2026年个人信息保护知识竞赛题库

2026年个人信息保护知识竞赛题库一、单选题（每题2分，共20题）1.根据《个人信息保护法》，以下哪项行为不属于敏感个人信息的处理范围？A.收集生物识别信息用于身份认证B.收集用户的出生日期用于市场分析C.收集用户的宗教信仰用于社会研究D.收集用户的职业信息用于招聘推荐答案：B解析：敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等，而出生日期不属于此类。2.某互联网公司要求用户在注册时提供“身份证照片+人脸识别信息”，这种做法是否合法？A.合法，因为有助于提升安全性B.不合法，未经用户同意不得收集敏感信息C.合法，但需明确告知用途D.不合法，仅能收集其中一项答案：B解析：身份证照片和人脸识别信息均属于敏感个人信息，必须获得用户“单独同意”，且明确告知处理目的。3.《个人信息保护法》规定，个人信息处理者对处理操作记录的保存期限不少于多少年？A.1年B.3年C.5年D.7年答案：C解析：法律要求保存不少于5年，或按照法律、行政法规规定保存。4.某企业将用户数据用于内部员工培训，是否需要取得用户同意？A.不需要，属于内部使用B.需要，属于“以处理个人信息为目的”C.不需要，但需匿名化处理D.视情况而定答案：B解析：内部使用若涉及用户个人信息，仍需符合法律要求，通常需告知用户并取得同意。5.跨境传输个人信息时，以下哪种情形可以免于进行个人信息保护影响评估？A.向境外提供者提供广告投放服务B.向香港特别行政区传输用于学术研究C.向澳门特别行政区传输用于政府统计D.向台湾地区传输用于商业合作答案：C解析：政府统计、学术研究等特定情形可豁免评估，但需符合其他条件。6.用户要求删除其在某电商平台留下的浏览记录，平台应在多少日内完成删除？A.7日内B.15日内C.30日内D.立即删除答案：B解析：法律要求在收到删除请求后15日内完成，若涉及第三方需额外说明。7.某医院将患者病历用于商业保险定价，是否需要取得患者同意？A.不需要，属于行业惯例B.需要，涉及敏感信息处理C.不需要，但需脱敏处理D.视保险机构要求答案：B解析：病历属于敏感个人信息，商业使用必须获得单独同意。8.个人信息处理者对员工访问用户数据的权限管理，应遵循什么原则？A.无差别授权B.最小必要原则C.任意授权D.业务需求优先答案：B解析：法律要求“按需获取”，即仅授予完成工作所必需的权限。9.某APP在用户首次使用时即弹出“同意协议才能使用”的按钮，这种做法是否合规？A.合规，符合行业惯例B.不合规，未明确告知信息处理规则C.合规，但需提供隐私政策链接D.不合规，需获得用户主动点击同意答案：B解析：同意必须是“明示同意”，且需清晰告知处理目的、方式等。10.个人信息处理者因安全事件泄露用户信息，应在多少小时内告知用户？A.12小时B.24小时C.48小时D.72小时答案：B解析：法律要求“及时通知”，通常指24小时内，特殊情况可延长。二、多选题（每题3分，共10题）1.以下哪些属于《个人信息保护法》中的“处理个人信息”行为？A.收集用户姓名和电话号码B.整合用户浏览数据用于用户画像C.删除用户已注册的账号信息D.基于用户位置推送广告答案：A、B、D解析：删除不属于“处理”，但收集、分析和推送均属于。2.个人信息处理者需制定应急预案的情形包括：A.数据泄露风险B.用户投诉量激增C.服务器遭受攻击D.法律法规更新答案：A、C解析：应急预案主要针对安全事件和法律合规要求。3.敏感个人信息的处理需满足哪些条件？A.获得单独同意B.具有充分的必要性C.采取严格保护措施D.向用户提供定期报告答案：A、B、C解析：法律要求单独同意、必要性原则、安全保护，定期报告非强制。4.个人信息处理者对用户请求的响应方式包括：A.口头告知B.书面回复C.电子邮件通知D.委托第三方代为处理答案：B、C解析：响应需“可验证”，口头或委托第三方不符合要求。5.跨境传输个人信息需满足哪些条件？A.用户提供明确同意B.境外接收方承诺提供同等保护C.存在安全传输机制D.传输行为符合国家政策答案：A、B、C解析：法律要求同意、等效保护、安全机制，政策合规视具体场景。6.个人信息处理者的“关键信息基础设施运营者”需履行哪些义务？A.定期进行安全评估B.建立数据备份机制C.对员工进行保密培训D.每年提交合规报告答案：A、B、C解析：基础设施运营者需强化安全责任，年度报告非强制。7.用户有哪些权利可以主张？A.查询个人信息处理情况B.要求限制或停止处理C.提起诉讼要求赔偿D.要求删除其账号答案：A、B、C、D解析：法律赋予用户知情、更正、删除、限制等权利。8.个人信息处理者对第三方共享数据的责任包括：A.签订数据共享协议B.监督第三方合规C.承担连带责任D.定期审计共享记录答案：A、B、D解析：连带责任需满足特定条件，非必然。9.哪些情形下可以“例外”处理个人信息？A.为订立劳动合同B.为履行法定义务C.为应对突发公共卫生事件D.为保护用户生命健康答案：A、B、C、D解析：法律列举的14种例外情形均适用。10.个人信息保护影响评估的内容包括：A.个人信息处理目的和方式B.对个人权益的影响C.风险防范措施D.跨境传输的合法性答案：A、B、C、D解析：评估需全面覆盖合法性、必要性、安全性等。三、判断题（每题2分，共10题）1.企业内部员工因工作需要访问用户数据，无需获得用户同意。答案：×解析：内部访问仍需遵循“按需获取”原则，并确保数据安全。2.用户注销账号后，企业仍可保留其个人信息用于统计分析。答案：√解析：法律允许在匿名化处理后保留数据，但需匿名化处理。3.APP通过弹窗诱导用户点击“同意隐私政策”，视为有效同意。答案：×解析：同意需“主动点击”，被动点击无效。4.医疗机构为患者治疗，可以无条件访问其全部病历信息。答案：√解析：治疗目的属于合法处理，但需确保信息安全。5.企业将用户数据传输至国外，无需进行安全评估。答案：×解析：跨境传输必须评估风险，除非适用豁免情形。6.未成年人个人信息处理需获得监护人同意。答案：√解析：法律要求对未成年人进行特殊保护。7.个人信息处理者可因“公共利益”拒绝用户删除请求。答案：×解析：删除请求原则上必须响应，公共利益需严格限定。8.企业为优化产品，可长期存储用户浏览记录。答案：√解析：只要符合合法、必要、安全原则，可存储但需定期清理。9.数据泄露后，企业未及时通知用户，可被处以罚款。答案：√解析：法律对未及时通知行为有处罚规定。10.用户授权企业使用其数据，企业可将数据转售给第三方。答案：×解析：转售需再次获得用户明确同意。四、简答题（每题5分，共5题）1.简述《个人信息保护法》中“告知同意”原则的具体要求。答案：-告知内容：处理目的、方式、信息种类、存储期限、权利、投诉途径等。-同意形式：主动点击同意，单独同意处理敏感信息。-特殊情形：法律规定的例外情形（如公共利益、急救）可不经同意。2.个人信息处理者如何履行“最小必要”原则？答案：-仅收集完成业务所必需的信息，避免过度收集。-定期审查数据留存期限，删除冗余数据。-对员工权限进行严格管控，实施“按需授权”。3.跨境传输个人信息需满足哪些条件？答案：-获得用户“单独同意”或满足法律豁免条件（如境外接收方承诺同等保护）。-采取加密、去标识化等技术措施确保数据安全。-境外接收方需满足“数据保护能力”要求。4.用户有哪些主要权利？如何行使？答案：-知情权：要求企业说明信息处理情况（如提供隐私政策）。-更正权：纠正错误或不完整的个人信息。-删除权：要求删除其账号及数据（除法定保留情形）。-限制权：要求暂停或停止处理其信息。-行使方式：书面、电子邮件或APP内申请。5.企业如何应对数据泄露事件？答案：-立即采取补救措施（如暂停服务、加密数据）。-评估泄露范围，判断是否需通知用户（通常24小时内）。-向监管机构报告，并告知用户可能存在的风险。-完善安全机制，防止类似事件再次发生。五、案例分析题（每题10分，共2题）1.某社交APP在用户注册时要求提供“身份证照片+人脸信息”，声称用于“实名认证+防作弊”，但未明确告知用于广告推送。用户投诉该APP违规，是否成立？答案：-不成立（若APP能证明：-照片和面部信息仅用于认证目的，未用于广告。-处理方式符合最小必要原则（仅认证所需）。-存在安全保护措施（如加密存储）。-成立（若APP未证明上述条件，则属于违规）：-敏感信息处理需“单独同意”，广告推送需另行授权。-未明确告知用途违反“告知同意”原则。2.某电商平台收集用户购物数据，用于“个性化推荐”，用户发现其浏览的竞品信息也被推荐，质疑平台过