2026客户个人信息保护专题培训试题及答案

2026客户个人信息保护专题培训试题及答案一、单项选择题（共30题，每题1分，共30分）1.根据《中华人民共和国个人信息保护法》，个人信息处理者在处理个人信息时，应当遵循的核心原则不包括以下哪一项？A.合法、正当、必要原则B.诚信原则C.最小必要原则D.效益优先原则2.下列哪项信息属于《个人信息保护法》中规定的“敏感个人信息”？A.用户的姓名B.用户的手机号码C.用户的生物识别信息（如指纹、人脸）D.用户的电子邮箱3.个人信息处理者处理敏感个人信息，应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响，并取得个人的单独同意。以下哪种情况可以不取得单独同意？A.处理未满十四周岁未成年人个人信息B.根据法律规定，为应对突发公共卫生事件，紧急情况下为保护自然人的生命健康和财产安全C.用于大数据分析以优化产品推荐D.向第三方提供个人信息4.2026年某电商平台计划推出一项新的营销活动，需要收集用户的购物偏好数据。根据最小必要原则，以下做法正确的是？A.收集用户的所有订单历史、收货地址、联系人电话以及支付账户余额B.仅收集用户过去一年的商品浏览记录和购买类别C.收集用户的通讯录以便通过社交关系链进行营销D.收集用户的身份证号以进行实名认证，尽管并未发生交易5.基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。以下哪项情形不被视为有效的同意？A.用户在注册时，勾选“我已阅读并同意隐私政策”B.个人信息处理者通过捆绑其他产品或服务，强迫用户同意C.用户在弹窗中点击“允许”获取位置信息以使用打车功能D.用户在设置中主动开启个性化推荐开关6.处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关。采取对个人权益有重大影响的动作，这属于什么原则的体现？A.目的明确原则B.公开透明原则C.信息质量原则D.确保安全原则7.某银行内部员工私自查询并下载了高净值客户的资产信息，随后出售给第三方。该员工的行为主要违反了哪项义务？A.个人信息跨境提供义务B.采取必要措施保障个人信息安全的义务C.接受监督的义务D.制定内部管理制度和操作规程的义务8.根据《个人信息保护法》，处理个人信息达到国家网信部门规定数量的处理者，应当指定个人信息保护负责人，并对处理活动进行影响评估。该数量通常指的是？A.累计处理10万人B.累计处理100万人C.上一年度处理100万人D.实时在线用户1万人9.在公共场所安装图像采集、个人身份识别设备，应当设置显著的提示标识。所收集的图像只能用于？A.商业分析B.员工考勤C.维护公共安全D.产品营销10.个人信息处理者向中华人民共和国境外提供个人信息的，应当具备下列条件之一。以下哪项不符合法律规定？A.通过国家网信部门组织的安全评估B.按照国家网信部门的规定经专业机构进行个人信息保护认证C.与境外接收方订立合同，约定双方的权利和义务D.仅需企业内部管理层批准即可11.个人有权向个人信息处理者查阅、复制其个人信息，但法律法规规定不宜公开的除外。当个人信息处理者拒绝查阅、复制请求时，应当？A.直接拒绝，无需说明理由B.口头告知用户理由C.书面说明理由，并提供申诉渠道D.要求用户支付查询费用后方可拒绝12.关于未成年人个人信息保护，处理未满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。如果处理者发现此类信息泄露，应当立即采取补救措施，并通知？A.仅通知未成年人本人B.仅通知监护人C.通知未成年人及其监护人D.仅通知监管部门13.某互联网公司决定停止运营某款APP，根据法律规定，其应当？A.继续保留服务器数据以备不时之需B.将所有用户数据出售给数据公司以回收成本C.停止处理活动，主动删除个人信息或进行匿名化处理D.仅删除已注销账户的用户数据14.个人信息处理者委托第三方处理个人信息的，应当对第三方的个人信息处理活动进行监督。若第三方违法处理个人信息造成损害，责任承担方式为？A.仅由第三方承担赔偿责任B.个人信息处理者承担赔偿责任后，有权向第三方追偿C.个人信息处理者无需承担责任D.双方承担连带责任15.2026年最新的监管趋势强调“自动化决策”的透明度。利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。以下哪种行为是合规的？A.老用户看到的价格比新用户高（大数据杀熟）B.仅根据用户的消费记录，在法律允许的范围内发放优惠券C.根据用户的手机型号判断其支付能力并强制跳转高价商品页D.根据用户的地理位置屏蔽某些优惠信息16.个人信息保护影响评估（PIA）应当包括下列哪些内容？A.仅评估技术措施的安全性B.仅评估处理目的的合法性C.评估个人信息的处理目的、处理方式等是否合法、正当、必要；对个人权益的影响及安全风险；所采取的保护措施是否有效D.仅评估成本投入17.根据《个人信息保护法》，履行个人信息保护职责的部门是？A.市场监督管理部门B.公安机关C.国家网信部门D.工业和信息化部18.个人信息处理者建立投诉举报机制，受理并处理关于个人信息的投诉举报。受理投诉举报的渠道应当？A.仅在隐私政策中提及，不提供具体入口B.隐藏在APP设置的最深层级C.公开并在应用内显著位置提供便捷入口D.仅接受书面邮寄的投诉19.某医疗机构将患者的电子病历去标识化后，用于医学研究。去标识化是指？A.直接删除患者的姓名B.对个人信息进行技术处理，使其在不借助额外信息的情况下，无法识别特定自然人C.将患者的身份证号替换为星号D.对数据进行加密处理20.在发生或者可能发生个人信息泄露、篡改、丢失的情况时，个人信息处理者应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人。通知内容包括？A.仅说明发生了泄露B.说明泄露的原因、可能涉及的个人信息种类、可能造成的危害、已采取的补救措施等C.仅告知已采取的补救措施D.仅告知涉及的个人信息种类21.个人发现个人信息处理者违反法律、行政法规的规定处理其个人信息的，有权向哪个部门投诉、举报？A.人民法院B.人民检察院C.履行个人信息保护职责的部门D.消费者协会22.下列关于“撤回同意”的说法，正确的是？A.个人一旦同意，不得撤回B.个人撤回同意不影响撤回前基于个人同意已进行的个人信息处理活动的效力C.个人撤回同意后，个人信息处理者必须立即删除所有历史数据D.个人信息处理者可以设置繁琐的流程阻碍用户撤回同意23.个人信息处理者处理个人信息，有下列哪些情形之一的，应当事前进行个人信息保护影响评估？A.处理一般个人信息B.委托处理个人信息C.向境外提供个人信息D.在公司内部传输个人信息24.关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当？A.自行评估后即可B.通过国家网信部门组织的安全评估C.只要签署合同即可D.通知用户即可25.某公司为了提升员工考勤效率，在办公区域安装了人脸识别打卡机。关于该行为的合规性，以下说法准确的是？A.属于企业内部管理，无需告知员工B.必须取得员工的单独同意，且不得强制使用C.可以作为唯一的考勤方式，不提供替代方案D.无需考虑最小必要原则26.个人信息处理者违反本法规定处理个人信息，侵害众多个人的权益的，人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。这属于什么诉讼？A.刑事诉讼B.行政诉讼C.公益诉讼D.民事诉讼27.关于个人信息的删除权，以下说法错误的是？A.个人信息处理者停止提供产品或者服务，应当主动删除个人信息B.个人信息保存期限已届满，应当删除个人信息C.个人撤回同意，个人信息处理者必须立即删除D.个人信息处理者未删除的，个人有权请求删除28.根据《个人信息保护法》，违反本法规定，构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究什么责任？A.民事责任B.行政责任C.刑事责任D.违约责任29.2026年某跨国企业计划将中国区用户数据传输至总部位于美国的服务器。除了通过安全评估或认证外，还可以采取什么合规路径？A.签署标准合同B.口头承诺C.企业内部邮件确认D.只要总部服务器安全即可30.下列哪项不属于“个人信息”范畴？A.匿名化处理后的信息B.行程轨迹信息C.网络浏览记录D.健康生理信息二、多项选择题（共20题，每题2分，共40分。多选、少选、错选均不得分）1.依据《个人信息保护法》，个人信息包括哪些内容？A.姓名B.出生日期C.身份证号码D.生物识别信息E.住址2.处理个人信息应当遵循的原则包括？A.合法、正当、必要和诚信原则B.最小必要原则C.公开透明原则D.准确性原则E.确保安全原则3.以下哪些情形属于处理敏感个人信息？A.处理宗教信仰信息B.处理特定身份信息（如政治面貌）C.处理医疗健康信息D.处理金融账户信息E.处理行踪轨迹信息4.个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列哪些事项？A.个人信息处理者的名称或者姓名和联系方式B.个人信息处理目的、处理方式，处理的个人信息种类、保存期限C.个人行使权利的方式和程序D.处理个人信息的规则E.向其他个人信息处理者提供个人信息的种类、目的及接收方5.个人信息处理者不得公开其处理的个人信息，取得个人单独同意的除外。以下哪些情况必须取得单独同意？A.向其他个人信息处理者提供个人信息B.公开处理的个人信息C.处理敏感个人信息D.在公共场所安装图像采集设备用于非公共安全目的E.处理未满十四周岁未成年人个人信息6.个人信息处理者处理个人信息，有下列哪些情形之一的，应当事前进行个人信息保护影响评估？A.处理目的、处理方式发生变化，导致处理敏感个人信息的B.停止提供产品或者服务，因而停止处理个人信息的C.委托处理个人信息、向第三方提供个人信息、公开个人信息D.向境外提供个人信息E.其他对个人权益有重大影响的个人信息处理活动7.个人信息处理者发现个人信息泄露的，应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人。通知应当包括下列哪些事项？A.发生或者可能发生个人信息泄露、篡改、丢失的原因B.泄露的个人信息种类和可能的原因C.个人信息泄露、篡改、丢失可能造成的危害D.个人信息处理者已采取的补救措施和将要采取的补救措施E.个人信息处理者的联系方式8.个人有权向个人信息处理者行使的权利包括？A.查阅和复制权B.更正和补充权C.删除权D.解释说明权E.撤回同意权9.关于个人信息的跨境传输，以下说法正确的有？A.关键信息基础设施运营者必须在境内存储个人信息B.处理个人信息达到一定数量（如100万）的处理者必须在境内存储C.向境外提供个人信息必须通过安全评估、认证或订立标准合同D.境外接收方需达到不低于中国法律的保护标准E.任何企业都可以自由向境外传输数据10.个人信息处理者违反《个人信息保护法》处理个人信息，可能面临的法律责任包括？A.责令改正，给予警告，没收违法所得B.拒不改正的，并处一百万元以下罚款C.情节严重的，吊销营业执照D.对直接负责的主管人员处十日以上十五日以下拘留E.承担民事赔偿责任11.以下哪些主体属于《个人信息保护法》规定的“个人信息处理者”？A.在业务活动中自行决定处理目的、处理方式的组织B.在业务活动中自行决定处理目的、处理方式的个人C.受个人信息处理者委托，代表处理者处理个人信息的受托人D.提供个人信息存储服务的云服务商（若不决定处理目的）E.国家机关12.关于自动化决策，以下说法正确的有？A.应当保证决策的透明度和结果公平、公正B.不得在交易条件上对个人实行不合理的差别待遇C.通过自动化决策方式向个人进行信息推送、商业营销，应当提供不针对其个人特征的选项D.应当向个人提供便捷的拒绝自动化决策的方式E.可以完全利用自动化决策替代人工审核，无需人工干预13.个人信息处理者委托第三方处理个人信息的，应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等，并对受托人的处理活动进行监督。以下哪些是监督的方式？A.定期审计B.现场检查C.要求受托人提供合规报告D.仅在合同中约定，无需实际监督E.技术检测14.2026年，企业在进行客户个人信息保护培训时，应重点强调的合规红线包括？A.严禁非法买卖、提供或者公开他人个人信息B.严禁未经同意收集与其提供的服务无关的个人信息C.严禁通过误导、欺诈、胁迫等方式处理个人信息D.严禁在用户明确拒绝后仍发送营销信息E.严禁发生泄露后隐瞒不报15.下列哪些情形下，个人信息处理者可以不响应个人提出的查阅、复制其个人信息的请求？A.个人信息处理者未实际收集该个人信息B.法律法规规定不得公开C.查阅、复制成本过高D.个人未提供有效身份证明E.个人信息处理者认为该请求不合理16.个人信息保护负责人应当履行的职责包括？A.组织制定个人信息保护管理制度B.组织监督个人信息保护措施的执行C.定期组织从业人员接受个人信息保护培训D.接受并处理与个人信息保护相关的投诉、举报E.全权负责公司所有业务决策17.以下关于“匿名化”与“去标识化”的描述，正确的有？A.匿名化是指个人信息经过处理无法识别特定自然人且不能复原的过程B.去标识化是指个人信息经过处理使其在不借助额外信息的情况下无法识别特定自然人的过程C.匿名化后的信息不属于个人信息D.去标识化后的信息仍属于个人信息E.去标识化后的信息可以随时复原18.个人信息处理者制定个人信息处理规则时，应当遵循哪些要求？A.公开B.便于查阅和获取C.语言通俗易懂D.内容真实、准确、完整E.可以设置默认勾选同意19.在人力资源管理场景中，企业处理员工个人信息，以下做法合规的有？A.招聘时收集简历，仅用于招聘目的B.入职后收集身份证复印件用于社保缴纳，并注明用途C.离职后立即删除员工个人信息，除非法律法规要求留存D.监控员工上网行为，需告知并取得同意（除非涉及商业秘密保护等法定例外）E.将员工薪资信息在公司内部群公开以示激励20.面对监管部门的合规检查，企业应当准备的材料包括？A.个人信息保护负责人及联系方式B.个人信息保护影响评估报告（PIA报告）C.个人信息处理规则及更新记录C.发生安全事件的处置记录E.与第三方签署的数据处理协议（DPA）三、判断题（共20题，每题1分，共20分。对的打“√”，错的打“×”）1.个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。2.个人信息处理者只要取得了用户的同意，就可以随意处理用户信息，不受任何限制。3.敏感个人信息一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害。4.基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出，法律、行政法规规定处理个人信息应当取得个人单独同意的，从其规定。5.个人信息处理者可以通过“一揽子”授权的方式，要求用户同意隐私政策、服务协议及第三方数据共享协议。6.个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务。7.个人信息处理者需要将用户个人信息转移至境外时，只要确保数据加密传输即可，无需进行安全评估或签署标准合同。8.个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。9.任何组织、个人都可以随意收集、存储、使用、加工、传输他人个人信息，只要不用于商业用途即可。10.个人信息处理者处理个人信息，应当制定内部管理制度和操作规程。11.只有发生大规模个人信息泄露事件才需要向监管部门报告，小规模泄露可以自行处理。12.个人信息保护影响评估报告应当至少保存三年。13.处理未成年人个人信息，不论年龄大小，只需取得其本人的同意即可。14.在公共场所安装图像采集设备，为了维护公共安全所必需，且设置显著提示标识的，可以不经个人单独同意收集人脸信息。15.个人信息处理者委托第三方处理个人信息，由第三方承担全部法律责任，委托方无需负责。16.个人信息处理者违反本法规定处理个人信息，侵害他人民事权益的，应当依法承担民事责任、行政责任和刑事责任。17.企业为了提升产品体验，可以在用户不知情的情况下，通过后台技术手段收集用户的通话记录。18.个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。19.个人信息处理者可以在用户拒绝接受个性化推荐后，降低服务质量或频次。20.国家机关为履行法定职责处理个人信息，应当依照本法规定履行告知义务，但有法律规定的除外。四、填空题（共15题，每题1分，共15分）1.《中华人民共和国个人信息保护法》自________起施行。2.处理个人信息应当遵循________、正当、必要和诚信原则。3.________是指个人信息经过处理无法识别特定自然人且不能复原的过程。4.个人信息处理者处理敏感个人信息，应当取得个人的________。5.利用个人信息进行自动化决策，应当保证决策的透明度和结果________，不得对个人在交易价格等交易条件上实行不合理的差别待遇。6.关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在________。7.个人信息处理者向境外提供个人信息的，应当向个人告知境外接收方的名称、联系方式、处理目的、处理方式、个人信息种类以及个人向境外接收方行使权利的方式和程序等事项，并取得个人的________。8.个人有权向个人信息处理者查阅、复制其个人信息，个人信息处理者应当及时提供。个人信息处理者拒绝提供的，应当________。9.在发生或者可能发生个人信息泄露、篡改、丢失的情况时，个人信息处理者应当立即采取补救措施，并通知________和个人。10.个人信息处理者违反本法规定处理个人信息，侵害众多个人的权益的，人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起________。11.处理个人信息达到________数量的个人信息处理者，应当指定个人信息保护负责人。12.个人信息处理者委托处理个人信息的，应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务，并对受托人的处理活动进行________。13.个人信息处理者处理个人信息，有法律、行政法规规定应当保密或者不需要告知的情形的，________。14.个人信息处理者不得以个人________处理其个人信息或者撤回同意为由，拒绝提供产品或者服务。15.________是指在业务活动中自行决定个人信息处理目的、处理方式的组织或个人。五、简答题（共5题，每题5分，共25分）1.简述《个人信息保护法》中规定的“单独同意”的适用情形（至少列举三种）。2.简述个人信息处理者在发生或可能发生个人信息泄露时的应急处置流程。3.简述个人信息主体享有哪些主要权利。4.简述“最小必要原则”在业务实践中的具体要求。5.简述企业进行个人信息保护影响评估（PIA）的主要内容。六、案例分析题（共5题，每题6分，共30分）1.案例背景：某知名社交平台A在2026年推出新功能，要求用户必须授权读取通讯录好友列表，否则无法使用APP的任何功能。同时，A公司将用户的通讯录信息用于精准广告投放，并未明确告知用户。问题：(1)A公司的行为违反了哪些个人信息保护原则？(2)用户应如何维护自身权益？2.案例背景：某银行员工B利用职务之便，查询了多位明星客户的存款余额和交易流水，并拍照发送给朋友C，C随后将信息发布在网络上，造成恶劣影响。问题：(1)员工B的行为性质是什么？(2)银行在个人信息保护方面存在哪些管理漏洞？(3)银行应承担什么法律责任？3.案例背景：某电商平台D为了提升销量，通过技术手段分析用户的浏览习惯和支付能力，对同一件商品，向老用户展示的价格高于新用户（即“大数据杀熟”）。问题：(1)该行为是否违反《个人信息保护法》？请说明理由。(2)平台D在自动化决策方面应履行哪些义务？4.案例背景：跨国公司E（中国分公司）计划将中国境内收集的用户个人偏好数据传输至位于欧盟的总部进行分析。数据量约为50万条。公司仅内部评估认为风险可控，未向监管部门申报安全评估，也未签署标准合同。问题：(1)公司E的行为存在哪些合规风险？(2)正确的跨境传输合规路径有哪些？5.案例背景：某医疗机构F未经患者同意，将去标识化后的病历数据（包含年龄、病史、用药情况）提供给某医药公司G用于新药研发。G公司通过技术手段重新识别了部分患者的身份。问题：(1)医疗机构F提供去标识化数据是否合规？为什么？(2)医药公司G的行为是否违法？(3)该案例在数据脱敏技术方面给企业带来什么启示？参考答案及解析一、单项选择题1.【答案】D【解析】《个人信息保护法》第五条规定，处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。效益优先并非法定原则。2.【答案】C【解析】根据《个人信息保护法》第二十八条，敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。姓名、手机号、邮箱属于一般个人信息。3.【答案】B【解析】《个人信息保护法》第三十三条规定，国家机关为履行法定职责处理个人信息，应当依照本法规定履行告知义务；有本法第十八条第一款规定的情形（即国家机关为履行法定职责处理个人信息，告知将妨碍国家机关履行法定职责的除外），或者法律、行政法规规定应当保密的，可以不告知。同时，第三十五条规定，为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全，可以不经个人同意处理敏感个人信息。选项B属于法定豁免情形。4.【答案】B【解析】最小必要原则要求处理个人信息限于实现处理目的的最小范围，不得进行与处理目的无关的个人信息处理。仅收集与营销相关的浏览和购买记录符合要求，其他选项均收集了无关信息。5.【答案】B【解析】《个人信息保护法》第十四条规定，基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务。捆绑服务强迫同意属于无效同意。6.【答案】A【解析】《个人信息保护法》第六条规定，处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关。采取对个人权益有重大影响的行动，应当事前进行个人信息保护影响评估。7.【答案】B【解析】员工私自查询下载出售数据，直接违反了个人信息处理者保障信息安全的义务，也违反了内部管理制度。从题目选项看，最直接对应的是“采取必要措施保障个人信息安全的义务”，若内部管理不到位也是原因，但B是法定的安全保护义务的直接体现。8.【答案】C【解析】根据《个人信息保护法》第五十二条，处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人。通常参考《数据安全法》及网信办规定，指累计处理100万人以上个人信息，或上一年度处理10万人以上敏感个人信息等情况。选项C是最接近常规件考点的表述。9.【答案】C【解析】《个人信息保护法》第二十六条规定，在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。所收集的图像只能用于维护公共安全。10.【答案】D【解析】《个人信息保护法》第三十八条规定，个人信息处理者确需向境外提供个人信息的，应当具备下列条件之一：（一）通过国家网信部门组织的安全评估；（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；（三）与境外接收方订立合同，约定双方的权利和义务。仅内部批准不符合法律规定。11.【答案】C【解析】《个人信息保护法》第四十五条规定，个人请求查阅、复制其个人信息的，个人信息处理者应当及时提供。个人信息处理者拒绝的，应当说明理由。12.【答案】C【解析】《个人信息保护法》第五十七条规定，发生或者可能发生个人信息泄露、篡改、丢失的，个人信息处理者应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人。对于未成年人信息泄露，更应通知监护人。13.【答案】C【解析】《个人信息保护法》第四十七条规定，有下列情形之一的，个人信息处理者应当主动删除个人信息；个人信息处理者未删除的，个人有权请求删除：（一）处理目的已实现、无法实现或者为实现处理目的不再必要；（二）个人信息处理者停止提供产品或者服务，或者保存期限届满。停止运营属于停止提供服务，应删除或匿名化。14.【答案】D【解析】《个人信息保护法》第二十一条规定，个人信息处理者委托处理个人信息的，应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务，并对受托人的处理活动进行监督。受托人违法处理造成损害的，双方通常承担连带责任或由委托方先赔偿后追偿。根据民法典及本法精神，选项D（连带责任或委托方承担责任）是合规重点，但本题最严谨的法律责任表述在《个人信息保护法》第六十九条，处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。委托关系中，通常由委托方对外承担责任，但选项D“连带责任”在司法实践中常被引用以强化保护。参考标准解读，委托方需承担赔偿责任后向受托方追偿，但若双方共同侵权则连带。本题选D侧重于对受害人的保护。15.【答案】B【解析】《个人信息保护法》第二十四条规定，利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。选项B属于基于消费记录的正常营销，选项A、C、D属于不合理的差别待遇或违规行为。16.【答案】C【解析】《个人信息保护法》第三十九条规定，个人信息保护影响评估应当包括下列内容：（一）个人信息的处理目的、处理方式等是否合法、正当、必要；（二）对个人权益的影响及安全风险；（三）所采取的保护措施是否有效、是否与风险相适应。17.【答案】C【解析】《个人信息保护法》第六十条规定，履行个人信息保护职责的部门是国家网信部门。18.【答案】C【解析】《个人信息保护法》第五十条规定，个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的，应当说明理由。渠道应当公开且便捷。19.【答案】B【解析】去标识化是指个人信息经过处理使其在不借助额外信息的情况下，无法识别特定自然人的过程，但去标识化后的信息仍属于个人信息。匿名化是指无法识别且不能复原。20.【答案】B【解析】《个人信息保护法》第五十七条规定，通知应当包括下列事项：（一）发生或者可能发生个人信息泄露、篡改、丢失的原因；（二）个人信息泄露、篡改、丢失可能造成的危害；（三）个人信息处理者已采取的补救措施和将要采取的补救措施；（四）个人信息处理者的联系方式。21.【答案】C【解析】《个人信息保护法》第六十五条规定，任何组织、个人有权向履行个人信息保护职责的部门投诉、举报。22.【答案】B【解析】《个人信息保护法》第十五条规定，基于个人同意处理个人信息的，个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。个人撤回同意，不影响撤回前基于个人同意已进行的个人信息处理活动的效力。23.【答案】C【解析】《个人信息保护法》第三十八条规定了需事前进行PIA的情形，包括处理目的、处理方式发生变化，处理敏感个人信息；利用个人信息进行自动化决策；委托处理、向第三方提供、公开、跨境提供等。选项C属于必须评估的情形。24.【答案】B【解析】《个人信息保护法》第四十条规定，关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估。25.【答案】B【解析】人脸识别属于敏感个人信息，且在职场环境中使用，必须取得员工的单独同意，且不得强制作为唯一手段（除非特定高安保场景，且需严格合规），应提供替代方案（如刷卡）。26.【答案】C【解析】《个人信息保护法》第七十条规定，个人信息处理者违反本法规定处理个人信息，侵害众多个人的权益的，人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起公益诉讼。27.【答案】C【解析】《个人信息保护法》第四十七条规定了应当删除的情形。撤回同意是删除权的触发条件之一，但“必须立即删除”表述过于绝对，若法律法规要求留存（如会计档案），则不能立即删除，应停止处理除留存外的活动。28.【答案】C【解析】《个人信息保护法》第七十一条规定，违反本法规定，构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。29.【答案】A【解析】根据《个人信息出境标准合同办法》，企业可以通过与境外接收方订立标准合同的方式向境外提供个人信息。30.【答案】A【解析】匿名化处理后的信息不再属于个人信息，因为其无法识别特定自然人且不能复原。二、多项选择题1.【答案】ABCDE【解析】个人信息包括姓名、出生日期、身份证号码、生物识别信息、住址等所有已识别或可识别的信息。2.【答案】ABCDE【解析】《个人信息保护法》第五条规定了合法、正当、必要和诚信原则；第六条规定了目的明确、最小必要；第七条规定了公开透明；第八条规定了准确性；第九条规定了确保安全。3.【答案】ABCDE【解析】根据《个人信息保护法》第二十八条，敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹，以及不满十四周岁未成年人的个人信息。4.【答案】ABCDE【解析】《个人信息保护法》第十七条规定了处理前应当告知的事项，包括处理者信息、目的方式种类保存期限、权利行使程序、规则、向第三方提供的情况等。5.【答案】ABCDE【解析】《个人信息保护法》规定，向第三方提供、公开、处理敏感个人信息、公共场所非公共安全目的收集、处理未满十四周岁未成年人信息等情形，均需取得单独同意。6.【答案】ACDE【解析】《个人信息保护法》第三十九条规定了需事前进行PIA的情形。选项B“停止提供...停止处理”通常属于删除权范畴，不一定需要PIA，除非涉及大规模数据的处理方式变更。7.【答案】ACDE【解析】《个人信息保护法》第五十七条列出了通知应当包括的内容。8.【答案】ABCDE【解析】《个人信息保护法》规定了个人享有查阅复制、更正补充、删除、撤回同意、解释说明、规则制定参与等权利。9.【答案】ABCD【解析】CIIO和达到规定数量的处理者必须在境内存储；出境需通过安全评估、认证或标准合同；境外接收方需达到保护标准。选项E错误。10.【答案】ABCDE【解析】违反本法可能面临警告、没收违法所得、罚款、吊销执照、对主管人员拘留、民事赔偿等多种法律责任。11.【答案】ABE【解析】个人信息处理者是指在业务活动中自行决定处理目的、处理方式的组织或个人。受托人（受委托方）不属于处理者，而是受托人。云服务商若仅提供存储服务不决定目的，也不属于处理者。国家机关在履行职责时属于处理者。12.【答案】ABCD【解析】《个人信息保护法》第二十四条规定了自动化决策的要求：透明公正、无不合理差别待遇、提供不针对个人特征的选项、提供拒绝方式。选项E错误，完全替代人工审核且无干预可能导致风险。13.【答案】ABC【解析】监督方式包括定期审计、合同约束、技术检测等。仅合同约定而不实际执行是不合规的。14.【答案】ABCDE【解析】这些都是合规培训中应强调的红线，包括非法买卖、无关收集、诱导欺骗、骚扰、隐瞒泄露等。15.【答案】ABD【解析】若未收集、法律禁止公开、未提供身份证明，处理者可以拒绝。成本过高不是法定拒绝理由；认为不合理需举证说明理由，不能直接主观拒绝。16.【答案】ABCD【解析】负责人的职责包括制定制度、监督执行、组织培训、处理投诉举报等。选项E错误，负责人不负责所有业务决策。17.【答案】ABCD【解析】匿名化是不可复原，不属于个人信息；去标识化是借助额外信息可复原，仍属于个人信息。18.【答案】ABCD【解析】规则应当公开、易获取、通俗、真实准确完整。默认勾选是被禁止的。19.【答案】ABCD【解析】招聘、入职、离职、合规监控（在特定条件下）是合规的。公开薪资属于侵犯隐私。20.【答案】ABCDE【解析】企业应准备负责人信息、PIA报告、处理规则、安全事件记录、第三方协议等以备检查。三、判断题1.【答案】√2.【答案】×【解析】即使取得同意，处理也必须遵循合法、正当、必要原则，不得超出范围。3.【答案】√4.【答案】√5.【答案】×【解析】禁止一揽子授权，必须针对不同事项分别获取同意。6.【答案】√7.【答案】×【解析】跨境传输需满足安全评估、认证或标准合同等严格条件。8.【答案】√9.【答案】×【解析】任何组织、个人都不得非法处理他人个人信息。10.【答案】√11.【答案】×【解析】任何泄露事件，无论大小，只要对个人权益造成危害，都需按规定处理和报告。12.【答案】√13.【答案】×【解析】处理未满十四周岁未成年人信息，必须取得监护人同意。14.【答案】×【解析】即使在公共场所维护公共安全，收集人脸信息（属于敏感信息）通常仍需取得单独同意或严格遵循特定法律规定，不能随意豁免。注：此处有争议，但2026年严格合规趋势下，通常认为人脸识别需单独同意，除非特定法律明确豁免的公共安全场景。原法条26条主要指图像采集，人脸识别更严格。15.【答案】×【解析】委托方需承担监督责任，若受托方侵权，委托方通常需先行承担赔偿责任或连带责任。16.【答案】√17.【答案】×【解析】未经同意收集通话记录严重违法。18.【答案】√19.【答案】×【解析】不得因用户拒绝个性化推荐而降低服务质量。20.【答案】√四、填空题1.【答案】2021年11月1日2.【答案】合