2026年数据合规隐私保护规范试卷及答案

2026年数据合规隐私保护规范试卷及答案一、单项选择题（每题2分，共20分）1.根据《个人信息保护法》修订版，以下哪项不属于“个人信息”范畴？A.经过匿名化处理的用户设备MAC地址B.电商平台收集的用户购物偏好标签C.社交软件中用户主动公开的生日信息D.医疗机构记录的患者就诊卡号（含姓名关联）答案：A（匿名化信息无法识别特定自然人，不属于个人信息）2.某金融科技公司拟通过自动化决策对用户实施差异化服务定价，需优先满足的合规要求是？A.确保决策结果对用户无不利影响B.向用户提供不针对其个人特征的选项C.获得用户书面单独同意D.委托第三方机构进行算法审计答案：B（《个人信息保护法》第24条规定，通过自动化决策进行信息推送、商业营销，应提供不针对个人特征的选项）3.跨境数据流动中，“数据出境安全评估”的责任主体是？A.数据接收方所在国监管机构B.数据处理者C.数据传输中介服务商D.国家网信部门答案：B（《数据出境安全评估办法》明确数据处理者为评估申报主体）4.某教育APP收集14周岁以下未成年人信息，必须取得的同意是？A.未成年人本人同意B.未成年人父母或其他监护人同意C.学校书面确认D.教育行政部门备案答案：B（《个人信息保护法》第31条规定，处理不满十四周岁未成年人个人信息应取得其父母或其他监护人同意）5.数据处理者终止服务时，对用户个人信息的正确处理方式是？A.转移给关联公司继续使用B.匿名化后留存用于统计分析C.征得用户同意后删除或按约定处理D.备份至云端永久保存答案：C（《个人信息保护法》第29条要求，终止服务时应按约定或用户要求删除，或作匿名化处理）二、判断题（每题2分，共10分，正确√，错误×）1.数据处理者因业务需要合并个人信息时，无需重新取得用户同意，只需更新隐私政策。（×）（需重新取得同意，《个人信息保护法》第15条规定，处理目的、方式和范围变更需重新同意）2.公共安全领域为应对突发公共卫生事件，可直接处理个人信息无需告知。（√）（《个人信息保护法》第13条规定，为应对突发公共卫生事件可作为无需同意的例外情形）3.数据泄露事件发生后，数据处理者应在72小时内向履行个人信息保护职责的部门报告。（×）（《个人信息保护法》第57条要求，发生或可能发生泄露时，应立即采取措施并在7个工作日内报告）4.企业内部培训使用员工个人信息时，属于“履行劳动合同所必需”，无需额外同意。（√）（《个人信息保护法》第13条规定，为履行劳动合同处理员工信息可作为合法基础）5.个人信息跨境传输时，只要数据接收方所在国与我国签订数据保护协议，即可无需安全评估。（×）（需同时满足协议要求及数据处理者的安全评估义务，《数据出境安全评估办法》第3条明确评估为必要程序）三、简答题（每题10分，共30分）1.简述个人信息处理中“最小必要原则”的具体要求。答案：最小必要原则要求数据处理者在收集、存储、使用个人信息时，应限于实现处理目的的最小范围和必要程度。具体包括：（1）收集信息的类型、数量应与处理目的直接相关，不得过度收集；（2）处理方式（如存储时间、使用权限）应严格限制在必要范围内；（3）避免收集与处理目的无关的信息，对已收集但非必要的信息应及时删除或匿名化；（4）在技术实现上采取权限最小化、访问控制等措施，防止信息被不当处理。2.列举数据分类分级的主要步骤及核心依据。答案：步骤：（1）明确数据处理场景和业务目标，确定分类维度（如敏感程度、业务属性）；（2）识别数据资产，建立数据清单；（3）根据《数据安全法》《个人信息保护法》及行业规范（如金融行业《个人金融信息保护技术规范》），结合数据泄露可能造成的影响（如对个人权益、公共利益、国家安全的危害程度）进行分级；（4）制定分类分级标签并动态更新；（5）针对不同级别数据制定差异化保护措施（如加密强度、访问权限、传输要求）。核心依据：数据的敏感程度、泄露风险、对个人/组织/国家的影响程度。3.说明“告知-同意”原则在隐私政策中的具体落实要求。答案：（1）告知内容需具体明确：包括处理目的、方式、信息类型、存储期限、共享/转让对象、用户权利及行使方式、数据处理者联系方式等；（2）告知形式需显著易懂：采用用户易访问的位置（如APP首页“隐私政策”入口）、清晰语言（避免专业术语或模糊表述）、非默认勾选的同意方式；（3）同意需自愿明确：不得通过捆绑功能、误导性提示等方式强迫同意；（4）动态更新告知：处理目的、方式等变更时，需重新向用户告知并取得同意；（5）特殊群体保护：处理未成年人、敏感个人信息时，需取得监护人或单独同意。四、案例分析题（共40分）案例：某社交平台（以下简称“平台”）2026年3月发生用户聊天记录泄露事件，经调查系第三方云服务商（以下简称“云服务商”）因服务器配置错误导致数据暴露。泄露信息包含用户姓名、手机号、部分聊天内容（含少量涉及个人健康的敏感信息），涉及用户50万人。平台在发现泄露后24小时内向用户发送短信通知，但未向监管部门报告；云服务商以“数据存储合同约定由平台负责安全”为由拒绝承担责任。问题1：分析平台在事件中的合规过错。（15分）答案：平台存在以下合规过错：（1）未履行数据安全管理义务：根据《数据安全法》第30条，数据处理者委托第三方处理数据时，应监督受托方履行安全义务，平台未有效监督云服务商的服务器配置，存在管理失职；（2）未及时向监管部门报告：《个人信息保护法》第57条规定，发生或可能发生个人信息泄露时，应立即采取补救措施并在7个工作日内向履行个人信息保护职责的部门报告，平台未报告违反法定义务；（3）通知方式不充分：仅通过短信通知可能无法覆盖所有用户（如未绑定手机号用户），应通过APP弹窗、站内信等多渠道告知，并说明影响及补救措施；（4）未对敏感信息泄露采取特殊保护：泄露内容包含健康相关敏感信息，平台需额外告知用户可能的风险（如被用于诈骗）并提供身份保护服务（如临时挂失、信用监测）。问题2：云服务商的责任是否可免责？说明法律依据。（15分）答案：云服务商不可免责。依据《数据安全法》第33条，数据处理者委托他人处理数据的，受托方应依法依约履行数据安全保护义务，不得擅自留存、使用、泄露数据。即使合同约定由平台负责安全，也不能免除云服务商的法定责任（《民法典》第506条规定，免除造成对方人身伤害或因故意、重大过失造成财产损失的条款无效）。本案中云服务商因服务器配置错误（重大过失）导致数据泄露，需与平台承担连带责任。问题3：用户可主张哪些权利？平台应如何响应？（10分）答案：用户可主张：（1）删除权：要求平台删除泄露的个人信息（《个人信息保护法》第47条）；（2）赔偿请求权：因泄露导致的财产或精神损失可要求赔偿（第69条）；（