2026年个人信息保护考试试题及答案

2026年个人信息保护考试试题及答案一、单项选择题（每题2分，共30分）1.根据《个人信息保护法》，下列哪一项不属于“敏感个人信息”？A.生物识别信息B.14周岁以下未成年人的个人信息C.购物记录D.健康信息答案：C解析：购物记录属于一般个人信息，敏感个人信息包括生物识别、健康、金融账户、行踪轨迹以及14周岁以下未成年人信息等。2.处理个人信息应当遵循的首要原则是：A.合法、正当、必要B.公开、透明C.安全、可控D.自主、自愿答案：A解析：《个人信息保护法》第五条规定，处理个人信息应当遵循合法、正当、必要和诚信原则。3.个人信息处理者向境外提供个人信息，应当具备的条件不包括：A.通过国家网信部门安全评估B.经个人信息主体单独同意C.与境外接收方订立标准合同D.境外接收方承诺不向中国境内传输数据答案：D解析：境外接收方无需承诺不向中国境内传输数据，但需履行同等保护义务。4.个人信息处理者发生个人信息泄露事件，应当在多少小时内向省级以上网信部门报告？A.12小时B.24小时C.48小时D.72小时答案：B解析：《个人信息保护法》第五十七条规定，发生泄露事件应在24小时内向省级以上网信部门报告。5.下列哪项行为无需取得个人信息主体的同意？A.为履行法定职责所必需B.向第三方共享个人信息C.公开披露个人信息D.将个人信息用于精准营销答案：A解析：为履行法定职责或法定义务所必需的处理行为无需取得同意。6.个人信息处理者应当保存个人信息处理记录的最短期限为：A.1年B.2年C.3年D.5年答案：C解析：《个人信息保护法》第五十五条规定，处理记录应至少保存3年。7.个人信息主体行使删除权时，下列哪项情形处理者可以拒绝？A.信息已公开B.信息已匿名化C.信息为实现合法利益所必需D.信息为履行法定义务所必需答案：D解析：为履行法定义务或职责所必需的信息，处理者可拒绝删除。8.个人信息处理者委托他人处理个人信息，下列哪项做法符合规定？A.无需告知个人信息主体B.委托合同无需约定数据保护义务C.对受托方的处理活动进行监督D.可将个人信息转委托给任意第三方答案：C解析：处理者应对受托方的个人信息处理活动进行必要监督。9.个人信息处理者利用个人信息进行自动化决策，应当：A.保证决策透明度和结果公平合理B.无需向个人说明决策逻辑C.可拒绝个人对决策结果提出质疑D.无需提供申诉渠道答案：A解析：自动化决策应保证透明、公平，并提供申诉渠道。10.个人信息处理者应当多久开展一次个人信息保护影响评估？A.每季度B.每半年C.每年D.每两年答案：C解析：处理敏感个人信息或进行自动化决策的，应每年开展一次评估。11.下列哪项不属于个人信息处理者应当履行的义务？A.指定个人信息保护负责人B.建立个人信息分类分级制度C.公开所有员工个人信息D.建立个人信息安全事件应急预案答案：C解析：公开员工个人信息违反最小必要原则，不属于法定义务。12.个人信息处理者处理已公开的个人信息，下列哪项做法合法？A.无需任何限制B.可用于任何商业用途C.应在合理范围内处理D.可再次公开传播答案：C解析：处理已公开信息应在合理范围内，不得侵害个人重大利益。13.个人信息保护影响评估报告应当保存多久？A.1年B.2年C.3年D.5年答案：C解析：评估报告应至少保存3年，以备监管部门查验。14.个人信息处理者跨境传输个人信息，应当事前进行：A.数据出境安全评估B.数据本地化存储C.数据加密处理D.数据脱敏处理答案：A解析：跨境传输前需通过国家网信部门的安全评估。15.个人信息主体有权撤回同意，处理者应当：A.拒绝撤回B.要求说明理由C.提供便捷的撤回方式D.收取撤回费用答案：C解析：处理者应提供便捷的撤回方式，不得设置不合理条件。二、多项选择题（每题3分，共30分）16.下列哪些信息属于敏感个人信息？A.宗教信仰B.行踪轨迹C.银行账户D.电子邮箱答案：A、B、C解析：电子邮箱为一般个人信息，其余为敏感信息。17.个人信息处理者应当采取哪些措施确保个人信息安全？A.加密B.去标识化C.最小权限访问D.公开所有日志答案：A、B、C解析：公开所有日志可能泄露信息，违反最小必要原则。18.个人信息处理者处理未成年人个人信息时，应当：A.取得监护人同意B.制定专门处理规则C.设立未成年人信息保护专员D.无需特别保护答案：A、B、C解析：未成年人信息需特别保护，D错误。19.个人信息保护影响评估应包括哪些内容？A.处理目的合法性B.对个人权益的影响C.安全措施有效性D.处理者盈利预测答案：A、B、C解析：盈利预测不属于评估内容。20.个人信息处理者跨境提供个人信息，可通过哪些机制？A.安全评估B.标准合同C.认证机制D.行业自律答案：A、B、C解析：行业自律不具备法律效力。21.个人信息主体有权向处理者提出哪些请求？A.查阅B.复制C.更正D.删除答案：A、B、C、D解析：法律赋予个人完整权利。22.下列哪些情形处理个人信息无需取得同意？A.履行合同必需B.应对突发公共卫生事件C.新闻报道D.合法公开信息答案：A、B、C、D解析：均在法律豁免范围内。23.个人信息处理者应当建立哪些制度？A.分类分级B.访问控制C.审计追溯D.数据交易答案：A、B、C解析：数据交易需合规，非必须制度。24.个人信息泄露事件报告应包括哪些内容？A.泄露原因B.涉及信息类型C.可能影响D.已采取措施答案：A、B、C、D解析：四项均为法定报告要素。25.个人信息处理者委托第三方处理信息，合同中应明确：A.处理目的B.处理方式C.保护义务D.转委托自由答案：A、B、C解析：转委托需书面同意，非自由。三、判断题（每题1分，共10分）26.个人信息处理者可将个人信息用于与原始目的无关的营销，只要事后告知即可。答案：错解析：需事前取得单独同意。27.个人信息主体死亡后，其近亲属可代为行使权利。答案：对解析：法律赋予近亲属继承权利。28.匿名化信息仍属于个人信息。答案：错解析：匿名化后无法识别个人，不再属于个人信息。29.处理者仅需在信息泄露后向监管部门报告，无需通知个人。答案：错解析：需同时通知可能受影响个人。30.个人信息处理者可以拒绝个人提出的复制请求，若信息涉及商业秘密。答案：对解析：商业秘密可作为合法抗辩理由。31.个人信息处理者必须在中国境内设立专门的数据保护官。答案：错解析：仅需指定负责人，无需专设官职。32.个人信息处理者可通过用户协议一次性取得所有授权。答案：错解析：敏感信息需单独同意。33.个人信息处理者有权决定信息保存期限，无需告知个人。答案：错解析：应告知保存期限。34.个人信息处理者可在未经评估情况下向境外提供个人信息。答案：错解析：必须完成安全评估。35.个人信息处理者应当定期组织员工进行数据安全培训。答案：对解析：培训是法定义务。四、简答题（每题10分，共30分）36.简述个人信息处理者履行“最小必要原则”的具体要求。答案：（1）处理目的明确、特定；（2）处理方式与目的直接相关；（3）收集范围限于实现目的的最小范围；（4）保存期限为实现目的所必需的最短时间；（5）采取去标识化、加密等措施降低风险；（6）不得收集与目的无关的个人信息；（7）定期审查处理活动的必要性，及时删除无用信息。37.说明个人信息保护影响评估的触发情形及评估流程。答案：触发情形：（1）处理敏感个人信息；（2）利用个人信息进行自动化决策；（3）委托处理、向第三方提供、公开个人信息；（4）跨境提供个人信息；（5）其他对个人权益有重大影响的处理活动。评估流程：（1）成立评估小组，包含法务、技术、业务代表；（2）识别处理活动及个人权益影响；（3）分析安全措施有效性；（4）形成书面报告，保存3年；（5）根据评估结果调整处理方案；（6）向监管部门报送高风险情形。38.论述个人信息主体在自动化决策场景下的权利及处理者义务。答案：权利：（1）要求说明决策逻辑及主要影响因素；（2）拒绝仅通过自动化决策作出决定；（3）获得人工复核机会；（4）查询、更正用于决策的个人信息；（5）提出申诉并获得及时回应。义务：（1）保证决策透明度，提供易懂的说明；（2）确保决策结果公平合理，无歧视；（3）建立申诉渠道，7日内答复；（4）对高风险决策开展事前评估；（5）提供便捷的拒绝自动化决策选项；（6）记录决策过程，保存3年备查。五、案例分析题（每题20分，共20分）39.某互联网医疗平台收集用户健康数据用于AI辅助诊断，并将数据共享给境外合作研究机构。平台在隐私政策中一次性取得用户同意，未提供单独选项，也未进行安全评估。用户李某发现其癌症病史被用于保险定价，导致保费上涨，遂投诉。问题：（1）平台违反了哪些法律规定？（2）李某可主张哪些权利？（3）监管部门可采取何种处罚？答案：（1）违法点：①敏感个人信息未取得单独同意；②跨境传输未进行安全评估；③未进行个人信息保