2025年个人信息保护真题及答案

2025年个人信息保护练习题及答案一、单项选择题（每题2分，共20分）1.2025年3月，某生鲜电商平台在用户首次注册时，要求用户必须授权同意收集其通讯录、精确地理位置信息后方可使用账号注册功能，该行为违反了《个人信息保护法》的哪一项核心原则？（）A.公开透明原则B.最小必要原则C.诚信原则D.质量保障原则答案：B解析：根据《个人信息保护法》第6条规定，处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集。用户注册账号的核心目的是完成身份核验、账号绑定，收集通讯录与注册目的无直接关联，非必要的精确地理位置收集超出了最小范围，因此违反最小必要原则。A选项公开透明原则要求处理规则公开、处理目的和方式明确告知，本题未涉及告知不充分的问题；C选项诚信原则要求不得通过欺诈、误导等方式处理个人信息，与题干不符；D选项质量保障原则要求保障个人信息的准确性、完整性，本题不涉及信息质量问题。2.依据《个人信息保护法》，下列不属于敏感个人信息的是？（）A.公民的生物识别信息B.公民的宗教信仰信息C.公民的工作单位地址D.公民的不满十四周岁未成年人的个人信息答案：C解析：《个人信息保护法》第28条明确规定，敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。工作单位地址属于普通个人信息，泄露后不会直接导致人格尊严侵害或人身、财产重大危害，因此不属于敏感个人信息。3.某市疾病预防控制中心为应对2025年春季流感暴发，需要收集全市居民的流感疫苗接种史、近期健康监测数据，下列说法正确的是？（）A.应当逐一取得所有居民的单独同意B.属于为应对突发公共卫生事件所必需，可以不经个人同意处理个人信息C.收集完成后可以直接共享给当地商业保险公司用于重疾险产品定价D.处理过程无需履行个人信息保护影响评估义务答案：B解析：根据《个人信息保护法》第13条，为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需处理个人信息的，不需取得个人同意，因此A错误、B正确。C选项中，向商业保险公司共享信息属于改变处理目的，不属于突发公共卫生事件处理的必要范围，需要重新取得个人同意，且疾控中心不得将公共卫生数据违规提供给商业机构用于营利活动。D选项，根据《个人信息保护法》第55条，处理敏感个人信息、利用个人信息进行自动化决策、委托处理个人信息等情形应当进行个人信息保护影响评估，健康医疗数据属于敏感个人信息，疾控中心处理前应当履行评估义务。4.某短视频平台2025年上线“用户画像自动生成”功能，通过分析用户的浏览、点赞、评论数据生成用户消费偏好、性格标签，用于定向推送广告，下列说法符合法律规定的是？（）A.平台可以在未告知用户的情况下自动生成画像并推送广告B.用户无权要求平台删除其个人画像数据C.平台应当为用户提供不针对其个人特征的选项，或者向用户提供便捷的拒绝定向推送的方式D.平台可以将生成的用户画像无限制共享给第三方电商平台答案：C解析：根据《个人信息保护法》第24条，个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。因此A错误，自动化决策的规则、目的应当明确告知用户；B错误，用户有权行使个人信息查阅、复制、删除权，要求平台删除其画像数据；D错误，向第三方共享个人信息应当取得个人单独同意，且符合最小必要要求，不得无限制共享。5.某跨境电商平台注册地位于中国境内，其将收集的中国消费者的订单信息、支付信息传输至其位于境外的母公司服务器，下列说法错误的是？（）A.应当依照国家网信部门的规定进行安全评估B.应当向用户告知境外接收方的名称、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使《个人信息保护法》规定权利的方式和程序等事项，并取得个人的单独同意C.若母公司所在国家的个人信息保护标准低于中国，平台可以直接传输D.平台应当采取必要措施，保障境外接收方处理个人信息的活动达到《个人信息保护法》规定的个人信息保护标准答案：C解析：根据《个人信息保护法》第38条，个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；（四）法律、行政法规或者国家网信部门规定的其他条件。无论境外接收方所在国家保护标准高低，都需要满足上述法定条件方可传输，因此C选项错误。A、B、D选项均符合跨境提供个人信息的法定要求。6.某互联网企业处理个人信息达到国家网信部门规定的数量，应当指定（）对个人信息处理活动进行监督，且该人员的姓名、联系方式应当公开，报送履行个人信息保护职责的部门。A.个人信息保护负责人B.首席执行官C.法务负责人D.数据安全工程师答案：A解析：《个人信息保护法》第52条明确规定，处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。个人信息处理者应当公开个人信息保护负责人的联系方式，并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。其他选项均不符合法定要求。7.个人信息处理者违反《个人信息保护法》规定处理个人信息，侵害众多个人的权益的，人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向（）提起诉讼。A.公安机关B.人民法院C.网信部门D.市场监督管理部门答案：B解析：根据《个人信息保护法》第70条，个人信息处理者违反本法规定处理个人信息，侵害众多个人的权益的，人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起公益诉讼。公益诉讼的受理主体是人民法院，其他部门属于行政监管部门，不受理公益诉讼案件。8.2025年5月，某智能手机厂商在新发布的机型中预装了系统级应用，默认收集用户的输入记录、应用使用时长数据，且无法卸载，该行为侵犯了用户的哪项权利？（）A.个人信息决定权B.个人信息查阅权C.个人信息更正权D.个人信息解释权答案：A解析：《个人信息保护法》第44条规定，个人对其个人信息的处理享有知情权、决定权，有权限制或者拒绝他人对其个人信息进行处理。预装应用默认收集数据且无法卸载、无法关闭收集功能，属于强制处理用户个人信息，侵犯了用户的决定权，即用户有权自主决定是否同意他人处理其个人信息。B选项查阅权是指用户有权查阅个人信息处理者持有的其个人信息，C选项更正权是指发现个人信息不准确时要求更正的权利，D选项解释权是指要求个人信息处理者对个人信息处理规则进行解释说明的权利，均与题干描述的情形不符。9.下列不属于履行个人信息保护职责的部门可以采取的监管措施的是？（）A.询问有关当事人，调查与个人信息处理活动有关的情况B.查阅、复制当事人与个人信息处理活动有关的合同、记录、账簿以及其他有关资料C.对有证据证明是违法处理个人信息的设备、物品，直接予以没收、销毁D.进入当事人涉嫌从事违法个人信息处理活动的场所实施现场检查答案：C解析：根据《个人信息保护法》第63条，履行个人信息保护职责的部门履行职责可以采取下列措施：（一）询问有关当事人，调查与个人信息处理活动有关的情况；（二）查阅、复制当事人与个人信息处理活动有关的合同、记录、账簿以及其他有关资料；（三）实施现场检查，对涉嫌违法处理个人信息的活动进行调查；（四）检查与个人信息处理活动有关的设备、物品；对有证据证明是违法处理个人信息的设备、物品，经本部门主要负责人批准，可以查封或者扣押。监管部门无权直接没收、销毁相关设备物品，应当依法先查封扣押，后续根据违法情节作出处理决定，因此C选项错误。10.个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得（）的同意。A.未成年人本人B.未成年人的父母或者其他监护人C.未成年人所在学校D.当地教育主管部门答案：B解析：《个人信息保护法》第31条规定，个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。不满十四周岁未成年人属于限制民事行为能力人或无民事行为能力人，不具备独立作出个人信息处理同意的民事能力，应当由其监护人代为行使同意权。二、多项选择题（每题3分，共15分，多选、少选、错选均不得分）1.个人信息处理者应当公开个人信息处理规则，明示处理的（）。A.目的B.方式C.范围D.负责人姓名答案：ABC解析：根据《个人信息保护法》第7条，处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围。个人信息保护负责人的联系方式需要公开，但姓名不属于必须向所有用户明示的内容，仅需要报送监管部门，因此D选项错误。2.有下列哪些情形的，个人信息处理者应当主动删除个人信息；个人信息处理者未删除的，个人有权请求删除？（）A.处理目的已实现、无法实现或者为实现处理目的不再必要B.个人信息处理者停止提供产品或者服务，或者保存期限已届满C.个人撤回同意D.个人信息处理者违反法律、行政法规或者违反约定处理个人信息答案：ABCD解析：《个人信息保护法》第47条明确规定了上述四种应当删除个人信息的情形，全部选项均符合法律规定。3.某连锁酒店集团2025年上线会员系统，收集会员的姓名、身份证号、住宿记录、支付信息，下列做法符合《个人信息保护法》要求的有？（）A.采取加密、去标识化等安全技术措施保护会员信息B.对其工作人员实行分级权限管理，只有前台和客服人员可以查询完整的会员住宿记录C.对个人信息处理活动进行定期合规审计D.发生会员信息泄露事件后，72小时内将事件情况告知履行个人信息保护职责的部门和受影响的会员答案：ABCD解析：A选项符合《个人信息保护法》第51条关于采取安全技术措施的要求；B选项符合权限管理的要求，避免无权限人员接触敏感个人信息；C选项符合定期合规审计的法定义务；D选项符合个人信息泄露后的通知要求，《个人信息保护法》第57条规定，发生或者可能发生个人信息泄露、篡改、丢失的，个人信息处理者应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人，若采取的措施能够有效避免信息泄露造成的危害可以不通知个人，但通知时限要求为“立即”，72小时是《网络安全法》《数据安全法》通用的合规时限，属于符合实操要求的合规做法。4.自动化决策，是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动。下列属于自动化决策场景下禁止实施的行为有？（）A.基于消费者的消费记录、浏览记录对同款商品设定不同的交易价格B.将消费者的征信报告作为发放贷款的唯一评估依据，拒绝所有有逾期记录的消费者的贷款申请C.根据求职者的年龄、性别自动筛选简历，排除35岁以上的女性求职者D.基于用户的违法犯罪记录，自动限制其乘坐高铁、飞机答案：ABC解析：A选项属于“大数据杀熟”，违反《个人信息保护法》第24条关于不得对个人在交易价格等交易条件上实行不合理差别待遇的规定；B选项将征信报告作为唯一依据，属于自动化决策结果不公平，贷款审批应当综合多维度因素评估，不得仅以逾期记录一概拒绝；C选项基于年龄、性别自动筛选简历，属于就业歧视，违反平等原则；D选项是对失信被执行人采取的法定限制措施，属于合法的自动化决策应用场景，不属于禁止行为。5.下列关于个人信息跨境提供的说法正确的有？（）A.关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估B.非关键信息基础设施运营者向境外提供个人信息的，可以通过与境外接收方订立国家网信部门制定的标准合同的方式合规出境C.境外司法机关因办理案件需要调取境内个人信息处理者存储的个人信息的，个人信息处理者可以直接提供D.个人信息处理者向境外提供个人信息的，应当向个人告知境外接收方的相关信息，并取得个人单独同意答案：ABD解析：A选项符合《个人信息保护法》第40条的规定；B选项符合第38条关于出境路径的规定；C选项错误，根据《个人信息保护法》第41条，中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供存储于境内的个人信息的请求。非经中华人民共和国主管机关批准，个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息；D选项符合第39条关于告知和单独同意的要求。三、判断题（每题1分，共10分）1.匿名化处理后的信息仍然属于个人信息，受《个人信息保护法》规制。（）答案：×解析：《个人信息保护法》第4条规定，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。匿名化处理后的信息无法识别到特定自然人，因此不属于个人信息，不受《个人信息保护法》规制。2.为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息，可以不经个人同意。（）答案：√解析：符合《个人信息保护法》第13条第5项的规定，为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息，不需取得个人同意。3.个人信息处理者可以在用户协议中设置“一经同意永久授权本平台处理你的所有个人信息”的格式条款。（）答案：×解析：《个人信息保护法》第16条规定，个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务；处理个人信息属于提供产品或者服务所必需的除外。同时格式条款不得排除用户的撤回同意权，永久授权条款属于不合理限制用户权利的格式条款，应属无效。4.敏感个人信息的处理应当取得个人的单独同意，法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。（）答案：√解析：符合《个人信息保护法》第29条的规定，处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。5.个人有权要求个人信息处理者将其个人信息转移至其指定的个人信息处理者，无需满足任何条件。（）答案：×解析：《个人信息保护法》第45条规定，个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径，并非无需满足任何条件。6.个人信息保护影响评估报告和处理情况记录应当至少保存三年。（）答案：√解析：符合《个人信息保护法》第55条第2款的规定，个人信息保护影响评估报告和处理情况记录应当至少保存三年。7.处理个人信息应当遵循诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。（）答案：√解析：符合《个人信息保护法》第5条的规定，处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。8.自然人死亡的，其近亲属为了自身的合法、正当利益，可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利；死者生前另有安排的除外。（）答案：√解析：符合《个人信息保护法》第49条的规定，明确了死者个人信息的近亲属行使权利的规则。9.个人信息处理者可以将其收集的个人信息作为资产进行抵押、转让。（）答案：×解析：个人信息的处理应当基于法定或约定的目的，个人信息不属于个人信息处理者的自有资产，不得随意抵押、转让，向第三方转让个人信息应当取得个人单独同意，且符合法律规定的其他条件。10.履行个人信息保护职责的部门的工作人员对履行职责中知悉的个人信息、隐私和商业秘密，应当严格保密，不得泄露、出售或者非法向他人提供。（）答案：√解析：符合《个人信息保护法》第66条第2款的规定，属于监管部门工作人员的法定保密义务。四、简答题（每题8分，共24分）1.简述个人信息处理者应当履行的个人信息保护义务。答案：根据《个人信息保护法》的规定，个人信息处理者应当履行以下义务：（1）制定内部管理制度和操作规程，对个人信息实行分类管理；（2分）（2）采取相应的加密、去标识化等安全技术措施，保障个人信息的保密性、完整性、可用性；（2分）（3）合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训，避免内部人员违规泄露、滥用个人信息；（2分）（4）制定并组织实施个人信息安全事件应急预案，发生个人信息泄露、篡改、丢失等安全事件时及时采取补救措施并履行通知义务；（1分）（5）定期对其个人信息处理活动进行合规审计，及时排查合规风险并整改，法律、行政法规规定的其他义务。（1分）2.简述个人在个人信息处理活动中享有的主要权利。答案：个人在个人信息处理活动中享有以下法定权利：（1）知情权、决定权：有权知晓个人信息处理的目的、方式、范围等事项，有权决定是否同意他人处理其个人信息，有权限制或者拒绝他人对其个人信息进行处理；（2分）（2）查阅、复制权：有权查阅、复制个人信息处理者持有的其个人信息；（2分）（3）更正、补充权：发现其个人信息不准确或者不完整的，有权要求个人信息处理者予以更正、补充；（1分）（4）删除权：符合法定删除情形时，有权要求个人信息处理者删除其个人信息；（1分）（5）可携带权：符合国家网信部门规定条件的，有权要求个人信息处理者将其个人信息转移至指定的个人信息处理者；（1分）（6）解释说明权：有权要求个人信息处理者对其个人信息处理规则进行解释说明，以及法律规定的其他权利。（1分）3.简述处理敏感个人信息应当符合的特殊条件。答案：敏感个人信息一旦泄露或滥用会对自然人权益造成重大危害，因此法律规定了比普通个人信息更严格的处理条件：（1）处理敏感个人信息应当具有特定的目的和充分的必要性，且采取严格保护措施，不得超出必要范围处理敏感个人信息；（2分）（2）应当取得个人的单独同意，若处理不满十四周岁未成年人的个人信息，应当取得未成年人的父母或者其他监护人的同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定；（3分）（3）处理敏感个人信息应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响，除非法律、行政法规规定可以不告知；（2分）（4）处理敏感个人信息应当事前进行个人信息保护影响评估，并对处理情况进行记录，评估报告和处理记录至少保存三年。（1分）五、案例分析题（共31分）2025年2月，某互联网招聘平台甲公司被用户投诉存在以下违规行为：（1）用户注册账号时，必须同意授权甲公司收集其浏览记录、通讯录、微信好友列表，否则无法完成注册；（2）甲公司将收集的用户简历信息（包含姓名、身份证号、工作经历、联系方式、薪资预期）以每条5元的价格批量出售给第三方人力资源中介公司乙公司，未告知用户也未取得用户同意；（3）甲公司的算法推荐机制默认向女性求职者推送薪资低于同岗位男性求职者20%的岗位，且用户无法关闭该定向推荐功能；（4）2025年3月，甲公司发生服务器被黑客入侵事件，导致120万条用户简历信息泄露，甲公司未及时告知用户，也未向监管部门报告，直至2025年5月用户收到大量骚扰电话才发现信息泄露。请结合《个人信息保护法》的规定，回答下列问题：1.甲公司的四项行为分别违反了哪些法律规定？（16分）2.对于甲公司出售用户个人信息的行为，用户可以通过哪些途径主张权利？（7分）3.若监管部门对甲公司进行处罚，可以采取哪些处罚措施？（8分）答案：1.各项行为的违法性分析：（1）第一项注册强制授权的行为违反了《个人信息保护法》的最小必要原则和不得强制同意的规定。（2分）收集浏览记录、通讯录、微信好友列表与用户注册账号、使用招聘服务的核心目的无直接关联，不属于提供服务所必需的信息，甲公司以拒绝提供服务为要挟强制用户同意收集非必要信息，违反了第6条的最小必要原则，以及第16条“个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务；处理个人信息属于提供产品或者服务所必需的除外”的规定。（2分）（2）第二项出售用户简历信息的行为违反了个人信息处理的合法原则和禁止非法买卖个人信息的规定。（2分）用户简历信息包含身份证号、联系方式等敏感及重要个人信息，甲公司未经用户单独同意，以营利为目的向第三方出售个人信息，违反了第10条“任何组织、个人不得非法收集、存储、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息”的规定，也违反了第23条关于向第三方提供个人信息应当告知用户并取得单独同意的要求。（2分）（3）第三项算法推荐薪资差异化的行为违反了自动化决策公平公正的规定。（2分）甲公司利用自动化决策对女性求职者实行不合理的薪资差别待遇，且