2026年数据安全个人信息隐私敏感信息特别保护问答

2026年数据安全（个人信息/隐私/敏感信息）特别保护问答一、单选题（每题2分，共20题）1.根据《中华人民共和国个人信息保护法》（2026年修订版），以下哪种行为属于非法处理个人信息？A.因履行法定职责而处理已匿名化的个人信息B.为订立劳动合同而处理求职者的简历信息C.在获得用户明确同意的情况下，推送个性化广告D.处理已获取用户同意的公开渠道数据用于商业分析2.某电商平台在用户注册时要求提供生物识别信息（如指纹），依据《个人信息保护法》，该平台需满足以下哪项条件？A.仅在用户自愿提供时收集B.必须提供替代方案，且用户明确拒绝替代方案后才可收集C.仅在用户签署特别授权协议后收集D.仅在符合国际标准的情况下收集3.《个人信息保护法》规定，敏感个人信息处理需取得个人“单独同意”，以下哪项不属于敏感个人信息？A.生物识别信息B.行踪轨迹信息C.持有金融账户信息D.职业信息4.某企业因业务需要委托第三方处理个人信息，依据法律要求，以下哪项措施是必须的？A.与第三方签订数据保密协议B.要求第三方具有相应的数据安全认证C.定期审查第三方的数据处理活动D.以上所有5.用户拒绝提供非基本业务必需的个人信息，企业应如何处理？A.继续收集并告知不提供后果B.立即停止服务，但可保留已收集信息C.提供替代方案，不得强制收集D.按照默认设置处理，无需解释6.某医疗机构通过智能手环收集患者健康数据，依据《个人信息保护法》，以下哪项做法符合合规要求？A.直接将数据用于商业保险定价B.仅用于诊疗目的，并确保数据脱敏C.无需告知患者数据共享情况D.仅在患者去世后用于医学研究7.《个人信息保护法》规定，个人信息处理者应建立“通知-同意”机制，以下哪项描述最准确？A.通知必须以冗长条款涵盖所有场景B.同意必须通过点击按钮或勾选框明确获取C.通知内容需包含处理目的、方式、期限等D.同意可默认勾选，用户需主动取消8.某社交平台在用户使用“位置共享”功能时，以下哪项做法符合隐私保护要求？A.自动收集位置信息用于精准广告B.仅在用户主动开启时收集，并明确用途C.收集后默认用于用户画像分析D.仅向用户公开位置共享范围，不记录历史轨迹9.企业因安全事件泄露用户密码，依据《个人信息保护法》，以下哪项措施是法律要求的？A.24小时内通知用户B.72小时内向监管机构报告C.提供免费密码重置服务D.以上所有10.某银行通过面部识别技术验证客户身份，依据《个人信息保护法》，以下哪项是必要条件？A.获取客户明确同意，并提供替代验证方式B.仅在客户主动申请时使用C.无需告知客户数据存储地点D.仅用于交易验证，不用于其他场景二、多选题（每题3分，共10题）1.以下哪些行为属于《个人信息保护法》规定的“以告知-同意方式处理个人信息”？A.通过用户协议收集注册信息B.在App中设置隐私政策弹窗C.处理用户公开的社交媒体数据D.因履行法定职责处理已匿名化信息2.敏感个人信息的处理，以下哪些情形可以豁免单独同意要求？A.为订立、履行合同所必需B.为应对突发公共卫生事件C.依据法律、行政法规的规定D.用户主动授权用于第三方服务3.企业委托第三方处理个人信息时，以下哪些责任必须明确约定？A.数据使用范围B.数据安全保障措施C.保密义务及违约责任D.数据处理成果的归属4.个人信息处理者需建立“删除机制”，以下哪些情形需删除个人信息？A.用户撤回同意B.处理目的已实现C.法律规定删除期限届满D.用户死亡且无继续处理需求5.以下哪些属于《个人信息保护法》定义的“自动化决策”？A.信用评分系统B.推荐算法C.智能客服自动回复D.手动审核订单6.企业处理个人信息时，以下哪些情形需进行“影响评估”？A.处理敏感个人信息B.采用新数据处理技术C.处理量达到一定规模D.存在较高隐私风险7.用户对个人信息处理有异议时，以下哪些途径可维权？A.向企业投诉B.向监管机构举报C.依法提起诉讼D.申请个人信息保护委员会调解8.《个人信息保护法》对跨境传输个人信息有哪些要求？A.不得向境外提供，除非获得单独同意B.境外接收方需满足相应数据保护标准C.应进行安全评估，确保数据安全D.不得传输至未加入隐私保护协议的国家9.某科技公司通过摄像头收集用户行为数据，以下哪些做法需符合法律要求？A.明确告知数据用途并获取同意B.设置清晰的数据覆盖范围C.提供用户拒绝收集的选项D.定期删除非必要的收集数据10.《个人信息保护法》对“匿名化处理”有哪些要求？A.无法识别到特定个人B.通过技术处理无法复原C.处理目的需符合合法正当原则D.需进行安全存储，防止逆向识别三、判断题（每题2分，共15题）1.企业可以通过用户注册协议自动获得处理个人信息的权利。（×）2.敏感个人信息的处理，用户可随时撤回同意。（√）3.个人信息处理者需记录数据处理活动，但无需向用户公开。（×）4.已匿名化的个人信息不属于法律保护范围。（×）5.企业可通过默认勾选的方式获取用户同意处理非必要信息。（×）6.个人死亡后，其个人信息处理需获得近亲属同意。（√）7.跨境传输个人信息时，可无需进行安全评估。（×）8.自动化决策必须保证透明度，用户有权拒绝。（√）9.企业处理个人信息时，可优先考虑商业利益。（×）10.敏感个人信息的处理目的必须具有正当性。（√）11.个人信息处理者需对员工进行隐私保护培训。（√）12.用户有权访问其个人信息，但企业可设置收费。（×）13.第三方服务提供商可自行使用委托方提供的个人信息。（×）14.数据泄露后，企业可隐瞒不报。（×）15.个人信息的处理必须具有明确、合理的目的。（√）四、简答题（每题5分，共5题）1.简述《个人信息保护法》中“告知-同意”原则的核心要求。（需包含目的明确、方式合法、同意具体等要素）2.敏感个人信息的处理需满足哪些特殊条件？（需包含单独同意、特定目的、必要措施等）3.企业如何建立个人信息跨境传输的合规机制？（需包含法律依据、安全评估、协议约定等）4.个人信息处理者如何应对数据泄露事件？（需包含通知用户、报告监管、补救措施等）5.用户有哪些主要的数据权利？企业应如何保障？（需包含访问、更正、删除等权利及实现方式）五、案例分析题（每题10分，共2题）1.某电商平台在用户注册时强制要求提供手机号验证码，并声称“不提供将无法使用服务”。问题：该做法是否合规？如不合规，需如何修正？（需结合法律条款分析）2.某医疗机构将患者病历数据用于商业健康险定价，未取得患者单独同意。问题：该行为违反了哪些法律规定？医疗机构需承担哪些责任？（需结合跨境传输、敏感信息处理等条款分析）答案与解析一、单选题答案与解析1.D解析：《个人信息保护法》规定，处理个人信息应具有明确、合理的目的，不得过度处理。公开渠道数据虽公开，但商业性使用仍需用户同意。2.B解析：生物识别信息属于敏感个人信息，处理需提供替代方案，且用户明确拒绝后才可收集，符合最小必要原则。3.D解析：职业信息不属于敏感个人信息范畴，其他选项均属于敏感信息。4.D解析：委托处理需签订协议、审查第三方资质、定期审查，缺一不可。5.C解析：非必需信息不得强制收集，应提供替代方案，符合用户自主权原则。6.B解析：健康数据仅用于诊疗目的且脱敏，符合合规要求。其他选项均涉及不当处理。7.C解析：通知需明确处理目的、方式、期限等，同意需具体、明确。8.B解析：位置共享需用户主动开启并明确用途，符合最小必要原则。9.D解析：法律要求24小时通知用户、72小时报告监管、提供补救措施。10.A解析：面部识别需明确同意并提供替代方案，符合用户自主选择权。二、多选题答案与解析1.A、B解析：用户协议和隐私政策弹窗属于告知同意方式，公开数据和非公开处理不属于。2.A、B、C解析：合同必要、应急、法定要求可豁免同意，用户主动授权不在此列。3.A、B、C解析：委托处理需明确使用范围、安全措施、保密责任，成果归属非核心条款。4.A、B、C、D解析：撤回同意、目的实现、法定期限、无继续需求均需删除。5.A、B、D解析：信用评分、推荐算法、自动回复属于自动化决策，手动审核不属于。6.A、B、C、D解析：敏感信息、新技术、大规模处理、高风险情形均需评估。7.A、B、C、D解析：企业投诉、监管举报、诉讼、调解均为合法维权途径。8.B、C、D解析：境外接收方需合规、进行安全评估、避免传输高风险国家，无需单独同意。9.A、B、C、D解析：收集需告知同意、覆盖范围清晰、提供拒绝选项、定期删除非必要数据。10.A、B、C解析：匿名化需无法识别、技术处理不可复原、目的合法，存储安全非核心要求。三、判断题答案与解析1.（×）解析：用户协议不能自动获得非必要信息处理权，需单独同意。2.（√）解析：敏感信息处理需单独同意，可随时撤回。3.（×）解析：处理者需记录活动并定期向用户或监管机构报告。4.（×）解析：匿名化信息仍受保护，但适用例外规则。5.（×）解析：默认勾选违反用户自主权，需明确选择。6.（√）解析：死亡后个人信息处理需近亲属同意或遗嘱授权。7.（×）解析：跨境传输需法律依据、安全评估、协议约定。8.（√）解析：自动化决策需透明，用户有权拒绝。9.（×）解析：处理个人信息应优先保障用户权益，而非商业利益。10.（√）解析：敏感信息处理目的需具有正当性、必要性。11.（√）解析：企业需对员工进行常态化隐私保护培训。12.（×）解析：用户访问权免费，企业不得收费。13.（×）解析：第三方需按委托方约定使用信息，不得擅自处理。14.（×）解析：数据泄露需及时通知用户和监管机构。15.（√）解析：处理目的需明确合理，符合合法正当原则。四、简答题答案与解析1.“告知-同意”原则核心要求：-处理目的明确，不得模糊或泛化；-告知内容全面，包括处理方式、存储期限、接收方等；-同意方式具体，不得默认勾选或捆绑同意；-用户有权撤回同意，且撤回不影响已处理数据的合法性。2.敏感个人信息处理特殊条件：-获取个人单独同意；-处理目的具有正当性（如履行合同、法定职责）；-采取严格的安全保护措施；-前提是处理目的具有必要性，不得随意扩大范围。3.跨境传输合规机制：-确保境外接收方所在国家或地区具有充分的数据保护水平（如通过标准合同条款、充分性认定）；-对跨境传输进行安全评估，识别并消除隐私风险；-与境外接收方签订约束性协议，明确数据使用范围和责任；-记录跨境传输情况并定期审查。4.数据泄露应对措施：-立即采取补救措施，防止泄露扩大；-评估泄露影响，确定是否需通知用户；-按规定时限通知用户和监管机构；-提供补救服务（如信用修复、免费安全服务）；-进行内部调查，改进数据安全措施。5.用户主要权利及企业保障：-访问权：用户可查阅自身信息，企业需提供便捷方式；-更正权：用户可请求更正错误信息，企业需及时处理；-删除权：用户可要求删除信息，企业需按法定情形执行；-限制处理权：用户可要求限制处理，企业需暂停或删除；-可携带权：用户可要求将信息转移至第三方，企业需提供支持。企业需建立流程保障用户行使权利，如设立专门部门、提供在线申请渠道等。五、案例分析题答案与解析1.电商平台强制要求手机号验证码不合规。修正措施：-不得将手机号验证码作为注册的强制条件；-提供替代方案（如邮箱验证、第三方认证）；-若确需