2026年数据保护与隐私知识考察试题及答案解析

2026年数据保护与隐私知识考察试题及答案解析一、单项选择题（本大题共20小题，每小题1.5分，共30分。在每小题列出的四个备选项中只有一个是符合题目要求的，请将其代码填在括号内）

1.根据中国《个人信息保护法》的规定，处理个人信息应当遵循合法、正当、必要和诚信原则。其中，“必要原则”主要体现为（）。

A.收集的个人信息的类型应当与处理目的直接相关

B.收集任何信息都必须获得用户的明示同意

C.必须在处理前进行个人信息保护影响评估

D.必须将个人信息存储在本地服务器

2.在欧盟《通用数据保护条例》（GDPR）的框架下，以下哪项情形属于“敏感数据处理”，需要更高的保护标准？（）

A.处理员工的姓名和电子邮件地址

B.处理客户的IP地址以用于网络分析

C.处理关于个人的政治观点数据

D.处理用户的购买历史记录以进行推荐

3.某跨国公司总部位于美国，在中国设有分支机构。若该机构需要将中国境内收集的个人信息传输至美国总部，根据中国《个人信息保护法》，下列哪项条件不是必须满足的？（）

A.通过国家网信部门组织的安全评估

B.订立标准合同

C.取得个人主体的单独同意

D.获得欧盟数据保护当局的授权

4.关于“被遗忘权”（删除权），以下描述正确的是（）。

A.个人在任何情况下都有权要求数据控制者立即删除其数据

B.数据控制者删除数据后，仍需保留备份用于审计

C.当个人信息处理目的已实现、无法实现或者为实现处理目的不再必要时，个人信息处理者应当主动删除个人信息

D.法律法规规定的保存期限未届满前，个人有权强制要求数据处理者删除数据

5.根据《个人信息保护法》，处理敏感个人信息应当取得个人的同意。关于敏感个人信息，下列哪项不属于该范畴？（）

A.生物识别信息

B.宗教信仰

C.医疗健康信息

D.车辆牌照号码

6.在隐私工程中，“数据最小化”原则的核心含义是（）。

A.只收集实现特定目的所必需的最少数据，并在用完后及时删除

B.使用最小的数据存储空间以节省成本

C.仅允许最少数量的员工访问数据

D.将数据压缩至最小体积以便传输

7.某电商平台在用户注册时，默认勾选“同意接收营销推送”，且无法单独取消勾选。这种做法违反了数据保护的哪项原则？（）

A.数据准确性原则

B.目的限制原则

C.知情同意原则

D.数据安全性原则

8.根据GDPR，数据主体有权要求数据控制者将其数据传输给另一个控制者（数据可携带权），这主要适用于（）。

A.数据主体以同意或合同为授权基础，且以结构化、通用化和机器可读的形式提供的数据

B.所有类型的个人数据，包括控制者基于合法利益处理的数据

C.仅限于纸质档案中的数据

D.仅限于匿名化后的数据

9.中国《数据安全法》根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，将数据分为（）。

A.一般数据、重要数据、核心数据

B.公开数据、内部数据、机密数据

C.普通数据、敏感数据、绝密数据

D.基础数据、关键数据、战略数据

10.关于“Cookie”和同类技术的使用，下列说法正确的是（）。

A.所有Cookie的使用都需要获得用户的明示同意

B.仅用于保障网站基本功能运行的必要Cookie（如购物车、安全验证）无需同意

C.Cookie不属于个人信息，因此不受任何法律监管

D.只要在隐私政策中声明了使用Cookie，即视为获得了用户同意

11.在发生个人信息泄露、篡改、丢失等安全事件时，根据中国《个人信息保护法》，个人信息处理者应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人。通知的时限要求是（）。

A.立即，最迟不超过24小时

B.立即，最迟不超过48小时

C.立即，最迟不超过72小时

D.事件处理完毕后的5个工作日内

12.关于“自动化决策”，下列描述错误的是（）。

A.利用个人信息对个人的行为习惯、兴趣爱好或者消费、信贷等情况进行分析、预测

B.通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项

C.在作出对个人权益有重大影响的决定时，个人有权要求予以说明

D.完全禁止利用个人信息进行自动化决策

13.某医疗机构委托第三方公司进行数据分析，第三方公司在处理过程中违反了保密协议，泄露了患者数据。根据中国法律，患者应当向谁主张赔偿责任？（）

A.仅能向第三方公司主张

B.仅能向医疗机构主张

C.可以向医疗机构主张，医疗机构赔偿后有权向第三方追偿

D.必须同时向医疗机构和第三方公司主张

14.GDPR规定的“数据保护影响评估”（DPIA）主要针对的是（）。

A.所有类型的个人信息处理活动

B.可能对自然人的权利和自由带来高风险的处理类型

C.仅涉及大规模数据处理的活动

D.仅涉及跨国数据传输的活动

15.“隐私设计”理念由AnnCavoukian提出，其包含的七大原则中，不包括（）。

A.默认隐私保护

B.嵌入式隐私保护

C.正当功能

D.数据最大化

16.根据中国《个人信息保护法》，不满（）周岁的未成年人为未成年人，处理其个人信息应当征得其监护人的同意。

A.十二

B.十四

C.十六

D.十八

17.企业在制定隐私政策时，应当做到（）。

A.使用晦涩难懂的法律术语以规避责任

B.内容清晰易懂，便于用户理解，且应当公开

C.可以在用户注册成功后再展示隐私政策

D.仅在用户投诉时提供隐私政策链接

18.关于“匿名化”与“去标识化”的区别，下列说法正确的是（）。

A.匿名化后的数据无法被复原识别特定个人，去标识化后的数据仍可能复原

B.去标识化后的数据无法被复原识别特定个人，匿名化后的数据仍可能复原

C.两者在法律上的定义完全相同

D.匿名化后的数据仍属于个人信息，去标识化后的数据不属于个人信息

19.在美国加州消费者隐私法案（CCPA/CPRA）中，企业必须向消费者提供“选择退出”出售其个人信息权利的权利。如果消费者行使了该权利，企业（）。

A.必须删除该消费者的所有个人信息

B.必须停止出售该消费者的个人信息，但可以出于特定服务目的继续使用

C.必须立即停止向该消费者提供服务

D.必须向消费者支付费用以换取数据出售许可

20.关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当（）。

A.进行安全评估

B.签订标准合同

C.获得认证

D.进行备案

二、多项选择题（本大题共10小题，每小题3分，共30分。在每小题列出的五个备选项中有至少两个是符合题目要求的，请将其代码填在括号内。错选、多选、少选均不得分）

1.根据中国《个人信息保护法》，个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列哪些事项？（）

A.个人信息处理者的名称或者姓名和联系方式

B.个人信息处理的目的、处理方式、处理的个人信息种类、保存期限

C.个人行使权利的方式和程序

D.处理敏感个人信息的必要性以及对个人权益的影响

E.公司的年度财务报表

2.下列情形中，个人信息处理者可以在不取得个人同意的情况下处理个人信息的包括（）。

A.为订立、履行个人作为一方当事人的合同所必需

B.为履行法定职责或者法定义务所必需

C.为应对突发公共卫生事件所必需

D.为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息

E.企业内部进行员工能力提升培训需要分析员工绩效数据

3.GDPR赋予数据主体的权利包括（）。

A.访问权

B.更正权

C.删除权（被遗忘权）

D.限制处理权

E.数据可携带权

4.关于个人信息的跨境提供，中国《个人信息保护法》规定的条件包括（）。

A.通过国家网信部门组织的安全评估

B.按照国家网信部门的规定经专业机构进行个人信息保护认证

C.按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务

D.法律、行政法规或者国家网信部门规定的其他条件

E.仅需告知用户即可，无需额外审批

5.下列哪些技术手段属于隐私增强技术（PETs）？（）

A.差分隐私

B.联邦学习

C.同态加密

D.安全多方计算

E.明文存储

6.违反中国《个人信息保护法》规定，处理个人信息，有下列哪些情形之一的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，并可以并处罚款？（）

A.未取得个人同意处理其个人信息

B.处理未公开的个人信息未经必要处理

C.发生个人信息泄露未立即采取补救措施

D.拒绝个人行使查阅、复制权利的请求

E.未按照规定制定内部管理制度和操作规程

7.个人信息保护影响评估（PIA/DPIA）通常包括以下哪些内容？（）

A.个人信息处理目的、处理方式等是否合法、正当、必要

B.对个人权益的影响及安全风险

C.所采取的保护措施是否有效、是否与风险相适应

D.评估项目的预算成本

E.外部审计师的资质审核

8.关于“单独同意”，下列说法正确的有（）。

A.处理敏感个人信息应当取得个人的单独同意

B.向境外提供个人信息应当取得个人的单独同意

C.单独同意应当是明示同意，不能是默认勾选

D.单独同意必须通过书面形式作出

E.在公共场所安装图像采集设备收集人脸信息，应当取得个人的单独同意

9.数据泄露通知应当包含哪些主要内容？（）

A.泄露的个人信息的种类和原因

B.泄露可能造成的危害

C.已采取或将要采取的处置措施

D.个人信息处理者的联系方式

E.受影响的所有个人用户的详细名单

10.企业在构建数据合规体系时，应当重点关注哪些方面？（）

A.数据分类分级管理

B.访问权限控制与日志审计

C.员工数据安全意识培训

D.第三方供应商管理

E.应急响应预案制定

三、填空题（本大题共15小题，每小题2分，共30分。请在横线上填写恰当的词语或短语）

1.__________是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

2.处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关。采取对个人权益影响最小的方式。不得超过处理目的必要的限度的原则被称为__________原则。

3.中国《个人信息保护法》规定，基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人同意，但有下列情形之一的，处理个人信息不需取得个人同意：为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的__________实施人力资源管理所必需。

4.重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害__________、公共利益或者个人、组织合法权益的数据。

5.个人信息处理者委托处理个人信息、向其他个人信息处理者共享、转让个人信息，以及向境外提供个人信息的，应当向个人告知__________的姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。

6.在GDPR中，监管机构对于严重的违规行为可处以最高__________万欧元或全球年营业额4%的罚款，以两者中较高者为准。

7.__________是指个人信息处理者负责制定个人信息处理相关的内部管理制度和操作规程，采取相应的安全技术措施，并对个人信息处理活动进行监督的管理岗位或人员。

8.敏感个人信息一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、__________、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

9.个人信息处理者处理敏感个人信息的，还应当向个人告知处理敏感个人信息的__________以及对个人权益的影响。

10.中国《个人信息保护法》规定，国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门在各自职责范围内负责__________保护和监督管理工作。

11.隐私保护评估（PIA）应当在处理个人信息活动发生前进行，并在处理活动发生后的__________内进行复审。

12.__________是指通过技术手段，使个人信息在不借助额外信息的情况下，无法识别特定自然人的过程，且该过程不可逆。

13.企业在处理个人信息时，应当建立__________制度，对个人信息实行分类管理。

14.个人有权向个人信息处理者查阅、复制其个人信息，个人信息处理者应当及时提供。个人信息处理者拒绝提供的，应当说明理由，并可以向__________投诉或提起诉讼。

15.在自动化决策场景中，通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供__________的方式。

四、判断题（本大题共10小题，每小题1.5分，共15分。请判断下列说法的正误，正确的打“√”，错误的打“×”）

1.只要公司制定了隐私政策，即使员工并未实际阅读或签署，也视为公司已经履行了告知义务并获得了合法授权。（）

2.匿名化处理后的信息不再属于个人信息，因此可以自由交易和跨境传输，无需受个人信息保护法的约束。（）

3.个人信息处理者不得公开其处理的个人信息，除非取得个人的单独同意或者经过匿名化处理。（）

4.只有当数据泄露涉及超过10000人时，才需要向监管机构报告。（）

5.为了提升算法的精准度，企业可以在未经用户同意的情况下，收集与其声称目的无关的用户行为数据用于模型训练。（）

6.关键信息基础设施运营者处理个人信息，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估。（）

7.个人信息保护法适用于在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动，只要有向境内自然人提供产品或者服务的目的。（）

8.“去标识化”和“匿名化”是同一个概念，都是指去掉个人姓名的信息。（）

9.个人撤回同意，不影响撤回前基于个人同意已进行的个人信息处理活动的效力。（）

10.所有的企业都必须设立专门的“个人信息保护负责人”。（）

五、简答题（本大题共5小题，每小题10分，共50分）

1.请简述中国《个人信息保护法》中规定的“敏感个人信息”的定义及其处理时的特殊要求。

2.根据《个人信息保护法》，个人信息处理者在发生个人信息泄露、篡改、丢失等安全事件时，应当履行哪些通知和补救义务？

3.请对比“明示同意”与“默示同意”的区别，并说明在何种情形下需要取得个人的“单独同意”。

4.简述GDPR中数据主体的“被遗忘权”（删除请求权）的适用条件及限制。

5.什么是“隐私设计”？请列举并解释其三大核心原则。

六、案例分析题（本大题共3小题，每小题40分，共120分）

1.案例背景：

A公司是一家总部位于中国的跨国电商平台，主要业务面向全球消费者。2026年，A公司计划对其用户画像系统进行升级，引入更先进的人工智能算法。为了训练该AI模型，A公司将其在中国境内收集的包含用户浏览记录、购买历史、部分用户评价以及部分物流地址信息的海量数据集，未经任何特殊处理，直接通过互联网传输至位于美国的数据中心进行模型训练和测试。此外，A公司在其APP首页弹窗中写道：“为了提供更好的服务，我们将收集您的所有设备信息和使用数据，并可能将其传输至全球服务器进行处理。如果您继续使用，即视为同意。”该弹窗没有提供拒绝选项，关闭按钮设计得非常隐蔽。

问题：

(1)A公司将中国境内收集的个人信息传输至美国数据中心的行为，违反了《个人信息保护法》的哪些规定？请说明理由。（15分）

(2)A公司APP的弹窗同意机制存在哪些问题？应当如何改进？（10分）

(3)针对A公司利用用户数据训练AI模型的行为，从数据最小化和目的限制原则的角度进行分析。（15分）

2.案例背景：

B银行是一家大型商业银行，持有大量客户的身份证号、账户余额、交易流水等敏感信息。为了提升营销效率，B银行与C科技公司签署了数据合作协议。协议约定，B银行向C公司提供部分脱敏后的客户名单（包含手机号和收入等级），C公司利用其大数据分析能力为B银行筛选出高潜力的理财产品客户，并将结果反馈给B银行。然而，C公司在收到数据后，不仅进行了分析，还将该部分数据用于优化自身的广告推荐算法，并且因内部安全管理不善，导致该部分数据被黑客窃取并在暗网出售。客户发现后向B银行投诉，B银行声称已将数据“脱敏”，且数据泄露是C公司的责任，与B银行无关。

问题：

(1)B银行将客户数据提供给C公司的行为是否合规？请结合《个人信息保护法》关于委托处理与共享的规定进行分析。（15分）

(2)C公司擅自将数据用于自身算法优化并导致数据泄露，违反了哪些法定义务？（10分）

(3)客户是否有权向B银行主张赔偿？B银行关于“已脱敏”和“责任在C公司”的抗辩是否成立？为什么？（15分）

3.案例背景：

D公司是一家经营智能安防摄像头的厂商。其产品热销于住宅小区和私人家庭。2026年，D公司推出了“人脸识别门禁”功能，并在其APP中推送更新。用户更新后，APP会自动开启摄像头抓拍访客的人脸信息，并与业主手机端进行比对。为了提高识别准确率，D公司默认将采集到的人脸特征数据上传至D公司的云端服务器进行持续学习和模型优化。D公司在隐私政策中提到了“我们会收集必要的生物识别信息以提供门禁服务”，但并未明确告知会用于云端模型优化。某业主发现后，要求D公司删除其上传的人脸数据，并停止上传。D公司客服回复：“这是为了提升服务质量，属于必要功能，无法关闭，且数据已匿名化处理，无法删除。”

问题：

(1)D公司收集并使用人脸特征数据的行为，是否符合《个人信息保护法》关于敏感个人信息处理的规定？（15分）

(2)D公司拒绝业主删除数据的请求是否合法？请阐述个人在数据处理过程中的权利。（10分）

(3)结合本案例，请论述企业在处理生物识别信息时应遵循的合规要点。（15分）

---

试卷答案及详细解析

一、单项选择题答案及解析

1.【答案】A

【解析】本题考查个人信息处理的基本原则。根据《个人信息保护法》第六条，处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关。采取对个人权益影响最小的方式。不得进行与处理目的无关的衍生处理。这就是“必要原则”（或称最小必要原则）的体现，即收集范围应受限于处理目的（A正确）。B项涉及同意原则，但不是必要原则的直接体现；C项是特定情形下的义务；D项是本地化存储要求，非必要原则内涵。

2.【答案】C

【解析】本题考查GDPR下的敏感数据定义。根据GDPR第9条，revealingracialorethnicorigin,politicalopinions,religiousorphilosophicalbeliefs,ortradeunionmembership,andtheprocessingofgeneticdata,biometricdataforthepurposeofuniquelyidentifyinganaturalperson,dataconcerninghealthordataconcerninganaturalperson’ssexlifeorsexualorientationshallbeprohibited.因此，政治观点（C）属于敏感数据。A、B、D属于普通个人数据。

3.【答案】D

【解析】本题考查个人信息跨境提供条件。根据中国《个人信息保护法》第三十八条，个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：（一）通过国家网信部门组织的安全评估；（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；（四）法律、行政法规或者国家网信部门规定的其他条件。D项“获得欧盟数据保护当局的授权”不是中国法律要求的条件，属于干扰项。

4.【答案】C

【解析】本题考查删除权。根据《个人信息保护法》第四十七条，有下列情形之一的，个人信息处理者应当主动或者根据个人的请求，删除个人信息：（一）处理目的已实现、无法实现或者为实现处理目的不再必要；（二）个人信息处理者停止提供产品或者服务，或者保存期限已届满；（三）个人撤回同意；（四）个人信息处理者未征得个人同意，但法律、行政法规另有规定的；（五）个人信息处理者违反法律、行政法规或者双方约定处理个人信息。因此C正确。A错，因为有法定保存期限等限制；B错，删除后不应保留可复原的备份；D错，法定保存期内不能强制删除。

5.【答案】D

【解析】本题考查敏感个人信息范畴。《个人信息保护法》第二十八条：敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。车辆牌照号码（D）通常属于普通个人信息（除非关联特定敏感场景），而A、B、C均明确列入敏感信息。

6.【答案】A

【解析】本题考查隐私工程中的数据最小化原则。数据最小化要求数据收集限于实现目的所必需的最少范围（A）。B是存储优化，C是访问控制，D是压缩技术，均非该原则核心。

7.【答案】C

【解析】本题考查知情同意原则的有效性。默认勾选且无法取消，属于“捆绑同意”和“强制同意”，违反了自愿和明示同意的要求（C正确）。这并未直接违反目的限制（如果确实用于营销），也不直接涉及准确性或安全性（虽然安全性是底线），主要违规点在于同意的自愿性。

8.【答案】A

【解析】本题考查GDPR数据可携带权。根据GDPR第20条，数据可携带权适用于数据主体通过同意或合同向控制者提供的，且以结构化、常用化和机器可读形式处理的数据（A正确）。B错，不包括基于合法利益的数据；C错，不限于纸质；D错，不限于匿名化数据。

9.【答案】A

【解析】本题考查中国数据分类分级制度。根据《数据安全法》第二十一条，国家建立数据分类分级保护制度，将数据分为一般数据、重要数据、核心数据（A正确）。B、C、D均为干扰选项，非法定分类标准。

10.【答案】B

【解析】本题考查Cookie合规。通常将Cookie分为“必要Cookie”（保障基本功能，如用户登录、安全验证）和“非必要Cookie”（如分析、营销）。必要Cookie通常基于合同履行或合法利益，无需额外同意；非必要Cookie（特别是追踪类）需同意。因此B正确。A过于绝对；C错，Cookie可能构成间接识别信息，受监管；D错，仅声明不等于获得有效同意。

11.【答案】C

【解析】本题考查泄露通知时限。根据《个人信息保护法》第五十七条，个人信息处理者应当在发生事件后立即采取补救措施，并通知履行个人信息保护职责的部门和个人。通知应当包括……。虽然法律未明确规定“72小时”的硬性数字（GDPR规定72小时），但通常国内合规实践及参照相关标准，要求“立即”，且在严重情况下参照GDPR标准通常为72小时内。C选项是国际通行的严格标准，且符合“立即”的紧迫性要求。注：国内法原文表述较灵活，但在考试真题中，常对比GDPR考察，或者参照网信办相关规定，此处选C为最佳实践标准。

12.【答案】D

【解析】本题考查自动化决策。根据《个人信息保护法》第二十四条，利用个人信息进行自动化决策，应当保证决策的透明度和结果公平公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。同时，应当提供不针对个人特征的选项，或提供便捷的拒绝方式。因此，法律并未完全禁止自动化决策（D错），而是规范其使用方式。A、B、C均为法条规定的正确内容。

13.【答案】C

【解析】本题考查委托处理中的责任承担。根据《个人信息保护法》第六十九条，处理个人信息侵害个人信息权益造成损害的，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等责任。同时，个人信息处理者委托处理个人信息的，应当对受托人的处理行为进行监督。受托人违法造成损害，通常由受托人承担直接责任，但处理者未尽监督义务或选任过失需承担相应责任。在民法及个保法框架下，受害人通常可以向处理者（B医院）主张，因为受托人是其“延长之手”。且根据第六十九条，处理者承担过错推定责任。因此C最符合法理及实务。

14.【答案】B

【解析】本题考查DPIA触发条件。根据GDPR第35条，在进行涉及使用新技术进行大规模的系统性和定性的评估，或对自然人的权利和自由带来高风险（如系统性监控、敏感数据处理、大规模公开空间监控等）时，必须进行DPIA。因此B正确。A、C、D描述不全面或过于绝对。

15.【答案】D

【解析】本题考查隐私设计七大原则。七大原则包括：1.积极而非消极（Positive-Sum,notZero-Sum）；2.默认隐私保护；3.嵌入式隐私保护；4.正当功能；5.全生命周期保护；6.可见性与透明度；7.尊重用户隐私。D项“数据最大化”与“数据最小化”原则背道而驰，不属于隐私设计原则。

16.【答案】B

【解析】本题考查未成年人保护。根据《个人信息保护法》第三十一条，个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。因此B正确。

17.【答案】B

【解析】本题考查隐私政策要求。隐私政策应当公开、真实、准确、完整，易于理解和获取（B正确）。A、C、D均属于违规操作。

18.【答案】A

【解析】本题考查匿名化与去标识化的区别。去标识化是指个人信息经过处理，使其在不借助额外信息的情况下，无法识别特定自然人的过程，但存在复原风险（属于个人信息）。匿名化是指个人信息经过处理无法识别特定自然人且不能复原的过程（不属于个人信息）。因此A正确。

19.【答案】B

【解析】本题考查CCPA选择退出权。根据CCPA，消费者行使选择退出权后，企业必须停止出售消费者的个人信息（B正确），但企业仍可为履行服务必要而使用该数据，无需删除所有数据或停止服务，也无需付费。

20.【答案】A

【解析】本题考查关键信息基础设施数据出境。根据《网络安全法》第三十七条，关键信息基础设施运营者在境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当进行安全评估（A正确）。

二、多项选择题答案及解析

1.【答案】ABCD

【解析】本题考查告知事项。根据《个人信息保护法》第十七条，处理个人信息前，应告知：处理者名称联系方式、处理目的方式种类保存期限、个人行使权利的方式程序、处理敏感信息的必要性及影响等。E项财务报表与用户权益无关，无需告知。

2.【答案】ABCD

【解析】本题考查同意豁免情形。根据《个人信息保护法》第十三条，订立合同、履行法定职责、应对突发公共卫生事件、公共利益新闻报道等情形下，不需取得个人同意。E项员工绩效培训若非法定义务或合同必需，需同意。

3.【答案】ABCDE

【解析】本题考查GDPR数据主体权利。GDPR第三章规定了包括访问、更正、删除（被遗忘）、限制处理、可携带、反对、自动化决策等广泛权利。A、B、C、D、E均属于GDPR赋予的权利。

4.【答案】ABCD

【解析】本题考查跨境提供条件。根据《个人信息保护法》第三十八条，包括安全评估、专业机构认证、订立标准合同、国家规定的其他条件。E项仅告知是不够的，必须满足上述硬性条件之一。

5.【答案】ABCD

【解析】本题考查隐私增强技术。差分隐私、联邦学习、同态加密、安全多方计算均为典型的PETs。E项明文存储是传统不安全方式，非PETs。

6.【答案】ABCDE

【解析】本题考查法律责任。根据《个人信息保护法》第六十六条，有未取得同意、未公开处理规则、未采取安全措施、拒绝行使权利、未按要求进行保护评估等情形的，均需承担法律责任。A、B、C、D、E均属于违规情形。

7.【答案】ABC

【解析】本题考查PIA内容。PIA主要评估合法性、必要性、风险及保护措施有效性。D项预算成本不属于PIA的核心法律内容；E项审计师资质虽重要，但非PIA报告本身必须包含的内容（重点在风险评估）。

8.【答案】ABCE

【解析】本题考查单独同意。根据《个人信息保护法》，处理敏感信息（A）、向境外提供（B）、公开处理（隐含）、公共场所人脸识别（E）等情形需取得单独同意。单独同意必须是明示、自愿的（C）。D项法律未强制要求必须是“书面”，可以是电子形式，只要能明确表达意愿。

9.【答案】ABCD

【解析】本题考查泄露通知内容。根据《个人信息保护法》第五十七条，通知应包括泄露的种类、原因、危害、已采取措施、联系方式等。E项受影响用户名单属于监管机构可能要求报备的内容，但在向用户通知时，通常不会也不应泄露其他用户的名单。

10.【答案】ABCDE

【解析】本题考查企业合规体系建设。数据分类分级、访问控制、员工培训、第三方管理、应急响应均为数据合规体系的关键组成部分。

三、填空题答案及解析

1.【答案】个人信息

【解析】《个人信息保护法》第四条定义。

2.【答案】必要（或最小必要）

【解析】《个人信息保护法》第六条，处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关。采取对个人权益影响最小的方式。不得进行与处理目的无关的衍生处理。

3.【答案】集体合同

【解析】《个人信息保护法》第十三条，按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需。

4.【答案】国家安全

【解析】《数据安全法》对重要数据的定义。

5.【答案】接收方（或受托人/第三方）

【解析】《个人信息保护法》第二十三条，委托处理、共享、转让、向境外提供时，需告知接收方的相关信息。

6.【答案】2000

【解析】GDPR第83条，最高罚款层级为2000万欧元或全球年营业额4%。

7.【答案】个人信息保护负责人（或DPO）

【解析】《个人信息保护法》第五十二条，处理个人信息达到国家网信部门规定数量的，应指定个人信息保护负责人。

8.【答案】金融账户

【解析】《个人信息保护法》第二十八条，敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等。

9.【答案】必要性

【解析】《个人信息保护法》第三十条，处理敏感个人信息应当取得个人的单独同意，并告知处理敏感个人信息的必要性以及对个人权益的影响。

10.【答案】个人信息

【解析】《个人信息保护法》第六十条，国家网信部门负责统筹协调，国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作。

11.【答案】十二个月（或一年）

【解析】通常PIA应在处理前进行，并在重大变更或一定周期后复审。国内相关标准（如PIA指南）建议定期复审，通常不超过一年。注：具体法规未硬性规定复审时间，但这是最佳实践及考试常见考点。若依据《个人信息保护法》仅规定“事前评估”，此处填“事前”亦可，但结合“复审”语境，填“一年”更符合实务。

12.【答案】匿名化

【解析】《个人信息保护法》第七十三条，匿名化是指个人信息经过处理无法识别特定自然人且不能复原的过程。

13.【答案】分类分级

【解析】《数据安全法》及《个人信息保护法》均要求建立分类分级管理制度。

14.【答案】履行个人信息保护职责的部门（或网信部门/监管机构）

【解析】《个人信息保护法》第五十条，个人信息处理者拒绝提供的，个人可以向人民法院提起诉讼，也可以向履行个人信息保护职责的部门投诉。

15.【答案】拒绝（或关闭/退出）

【解析】《个人信息保护法》第二十四条，通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。

四、判断题答案及解析

1.【答案】×

【解析】同意必须是用户在充分知情的前提下自愿、明确作出的。仅制定政策而未获得用户实际确认（如点击同意），不视为有效同意。

2.【答案】√

【解析】匿名化后的信息不属于个人信息，不再受《个人信息保护法》关于个人信息处理活动的约束（但仍可能受其他法律法规如《反不正当竞争法》或《数据安全法》关于数据安全的约束）。

3.【答案】√

【解析】《个人信息保护法》第二十五条，个人信息处理者不得公开其处理的个人信息，除非取得个人的单独同意或者经过匿名化处理。

4.【答案】×

【解析】根据GDPR，确定泄露对自然人权利和自由造成风险，即需通知，并非只有超过10000人才需通知。中国《个人信息保护法》也要求立即通知，并未设定人数门槛作为唯一条件。

5.【答案】×

【解析】违反了目的限制原则。收集数据不得超出用户授权的范围，用于模型训练若未告知并获得同意，属于违规行为。

6.【答案】√

【解析】《网络安全法》第三十七条关于CIIO数据本地化及出境安全评估的规定。

7.【答案】√

【解析】《个人信息保护法》第三条，在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动，有下列情形之一的，也适用本法：……（二）分析、评估境内自然人的行为；……（三）其他情形。包括向境内提供产品或服务。

8.【答案】×

【解析】去标识化是可逆的（或存在重识别风险），仍属于个人信息；匿名化是不可逆的，不属于个人信息。两者概念不同。

9.【答案】√

【解析】《个人信息保护法》第十五条，个人撤回同意，不影响撤回前基于个人同意已进行的个人信息处理活动的效力。

10.【答案】×

【解析】《个人信息保护法》第五十二条，只有处理个人信息达到国家网信部门规定数量的个人信息处理者，才必须指定个人信息保护负责人。并非所有企业。

五、简答题答案及解析

1.【答案】

定义：敏感个人信息是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

特殊要求：

(1)取得单独同意：处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。

(2)特定告知义务：应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响。

(3)严格限制：只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。

(4)特殊场景限制：在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，并设置显著的提示标识；所收集的个人图像、身份特征信息只能用于维护公共安全的目的。

2.【答案】

根据《个人信息保护法》第五十七条，个人信息处理者应当履行以下义务：

(1)立即采取补救措施：如防止损失扩大、修补漏洞、恢复数据等。

(2)通知履行个人信息保护职责的部门：通知内容包括事件的基本情况、涉及个人信息种类、原因、可能造成的危害、已采取及拟采取的措施等。

(3)通知个人信息主体：除非采取措施能够有效避免信息泄露造成危害，或者难以逐一通知，否则应通知受影响个人。通知内容同上。

(4)记录保存：记录事件详情，保存时间至少三年（依据相关标准或法理，便于监管审计）。

3.【答案】

区别：

(1)明示同意：是指用户通过书面、口头或电子等方式，主动、明确地作出的肯定性意思表示。例如，勾选“我同意”。

(2)默示同意：是指用户没有明确表示反对，或者通过其行为推断出其同意。在《个人信息保护法》下，处理个人信息原则上不承认默示同意的有效性（除极少数法定豁免情形外）。

需要单独同意的情形：

根据《个人信息保护法》，以下情形需取得单独同意：

(1)处理敏感个人信息。

(2)向境外提供个人信息。

(3)利用个人信息进行自动化决策并在信息推送、商业营销之外进行其他重大影响决策时（部分场景）。

(4)公开其处理的个人信息。

(5)转让其处理的个人信息（向其他处理者共享）。

4.【答案】

适用条件（GDPR第17条）：

(1)该个人信息对于实现其被收集或处理的相关目的已不再必要；

(2)个人撤回了同意，且没有其他合法的处理依据；

(3)个人反对处理，且没有压倒性的合法理由；

(4)个人信息被非法处理；

(5)为遵守法定义务，必须删除数据。

限制：

(1)为行使言论自由权、信息自由权；

(2)为履行法定义务（如会计、税务）；

(3)为执行公共利益任务或行使官方职权；

(4)为公共卫生领域的公共利益；

(5)为确立、行使或辩护法律主张。

5.【答案】

隐私设计是指在信息技术、业务流程和物理基础设施的设计之初，通过技术手段和制度设计，将隐私保护融入其中，而非事后补救。

三大核心原则（七大原则中的核心）：

(1)默认隐私保护：默认设置为最高隐私保护级别，用户不需手动操作即可享受隐私保护。例如，默认不公开个人资料，默认不开启数据共享。

(2)嵌入式隐私保护：将隐私保护措施嵌入到信息技术的设计和开发全生命周期中，作为核心组件而非附加组件。

(3)正当功能：保持隐私保护与业务需求的平衡，以“全赢”为目标，既实现业务目标又保护隐私，避免将隐私视为障碍。

六、案例分析题答案及解析

1.【答案】

(1)违反规定及理由：

A公司违反了《个人信息保护法》关于“关键信息基础设施或达到一定数量处理者的数据本地化及出境安全评估”的规定，以及“告知同意”原则。

理由：

①未经安全评估：A公司作为大型跨国平台，很可能达到国家网信部门规定的处理个人信息的数量门槛，其向美国传输数据必须通过安全评估或签订标准合同，而不能直接传输。

②未经单独同意：向境外提供个人信息属于高风险行为，必须取得个人的单独同意，A公司仅通过弹窗一揽子同意，未获得单独同意。

③违反本地化存储：若A公司被认定为CIIO或达到一定数量，数据必须本地存储，其直接传输至美国违反了本地化要求。

(2)弹窗问题及改进：

问题：

①强制同意：关闭按钮隐蔽，实际上迫使用户必须同意才能使用服务，违反自愿原则。

②捆绑同意：将数据收集、跨境传输等不同事项捆绑在一起，未提供分项同意