。10.某旅行社因经营不善关闭，需销毁客户个人信息。根据规定，销毁过程应当？A.仅需删除电子数据即可B.对纸质档案进行粉碎，电子数据进行不可恢复的格式化C.委托第三方机构处理，无需留存记录D.经旅游者逐一确认后销毁答案：B解析：《个人信息保护法》第51条规定，个人信息处理者应当采取相应的加密、去标识化等安全技术措施；终止服务或解散时，应当通知个人，并删除或匿名化处理个人信息。销毁需确保信息无法恢复，纸质档案需物理销毁，电子数据需不可恢复删除。11.下列哪项属于《个人信息保护法》规定的“敏感个人信息”？A.旅游者的身高体重数据B.游客在景区的消费金额C.未成年人的旅游行程信息D.游客的紧急联系人电话答案：C解析：《个人信息保护法》第28条规定，敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。12.某旅游直播平台为分析用户偏好，对游客发布的旅行视频进行人脸特征提取并建立数据库。平台的行为需取得用户的？A.一般同意B.书面同意C.单独同意D.无需同意，因视频已公开答案：C解析：《个人信息保护法》第29条规定，处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。人脸特征属于敏感信息，需单独同意。13.旅游者向旅游平台提出查阅自己的个人信息，平台以“系统维护”为由拒绝。平台的行为侵犯了旅游者的？A.知情权B.查阅权C.复制权D.解释说明权答案：B解析：《个人信息保护法》第45条规定，个人有权向个人信息处理者查阅、复制其个人信息；处理者应当及时提供，不得拒绝。14.某在线旅游平台与酒店共享用户订单信息时，未明确告知用户共享的具体内容和接收方。根据规定，平台应当承担的责任不包括？A.由监管部门责令改正B.处五千万元以下或上一年度营业额百分之五以下罚款C.对直接责任人员处十万元以上一百万元以下罚款D.吊销平台《增值电信业务经营许可证》答案：D解析：《个人信息保护法》第66条规定，违反本法规定处理个人信息，或未履行保护义务的，由监管部门责令改正、警告、没收违法所得；拒不改正的，处一百万元以下罚款；情节严重的，处五千万元以下或上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或停业整顿、通报有关主管部门吊销相关业务许可或吊销营业执照。吊销许可证需情节严重且涉及相关业务许可，并非必然责任。15.2025年，某旅游大数据公司通过公开渠道收集各景区的游客流量统计数据（已匿名化处理），并用于商业分析。该行为是否合法？A.合法，因数据已匿名化，不涉及个人信息B.不合法，因需取得所有游客同意C.合法，因数据来自公开渠道D.不合法，因需向监管部门备案答案：A解析：《个人信息保护法》第4条明确，匿名化处理后的信息不属于个人信息，因此无需取得同意即可用于商业分析。16.旅游者小李在旅游过程中丢失手机，其旅游APP账号被他人冒用，导致个人信息泄露。根据规定，旅游APP运营者应当？A.无需承担责任，因是小李自身保管不当B.协助小李冻结账号、重置密码，并采取措施防止信息进一步泄露C.赔偿小李全部损失，无论是否存在过错D.仅需告知小李账号异常，不承担其他责任答案：B解析：《个人信息保护法》第51条规定，个人信息处理者应当采取技术措施和其他必要措施，确保个人信息安全，并应对个人信息泄露风险；用户账号异常时，处理者需协助用户采取补救措施。17.某旅行社为优化服务，将游客的健康状况（如是否有心脏病史）作为必填项写入报名表单。根据规定，旅行社的行为？A.合法，因健康状况是旅游安全的必要信息B.不合法，因健康状况属于敏感信息，需取得单独同意C.合法，因已在表单中明确告知D.不合法，因健康状况与旅游服务无直接关联答案：B解析：健康状况属于《个人信息保护法》第28条规定的敏感个人信息，处理时需取得个人的单独同意，仅在表单中告知不足以免责。18.某旅游短视频平台未经用户同意，将用户发布的旅行照片中的面部特征用于AI换脸技术测试。平台的行为侵犯了用户的？A.肖像权B.隐私权C.个人信息权益D.著作权答案：C解析：面部特征属于生物识别信息，属于个人信息范畴，平台未经同意处理该信息侵犯了用户的个人信息权益（同时可能侵犯肖像权，但本题为个人信息保护试题，优先选C）。19.2025年，某跨境旅游平台拟将中国游客信息传输至境外母公司用于数据建模。根据最新规定，平台应当？A.自行评估数据出境风险，并与境外接收方签订标准合同B.直接传输，因母公司为关联方C.经国家网信部门安全评估后传输D.取得所有游客书面同意即可传输答案：A解析：根据2023年《个人信息出境标准合同办法》，非关键信息基础设施运营者且处理个人信息不足100万的，可通过签订标准合同并自行评估风险后出境，无需强制安全评估。20.旅游者通过投诉渠道反映某旅游平台违法处理个人信息，履行个人信息保护职责的部门应当自收到投诉之日起多少个工作日内作出处理？A.15B.30C.45D.60答案：B解析：2025年《个人信息保护法实施条例（草案）》明确，监管部门收到投诉后，应当在30个工作日内进行调查并作出处理决定。二、多项选择题（每题3分，共10题，30分。每题至少有2个正确选项，多选、少选、错选均不得分）1.根据《个人信息保护法》及旅游行业规定，旅游经营者处理个人信息时应当遵循的原则包括？A.合法、正当、必要和诚信原则B.目的明确原则C.最小必要原则D.公开透明原则答案：ABCD解析：《个人信息保护法》第5-8条规定，处理个人信息应当遵循合法、正当、必要、诚信原则，具有明确合理的目的，限于最小必要范围，并公开处理规则。2.旅游者在旅游活动中享有的个人信息权利包括？A.查阅、复制个人信息的权利B.要求更正、删除个人信息的权利C.撤回对个人信息处理同意的权利D.要求解释个人信息处理规则的权利答案：ABCD解析：《个人信息保护法》第44-48条规定，个人信息主体享有查阅、复制、更正、删除、撤回同意、解释说明等权利。3.下列属于旅游场景中“敏感个人信息”的有？A.旅游者的银行账户信息B.未成年人的身份证号码C.游客的行程轨迹信息（如GPS定位记录）D.旅游者的紧急联系人关系答案：ABC解析：《个人信息保护法》第28条规定，敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。紧急联系人关系本身不属于敏感信息，但联系人的个人信息可能涉及敏感信息。4.旅游平台在以下哪些情形下可以无需取得旅游者同意处理其个人信息？A.为应对突发公共卫生事件，需要快速统计游客行程轨迹B.为履行法定职责或法定义务（如配合公安机关调查）C.为维护旅游者的重大切身利益（如紧急救援时联系家属）D.已公开的个人信息（如游客在社交平台主动分享的旅行照片）答案：ABC解析：《个人信息保护法》第13条规定，无需同意的情形包括：履行法定职责或义务；应对突发公共事件；为维护个人或公共利益的紧急情况；已合法公开的信息（但处理活动可能对个人权益造成重大影响的除外）。D选项中若处理已公开信息可能侵害权益（如二次使用照片进行AI换脸），仍需同意。5.旅游经营者将个人信息传输至境外时，应当满足的条件包括？A.明确告知旅游者信息出境的目的、接收方及可能的风险B.与境外接收方约定双方的权利义务C.采取必要措施保障境外接收方处理个人信息的安全性D.向旅游者提供查询境外信息处理情况的方式答案：ABCD解析：《个人信息保护法》第39条规定，个人信息出境需向个人告知出境的目的、接收方、处理方式、保存期限、个人信息权益影响等；第40条规定，需与境外接收方约定责任，并采取措施保障安全；第45条规定，个人有权查询境外处理情况。6.旅游APP在收集个人信息时，应当向用户明示的内容包括？A.收集的个人信息种类B.信息的使用方式和目的C.信息的存储地点和期限D.用户拒绝提供信息的后果答案：ABCD解析：《个人信息保护法》第17条规定，告知内容需包括处理目的、方式、种类、保存期限、个人行使权利的方式和程序，以及拒绝提供的后果（如无法使用部分功能）。7.旅游景区使用人脸识别技术验证门票时，应当采取的合规措施包括？A.提供人脸识别以外的替代验证方式（如身份证+验证码）B.明确告知游客人脸识别信息的存储期限（如仅限当日使用）C.对人脸识别数据进行加密存储，防止泄露D.将人脸识别信息用于景区内其他商业营销活动答案：ABC解析：《个人信息保护法》第26条规定，在公共场所安装图像采集、个人身份识别设备，应设置显著提示标识，并仅用于维护公共安全的目的；第29条规定，敏感信息处理需单独同意，且不得超出明示目的使用（D选项超出“验证门票”的原始目的）。8.旅游者发现旅游平台违法处理其个人信息时，可以通过哪些途径维权？A.向平台客服投诉并要求处理B.向网信部门、市场监管部门举报C.向人民法院提起民事诉讼D.向消费者协会申请调解答案：ABCD解析：《个人信息保护法》第62、70条规定，个人可通过投诉、举报、诉讼、调解等方式维权。9.旅行社在与第三方旅游服务提供商（如酒店、景区）合作时，应当履行的义务包括？A.与第三方签订书面协议，明确个人信息处理规则和责任B.告知旅游者第三方的名称、处理目的及方式C.对第三方的个人信息处理活动进行监督D.要求第三方在处理完毕后及时删除相关信息答案：ABCD解析：《个人信息保护法》第23条规定，向第三方提供个人信息的，需告知个人接收方的名称或姓名、处理目的、方式和种类，并取得同意；第51条规定，处理者需对第三方处理活动进行监督；第47条规定，个人信息处理目的已实现的，应当主动删除。10.旅游经营者发生个人信息泄露事件后，应当采取的措施包括？A.立即暂停相关业务，防止泄露扩大B.通知可能受影响的旅游者，告知补救措施C.向监管部门报告泄露的原因、影响范围等D.对内部责任人员进行追责答案：ABCD解析：《个人信息保护法》第57条规定，发生泄露后需立即补救、通知个人和监管部门；第51条规定，处理者需建立内部责任制度，对责任人员追责。三、判断题（每题1分，共10题，10分。正确填“√”，错误填“×”）1.旅游平台将用户信息匿名化处理后，可不受《个人信息保护法》约束。（）答案：√解析：匿名化信息不属于个人信息，《个人信息保护法》仅约束可识别特定自然人的信息。2.旅游APP可以默认开启“获取位置信息”权限，用户可自行关闭。（）答案：×解析：《个人信息保护法》第16条规定，处理个人信息应当取得同意，默认开启权限属于“强制同意”，需用户主动授权。3.处理旅游者的健康信息（如是否有高原反应史）时，只需在用户协议中概括说明，无需单独同意。（）答案：×解析：健康信息属于敏感个人信息，《个人信息保护法》第29条规定需取得单独同意。4.旅游平台向境外传输个人信息时，必须通过国家网信部门的安全评估。（）答案：×解析：根据《个人信息出境标准合同办法》，非关键信息基础设施运营者且处理个人信息不足100万的，可通过签订标准合同出境，无需强制安全评估。5.旅游者要求删除个人信息时，旅游平台可以“数据已备份至云端”为由拒绝。（）答案：×解析：《个人信息保护法》第47条规定，个人要求删除的，处理者应当立即删除或匿名化处理，备份数据也需同步删除。6.旅行社收集12周岁儿童的个人信息，只需取得儿童本人同意。（）答案：×解析：《个人信息保护法》第30条规定，处理不满十四周岁未成年人信息需取得监护人同意。7.旅游平台与第三方合作时，只需在用户协议中注明“可能向第三方提供信息”，无需具体告知第三方名称。（）答案：×解析：《个人信息保护法》第23条规定，向第三方提供信息需告知接收方的名称或姓名，否则属于未履行告知义务。8.游客在社交媒体公开分享的旅行照片，旅游平台可直接用于商业宣传。（）答案：×解析：《个人信息保护法》第13条规定，处理已公开信息若对个人权益造成重大影响（如商业利用），仍需取得同意。9.旅游景区发生个人信息泄露后，需在48小时内向监管部门报告。（）答案：×解析：《个人信息保护法》第57条规定，可能造成重大影响的，需在24小时内报告。10.旅游平台可以将用户的个人信息用于与旅游服务无关的营销活动，只要用户未明确拒绝。（）答案：×解析：《个人信息保护法》第23条规定，处理个人信息需限于明示的目的，用于无关营销活动属于超范围处理，需重新取得同意。四、简答题（每题5分，共4题，20分）1.简述旅游场景中“个人信息”的定义及常见范围。答案：根据《个人信息保护法》第4条，旅游场景中的个人信息是指以电子或其他方式记录的与已识别或可识别的旅游者有关的各种信息，不包括匿名化处理后的信息。常见范围包括：（1）身份信息（姓名、身份证号、护照号）；（2）联系方式（手机号、邮箱）；（3）行程信息（预订记录、入住时间、航班/车次信息）；（4）生物识别信息（人脸识别数据、指纹信息）；（5）健康信息（疾病史、过敏史）；（6）支付信息（银行卡号、支付记录）；（7）行踪轨迹（GPS定位、景区内移动路径）等。2.旅游经营者在处理个人信息时，如何落实“最小必要”原则？答案：“最小必要”原则要求旅游经营者处理个人信息时，仅收集实现服务目的所必需的最少信息，且信息类型、数量应与服务功能直接相关。具体落实措施包括：（1）明确服务功能对应的必要信息清单（如预订酒店仅需姓名、手机号、入住时间，无需紧急联系人）；（2）避免收集与服务无关的信息（如旅游攻略推荐无需收集身份证号）；（3）对敏感信息采取严格限制（如非医疗旅游项目不收集健康信息）；（4）设置信息收集的动态调整机制，根据服务功能变化及时更新必要信息范围；（5）在用户拒绝提供非必要信息时，不得影响其使用核心服务（如拒绝提供行程偏好不影响预订酒店）。3.旅游者的“个人信息删除权”包括哪些情形？旅游经营者应如何响应？答案：根据《个人信息保护法》第47条，旅游者可在以下情形要求删除个人信息：（1）处理目的已实现、无法实现或无需继续实现；（2）旅游经营者停止提供服务；（3）旅游者撤回同意且无其他合法处理依据；（4）旅游经营者违反法律、行政法规或约定处理个人信息。旅游经营者响应要求时，应：（1）在收到请求后及时（通常不超过15个工作日）核实身份；（2）通过系统功能（如“删除账户”）或人工客服协助删除；（3）对关联数据（如备份、缓存）同步删除，确保信息无法恢复；（4）若因法律规定需保留（如税务记录），应告知旅游者保留的依据和期限。4.旅游场景中处理敏感个人信息的特殊要求有哪些？答案：处理敏感个人信息（如生物识别、健康信息、未成年人信息）需遵守《个人信息保护法》第28-30条的特殊规定：（1）仅在具有特定目的和充分必要性时处理（如人脸识别仅用于安全验证，健康信息仅用于医疗旅游保障）；（2）取得个人的单独同意（需明确告知处理敏感信息的目的、方式、风险，不能与其他信息处理同意捆绑）；（3）未成年人敏感信息需取得监护人同意；（4）采取更严格的安全保护措施（如加密存储、访问控制、日志审计）；（5）限制处理范围（如仅在必要部门或人员范围内共享，禁止用于营销等非必要用途）；（6）定期进行个人信息保护影响评估，并记录评估结果。五、案例分析题（共20分）案例：2025年5月，旅游者王女士通过“乐游”在线旅游平台预订了某酒店3天的住宿服务。预订过程中，平台要求王女士填写姓名、手机号、身份证号、紧急联系人电话、过往旅游消费记录（近1年）、健康状况（是否有心脏病史）六项信息，否则无法提交订单。入住后，王女士发现酒店前台系统中显示了她的紧急联系人电话和健康状况，询问后得知平台已将这些信息共享给酒店。此外，王女士还收到多条陌生旅游产品推广短信，显示发件人为某未听说过的“途悦”旅游公司，短信内容包含她的姓名和最