2026年隐私保护法规试题及答案

2026年隐私保护法规试题及答案一、单项选择题（每题2分，共10分）1.根据2026年《个人信息保护法实施条例》，个人信息处理者对其处理的个人信息进行分类分级的责任主体是：A.行业主管部门B.国家网信部门C.个人信息处理者自身D.第三方评估机构答案：C解析：条例第12条明确，个人信息处理者需基于信息类型、敏感程度、处理目的等自行制定分类分级规则，并定期更新。2.某健身APP在用户注册时要求提供婚姻状况、收入水平等信息，用户拒绝后无法使用核心功能“记录运动数据”。该行为违反了：A.目的明确原则B.最小必要原则C.公开透明原则D.质量保障原则答案：B解析：条例第15条规定，处理个人信息应限于实现处理目的的最小范围，核心功能（如记录运动数据）无需婚姻状况、收入等非必要信息，拒绝提供非必要信息不应影响核心功能使用。3.用户通过APP“一键撤回”此前对位置信息处理的同意后，处理者应在多长时间内停止处理并删除相关信息？A.24小时B.3个工作日C.7个自然日D.15个工作日答案：B解析：条例第21条规定，个人撤回同意的，处理者应自收到撤回请求起3个工作日内停止处理，并删除或匿名化已处理的个人信息，法律、行政法规另有规定的除外。4.境内医疗数据需向境外母公司传输用于科研合作，需首先完成的合规步骤是：A.取得用户单独同意B.通过国家网信部门组织的安全评估C.与境外接收方签订标准合同D.经行业主管部门备案答案：B解析：条例第35条明确，涉及健康医疗、金融账户等敏感个人信息的跨境传输，应优先通过安全评估；安全评估通过后，方可结合单独同意、标准合同等完成传输。5.处理14周岁以下儿童的生物识别信息时，除取得监护人同意外，还需：A.提供儿童版简化界面B.进行独立影响评估并留存记录C.经学校或社区验证监护人身份D.向省级网信部门备案答案：B解析：条例第28条规定，处理不满14周岁未成年人的敏感个人信息（如生物识别），需由处理者自行或委托第三方进行个人信息保护影响评估，并将评估报告和处理情况记录至少保存3年。二、多项选择题（每题3分，共15分，少选、错选均不得分）1.个人信息处理者在以下哪些情形中需履行“告知-同意”义务？A.为公共利益实施新闻报道，处理用户未公开的联系方式B.基于用户已同意的“位置信息”，新增“轨迹分析”处理目的C.因系统升级，将用户信息存储地点从本地服务器迁移至云端D.与关联公司共享用户姓名、手机号用于联合营销答案：B、C、D解析：A选项属于条例第19条“为公共利益实施新闻报道、舆论监督等”的告知豁免情形；B属于处理目的变更（需重新告知同意），C属于存储方式重大变更（需告知同意），D属于向第三方共享（需告知同意）。2.下列属于“敏感个人信息”的有：A.16周岁学生的高考成绩B.企业员工的考勤记录C.糖尿病患者的就诊记录D.货车司机的行车轨迹（精确至50米）答案：A、C、D解析：条例第10条定义敏感个人信息包括生物识别、宗教信仰、特定身份（如学生、患者）、医疗健康、金融账户、行踪轨迹（精度≤500米）等。高考成绩涉及学生特定身份，就诊记录属医疗健康，精确轨迹属行踪轨迹，均为敏感信息；考勤记录属一般个人信息。3.个人信息处理者可以不向用户告知处理规则的情形包括：A.处理已公开的个人信息（用户未明确拒绝）B.为应对突发公共卫生事件，紧急处理患者信息C.法律、行政法规规定应当保密的D.基于用户主动提供的信息进行自动决策答案：B、C解析：条例第18条规定，紧急情况下为保护自然人生命健康和财产安全（如突发公共卫生事件）、法律要求保密、或告知将妨碍国家机关履行法定职责的，可免予告知；已公开信息处理仍需告知（用户可拒绝），自动决策需告知规则（条例第30条）。4.发生个人信息泄露事件后，处理者应采取的措施包括：A.立即暂停相关系统运行B.评估泄露可能造成的危害C.72小时内向履行个人信息保护职责的部门报告D.直接通过短信向所有受影响用户告知泄露情况答案：A、B、C解析：条例第41条要求，泄露后应立即暂停处理（A）、评估影响（B）、72小时内报告（C）；是否向用户告知需根据评估结果，若危害较小可不逐一告知（D错误）。5.第三方服务提供商（如广告平台）接收个人信息后，需承担的义务包括：A.仅在约定范围内处理信息B.不得将信息用于其他目的C.向用户重新告知处理规则D.协助原始处理者响应用户请求答案：A、B、D解析：条例第33条规定，第三方需按与原始处理者的约定处理（A、B），并协助原始处理者响应用户删除、更正等请求（D）；用户已通过原始处理者完成告知同意的，第三方无需重复告知（C错误）。三、判断题（每题2分，共10分，正确填“√”，错误填“×”）1.对个人信息进行匿名化处理后，处理者无需再遵守《个人信息保护法》及条例的相关规定。（）答案：×解析：条例第4条明确，匿名化信息不属于个人信息，可不适用个人信息保护规则；但去标识化信息仍属个人信息，需遵守规定。题目未区分匿名化与去标识化，表述不准确。2.两家电商平台共同处理用户“购物偏好”信息，若其中一家未履行保护义务，用户可仅向另一家主张责任。（）答案：×解析：条例第25条规定，共同处理者需约定责任划分，但对外承担连带责任，用户可向任一处理者主张全部责任。3.处理者通过自动化决策对用户实施“会员等级差异化定价”，只需在隐私政策中说明“可能根据用户行为调整价格”，无需告知具体规则。（）答案：×解析：条例第30条要求，通过自动化决策进行商业营销、信息推送或影响用户权益的（如定价），需告知决策的基本逻辑，并提供不针对其个人特征的选项或人工干预途径。4.用户要求删除个人信息时，若处理者已将信息共享给第三方，只需自身删除即可，无需要求第三方删除。（）答案：×解析：条例第23条规定，用户行使删除权时，处理者需自身删除，并要求第三方同步删除；第三方拒绝的，处理者应向用户说明并报告监管部门。5.境外机构在我国境内设立的分支机构处理境内用户信息，需遵守我国隐私保护法规。（）答案：√解析：条例第2条明确，在中华人民共和国境内处理个人信息的活动，适用本法；境外机构在境内设立的分支机构属于境内处理活动，需遵守法规。四、案例分析题（共25分）案例1（10分）：某电商平台推出“个性化推荐升级服务”，在用户未重新同意的情况下，收集用户近1年的搜索记录、购物车停留时长、与客服聊天记录（含部分咨询疾病的内容），用于优化推荐算法。用户王女士发现后要求删除相关信息，平台以“信息已匿名化处理”为由拒绝。问题：平台行为存在哪些违规点？答案：（1）超范围收集个人信息（2分）：用户仅同意过“搜索记录”用于推荐，平台新增收集“购物车停留时长”“客服聊天记录”（含疾病咨询，属敏感信息），未重新取得同意，违反“最小必要”和“告知-同意”原则（条例第15、17条）。（2）未履行敏感信息处理义务（3分）：客服聊天中的疾病咨询属敏感个人信息（条例第10条），处理时需取得单独同意（条例第20条），平台未履行该义务。（3）拒绝删除请求违规（3分）：平台声称“已匿名化”，但匿名化需彻底消除关联可能性（条例第4条），若仍能通过其他信息复原则属去标识化，仍需响应删除请求；即使完全匿名化，用户原同意已撤回，平台应停止处理并删除原始信息（条例第21条）。（4）未进行影响评估（2分）：处理敏感个人信息（疾病咨询）需进行个人信息保护影响评估并留存记录（条例第28条），平台未履行该义务。案例2（15分）：某跨国药企中国分公司计划将10万名患者的基因检测数据（含姓名、身份证号、检测结果）传输至美国总部用于新药研发。已知：①患者签署的知情同意书中包含“同意数据用于全球范围科研”；②分公司已与总部签订数据传输合同，约定“总部仅用于约定科研，不泄露第三方”；③分公司未向任何部门申报。问题：该数据跨境传输存在哪些合规缺陷？应如何补正？答案：合规缺陷（8分）：（1）未进行安全评估（2分）：基因检测数据属敏感个人信息（医疗健康+生物识别），根据条例第35条，涉及敏感个人信息的跨境传输需通过国家网信部门组织的安全评估，分公司未申报评估。（2）同意形式不合法（2分）：患者同意书中“全球范围科研”表述过于笼统，未明确接收方（美国总部）、传输目的（新药研发）、可能的风险等具体信息，违反“明确、具体”的同意要求（条例第17条）。（3）未履行单独同意义务（2分）：敏感个人信息（基因数据）的处理需取得单独同意（条例第20条），分公司仅在普通同意书中涵盖，未单独告知并取得确认。（4）未进行影响评估（2分）：传输敏感个人信息需进行个人信息保护影响评估，重点评估传输的必要性、风险及安全措施（条例第36条），分公司未开展评估。补正措施（7分）：（1）开展个人信息保护影响评估（2分）：评估传输目的必要性、数据范围合理性、接收方保护能力、风险及应对措施，形成报告并保存至少3年。（2）重新取得单独同意（2分）：向患者单独告知接收方（美国总部）、