2025年个人信息保护试题及答案

2025年个人信息保护试题及答案一、单项选择题（共10题，每题2分，共20分。每题只有1个正确答案）1.根据《中华人民共和国个人信息保护法》，下列选项中属于敏感个人信息的是（）A.个人电话号码B.个人电子邮箱C.生物识别信息D.个人收货地址2.处理个人信息应当取得个人同意，关于同意的要求，下列说法正确的是（）A.同意可以是默示的，无需个人明确作出意思表示B.个人同意应当是自愿、明确、具体，可撤回C.隐私政策一经公示即视为个人同意处理其个人信息D.企业可以捆绑业务要求个人一次性同意所有个人信息处理活动3.根据我国个人信息保护相关规定，个人信息处理者处理不满（）未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。A.十四周岁B.十六周岁C.十八周岁D.十二周岁4.个人信息保护影响评估报告应当至少保存（），供履行个人信息保护职责的部门检查。A.一年B.三年C.五年D.十年5.根据《个人信息出境标准合同办法》，个人信息处理者通过订立标准合同的方式向境外提供个人信息的，标准合同应当报（）履行个人信息保护职责的部门备案。A.省级B.国家C.所在地设区的市级D.所在地县级6.下列哪一项不属于个人信息处理者应当主动解除个人信息处理活动、删除个人信息的法定情形（）A.处理目的已经实现、无法实现或者为实现处理目的不再必要B.个人信息处理者停止提供产品或者服务，或者保存期限已经届满C.个人撤回同意且没有其他合法处理依据D.个人信息处理活动获得了个人同意，但处理范围超出同意范围10个工作日内未更正7.按照《网络安全法》《个人信息保护法》的要求，关键信息基础设施运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据，应当存储在（）境内。A.可任意存储，没有强制要求B.境内，确需向境外提供的，应当进行安全评估C.必须存储境内，不得向境外提供D.可存储境外，只需提前告知个人即可8.处理个人信息达到国家网信部门规定数量的个人信息处理者，应当指定（），负责对个人信息处理活动以及采取的保护措施等进行监督。A.企业法定代表人B.合规负责人C.个人信息保护负责人D.企业总经理9.根据《个人信息保护法》规定，处理个人信息应当遵循合法、正当、必要和（）原则。A.公开B.透明C.诚信D.公平10.个人要求个人信息处理者对其个人信息处理规则进行解释说明的，个人信息处理者（）。A.应当及时解释说明，不得拒绝B.有权根据业务繁忙程度决定是否解释C.仅对诉讼相关的要求进行解释说明D.可以要求个人支付解释说明的服务费用二、多项选择题（共10题，每题3分，共30分。每题有2个及以上正确答案，多选、少选、错选均不得分）1.根据《中华人民共和国个人信息保护法》规定，个人信息处理者可在下列哪些情形下合法处理个人信息，无需取得个人同意（）A.为订立、履行个人作为一方当事人的合同所必需B.按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需C.为履行法定职责或者法定义务所必需D.为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需2.个人信息处理者处理敏感个人信息应当满足下列哪些条件（）A.具有特定的目的B.具有充分的必要性C.取得个人的单独同意D.采取严格的保护措施3.有下列哪些情形之一的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录（）A.处理敏感个人信息B.利用个人信息进行自动化决策C.委托处理个人信息、向境外提供个人信息D.处理一百万人以上个人信息4.个人享有的个人信息相关权利包括下列哪些选项（）A.知情权、决定权B.查阅、复制权C.更正、补充权D.删除权、可携带权5.根据《个人信息保护法》关于自动化决策的规定，下列说法正确的有（）A.利用个人信息进行自动化决策，应当保证决策的透明度和结果公平公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇B.通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定C.自动化决策收集个人信息必须获得个人同意，不得在未经同意的情况下基于用户画像推送商业信息D.向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式6.个人信息处理者委托处理个人信息的，应当与受托人约定下列哪些内容（）A.委托处理个人信息的目的、方式、范围B.委托处理个人信息的期限C.双方的个人信息保护义务和责任D.受托人应当采取的安全措施7.根据个人信息保护相关规定，个人向境外提供个人信息的，应当符合下列哪些情形之一（）A.依照国家网信部门的规定经安全评估合格B.按照国家网信部门的规定经个人信息保护认证合格C.按照国家网信部门制定的标准合同与境外接收方订立合同D.境外接收方所在国家或者地区的个人信息保护水平高于我国，自动满足出境要求8.履行个人信息保护职责的部门履行职责可以采取下列哪些措施（）A.询问与涉嫌违法行为有关的单位和个人，询问有关情况B.查阅、复制与涉嫌违法行为有关的合同、票据、账簿以及其他有关资料C.查封、扣押与涉嫌违法行为有关的设备、物品D.进入涉嫌违法行为发生场所调查取证9.下列关于个人信息存储期限的要求，说法正确的有（）A.个人信息的存储期限应当为实现处理目的所必要的最短期限B.法律、行政法规另有规定的从其规定C.存储期限届满后必须立即匿名化处理，不得继续存储D.为了便于后续业务开展，可以长期存储所有收集的个人信息10.个人信息处理者发生或者发现个人信息泄露事件时，应当采取的措施包括（）A.立即启动应急预案，对泄露事件进行处置B.按照规定及时通知履行个人信息保护职责的部门C.通知受影响的个人，告知泄露的信息种类、原因、影响以及补救措施D.隐瞒泄露事件，避免影响企业声誉，私下自行补救三、判断题（共10题，每题1分，共10分。正确打√，错误打×）1.匿名化处理后的信息不属于个人信息，不受个人信息保护法的约束。（）2.个人撤回同意后，个人信息处理者不得继续处理该个人信息，且必须及时删除该个人信息，没有例外情形。（）3.个人信息处理者不得公开其处理的个人信息，取得个人单独同意的除外。（）4.提供互联网平台服务的大型平台，当平台经营者发生合并、分立情形时，不需要对个人信息保护事项作出安排，直接移交个人信息即可。（）5.国家机关为履行法定职责处理个人信息，不需要告知个人处理个人信息的相关事项。（）6.个人信息保护法规定，个人有权要求个人信息处理者更正、补充其不准确、不完整的个人信息。（）7.处理个人信息只要不侵害公民权益，就可以不遵守个人信息保护法的规定。（）8.个人信息处理者对其个人信息处理活动负责，并应当采取必要措施保障所处理的个人信息的安全。（）9.未成年人的个人信息不属于敏感个人信息，不需要监护人同意即可处理。（）10.违反个人信息保护法规定处理个人信息，给他人造成损害的，应当依法承担赔偿责任。（）四、简答题（共2题，每题10分，共20分）1.简述《个人信息保护法》规定的个人信息处理者的义务。2.简述个人信息出境的合法路径及适用场景。五、案例分析题（共1题，20分）某头部社区团购平台A公司，为精准推送商品广告，在用户注册APP时，通过隐私政策“一揽子”要求用户同意其收集用户的通讯录信息、位置信息、生物识别信息用于平台运营，用户不同意授权部分权限就无法注册使用APP。2024年10月，A公司为拓展境外业务，将其境内收集的120万用户的收货地址、联系方式、消费记录等个人信息，通过签订合同的方式提供给境外合作企业B公司，A公司处理该批个人信息未进行个人信息保护影响评估，也未履行备案程序。A公司存储个人信息时，仅将用户个人信息明文存储在普通云服务器中，未对敏感个人信息进行加密处理，也未制定个人信息安全事件应急预案。2024年12月，A公司服务器被黑客入侵，导致50万用户个人信息泄露，A公司未通知监管部门，也未告知受影响用户。请结合《中华人民共和国个人信息保护法》等相关规定，回答以下问题：（1）A公司在个人信息收集环节存在哪些违法违规行为？（6分）（2）A公司在个人信息出境环节存在哪些违法违规行为？（6分）（3）A公司在个人信息安全管理和事件处置环节存在哪些违法违规行为？（4分）（4）请列出A公司可能面临的行政处罚种类。（4分）一、单项选择题1.答案：C解析：根据《中华人民共和国个人信息保护法》第二十八条规定，敏感个人信息是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。个人电话号码、电子邮箱、收货地址属于一般个人信息，不属于敏感个人信息，因此C选项正确。2.答案：B解析：根据《个人信息保护法》第十四条规定，同意应当是自愿、明确、具体的，个人有权撤回同意。A选项错误，同意必须是个人明确作出的意思表示，默示同意仅在法律明确规定的情形下适用，不能默认；C选项错误，隐私政策公示仅为告知义务，不等于取得个人同意；D选项错误，个人信息处理者不得捆绑服务要求个人一次性概括同意，应当就不同处理活动分别取得同意。因此B选项正确。3.答案：A解析：《个人信息保护法》第三十一条明确规定，处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意，因此A选项正确。4.答案：B解析：根据《个人信息保护法》第五十五条、第五十六条规定，个人信息保护影响评估报告应当至少保存三年，因此B选项正确。5.答案：A解析：《个人信息出境标准合同办法》第五条明确规定，个人信息处理者应当在标准合同生效之日起10个工作日内，向所在地省级网信部门备案，因此A选项正确。6.答案：D解析：根据《个人信息保护法》第四十七条规定，有下列情形之一的，个人信息处理者应当主动删除个人信息：（一）处理目的已经实现、无法实现或者为实现处理目的不再必要；（二）个人信息处理者停止提供产品或者服务，或者保存期限已经届满；（三）个人撤回同意且没有其他合法依据；（四）法律、行政法规规定的其他情形。超出同意范围处理个人信息，个人有权要求删除，但不属于法定应当主动删除的情形，因此D选项正确。7.答案：B解析：《网络安全法》第三十七条规定，关键信息基础设施运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据，应当存储在境内。确需向境外提供的，应当进行安全评估，因此B选项正确。8.答案：C解析：《个人信息保护法》第五十二条规定，处理个人信息达到国家网信部门规定数量的个人信息处理者，应当指定个人信息保护负责人，负责监督个人信息处理活动和保护措施，因此C选项正确。9.答案：C解析：《个人信息保护法》第五条明确规定，处理个人信息应当遵循合法、正当、必要和诚信原则，因此C选项正确。10.答案：A解析：《个人信息保护法》第四十八条规定，个人有权要求个人信息处理者对其个人信息处理规则进行解释说明，个人信息处理者应当及时作出解释说明，不得拒绝，因此A选项正确。二、多项选择题1.答案：ABCD解析：根据《个人信息保护法》第十三条规定，以上四种情形均属于无需取得个人同意即可合法处理个人信息的情形，因此四个选项均正确。2.答案：ABCD解析：《个人信息保护法》第二十八条、第二十九条规定，处理敏感个人信息应当具有特定的目的、充分的必要性，取得个人单独同意，同时采取严格的保护措施，因此四个选项均正确。3.答案：ABCD解析：《个人信息保护法》第五十五条明确列举了需要事前进行个人信息保护影响评估的情形，以上四种情形均符合要求，因此四个选项均正确。4.答案：ABCD解析：《个人信息保护法》第四章明确规定了个人享有的知情权、决定权，查阅复制权，更正补充权，删除权、可携带权等多项权利，因此四个选项均正确。5.答案：ABD解析：C选项错误，在符合法定情形下，无需个人同意即可基于自动化决策收集个人信息，比如为履行合同所必需。《个人信息保护法》第二十四条规定，利用个人信息进行自动化决策，应当保证公平透明，不得实行不合理差别待遇；对权益有重大影响的决策，个人有权要求说明并拒绝仅通过自动化决策作出决定；信息推送应当提供不针对个人特征的选项和便捷的拒绝方式，因此ABD选项正确。6.答案：ABCD解析：《个人信息保护法》第二十一条规定，个人信息处理者委托处理个人信息的，应当就处理目的、方式、范围、期限、安全措施、双方权利义务等事项作出约定，因此四个选项均正确。7.答案：ABC解析：根据我国个人信息保护相关规定，个人信息出境的合法路径只有三种：安全评估、个人信息保护认证、标准合同，不存在自动满足出境要求的情形，因此ABC选项正确。8.答案：ABCD解析：《个人信息保护法》第六十三条明确规定了履行个人信息保护职责的部门可以采取的执法措施，以上四种均属于法定职权，因此四个选项均正确。9.答案：AB解析：C选项错误，存储期限届满后，符合法律规定的存储要求（比如为了公共利益、存档等目的）可以继续存储，不是必须匿名化；D选项错误，不得超出必要期限存储个人信息，因此AB选项正确。10.答案：ABC解析：《个人信息保护法》第五十七条规定，发生个人信息泄露事件后，个人信息处理者应当立即处置，及时通知监管部门和受影响个人，不得隐瞒事件，因此D选项错误，ABC选项正确。三、判断题1.答案：√解析：《个人信息保护法》第二十八条明确规定，匿名化处理后的信息不属于个人信息，因此不受个人信息保护法约束，本题表述正确。2.答案：×解析：根据《个人信息保护法》规定，个人撤回同意后，若个人信息处理者有其他合法处理依据（比如履行法定义务），可以继续处理，并非必须全部删除，本题表述错误。3.答案：√解析：《个人信息保护法》第二十五条明确规定，个人信息处理者不得公开个人信息，取得个人单独同意的除外，本题表述正确。4.答案：×解析：《个人信息保护法》第二十二条规定，个人信息处理者发生合并、分立等情形的，应当就个人信息保护事项作出明确安排，承继其权利义务，本题表述错误。5.答案：×解析：《个人信息保护法》第三十五条规定，国家机关为履行法定职责处理个人信息，也应当依法告知个人，除非法律、行政法规规定应当保密或者不需要告知，本题表述错误。6.答案：√解析：《个人信息保护法》第四十六条明确规定了个人的更正、补充权，本题表述正确。7.答案：×解析：所有个人信息处理活动都应当遵守个人信息保护法的规定，即使没有造成损害，违反程序要求也属于违法，本题表述错误。8.答案：√解析：《个人信息保护法》第五条明确规定了个人信息处理者的责任原则，处理者对自身处理活动负责并保障个人信息安全，本题表述正确。9.答案：×解析：根据《个人信息保护法》规定，不满十四周岁未成年人的个人信息属于敏感个人信息，本题表述错误。10.答案：√解析：《个人信息保护法》第六十九条明确规定，违反本法给他人造成损害的，依法承担民事赔偿责任，本题表述正确。四、简答题1.参考答案：《个人信息保护法》规定的个人信息处理者主要义务包括：（1）遵循合法、正当、必要、诚信原则，公开处理规则，明示处理的目的、方式、范围；（2分）（2）建立健全个人信息保护管理制度，采取相应的技术安全措施保障个人信息安全，根据处理活动的风险等级匹配对应保护能力；（2分）（3）处理个人信息应当取得合法基础，满足法定条件，处理敏感个人信息应当取得个人单独同意，处理未成年人个人信息应当取得监护人同意；（2分）（4）按照规定对需要评估的处理活动事前开展个人信息保护影响评估，记录处理情况并留存评估报告；（2分）（5）发生个人信息安全事件时应当及时处置、通知监管部门和受影响个人；接受个人行使权利的请求，配合个人实现查阅、复制、更正、删除等权利；法律、行政法规规定的其他义务。（2分）2.参考答案：根据我国现行个人信息保护规定，个人信息出境共有三条合法路径，适用场景分别为：（1）安全评估：适用场景包括：①处理个人信息达到100万人以上的个人信息处理者向境外提供个人信息；②出境个人信息达到10万人以上；③关键信息基础设施运营者向境外提供个人信息；④国家网信部门规定应当进行安全评估的其他情形。该路径是出境规模较大、风险较高场景的法定要求。（4分）（2）个人信息保护认证：适用场景为不需要进行安全评估的中小规模个人信息出境活动，个人信息处理者经过国家网信部门认可的机构认证合格后，即可向境外提供个人信息，适用于风险程度中等的出境场景。（3分）（3）标准合同备案：适用场景同样为不需要进行安全评估的中小规模出境活动，个人信息处理者与境外接收方签订国家网信部门统一制定的标准合同后，向省级网信部门备案即可完成出境合规，适用范围广泛，是中小微企业出境活动最常