2026年个人信息保护合规考试试题及答案

2026年个人信息保护合规考试试题及答案一、单项选择题（每题2分，共20分）1.根据《个人信息保护法》，个人信息处理者处理个人信息时，以下哪项不属于“最小必要”原则的要求？A.收集的个人信息类型与处理目的直接相关B.收集的个人信息数量为实现处理目的所必需的最少C.存储个人信息的时间为实现处理目的所必需的最短D.向第三方提供个人信息时需获得单独同意答案：D（“最小必要”原则侧重处理范围的必要性，单独同意属于告知同意规则的要求）2.某金融机构拟处理15周岁未成年人的个人信息，根据规定，应当取得以下哪类主体的同意？A.未成年人本人B.未成年人的父母或其他监护人C.未成年人所在学校D.未成年人户籍所在地居委会答案：B（《个人信息保护法》第三十一条规定，处理不满十四周岁未成年人个人信息的，应当取得其父母或其他监护人的同意；已满十四周岁未满十八周岁的，参照前款规定）3.以下哪类信息不属于《个人信息保护法》规定的“敏感个人信息”？A.生物识别信息B.健康信息C.行踪轨迹信息D.学历信息答案：D（敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等，学历信息属于一般个人信息）4.个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的，应当：A.直接转移，无需告知个人B.向个人告知接收方的名称或姓名、联系方式、处理目的、处理方式等C.仅需内部记录转移情况D.经接收方书面确认即可答案：B（《个人信息保护法》第二十二条规定，转移个人信息需向个人告知接收方的相关信息，并确保接收方处理个人信息的活动符合法律规定）5.个人信息跨境提供时，以下哪项不是必须满足的条件？A.通过国家网信部门组织的安全评估B.按照国家网信部门的规定经专业机构进行个人信息保护认证C.与境外接收方订立书面协议，约定双方的权利和义务D.向个人告知跨境提供的必要性以及接收方的基本信息答案：C（根据《个人信息保护法》第三十八条，跨境提供需满足安全评估、认证、标准合同等条件之一；订立书面协议是标准合同的要求，但非必须条件）二、多项选择题（每题3分，共15分，少选、错选均不得分）1.个人信息处理者应当履行的合规义务包括：A.制定内部管理制度和操作规程B.对个人信息处理活动定期进行合规审计C.在发生个人信息泄露时，立即采取补救措施并通知履行个人信息保护职责的部门和个人D.公开个人信息处理规则答案：ABCD（《个人信息保护法》第五十一条、第五十七条、第十七条对此有明确规定）2.个人信息处理者向个人告知的内容应当包括：A.个人信息的处理目的、处理方式B.个人信息的种类、保存期限C.个人行使查阅、复制、删除等权利的方式和程序D.个人信息处理者的联系方式答案：ABCD（《个人信息保护法》第十七条规定，告知内容需包含处理目的、方式、种类、保存期限、权利行使方式及处理者联系方式等）3.以下属于敏感个人信息的有：A.13周岁儿童的个人信息B.某患者的病历信息C.某用户的手机定位轨迹D.某公务员的职务信息答案：BC（A为未成年人信息，需特殊处理但非敏感信息；D为职务信息，属于一般个人信息；B为医疗健康信息，C为行踪轨迹信息，均属敏感信息）4.个人信息处理者开展合规审计时，应当重点审查：A.个人信息处理活动是否符合法律、行政法规的规定B.个人信息处理规则的公开情况C.个人信息保护措施的有效性D.个人信息泄露应急处置机制的完备性答案：ABCD（参考《个人信息保护法》第五十一条，合规审计需覆盖合法性、公开性、保护措施及应急机制）5.以下哪些情形，个人信息处理者无需取得个人同意？A.为应对突发公共卫生事件，必要时处理个人信息B.为公共利益实施新闻报道，合理处理个人信息C.处理已合法公开的个人信息（个人明确拒绝的除外）D.用于个人信息主体自行公开的信息答案：ABC（《个人信息保护法》第十三条规定了无需同意的情形，包括公共卫生事件、新闻报道、已合法公开信息等；D选项表述不严谨，需结合具体场景判断）三、判断题（每题2分，共10分，正确填“√”，错误填“×”）1.个人信息经过匿名化处理后，不再适用《个人信息保护法》。（）答案：√（匿名化处理后的信息无法识别特定自然人，不属于个人信息）2.个人信息处理者可以将“同意处理个人信息”作为提供服务的必要条件。（）答案：×（《个人信息保护法》第十六条规定，不得因个人不同意处理其个人信息而拒绝提供产品或服务，除非处理是提供服务所必需）3.个人信息跨境提供时，必须通过国家网信部门的安全评估。（）答案：×（跨境提供可选择安全评估、认证或标准合同等任一方式）4.处理16周岁未成年人的个人信息，只需取得其本人同意即可。（）答案：×（《个人信息保护法》第三十一条规定，处理不满十四周岁未成年人信息需监护人同意；已满十四周岁的，参照前款规定，实践中仍建议取得监护人同意或确认）5.个人信息处理者内部不同部门共享个人信息的，无需向个人告知。（）答案：×（内部共享属于处理活动的一部分，需在处理规则中告知共享的情况）四、案例分析题（共55分）案例1（15分）：某电商平台为优化用户体验，拟收集用户的“购物偏好、搜索记录、设备型号、地理位置”四类信息。平台在隐私政策中仅笼统表述“为提升服务质量，收集必要的用户信息”，未明确具体信息类型及处理方式。用户注册时需勾选“同意隐私政策”方可使用服务。问题：该平台的做法存在哪些合规风险？应如何整改？答案：合规风险：（1）未履行充分告知义务：《个人信息保护法》第十七条要求告知个人信息的处理目的、方式、种类等，平台未明确具体信息类型及处理方式，属于告知不充分。（2）强制同意：用户需勾选同意方可使用服务，违反“不得因不同意处理个人信息而拒绝提供服务”的规定（第十六条），除非处理是服务必需，但平台未证明“购物偏好、搜索记录”等信息是服务必需。整改措施：（1）在隐私政策中明确列出收集的信息类型（购物偏好、搜索记录等）、处理目的（优化用户体验）、处理方式（分析用户行为）等具体内容；（2）区分“必要信息”与“可选信息”，对非必要信息（如地理位置）提供单独勾选同意选项，不将同意作为使用基础服务的前提。案例2（20分）：某医疗APP为开发健康管理功能，拟处理用户的“病历信息、遗传信息、用药记录”（均为敏感个人信息）。APP在注册页面以小字提示“同意即授权收集健康相关信息”，未单独说明敏感信息的处理目的、必要性及风险。用户同意后，APP将部分数据提供给合作的第三方健康研究机构，未告知用户接收方信息。问题：分析该APP处理敏感个人信息及数据共享的合规性。答案：（1）敏感个人信息处理不合规：根据《个人信息保护法》第二十九条，处理敏感个人信息应取得个人的单独同意，并告知处理的必要性以及对个人权益的影响。APP仅以小字提示“健康相关信息”，未单独说明敏感信息的处理目的、必要性及风险，未取得单独同意，违反规定。（2）数据共享不合规：根据第二十三条，向第三方提供个人信息需向个人告知接收方的名称、处理目的、方式等，并取得单独同意（第十七条）。APP未告知用户接收方信息，也未取得单独同意，属于违规提供个人信息。案例3（20分）：某教育机构拟将存储在境内的学生个人信息（含姓名、成绩、联系方式）传输至境外母公司用于教学研究。机构未进行安全评估或认证，仅与境外母公司签订了内部数据共享协议，未向学生及家长告知跨境传输事宜。问题：该教育机构的跨境数据传输行为是否合规？说明理由及合规路径。答案：不合规。理由：根据《个人信息保护法》第三十八条，个人信息跨境提供需满足以下条件之一：通过国家网信部门安全评估；经专业机构认证；订立标准合同；法律、行政法规或国家网信部门规定的其他条件。教育机构仅签订内部协议，未满足上述任一条件，且未向个人告知跨境传输的必要性、接收方信息等（第十七条），违反规定。合规路径：（1）履行告知义务：向学生及家长