2025年數(shù)據(jù)隱私保護(hù)與合規(guī)管理考核試卷及答案一、單項(xiàng)選擇題1.根據(jù)《個(gè)人信息保護(hù)法》，個(gè)人信息處理者因業(yè)務(wù)需要向境外提供個(gè)人信息時(shí)，以下哪項(xiàng)不屬于法定合規(guī)路徑？A.通過國家網(wǎng)信部門組織的安全評估B.與境外接收方訂立標(biāo)準(zhǔn)合同C.經(jīng)專業(yè)機(jī)構(gòu)認(rèn)證符合國家規(guī)定的標(biāo)準(zhǔn)D.取得信息主體口頭同意答案：D

解析：《個(gè)人信息保護(hù)法》第三十八條規(guī)定，向境外提供個(gè)人信息的法定路徑包括安全評估、標(biāo)準(zhǔn)合同、認(rèn)證等，需取得個(gè)人“明確同意”而非口頭同意，因此D錯(cuò)誤。2.以下哪類信息不屬于《個(gè)人信息保護(hù)法》定義的“敏感個(gè)人信息”？A.15周歲未成年人的身份證號(hào)碼B.醫(yī)療健康信息C.金融賬戶交易記錄D.普通企業(yè)員工的考勤時(shí)間答案：D

解析：敏感個(gè)人信息指一旦泄露或?yàn)E用可能危害人身和財(cái)產(chǎn)安全的信息，包括生物識(shí)別、宗教信仰、醫(yī)療健康、金融賬戶、行蹤軌跡等（《個(gè)人信息保護(hù)法》第二十八條）。普通考勤時(shí)間不屬于敏感范疇。3.數(shù)據(jù)處理者在收集個(gè)人信息前，必須向用戶明確告知的內(nèi)容不包括：A.個(gè)人信息的存儲(chǔ)地點(diǎn)B.信息處理者的聯(lián)系方式C.用戶行使權(quán)利的方式D.信息處理的預(yù)期收益答案：D

解析：《個(gè)人信息保護(hù)法》第十七條要求告知內(nèi)容包括處理目的、方式、種類、存儲(chǔ)時(shí)間、存儲(chǔ)地點(diǎn)、聯(lián)系方式、權(quán)利行使方式等，不涉及處理者的預(yù)期收益。4.關(guān)于“匿名化”與“去標(biāo)識(shí)化”的區(qū)別，正確的表述是：A.匿名化后的數(shù)據(jù)仍可通過其他信息復(fù)原，去標(biāo)識(shí)化不可復(fù)原B.去標(biāo)識(shí)化后的數(shù)據(jù)屬于個(gè)人信息，匿名化后不屬于C.兩者均需取得用戶同意方可處理D.匿名化是技術(shù)手段，去標(biāo)識(shí)化是法律概念答案：B

解析：去標(biāo)識(shí)化數(shù)據(jù)仍可通過關(guān)聯(lián)其他信息識(shí)別特定自然人（屬于個(gè)人信息），匿名化數(shù)據(jù)無法復(fù)原（不屬于個(gè)人信息）（《個(gè)人信息保護(hù)法》第四條）。5.用戶要求數(shù)據(jù)處理者刪除其個(gè)人信息時(shí)，處理者無需配合的情形是：A.處理目的已實(shí)現(xiàn)，無需繼續(xù)保留B.用戶撤回了同意且無其他合法基礎(chǔ)C.數(shù)據(jù)已通過匿名化處理D.處理行為違反法律法規(guī)答案：C

解析：《個(gè)人信息保護(hù)法》第四十七條規(guī)定，若數(shù)據(jù)已匿名化，無法識(shí)別特定自然人，則刪除請求無實(shí)際意義，處理者無需配合。6.GDPR規(guī)定，數(shù)據(jù)泄露事件發(fā)生后，數(shù)據(jù)控制者應(yīng)在多長時(shí)間內(nèi)向監(jiān)管機(jī)構(gòu)報(bào)告？A.24小時(shí)B.48小時(shí)C.72小時(shí)D.10個(gè)工作日答案：B

解析：GDPR第33條要求，若數(shù)據(jù)泄露可能對個(gè)人權(quán)利造成高風(fēng)險(xiǎn)，控制者應(yīng)在知悉后72小時(shí)內(nèi)報(bào)告；若無需報(bào)告高風(fēng)險(xiǎn)，可延長至10個(gè)工作日，但本題默認(rèn)高風(fēng)險(xiǎn)場景，故正確答案為B（注：2025年修訂后仍維持核心要求）。7.以下哪項(xiàng)不屬于數(shù)據(jù)隱私影響評估（PIA）的必評內(nèi)容？A.數(shù)據(jù)處理的必要性和比例原則B.數(shù)據(jù)安全技術(shù)措施的有效性C.數(shù)據(jù)處理者的市場占有率D.個(gè)人信息主體權(quán)益的潛在風(fēng)險(xiǎn)答案：C

解析：《個(gè)人信息保護(hù)法》第五十五條規(guī)定，PIA需評估處理目的合法性、必要性、安全性措施、風(fēng)險(xiǎn)及應(yīng)對等，不涉及處理者的市場占有率。8.某企業(yè)擬通過APP收集用戶位置信息，以下合規(guī)操作是：A.安裝APP時(shí)默認(rèn)開啟位置權(quán)限B.僅在使用“附近門店”功能時(shí)請求位置權(quán)限C.收集范圍覆蓋用戶過去1年的全部位置軌跡D.與第三方共享位置信息前無需再次告知用戶答案：B

解析：需遵循“最小必要”原則（《個(gè)人信息保護(hù)法》第六條），僅在功能需要時(shí)請求權(quán)限，且共享信息需單獨(dú)告知并取得同意。9.關(guān)于未成年人個(gè)人信息保護(hù)，以下說法錯(cuò)誤的是：A.處理14周歲以下未成年人信息需取得監(jiān)護(hù)人同意B.兒童專用APP需設(shè)置獨(dú)立的隱私保護(hù)功能C.未成年人可自行撤回對個(gè)人信息處理的同意D.需制定專門的未成年人信息處理規(guī)則答案：C

解析：《個(gè)人信息保護(hù)法》第三十一條規(guī)定，14周歲以下未成年人信息處理需監(jiān)護(hù)人同意，未成年人自身撤回同意的行為需監(jiān)護(hù)人確認(rèn)，故C錯(cuò)誤。10.數(shù)據(jù)處理者未按規(guī)定制定并公開隱私政策，可能面臨的最高處罰是：A.警告B.50萬元罰款C.上一年度營業(yè)額5%的罰款D.吊銷營業(yè)執(zhí)照答案：C

解析：《個(gè)人信息保護(hù)法》第六十六條規(guī)定，情節(jié)嚴(yán)重的，可處上一年度營業(yè)額5%以下罰款（最高5000萬元），并可責(zé)令暫停業(yè)務(wù)或吊銷相關(guān)業(yè)務(wù)許可。二、多項(xiàng)選擇題11.《個(gè)人信息保護(hù)法》規(guī)定的個(gè)人信息處理原則包括：A.合法、正當(dāng)、必要原則B.最小必要原則C.公開透明原則D.質(zhì)量原則（準(zhǔn)確性、完整性）答案：ABCD

解析：《個(gè)人信息保護(hù)法》第五條至第八條明確規(guī)定了合法正當(dāng)必要、最小必要、公開透明、質(zhì)量等原則。12.數(shù)據(jù)跨境傳輸時(shí)，需向用戶告知的內(nèi)容包括：A.接收方的名稱和聯(lián)系方式B.數(shù)據(jù)在境外的存儲(chǔ)地點(diǎn)C.境外法律對數(shù)據(jù)保護(hù)的影響D.用戶行使權(quán)利的途徑答案：ABCD

解析：《個(gè)人信息保護(hù)法》第三十九條要求，向境外提供個(gè)人信息前需告知接收方信息、存儲(chǔ)地點(diǎn)、境外法律影響及權(quán)利行使方式。13.用戶對其個(gè)人信息享有的權(quán)利包括：A.查閱、復(fù)制權(quán)B.更正、補(bǔ)充權(quán)C.限制處理權(quán)D.刪除權(quán)答案：ABCD

解析：《個(gè)人信息保護(hù)法》第四章明確規(guī)定了用戶的查閱復(fù)制、更正補(bǔ)充、限制處理、刪除等權(quán)利。14.敏感個(gè)人信息處理的特殊要求包括：A.取得個(gè)人“單獨(dú)同意”B.進(jìn)行隱私影響評估C.告知處理的必要性及對個(gè)人權(quán)益的影響D.僅用于實(shí)現(xiàn)特定目的答案：ABCD

解析：《個(gè)人信息保護(hù)法》第二十九條至第三十條規(guī)定，敏感信息處理需單獨(dú)同意、開展PIA、告知必要性及影響，并嚴(yán)格限制處理目的。15.數(shù)據(jù)處理者的合規(guī)義務(wù)包括：A.制定內(nèi)部管理制度和操作規(guī)程B.對員工進(jìn)行數(shù)據(jù)安全培訓(xùn)C.定期進(jìn)行合規(guī)審計(jì)D.公開個(gè)人信息保護(hù)負(fù)責(zé)人聯(lián)系方式答案：ABCD

解析：《個(gè)人信息保護(hù)法》第五十一條至第五十二條規(guī)定，處理者需建立制度、培訓(xùn)員工、審計(jì)合規(guī)性，并指定負(fù)責(zé)人（需公開聯(lián)系方式）。16.以下哪些情形可能構(gòu)成數(shù)據(jù)泄露？A.員工誤將包含用戶信息的文件上傳至公共網(wǎng)盤B.黑客攻擊導(dǎo)致數(shù)據(jù)庫用戶信息被竊取C.合法共享的信息在接收方處發(fā)生丟失D.去標(biāo)識(shí)化數(shù)據(jù)被第三方重新識(shí)別答案：ABC

解析：數(shù)據(jù)泄露指未經(jīng)授權(quán)的訪問、披露或丟失（《個(gè)人信息保護(hù)法》第七十三條），去標(biāo)識(shí)化數(shù)據(jù)因無法識(shí)別特定個(gè)人，不構(gòu)成泄露。17.隱私政策需包含的核心內(nèi)容有：A.個(gè)人信息的收集范圍和方式B.信息共享、轉(zhuǎn)讓、公開的情形C.數(shù)據(jù)存儲(chǔ)期限和地點(diǎn)D.投訴舉報(bào)的渠道答案：ABCD

解析：《個(gè)人信息保護(hù)法》第十七條要求隱私政策需明確收集范圍、共享情形、存儲(chǔ)信息及投訴渠道等內(nèi)容。18.關(guān)于“同意”的有效性，以下說法正確的是：A.同意需由個(gè)人自愿、明確作出B.未成年人的同意需由監(jiān)護(hù)人代為作出（14周歲以下）C.同意可通過勾選復(fù)選框、點(diǎn)擊確認(rèn)等方式表示D.處理者可將同意作為提供服務(wù)的唯一條件答案：ABC

解析：《個(gè)人信息保護(hù)法》第十四條規(guī)定，同意需自愿明確，14周歲以下未成年人需監(jiān)護(hù)人同意，同意方式需清晰；處理者不得將同意作為提供服務(wù)的唯一條件（否則構(gòu)成“強(qiáng)制同意”）。19.數(shù)據(jù)安全事件應(yīng)急響應(yīng)流程包括：A.事件發(fā)現(xiàn)與初步評估B.啟動(dòng)應(yīng)急預(yù)案并隔離風(fēng)險(xiǎn)C.通知監(jiān)管機(jī)構(gòu)和受影響用戶D.總結(jié)事件并改進(jìn)措施答案：ABCD

解析：《數(shù)據(jù)安全法》第二十九條及《個(gè)人信息保護(hù)法》第五十七條要求，應(yīng)急響應(yīng)需涵蓋發(fā)現(xiàn)、隔離、通知、總結(jié)等環(huán)節(jié)。20.第三方合作中，數(shù)據(jù)處理者的合規(guī)責(zé)任包括：A.對合作方進(jìn)行合規(guī)評估B.在合同中明確數(shù)據(jù)處理范圍和責(zé)任C.監(jiān)督合作方的處理行為D.合作結(jié)束后要求其刪除或返還數(shù)據(jù)答案：ABCD

解析：《個(gè)人信息保護(hù)法》第二十三條規(guī)定，委托處理個(gè)人信息時(shí)，需通過合同約定處理范圍、責(zé)任，并監(jiān)督合作方；合作終止后需刪除或返還數(shù)據(jù)。三、判斷題21.匿名化處理后的數(shù)據(jù)可以不受《個(gè)人信息保護(hù)法》約束。()答案：√

解析：匿名化數(shù)據(jù)無法識(shí)別特定自然人（《個(gè)人信息保護(hù)法》第四條），不屬于個(gè)人信息，故不受該法約束。22.用戶撤回同意后，數(shù)據(jù)處理者必須立即刪除所有已收集的個(gè)人信息。()答案：×

解析：若數(shù)據(jù)處理有其他合法基礎(chǔ)（如履行法定義務(wù)），撤回同意不必然導(dǎo)致刪除（《個(gè)人信息保護(hù)法》第四十七條）。23.數(shù)據(jù)處理者可將用戶的瀏覽記錄與其他信息結(jié)合，用于個(gè)性化推薦，無需額外告知。()答案：×

解析：個(gè)性化推薦屬于敏感處理方式，需在隱私政策中明確告知處理目的和方式（《個(gè)人信息保護(hù)法》第二十四條）。24.跨境傳輸個(gè)人信息時(shí)，只需取得用戶同意即可，無需通過安全評估或標(biāo)準(zhǔn)合同。()答案：×

解析：《個(gè)人信息保護(hù)法》第三十八條規(guī)定，用戶同意是必要條件，但需同時(shí)滿足安全評估、標(biāo)準(zhǔn)合同或認(rèn)證等法定路徑。25.處理16周歲未成年人的信息，無需取得監(jiān)護(hù)人同意。()答案：×

解析：《個(gè)人信息保護(hù)法》第三十一條規(guī)定，14周歲以下未成年人信息處理需監(jiān)護(hù)人同意；14-18周歲可自行同意，但需考慮其民事行為能力。26.數(shù)據(jù)泄露事件中，若未造成實(shí)際損害，處理者無需向用戶告知。()答案：×

解析：《個(gè)人信息保護(hù)法》第五十七條規(guī)定，發(fā)生泄露后，無論是否造成實(shí)際損害，均需及時(shí)通知用戶（可能造成危害時(shí)）。27.隱私政策可以采用彈窗形式展示，但需確保用戶可隨時(shí)查閱。()答案：√

解析：隱私政策需公開透明，彈窗展示是常見方式，同時(shí)需在APP內(nèi)設(shè)置固定入口供用戶隨時(shí)查閱（《個(gè)人信息保護(hù)法》第十七條）。28.數(shù)據(jù)處理者可將用戶的生物識(shí)別信息與其他信息混合存儲(chǔ)，無需單獨(dú)加密。()答案：×

解析：敏感個(gè)人信息需采取嚴(yán)格加密、訪問控制等安全技術(shù)措施（《個(gè)人信息保護(hù)法》第五十一條）。29.用戶要求復(fù)制個(gè)人信息時(shí)，處理者可收取合理的復(fù)制成本費(fèi)用。()答案：√

解析：《個(gè)人信息保護(hù)法》第四十五條規(guī)定，用戶復(fù)制個(gè)人信息時(shí)，處理者可收取必要成本費(fèi)用。30.數(shù)據(jù)處理者的個(gè)人信息保護(hù)負(fù)責(zé)人必須由企業(yè)高管擔(dān)任。()答案：√

解析：《個(gè)人信息保護(hù)法》第五十二條規(guī)定，處理者需指定負(fù)責(zé)人，通常由高管擔(dān)任以確保合規(guī)決策的權(quán)威性。四、填空題31.《個(gè)人信息保護(hù)法》自_年_月____日起施行。答案：2021年11月1日32.個(gè)人信息處理的“最小必要”原則要求，收集的個(gè)人信息數(shù)量應(yīng)____實(shí)現(xiàn)處理目的所需的最低限度。答案：限于33.GDPR的“地域適用范圍”包括在歐盟境內(nèi)設(shè)立的機(jī)構(gòu)處理個(gè)人信息，或雖未設(shè)立機(jī)構(gòu)但向歐盟境內(nèi)個(gè)人提供____或分析其行為的情形。答案：商品/服務(wù)34.用戶要求查閱個(gè)人信息時(shí)，數(shù)據(jù)處理者應(yīng)在____個(gè)工作日內(nèi)提供查閱途徑。答案：1535.數(shù)據(jù)跨境傳輸?shù)姆ǘ窂桨ò踩u估、____和認(rèn)證。答案：標(biāo)準(zhǔn)合同36.敏感個(gè)人信息的定義需同時(shí)滿足“一旦泄露或?yàn)E用”可能導(dǎo)致_或_危害的條件。答案：人身；財(cái)產(chǎn)37.隱私影響評估（PIA）的結(jié)果需保存____年以上。答案：338.數(shù)據(jù)處理者的責(zé)任主體包括_和_（如委托處理時(shí)的受托方）。答案：控制者；處理者39.針對14周歲以下未成年人的個(gè)人信息處理，需取得____的單獨(dú)同意。答案：監(jiān)護(hù)人40.數(shù)據(jù)泄露事件發(fā)生后，處理者應(yīng)在____小時(shí)內(nèi)向履行個(gè)人信息保護(hù)職責(zé)的部門報(bào)告（高風(fēng)險(xiǎn)情形）。答案：72五、簡答題41.簡述個(gè)人信息處理的合法基礎(chǔ)。(1).取得個(gè)人的同意（包括一般同意和單獨(dú)同意）。

(2).為訂立或履行合同所必需。

(3).為履行法定職責(zé)或法定義務(wù)所必需。

(4).為應(yīng)對公共衛(wèi)生事件或緊急情況，保護(hù)自然人生命健康和財(cái)產(chǎn)安全所必需。

(5).為公共利益實(shí)施新聞報(bào)道、輿論監(jiān)督等行為，在合理范圍內(nèi)處理個(gè)人信息。

(6).法律、行政法規(guī)規(guī)定的其他情形。42.數(shù)據(jù)跨境傳輸?shù)暮弦?guī)路徑有哪些？(1).通過國家網(wǎng)信部門組織的安全評估（適用于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和處理個(gè)人信息達(dá)到國家規(guī)定數(shù)量的處理者）。

(2).與境外接收方訂立國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同（適用于其他數(shù)據(jù)處理者）。

(3).按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機(jī)構(gòu)認(rèn)證（需符合國家規(guī)定的認(rèn)證標(biāo)準(zhǔn)）。

(4).法律、行政法規(guī)或者國家網(wǎng)信部門規(guī)定的其他條件（如參加官方認(rèn)可的隱私保護(hù)認(rèn)證體系）。43.用戶對其個(gè)人信息享有哪些具體權(quán)利？(1).查閱、復(fù)制權(quán)：可要求處理者提供個(gè)人信息的副本及處理情況。

(2).更正、補(bǔ)充權(quán)：對不準(zhǔn)確或不完整的信息，可要求更正或補(bǔ)充。

(3).刪除權(quán)：在法定情形下（如處理目的已實(shí)現(xiàn)、用戶撤回同意等）可要求刪除。

(4).限制處理權(quán)：在對信息準(zhǔn)確性有異議或處理違法時(shí)，可要求限制處理。

(5).轉(zhuǎn)移權(quán)：可要求將個(gè)人信息轉(zhuǎn)移至指定的其他處理者（數(shù)據(jù)可攜帶權(quán)）。

(6).撤回同意權(quán)：可撤回之前作出的同意，不影響撤回前基于同意的處理。44.敏感個(gè)人信息的處理要求有哪些？(1).取得個(gè)人的“單獨(dú)同意”（需明確告知處理敏感信息的必要性及對個(gè)人權(quán)益的影響）。

(2).進(jìn)行隱私影響評估（PIA），評估內(nèi)容包括處理的必要性、安全性措施、風(fēng)險(xiǎn)及應(yīng)對等。

(3).嚴(yán)格限制處理目的（僅用于實(shí)現(xiàn)特定目的，非必要不處理）。

(4).采取更嚴(yán)格的安全技術(shù)措施（如加密存儲(chǔ)、訪問控制、最小化授權(quán)等）。

(5).明確告知處理敏感信息的具體類型、方式和存儲(chǔ)期限（需在隱私政策中單獨(dú)說明）。45.數(shù)據(jù)泄露應(yīng)急響應(yīng)的主要流程是什么？(1).事件發(fā)現(xiàn)與評估：通過監(jiān)控系統(tǒng)或內(nèi)部報(bào)告發(fā)現(xiàn)泄露，初步評估影響范圍和風(fēng)險(xiǎn)等級(jí)。

(2).啟動(dòng)應(yīng)急預(yù)案：成立應(yīng)急小組，隔離受影響系統(tǒng)，防止泄露擴(kuò)大。

(3).技術(shù)溯源與修復(fù)：分析泄露原因，修復(fù)系統(tǒng)漏洞或終止違規(guī)操作。

(4).通知相關(guān)方：向監(jiān)管機(jī)構(gòu)報(bào)告（高風(fēng)險(xiǎn)情形72小時(shí)內(nèi)），向受影響用戶告知泄露情況及補(bǔ)救措施。

(5).后續(xù)處置：對受影響用戶提供補(bǔ)償（如身份保護(hù)服務(wù)），對責(zé)任人員追責(zé)。

(6).總結(jié)改進(jìn)：形成事件報(bào)告，修訂隱私政策和安全措施，開展員工培訓(xùn)。六、案例分析題46.某電商平臺(tái)因系統(tǒng)漏洞導(dǎo)致50萬用戶的姓名、手機(jī)號(hào)、收貨地址泄露，部分信息被用于電信詐騙。請分析平臺(tái)的合規(guī)責(zé)任及應(yīng)對措施。答案：

-(1).合規(guī)責(zé)任：平臺(tái)未履行數(shù)據(jù)安全保護(hù)義務(wù)（《個(gè)人信息保護(hù)法》第五十一條），未采取足夠技術(shù)措施防止泄露，需承擔(dān)行政責(zé)任（罰款、暫停業(yè)務(wù)等）及民事賠償責(zé)任（用戶因詐騙遭受的損失）。

-(2).應(yīng)對措施：

-立即隔離漏洞系統(tǒng)，修復(fù)安全隱患；

-在72小時(shí)內(nèi)