2026年个人信息保护合规管控试题及答案

2026年个人信息保护合规管控试题及答案一、单项选择题1.根据《中华人民共和国个人信息保护法》及2025年国家网信办发布的《生成式人工智能服务个人信息保护管理规定》，处理训练生成式人工智能模型所需的公开个人信息，下列做法符合合规要求的是（）A.直接抓取互联网公开的所有个人信息用于大模型预训练，不需要告知个人B.对公开个人信息进行训练前，应当对信息进行去标识化处理，且对可能侵害他人合法权益的信息进行过滤，个人明确拒绝处理的应当及时移除C.只要是公开平台发布的个人信息，无论个人是否声明不得二次使用，都可以直接用于模型训练D.为了提升模型效果，对抓取到的个人敏感信息可以直接留存用于模型微调训练正确答案：B答案解析：根据《生成式人工智能服务个人信息保护管理规定》要求，处理训练所用公开个人信息，应当依法进行去标识化处理，过滤存在权益侵害风险的信息，个人明确拒绝处理的应当及时移除；个人明确声明不得二次使用的公开个人信息，处理者不得擅自处理；个人敏感信息未经个人单独同意不得违规留存处理，因此ACD不符合合规要求，B选项正确。2.国内车企开展智能车载系统数据收集活动，根据《汽车个人信息保护若干规定》，下列关于告知同意规则的操作正确的是（）A.可以通过车机系统设置一揽子勾选条款，默认用户同意所有信息收集要求，不需要区分核心功能和附加功能的收集范围B.收集驾驶员人脸生物识别信息用于车辆解锁启动的核心功能，可以不需要征得用户单独同意C.针对停车后持续收集车辆位置信息用于远程故障诊断的附加增值功能，应当征得驾驶人单独同意，并且为用户提供随时关闭该功能的便捷入口D.为了给车主提供精准广告服务，可以未经车主同意将收集到的车主出行轨迹信息共享给第三方广告服务商正确答案：C答案解析：根据《汽车个人信息保护若干规定》要求，车企收集车内个人信息应当区分核心功能与附加功能，不得将用户同意附加功能信息收集作为使用核心功能的前提条件；收集生物识别等个人敏感信息应当征得用户单独同意；未经个人同意不得向第三方共享车主个人信息用于商业营销，因此ABD错误，C选项符合合规要求。3.根据《个人信息保护法》对个人信息处理者合规义务的要求，处理下列哪类个人信息不需要取得个人单独同意（）A.处理个人生物识别信息用于企业内部考勤管理B.将境内收集的个人信息提供给境外的母公司用于数据分析C.在合理范围内处理自然人自行公开的个人信息，且自然人未明确拒绝D.处理不满十四周岁未成年人个人信息用于商业营销正确答案：C答案解析：《个人信息保护法》明确规定，在合理范围内处理自然人已经合法公开的个人信息，不需要取得个人同意，自然人明确拒绝的除外；处理个人敏感信息、个人信息出境、处理不满十四周岁未成年人个人信息均需要依法取得个人或监护人的单独同意，因此C选项正确。二、多项选择题1.根据《个人信息出境安全评估办法》，下列哪些情形下个人信息处理者向境外提供个人信息，必须向网信部门申报个人信息出境安全评估（）A.关键信息基础设施运营者向境外提供其运营过程中收集产生的个人信息B.处理个人信息达到100万人的个人信息处理者向境外提供个人信息C.累计向境外提供超过10万人以上的个人信息，或者1万人以上的敏感个人信息D.接受境外委托开展数据加工业务，个人信息不离开境内，不需要向境外实际提供个人信息的场景正确答案：ABC答案解析：根据《个人信息出境安全评估办法》规定，选项ABC均属于应当申报出境安全评估的情形；仅接受境外委托在境内存储加工个人信息，不向境外实际提供个人信息的场景不需要申报安全评估，因此D不选，正确答案为ABC。2.下列关于个人信息处理者日常合规管控的要求，说法正确的有（）A.处理个人信息应当遵循最小必要原则，不得超出实现处理目的的最小范围收集个人信息B.发生个人信息泄露、篡改、丢失等安全事件后，个人信息处理者应当立即采取补救措施，并及时通知履行个人信息保护职责的部门和受影响的个人C.个人信息处理者委托第三方机构处理个人信息，应当与第三方签订委托协议，明确双方的权利义务以及个人信息处理的目的、方式、范围和安全保护要求，同时对第三方的处理活动进行持续监督D.个人提出更正、补充其个人信息的申请后，个人信息处理者核实信息确有错误的，应当及时为个人更正补充，不得无故拒绝正确答案：ABD答案解析：选项C中提到委托处理不需要签订协议的描述错误，委托处理个人信息必须签订书面委托协议明确双方权责，因此C错误，ABD均符合《个人信息保护法》对个人信息处理者合规义务的要求，故正确答案为ABD。3.企业开展自动化决策（个性化推送）活动，下列做法符合合规要求的有（）A.在用户首次使用产品时，就清晰明确告知用户个性化推送的规则、个人信息处理的范围和用途，不隐藏相关条款B.为用户提供便捷的一键关闭个性化推送的入口，不设置层层审批、跳转多个页面才能关闭的障碍C.即使关闭了个性化推送，依然可以正常使用产品的核心功能，不将同意个性化推送作为使用核心功能的前提D.为了提升推送精准度，收集用户的医疗健康信息用于个性化广告推送，并提前取得用户单独同意正确答案：ABC答案解析：个性化商业推送不得收集使用个人敏感信息，即使取得同意也不符合最小必要和合规要求，因此D错误，ABC均符合个人信息保护对自动化决策活动的合规要求。三、判断题1.个人信息处理者只要完成了个人信息保护影响评估就可以永久留存所收集的个人信息，不需要按照法律规定的存储期限要求删除个人信息。（）正确答案：错误答案解析：《个人信息保护法》明确规定，个人信息的保存期限应当为实现处理目的所必要的最短期限，当处理目的已经实现或者不需要继续处理，或者用户要求删除个人信息时，处理者应当依法及时删除用户个人信息，个人信息保护影响评估不能作为超期留存个人信息的依据。2.个人信息处理者委托第三方处理个人信息，因第三方的违规处理行为造成个人权益损害的，个人信息处理者不需要承担责任，由第三方单独承担赔偿责任。（）正确答案：错误答案解析：根据《个人信息保护法》规定，个人信息处理者委托第三方处理个人信息的，应当对受托人的处理活动进行监督，因受托方违规处理造成个人权益损害的，个人信息处理者应当依法承担连带责任，不得推诿责任。3.处理不满十四周岁未成年人个人信息，应当取得未成年人的父母或者其他监护人的同意，并且应当制定专门的个人信息处理规则。（）正确答案：正确答案解析：该内容符合《个人信息保护法》对未成年人个人信息保护的专门要求，因此表述正确。四、案例分析题某线下零售连锁企业B公司为了提升会员转化率，推出“扫码抽免单”活动，用户进入门店后必须扫码填写姓名、手机号、家庭住址、工作单位才能参与抽奖，为了扩大影响力，B公司还要求中奖用户必须授权B公司将其姓名、中奖信息发布在公司的官方微信公众号上进行宣传，否则无法领取奖品。活动开展半个月后，B公司收到多名用户投诉，称填写个人信息后频繁收到B公司合作第三方发来的营销短信，且自己的个人信息被B公司公布在公众号上，给自己造成了困扰。B公司认为，用户自愿扫码填写信息，所有内容都在二维码下方的小字体用户协议里，用户点击同意就代表授权，不存在违规问题。请结合个人信息保护合规要求分析B公司本次活动存在哪些合规问题。正确答案：B公司本次活动存在以下多项合规问题：第一，违反了个人信息处理的最小必要原则。“扫码抽免单”活动的核心目的是核验用户身份、通知中奖结果，仅需要收集用户姓名和手机号即可，额外收集家庭住址、工作单位已经超出了活动所需的最小范围，属于过度收集个人信息。第二，违反了告知同意规则。B公司将授权公布中奖用户个人信息作为领取奖品的前置条件，属于强制捆绑同意，侵害了用户的自主决定权；同时相关授权条款采用小字体隐藏在用户协议中，没有履行清晰明确的告知义务，用户无法清晰知晓个人信息的处理用途和