2025年个人信息保护合规考试试题及答案

2025年个人信息保护合规考试试题及答案一、单项选择题（每题2分，共20分。每题只有一个正确答案，错选、多选均不得分）1.2025年3月1日施行的《个人信息保护合规审计办法》规定，对处理超过多少条敏感个人信息的组织，必须每年开展一次外部合规审计？A.1万条B.5万条C.10万条D.50万条答案：C解析：办法第8条第2款明确“处理敏感个人信息数量达到或超过10万条的，应当每年委托具备国家认可资质的第三方机构开展一次合规审计”，故选C。2.某网约车平台在乘客行程结束后，继续通过车内录音设备收集司乘对话长达30日，平台称用于“潜在纠纷取证”。下列哪一项最能直接证明该行为违反最小必要原则？A.未取得乘客单独同意B.保存期限超过实现处理目的所需C.未进行个人信息保护影响评估D.未向监管部门备案录音算法答案：B解析：最小必要原则包含“时间必要”维度，行程结束30日已远超纠纷取证合理期限，故B直接违反；A、C、D虽也涉嫌违法，但非最小必要核心判断。3.2025年6月，国家网信办对A银行罚款5000万元，因其2024年发生3亿条个人征信数据泄露。关于罚款额度，下列说法正确的是：A.以“上一年度营业额5%”为法定上限B.以“直接责任人年收入10倍”为法定上限C.以“违法所得10倍”为法定上限D.无上限，由网信办自由裁量答案：A解析：《个人信息保护法》第66条第2款规定“情节严重的，可处上一年度营业额百分之五以下罚款”，2025年配套细则未调整比例，故A正确。4.某健康APP推出“AI减肥教练”功能，需收集用户每日步数、心率、睡眠、饮食照片及月经周期。根据2025年《敏感个人信息处理指南》，下列哪项组合全部属于敏感个人信息？A.步数+心率B.睡眠+饮食照片C.心率+月经周期D.饮食照片+步数答案：C解析：指南附录A表3明确“心率变异数据用于疾病预测”及“月经周期”均属健康生理信息，故C全部敏感；步数、睡眠、饮食照片在未关联健康诊断时一般归为一般个人信息。5.跨境传输场景中，数据出口方与境外接收方签订的国家网信办2025版《标准合同》要求建立“个人信息权利响应SLA”，对数据主体请求响应时限不得超过：A.10个工作日B.15个自然日C.15个工作日D.30个自然日答案：C解析：2025版标准合同第4条第3款将原“15日”细化为“15个工作日”，兼顾节假日影响，故C正确。6.2025年7月，B市公安机关对非法买卖人脸信息团伙刑事立案，认定“情节特别严重”的量化标准是：A.非法获取500张以上B.非法获取5000张以上C.非法获利5万元以上D.致使信息主体死亡答案：B解析：两院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》2025年修订稿第5条将“人脸信息”纳入“高度敏感信息”，数量标准降为5000条即属“情节特别严重”，故B正确。7.某高校委托C公司开发“智慧校园”系统，双方签订委托处理协议，但未约定“高校是否有权对C公司进行现场审计”。2025年《个人信息保护法实施条例（草案）》对此的默认规定是：A.委托方无权审计，以免干扰受托方经营B.委托方有权随时自行或委托第三方审计C.委托方需经网信部门批准后方可审计D.由双方另行协商，无默认权利答案：B解析：实施条例草案第32条确立“委托方审计权”，无需另行约定即可行使，故B正确。8.2025年4月，D公司采用联邦学习技术联合多家医院训练肿瘤预测模型，训练过程原始数据不出域，仅交换梯度。下列哪项措施最能降低“梯度泄露”导致的个人信息风险？A.增加模型参数量B.采用差分隐私噪声C.提高学习率D.使用公有云GPU答案：B解析：梯度可反推原始数据，差分隐私在梯度上传时添加噪声是目前主流技术路径，故B正确。9.未成年人模式下，平台向14周岁用户推送个性化广告，需取得何种同意？A.平台服务协议勾选即可B.未成年人单独同意C.监护人单独同意D.监护人书面同意答案：C解析：《未成年人网络保护条例》2025版第21条明确“个性化商业推送”需监护人单独同意，故C正确。10.2025年，E国通过《外国数据安全法》，要求境内企业向E国政府提供境外数据。若中国境内个人信息处理者收到E国政府要求，下列做法符合中国法律的是：A.直接提供脱敏数据B.先行拒绝，再向中国主管机关报告C.先行提供，再向中国主管机关备案D.以“商业秘密”为由拒绝提供答案：B解析：《数据安全法》第36条确立“非经中国主管机关批准不得向外国司法或执法机构提供境内数据”原则，故B正确。二、多项选择题（每题3分，共15分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）11.关于2025年施行的《个人信息匿名化处理指南》，下列说法正确的有：A.将“不可识别”细化为“单点攻击不可恢复”与“多点联动不可恢复”两级B.明确匿名化数据再识别风险超过1%即视为个人信息C.要求匿名化过程记录保存3年D.允许企业自行认定匿名化效果，无需第三方评估答案：A、B、C解析：指南5.2、6.3、7.1条分别对应A、B、C；D错误，指南8.2要求“高风险场景应委托评估”。12.某国际连锁酒店集团发生数据泄露，涉及中国境内520万条住客记录。根据2025年《个人信息泄露事件应急响应指引》，下列哪些属于“必须”事项？A.24小时内向省级以上网信部门报告B.72小时内通过官网、APP弹窗同步公告C.5日内完成内部问责并公开问责结果D.30日内提交事件复盘报告答案：A、B、D解析：指引第9、11、14条对应A、B、D；C“公开问责结果”非强制，仅需内部留档并报送监管。13.下列哪些情形，个人信息处理者可以拒绝数据主体提出的删除请求？A.诉讼时效尚未届满，需作为证据留存B.税务机关正在稽查，依法需继续保存C.已做匿名化处理，技术上无法删除D.数据已出境且境外接收方拒绝配合删除答案：A、B解析：《个人信息保护法》第47条第1款但书条款明确“法律、行政法规规定的保存期限未届满”可拒绝；C匿名化后不再适用删除权；D境外拒绝不能成为境内处理者免责理由。14.2025年《人脸识别支付安全规范》要求，线下商户采集消费者人脸时需：A.设置“物理遮挡”提示，允许用户用手遮挡通过B.同步提供二维码、密码等替代方案C.在收银台醒目位置公示“人脸信息处理规则”二维码D.将人脸信息与支付密码存储在同一数据库答案：A、B、C解析：规范5.3、5.5、6.2条对应A、B、C；D违反“分库加密”要求，错误。15.关于2025年“个人信息保护认证”制度，下列说法正确的有：A.认证机构需获得国家认监委批准B.认证证书有效期为3年C.通过认证后可豁免合规审计D.认证标志可用于产品外包装答案：A、B、D解析：《个人信息保护认证规则》2025版第4、10、12条对应A、B、D；C错误，认证不免除审计义务。三、判断题（每题1分，共10分。正确打“√”，错误打“×”）16.2025年起，个人信息处理者仅需在隐私政策中列明“算法推荐类别”，无需披露算法逻辑及主要运行特征。答案：×解析：《算法推荐管理规定》2025修订稿第16条要求披露“算法逻辑、主要运行机制”。17.数据出境安全评估中，若出境数据包含1万人的人脸信息，即被视为“重要数据”。答案：√解析：2025版《数据出境安全评估办法》附录“重要数据识别指南”明确“1万人以上人脸信息”属于重要数据。18.个人信息处理者采用“暗模式”（DarkPattern）诱导用户同意，可被认定为“欺诈”，最高可处5000万元罚款。答案：√解析：《个人信息保护法》第66条及2025年执法解释将“欺诈”纳入“情节严重”，罚款上限5000万或营业额5%。19.2025年《个人信息合规审计指引》允许注册会计师独立签字出具审计报告，无需网络安全事务所参与。答案：×解析：指引第5条要求“具备网络安全测评资质”与“注册会计师”双签章。20.员工因履行工作职责访问客户个人信息，即使超出岗位权限，也不构成“非法获取”。答案：×解析：2025年刑事案例指导（第103号）明确“超越职权获取”仍属非法获取。21.个人信息处理者破产清算时，如无法取得数据主体同意，可默认将数据整体转让给债权人。答案：×解析：《个人信息保护法》第22条要求“告知并单独同意”，破产无默认转让例外。22.2025年《快递业个人信息保护规范》要求，电子面单需对收件人手机号中间四位作隐藏处理。答案：√解析：规范6.4条“中间四位加密或隐藏”为强制要求。23.个人信息可携带权的行使范围包括“用户主动上传原始数据”以及“系统观测生成的衍生数据”。答案：√解析：2025年《可携带权实施指南》第3.2条明确衍生数据在“可解析、可复用”条件下纳入。24.处理已公开个人信息，若超出“合理范围”，仍需取得个人同意。答案：√解析：《个人信息保护法》第27条“合理范围”为底线，超出即需重新取得同意。25.2025年起，个人信息保护负责人必须为公司高级管理人员，且不得兼任财务负责人。答案：×解析：《个人信息保护法》第52条仅要求“设立专职负责人”，未禁止兼任财务，但不得兼任信息安全审计直接主管。四、填空题（每空1分，共15分）26.2025年《个人信息保护合规审计办法》规定，审计报告出具后________个工作日内，应通过“国家个人信息保护审计平台”提交电子版。答案：1027.数据出境场景下，使用________技术对出境个人信息进行加密，且密钥仅境内持有，可视为“数据不出境”的替代措施之一。答案：商用密码（或“国密算法”）28.2025年《未成年人个人信息保护指南》将________周岁作为“儿童”与“青少年”的分界，适用差异化规则。答案：1429.个人信息处理者发生“大规模泄露”时，应在事件处置结束后________日内开展一次专项合规审计。答案：9030.2025年《App收集个人信息基本规范》要求，当用户拒绝提供________权限时，不得拒绝提供所有基本功能服务。答案：非必要（或“可选”）31.根据《个人信息保护法》第38条，跨境提供个人信息的安全评估由________部门组织。答案：国家网信部门32.2025年《个人信息匿名化效果评估方法》采用________指标衡量重识别风险，阈值设定为0.087。答案：k匿名（或“kmap”）33.个人信息处理者委托第三方处理个人信息时，需签署________协议，明确数据保护义务与违约责任。答案：委托处理（或“数据处理”）34.2025年《个人信息保护认证实施规则》规定，现场检查阶段至少抽样________个数据处理场景。答案：335.2025年《个人信息泄露事件分级规范》将涉及________万条以上敏感个人信息的事件定为“特别重大”。答案：100五、简答题（每题10分，共30分）36.案情：2025年5月，F科技公司上线“AI情感陪伴”机器人，用户需上传语音、文字及面部视频以训练专属模型。公司隐私政策称“所有数据仅在本地处理”，但后台日志显示，原始视频每晚批量上传至新加坡节点进行“模型优化”。事件曝光后，公司辩称“已做去标识化，且新加坡节点为同一集团实体，不构成对外提供”。请结合《个人信息保护法》分析其违法点，并给出整改措施。答案与解析：违法点：（1）违反告知同意原则。公司告知“本地处理”，实际出境，构成虚假告知；（2）违反跨境提供规则。未履行安全评估、标准合同或认证，且集团内部传输亦属“对外提供”；（3）违反最小必要原则。原始视频上传超出“模型优化”必要范围，可用梯度或特征向量替代；（4）违反敏感个人信息处理规则。面部视频属敏感信息，未获单独同意且未进行保护影响评估。整改措施：①立即停止出境传输，重新评估训练方案，采用联邦学习+差分隐私；②在隐私政策醒目位置补充“跨境场景说明”，取得用户单独同意；③向省级以上网信部门补办数据出境安全评估；④开展个人信息保护影响评估，形成报告并公开摘要；⑤删除已出境原始视频，或要求境外回传删除，并提交第三方删除验证报告；⑥建立“训练数据最小化”白名单机制，仅上传脱敏特征；⑦对受影响用户发送致歉及补偿方案，开通一键注销及删除通道。37.2025年《个人信息可携带权实施指南》正式生效，请列举数据接收方应具备的三项技术能力要求，并说明理由。答案与解析：（1）接口安全认证能力：支持OAuth2.0或国密SM2双向证书认证，防止假冒请求；（2）结构化解析能力：能自动解析JSON、XML或CSV标准格式，确保数据完整性与可用性；（3）数据隔离与加密存储能力：接收后24小时内完成加密落盘，密钥与业务系统隔离，防止二次泄露。理由：指南第5.4条强调“端到端安全”“可复用”“最小存储”，上述能力可保障数据主体权益，降低传输风险。38.2025年7月，G省医保局计划建设“惠民保大数据平台”，整合医院、药店、保险公司数据，用于精准理赔风控。请从“目的明确”“最小必要”“分级分类”三个维度，提出个人信息保护合规要点。答案与解析：目的明确：（1）制定《数据融合目的清单》，明确“精准理赔风控”为唯一目的，禁止再用于商业营销；（2）与数据提供方签署目的限制协议，约定超目的使用需重新授权。最小必要：（1）采用“字段白名单”，仅拉取与理赔直接相关的就诊记录、结算金额、既往保单号，剔除基因、婚育史等无关字段；（2）设置“数据有效期”180日，理赔结案后自动删除原始数据，仅保留统计级指标。分级分类：（1）将数据划分为“一般个人信息”“敏感个人信息”“重要数据”三级，分别采用AES256、SM4、国密SM9加密；（2）对敏感个人信息设置“专区存储、运维双人审批、API零信任调用”策略；（3）建立数据分类分级可视化地图，实时展示字段级别、责任人、风险评分，实现动态管控。六、案例分析题（共30分）39.背景：H集团为全球大型零售集团，在中国境内拥有线上商城、线下超市、会员APP、物流、金融子公司。2025年8月，集团启动“OneID”超级会员项目，目标打通全部子公司数据，实现“一个手机号，全场景积分”。项目技术方案如下：①建立统一IDMapping中心，每日凌晨拉取各子公司全量会员手机号、设备ID、交易金额、地理位置、人脸会员照片；②采用MD5（加盐）对手机号做哈希后作为主键；③将人脸照片向量化后存入阿里云OSS，用于线下门店刷脸支付；④集团内部《数据共享协议》约定“各子公司可自由使用共享数据，无需再告知用户”；⑤对欧盟、东南亚用户数据，统一在新加坡部署的GCP节点存储，并采用AES128加密；⑥项目上线前，仅由法务部进行合规评审，未进行个人信息保护影响评估。上线两周后，引发媒体质疑：（1）用户注销商城APP后，超市仍向其发送促销短信；（2）某门店刷脸支付终端被黑客植入木马，致12万人脸向量泄露；（3）德国用户向中国驻欧盟使团投诉，称未收到任何跨境转移通知。请回答：（1）指出H集团违反《个人信息保护法》的六项主要条款，并说明理由；（12分）（2）针对“人脸向量泄露”事件，给出技术+管理双重整改方案；（8分）（3）若H集团拟继续保留新加坡节点，需完成哪些合规程序？（10分）答案与解析：（1）违法条款及理由：①第6条“最小必要原则”——统一拉取全量交易、位置数据，超出“积分打通”必要；②第13条“告知同意”——协议约定无需再告知，违反单独告知与同意；③第28条“敏感个人信息处理”——人脸照片属敏感信息，未获单独同意；④第38条“跨境提供”——欧盟用户数据出境未做评估、未签标准合同；⑤