2025年个人信息保护合规考试试题及答案

2025年个人信息保护合规考试试题及答案一、单项选择题（每题1分，共20分。每题只有一个正确答案，请将正确选项字母填入括号内）1.根据《个人信息保护法》第十三条，处理个人信息应当取得个人的“告知—同意”，下列哪一项不属于“告知”必须包含的内容？A.处理目的B.处理方式C.保存期限D.数据出境接收方内部审计报告答案：D2.某App在注册环节强制要求用户开启定位权限，否则无法使用任何功能，该行为直接违反的合规基线是：A.最小必要原则B.公开透明原则C.质量保障原则D.责任明确原则答案：A3.个人信息处理者向境外提供个人信息时，应当事前进行的评估称为：A.安全认证评估B.数据出境风险自评估C.网络安全等级保护测评D.个人信息保护认证答案：B4.敏感个人信息不包括：A.14周岁以下未成年人个人信息B.银行账户流水C.精确地理位置连续轨迹D.用户登录密码哈希值答案：D5.发生个人信息泄露事件后，处理者应当于多少小时内向省级以上网信部门报告？A.8小时B.12小时C.24小时D.72小时答案：C6.个人信息保护影响评估（PIA）报告保存期限至少为：A.1年B.2年C.3年D.5年答案：C7.下列关于“匿名化”表述正确的是：A.匿名化信息仍属于个人信息B.匿名化信息可自由跨境流动C.匿名化信息无法被复原D.匿名化信息须重新取得个人同意答案：C8.个人信息处理者委托第三方处理个人信息时，必须签署的书面文件是：A.数据共享协议B.委托处理协议C.业务合作备忘录D.保密承诺函答案：B9.对个人信息进行“去标识化”后，其属性界定为：A.仍属于个人信息B.转化为重要数据C.自动成为公共数据D.不再适用《个人信息保护法》答案：A10.个人信息保护合规审计的频次要求是：A.每季度一次B.每半年一次C.每年至少一次D.每两年一次答案：C11.处理员工考勤人脸识别数据，下列做法合规的是：A.默认开启，员工可随时关闭B.取得员工单独同意并提供替代方案C.以“人力资源管理所必需”为由不告知D.将数据用于优化公司客户画像答案：B12.个人信息处理者因合并分立需要转移个人信息，应当：A.无需告知个人B.向个人告知接收方名称及联系方式C.仅需在官网发布公告D.取得监管部门批准答案：B13.下列哪一项不属于《个人信息保护法》第五十五条规定的“高风险处理活动”？A.利用个人信息进行自动化决策B.向境外提供个人信息C.公开披露个人信息D.个人信息的去标识化处理答案：D14.个人信息处理者应当设立个人信息保护负责人的情形是：A.处理个人信息超过1万人B.处理敏感个人信息C.向境外提供个人信息D.以上皆是答案：D15.对未成年人个人信息的处理，应当取得：A.未成年人本人同意B.监护人同意C.学校同意D.公安机关备案答案：B16.个人信息处理者收到个人行使删除权请求后，无正当理由拒不删除的，最高可被处以：A.100万元罚款B.500万元罚款C.上一年度营业额5%罚款D.吊销营业执照答案：C17.下列哪一项属于“个人信息可携带权”的行使条件？A.个人请求将数据直接转移给竞争对手B.处理基于合同履行且技术可行C.数据涉及国家秘密D.数据已匿名化答案：B18.个人信息处理者利用个人信息进行自动化决策，应当提供：A.申诉渠道B.人工复核方式C.拒绝自动化决策的选项D.以上全部答案：D19.个人信息跨境传输合同中必须约定的条款是：A.数据再转移条件B.数据本地化备份C.数据交易价格D.数据所有权归属答案：A20.对违法行为的举报，网信部门应当自收到举报材料之日起多少日内处理并答复？A.7日B.15日C.30日D.45日答案：B二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）21.以下哪些情形处理个人信息无需取得个人同意？A.履行法定职责B.突发公共卫生事件应对C.新闻报道舆论监督D.已公开的个人信息在合理范围处理答案：A、B、C、D22.个人信息处理者应当事前进行个人信息保护影响评估的情形包括：A.处理敏感个人信息B.利用个人信息进行自动化决策C.向境外提供个人信息D.公开披露个人信息答案：A、B、C、D23.个人在个人信息处理活动中享有的权利有：A.知情权B.决定权C.限制处理权D.数据携带权答案：A、B、C、D24.以下属于敏感个人信息的有：A.宗教信仰B.特定身份C.医疗健康D.金融账户答案：A、B、C、D25.个人信息跨境提供的合规路径包括：A.通过国家网信部门安全评估B.经专业机构个人信息保护认证C.与境外接收方订立标准合同D.加入区域性多边机制答案：A、B、C26.个人信息处理者发生数据泄露事件后，应当立即采取的措施有：A.消除安全隐患B.通知可能受影响个人C.向监管部门报告D.公开道歉信答案：A、B、C27.关于“告知—同意”原则，下列说法正确的有：A.告知应以显著方式呈现B.同意需自愿且明确C.个人有权撤回同意D.处理目的变更需重新取得同意答案：A、B、C、D28.个人信息保护合规审计报告应当包括：A.审计范围B.发现的问题C.整改建议D.审计机构盈利预测答案：A、B、C29.以下哪些部门对个人信息保护负有监管职责？A.国家网信部门B.国务院有关部门C.县级以上地方人民政府有关部门D.行业协会答案：A、B、C30.对个人信息处理者违法处理活动的行政处罚措施包括：A.警告B.没收违法所得C.罚款D.责令暂停相关业务答案：A、B、C、D三、填空题（每空1分，共20分）31.个人信息处理者应当采取相应的加密、________、去标识化等安全技术措施。答案：访问控制32.处理个人信息应当具有明确、________的目的，不得过度处理。答案：合理33.个人请求查阅、复制其个人信息，处理者应当在________日内予以答复。答案：1534.向境外提供个人信息，处理者应当向个人告知境外接收方的________、联系方式、处理目的、方式等事项。答案：名称35.个人信息保护影响评估应当包括处理目的、方式是否________、正当、必要。答案：合法36.处理敏感个人信息，应当取得个人的________同意。答案：单独37.个人信息处理者应当定期对从业人员进行________教育和培训。答案：个人信息保护38.国家网信部门统筹协调有关部门建立个人信息保护________机制。答案：投诉举报39.个人信息处理者委托第三方处理个人信息，应当对受托方的________能力进行评估。答案：个人信息保护40.个人信息保存期限为实现处理目的所必要的________时间。答案：最短41.个人信息处理者应当建立便捷的个人行使权利的________和________机制。答案：申请、受理42.个人信息跨境传输标准合同由国家网信部门会同________部门制定。答案：国务院有关43.大型互联网平台应定期发布个人信息保护________报告。答案：社会责任44.个人信息处理者应当制定个人信息安全________预案。答案：事件应急45.个人信息处理者利用个人信息进行自动化决策，应当保证决策的________和________。答案：透明度、公平性46.个人信息保护合规审计可以委托________机构进行。答案：第三方专业47.个人信息处理者提供不针对个人特征的选项，属于对________决策的约束。答案：自动化48.个人信息处理者应当建立个人信息________制度，明确岗位职责。答案：分类管理49.个人信息处理者停止运营产品或服务，应当停止个人信息处理活动，并在合理期限内________个人信息。答案：删除或匿名化50.违反《个人信息保护法》规定，构成违反治安管理行为的，依法给予________处罚。答案：治安管理四、判断题（每题1分，共10分。正确打“√”，错误打“×”）51.匿名化信息因可复原，仍受《个人信息保护法》调整。答案：×52.个人有权随时撤回同意，撤回后不影响撤回前处理的合法性。答案：√53.个人信息处理者可以在未取得监护人同意情况下处理14周岁以下未成年人个人信息，只要处理行为无害。答案：×54.个人信息跨境传输标准合同生效后，处理者无需再向监管部门备案。答案：×55.个人信息保护影响评估报告应当至少保存三年。答案：√56.处理已公开个人信息无需履行任何义务。答案：×57.个人信息处理者可以因个人拒绝提供非必要信息而拒绝提供基本功能。答案：×58.个人提出信息更正请求时，处理者应当在一周内予以更正或说明理由。答案：√59.个人信息处理者发生信息泄露事件后，只需向监管部门报告，无需通知个人。答案：×60.国家网信部门对违法处理个人信息的应用程序可以责令暂停或终止服务。答案：√五、简答题（封闭型，每题5分，共20分）61.简述“最小必要原则”在个人信息处理中的三项具体要求。答案：（1）处理的个人信息类型应与实现目的直接相关；（2）处理的数量应为实现目的的最小数量；（3）处理的频率与存储期限应为实现目的的最短时间。62.简述个人行使删除权的四种法定情形。答案：（1）处理目的已实现或无法实现；（2）个人信息处理者停止提供产品或服务；（3）个人撤回同意且处理无其他合法依据；（4）处理活动违反法律、行政法规或双方约定。63.简述个人信息跨境传输“安全评估”流程中的四个关键环节。答案：（1）自评估并形成报告；（2）提交省级网信部门初审；（3）国家网信部门组织技术评估；（4）评估结果通知与后续整改。64.简述个人信息保护合规审计的两大目标。答案：（1）验证处理活动符合法律、行政法规及国家标准；（2）发现并纠正个人信息保护风险与漏洞，提升保护水平。六、简答题（开放型，每题10分，共20分）65.某电商平台拟上线“个性化推荐”功能，计划收集用户浏览、搜索、订单及第三方合作App的线下位置信息。请从合规角度提出五项关键措施，并说明理由。答案：（1）事前PIA：因涉及自动化决策与多源数据融合，需评估数据处理的必要性、比例性及对用户的潜在影响；（2）单独告知与同意：线下位置信息属于敏感个人信息，需在用户首次使用时弹窗显著告知目的、方式、范围，并取得单独同意；（3）提供关闭选项：在账户设置中设置“一键关闭个性化推荐”并同步停止相关数据处理，保障用户决定权；（4）去标识化与加密：对位置信息进行模糊化（如降低精度）并采用AES256加密存储，降低泄露风险；（5）建立申诉通道：设立7×24小时客服与算法申诉专员，对“大数据杀熟”等投诉在3日内人工复核并反馈结果，确保公平性与透明度。66.某跨国公司在华设立子公司，需将中国区员工考勤与人事数据回传至位于欧盟的全球HR系统。请结合《个人信息保护法》与欧盟GDPR，设计一套兼顾两地法规的跨境数据传输合规方案，要求至少包含六个要点。答案：（1）法律基础双映射：在中国以“履行合同必需+单独告知同意”作为合法基础，在欧盟以GDPR第6条1(b)“合同履行”及第9条2(b)“劳动社保”处理敏感数据；（2）数据出境安全评估：依据《个人信息保护法》第三十八条，向国家网信部门提交自评估报告、接收方数据保护能力证明、合同文本，通过安全评估；（3）标准合同+SCC互补：签署国家网信部门发布的《标准合同》，同时参考欧盟委员会2021新版SCC，将两者冲突条款以“较高保护标准”为准；（4）数据最小化与字段分级：仅传输工号、部门、考勤时间戳等必要字段，剔除生物识别原始图像；对薪资数据采用分段传输，降低敏感度；（5）技术与组织措施：传输通道采用TLS1.3+AES256加密；欧盟服务器通过ISO27001认证；建立IAM与多因素认证，确保访问权限最小化；（6）数据主体权利响应机制：在HR系统首页设置“中国区员工数据门户”，支持员工在线行使查阅、更正、删除、携带权；承诺在15日内完成中国区员工请求，与GDPR30日要求并行不悖；（7）事件响应与联合应急：成立中欧联合应急响应小组，发生泄露后24小时内向中国省级网信部门与欧盟主监管机构双重报告；制定双语应急预案，年度演练一次并留存记录；（8）持续审计与记录：每半年委托第三方进行跨境传输专项审计，审计报告保存三年；对数据出境数量、目的、接收方进行日志留存不少于三年，满足两国监管核查需求。七、应用题（综合分析，20分）67.背景材料：A市某三甲医院上线“AI辅助诊断系统”，通过接入门诊摄像头实时采集患者面部微表情、声音、步态，结合电子病历进行抑郁症筛查。系统由B公司提供，部署在C云平台上。采集数据同步上传至B公司位于新加坡的服务器进行模型训练。医院在门诊入口张贴告知：“本院使用AI辅助诊断，采集信息用于学术研究，如有异议请口头提出。”上线两周后，一名未成年患者家长投诉：孩子被采集生物识别信息并未征得监护人同意，且无法关闭摄像头。舆情迅速发酵，监管部门介入调查。问题：（1）列出医院在此次处理活动中违反《个人信息保护法》的五项具体条款，并说明理由；（2）针对未成年患者，医院应如何重新设计告知与同意流程？（3）从跨境传输角度，医院需补充哪些合规文件或手续？（4）若医院拟继续使用该AI系统，请提出一套可落地的整改路线图，包含技术、管理、第三方治理三方面措施，并给出时间表。答案：（1）违反条款及理由：①第十三条：未取得个人或监护人同意，强制采集敏感个人信息；②第十七条：告知内容不完整，未说明处理目的、方式、保存期限、个人权利及新加坡接收方情况；③第二十八条：将生物识别信息用于学术研究超出“实现目的的最小范围”，违反敏感个人信息特殊规则；④第三十八条：向新加坡传输敏感个人信息未通过安全评估、未签标准合同；⑤第五十一条：未采取加密、去标识化等安全措施，摄像头数据明文上传。（2）未成年患者告知与同意流程：①分龄识别：挂号系统自动判断14周岁以下；②监护人专区：在医院公众号/小程序推送《监护人知情同意书》，列明采集生物识别信息的必要性、范围、保存期限、第三方接收方、权利行使方式；③单独同意：监护人需电子签名+人脸识别双重验证；④替代方案：提供纸质量表筛查选项，由监护人选择；⑤即时退出：摄像头设置物理开关，监护人可随时关闭并切换为传统问诊。（3）跨境传输需补充：①数据出境风险自评估报告，重点评估抑郁症筛查数据出境对国家安全、公共利