2026年个人信息保护合规考试试题及答案

2026年个人信息保护合规考试试题及答案第一部分：单项选择题（本大题共20小题，每小题1.5分，共30分。在每小题列出的四个备选项中只有一个是符合题目要求的，请将其代码填在括号内）1.根据《个人信息保护法》的规定，处理个人信息应当遵循合法、正当、诚信和（）原则。A.准确B.必要C.公开D.安全2.关于“敏感个人信息”的定义，下列哪项信息不属于法律明确列举的敏感个人信息范畴？A.生物识别信息B.宗教信仰C.健康医疗信息D.车辆登记信息3.处理个人信息应当在事先充分告知的前提下取得个人同意，且该同意应当由个人在（）状态下作出。A.完全知情B.自愿C.明确D.以上都是4.基于个人同意处理个人信息的，该个人有权撤回其同意。个人信息处理者应当提供（）的撤回同意的方式。A.便捷B.书面C.付费D.复杂5.在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的（）。A.警示标识B.提示标识C.隐私政策链接D.监控标志6.处理未成年人个人信息，应当取得未成年人的父母或者其他监护人的同意。其中，处理（）周岁以下未成年人个人信息，应当征得其父母或者其他监护人的单独同意。A.十四B.十六C.十八D.八7.个人信息处理者委托处理个人信息的，应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务，并对受托人的处理活动进行（）。A.监督B.全权负责C.放任D.替代8.国家网信部门负责统筹协调有关部门推进个人信息保护相关工作，并负责建立个人信息保护（）机制。A.监督管理B.行政处罚C.投诉举报D.联席会议9.个人信息处理者处理个人信息达到国家网信部门规定数量的，应当指定（）），负责对个人信息处理活动以及采取的保护措施等进行监督。A.信息安全负责人B.个人信息保护负责人C.数据合规官D.首席隐私官10.在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动，有下列情形之一的，也适用《个人信息保护法》：（）。A.以向境内自然人提供产品或者服务为目的B.分析、评估境内自然人的行为C.法律、行政法规规定的其他情形D.以上皆是11.违反《个人信息保护法》规定，处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，并处（）。A.五千元以上五万元以下罚款B.五万元以上五十万元以下罚款C.一百万元以下罚款D.五千万元以下或者上一年度营业额百分之五以下罚款12.个人信息处理者向境外提供个人信息的，应当具备下列条件之一：通过国家网信部门组织的安全评估；按照国家网信部门的规定经专业机构进行（）；按照国家网信部门的规定与境外接收方订立合同。A.个人信息保护认证B.等级保护测评C.风险评估D.安全审计13.关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在（）。A.境外B.境内C.任意位置D.加密后传输至境外14.个人信息处理者向境外提供个人信息的，应当向个人告知境外接收方的名称、联系方式、处理目的、处理方式、个人信息种类以及（）。A.处理期限B.个人向境外接收方行使权利的方式和程序C.境外接收方的所在地D.以上都是15.个人信息保护影响评估（PIA）应当包括下列内容：个人信息的处理目的、处理方式等是否合法、正当、必要；对个人权益的影响及安全风险；所采取的保护措施是否有效、是否与风险相适应；以及（）。A.处理者的组织架构B.受托人的资质C.处理者的财务状况D.员工的保密协议16.提供基础互联网服务的服务提供者，无正当理由不得拒绝、终止向（）提供产品或者服务。A.非会员用户B.外国企业C.违法违规者D.个人信息处理者17.个人信息处理者能够在实现处理目的的方式范围内，单独或者与其他信息结合识别特定自然人的信息，属于（）。A.匿名化信息B.去标识化信息C.已公开信息D.敏感信息18.个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务；处理个人信息属于提供产品或者服务所必需的（）除外。A.附加功能B.营销推广C.基本业务功能D.增值服务19.个人信息处理者发现其处理的个人信息泄露或者有泄露风险的，应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项：发生或者可能发生个人信息泄露、篡改、丢失的原因；个人信息泄露、篡改、丢失可能涉及的个人信息种类、原因和可能造成的危害；以及（）。A.涉及的人数B.个人信息处理者的联系方式C.已采取的补救措施和将要采取的补救措施D.造成的经济损失20.个人有权向个人信息处理者查阅、复制其个人信息，有证据证明个人信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的，有权请求（）。A.赔偿损失B.删除个人信息C.修改个人信息D.转移个人信息第二部分：多项选择题（本大题共10小题，每小题3分，共30分。在每小题列出的五个备选项中有两个或两个以上是符合题目要求的，请将其代码填在括号内。多选、少选、错选均不得分）1.下列哪些情形，个人信息处理者方可处理个人信息？（）A.取得个人的同意B.为订立、履行个人作为一方当事人的合同所必需C.为履行法定职责或者法定义务所必需D.为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需E.为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息2.处理敏感个人信息应当取得个人的单独同意，还应当向个人告知处理敏感个人信息的（）。A.必要性B.对个人权益的影响C.处理目的D.处理方式E.处理个人信息的种类3.个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、营销，应当同时提供（）。A.不针对其个人特征的选项B.便捷的关闭或者退出选项C.仅针对其个人特征的选项D.付费的关闭选项E.复杂的退出流程4.有下列情形之一的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录：（）A.处理敏感个人信息B.利用个人信息进行自动化决策C.委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息D.向境外提供个人信息E.其他对个人权益有重大影响的个人信息处理活动5.个人信息处理者发现其处理的个人信息泄露的，应当及时采取下列补救措施：（）A.启动应急预案B.重新加密数据C.限制访问权限D.关闭相关服务器E.销毁泄露数据6.个人信息处理者违反本法规定处理个人信息，侵害众多个人的权益的，人民检察院、法律规定的（）和国家网信部门确定的组织可以依法向人民法院提起公益诉讼。A.消费者协会B.工商联合会C.行业协会D.企业联合会E.互联网协会7.任何组织、个人有权对违法个人信息处理活动向履行个人信息保护职责的部门进行（）。A.举报B.投诉C.质询D.协商E.仲裁8.个人信息处理者应当采取必要措施保障个人信息安全，下列哪些措施是必须的？（）A.制定内部管理制度和操作规程B.对个人信息实行分类管理C.采取相应的加密、去标识化等安全技术措施D.合理确定个人信息处理的操作权限E.对处理个人信息的人员进行安全教育培训9.个人信息处理者向境外提供个人信息，应当符合下列哪些条件？（）A.通过国家网信部门组织的安全评估B.按照国家网信部门的规定经专业机构进行个人信息保护认证C.按照国家网信部门的规定与境外接收方订立合同，约定双方的权利和义务D.采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准E.境外接收方所在国法律水平与中国相当10.个人有权请求个人信息处理者删除其个人信息的情形包括：（）A.个人信息处理者处理目的已实现、无法实现或者为实现目的不再必要B.个人信息处理者停止提供产品或者服务，或者保存期限已届满C.个人撤回同意D.个人信息处理者违反法律、行政法规或者违反约定处理个人信息E.个人信息处理者未征得个人同意，但属于法定例外情形第三部分：判断题（本大题共15小题，每小题1分，共15分。请判断下列说法的正误，正确的打“√”，错误的打“×”）1.个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。（）2.个人信息处理者不得公开其处理的个人信息，取得个人单独同意的除外。（）3.处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。（）4.个人信息处理者基于个人同意处理个人信息的，不需对该同意的有效性负责。（）5.两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的，应当约定各自的权利和义务，但是该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。（）6.个人信息处理者合并、分立、解散、被宣告破产等原因需要转移个人信息的，应当向个人告知接收方的名称或者姓名和联系方式。（）7.个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务，任何情形下均无例外。（）8.个人信息处理者处理个人信息，有法律、行政法规规定应当保密或者不需要告知的情形的，可以不告知个人。（）9.个人信息保护负责人应当由本组织的主要负责人担任。（）10.个人信息处理者制定个人信息保护规则，应当公开，并便于个人查阅和复制。（）11.个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备法律规定的条件之一。（）12.任何国家或者地区在个人信息保护方面对中华人民共和国采取歧视性的禁止、限制措施或者其他类似措施的，中华人民共和国可以根据实际情况对该国家或者地区采取对等措施。（）13.个人信息处理者违反本法规定处理个人信息，侵害他人权益的，依法承担民事责任、行政责任和刑事责任。（）14.个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制，拒绝个人行使权利的请求的，无需说明理由。（）15.个人信息处理者能够证明自己没有过错的，可以减轻或者免除责任。（）第四部分：填空题（本大题共10小题，每小题2分，共20分。请将正确答案填在横线上）1.__________是指个人信息经过处理，使其在不借助额外信息的情况下，无法识别特定自然人的过程，且处理后的信息不能被复原。2.处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关。采取对个人权益影响__________的方式。3.个人信息处理者处理个人信息，有法律、行政法规规定应当保密或者对于__________不需要告知的情形的，可以不告知个人。4.个人信息处理者向个人告知处理敏感个人信息的必要性和对个人权益的影响，应当依照本法规定，取得个人的__________。5.个人信息处理者向境外提供个人信息，应当向个人告知境外接收方的__________、联系方式、处理目的、处理方式、个人信息种类以及个人向境外接收方行使权利的方式和程序等事项。6.关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在__________。确需向境外提供的，应当通过安全评估、进行专业机构认证或者签订国家网信部门规定的合同。7.个人信息处理者应当定期对其处理个人信息的情况进行__________，并接受履行个人信息保护职责的部门的监督。8.违反本法规定，构成违反治安管理行为的，依法给予__________；构成犯罪的，依法追究刑事责任。9.个人信息处理者违反本法规定处理个人信息，侵害众多个人的权益的，人民检察院、法律规定的消费者组织和国家网信部门确定的组织可以依法向人民法院提起__________。10.个人信息处理者处理个人信息未履行本法规定的个人信息保护义务的，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处__________；并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。第五部分：简答题（本大题共5小题，每小题6分，共30分）1.简述《个人信息保护法》中规定的“敏感个人信息”的范围以及处理敏感个人信息时应当遵守的特别规则。2.根据《个人信息保护法》，个人信息处理者在哪些情形下应当事前进行个人信息保护影响评估（PIA）？3.个人信息处理者向中华人民共和国境外提供个人信息，应当符合哪些条件？4.简述个人在个人信息处理活动中的主要权利。5.简述个人信息处理者违反《个人信息保护法》规定，情节严重时，可能面临的行政处罚措施。第六部分：综合案例分析题（本大题共3小题，第1小题15分，第2小题15分，第3小题25分，共55分）1.案例一：某大型电商平台A公司（注册地在中国）为了精准营销，在未明确告知用户且未取得用户同意的情况下，通过技术手段非法收集用户的浏览历史、搜索记录、地理位置信息以及通讯录，并利用这些信息构建用户画像，进行个性化推荐。同时，A公司将收集到的用户数据打包出售给第三方数据分析公司B公司。B公司利用这些数据对外提供征信查询服务。后被用户举报，监管部门介入调查。问题：(1)请分析A公司违反了《个人信息保护法》的哪些规定？并说明理由。（6分）(2)请分析B公司作为受托方/接收方，是否存在违法行为？（4分）(3)针对A公司的行为，监管机构可以采取哪些处罚措施？（5分）2.案例二：某知名社交媒体平台C公司（注册地在美国，但在中国拥有大量用户）制定了新的隐私政策。该政策规定，如果中国用户不同意将其个人信息（包括发布内容、好友关系、IP地址）传输至美国总部进行存储和处理，将无法使用该平台的基本服务。此外，C公司在未进行个人信息保护影响评估的情况下，向境外传输了超过100万中国用户的个人信息。问题：(1)C公司以“不同意传输至境外就无法使用基本服务”为由处理个人信息，是否符合法律规定？为什么？（5分）(2)C公司向境外传输超过100万用户个人信息的行为，违反了哪些合规义务？（5分）(3)针对C公司的跨境传输行为，应当通过何种合规机制进行规范？请简述具体流程。（5分）3.案例三：某医疗机构D医院开发了一款在线问诊APP。该APP在注册时强制要求用户开启摄像头权限（用于人脸识别登录）和麦克风权限（用于语音录入病历），并收集用户的身份证号、银行卡号、病历资料等敏感信息。然而，该APP并未将人脸识别信息与病历资料进行物理隔离存储，且数据库密码设置为弱口令“123456”。某日，黑客攻击了D医院的数据库，导致大量用户的敏感信息泄露。D医院在发现泄露后，为了维护声誉，隐瞒了事实，未及时告知用户和监管部门。一周后，用户在暗网发现自己的数据被出售，遂向监管部门投诉。问题：(1)请详细分析D医院在收集、存储和保护个人信息环节存在的违规行为及法律依据。（10分）(2)D医院在发生数据泄露后的处置行为是否符合法律规定？正确的处置流程应当是什么？（8分）(3)假设D医院因违规处理个人信息导致500名患者的健康信息泄露，情节严重。请依据《个人信息保护法》及相关法律法规，计算D医院可能面临的最高罚款金额（假设D医院上一年度营业额为5亿元人民币），并分析直接负责的主管人员可能面临的法律责任。（7分）参考答案及解析第一部分：单项选择题1.B2.D3.D4.A5.B6.A7.A8.A9.B10.D11.D12.A13.B14.D15.B16.D17.B18.C19.C20.B第二部分：多项选择题1.ABCDE2.AB3.AB4.ABCDE5.ABC6.AC7.AB8.ABCDE9.ABCD10.ABCD第三部分：判断题1.√2.√3.√4.×5.√6.√7.×8.√9.×10.√11.√12.√13.√14.×15.√第四部分：填空题1.匿名化2.最小3.购买、终止服务4.单独同意5.名称或者姓名6.境内7.审计8.治安管理处罚9.公益诉讼10.五千万元或者上一年度营业额百分之五第五部分：简答题1.答：（1）敏感个人信息范围：一旦泄露或者非法使用，容易导致自然人人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。（2）特别规则：①只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。②应当取得个人的单独同意。③应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响。④处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。2.答：根据《个人信息保护法》第三十九条，下列情形应当事前进行个人信息保护影响评估：（1）处理敏感个人信息；（2）利用个人信息进行自动化决策；（3）委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；（4）向境外提供个人信息；（5）其他对个人权益有重大影响的个人信息处理活动。3.答：根据《个人信息保护法》第三十八条，个人信息处理者向境外提供个人信息，应当具备下列条件之一：（1）通过国家网信部门组织的安全评估；（2）按照国家网信部门的规定经专业机构进行个人信息保护认证；（3）按照国家网信部门的规定与境外接收方订立合同，约定双方的权利和义务，并确保境外接收方达到本法规定的保护标准；（4）法律、行政法规或者国家网信部门规定的其他条件。4.答：个人在个人信息处理活动中的主要权利包括：（1）知情权、决定权；（2）限制或者拒绝他人对其个人信息进行处理的权利（包括拒绝自动化决策、拒绝营销推送等）；（3）查阅、复制权；（4）更正、补充权；（5）删除权；（6）撤回同意权；（7）要求解释权；（8）转移权（符合国家网信部门规定条件时）；（9）逝者近亲属行使权利（对逝者个人信息）。5.答：根据《个人信息保护法》第六十六条，情节严重的行政处罚措施包括：（1）由省级以上履行个人信息保护职责的部门责令改正，没收违法所得；（2）并处五千万元或者上一年度营业额百分之五的罚款；（3）可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；（4）对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款；（5）可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。第六部分：综合案例分析题1.案例一答案：(1)A公司违规行为分析：①违反“告知-同意”原则。A公司在未明确告知用户且未取得用户同意的情况下收集信息，违反了《个人信息保护法》第十三条、第十四条。②违反“必要原则”和“公开原则”。非法收集通讯录等与提供电商服务无直接关联的信息，违反了第六条。③未取得单独同意处理敏感信息。地理位置信息属于敏感个人信息，未取得单独同意，违反了第二十九条。④非法买卖个人信息。将用户数据出售给第三方，违反了第十条、第二十一条。(2)B公司存在违法行为。B公司作为接收方，明知或应知A公司数据来源不合法（非法收集），仍利用该数据提供征信服务，属于非法使用个人信息，违反了《个人信息保护法》关于个人信息处理合法性基础的规定，且可能构成非法获取、使用个人信息。(3)监管机构可采取的处罚措施：①责令改正，给予警告，没收违法所得。②根据情节严重程度，处以罚款。若情节严重（如数量巨大、获利巨大），可处五千万元或上一年度营业额5%的罚款。③责令暂停相关业务、停业整顿、吊销营业执照。④对直接负责的主管人员处以罚款并禁止从业。2.案例二答案：(1)不符合法律规定。理由：根据《个人信息保护法》第十六条，个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务；处理个人信息属于提供产品或者服务所必需的除外。C公司将“向境外传输个人信息”作为提供“基本服务”的前提条件，而基本服务（如社交发布）并不依赖于将数据传输至美国（理论上境内即可提供），这属于强迫用户同意，违反了自愿原则。(2)违反的合规义务：①违反了事前进行个人信息保护影响评估（PIA）的义务。向境外提供个人信息必须进行PIA，C公司未进行。②违反了跨境传输安全评估或认证义务。处理超过100万用户信息的处理者向境外提供数据，必须通过国家网信部门的安全评估，C公司未履行此程序。③违反了单独告知义务。未明确告知用户境外接收方的详细信息。(3)合规机制及流程：应当通过“国家网信部门组织的安全评估”机制。流程：①C公司申报跨境传输数据安全评估。②提交申报材料，包括：申报书、数据出境风险自评估报告、与境外接收方订立的合同以及其他必要材料。③国家网信部门进行审查（60个工作日内），重点评估出境目的、