2026年个人敏感信息保护与防泄露知识问答

2026年个人敏感信息保护与防泄露知识问答一、单选题（共10题，每题2分，共20分）1.根据《个人信息保护法》（2021年修订），以下哪项行为属于非法收集个人信息？A.电商平台在用户注册时明确告知信息用途并获取同意B.健康管理APP收集用户健康数据用于疾病预测研究，但未匿名化处理C.教育机构在征得家长同意后收集学生学籍信息用于教学分析D.公共场所安装监控摄像头用于治安管理2.某公司员工离职时，要求带走包含大量客户联系方式的Excel表格，该行为可能违反了哪项规定？A.《网络安全法》中关于数据跨境传输的规定B.《个人信息保护法》中关于离职员工数据脱敏处理的要求C.《反不正当竞争法》中关于商业秘密保护的规定D.《劳动合同法》中关于竞业限制的条款3.以下哪种加密方式最适合保护存储在个人电脑中的敏感文档？A.对称加密（如AES-256）B.非对称加密（如RSA）C.哈希加密（如MD5）D.Base64编码4.根据GDPR（欧盟通用数据保护条例），个人有权要求企业删除其数据，这一权利被称为？A.更正权B.删除权（“被遗忘权”）C.可携带权D.禁止自动化决策权5.某银行通过短信验证码验证用户身份，但用户发现验证码被截获导致账户被盗，该银行可能因以下哪项疏漏承担责任？A.未采用多因素认证（MFA）B.验证码发送过于频繁C.用户密码设置过于简单D.未提供实时风险监控6.《个人信息保护法》规定，敏感个人信息处理需取得个人“单独同意”，以下哪项不属于敏感个人信息？A.生物识别信息（如指纹、人脸数据）B.行踪轨迹信息C.用户的消费记录D.婚姻状况信息7.某企业将用户数据存储在第三方云服务商，为满足合规要求，应重点关注云服务商的哪项资质？A.ISO9001认证B.等级保护测评报告（如三级）C.ISO27001认证D.ISO14001认证8.个人在社交媒体上分享自己的家庭住址和行程安排，这种行为可能导致哪种安全风险？A.数据泄露B.网络诈骗C.法律诉讼D.系统瘫痪9.某公司内部文件管理系统设置了“最小权限原则”，以下哪项行为违反该原则？A.销售部员工只能访问其客户资料B.研发部主管可以访问所有部门的项目文档C.IT管理员有权访问所有系统日志D.人力资源部只能访问员工档案10.用户在使用某APP时，发现其位置信息被用于广告推送，但未明确告知，该行为违反了？A.《消费者权益保护法》B.《广告法》C.《网络安全法》D.《电子商务法》二、多选题（共5题，每题3分，共15分）1.个人敏感信息泄露的常见途径包括？A.电脑硬盘未加密B.网络钓鱼攻击C.社交媒体过度分享D.办公室文件随意放置E.软件系统漏洞2.根据《个人信息保护法》，企业需建立个人信息保护影响评估机制，以下哪些场景需进行评估？A.大规模收集用户健康数据用于AI模型训练B.通过第三方SDK获取用户位置信息C.对用户数据进行自动化决策（如信贷审批）D.停止运营APP但需继续存储用户数据E.举办线下活动收集参会者联系方式3.以下哪些措施能有效降低数据泄露风险？A.定期进行员工安全意识培训B.使用强密码策略并强制定期更换C.对敏感数据实施分级分类管理D.部署入侵检测系统（IDS）E.允许员工使用个人设备办公4.GDPR与《个人信息保护法》在数据主体权利方面有哪些共同点？A.被遗忘权B.知情权C.可携带权D.反自动化决策权E.授权撤回权5.企业应对数据泄露事件的处置流程应包括？A.立即断开受影响系统B.评估泄露范围和影响C.通知监管机构和受影响个人D.修复系统漏洞并加强监控E.向公众发布道歉声明三、判断题（共10题，每题1分，共10分）1.敏感个人信息处理时，只要获得用户同意即可豁免其他法律要求。（×）2.任何个人或组织均可合法访问政府部门的非公开数据。（×）3.用户有权要求企业删除其在APP中的浏览记录。（√）4.企业使用AI分析用户行为时，无需告知个人具体算法。（×）5.云存储服务商对用户数据负有保密义务，但用户需自行负责数据加密。（√）6.敏感个人信息的处理目的必须具有正当性，且限于实现目的的最小范围。（√）7.未成年人个人信息处理需经监护人同意，但无需获得其单独同意。（×）8.网络安全法规定，关键信息基础设施运营者需具备“等保三级”资质。（×）9.个人在公共场所使用Wi-Fi时，无需担心信息被窃取。（×）10.敏感个人信息的跨境传输必须获得数据出境安全评估。（√）四、简答题（共3题，每题5分，共15分）1.简述“被遗忘权”的具体内容和适用场景。2.企业如何通过技术手段保护个人生物识别信息？3.列举三种常见的网络钓鱼攻击手段及其防范措施。五、论述题（1题，10分）结合实际案例，分析企业在处理敏感个人信息时应如何平衡数据利用与隐私保护，并说明合规的关键措施。答案与解析一、单选题答案1.B解析：健康数据属于敏感个人信息，未经匿名化处理直接用于研究属于非法收集。2.B解析：离职员工带离公司数据属于数据脱敏处理不足，可能违反《个人信息保护法》。3.A解析：对称加密效率高，适合文件存储加密；非对称加密适用于传输加密；哈希加密不可逆，无法解密；Base64仅编码，不加密。4.B解析：GDPR明确赋予个人“被遗忘权”，即要求删除其个人数据。5.A解析：银行未采用多因素认证导致账户被盗，属于安全措施不足。6.C解析：消费记录属于一般个人信息，婚姻状况、生物识别、行踪轨迹均属敏感信息。7.C解析：等保测评是衡量云服务商数据安全能力的核心资质。8.B解析：过度分享个人信息易被不法分子利用实施诈骗。9.B解析：最小权限原则要求员工仅能访问必要数据，研发主管访问所有文档违反此原则。10.A解析：未明确告知用途收集位置信息，违反《消费者权益保护法》知情同意原则。二、多选题答案1.A,B,C,D解析：电脑未加密、钓鱼攻击、社交分享、文件随意放置均可能导致泄露。2.A,B,C,D解析：大规模收集敏感数据、第三方SDK、自动化决策、停止运营但仍存储数据均需评估。3.A,B,C,D解析：安全培训、强密码、分级管理、IDS均能降低风险；个人设备办公增加泄露风险。4.A,B,C,E解析：GDPR和《个人信息保护法》均支持被遗忘权、知情权、可携带权、授权撤回权；反自动化决策权仅GDPR明确。5.A,B,C,D解析：断开系统、评估影响、通知监管、修复漏洞是标准流程；道歉声明非强制性。三、判断题答案1.×解析：敏感信息处理需满足额外条件（如单独同意、必要性），不能仅凭同意。2.×解析：非公开数据受法律保护，需授权才能访问。3.√解析：浏览记录属于个人信息，用户有权要求删除。4.×解析：AI分析需告知算法原理及目的。5.√解析：云服务商负责存储安全，但加密需用户完成。6.√解析：敏感信息处理需目的明确且最小化。7.×解析：未成年人同意需经监护人同意，且需获得其单独同意（年龄达标）。8.×解析：关键信息基础设施运营者需通过等保测评，具体级别由行业决定。9.×解析：公共Wi-Fi易被监听，需使用VPN等保护措施。10.√解析：跨境传输需通过安全评估或认证。四、简答题答案1.“被遗忘权”内容及适用场景内容：个人有权要求企业删除其个人数据，包括删除链接或阻止访问。适用场景：如用户注销账户后仍保留数据，或数据被过度收集但已无必要。2.保护生物识别信息的技术手段-加密存储（如AES-256）；-匿名化处理（如差分隐私）；-访问控制（仅授权人员可访问）；-硬件安全（如生物识别芯片隔离存储）。3.网络钓鱼攻击手段及防范-邮件诈骗（伪造发件人地址）；-模拟银行/政府网站；-漏洞利用（如邮件客户端自动跳转）。防范：不点击不明链接、验证发件人身份、使用多因素认证。五、论述题答案平衡数据利用与隐私保护的措施案例：某互联网公司通过用户行为数据优化推荐算法，但因未明确告