2026年数据安全法与个人信息保护法公民防护知识题库

2026年数据安全法与个人信息保护法公民防护知识题库选择题（共10题，每题2分）1.根据新修订的《中华人民共和国数据安全法》，以下哪项属于关键信息基础设施运营者的义务？（）A.仅需确保核心数据不出境B.建立数据分类分级保护制度，并定期进行风险评估C.仅需对员工进行数据安全意识培训D.委托第三方机构全权负责数据安全防护答案：B解析：新修订的《数据安全法》第三十四条规定，关键信息基础设施运营者应当履行数据分类分级保护义务，建立数据安全风险评估、监测预警和信息通报制度。选项A错误，数据出境需经国家网信部门安全评估；选项C不全面，需结合技术措施和管理制度；选项D错误，主体责任不可转移。2.《个人信息保护法》规定，处理敏感个人信息需取得个人明确同意，以下情形中可以例外的是？（）A.为订立、履行合同所必需，且个人无法从其他来源获得该信息B.为应对突发公共卫生事件而采取必要措施C.个人自行向处理者提供D.为制定科学决策进行统计分析答案：C解析：根据《个人信息保护法》第五十九条，处理敏感个人信息需取得个人单独同意，但法律、行政法规另有规定的除外。选项B属于公共利益强制处理情形；选项A需确保同意方式充分告知；选项D需进行专业主义评估，但通常仍需同意。唯一无需单独同意的是个人主动提供。3.某企业因系统漏洞导致用户密码泄露，依据《数据安全法》，该企业应如何处置？（）A.仅向用户发送邮件通知，无需履行其他义务B.评估影响后，仅向省级网信部门报告C.立即采取补救措施，并告知用户和可能受影响的政府部门D.等待用户投诉后再启动响应程序答案：C解析：《数据安全法》第四十四条规定，发生数据安全事件时，应立即采取补救措施，并依法向有关主管部门报告。涉及个人信息泄露需同时通知用户，敏感数据需向网信部门报告。选项A、B、D均违反及时性原则。4.某境外企业在中国境内收集用户信息，依据《个人信息保护法》，其合法性基础可能不包括？（）A.用户提供个人书面授权B.为提供商品或服务所必需C.个人同意处理其公开信息D.依据《数据安全法》经国家网信部门批准的数据出境方案答案：D解析：《个人信息保护法》第六十一条规定境外处理者需满足的条件，包括通过国家网信部门安全评估（非批准）、签订标准合同等。数据出境需同时满足《数据安全法》和《个保法》要求，但“批准”表述错误，应为“安全评估”。5.《个人信息保护法》中的“自动化决策”不包括？（）A.信用评分系统B.商品推荐算法C.自动审批贷款申请D.基于地理位置的精准广告推送答案：A解析：自动化决策是指基于算法自动做出对个人权益有重大影响的决定，信用评分属于传统金融风控手段，虽可能影响权益但非典型自动化决策。其他选项均属于算法驱动行为。6.某医疗机构未经患者同意将诊疗记录用于医学研究，违反了《个人信息保护法》的哪个条款？（）A.第十条（处理原则）B.第三十一条（敏感个人信息处理）C.第五十条（医疗健康信息处理）D.第五十七条（跨境传输规定）答案：C解析：《个保法》第五十条明确禁止医疗机构超出诊疗目的处理个人信息，除非获得单独同意或法律授权。选项A是总原则，选项B仅限敏感信息，选项D与本案无关。7.新修订的《数据安全法》中，关于“数据分类分级”的强制性要求主要针对？（）A.所有企业存储的数据B.关键信息基础设施运营者处理的数据C.仅涉及个人隐私的数据D.境外企业传输的数据答案：B解析：第三十四条规定关键信息基础设施运营者必须实施分类分级保护，其他类型数据处理者仅作推荐性规定。选项C、D错误，分类分级非仅限特定类型数据。8.《个人信息保护法》规定，个人有权撤回同意，但以下哪种情形例外？（）A.处理目的已实现B.处理已影响个人权益C.处理行为已开始D.撤回同意对公共利益造成重大影响答案：D解析：第五十四条明确撤回同意的例外情形，包括法律授权或为订立、履行合同所必需且无法替代。选项A、B、C均属可撤回情形。9.某电商平台声称用户数据“匿名化处理”后用于风控，依据《个保法》需满足什么条件？（）A.用户提供明确同意B.无法识别到特定个人且不能复原C.仅向合作机构提供D.经第三方专业机构认证答案：B解析：第二十八条定义匿名化处理需达到“去标识化”标准，即无法关联到特定个人且无复原可能。其他选项非法定要求。10.新《数据安全法》中，关于“数据安全负责人”的规定适用于？（）A.所有企业高管B.关键信息基础设施运营者及处理敏感个人信息的机构C.数据出境的境外企业D.任何有数据活动的组织答案：B解析：第三十九条规定关键信息基础设施运营者及处理敏感个人信息的组织需设置安全负责人，并非普适性职位。判断题（共10题，每题2分）1.《个人信息保护法》规定，处理个人信息的目的必须具有正当性，但商业营销不属于正当目的。（×）2.数据出境需同时满足《数据安全法》和《个保法》要求，但两者标准完全一致。（×）3.敏感个人信息处理时，用户同意可以是附带于其他服务条款中的。（×）4.《数据安全法》规定，因安全事件造成用户财产损失的，企业需承担赔偿责任。（√）5.医疗机构为疫情防控需要，可以无条件收集患者基因信息。（×）6.企业将用户数据用于内部培训，若不对外提供，无需遵守《个保法》。（×）7.个人信息处理者必须记录处理活动，但可选择性披露给监管机构。（×）8.数据安全风险评估是《数据安全法》的强制性要求，但《个保法》未提及。（×）9.境外处理者在中国境内设立代表机构，即可免于《个保法》的合规义务。（×）10.自动化决策中，若用户提出质疑，企业必须停止该决策。（√）答案：1.×2.×3.×4.√5.×6.×7.×8.×9.×10.√简答题（共5题，每题4分）1.简述《个人信息保护法》中“告知-同意”原则的核心要求。答：核心要求包括：①以显著方式告知处理目的、方式、种类等；②同意需明确、单独作出；③不得以默认勾选等方式变相强迫同意；④同意可撤回，撤回不影响已处理信息的合法性。2.新《数据安全法》中，关键信息基础设施运营者需建立哪些数据安全管理制度？答：包括数据分类分级、风险评估、监测预警、应急处置、安全审计等制度，并定期进行安全教育和培训。3.《个人信息保护法》对“目的限制”原则如何规定？答：处理个人信息必须有明确、合理的目的，不得超出该目的范围；若需变更目的，必须重新获得单独同意。4.企业在处理境外用户数据时，需满足《个保法》的哪些特殊要求？答：①需向用户提供跨境传输告知；②若传输至无adequacy机制国家，需通过安全评估或标准合同；③需制定境外数据安全预案。5.《数据安全法》中，数据安全事件应急处置的基本流程是什么？答：①立即采取补救措施（如断开连接）；②评估影响范围；③向主管部门报告；④通知受影响主体（如个人信息泄露）；⑤持续监测并完善防护。案例分析题（共3题，每题10分）1.场景：某电商平台要求用户在注册时必须提供身份证号，否则无法使用核心功能。问题：该做法是否合规？若违规，如何改正？答：不合规。依据《个保法》第十七条规定，处理个人信息应具有明确目的且为提供商品或服务所必需，该平台将身份证号作为使用必要条件属于强制同意。改正方案：①提供替代身份验证方式（如手机验证码）；②明确告知非必需，但需提示对平台功能的影响。2.场景：某医疗机构将患者诊疗记录用于商业保险理赔风控，未取得单独同意。问题：依据《个保法》，该机构需承担哪些法律责任？答：需承担以下责任：①停止侵害（暂停使用记录）；②承担行政罚款（最高50万）；③若涉及非法获利，需没收违法所得；④若造成患者损害，需赔偿损失。依据第五十八条，处理敏感个人信息需单独同意，否则属违法行为。3.场景：某