2025年个人信息保护合规考试试题及答案

2025年个人信息保护合规考试试题及答案一、单项选择题（每题2分，共20分）1.根据《个人信息保护法》及相关规定，下列哪项信息不属于“个人信息”范畴？A.经过匿名化处理的用户消费记录B.某用户在社交平台发布的公开动态中的手机号码C.电商平台收集的用户收货地址D.医疗机构记录的患者就诊卡号答案：A（依据《个人信息保护法》第四条，匿名化处理后的信息无法识别特定自然人，不属于个人信息）2.某金融科技公司拟通过自动化决策对用户实施差异化服务，以下哪项操作符合“透明公平”原则？A.仅在用户注册时以超链接形式提示可能存在算法推荐B.在用户每次接收差异化服务前弹窗说明决策逻辑C.对不同信用等级用户设置不同的服务费率但不告知具体分级标准D.基于用户设备型号调整界面布局但不说明原因答案：B（《个人信息保护法》第二十四条要求自动化决策应保证透明度和公平性，需向用户说明决策逻辑）3.处理不满十四周岁未成年人个人信息时，个人信息处理者的合规义务不包括？A.制定专门的未成年人个人信息处理规则B.取得未成年人本人的单独同意C.明确告知处理目的、方式和范围D.采取更严格的安全保护措施答案：B（《个人信息保护法》第三十一条规定，处理不满十四周岁未成年人个人信息应取得其监护人同意，而非未成年人本人）4.某旅游平台拟将用户行程信息提供给合作酒店，下列哪项情形无需取得用户单独同意？A.提供信息用于酒店为用户办理入住登记B.提供信息用于酒店向用户推送旅游优惠券C.提供信息用于酒店统计用户入住偏好D.提供信息用于第三方数据分析公司建模答案：A（《个人信息保护法》第二十三条规定，向其他个人信息处理者提供个人信息，若为实现原处理目的所必需且已事先告知，可不单独同意；用于额外目的需单独同意）5.关于个人信息删除权的行使，下列表述正确的是？A.用户要求删除个人信息时，处理者需在7个工作日内响应B.若个人信息已共享给第三方，处理者只需自身删除即可C.用户撤回同意后，处理者应主动删除相关个人信息D.因法律诉讼需要留存的个人信息，处理者可拒绝删除答案：D（《个人信息保护法》第四十七条规定，法律、行政法规规定的保存期限未届满时，处理者可不删除）6.某直播平台收集用户面部识别信息用于登录验证，其合规要点不包括？A.明确告知收集面部信息的必要性B.仅收集实现登录功能所需的最小生物特征数据C.存储时进行去标识化处理D.与用户签订单独的生物信息处理协议答案：C（生物识别信息属于敏感个人信息，《个人信息保护法》第二十九条要求应采取严格加密等安全措施，而非简单去标识化）7.跨境提供个人信息时，下列哪项不属于“通过国家网信部门组织的安全评估”的适用情形？A.关键信息基础设施运营者向境外提供个人信息B.处理100万人以上个人信息的处理者向境外提供信息C.自上年1月1日起累计向境外提供10万人以上个人信息D.金融机构向境外母公司提供客户信息答案：D（依据《个人信息出境安全评估办法》第四条，金融机构向境外母公司提供信息若未达到人数标准，可能适用标准合同等其他方式）8.某教育类APP拟更新隐私政策，下列操作符合要求的是？A.通过站内通知提示用户“隐私政策已更新，继续使用即视为同意”B.在更新后的隐私政策中新增“收集用户通讯录用于好友推荐”条款，并通过弹窗要求用户重新确认C.将隐私政策更新内容隐藏在“历史版本”中，不主动提示用户D.仅修改条款表述方式，未实际变更处理规则时，不告知用户答案：B（《个人信息保护法》第十七条规定，隐私政策重大变更需以显著方式、清晰易懂的语言告知用户并重新取得同意）9.个人信息处理者因合并导致个人信息控制权转移时，下列哪项操作违规？A.在合并前30日通过官网公告告知用户B.向用户说明新处理者的名称、联系方式及处理规则C.未取得用户同意直接转移个人信息D.允许用户在合并前选择撤回同意并删除信息答案：C（《个人信息保护法》第二十二条规定，个人信息处理者发生合并时，需向用户告知并取得同意，否则不得转移）10.某企业拟建立个人信息保护合规审计制度，下列哪项不符合要求？A.每年至少开展一次全面审计B.审计范围覆盖个人信息收集、存储、使用全流程C.由企业法务部门独立实施审计D.审计报告留存至少3年答案：C（《个人信息保护法》第五十一条要求，合规审计应确保独立性，由法务部门实施可能影响客观性，建议由第三方或独立合规部门负责）二、多项选择题（每题3分，共30分）1.下列哪些情形属于“个人信息处理”行为？A.电商平台对用户搜索记录进行分析以优化推荐算法B.快递公司将用户地址信息提供给合作仓储企业C.社交软件对用户发布的动态进行关键词过滤D.医疗机构将患者病历信息匿名化后用于学术研究答案：AB（《个人信息保护法》第四条规定，处理包括收集、存储、使用、加工、传输、提供、公开等；C为内容审核，D为匿名化处理，不属于个人信息处理）2.个人信息处理者履行“告知义务”时，需包含的内容有？A.个人信息的处理目的、方式B.个人信息的保存期限C.用户行使权利的方式和程序D.个人信息处理的技术方案细节答案：ABC（《个人信息保护法》第十七条规定，告知内容需包括处理目的、方式、范围、保存期限、权利行使方式等；技术细节无需告知）3.关于“同意”的有效性，下列表述正确的有？A.用户勾选“同意隐私政策”复选框视为有效同意B.未成年人通过虚假身份信息注册时，其同意无效C.处理敏感个人信息需取得用户的书面同意D.同意的撤回不影响撤回前基于同意已进行的处理答案：ABD（《个人信息保护法》第二十九条规定，敏感个人信息需“单独同意”，不强制书面形式；C错误）4.个人信息处理者应建立的合规制度包括？A.个人信息分类分级管理制度B.个人信息安全影响评估制度C.用户权利响应制度D.数据泄露应急处置制度答案：ABCD（《个人信息保护法》第五十一条要求处理者应建立健全管理制度、操作规程、应急机制等）5.下列哪些行为可能构成“过度收集个人信息”？A.视频软件要求用户提供身份证号才能观看免费内容B.银行APP在注册时收集用户通讯录C.购物平台在支付时仅收集姓名、银行卡号D.天气应用在定位时获取精确到街道的位置信息答案：ABD（根据“最小必要”原则，A非必要信息，B注册时无需通讯录，D天气应用一般只需城市级定位）6.个人信息跨境提供的合规路径包括？A.通过国家网信部门安全评估B.与境外接收方签订标准合同C.经专业机构认证符合要求D.取得用户逐一单独同意答案：ABC（《个人信息保护法》第三十八条规定，跨境提供需通过安全评估、标准合同或认证等；用户同意是基础，但非唯一路径）7.用户行使“查阅复制权”时，个人信息处理者的义务包括？A.提供个人信息的副本B.说明个人信息的来源C.告知处理个人信息的算法逻辑D.提供便捷的申请渠道答案：ABD（《个人信息保护法》第四十五条规定，处理者需提供信息副本、来源及便捷渠道；算法逻辑属于自动化决策范畴，非查阅复制权必须告知内容）8.某企业发生个人信息泄露事件，应采取的措施包括？A.立即暂停相关业务B.评估泄露可能造成的危害C.向履行个人信息保护职责的部门报告D.通知可能受影响的用户答案：BCD（《个人信息保护法》第五十七条规定，发生泄露需立即采取补救措施，评估影响，报告监管部门，通知用户；暂停业务非必须）9.下列哪些属于“敏感个人信息”？A.15周岁未成年人的身份证号B.某用户的宗教信仰信息C.企业高管的行程轨迹D.患者的诊疗记录答案：ABCD（《个人信息保护法》第二十八条规定，敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等，未成年人个人信息视为敏感信息）10.个人信息保护合规审计的重点内容包括？A.个人信息处理活动是否符合约定的处理目的B.安全技术措施是否与风险等级相匹配C.用户权利请求的响应时效和处理结果D.数据跨境流动的合规性答案：ABCD（合规审计需覆盖处理活动的合法性、安全性、用户权利保障及特殊场景合规性）三、判断题（每题1分，共10分）1.个人信息处理者可以将“不同意提供非必要信息”作为拒绝提供基础服务的理由。（）答案：×（《个人信息保护法》第十六条规定，不得因用户不同意提供非必要信息而拒绝提供基础服务）2.已公开的个人信息无需取得同意即可处理。（）答案：×（《个人信息保护法》第二十七条规定，处理已公开个人信息仍需符合“合理范围”，超出合理范围需取得同意）3.个人信息的保存期限应明确为“自处理完毕后永久保存”。（）答案：×（《个人信息保护法》第十九条规定，保存期限应“为实现处理目的所必要的最短时间”）4.处理者委托第三方处理个人信息时，需与受托方签订书面协议并监督其处理活动。（）答案：√（《个人信息保护法》第二十一条规定，委托处理需签订协议并履行监督义务）5.用户撤回同意后，处理者应立即删除所有相关个人信息。（）答案：×（《个人信息保护法》第四十七条规定，若法律、行政法规规定需留存或为履行法定义务，可不删除）6.人脸识别技术用于公共安全领域时，无需取得个人同意。（）答案：√（《个人信息保护法》第二十六条规定，为维护公共安全，可在合理范围内处理个人信息，无需同意）7.个人信息处理者的合规负责人需直接向董事会汇报工作。（）答案：√（《个人信息保护法》第五十二条规定，处理者应指定负责人，确保其直接向高层汇报）8.数据匿名化后，处理者可自由使用无需承担任何责任。（）答案：×（匿名化信息虽非个人信息，但处理时仍需遵守《数据安全法》等其他法规）9.个人信息跨境提供时，境外接收方的保护水平可低于我国标准。（）答案：×（《个人信息保护法》第三十八条要求，境外接收方应具备相应保护水平）10.用户通过客服热线申请删除个人信息，处理者可要求其通过线上系统提交申请。（）答案：×（《个人信息保护法》第四十五条规定，处理者应提供便捷的权利行使方式，不得增设不合理条件）四、简答题（每题6分，共30分）1.简述个人信息处理的“告知-同意”原则的具体要求。答案：①告知需以显著方式、清晰易懂的语言进行，内容包括处理目的、方式、范围、保存期限、权利行使方式等；②同意需由用户主动作出，不得通过默认勾选、捆绑授权等方式强迫；③处理敏感个人信息、向第三方提供、跨境提供等特殊情形需取得“单独同意”；④同意可随时撤回，撤回不影响已进行的处理。2.个人信息安全影响评估应包含哪些主要内容？答案：①个人信息的处理目的、方式是否合法、正当、必要；②对个人权益的影响及风险程度；③所采取的安全保护措施是否有效；④委托处理、共享、转让、公开等场景的风险；⑤应急处置措施的有效性；⑥评估结果需形成报告并留存至少3年。3.处理敏感个人信息时需满足哪些特殊合规要求？答案：①仅限实现特定目的所必需，且具有充分的必要性；②取得个人的“单独同意”（未成年人需监护人同意）；③向个人告知处理敏感信息的必要性及对其权益的影响；④采取严格的安全保护措施（如加密、访问控制）；⑤进行安全影响评估并记录。4.个人信息处理者在用户行使“更正权”时应履行哪些义务？答案：①收到更正请求后及时核查个人信息的准确性；②对不准确的信息予以更正；③若个人信息已共享给第三方，应及时通知第三方更正（法律另有规定或双方约定除外）；④为用户提供便捷的更正申请渠道；⑤记录更正过程并留存相关证据。5.简述数据跨境流动中“标准合同”的适用条件及主要内容。答案：适用条件：非关键信息基础设施运营者，且未达到安全评估人数标准（如年处理100万人以下或累计向境外提供10万人以下）。主要内容：①双方基本信息；②个人信息的种类、范围、用途；③境外接收方的保护义务（包括安全措施、责任承担）；④用户权利保障机制；⑤合同终止时的处理措施；⑥争议解决方式。五、案例分析题（每题10分，共20分）案例一：某社交软件“蜜语”为提升用户体验，在未更新隐私政策的情况下，新增“根据用户聊天记录分析兴趣偏好，推送个性化广告”功能。用户注册时需勾选“同意《隐私政策》”才能使用，政策中仅模糊表述“可能收集用户信息用于优化服务”。部分用户发现广告内容与聊天内容高度相关后投诉，要求停止推送并删除相关信息。问题：分析“蜜语”的违规行为及法律依据。答案：违规行为及依据：①新增处理目的未履行告知义务。根据《个人信息保护法》第十七条，处理目的发生变更需以显著方式告知用户并重新取得同意，“蜜语”未更新隐私政策即新增广告推送功能，违反告知要求。②同意方式不合法。用户需勾选“同意隐私政策”才能使用，属于“捆绑授权