2026年敏感个人信息处理特殊规定试题

2026年敏感个人信息处理特殊规定试题一、单选题（每题2分，共20题）说明：本部分考查对敏感个人信息处理特殊规定的理解，请选择最符合题意的选项。1.根据规定，以下哪类信息属于《个人信息保护法》定义的“敏感个人信息”？A.身份证号码B.电子邮箱地址C.宗教信仰D.联系方式2.处理敏感个人信息时，企业必须取得个人的“单独同意”，以下哪项表述最准确？A.单独同意可以与其他业务同意合并提出B.单独同意无需明确说明处理目的和方式C.单独同意必须以显著方式提醒个人注意D.单独同意可以口头形式获取3.医疗机构处理患者的遗传信息时，以下哪种情形无需取得单独同意？A.用于临床诊断B.用于医学研究C.向保险公司提供用于理赔D.用于患者健康档案管理4.敏感个人信息的处理目的必须是“明确、具体、合法”，以下哪项目的不被视为合法？A.维护网络安全B.提升产品功能C.进行商业营销D.保护个人生命健康5.敏感个人信息的处理需要“最小必要原则”，以下哪项做法不符合该原则？A.仅收集诊疗必需的遗传信息B.将宗教信仰信息用于用户画像C.仅在用户主动授权时获取生物识别信息D.仅在法律要求时披露个人财务信息6.企业在处理敏感个人信息时，若需要委托第三方处理，必须满足什么条件？A.第三方具有相关行业资质B.企业对第三方有绝对控制权C.第三方同意支付高额服务费D.第三方处理目的与企业一致7.敏感个人信息的跨境传输需要满足什么条件？A.传输方国家法律允许B.接收方国家承诺保护数据安全C.企业有经济利益驱动D.个人同意即可无需其他条件8.敏感个人信息的存储期限必须“严格限制”，以下哪种做法可能违反该规定？A.遗传信息仅存储至医疗需要结束B.宗教信仰信息永久存储用于用户分析C.生物识别信息存储期限不超过3年D.财务信息存储至法律规定的最短期限9.敏感个人信息的删除要求中，以下哪项表述不准确？A.个人有权要求删除其敏感信息B.企业需在收到请求后30日内完成删除C.删除范围仅限于企业已处理的信息D.删除操作需通知相关监管机构10.敏感个人信息泄露时，企业需采取什么措施？A.仅向内部通报B.24小时内通知个人并采取补救措施C.等待监管部门要求后才处理D.推迟通知以避免恐慌二、多选题（每题3分，共10题）说明：本部分考查对敏感个人信息处理特殊规定的综合理解，请选择所有符合题意的选项。1.以下哪些属于《个人信息保护法》明确列举的敏感个人信息？A.生物识别信息B.行踪轨迹信息C.财务账户信息D.宗教信仰2.处理敏感个人信息时，企业需履行哪些义务？A.明确处理目的和方式B.采取加密等技术措施C.定期进行安全评估D.向个人提供查阅复制选项3.医疗机构处理敏感个人信息时，以下哪些情形需取得个人单独同意？A.将遗传信息用于商业合作B.向境外机构提供患者病历C.用于内部员工培训D.用于公共卫生统计4.敏感个人信息的“最小必要原则”要求企业做到什么？A.仅收集与处理目的直接相关的信息B.避免过度收集C.确保信息用于单一目的D.尽可能使用匿名化处理5.敏感个人信息的跨境传输需满足哪些条件？A.接收方国家承诺保护数据安全B.企业与接收方签订约束协议C.个人同意传输敏感信息D.跨境传输符合国家政策6.敏感个人信息的存储期限需满足什么要求？A.不超过实现处理目的所需的最短时间B.法律规定情形除外C.企业可自行延长存储期限D.删除前需重新评估必要性7.敏感个人信息泄露时，企业需承担哪些责任？A.及时通知个人并采取补救措施B.向监管部门报告C.赔偿个人损失D.对员工进行内部追责8.敏感个人信息的删除要求中，以下哪些表述正确？A.个人有权要求删除其敏感信息B.企业需在收到请求后15日内完成删除C.删除范围包括所有处理环节D.删除操作需通知相关监管机构9.敏感个人信息的处理需“目的明确”，以下哪些目的不被视为合法？A.进行商业营销B.维护网络安全C.进行用户画像D.保护个人生命健康10.敏感个人信息的“单独同意”需满足什么要求？A.以显著方式提醒个人注意B.明确说明处理目的和方式C.个人可随时撤回同意D.可以与其他业务同意合并提出三、判断题（每题2分，共10题）说明：本部分考查对敏感个人信息处理特殊规定的正误判断，请选择“正确”或“错误”。1.敏感个人信息可以与其他非敏感个人信息合并处理，无需单独同意。（）2.医疗机构为患者治疗可以不经同意处理其遗传信息。（）3.敏感个人信息的跨境传输必须符合国家政策，个人同意不是必要条件。（）4.敏感个人信息的存储期限可以无限期延长，只要企业有合理理由。（）5.敏感个人信息泄露时，企业只需向监管部门报告，无需通知个人。（）6.敏感个人信息的删除请求必须由个人书面提出，口头无效。（）7.敏感个人信息的处理需“目的明确”，但可以随时变更处理目的。（）8.敏感个人信息的“单独同意”可以口头形式获取，只要企业有记录。（）9.敏感个人信息的处理必须采取加密等技术措施，否则即违法。（）10.敏感个人信息的跨境传输可以豁免，只要接收方国家法律允许。（）四、简答题（每题5分，共4题）说明：本部分考查对敏感个人信息处理特殊规定的综合应用能力，请简明扼要回答。1.简述敏感个人信息的“单独同意”要求。2.敏感个人信息的跨境传输需满足哪些条件？3.敏感个人信息的存储期限需满足什么要求？4.敏感个人信息泄露时，企业需采取哪些措施？五、案例分析题（每题10分，共2题）说明：本部分考查对敏感个人信息处理特殊规定的实际应用能力，请结合案例回答问题。1.案例：某互联网公司开发了一款健康监测APP，需收集用户的生物识别信息（如指纹、面部特征）用于身份验证和健康分析。公司声称“用户自愿选择是否提供信息”，但未明确说明处理目的和方式，也未单独获取用户同意。问题：该公司处理用户生物识别信息的行为是否合法？为什么？2.案例：某医院将患者的遗传信息提供给一家医药公司用于药物研发，未取得患者单独同意，也未与医药公司签订约束协议。后因存储设备泄露，部分遗传信息被公开。问题：该医院需承担哪些法律责任？应如何补救？答案与解析一、单选题答案与解析1.C解析：宗教信仰属于敏感个人信息，因其可能影响个人的社会评价或遭受歧视。身份证号码、电子邮箱地址、联系方式属于一般个人信息。2.C解析：单独同意必须以显著方式提醒个人注意，不能与其他业务同意合并提出。单独同意需明确说明处理目的和方式，且个人可随时撤回。3.D解析：用于患者健康档案管理属于常规诊疗活动，无需单独同意；但用于商业研究、境外传输或向第三方提供需单独同意。4.C解析：商业营销目的不被视为合法处理敏感个人信息，因其可能引发不当风险。其他选项均属于合法目的。5.B解析：将宗教信仰信息用于用户画像可能过度收集，不符合最小必要原则。其他选项均符合必要性要求。6.A解析：委托第三方处理需确保第三方具有相关行业资质，并签订约束协议。企业无绝对控制权，且经济利益不是核心要求。7.B解析：跨境传输需满足接收方国家承诺保护数据安全、企业签订约束协议等条件，个人同意不是充分条件。8.B解析：宗教信仰信息不得永久存储，必须严格限制存储期限。其他选项均符合规定。9.C解析：删除范围包括所有处理环节，包括企业已处理和未处理的信息。其他选项表述准确。10.B解析：敏感信息泄露时，企业需24小时内通知个人并采取补救措施。其他选项表述不准确。二、多选题答案与解析1.A、D解析：生物识别信息和宗教信仰属于敏感个人信息。行踪轨迹信息和财务账户信息属于一般个人信息。2.A、B、C、D解析：企业需明确处理目的、采取技术措施、定期评估、提供查阅复制选项等。3.A、B解析：将遗传信息用于商业合作或境外传输需单独同意；内部培训或统计不属于敏感处理。4.A、B、C解析：最小必要原则要求收集与处理目的直接相关、避免过度收集、确保用于单一目的。匿名化处理是辅助手段，非必须。5.A、B、C解析：跨境传输需满足接收方国家承诺保护数据安全、企业签订约束协议、个人同意等条件。国家政策不是豁免条件。6.A、B解析：存储期限不超过实现处理目的所需的最短时间，法律另有规定的除外。企业不能自行无限延长。7.A、B、C解析：企业需及时通知个人、向监管部门报告、赔偿损失。内部追责是管理措施，非法律义务。8.A、C、D解析：个人有权要求删除、删除范围包括所有处理环节、需通知监管机构。15日内完成删除是推荐时限，非强制。9.A、C解析：商业营销和用户画像不属于合法处理目的。维护网络安全、保护生命健康属于合法目的。10.A、B、C解析：单独同意需显著提醒、明确说明目的方式、个人可随时撤回。不能与其他同意合并提出。三、判断题答案与解析1.错误解析：敏感个人信息必须单独处理，不能与其他信息合并。2.错误解析：处理遗传信息需单独同意，否则即违法。3.错误解析：跨境传输必须符合国家政策，个人同意不是充分条件。4.错误解析：存储期限不能无限延长，必须严格限制。5.错误解析：泄露时必须通知个人，否则即违法。6.错误解析：可书面或口头提出，书面更规范。7.错误解析：处理目的变更需重新取得单独同意。8.错误解析：必须书面形式，口头无效。9.错误解析：需采取必要措施，但非绝对要求。10.错误解析：必须符合国家政策，不能仅凭接收方法律。四、简答题答案与解析1.敏感个人信息的“单独同意”要求：-必须以显著方式提醒个人注意；-明确说明处理目的、方式、期限等；-个人可随时撤回同意；-不能与其他业务同意合并提出。2.敏感个人信息的跨境传输条件：-接收方国家承诺保护数据安全；-企业与接收方签订约束协议；-个人同意传输敏感信息；-符合国家政策（如安全评估、认证等）。3.敏感个人信息的存储期限要求：-不超过实现处理目的所需的最短时间；-法律规定情形除外；-删除前需重新评估必要性；-企业不能自行无限延长。4.敏感个人信息泄露时的措施：-及时通知个人并采取补救措施；-向监管部门报告；-评估泄露影响并改进安全措施；-赔偿个人损失（如造成损害）。五、案例