2025年个人信息保护考试真题及答案

2025年个人信息保护考试练习题及答案一、单项选择题（共15题，每题2分，共30分。每题只有一个正确答案，多选、错选、不选均不得分）1.依据《中华人民共和国个人信息保护法》，下列关于敏感个人信息的说法，正确的是（）A.敏感个人信息是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息B.不满十八周岁未成年人的个人信息属于敏感个人信息C.处理敏感个人信息无需取得个人的单独同意，取得概括同意即可D.生物识别、宗教信仰、医疗健康、行踪轨迹、通信记录均属于敏感个人信息范畴2.A公司为电商平台经营者，在用户注册环节要求用户同意其收集通讯录、相册权限否则无法完成注册，该行为主要违反了个人信息处理的哪项原则（）A.合法原则B.正当原则C.必要原则D.诚信原则3.个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得下列哪一主体的同意（）A.未成年人本人B.未成年人的父母或者其他监护人C.未成年人所在学校D.未成年人住所地的居民委员会、村民委员会4.下列关于个人信息跨境提供的说法，不符合《个人信息保护法》规定的是（）A.关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，确需向境外提供个人信息的，应当通过国家网信部门组织的安全评估B.个人信息处理者向境外提供个人信息的，无需向个人告知境外接收方的名称、联系方式C.个人信息处理者向中华人民共和国境外提供个人信息的，应当采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准D.非经中华人民共和国主管机关批准，个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息5.个人信息处理者应当定期对其个人信息处理活动遵守法律、行政法规的情况进行合规审计，合规审计报告的保存期限不得少于（）A.6个月B.1年C.3年D.5年6.依据《个人信息保护法》，下列情形中，个人信息处理者处理个人信息不需要取得个人同意的是（）A.为提供个性化广告推送处理个人的浏览记录B.为应对突发公共卫生事件，紧急处理自然人的健康信息C.为向自然人推送其可能感兴趣的商品，处理自然人的消费记录D.为制作用户画像，收集自然人的社交平台公开信息7.某APP运营者在用户明确拒绝其收集地理位置信息后，仍频繁在后台调用用户地理位置权限，该行为侵害了个人的哪项权利（）A.个人信息知情权B.个人信息决定权C.个人信息查阅权D.个人信息更正权8.发生或者可能发生个人信息泄露、篡改、丢失的，个人信息处理者应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人。下列不属于该通知应当包含的内容的是（）A.个人信息泄露、篡改、丢失的原因和可能造成的危害B.个人信息处理者已经采取的补救措施C.个人可以采取的减轻危害的措施D.个人信息处理者的法定代表人姓名和联系方式9.下列关于个人信息出境标准合同的说法，正确的是（）A.个人信息处理者向境外提供个人信息，均应当签订个人信息出境标准合同B.个人信息出境标准合同由个人信息处理者与境外接收方协商制定，无需符合国家网信部门制定的标准合同范本C.个人信息处理者应当在个人信息出境标准合同生效之日起十个工作日内向所在地省级网信部门备案D.签订个人信息出境标准合同无需开展个人信息保护影响评估10.履行个人信息保护职责的部门履行个人信息保护职责，不可以采取下列哪项措施（）A.询问有关当事人，调查与个人信息处理活动有关的情况B.查阅、复制当事人与个人信息处理活动有关的合同、记录、账簿以及其他有关资料C.对当事人的经营场所进行现场检查，检查时执法人员不得少于二人，并应当出示执法证件D.查封、扣押当事人所有的服务器、电子设备，且无需提前告知当事人11.某医疗健康APP处理用户的医疗健康信息（属于敏感个人信息），下列做法不符合法律规定的是（）A.向用户明确告知处理医疗健康信息的目的、方式、种类、保存期限B.处理医疗健康信息前取得用户的单独同意C.将用户的医疗健康信息共享给合作的保险公司用于精准推送保险产品，未再次取得用户同意D.对医疗健康信息处理活动进行定期合规审计12.依据《个人信息保护法》，个人信息处理者违反本法规定处理个人信息，造成个人损害，个人信息处理者能够证明自己没有过错的，（）A.仍然需要承担全部赔偿责任B.可以减轻或者免除责任C.承担50%的赔偿责任D.由双方协商确定责任比例13.下列不属于个人信息处理者应当公开的个人信息保护相关内容的是（）A.个人信息保护负责人的姓名、联系方式B.个人信息处理规则C.个人信息处理的内部员工操作手册D.个人信息保护合规审计报告的摘要14.自动化决策，是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动。下列关于自动化决策的说法，错误的是（）A.个人信息处理者利用自动化决策作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明B.个人信息处理者利用自动化决策向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式C.个人信息处理者不得通过自动化决策对个人在交易价格等交易条件上实行不合理的差别待遇D.自动化决策的算法模型属于商业秘密，无需向个人披露任何相关信息15.某互联网公司公开招聘个人信息保护专员，下列人员中符合任职条件的是（）A.甲因侵犯公民个人信息罪被判处有期徒刑三年，刑满释放刚满一年B.乙曾担任某公司个人信息保护负责人，该公司因违法处理个人信息被吊销相关业务许可，乙对此负有个人责任，自该公司被吊销许可之日起刚满三年C.丙为法学专业本科毕业，具有两年个人信息保护合规工作经验，熟悉个人信息保护相关法律法规D.丁曾因违反《个人信息保护法》规定被处以终身禁止从事个人信息处理相关职业的行政处罚二、多项选择题（共10题，每题3分，共30分。每题有两个或两个以上正确答案，多选、少选、错选、不选均不得分）1.个人信息处理活动应当遵循的原则包括（）A.合法、正当、必要和诚信原则B.公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围C.目的限制原则，处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式D.最小必要原则，收集个人信息应当限于实现处理目的的最小范围，不得过度收集个人信息E.质量保障原则，应当保证个人信息的质量，避免因个人信息不准确、不完整对个人权益造成不利影响2.下列权利中，属于《个人信息保护法》规定的个人享有的权利的有（）A.对其个人信息的处理享有知情权、决定权B.有权查阅、复制其个人信息C.发现其个人信息不准确或者不完整的，有权请求更正、补充D.有权请求个人信息处理者删除其个人信息E.有权要求个人信息处理者对其个人信息处理规则进行解释说明3.个人信息处理者处理敏感个人信息，除了符合一般个人信息处理的条件外，还应当满足的要求包括（）A.取得个人的单独同意，法律、行政法规另有规定的除外B.向个人告知处理敏感个人信息的必要性以及对个人权益的影响C.法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定D.处理敏感个人信息应当进行个人信息保护影响评估E.敏感个人信息的保存期限应当为实现处理目的所必要的最短时间4.下列情形中，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录的有（）A.处理敏感个人信息B.利用个人信息进行自动化决策C.委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息D.向境外提供个人信息E.其他对个人权益有重大影响的个人信息处理活动5.个人信息处理者有下列哪些情形的，应当主动删除个人信息；个人信息处理者未删除的，个人有权请求删除（）A.处理目的已实现、无法实现或者为实现处理目的不再必要B.个人信息处理者停止提供产品或者服务，或者保存期限已届满C.个人撤回同意D.个人信息处理者违反法律、行政法规或者违反约定处理个人信息E.法律、行政法规规定的其他情形6.下列关于个人信息保护影响评估应当包括的内容，说法正确的有（）A.个人信息的处理目的、处理方式等是否合法、正当、必要B.对个人权益的影响及安全风险C.所采取的保护措施是否合法、有效并与风险程度相适应D.个人信息保护影响评估报告的保存期限不得少于三年E.个人信息保护影响评估报告应当向社会全文公开7.下列关于个人信息处理者的告知义务，说法正确的有（）A.个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或者姓名和联系方式B.个人信息处理者在处理个人信息前，应当告知个人处理目的、处理方式，处理的个人信息种类、保存期限C.个人信息处理者在处理个人信息前，应当告知个人行使《个人信息保护法》规定权利的方式和程序D.个人信息处理者处理个人信息，有法律、行政法规规定应当保密或者不需要告知的情形的，可以不向个人告知上述内容E.紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的，个人信息处理者应当在紧急情况消除后及时告知8.依据《个人信息保护法》，下列主体中，应当履行个人信息保护义务的有（）A.处理个人信息的国家机关B.提供公共服务的事业单位C.从事电子商务活动的企业D.提供社交平台服务的互联网公司E.处理员工个人信息的个体工商户9.下列关于个人信息保护公益诉讼的说法，符合法律规定的有（）A.个人信息处理者违反《个人信息保护法》规定处理个人信息，侵害众多个人的权益的，人民检察院可以依法向人民法院提起公益诉讼B.个人信息处理者违反《个人信息保护法》规定处理个人信息，侵害众多个人的权益的，法律规定的消费者组织可以依法向人民法院提起公益诉讼C.个人信息处理者违反《个人信息保护法》规定处理个人信息，侵害众多个人的权益的，由国家网信部门确定的组织可以依法向人民法院提起公益诉讼D.个人信息保护公益诉讼只能由人民检察院提起，其他组织无权提起E.个人信息保护公益诉讼的判决结果仅对提起诉讼的组织有效，不对其他个人产生约束力10.个人信息处理者违反《个人信息保护法》规定，可能面临的行政处罚包括（）A.责令改正，给予警告，没收违法所得B.拒不改正的，并处一百万元以下罚款C.对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款D.情节严重的，并处五千万元以下或者上一年度营业额百分之五以下罚款E.可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照三、判断题（共10题，每题1分，共10分。正确填“√”，错误填“×”）1.个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，包括匿名化处理后的信息。（）2.基于个人同意处理个人信息的，个人有权撤回其同意，个人信息处理者不得设置不合理的撤回同意障碍。（）3.个人信息处理者可以在公开场合随意采集自然人的人脸信息，用于商业宣传。（）4.处理个人信息应当依照法律、行政法规的规定，针对不同的处理场景，采取相应的加密、去标识化等安全技术措施。（）5.两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的，应当约定各自的权利和义务，个人因此受到损害的，只能向其中一方请求承担赔偿责任。（）6.个人信息处理者委托处理个人信息的，无需对受托人的个人信息处理活动进行监督，由受托人自行承担所有责任。（）7.国家机关为履行法定职责处理个人信息，应当依照法律、行政法规规定的权限、程序进行，不得超出履行法定职责所必需的范围和限度。（）8.个人信息处理者不得公开其处理的个人信息，除非取得个人单独同意。（）9.个人信息保护负责人应当由个人信息处理者的法定代表人担任。（）10.个人对其个人信息的处理享有决定权，有权限制或者拒绝他人对其个人信息进行处理，法律、行政法规另有规定的除外。（）四、案例分析题（共3题，每题10分，共30分）1.2025年3月，某市市场监管局接到消费者举报，称本地某连锁奶茶品牌运营的“小甜茶”APP存在过度收集个人信息的问题。经调查核实，该APP在用户点单注册环节，强制要求用户授权读取手机通讯录、地理位置、相册、通话记录四项权限，若用户拒绝任何一项权限则无法进入APP完成点单；同时，该APP在用户下单后，默认同意将用户的消费记录、口味偏好信息共享给其关联的餐饮营销公司，用于推送餐饮类广告，未向用户进行单独告知，也未提供拒绝选项。请结合《个人信息保护法》的相关规定，回答下列问题：（1）“小甜茶”APP的上述行为违反了个人信息处理的哪些原则？（3分）（2）“小甜茶”APP处理用户信息的行为存在哪些违法之处？（4分）（3）针对该APP的违法行为，履行个人信息保护职责的部门可以作出哪些行政处罚？（3分）2.2024年10月，某求职招聘网站“职聘通”发生个人信息泄露事件，经核查，该网站未按照规定对用户的简历信息采取加密存储措施，也未定期开展个人信息安全风险评估，导致黑客入侵服务器，泄露了1200万用户的姓名、身份证号、联系方式、工作经历、薪资期望等个人信息，其中包含30万用户的健康状况、家庭住址等敏感个人信息。事件发生后，“职聘通”运营方未及时向履行个人信息保护职责的部门报告，也未告知受影响的用户，直至网络上出现大量用户信息被售卖的信息后才对外公布事件情况。请结合《个人信息保护法》的相关规定，回答下列问题：（1）“职聘通”运营方在个人信息保护方面存在哪些违法违规行为？（4分）（2）发生个人信息泄露事件后，个人信息处理者的法定处置义务有哪些？（3分）（3）若用户因信息泄露遭受诈骗产生财产损失，“职聘通”运营方是否应当承担赔偿责任？请说明理由。（3分）3.某大型电商平台“快购网”为提升用户购物体验、提高营销转化率，引入了自动化决策算法，基于用户的浏览记录、消费记录、收货地址、年龄、性别等信息构建用户画像，针对不同用户推送不同价格的同款商品。部分用户发现，同一时间段内，老用户看到的某品牌手机价格比新用户高200元，使用高端手机的用户看到的某酒店预订价格比使用普通手机的用户高150元。有用户向平台提出异议，要求平台说明自动化决策的规则，平台以算法属于商业秘密为由拒绝提供解释，也拒绝为用户提供关闭个性化推荐的选项。请结合《个人信息保护法》的相关规定，回答下列问题：（1）“快购网”利用自动化决策进行价格差异对待的行为是否合法？请说明理由。（3分）（2）“快购网”拒绝向用户说明自动化决策规则、拒绝提供关闭个性化推荐选项的行为违反了哪些法律规定？（4分）（3）针对用户的诉求，“快购网”应当采取哪些整改措施？（3分）参考答案及解析一、单项选择题1.答案：A解析：A选项为《个人信息保护法》第28条对敏感个人信息的定义，表述正确；B选项错误，不满十四周岁未成年人的个人信息属于敏感个人信息，而非不满十八周岁；C选项错误，处理敏感个人信息应当取得单独同意；D选项错误，通信记录不属于法定的敏感个人信息范畴。2.答案：C解析：必要原则要求个人信息收集应当限于实现处理目的的最小范围，电商平台注册无需收集通讯录、相册权限，该行为属于过度收集，违反必要原则。3.答案：B解析：《个人信息保护法》第31条规定，处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。4.答案：B解析：《个人信息保护法》第39条规定，个人信息处理者向境外提供个人信息的，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。5.答案：C解析：《个人信息保护法》第54条规定，合规审计报告的保存期限不得少于三年。6.答案：B解析：《个人信息保护法》第13条规定，为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需处理个人信息的，不需要取得个人同意。其余选项均需要取得个人同意。7.答案：B解析：个人信息决定权是指个人有权限制、拒绝他人对其个人信息进行处理，用户明确拒绝后仍收集地理位置信息，侵害了个人的决定权。8.答案：D解析：《个人信息保护法》第57条规定，通知应当包括泄露、篡改、丢失的信息种类、原因和可能造成的危害，个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施，个人信息处理者的联系方式，无需包含法定代表人姓名。9.答案：C解析：A选项错误，只有符合条件的个人信息出境才适用标准合同途径，安全评估、认证等为其他合法途径；B选项错误，标准合同应当采用国家网信部门制定的范本；D选项错误，签订标准合同前应当开展个人信息保护影响评估。10.答案：D解析：履行个人信息保护职责的部门采取查封、扣押措施应当符合法定程序，不得随意查封、扣押所有设备，且应当依法告知当事人。11.答案：C解析：向第三方提供个人敏感信息的，应当再次取得个人的单独同意。12.答案：B解析：《个人信息保护法》第69条规定，个人信息处理侵权适用过错推定责任，处理者能够证明自己没有过错的，可以减轻或者免除责任。13.答案：C解析：内部员工操作手册不属于应当公开的内容，其余选项均为法定公开内容。14.答案：D解析：对个人权益有重大影响的自动化决策，个人有权要求处理者予以说明，处理者不得仅以商业秘密为由拒绝披露必要信息。15.答案：C解析：A选项错误，因侵犯公民个人信息罪受到刑事处罚的人员终身不得从事相关职业；B选项错误，对企业违法处理个人信息负有个人责任的人员，自处罚作出之日起五年内不得担任相关负责人；D选项错误，被处以终身禁业的人员不得任职。二、多项选择题1.答案：ABCDE解析：上述均为《个人信息保护法》第5-8条规定的个人信息处理基本原则。2.答案：ABCDE解析：上述均为《个人信息保护法》第四章规定的个人法定权利。3.答案：ABCDE解析：上述均为《个人信息保护法》对敏感个人信息处理的特殊要求。4.答案：ABCDE解析：《个人信息保护法》第55条规定，上述情形均应当开展个人信息保护影响评估。5.答案：ABCDE解析：《个人信息保护法》第47条规定了上述个人信息删除的法定情形。6.答案：ABCD解析：E选项错误，个人信息保护影响评估报告无需全文向社会公开，仅需依法向监管部门报送即可。7.答案：ABCDE解析：上述均为《个人信息保护法》第17、18条对告知义务的规定。8.答案：ABCDE解析：所有处理个人信息的主体，包括国家机关、企事业单位、个体工商户等，均应当履行个人信息保护义务。9.答案：ABC解析：D选项错误，消费者组织、网信部门确定的组织也有权提起公益诉讼；E选项错误，公益诉讼的判决结果对所有受侵害的个人有效。10.答案：ABCDE解析：上述均为《个人信息保护法》第66条规定的行政处罚种类。三、判断题1.答案：×解析：匿名化处理后的信息无法识别到特定自然人，不属于个人信息范畴。2.答案：√解析：符合《个人信息保护法》第15条关于撤回同意的规定。3.答案：×解析：人脸信息属于敏感个人信息，采集用于商业宣传应当取得个人单独同意，不得随意采集。4.答案：√解析：符合《个人信息保护法》第51条关于个人信息安全保护措施的规定。5.答案：×解析：共同处理个人信息造成损害的，应当承担连带责任，个人可以向任何一方请求赔偿。6.答案：×解析：个人信息处理者委托处理个人信息的，应当对受托人的活动进行监督，委托方仍需承担相应的个人信息保护责任。7.答案：√解析：符合《个人信息保护法》第33条关于国家机关处理个人信息的规定。8.答案：√解析：《个人信息保护法》第25条规定，个人信息处理者不得公开其处理的个人信息，取得个人单独同意的除外。9.答案：×解析：个人信息保护负责人由熟悉个人信息保护业务的人员担任即可，无需法定代表人担任。10.答案：√解析：符合《个人信息保护法》第44条关于个人决定权的规定。四、案例分析题第1题参考答案（1）违反了三项原则：①必要原则，收集通讯录、通话记录等权限与实现点单功能无关，属于过度收集；②公开透明原则，未向用户明确告知共享信息的情况；③诚信原则，强制索取非必要权限、默认共享信息违反诚实信用要求。（2）违法之处包括：①违反最小必要要求，收集与点单服务无关的通讯录、通话记录、相册权限，且强制用户授权否则无法使用服