2026年法学个人信息保护试题及答案

2026年法学个人信息保护试题及答案一、单项选择题（每题2分，共20分）1.根据《个人信息保护法》及相关司法解释，下列哪一行为不属于“个人信息处理”的范畴？A.电商平台对用户搜索记录进行匿名化处理后用于市场分析B.医院将患者诊疗信息提供给保险机构用于理赔审核C.社交软件自动提供用户年度活动报告并推送D.公安机关为侦查犯罪调取公民通信记录答案：A解析：匿名化处理后的信息不再识别特定自然人，不属于个人信息处理（《个人信息保护法》第4条第2款）。2.某健身APP在用户注册时要求提供身份证号、银行卡信息、婚姻状况等，用户拒绝提供则无法使用基础健身功能。该行为违反了个人信息处理的哪项基本原则？A.目的明确原则B.最小必要原则C.公开透明原则D.质量原则答案：B解析：基础健身功能无需身份证号、婚姻状况等非必要信息，违反最小必要原则（《个人信息保护法》第6条）。3.关于敏感个人信息的处理规则，下列说法正确的是？A.处理不满14周岁未成年人个人信息无需特别同意B.仅需取得个人单独同意即可处理生物识别信息C.处理医疗健康信息应向个人告知处理的必要性及对个人权益的影响D.金融机构处理财产信息时可默认勾选同意选项答案：C解析：敏感个人信息处理需取得单独同意（第29条），并告知必要性及影响（第17条）；未成年人信息需由监护人同意（第31条）；默认勾选无效（第14条）。4.甲公司将用户个人信息提供给境外关联公司，未进行安全评估。根据《个人信息保护法》，下列哪一主体有权对其进行行政处罚？A.国家互联网信息办公室B.市级市场监督管理局C.省级通信管理局D.县级公安机关答案：A解析：个人信息跨境提供的监管由国家网信部门负责（第66条、《数据出境安全评估办法》第3条）。5.某教育机构因员工操作失误导致10万条学生信息泄露，包括姓名、成绩、家庭住址。下列哪一补救措施不符合法律要求？A.立即暂停导致泄露的系统功能B.36小时内向履行个人信息保护职责的部门报告C.仅向受影响学生发送短信告知泄露情况D.配合监管部门调查并提供技术支持答案：C解析：发生泄露需通知个人（可通过多种方式），仅短信可能无法确保到达，应采取合理方式（第57条）。6.乙公司开发的AI推荐系统通过分析用户购物记录、社交动态等提供“消费偏好画像”，用于精准营销。下列哪一表述符合法律规定？A.因画像用于商业目的，无需告知用户B.用户有权要求乙公司停止基于画像的营销C.乙公司可将画像直接提供给第三方用于其他营销D.画像属于匿名化信息，不受《个人信息保护法》约束答案：B解析：用户对自动化决策有拒绝权（第24条）；提供给第三方需单独同意（第23条）；画像仍属个人信息（第4条）。7.下列哪一情形符合“个人信息主体的查阅复制权”行使要求？A.银行要求用户填写复杂申请表格并缴纳查询费B.社交平台在用户申请后7个工作日内提供个人信息副本C.教育机构以“系统故障”为由拖延30日未响应D.医疗机构仅提供部分诊疗信息，称其他信息由合作方保存答案：B解析：处理者应及时响应（第45条），不得收费或设置不合理条件；合作方保存的信息也需提供（第45条第3款）。8.丙公司为验证数据准确性，将用户手机号与公安人口信息库进行比对。该行为的合法性基础是？A.个人明确同意B.履行法定职责C.维护公共利益D.订立合同所必需答案：A解析：比对非法定职责或公共利益范围，需取得用户同意（第13条）。9.某直播平台主播在直播中公开观众的弹幕昵称、IP地址。根据《个人信息保护法》，下列说法错误的是？A.昵称可能识别特定用户，属于个人信息B.IP地址结合其他信息可识别用户，属于个人信息C.主播需取得观众同意方可公开上述信息D.平台无需承担责任，因信息由主播处理答案：D解析：平台作为个人信息处理者，对用户信息负有保护义务（第5条），需监督主播行为。10.丁企业因个人信息保护合规缺失被监管部门约谈，下列哪一整改措施不符合法律要求？A.设立独立的个人信息保护专职部门B.对全体员工开展年度个人信息保护培训C.仅由技术部门负责制定个人信息处理规则D.定期进行个人信息保护影响评估答案：C解析：处理规则制定需多部门参与（第51条），技术部门单独负责不符合“健全管理制度”要求。二、多项选择题（每题3分，共15分。每题至少有2个正确选项，多选、错选、漏选均不得分）1.下列哪些情形属于《个人信息保护法》规定的“个人信息”？A.匿名化处理后的用户行为统计数据B.手机IMEI码结合使用记录可识别的用户信息C.医院病历中的患者姓名、诊断结果D.社交平台用户设置的个性化昵称答案：BCD解析：匿名化信息不属于个人信息（第4条）；IMEI码结合其他信息可识别用户（第4条）；病历信息、昵称均属可识别信息。2.关于个人信息跨境提供，下列说法正确的有？A.需通过国家网信部门组织的安全评估B.可与境外接收方订立标准合同C.需向用户告知跨境提供的接收方、目的等D.金融机构跨境提供信息无需额外合规要求答案：ABC解析：跨境提供需安全评估或标准合同（第38条）；需告知用户（第17条）；金融机构需遵守行业特殊规定（如《金融数据安全数据安全分级指南》）。3.个人信息处理者的义务包括？A.制定内部管理制度和操作规程B.对处理敏感个人信息的员工进行背景审查C.发生个人信息泄露时立即通知所有可能受影响的个人D.定期对个人信息处理活动进行合规审计答案：ABD解析：泄露时需“及时”通知，但可能受影响的个人范围需评估，并非“所有可能”（第57条）。4.下列哪些行为可能构成《个人信息保护法》中的“侵害个人信息权益”？A.快递公司将用户地址提供给电商平台用于物流追踪B.酒店将入住客人信息提供给讨债公司C.社交软件未经同意向用户推送商业广告D.医院将患者信息用于学术研究但未告知答案：BCD解析：物流追踪属于履行合同必需（第13条）；提供给讨债公司、未经同意推送广告、未告知用于研究均违反同意原则（第13、23、24条）。5.关于个人信息保护公益诉讼，下列说法正确的有？A.人民检察院可提起民事公益诉讼B.消费者协会可就大规模侵害个人信息权益行为提起诉讼C.诉讼请求可包括停止侵害、赔偿损失等D.个人信息处理者需对其行为合法性承担举证责任答案：ABCD解析：《个人信息保护法》第70条、《民事诉讼法》第58条规定，检察院、消协可提起公益诉讼；举证责任倒置（第69条）。三、案例分析题（每题20分，共40分）案例一：2025年3月，某健康管理APP“康康”推出“智能体质评估”功能，要求用户授权读取通讯录、定位信息、短信记录，否则无法使用。用户张某授权后，发现APP将其手机号、定位信息提供给第三方健身机构用于推广。同时，APP后台日志显示，因系统漏洞，2024年10月至2025年2月期间，约5万用户的姓名、手机号、就诊记录（含慢性病诊断结果）被未授权第三方获取。张某要求“康康”删除其个人信息并赔偿损失，APP以“用户已同意隐私政策”为由拒绝。问题：1.“康康”要求授权读取通讯录、定位、短信的行为是否合法？说明理由。（5分）2.将手机号、定位提供给第三方健身机构的行为是否合法？说明理由。（5分）3.系统漏洞导致信息泄露的责任如何认定？张某可主张哪些权利？（5分）4.“康康”以“用户已同意隐私政策”为由拒绝删除信息是否合法？说明理由。（5分）答案：1.不合法。根据《个人信息保护法》第6条，处理个人信息应限于实现功能的最小必要范围。“智能体质评估”功能仅需健康相关信息，读取通讯录、短信、定位非必要，违反最小必要原则。2.不合法。根据第23条，向第三方提供个人信息需取得用户单独同意。APP未就提供给健身机构取得单独同意，仅依赖隐私政策概括同意无效。3.责任由“康康”承担。作为个人信息处理者，其未履行安全保障义务（第51条），导致信息泄露，需承担侵权责任（第69条）。张某可要求删除信息（第47条）、赔偿损失（第69条），并可向监管部门举报（第65条）。4.不合法。根据第47条，用户有权要求删除个人信息，处理者无正当理由不得拒绝。“已同意隐私政策”非拒绝删除的合法理由。案例二：2025年6月，某跨国电商集团“环球购”拟将中国区用户的姓名、支付记录、购物偏好数据传输至其美国总部用于AI算法优化。集团认为其已与美国总部签订数据共享协议，且通过了企业自评估，无需额外合规程序。中国区用户李某得知后，要求“环球购”说明数据跨境的必要性并提供拒绝选项。问题：1.“环球购”的数据跨境传输行为是否符合法律要求？说明理由。（7分）2.李某的请求是否有法律依据？说明理由。（7分）3.若数据跨境后，美国总部因网络攻击导致数据泄露，责任如何划分？（6分）答案：1.不符合。根据《个人信息保护法》第38条，跨境提供个人信息需通过安全评估、认证或订立标准合同。企业自评估不等同于安全评估（《数据出境安全评估办法》第5条），且电商用户数据属于重要数据（《数据安全法》第21条），需强制评估。2.有依据。根据第17条，处理者需向个人告知跨境提供的接收方、目的、方式等；第24条赋予用户对自动化决策的拒绝权，李某有权要求说明必要性并拒绝。3.主要责任由“环球购”承担。作为境内处理者，其对数据跨境后的安全负有责任（第39条）。若美国总部存在过错（如未履行安全义务），“环球购”可向其追偿，但不免除自身对用户的责任（《民法典》第1168条）。四、论述题（每题12.5分，共25分）1.论个人信息保护中“告知-同意”原则的实践困境与完善路径。答案要点：（1）实践困境：①格式条款问题：隐私政策冗长复杂，用户难以理解（“阅读疲劳”）；②同意形式化：默认勾选、捆绑授权普遍，用户“不得不同意”（如拒绝则无法使用基础功能）；③动态变化应对不足：处理目的、方式变更时未重新取得同意；④特殊群体保护缺失：未成年人、老年人难以有效行使同意权。（2）完善路径：①优化告知方式：采用简明版隐私政策，重点信息突出显示（如《个人信息保护法》第17条“明确、易懂”要求）；②规范同意有效性：禁止捆绑授权，区分“必要功能”与“附加功能”（如《常见类型移动互联网应用程序必要个人信息范围规定》）；③建立动态同意机制：处理活动重大变更时需重新取得同意（第15条）；④强化特殊群体保护：对未成年人设置“监护人同意”前置程序（第31条），为老年人提供人工解释服务。2.数字经济时代，个人信息保护与数据利用的平衡路径研究。答案要点：（1）平衡的必要性：个人信息是数字经济的核心生产要素，过度保护抑制创新，过度利用侵害权益，需在“保护中发展，在发展中保护”。（2）具体路径：①完善分类分级保护：区分一般信息与敏感信息（第28条），对