2025个人信息保护法专题考试试题含答案

2025个人信息保护法专题考试试题含答案一、单项选择题（每题1分，共20分。每题只有一个正确答案，错选、多选均不得分）1.2025年修订的《个人信息保护法》将“敏感个人信息”扩展至下列哪一类数据？A.网络浏览历史B.智能穿戴设备采集的步数C.基因编辑临床受试者的全基因组序列D.快递收货地址答案：C解析：2025年修订新增“基因编辑临床受试者的全基因组序列”为敏感个人信息，因其一旦泄露将造成不可逆的人身歧视与生物安全风险。A、B、D均不属于法定敏感个人信息。2.某短视频App推出“AI复活”功能，用户上传逝者人脸视频即可生成虚拟人。平台在未取得逝者近亲属单独同意情形下上线该功能，其直接违反的法律义务是：A.最小必要原则B.死者个人信息保护义务C.自动化决策透明度义务D.数据安全评估义务答案：B解析：2025年修订第49条明确“自然人死亡的，其近亲属对死者个人信息享有知情、决定权”，平台未取得近亲属单独同意即处理死者人脸信息，构成对死者个人信息保护义务的违反。3.根据2025年修订稿，个人信息跨境提供“安全认证”的有效期为：A.1年B.2年C.3年D.5年答案：B解析：国家网信办2025年第3号公告《个人信息跨境认证办法》第12条规定认证有效期2年，到期需重新申请。4.某银行使用联邦学习技术联合多家机构训练反欺诈模型，下列哪项措施符合“匿名化”要求？A.训练前删除客户姓名、身份证号B.采用差分隐私加入噪声ε=0.1C.模型输出梯度经同态加密后传输D.各参与方数据在本地对齐用户ID答案：B解析：匿名化需确保“无法识别且不能复原”。差分隐私通过数学噪声实现不可识别，符合2025年国家标准GB/T425842025《匿名化技术通用规范》要求。A仅去标识化；C、D仍可能通过梯度或ID反推。5.2025年修订新增“超大平台”特别义务，其认定门槛为：A.月活用户5000万且年营收100亿元B.月活用户1亿且年营收200亿元C.日活用户5000万且年营收50亿元D.注册用户2亿且年营收300亿元答案：A解析：第58条第2款明确“超大平台”指上一年度月活用户≥5000万且营业收入≥100亿元的网络平台。6.个人信息保护影响评估（PIA）报告应当至少保存：A.1年B.3年C.5年D.10年答案：C解析：第55条第3款要求处理者保存PIA报告至少5年，以备监管核查。7.某境外电商向境内消费者提供商品，服务器位于新加坡，其处理境内消费者个人信息应当：A.在境内设立专门机构或指定代表B.仅需在隐私政策中披露境外接收方C.向省级以上网信部门备案D.取得国家网信部门安全评估答案：A解析：第53条确立“境外处理者境内机构/代表”制度，无论数据是否跨境，只要向境内自然人提供产品或服务即适用。8.2025年修订将“公共场所图像采集”合法基础限定为：A.取得个人同意B.履行合同必需C.公共利益必需且设置显著提示D.保护财产权益必需答案：C解析：第26条新增“公共场所图像采集双要件”：①为维护公共安全等公共利益所必需；②设置显著提示标识。无需个人同意，但不得用于商业目的。9.对未成年人个人信息的“告知同意”规则，2025年修订将年龄门槛调整为：A.12周岁B.14周岁C.16周岁D.18周岁答案：B解析：第31条将未成年人敏感个人信息处理同意年龄由14周岁下调至“14周岁以下”，即14周岁及以上未成年人可自行同意，但敏感信息仍需监护人单独同意。10.个人信息处理者发生“数据泄露”事件，应在几小时内向省级以上监管部门报告？A.2小时B.8小时C.24小时D.72小时答案：C解析：第57条第1款规定“泄露事件发生后24小时内”报告，较2021版缩短48小时。11.下列哪一项不属于“个人信息可携权”的法定范围？A.个人收藏的歌曲列表B.个人在平台的积分余额C.个人发帖内容D.平台通过算法推导出的个人标签答案：D解析：可携权重在“本人提供或活动产生”的数据。算法推导标签系平台生成，非本人提供或活动直接产生，故不在可携范围。12.2025年修订引入“算法备案”制度，要求超大平台在算法上线前：A.向公安机关备案B.向国家网信部门备案并公示摘要C.向市场监管总局备案D.向工信部备案答案：B解析：第58条第3款要求超大平台将“推荐算法、生成合成算法”在上线前向国家网信部门备案，并通过平台公示算法摘要。13.个人信息处理者委托第三方存储数据，下列哪项协议条款符合法律要求？A.受托方可将数据转委托给云服务商B.委托到期后受托方可在30日内删除数据C.受托方须接受处理者定期审计D.受托方有权为优化服务使用数据训练模型答案：C解析：第59条明确委托处理需“约定委托目的、期限、处理方式及双方权利义务”，处理者有权审计，受托方不得转委托或超目的使用。14.2025年修订对“人脸识别”支付场景的强制要求不包括：A.提供非人脸替代方案B.取得个人单独同意C.取得人脸数据出境安全评估D.设置“二次确认”机制答案：C解析：人脸识别支付若数据不出境，无需出境评估。A、B、D均见第28条及配套国标GB/T418072025《人脸识别支付安全要求》。15.个人信息保护认证机构出具虚假认证结论，最高可处：A.100万元罚款B.500万元罚款C.上一年度营业额5%罚款D.吊销执照答案：C解析：第66条新增“双罚制”，对认证机构处“上一年度营业额1%—5%”罚款，并可责令停业。16.个人请求更正其健康信息，处理者无正当理由拒绝的，个人可依法：A.向公安机关报案B.向检察机关提起公益诉讼C.向县级以上网信部门投诉D.直接提起行政诉讼答案：C解析：第50条赋予个人“更正权”，拒绝更正的，个人可向监管部门投诉，监管部门应责令改正。17.2025年修订将“个人信息侵权”民事赔偿额度上限提高至：A.50万元B.100万元C.500万元D.1000万元答案：D解析：第69条将“法定最高赔偿额”从500万元提至1000万元，强化惩罚性赔偿。18.下列哪一项属于“为履行法定职责所必需”而不需个人同意的情形？A.税务机关向电商平台调取商家销售数据B.电商平台向税务机关提供消费者购物记录C.快递公司向保险公司提供用户运单信息D.银行向营销公司提供客户资产等级答案：A解析：税务机关依法履职调取商家销售数据，符合第13条“履行法定职责”例外。B、C、D均非法定职责，需另寻合法基础。19.2025年修订新增“数据跨境流动负面清单”由哪个部门发布？A.国家发改委B.国家网信部门C.商务部D.工信部答案：B解析：第38条授权国家网信部门会同国务院有关部门制定并发布“禁止出境个人信息清单”。20.个人信息处理者因“合并”导致数据转移，下列哪项做法合法？A.向个人发送短信即视为履行告知义务B.无需告知即可转移数据C.通过弹窗显著告知接收方名称、处理目的，并提供拒绝途径D.仅在公司官网公告答案：C解析：第22条要求“合并分立”导致数据转移的，应“显著方式告知”个人，个人有权拒绝。弹窗+拒绝途径符合要求。二、多项选择题（每题2分，共20分。每题有两个以上正确答案，多选、少选、错选均不得分）21.2025年修订将“敏感个人信息”扩展至：A.精确定位轨迹连续超过7天B.消费记录反映的政治倾向C.基因编辑临床数据D.心理健康评估问卷原始答案答案：A、C、D解析：B项“消费记录反映的政治倾向”虽敏感，但未被列入法定敏感个人信息清单。A、C、D分别见2025年修订第28条及配套国标。22.处理者履行“告知义务”时，必须披露的内容包括：A.算法推荐基本原理B.个人行使权利的方式与期限C.境外接收方所在国家及联系方式D.数据出境风险评估结果摘要答案：A、B、C解析：D项“风险评估摘要”仅需内部保存或监管提交，无需向个人披露。23.下列哪些情形需事前进行个人信息保护影响评估？A.向境外提供“人脸特征”B.公开披露“个人行政处罚信息”C.使用AI客服调用用户购物记录D.处理超过100万人的“网络日志”答案：A、B、D解析：C项AI客服调用购物记录若未涉及敏感信息且规模未达百万，无需强制PIA。A、B、D分别对应第55条三项触发条件。24.个人行使“撤回同意”权利时，处理者应当：A.提供便捷撤回方式B.15个工作日内完成删除C.不得拒绝提供基础服务D.可收取合理手续费答案：A、B、C解析：D项收取手续费被第15条明确禁止。25.2025年修订对“超大平台”新增的年度义务有：A.发布个人信息保护社会责任报告B.接受第三方审计并公开结果C.设立独立外部监督委员会D.向国家网信部门报送算法源代码答案：A、B、C解析：D项仅要求备案算法摘要，无需报送源代码。26.关于“死者个人信息权”，近亲属可行使的权利包括：A.查阅复制B.更正删除C.可携权D.提起公益诉讼答案：A、B解析：第49条赋予近亲属“查阅、复制、更正、删除”权，未赋予可携权；公益诉讼仅检察机关可提起。27.个人信息跨境“安全认证”需满足的技术要求有：A.数据出境前进行去标识化B.境外接收方通过ISO27001认证C.建立数据出境日志留存3年D.采用端到端加密传输答案：A、C、D解析：B项ISO27001非强制，仅作参考。28.2025年修订确立的“推定过错”责任适用于：A.非法买卖个人信息B.未履行安全保护义务导致泄露C.未经同意向境外提供数据D.因不可抗力导致数据丢失答案：A、B、C解析：D项不可抗力可免责，不适用推定过错。29.下列哪些行为构成“非法处理个人信息”行政违法？A.超出约定目的使用员工简历B.未在15日内响应个人删除请求C.未设置境外接收方联系人D.未对算法推荐结果进行审核导致歧视答案：A、B、C、D解析：均违反对应条款，可处最高5000万元或营业额5%罚款。30.个人信息处理者“数据匿名化”后，可自由进行的操作有：A.出售给广告商用于人群包投放B.公开发布用于学术研究C.与第三方共享用于模型训练D.向境外传输无需评估答案：B解析：匿名化后信息不再适用《个人信息保护法》，但A、C仍可能通过重识别侵害隐私；B项学术发布符合公共利益；D项若重识别风险高，监管部门可要求评估。三、判断题（每题1分，共10分。正确打“√”，错误打“×”）31.2025年修订后，个人有权要求平台提供其“被算法标签化”的全部推导过程代码。答案：×解析：第24条仅要求说明“算法基本原理及主要运行机制”，未要求公开源代码。32.处理者因合并转移数据，个人拒绝的，处理者可以终止提供原服务。答案：×解析：第22条明确个人拒绝的，处理者不得因此拒绝提供原服务，但可依法终止与合并无关的新增服务。33.境外司法机构要求调取存储于中国的个人信息，企业可直接提供，但需事后向国家网信部门报告。答案：×解析：第41条确立“阻断条款”，未经中国主管机关批准，不得向境外司法或执法机构提供。34.2025年修订首次将“个人无过错精神损害赔偿”写入法律。答案：√解析：第69条第2款新增“个人信息权益受侵害，个人无过错可请求精神损害赔偿”，降低维权门槛。35.个人信息保护影响评估报告属于政府信息公开范围，任何公民均可申请查阅。答案：×解析：报告涉及企业商业秘密及第三方个人信息，依法不予公开。36.公共场所安装人脸识别闸机，仅需在设备旁张贴A4纸提示即可。答案：×解析：第26条要求“显著提示”，A4纸不足以构成“显著”，应通过大屏、广播、标识等多方式提示。37.个人请求将购物记录转移至竞争对手平台，处理者可因竞争关系拒绝。答案：×解析：可携权重在“技术可行”，竞争关系不构成法定拒绝理由。38.2025年修订后，个人信息侵权案件可由检察机关提起民事公益诉讼。答案：√解析：第70条明确检察机关可提起民事公益诉讼，已有多例判例。39.处理者雇佣第三方催收机构，无需告知个人催收机构名称。答案：×解析：第23条要求披露“接收方名称、联系方式、处理目的”，催收机构属接收方。40.匿名化数据再次识别出特定个人，处理者应立即补做去标识化。答案：×解析：一旦可识别即重新构成个人信息，应重新履行告知同意等义务，而非简单去标识化。四、填空题（每空1分，共10分）41.2025年修订将“个人信息”定义中的“识别”标准由“单独识别”调整为“________识别”。答案：关联解析：采用“关联+识别”双轨，扩大保护范围。42.处理者应当在“________”基础上建立个人信息分类分级保护制度。答案：最小必要解析：第51条要求以最小必要为原则进行分类分级。43.对未成年人年龄进行验证时，平台应使用“________”技术避免收集过多身份信息。答案：年龄门解析：2025年国标推荐使用“零知识年龄门”技术，仅验证是否满14周岁。44.个人信息跨境“标准合同”需在________部门备案后生效。答案：省级以上网信解析：第38条第2款规定备案机关为省级以上网信部门。45.2025年修订新增“________”作为独立民事责任承担方式。答案：停止侵害解析：第69条第1款将“停止侵害”与“赔偿损失”并列，便于快速救济。46.超大平台应________年发布一次个人信息保护社会责任报告。答案：每解析：第58条要求“每年”发布。47.处理者委托第三方处理数据，应对受托方进行________，确保其具备足够安全能力。答案：背景审查解析：第59条要求“事前审查”受托方数据安全能力。48.个人请求删除借贷逾期记录，征信机构应在________日内完成。答案：20解析：《征信业管理条例》与2025年修订衔接，统一为20日。49.2025年修订将“________”纳入国家网信部门年度随机抽查事项。答案：算法合规解析：2025年监管计划将算法合规列为双随机抽查重点。50.个人信息侵权纠纷中，法院可依据________原则确定惩罚性赔偿倍数。答案：故意且情节严重解析：第69条第3款明确“故意+情节严重”可处两倍以下惩罚性赔偿。五、简答题（每题10分，共20分）51.简述2025年修订在“死者个人信息保护”方面的制度创新，并说明近亲属行使权利的限制。答案：（1）制度创新：①首次赋予死者个人信息独立法律地位，明确近亲属享有知情、决定、查阅、复制、更正、删除权；②建立“死者个人信息登记”制度，平台应提供线上登记入口；③引入“死者生前意愿优先”原则，若生前书面拒绝处理，近亲属不得违背；④规定平台应在知道自然人死亡后30日内主动提示近亲属行使权利。（2）权利限制：①近亲属行使权利不得违背死者生前明示意愿；②不得损害国家利益、社会公共利益及他人合法权益；③涉及国家秘密、他人隐私的，平台可拒绝；④近亲属范围限定为配偶、父母、子女，其他亲属需公证证明利害关系；⑤权利行使期限为自然人死后10年，期满后平台可删除或匿名化。52.结合2025年修订，说明“超大平台”在算法推荐场景下的特别义务，并给出两条落地建议。答案：（1）特别义务：①算法备案：上线前向国家网信部门备案并公示摘要；②可解释性：以显著方式说明算法基本原理、主要运行机制；③关闭权：提供便捷关闭个性化推荐选项，且关闭后不得降低基础服务质量；④审计公开：每年委托第三方进行算法合规审计并公开结果；⑤外部监督：设立独立外部监督委员会，成员含法学、伦理、技术专家及用户代表。（2）落地建议：①产品设置“一键关闭”悬浮按钮，点击后24小时内生效，并通过弹窗告知用户关闭后的内容变化；②建立“算法黑箱申诉”通道，用户可上传疑似被算法歧视截图，平台在48小时内人工复核并反馈结果，复核记录留存3年备查。六、案例分析题（20分）53.案例：“云健康”App系国内头部互联网医疗平台，注册用户数1.2亿，2025年营收150亿元。2025年3月，该平台上线“AI健康管家”功能，通过分析用户上传的舌象、面部照片及既往问诊记录，生成个性化健康报告并推荐保健品。上线两周内，部分用户发现自己在未授权情形下被生成“亚健康风险评估”，且报告被共享至第三方保险公司用于电话营销。经调查，平台未就“面部生物特征”处理取得单独同意，亦未进行PIA；算法模型训练数据包含30万张面部照片，系2022年公司与某医美机构合作时留存，合作结束后未删除。问题：（1）请指出“云健康