(2025年)法学个人信息保护试题及答案

(2025年)法学个人信息保护试题及答案一、单项选择题（每题2分，共20分）1.根据《个人信息保护法》及相关司法解释，下列哪一情形属于“个人信息”的范畴？A.匿名化处理后无法识别特定自然人且不能复原的信息B.某医院统计的“30岁以下患者占比65%”的统计数据C.电商平台收集的用户收货地址（包含姓名、电话、门牌号）D.社交平台用户发布的公开动态（未包含任何身份标识）2.甲公司为提升用户体验，拟对其收集的用户购物记录、搜索关键词进行自动化决策。根据《个人信息保护法》，甲公司的下列哪一行为符合法律要求？A.未向用户告知自动化决策的具体规则，仅提示“将根据您的偏好推荐商品”B.在用户注册时默认勾选“同意自动化决策”选项，用户可随时取消C.对拒绝接受自动化决策的用户，限制其使用平台核心功能（如商品搜索）D.向用户提供不针对其个人特征的选项（如通用推荐列表）3.某教育机构拟处理12周岁未成年人的在线学习数据（包含做题记录、视频观看时长）。根据《个人信息保护法》，下列哪一处理行为无需取得未成年人父母或其他监护人的单独同意？A.为优化课程设计，对学习数据进行匿名化统计分析B.将学习数据提供给合作的第三方教育科技公司用于算法训练C.向未成年人本人展示其个人学习进度报告（仅包含本人数据）D.将学习数据存储至境外服务器用于集团内部教研备份4.乙银行因系统漏洞导致5万条客户信息（包含姓名、身份证号、银行卡号）泄露，部分信息被用于电信诈骗。根据《个人信息保护法》及《民法典》，下列哪一主体无需对损害承担责任？A.乙银行（未采取必要加密措施）B.实施诈骗的犯罪团伙C.未及时通知客户信息泄露的乙银行工作人员（非故意）D.明知信息泄露仍购买并使用客户信息的第三方平台5.丙公司拟将在中国境内收集的用户健康信息跨境提供至其设在新加坡的母公司。根据《个人信息保护法》及《数据出境安全评估办法》，下列哪一条件并非必须满足？A.通过国家网信部门组织的数据出境安全评估B.与境外接收方订立条款明确的个人信息出境标准合同C.向用户告知出境的目的、接收方、可能的风险并取得单独同意D.证明境外接收方在新加坡的个人信息保护水平不低于中国6.丁社交平台用户发现其“通讯录好友推荐”功能在未明确告知的情况下，默认读取了手机通讯录。根据《个人信息保护法》，下列哪一救济途径不符合规定？A.要求丁平台删除已读取的通讯录信息B.向省级网信部门投诉C.直接向人民法院提起民事诉讼，要求赔偿精神损失D.向公安机关报案，追究平台刑事责任（无证据显示平台有非法获利）7.某快递公司为提高配送效率，拟对快递员的定位信息（实时经度、纬度）进行长期存储。根据《个人信息保护法》“最小必要”原则，下列哪一处理行为不符合要求？A.仅存储配送时段内的定位信息（上午9点至下午6点）B.对定位信息进行脱敏处理（保留到街道级别，模糊具体门牌号）C.存储期限设定为“自配送完成后6个月”D.将定位信息共享给合作的第三方物流平台用于全网络调度8.戊医疗APP在用户注册时要求填写“婚姻状况、生育史、家族遗传病史”等信息。根据《个人信息保护法》关于敏感个人信息的规定，下列哪一判断正确？A.婚姻状况不属于敏感个人信息，无需单独同意B.生育史属于敏感个人信息，需取得用户的单独同意C.家族遗传病史不属于敏感个人信息，因与用户本人健康无直接关联D.所有信息均非敏感个人信息，因医疗APP处理信息具有合法性基础9.己公司因侵害用户个人信息权益被用户起诉，法院在认定其是否“履行个人信息保护义务”时，下列哪一因素无需重点审查？A.己公司是否制定了明确的个人信息处理规则并公示B.己公司是否对员工进行了个人信息保护培训C.己公司处理个人信息的目的是否与注册时承诺的一致D.己公司的实际控制人是否具有良好的信用记录10.根据《个人信息保护法》及相关规定，下列哪一行为属于“非法处理个人信息”？A.新闻媒体为报道公共事件，合理使用已公开的个人信息B.行政机关为履行法定职责，在必要范围内处理个人信息C.电商平台在用户注销账号后，因技术原因延迟30日删除其个人信息D.招聘平台将用户投递的简历信息提供给未授权的第三方企业用于推广二、多项选择题（每题3分，共15分，少选、错选均不得分）11.下列哪些情形符合《个人信息保护法》规定的“告知-同意”规则？A.甲APP在用户首次登录时弹出长文本《隐私政策》，用户需滚动阅读全部内容后勾选“同意”B.乙银行在手机银行更新隐私政策时，通过弹窗提示用户“新政策已生效，不同意则无法使用服务”C.丙教育平台处理14周岁未成年人信息时，通过短信向其监护人发送《个人信息处理告知书》并取得回复同意D.丁外卖平台因系统升级需调整信息处理范围，通过站内信向用户说明变更内容并提供“不同意”选项12.某科技公司拟处理用户的生物识别信息（如人脸识别数据），根据《个人信息保护法》，应当满足的条件包括：A.具有特定的目的和充分的必要性B.取得用户的单独同意C.采取严格的安全保护措施D.向用户告知生物识别信息的处理方式、存储期限13.下列哪些行为可能构成《个人信息保护法》规定的“侵害个人信息权益”？A.社交平台未明确提示用户，将其公开动态中的联系方式提取并用于广告推送B.医院因工作失误，将患者的体检报告错误发送给无关第三方C.快递公司在配送完成后，将用户地址信息出售给电商平台用于精准营销D.公安机关为侦查犯罪，依法调取犯罪嫌疑人的通信记录14.关于个人信息跨境提供的规则，下列表述正确的有：A.关键信息基础设施运营者收集的个人信息原则上不得出境B.个人信息出境标准合同需经国家网信部门备案C.境外接收方所在国的个人信息保护水平是安全评估的重要考虑因素D.用户对跨境提供个人信息的同意可以随时撤回15.根据《个人信息保护法》及《民法典》，个人信息处理者的义务包括：A.定期对个人信息处理活动进行合规审计B.在发生信息泄露时，立即采取补救措施并通知用户（可能的话）C.对处理敏感个人信息的员工进行背景调查和培训D.为用户提供便捷的撤回同意、删除信息的途径三、案例分析题（共35分）案例1（15分）：2024年10月，某母婴电商平台“宝贝优”被用户投诉，称其在用户注册时强制要求提供“生育时间、婴儿性别、孕期检查医院”等信息，否则无法使用“商品推荐”功能；同时，平台将用户的购物记录（包含具体商品、购买频率）共享给合作的奶粉企业用于精准营销，未单独告知用户；此外，平台服务器因遭受攻击导致10万条用户信息（包含姓名、手机号、婴儿出生日期）泄露，部分信息被用于发送骚扰短信。问题：（1）“宝贝优”强制要求提供“生育时间、婴儿性别”等信息的行为是否合法？请结合《个人信息保护法》“最小必要”原则说明理由。（5分）（2）平台将购物记录共享给奶粉企业的行为是否需取得用户单独同意？为什么？（5分）（3）信息泄露后，平台应履行哪些法定义务？用户可主张哪些权利？（5分）案例2（20分）：2024年12月，某AI公司“智创科技”开发了一款“儿童性格分析”APP，声称通过分析儿童的语音、表情、游戏行为等数据，提供“性格倾向报告”。该APP在用户注册时要求上传儿童的人脸图像、语音录音（时长5分钟），并默认开启“自动同步至云端”功能；用户协议中规定“上传数据即视为同意公司用于算法训练和学术研究”；部分家长发现，其儿童数据被用于第三方广告公司的“儿童产品偏好分析”。问题：（1）“智创科技”处理儿童人脸图像、语音录音的行为是否属于处理敏感个人信息？为什么？（5分）（2）APP默认开启“自动同步至云端”的行为是否符合“告知-同意”规则？请结合法律规定分析。（5分）（3）将儿童数据用于第三方广告公司分析的行为是否合法？若违法，可能承担哪些法律责任？（5分）（4）从个人信息保护角度，谈谈AI技术在儿童数据处理中的特殊风险及应对建议。（5分）四、论述题（30分）结合《个人信息保护法》实施以来的实践，论述“告知-同意”规则在数字经济场景中的适用困境及完善路径。要求：结合具体案例或数据，逻辑清晰，论证充分。答案一、单项选择题1.C（解析：个人信息需满足“可识别性”，C项包含姓名、电话、门牌号，可直接识别特定自然人；A为匿名化信息，B为统计数据，D无身份标识，均不属于个人信息。）2.D（解析：自动化决策需告知规则、提供拒绝选项，不得限制核心功能。D项符合“提供不针对个人特征的选项”要求。）3.A（解析：匿名化处理后无法识别的信息无需监护人单独同意；B、D涉及提供或存储至境外，C虽向本人展示但原始数据仍需监护人同意。）4.C（解析：工作人员非故意且属职务行为，责任由银行承担；犯罪团伙、第三方平台为直接侵权人，需担责。）5.D（解析：跨境提供需安全评估、标准合同、用户同意，但无需证明境外保护水平“不低于”中国，而是“等效”或通过其他机制保障。）6.D（解析：无证据显示平台构成犯罪，公安机关无法直接追究刑事责任；其他选项均为合法救济途径。）7.D（解析：共享给第三方超出“配送效率”的必要范围，违反最小必要原则；A、B、C均符合存储期限、方式的必要限制。）8.B（解析：生育史属于“生物识别、宗教信仰、特定身份、医疗健康”等敏感个人信息，需单独同意；婚姻状况一般不属敏感信息，但医疗场景中可能关联健康，需具体分析；家族遗传病史直接关联健康，属敏感信息。）9.D（解析：实际控制人信用记录非审查重点，重点是处理规则、培训、目的一致性等具体义务履行情况。）10.D（解析：D项未经授权提供简历信息，属非法处理；A为新闻报道合理使用，B为行政机关法定职责，C为技术延迟非故意，不属非法。）二、多项选择题11.ACD（解析：B项“不同意则无法使用服务”限制用户权利，违反“告知-同意”的自愿性；A、C、D均符合明确告知、自愿同意要求。）12.ABCD（解析：生物识别属敏感个人信息，需满足特定目的、必要性、单独同意、安全措施、告知义务。）13.ABC（解析：D项为公安机关依法履职，不构成侵权；A、B、C均属未经同意或过失导致的信息滥用。）14.CD（解析：A项关键信息基础设施运营者“重要数据”原则不出境，非所有个人信息；B项标准合同需“签订”而非“备案”；C、D正确。）15.ABCD（解析：四项均为《个人信息保护法》规定的处理者义务，包括审计、泄露应对、员工管理、用户权利保障。）三、案例分析题案例1答案：（1）不合法。根据《个人信息保护法》第6条，处理个人信息应限于实现处理目的的最小范围，不得过度收集。“商品推荐”功能的核心目的是基于购物偏好推荐商品，而“生育时间、婴儿性别”与商品推荐无直接必要关联，属于过度收集，违反“最小必要”原则。（2）需取得用户单独同意。购物记录包含具体商品、购买频率等个人信息，共享给第三方属于“向他人提供个人信息”，根据《个人信息保护法》第23条，需向用户告知接收方、目的等并取得单独同意，平台未履行此义务，构成违法。（3）平台义务：根据第57条，发生泄露后应立即采取补救措施（如暂停处理、修复系统），通知用户泄露的内容、可能的风险及补救方式（难以通知的除外），并向履行个人信息保护职责的部门报告。用户权利：可要求平台删除泄露的信息（第47条），主张损害赔偿（第69条，适用过错推定），若造成精神损害可请求精神损害赔偿（《民法典》第1183条）。案例2答案：（1）属于。儿童的人脸图像、语音录音属于生物识别信息（人脸）和可能识别特定儿童的敏感信息（语音结合行为数据可识别身份），且处理对象为未成年人（不满14周岁），根据《个人信息保护法》第28条，敏感个人信息包括生物识别、未成年人个人信息等，需特别保护。（2）不符合。“告知-同意”需遵循“明确、具体、自愿”原则（第17条）。默认开启“自动同步至云端”属于“默认同意”，未给予用户主动选择的机会，且用户协议中“上传即同意”的概括性条款未明确同步的具体范围、目的，违反“充分告知”要求。（3）不合法。将儿童数据用于第三方广告分析超出了“性格分析”的原处理目的（第6条），且未取得监护人的单独同意（第31条）。可能承担的责任：行政责任（由网信部门责令改正、警告、罚款，最高5000万元或上一年度营业额5%）；民事责任（赔偿用户损失，包括精神损害）；若情节严重（如大量泄露、非法获利），可能构成侵犯公民个人信息罪（《刑法》第253条之一）。（4）特殊风险：儿童缺乏信息保护意识，数据易被过度收集；AI分析可能标签化儿童性格，影响其成长；儿童数据与生物识别、行为轨迹结合，识别度更高，泄露风险更大。应对建议：严格限制儿童数据处理目的（最小必要）；强制要求监护人双重同意（书面+线上确认）；对AI算法进行伦理审查，禁止用于歧视性分析；建立儿童数据专用存储库，加密等级高于成人数据；加强监管部门对儿童类APP的专项检查。四、论述题“告知-同意”规则是《个人信息保护法》的核心机制，旨在通过用户自主决策平衡个人权益与数据利用。但在数字经济场景中，其适用面临多重困境：1.信息不对称下的“形式同意”：平台隐私政策普遍存在“法律术语堆砌”“隐藏关键条款”等问题。例如，某社交APP的隐私政策长达8000字，用户实际阅读率不足3%（2024年中国互联网协会调研数据），导致“同意”沦为点击勾选的形式，而非真实意思表示。2.“不同意即不服务”的胁迫性：用户在使用高频服务（如支付、社交）时，若拒绝同意“非必要信息”收集，平台常限制核心功能。例如，某地图APP要求用户同意“读取通讯录”才能使用导航，实质剥夺了用户的选择权，违反“自愿同意”原则。3.动态场景中的“同意滞后”：AI、大数据技术使信息处理场景动态变化（如算法推荐的实时调整），用户最初同意的范围难以覆盖后续处理行为。例如，某电商平台基于用户历史购物数据开发新的“关联商品推荐”功能，未重新告知用户即实施，导致“同意”与实际处理脱节。4