2025年个人信息保护法（PIPL）考核试题及答案

2025年个人信息保护法（PIPL）考核试题及答案一、单项选择题（每题2分，共30分）1.根据《个人信息保护法》，下列哪项不属于“个人信息”的范畴？A.自然人的姓名、出生日期B.已匿名化处理的用户行为轨迹数据C.自然人的生物识别信息D.能够单独或与其他信息结合识别特定自然人的电子邮箱答案：B（依据第四条：个人信息是以电子或其他方式记录的与已识别或可识别的自然人有关的各种信息，不包括匿名化处理后的信息。）2.个人信息处理者处理个人信息时，应遵循“最小必要”原则。下列哪项行为符合该原则？A.电商平台为优化用户体验，收集用户近3年的所有购物记录B.银行仅收集办理信用卡所需的身份证、收入证明等必要信息C.社交软件要求用户授权读取通讯录，否则无法注册账号D.教育机构为分析学生成绩，收集学生家庭成员的健康状况答案：B（依据第六条：处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式；收集个人信息，应当限于实现处理目的的最小范围。）3.关于个人信息处理的“告知-同意”规则，下列表述正确的是？A.处理敏感个人信息只需告知处理目的、方式和范围，无需单独同意B.个人信息处理者可以通过默认勾选的方式获取用户同意C.告知内容应通俗易懂，用户拒绝同意则不得处理其个人信息（法律、行政法规另有规定的除外）D.告知义务仅需在首次处理个人信息时履行，后续处理无需重复告知答案：C（依据第十四条：基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出；个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务，法律、行政法规另有规定的除外。第十七条：告知内容应真实、准确、完整；第十九条：个人信息处理的重要事项发生变更的，应当重新告知并取得同意。）4.某医疗APP拟处理14周岁以下未成年人的个人信息，需满足的法定要求是？A.只需取得未成年人本人同意B.应当取得未成年人父母或其他监护人的同意C.无需额外同意，仅需在隐私政策中说明D.需通过第三方机构认证后即可处理答案：B（依据第三十一条：处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意；个人信息处理者应当制定专门的未成年人个人信息处理规则。）5.个人信息跨境提供时，下列哪项不属于法定条件？A.通过国家网信部门组织的安全评估B.按照国家网信部门的规定经专业机构进行个人信息保护认证C.与境外接收方订立合同，约定双方的权利和义务D.无需任何条件，只要用户同意即可跨境提供答案：D（依据第三十八条：个人信息跨境提供应当符合以下条件之一：（一）通过国家网信部门组织的安全评估；（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；（三）与境外接收方订立合同，约定双方的权利和义务；（四）法律、行政法规或者国家网信部门规定的其他条件。）6.个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的，应当：A.直接转移，无需告知用户B.仅需告知用户转移后的接收方名称或姓名C.向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意D.由接收方自行处理告知义务答案：C（依据第二十二条：个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。接收方应当继续履行个人信息处理者的义务。）7.个人信息主体行使“查阅、复制权”时，个人信息处理者应当：A.自收到请求之日起15个工作日内响应B.仅提供纸质版个人信息C.无正当理由不得拒绝D.要求用户支付高额查询费用答案：C（依据第四十五条：个人有权查阅、复制其个人信息；个人信息处理者应当建立便捷的申请受理和处理机制，无正当理由不得拒绝。响应时间未明确规定具体期限，但需合理；复制可提供电子或纸质形式；不得收取费用，法律另有规定除外。）8.下列哪项不属于个人信息处理者的“安全保障义务”？A.制定内部管理制度和操作规程B.定期对工作人员进行安全教育和培训C.仅在发生个人信息泄露时采取补救措施D.对处理敏感个人信息、跨境提供个人信息等高风险处理活动进行个人信息保护影响评估答案：C（依据第五十一条：个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的风险等，采取下列措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失：（一）制定内部管理制度和操作规程；（二）对个人信息实行分类管理；（三）采取相应的加密、去标识化等安全技术措施；（四）合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训；（五）制定并组织实施个人信息安全事件应急预案；（六）法律、行政法规规定的其他措施。第五十五条：高风险处理活动应进行个人信息保护影响评估。）9.个人信息处理者违反《个人信息保护法》规定，情节严重的，监管部门可对其处以最高多少罚款？A.500万元B.上一年度营业额5%C.1000万元D.上一年度营业额10%答案：B（依据第六十六条：违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。）10.某公司拟将用户的地理位置信息与其他信息结合，用于精准广告推送。根据PIPL，该行为属于处理：A.非敏感个人信息，无需单独同意B.敏感个人信息，需取得用户的单独同意C.匿名化信息，可自由使用D.去标识化信息，需告知用户答案：A（依据第二十八条：敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。地理位置信息若单独作为行踪轨迹属于敏感信息，但题目中“与其他信息结合用于广告推送”未明确是否属于“行踪轨迹”，通常普通地理位置信息（非持续追踪的行踪轨迹）可能被认定为非敏感信息，需结合具体场景判断。但根据立法精神，若地理位置信息可识别用户行踪轨迹，则属于敏感信息，需单独同意。本题假设为普通地理位置信息，选A。）11.个人信息处理者因业务需要，需向第三方共享个人信息时，应当：A.仅需在隐私政策中笼统说明“可能共享给第三方”B.向个人告知共享的第三方名称、处理目的、处理方式和个人信息的种类，并取得个人的单独同意C.由第三方直接向用户告知并取得同意D.无需告知，只要内部审批即可答案：B（依据第二十三条：个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。）12.个人信息主体发现其个人信息不准确或不完整时，有权要求个人信息处理者：A.立即删除相关信息B.予以更正或补充C.停止使用该信息D.赔偿精神损失答案：B（依据第四十六条：个人发现其个人信息不准确或者不完整的，有权请求个人信息处理者更正、补充。个人信息处理者应当对其个人信息予以核实，并及时更正、补充。）13.下列哪项情形无需取得个人同意即可处理其个人信息？A.为订立、履行个人作为一方当事人的合同所必需B.为提高服务质量，收集用户反馈信息C.为开发新产品，收集用户使用习惯D.为营销推广，向用户发送个性化广告答案：A（依据第十三条：符合下列情形之一的，个人信息处理者方可处理个人信息：（一）取得个人的同意；（二）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；（三）为履行法定职责或者法定义务所必需；（四）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；（五）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；（六）依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；（七）法律、行政法规规定的其他情形。）14.个人信息保护影响评估报告应当包括的内容不包括：A.个人信息的处理目的、处理方式等是否合法、正当、必要B.对个人权益的影响及安全风险C.所采取的保护措施是否合法、有效并与风险程度相适应D.个人信息处理者的财务状况答案：D（依据第五十五条：个人信息处理者应当对下列个人信息处理活动进行个人信息保护影响评估，并对处理情况进行记录：（一）处理敏感个人信息；（二）利用个人信息进行自动化决策；（三）委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；（四）个人信息跨境提供；（五）其他对个人权益有重大影响的个人信息处理活动。第五十六条：个人信息保护影响评估应当包括下列内容：（一）个人信息的处理目的、处理方式等是否合法、正当、必要；（二）对个人权益的影响及安全风险；（三）所采取的保护措施是否合法、有效并与风险程度相适应。）15.某企业因个人信息泄露事件被用户起诉，根据PIPL，该企业的举证责任如何分配？A.用户需证明企业存在过错B.企业需证明自己无过错C.双方均需承担举证责任D.由法院主动调查答案：B（依据第六十九条：处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。法律另有规定的，依照其规定。）二、多项选择题（每题3分，共30分。每题至少有2个正确选项，错选、漏选均不得分）1.下列属于《个人信息保护法》规定的“处理”行为的有：A.收集、存储个人信息B.使用、加工个人信息C.传输、提供、公开个人信息D.删除个人信息答案：ABCD（依据第四条：个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。）2.个人信息处理者应遵循的基本原则包括：A.合法、正当、必要原则B.最小必要原则C.公开透明原则D.诚信原则答案：ABCD（依据第五条至第九条：处理个人信息应当遵循合法、正当、必要和诚信原则；应当具有明确、合理的目的，并与处理目的直接相关，采取对个人权益影响最小的方式（最小必要）；公开处理规则，明示处理目的、方式和范围（公开透明）。）3.敏感个人信息的处理规则包括：A.只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下方可处理B.应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响C.需取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定D.无需进行个人信息保护影响评估答案：ABC（依据第二十八条至第三十条：敏感个人信息处理需满足特定目的和充分必要性，严格保护措施；需告知必要性及权益影响；取得单独同意（书面同意优先）；需进行个人信息保护影响评估。）4.个人信息主体依法享有哪些权利？A.查阅、复制权B.更正、补充权C.删除权D.要求解释说明权答案：ABCD（依据第四十四条至第四十八条：个人对其个人信息享有知情权、决定权，有权限制或者拒绝他人对其个人信息进行处理；享有查阅、复制、更正、补充、删除权；对自动化决策有权要求解释说明。）5.个人信息处理者的义务包括：A.制定并公开个人信息处理规则B.对工作人员进行培训和管理C.发生个人信息泄露时，立即采取补救措施并通知履行个人信息保护职责的部门和个人D.定期发布个人信息保护社会责任报告答案：ABC（依据第五十条、第五十一条、第五十七条：处理者需制定公开处理规则；培训工作人员；发生泄露时，立即补救并通知（因特殊情况无法通知的除外）；未强制要求发布社会责任报告，但鼓励。）6.下列哪些情形下，个人信息处理者应当主动删除个人信息？A.处理目的已实现、无法实现或者为实现处理目的不再必要B.个人信息处理者停止提供产品或者服务，或者保存期限已届满C.个人撤回同意D.个人信息处理者违反法律、行政法规或者违反约定处理个人信息答案：ABCD（依据第四十七条：有下列情形之一的，个人信息处理者应当主动删除个人信息；个人信息处理者未删除的，个人有权请求删除：（一）处理目的已实现、无法实现或者为实现处理目的不再必要；（二）个人信息处理者停止提供产品或者服务，或者保存期限已届满；（三）个人撤回同意；（四）个人信息处理者违反法律、行政法规或者违反约定处理个人信息；（五）法律、行政法规规定的其他情形。）7.个人信息跨境提供时，接收方应当：A.履行与境内处理者同等的保护义务B.遵守中国法律中与个人信息保护相关的规定C.仅需遵守所在国法律D.与境内处理者约定争议解决方式答案：ABD（依据第三十八条、第三十九条：跨境提供需符合法定条件；接收方应承担相应义务；境内处理者需向个人告知接收方的相关信息，并约定双方权利义务，包括争议解决。）8.自动化决策的规则包括：A.应当保证决策的透明度和结果公平、公正B.不得对个人在交易价格等交易条件上实行不合理的差别待遇C.通过自动化决策方式向个人进行信息推送、商业营销的，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式D.无需告知个人自动化决策的基本原理答案：ABC（依据第二十四条：自动化决策应保证透明、公平；禁止不合理差别待遇；信息推送、商业营销需提供非针对个人特征选项或拒绝方式；需告知自动化决策的基本原理、目的和主要方式。）9.履行个人信息保护职责的部门包括：A.国家网信部门B.国务院公安部门C.国务院市场监督管理部门D.县级以上地方人民政府有关部门答案：ABCD（依据第六十条：国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作；国务院有关部门依照本法和有关法律、行政法规的规定，在各自职责范围内负责个人信息保护和监督管理工作；县级以上地方人民政府有关部门的个人信息保护和监督管理职责，按照国家有关规定确定。）10.个人信息处理者违反PIPL的法律责任包括：A.民事责任（损害赔偿）B.行政处罚（罚款、暂停业务、吊销执照等）C.刑事责任（构成犯罪的，依法追究）D.行业自律处分答案：ABC（依据第六十九条至第七十一条：侵害个人信息权益的，承担民事责任；违反本法规定的，承担行政处罚；构成犯罪的，依法追究刑事责任。）三、判断题（每题2分，共20分。正确填“√”，错误填“×”）1.匿名化信息不属于个人信息，因此处理匿名化信息无需遵守PIPL。（）答案：√（依据第四条：匿名化处理后的信息不属于个人信息。）2.个人信息处理者可以将“同意处理个人信息”作为提供产品或服务的前提条件（法律、行政法规另有规定的除外）。（）答案：×（依据第十四条：个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务，法律、行政法规另有规定的除外。）3.处理已公开的个人信息，无需取得个人同意，但不得超出合理范围。（）答案：√（依据第十三条第六项：依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息，无需取得同意。）4.个人信息处理者委托第三方处理个人信息的，应当与受托方约定数据安全义务，无需对受托方的处理行为负责。（）答案：×（依据第二十一条：委托处理个人信息的，受托人应当按照约定处理个人信息，不得超出约定的处理目的、处理方式等；委托方应当对受托方的个人信息处理活动进行监督。受托人处理个人信息有过错的，委托方应当承担连带责任。）5.个人信息主体撤回同意后，个人信息处理者应当停止处理该个人信息，但已处理的部分无需删除。（）答案：×（依据第四十七条第三项：个人撤回同意的，处理者应当主动删除个人信息；未删除的，个人有权请求删除。）6.敏感个人信息包括所有14周岁以下未成年人的个人信息。（）答案：√（依据第二十八条：敏感个人信息包括不满十四周岁未成年人的个人信息。）7.个人信息保护影响评估报告和处理情况记录应当至少保存3年。（）答案：×（依据第五十五条：个人信息保护影响评估报告和处理情况记录应当至少保存三年。）8.个人信息跨境提供时，只需用户同意即可，无需通过安全评估或认证。（）答案：×（依据第三十八条：跨境提供需满足安全评估、认证、合同约定等条件之一，用户同意并非唯一条件。）9.个人信息处理者应当对其工作人员实行权限管理，最小化工作人员访问个人信息的权限。（）答案：√（依据第五十一条第四项：合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训。）10.个人信息泄露事件发生后，处理者应当在72小时内通知履行个人信息保护职责的部门和个人（因特殊情况无法通知的除外）。（）答案：×（依据第五十七条：发生或者可能发生个人信息泄露、篡改、丢失的，个人信息处理者应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人。通知应当包括泄露的个人信息种类、数量、可能造成的危害、已采取的补救措施等；个人信息处理者采取措施能够有效避免信息泄露危害扩大的，个人信息处理者可以不通知个人；履行个人信息保护职责的部门认为可能造成危害的，有权要求个人信息处理者通知个人。未明确规定72小时期限。）四、简答题（每题6分，共30分）1.简述《个人信息保护法》中“告知-同意”规则的核心要求。答案：（1）告知要求：个人信息处理者应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知处理目的、处理方式、处理的个人信息种类、保存期限、个人信息的共享、转让、公开情况、个人行使权利的方式和程序、处理者的联系方式等事项；重要事项变更时需重新告知。（2）同意要求：同意应当由个人在充分知情的前提下自愿、明确作出；不得以默认勾选、捆绑授权等方式强迫或变相强迫同意；个人有权撤回同意，撤回不影响撤回前已进行的处理的合法性。2.列举5类敏感个人信息，并说明其处理的特殊规则。答案：（1）敏感个人信息包括：生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹信息，以及不满十四周岁未成年人的个人信息（列举5类即可）。（2）特殊规则：①只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下方可处理；②应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响；③需取得个人的单独同意（法律、行政法规规定需书面同意的，从其规定）；④需进行个人信息保护影响评估，并记录处理情况。3.个人信息主体的“删除权”在哪些情形下可以行使？答案：个人信息主体可在以下情形行使删除权：（1）处理目的已实现、无法实现或者为实现处理目的不再必要；（2）个人信息处理者停止提供产品或者服务，或者保存期限已届满；（3）个人撤回同意；（4）个人信息处理者违反法律、行政法规或者违反约定处理个人信息；（5）法律、行政法规规定的其他情形。4.个人信息处理者应如何履行“安全保障义务”？答案：（1）制定内部管理制度和操作规程；（2）对个人信息实行分类管理；（3）采取加密、去标识化等安全技术措施；（4）合理确定操作权限，定期对工作人员进行安全教育和培训；（5）制定并实施个人信息安全事件应急预案；（6）对高风险处理活动（如处理敏感信息、跨境提供等）进行个人信息保护影响评估；（7）发生泄露时立即补救并通知相关方。5.简述个人信息跨境提供的法定条件。答案：个人信息跨境提供需符合以下条件之一：（1）通过国家网信部门组织的安全评估；（2）按照国家网信部门的规定经专业机构进行个人信息保护认证；（3）与境外接收方订立合同，明确双方的权利和义务（包括保护义务、责任承担等）；（4）法律、行政法规或者国家网信部门规定的其他条件。五、案例分析题（每题15分，共30分）案例1：某电商平台“快购”为提升用户体验，拟收集用户的以下信息：①姓名、手机号、收货地址；②浏览记录、搜索关键词；③银行卡号、支付密码；④12周岁儿童的注册信息（由儿童自行注册）。平台在隐私政策中仅用小字注明“收集必要信息用于服务”，未具体说明收集范围和用途。用户注册时需勾选“同意隐私政策”方可使用，否则无法注册。问题：（1）“快购”的信息收集行为存在哪些违法之处？（2）针对12周岁儿童的信息收集，应如何合规处理？答案：（1）违法之处：①收集银行卡号、支付密码属于敏感个人信息（金融账户信息），需告知必要性及权益影响，并取得用户的单独同意；平台仅笼统注明“必要信息”，未明确告知，违反“告知”义务。②收集12周岁儿童的个人信息，需取得其父母或其他监护人