个人信息保护知识竞赛试卷(附答案)

个人信息保护知识竞赛试卷(附答案)一、单项选择题1.个人信息处理者处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项，其中不包括（）。A.个人信息处理者的名称或者姓名和联系方式B.个人信息的处理目的、处理方式，处理的个人信息种类、保存期限C.个人行使法定权利的方式和程序D.个人信息处理者处理该信息可能获得的所有商业利益2.根据相关法律法规，下列哪项不属于敏感个人信息？（）A.生物识别信息B.宗教信仰信息C.特定身份信息D.个人在公开场合发表的评论信息3.个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的，应当向个人告知接收方的名称或者姓名和联系方式。接收方变更原先的处理目的、处理方式的，应当（）。A.直接开始处理，因为信息已合法转移B.重新取得个人的单独同意C.只需在隐私政策中更新即可D.向主管部门备案后即可处理4.对于不满（）周岁未成年人个人信息的处理，应当取得未成年人的父母或者其他监护人的同意。A.十二B.十四C.十六D.十八5.个人信息处理者处理已公开的个人信息，对个人权益有重大影响的，应当（）。A.可以不经个人同意直接处理B.依照法律规定进行匿名化处理后即可C.依照规定取得个人同意D.只需进行安全影响评估6.在公共场所安装图像采集、个人身份识别设备，所收集的个人图像、身份识别信息只能用于（）的目的，不得用于其他目的；取得个人单独同意的除外。A.商业推广B.维护公共安全C.提升服务质量D.内部管理7.个人信息处理者发现个人信息泄露的，应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项，其中不包括（）。A.个人信息泄露的原因B.泄露的个人信息种类和可能造成的危害C.已采取的补救措施和个人可以采取的减轻危害的措施D.对内部相关责任人员的具体处罚决定8.提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当履行下列义务，其中错误的是（）。A.按照国家规定建立健全个人信息保护合规制度体系B.成立主要由外部成员组成的独立机构对个人信息保护情况进行监督C.遵循公开、公平、公正的原则，制定平台规则D.定期发布个人信息保护社会责任报告，接受社会监督9.个人信息跨境提供，以下哪种情形不需要通过国家网信部门组织的安全评估？（）A.关键信息基础设施运营者向境外提供个人信息B.处理个人信息达到国家网信部门规定数量的处理者向境外提供个人信息C.自上年1月1日起累计向境外提供10万人个人信息的处理者向境外提供个人信息D.向境外提供个人敏感信息10.个人发现其个人信息不准确或者不完整的，有权请求个人信息处理者（）。A.赔偿损失B.删除该信息C.更正、补充D.暂停处理二、多项选择题11.个人信息处理者处理个人信息，应当在事先充分告知的前提下取得个人同意，并且该同意应当（）。A.由个人在充分知情的前提下自愿、明确作出B.如果法律、行政法规规定处理个人信息应当取得个人单独同意，从其规定C.个人信息处理者不得以个人不同意处理其个人信息为由，拒绝提供核心产品或服务D.个人信息的处理目的、处理方式发生变更的，应当重新取得个人同意E.同意可以通过默认勾选“我已阅读并同意”的方式作出12.在下列哪些情形下，个人信息处理者处理个人信息无需取得个人同意？（）A.为订立、履行个人作为一方当事人的合同所必需B.为履行法定职责或者法定义务所必需C.为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需D.为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息E.在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息13.个人信息处理者应当采取必要措施保障所处理的个人信息的安全，包括（）。A.制定内部管理制度和操作规程B.对个人信息实行分类管理C.采取相应的加密、去标识化等安全技术措施D.合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训E.制定并组织实施个人信息安全事件应急预案14.个人在个人信息处理活动中享有下列哪些权利？（）A.知情权、决定权，有权限制或者拒绝他人对其个人信息进行处理B.查阅、复制权C.个人信息可携带权D.更正、补充权E.删除权、解释说明权15.以下哪些行为属于侵犯公民个人信息，情节严重的，可能构成犯罪？（）A.违反国家有关规定，向他人出售公民个人信息B.将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的C.窃取或者以其他方法非法获取公民个人信息的D.经过匿名化处理后的信息，提供给第三方用于大数据分析E.未经被收集者同意，将合法收集的公民个人信息向他人提供三、判断题16.任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。（）17.基于个人同意处理个人信息的，个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。个人撤回同意，不影响撤回前基于个人同意已进行的个人信息处理活动的效力。（）18.个人信息处理者可以处理已公开的个人信息，但若公开个人信息是个人信息主体自行公开的，则处理者可以任意处理，包括用于商业营销等目的，无需另行告知。（）19.个人信息处理者委托处理个人信息，应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等，并对受托人的个人信息处理活动进行监督。（）20.个人信息保护影响评估应当包括：个人信息的处理目的、处理方式等是否合法、正当、必要；对个人权益的影响及安全风险；所采取的保护措施是否合法、有效并与风险程度相适应。评估报告和处理情况记录应当至少保存两年。（）四、简答题21.简述个人信息处理者在何种情形下应当主动删除个人信息。22.什么是“告知-同意”核心规则？个人信息处理者在哪些情况下可以豁免适用该规则？23.简述个人信息保护影响评估的主要内容和适用情形。五、案例分析题24.【案例】某知名电商平台A公司为提升用户购物体验，开发了一套“用户画像”系统。该系统通过收集、分析用户在平台内的浏览记录、搜索关键词、购买历史、收货地址、设备信息等，对用户进行标签化分类（如“母婴用户”、“数码爱好者”、“高频消费者”等）。A公司利用这些“用户画像”进行以下活动：（1）在用户登录App时，向其展示个性化商品推荐和广告。（2）将具有“高频消费者”标签的用户信息（包括用户ID、消费金额区间、常购品类）提供给平台内的高端品牌商家，帮助商家进行精准营销。A公司在《隐私政策》中有一条款写道：“我们可能会与合作伙伴共享经去标识化处理的用户画像信息，以提供更优质的服务。您使用我们的服务即视为同意本政策的所有内容。”（3）在未经用户明确单独同意的情况下，根据用户收货地址中的城市信息，分析不同城市消费者的偏好差异，并将此分析结果形成报告出售给市场研究公司。请根据个人信息保护相关法律法规，分析A公司的上述三项行为是否合法，并说明理由。25.【案例】某市地铁运营公司B为推进“智慧地铁”建设，在所有进出站闸机和部分重要通道安装了人脸识别系统。乘客在首次使用时需在App上注册并录入人脸信息，此后即可“刷脸”进出站。B公司在《人脸信息使用协议》中说明，收集的人脸信息将用于乘客进出站身份核验。但在实际运营中，B公司还将人脸识别系统接入其安防监控平台，利用人脸识别技术对进出站乘客进行实时比对，以协助公安机关排查可疑人员。此外，B公司内部有员工利用职务之便，私自截取了部分乘客的人脸照片存储在个人手机中。请分析：（1）B公司收集乘客人脸信息用于“刷脸”乘车，需要履行哪些法律义务？（2）B公司将人脸识别系统用于协助公安机关排查可疑人员的行为是否合法？为什么？（3）员工私自截取乘客人脸照片的行为属于何种性质？B公司在此事上应承担何种责任？六、论述题26.试论在数字化时代，如何平衡个人信息保护与数据合理利用之间的关系。请从立法、企业合规、技术手段、个人意识等多个维度进行阐述。答案与解析一、单项选择题1.D。解析：根据《个人信息保护法》第十七条，告知事项包括处理者的身份和联系方式、处理目的和方式、个人信息种类和保存期限、个人权利行使方式等，但并未要求告知处理者可能获得的所有商业利益。告知应侧重于对个人权益有重大影响的事项。2.D。解析：根据《个人信息保护法》第二十八条，敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。个人在公开场合发表的评论信息，若不涉及上述敏感内容，一般不属于法律定义的敏感个人信息。3.B。解析：根据《个人信息保护法》第二十二条，接收方应当继续履行个人信息处理者的义务。如果变更原先的处理目的、处理方式，应当依照本法规定重新取得个人同意。4.B。解析：根据《个人信息保护法》第三十一条，处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。5.C。解析：根据《个人信息保护法》第十三条和第二十七条，处理已公开的个人信息，应当在合理的范围内进行，且不得对个人权益有重大影响。如果对个人权益有重大影响，应当依照本法规定取得个人同意。6.B。解析：根据《个人信息保护法》第二十六条，在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，并设置显著的提示标识。所收集的信息只能用于维护公共安全的目的。7.D。解析：根据《个人信息保护法》第五十七条，通知内容应包括泄露原因、信息种类、可能危害、补救措施及个人可采取的措施等。对内部人员的处罚决定属于内部管理事项，不属于必须向个人和部门告知的内容。8.B。解析：根据《个人信息保护法》第五十八条，提供重要互联网平台服务的处理者应成立主要由外部成员组成的独立机构进行监督。选项B中“主要由外部成员组成”是正确的，但“独立机构”的监督是法定要求，并非“错误”。但结合该条全文，平台应“成立独立机构对个人信息保护情况进行监督”，这是正确义务。本题意在寻找“错误”选项，需结合上下文判断。实际上，该条要求成立独立机构（如监督委员会），B选项表述基本正确。但若严格对照，该条并未明确要求“独立机构”的成员“主要由外部成员组成”，而是要求“成立主要由外部成员组成的独立机构”，B选项将两者合并表述，在语义上可视为正确。本题可能存在歧义，更典型的错误是混淆义务内容。回顾常见考点，平台义务包括发布社会责任报告、制定公平平台规则等，B选项本身是对法条的准确复述，并非错误。因此，本题可能旨在考察对法条细节的记忆，D选项“定期发布…社会责任报告”也是法定义务。经核查，《个人信息保护法》第五十八条原文为：“成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。”故B选项正确。本题所有选项均似为法定义务，需重新审视。可能出题意图是B选项中“对个人信息保护情况进行监督”是独立机构的职责，但法条表述为“对个人信息保护情况进行监督”，B项无误。鉴于单选题，其他选项均为明确法定义务，B项亦为法条原文，故本题所有选项均正确，不符合单选题设置。此处按标准理解，选择最可能被误读或非强制核心的选项，但根据法条无错误。因此，该题作为单选题存在瑕疵。在实际答题中，通常认为B是正确描述。若必须选一个，可能D中的“社会责任报告”非所有平台强制，但法条明确要求。此题为题目设置问题。按常见真题解析，此类题可能将B中“独立机构”的“监督”职责作为正确表述，无错误选项。但为完成答题，假设题目有误，通常不会将法条原文直接列为错误。鉴于无法更改题目，按标准答案逻辑，本题无正确答案，但模拟考试中可能预设D为“错误”，因为“社会责任报告”的发布频率（定期）法条未明确，但“接受社会监督”是明确的。此解释存疑。更合理的处理是指出题目缺陷。在正式考试中，此题应被修订或删除。此处为模拟，暂不提供D选项的解析，因所有选项均符合法条精神。（注：由于模拟题第8题选项设置可能存在歧义或与严格法条表述有细微出入，以上解析指出了问题。在实际学习中，应以《个人信息保护法》第五十八条原文为准。）9.C。解析：根据《个人信息保护法》第四十条和《数据出境安全评估办法》的规定，需通过安全评估的情形包括：关键信息基础设施运营者；处理100万人以上个人信息的数据处理者；自上年1月1日起累计向境外提供10万人敏感个人信息或者1万人敏感个人信息的处理者。选项C仅提到“10万人个人信息”，未强调是“敏感个人信息”，因此不一定触发安全评估。向境外提供个人敏感信息达到规定数量才需评估。10.C。解析：根据《个人信息保护法》第四十六条，个人发现其个人信息不准确或者不完整的，有权请求个人信息处理者更正、补充。二、多项选择题11.ABCD。解析：根据《个人信息保护法》第十四条、第十六条、第二十三条等。同意应当由个人在充分知情的前提下自愿、明确作出（A）。法律、行政法规规定需单独同意的，从其规定（B）。个人信息处理者不得因个人不同意处理非必要信息而拒绝提供核心服务（C）。处理目的、方式等变更，应重新取得同意（D）。同意不应通过默认勾选等欺骗、误导方式作出（E错误）。12.ABCDE。解析：根据《个人信息保护法》第十三条，符合（A）合同必需、（B）法定义务、（C）紧急情况保护生命健康财产、（D）公共利益新闻报道、（E）合理处理已公开信息等情形，可不需取得个人同意。13.ABCDE。解析：根据《个人信息保护法》第五十一条，个人信息处理者应当采取的安全措施包括制定内部制度（A）、分类管理（B）、安全技术措施（C）、权限管理和培训（D）、制定应急预案（E）等。14.ABCDE。解析：根据《个人信息保护法》第四十四条至第四十九条、第四十八条，个人享有知情决定权（A）、查阅复制权（B）、可携带权（在符合国家网信部门规定条件时）（C）、更正补充权（D）、删除权及要求解释说明的权利（E）。15.ABCE。解析：根据《刑法》第二百五十三条之一，违反国家有关规定，向他人出售或提供公民个人信息（A、B、E），窃取或以其他方法非法获取公民个人信息（C），情节严重的，构成犯罪。经过匿名化处理无法识别特定个人且不能复原的信息，不属于法律意义上的公民个人信息（D错误）。三、判断题16.正确。解析：此为《个人信息保护法》第十条的基本规定。17.正确。解析：根据《个人信息保护法》第十五条，个人有权撤回同意，处理者应提供便捷方式。撤回同意不影响撤回前的处理活动效力。18.错误。解析：根据《个人信息保护法》第十三条、第二十七条，处理已公开的个人信息，应当在合理的范围内进行。若对个人权益有重大影响，应取得同意。即使信息是个人自行公开的，处理者也不得任意处理，特别是用于商业营销等可能对个人权益产生重大影响的场景，仍需遵守合法、正当、必要原则，通常需要评估或取得同意。19.正确。解析：根据《个人信息保护法》第二十一条，委托处理个人信息需签订协议，明确双方责任，并对受托方的处理活动进行监督。20.错误。解析：根据《个人信息保护法》第五十六条，个人信息保护影响评估报告和处理情况记录应当至少保存三年，而非两年。四、简答题21.解析：根据《个人信息保护法》第四十七条，个人信息处理者应当主动删除个人信息的情形主要包括：（1）处理目的已实现、无法实现或者为实现处理目的不再必要；（2）个人信息处理者停止提供产品或者服务，或者保存期限已届满；（3）个人撤回同意；（4）个人信息处理者违反法律、行政法规或者违反约定处理个人信息；（5）法律、行政法规规定的其他情形。法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。22.解析：“告知-同意”规则是个人信息保护的核心规则，指个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知相关规定事项，并在取得个人自愿、明确同意后方可处理。豁免适用“告知-同意”规则的情形主要规定在《个人信息保护法》第十三条中，包括：（1）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；（2）为履行法定职责或者法定义务所必需；（3）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；（4）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；（5）依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；（6）法律、行政法规规定的其他情形。23.解析：主要内容：根据《个人信息保护法》第五十六条，个人信息保护影响评估应当包括：（1）个人信息的处理目的、处理方式等是否合法、正当、必要；（2）对个人权益的影响及安全风险；（3）所采取的保护措施是否合法、有效并与风险程度相适应。评估报告和处理情况记录应当至少保存三年。适用情形：根据《个人信息保护法》第五十五条，有下列情形之一的，个人信息处理者应当事前进行个人信息保护影响评估：（1）处理敏感个人信息；（2）利用个人信息进行自动化决策；（3）委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；（4）向境外提供个人信息；（5）其他对个人权益有重大影响的个人信息处理活动。五、案例分析题24.解析：（1）行为（1）：合法性存疑，取决于是否履行了充分的告知义务并获取有效同意。利用用户画像进行个性化推荐属于常见的个人信息处理活动。其合法性基础通常在于用户的同意。A公司需要在《隐私政策》中清晰、明确地告知用户其个人信息将被用于生成用户画像并进行个性化推荐，且该告知应显著、易于理解。如果A公司仅通过冗长、晦涩的隐私政策，并以“使用即同意”的捆绑方式获取同意，可能因不符合“自愿、明确”的要求而导致同意无效。此外，若个性化推荐涉及对用户个人偏好、经济状况等的深度分析，可能构成自动化决策，需遵守更严格的规则，如提供不针对其个人特征的选项或便捷的拒绝方式。（2）行为（2）：不合法。首先，将“高频消费者”标签及关联信息（用户ID、消费金额、常购品类）提供给第三方商家，属于向其他个人信息处理者提供个人信息的行为。根据《个人信息保护法》第二十三条，应当向个人告知接收方的身份、联系方式、处理目的、方式和个人信息种类，并取得个人的单独同意。A公司在《隐私政策》中的概括性条款“使用服务即视为同意”不能替代法律要求的单独同意。其次，声称信息“经去标识化处理”不能完全免责。如果提供的“用户ID”等组合信息仍能间接识别到特定个人，则不属于有效的匿名化，该信息仍属于个人信息，其提供行为需遵守上述规定。（3）行为（3）：不合法。将基于用户收货地址形成的城市消费偏好分析报告出售给市场研究公司，构成了对个人信息的进一步利用（加工后的衍生信息）。虽然报告可能是聚合的、趋势性的，但分析的基础是具体的个人收货地址信息。该处理目的（出售分析报告）已明显超出了用户提供收货地址时能够合理预期的“商品配送”目的。根据《个人信息保护法》第六条，处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。A公司未就这一新的处理目的（商业分析并出售）取得用户的单独同意，违反了目的限制原则和告知同意规则。25.解析：（1）B公司收集乘客人脸信息用于“刷脸”乘车，需要履行的法律义务包括：①告知义务：在收集前，以显著方式、清晰易懂的语言，向乘客告知处理人脸信息的目的（身份核验乘车）、方式、种类、保存期限，以及乘客的权利等。②单独同意义务：人脸信息属于敏感个人信息。根据《个人信息保护法》，处理敏感个人信息应当取得个人的单独同意。B公司不能将同意条款捆绑在《用户协议》或《人脸信息使用协议》中，而应设置独立的同意环节，确保乘客是在充分知情的前提下自愿、明确地作出同意。③必要性原则和最小化原则：应证明“刷脸”乘车是实现该目的所必需且对乘客权益影响最小的方式，并采取严格保护措施。④安全保护义务：采取加密、访问控制等严格的技术和管理措施，防止人脸信息泄露、篡改、丢失。（2）不合法。B公司将人脸识别系统用于协助公安机关排查可疑人员，改变了最初向乘客告知的“身份核验乘车”这一处理目的。处理目的的变更，属于对个人信息的重大处理活动。根据《个人信息保护法》，处理敏感个人信息（人脸信息）应当具有特定的目的和充分的必要性。B公司若要将该信息用于公共安全目的，必须重新向乘客履行告知义务，并就该特定目的重新取得乘客的单独同意（除非法律、行政法规另有规定为履行法定义务所必需）。B公司未履行重新告知和取得同意的程序，擅自扩大人脸信息的使用范围，违反了目的明确、限制原则和告知同意规则。（3）员工私自截取乘客人脸照片的行为属于非法获取、存储公民个人信息的违法行为，情节严重的可能构成刑事犯罪。B公司在此事上应承担以下责任：①内部管理责任：说明B公司未能履行《个人信息保护法》第五十一条规定的安全保护义务，特别是未能对从业人员进行充分的安全教育和权限管理，未能采取有效的技术措施（如禁止截图、录屏、水印追踪等）防止内部人员窃取数据。②对乘客的侵权责任：B公司作为个人信息处理者，应对其员工在执行职务过程中发生的个人信息侵权行为承担责任，需向被侵权的乘客承担停止侵害、赔偿损失等民事责任。③行政责任：履行个人信息保护职责的部门可对B公司未履行充分安全保护义务的行为进行责令改正、警告、罚款等行政处罚。B公司还应立即采取补救措施，通知受影响的乘客和主管部门。六、论述题26.解析：在数字化时代，个人信息是重要的生产要素和创新资源，其保护与利用之间存在天然的张力。平衡二者关系，需构建多元共治的体系：1.立法层面：划定清晰边界，提供弹性空间。严格保护核心权益：通过《个人信息保护法》《数据安全法》等法律，确立以“告知-同意”为核心的处理规则，明确禁止非法收集、滥用个人信息，并对敏感信息、未成年人信息等给予特殊保护，划定不可逾越的红线。设置合理利用通道：法律应列举无需取得同意的例外情形（如履行合同、公共安全、公共利益等），为数据的合理利用提供合法性基础。同时，建立和完善匿名化、去标识化的技术标准和法律认定规则，鼓励在数据流通和利用前进行有效的匿名