2025年個人隱私保護(hù)普及試題及答案解析單位所屬部門：________姓名：________考場號：________考生號：________一、選擇題1.個人信息在哪些情況下可以被合法收集？（）A.未獲得用戶明確同意的情況下收集其位置信息B.為提供商品或服務(wù)，在用戶同意的范圍內(nèi)收集必要信息C.隨機(jī)收集網(wǎng)絡(luò)用戶的瀏覽記錄用于廣告投放D.收集他人的社交關(guān)系信息用于商業(yè)分析答案：B解析：合法收集個人信息必須基于合法性原則，即需要獲得用戶的明確同意或基于法律規(guī)定。為提供商品或服務(wù)，在用戶同意的范圍內(nèi)收集必要信息是合法的，這是個人信息處理的基本要求。未獲得用戶同意收集位置信息、隨機(jī)收集網(wǎng)絡(luò)用戶瀏覽記錄、收集他人社交關(guān)系信息均屬于侵犯用戶隱私的行為，違反了個人隱私保護(hù)的相關(guān)規(guī)定。2.以下哪種行為不屬于信息泄露？（）A.黑客攻擊網(wǎng)站竊取用戶數(shù)據(jù)庫B.員工將公司客戶名單用于個人目的C.應(yīng)用程序在未明確告知的情況下收集敏感信息D.公司內(nèi)部信息系統(tǒng)訪問權(quán)限設(shè)置合理答案：D解析：信息泄露是指未經(jīng)授權(quán)的個人信息被泄露或濫用。黑客攻擊網(wǎng)站竊取用戶數(shù)據(jù)庫、員工將公司客戶名單用于個人目的、應(yīng)用程序在未明確告知的情況下收集敏感信息都屬于信息泄露或侵犯個人隱私的行為。公司內(nèi)部信息系統(tǒng)訪問權(quán)限設(shè)置合理是保護(hù)信息安全的有效措施，不屬于信息泄露。3.用戶可以拒絕個人信息的哪些處理方式？（）A.在用戶明確同意前進(jìn)行信息推送B.根據(jù)用戶行為進(jìn)行個性化推薦C.為提供公共服務(wù)依法收集必要信息D.在用戶同意的情況下收集其生物識別信息答案：A解析：用戶對于個人信息的處理享有知情權(quán)和選擇權(quán)。在用戶未明確同意前進(jìn)行信息推送屬于強(qiáng)制處理個人信息，用戶有權(quán)拒絕。根據(jù)用戶行為進(jìn)行個性化推薦、為提供公共服務(wù)依法收集必要信息、在用戶同意的情況下收集其生物識別信息都是在合法合規(guī)的前提下進(jìn)行的處理，用戶通常不能拒絕。4.個人信息處理者未履行保護(hù)義務(wù)可能導(dǎo)致什么后果？（）A.用戶信息被用于非法目的B.處理者獲得更多用戶信任C.處理者獲得經(jīng)濟(jì)利益D.用戶信息得到更好保護(hù)答案：A解析：個人信息處理者未履行保護(hù)義務(wù)，如未采取必要的安全措施、未保障用戶訪問權(quán)限、未及時刪除過期信息等，都可能導(dǎo)致用戶信息被泄露、濫用或用于非法目的。這會損害用戶的合法權(quán)益，并可能面臨監(jiān)管機(jī)構(gòu)的處罰。處理者履行保護(hù)義務(wù)才能獲得用戶信任和維持業(yè)務(wù)發(fā)展。5.以下哪項是匿名化處理的有效方式？（）A.保留原始數(shù)據(jù)同時公開數(shù)據(jù)集B.刪除所有可以識別個人的直接標(biāo)識符C.對數(shù)據(jù)進(jìn)行加密但保留個人身份信息D.對數(shù)據(jù)進(jìn)行模糊處理但保留原始格式答案：B解析：匿名化處理是指通過對個人信息進(jìn)行處理，使其無法被識別特定個人且不能被復(fù)原的過程。刪除所有可以識別個人的直接標(biāo)識符（如姓名、身份證號等）是有效的匿名化方式。保留原始數(shù)據(jù)同時公開數(shù)據(jù)集、對數(shù)據(jù)進(jìn)行加密但保留個人身份信息、對數(shù)據(jù)進(jìn)行模糊處理但保留原始格式都未能達(dá)到匿名化的要求，仍存在識別個人風(fēng)險。6.個人信息主體享有哪些權(quán)利？（）A.僅有權(quán)訪問自己的個人信息B.有權(quán)更正不準(zhǔn)確的信息C.有權(quán)要求刪除其信息D.有權(quán)拒絕非必要的處理答案：B解析：個人信息主體享有多種權(quán)利，包括訪問權(quán)、更正權(quán)、刪除權(quán)、撤回同意權(quán)、限制處理權(quán)、可攜帶權(quán)等。有權(quán)更正不準(zhǔn)確的信息是保障個人信息準(zhǔn)確性的重要權(quán)利。有權(quán)訪問自己的個人信息、有權(quán)要求刪除其信息、有權(quán)拒絕非必要的處理都是個人信息主體的合法權(quán)利。7.標(biāo)識符在哪些情況下可能識別到個人？（）A.單獨一個不具識別性的數(shù)字B.單獨一個普通姓名C.結(jié)合地址和出生日期D.一個不常用的職業(yè)名稱答案：C解析：標(biāo)識符是指能夠單獨或與其他信息結(jié)合識別到個人的各種信息。單獨一個不具識別性的數(shù)字、單獨一個普通姓名、一個不常用的職業(yè)名稱通常難以識別到特定個人。但地址和出生日期結(jié)合時，由于這兩項信息具有一定的唯一性和關(guān)聯(lián)性，可以用來識別特定個人。因此，標(biāo)識符的識別能力取決于其類型以及與其他信息的結(jié)合方式。8.企業(yè)內(nèi)部員工處理客戶信息時應(yīng)該注意什么？（）A.隨意將客戶信息用于部門間共享B.妥善保管包含客戶信息的文件C.在聊天工具中討論敏感客戶信息D.直接將客戶信息透露給競爭對手答案：B解析：企業(yè)內(nèi)部員工在處理客戶信息時，應(yīng)嚴(yán)格遵守信息保護(hù)規(guī)定，注意保護(hù)客戶隱私。妥善保管包含客戶信息的文件是基本要求，防止信息泄露。隨意將客戶信息用于部門間共享、在聊天工具中討論敏感客戶信息、直接將客戶信息透露給競爭對手都是嚴(yán)重違反信息保護(hù)規(guī)定的行為。9.以下哪種情況屬于跨境傳輸個人信息？（）A.國內(nèi)公司服務(wù)器存儲用戶數(shù)據(jù)B.國內(nèi)公司向國外子公司提供數(shù)據(jù)C.國外公司向國內(nèi)用戶提供服務(wù)D.本地企業(yè)使用云服務(wù)存儲數(shù)據(jù)答案：B解析：跨境傳輸個人信息是指個人信息跨越國境流動的行為。國內(nèi)公司向國外子公司提供數(shù)據(jù)屬于跨境傳輸，需要遵守相關(guān)法律法規(guī)。國內(nèi)公司服務(wù)器存儲用戶數(shù)據(jù)、國外公司向國內(nèi)用戶提供服務(wù)、本地企業(yè)使用云服務(wù)存儲數(shù)據(jù)都屬于國內(nèi)數(shù)據(jù)流動，不屬于跨境傳輸。10.個人信息保護(hù)的標(biāo)準(zhǔn)有哪些要素？（）A.法律合規(guī)性要求B.技術(shù)安全措施C.組織管理制度D.以上都是答案：D解析：個人信息保護(hù)的標(biāo)準(zhǔn)是一個綜合體系，包括法律合規(guī)性要求、技術(shù)安全措施、組織管理制度等多個要素。法律合規(guī)性是基礎(chǔ)，技術(shù)安全措施是保障，組織管理制度是執(zhí)行，三者缺一不可。只有同時滿足這些要素，才能有效保護(hù)個人信息安全。11.個人信息處理的最基本要求是什么？（）A.收集盡可能多的信息B.僅在實現(xiàn)處理目的的最小范圍內(nèi)處理C.盡可能延長信息保存時間D.優(yōu)先考慮商業(yè)利益答案：B解析：個人信息處理應(yīng)遵循合法、正當(dāng)、必要和誠信原則。其中，必要性原則要求個人信息處理者僅在實現(xiàn)處理目的的最小范圍內(nèi)處理個人信息，不得過度收集。收集盡可能多的信息、盡可能延長信息保存時間、優(yōu)先考慮商業(yè)利益都違背了必要性原則。12.哪種行為不屬于合法處理個人信息？（）A.為提供商品或服務(wù)，在用戶同意范圍內(nèi)處理信息B.為履行法定義務(wù)，根據(jù)法律規(guī)定處理信息C.在用戶明確拒絕后仍繼續(xù)推送廣告D.為保護(hù)個人或公共安全，在特定條件下處理信息答案：C解析：合法處理個人信息的前提包括獲得用戶同意、基于法定義務(wù)、為保護(hù)個人或公共安全等。在用戶明確拒絕后仍繼續(xù)推送廣告，侵犯了用戶的拒絕權(quán)，不屬于合法處理行為。其他選項所述情況均屬于合法處理個人信息的情形。13.個人信息主體請求刪除其信息時，處理者應(yīng)該如何處理？（）A.無條件立即刪除B.僅在法律允許時刪除C.評估是否可以拒絕刪除請求D.僅刪除公開部分答案：C解析：根據(jù)標(biāo)準(zhǔn)，個人信息處理者接到個人信息主體刪除其信息的請求時，應(yīng)當(dāng)及時采取措施刪除，但存在法定例外情形的除外。處理者有權(quán)在法律允許的例外情形下評估是否可以拒絕刪除請求，例如為履行法定義務(wù)或為維護(hù)公共利益。無條件立即刪除、僅刪除公開部分、僅法律允許時刪除都未能全面反映法律規(guī)定和處理者的權(quán)利義務(wù)。14.敏感個人信息的處理需要滿足什么額外條件？（）A.必須獲得用戶明確同意B.僅在為公共利益所必需時處理C.必須取得用戶書面授權(quán)D.可以無條件處理答案：A解析：敏感個人信息是指一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財產(chǎn)安全受到危害的個人信息。處理敏感個人信息除了需要滿足一般個人信息的處理條件外，還必須獲得個人信息主體本人的明確同意。僅公共利益所必需、必須取得書面授權(quán)、可以無條件處理都未能準(zhǔn)確反映對敏感個人信息處理的要求。15.應(yīng)用程序在收集個人信息時，應(yīng)該怎么做？（）A.默認(rèn)開啟所有權(quán)限收集信息B.僅收集與功能相關(guān)的必要信息C.在收集前向用戶明示目的和方式D.收集后通過郵件通知用戶答案：C解析：應(yīng)用程序在收集個人信息時，應(yīng)當(dāng)遵循透明原則，即需要向用戶明示收集個人信息的目的是什么、收集哪些信息、如何使用這些信息、信息存儲期限等。僅收集與功能相關(guān)的必要信息是必要性原則的要求。默認(rèn)開啟所有權(quán)限收集信息、收集后通過郵件通知用戶都未能滿足透明原則。16.以下哪種情況可能導(dǎo)致個人信息被過度處理？（）A.僅為提供預(yù)約服務(wù)收集用戶手機(jī)號B.為推廣目的收集用戶所有社交媒體賬號C.為提供購物建議收集用戶瀏覽歷史D.為完成訂單處理收集用戶收貨地址答案：B解析：過度處理是指超出實現(xiàn)處理目的所必需的范圍處理個人信息。為推廣目的收集用戶所有社交媒體賬號，涉及的信息范圍過廣，與推廣目的關(guān)聯(lián)性不強(qiáng)，屬于過度處理。僅提供預(yù)約服務(wù)收集用戶手機(jī)號、為提供購物建議收集用戶瀏覽歷史、為完成訂單處理收集用戶收貨地址都屬于必要處理。17.員工離職后，公司應(yīng)該如何處理其掌握的個人信息？（）A.將信息全部轉(zhuǎn)移給員工個人B.限制員工訪問其掌握的個人信息C.允許員工帶走所有客戶信息D.僅刪除員工姓名等簡單信息答案：B解析：員工離職后，公司應(yīng)當(dāng)采取措施限制其訪問權(quán)限，防止其利用掌握的個人信息。根據(jù)標(biāo)準(zhǔn)，公司有權(quán)要求員工返還其掌握的個人信息，或者在離職時刪除相關(guān)信息。將信息全部轉(zhuǎn)移給員工個人、允許員工帶走所有客戶信息、僅刪除簡單信息都可能導(dǎo)致個人信息泄露或被不當(dāng)使用。18.個人信息保護(hù)影響評估應(yīng)該評估哪些內(nèi)容？（）A.處理目的的合法性B.處理方式的必要性C.對個人權(quán)益的影響D.以上都是答案：D解析：個人信息保護(hù)影響評估是對個人信息處理活動可能帶來的風(fēng)險進(jìn)行評估，并提出降低風(fēng)險的措施。評估內(nèi)容應(yīng)包括處理目的的合法性、處理方式的必要性、對個人權(quán)益的影響等多個方面。僅評估其中某一項都可能導(dǎo)致評估不全面。19.未成年人個人信息的處理有什么特殊要求？（）A.可以與成人信息一樣處理B.需要獲得監(jiān)護(hù)人同意C.可以無條件處理D.無需任何限制答案：B解析：根據(jù)標(biāo)準(zhǔn)，處理不滿十四周歲未成年人個人信息的，應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護(hù)人的同意。處理不滿十四周歲未成年人個人信息的，應(yīng)提供單獨的登錄注冊方式，并取得監(jiān)護(hù)人同意。未成年人可以單獨同意的，應(yīng)當(dāng)征得其單獨同意。因此，未成年人個人信息的處理有特殊要求，需要獲得監(jiān)護(hù)人同意。20.個人信息泄露后，處理者應(yīng)該怎么做？（）A.立即向公眾公布所有信息B.評估影響并采取補(bǔ)救措施C.等待監(jiān)管機(jī)構(gòu)要求D.簡單聲明已采取措施答案：B解析：發(fā)生個人信息泄露后，個人信息處理者應(yīng)當(dāng)立即采取補(bǔ)救措施，并按照標(biāo)準(zhǔn)規(guī)定及時告知監(jiān)管機(jī)構(gòu)和受影響的個人信息主體。評估影響并采取補(bǔ)救措施是處理者應(yīng)盡的第一步義務(wù)。立即向公眾公布所有信息、等待監(jiān)管機(jī)構(gòu)要求、簡單聲明已采取措施都未能及時有效地應(yīng)對信息泄露事件。二、多選題1.個人信息處理的原則有哪些？（）A.合法、正當(dāng)、必要原則B.公開透明原則C.最小化處理原則D.存儲限制原則E.安全保障原則答案：ABCDE解析：個人信息處理應(yīng)遵循以下原則：合法、正當(dāng)、必要原則，即處理個人信息必須有法律依據(jù)、以正當(dāng)方式處理且僅限于實現(xiàn)處理目的的最小范圍；公開透明原則，即處理者應(yīng)向個人信息主體明示處理規(guī)則；最小化處理原則，即僅處理實現(xiàn)目的所必需的信息；存儲限制原則，即信息存儲時間不應(yīng)超過實現(xiàn)目的所需；安全保障原則，即采取必要措施保障信息安全。這五項原則共同構(gòu)成了個人信息處理的基本規(guī)范。2.敏感個人信息包括哪些類型？（）A.健康信息B.公民身份號碼C.行蹤軌跡信息D.個人財務(wù)信息E.生物識別信息答案：ABCDE解析：敏感個人信息是指一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財產(chǎn)安全受到危害的個人信息，包括：公民身份號碼、金融賬戶信息、行蹤軌跡信息、個人信息生物識別信息、特定身份信息、醫(yī)療健康信息、個人行蹤軌跡信息等。因此，健康信息、公民身份號碼、行蹤軌跡信息、個人財務(wù)信息、生物識別信息都屬于敏感個人信息范疇。3.個人信息主體享有哪些權(quán)利？（）A.訪問權(quán)B.更正權(quán)C.刪除權(quán)D.撤回同意權(quán)E.可攜帶權(quán)答案：ABCDE解析：根據(jù)標(biāo)準(zhǔn)，個人信息主體享有以下權(quán)利：有權(quán)訪問自己的個人信息；有權(quán)更正不準(zhǔn)確的信息；有權(quán)刪除其信息；有權(quán)撤回同意處理其個人信息的同意；有權(quán)以可攜帶格式獲取其信息并在不同控制者之間轉(zhuǎn)移；有權(quán)限制處理；有權(quán)拒絕自動化決策；有權(quán)向監(jiān)管機(jī)構(gòu)投訴。這些權(quán)利是保障個人信息主體對其信息自主控制的重要手段。4.個人信息處理者需要履行哪些保護(hù)義務(wù)？（）A.制定內(nèi)部管理制度B.采取技術(shù)措施保障安全C.培訓(xùn)員工保護(hù)意識D.存儲個人信息時加密處理E.發(fā)生泄露時及時通知答案：ABCE解析：個人信息處理者需要履行多項保護(hù)義務(wù)：制定內(nèi)部管理制度明確責(zé)任；采取必要的技術(shù)和管理措施保障個人信息安全，包括加密處理（E正確）；對員工進(jìn)行個人信息保護(hù)培訓(xùn)（C正確）；在發(fā)生或可能發(fā)生信息泄露時及時通知個人信息主體和監(jiān)管機(jī)構(gòu)（E正確）；進(jìn)行個人信息保護(hù)影響評估；制定應(yīng)急預(yù)案等。選項D只是技術(shù)措施的一種，并非全部義務(wù)。5.哪些情形下可以合法處理個人信息？（）A.為提供商品或服務(wù)所必需B.獲得個人信息主體同意C.為履行法定義務(wù)或法定職責(zé)D.為維護(hù)個人或公共利益所必需E.為訂立或履行合同所必需答案：ABCDE解析：合法處理個人信息的前提包括：為訂立或履行合同所必需（E正確）；為提供商品或服務(wù)所必需（A正確）；為訂立或履行合同所必需；為維護(hù)個人或公共利益所必需（D正確）；基于個人信息主體同意（B正確）；為履行法定義務(wù)或法定職責(zé)（C正確）。這些情形均構(gòu)成了處理個人信息的合法性基礎(chǔ)。6.企業(yè)內(nèi)部如何保障個人信息安全？（）A.設(shè)置訪問權(quán)限控制B.定期進(jìn)行安全審計C.對員工進(jìn)行保密培訓(xùn)D.使用強(qiáng)密碼策略E.妥善處理廢棄文件答案：ABCDE解析：企業(yè)內(nèi)部保障個人信息安全需要采取綜合措施：設(shè)置基于角色的訪問權(quán)限控制（A正確），確保只有授權(quán)人員才能訪問；定期進(jìn)行安全審計，檢查是否存在風(fēng)險（B正確）；對員工進(jìn)行個人信息保護(hù)和保密培訓(xùn)（C正確），提高安全意識；要求使用強(qiáng)密碼策略并定期更換（D正確）；對包含個人信息的文件、存儲介質(zhì)進(jìn)行妥善銷毀或處理（E正確），防止信息泄露。這些措施共同構(gòu)成了內(nèi)部安全保障體系。7.跨境傳輸個人信息需要滿足什么條件？（）A.出口國允許輸入B.入口國法律允許C.采取安全傳輸措施D.獲得個人信息主體同意E.進(jìn)行個人信息保護(hù)影響評估答案：BCDE解析：跨境傳輸個人信息需要滿足多重條件：首先，必須確保接收方的所在國能夠提供與我國個人信息保護(hù)水平相當(dāng)?shù)谋Ｗo(hù)水平，即出口國（B正確）和進(jìn)口國（A錯誤，應(yīng)為進(jìn)口國法律允許）的法律允許；其次，處理者需要采取必要的技術(shù)和管理措施，如加密傳輸（C正確）、簽訂協(xié)議等，保障跨境傳輸過程中的信息安全；再次，如果傳輸至境外，還需要獲得個人信息主體的明確同意（D正確）；最后，對于關(guān)鍵信息基礎(chǔ)設(shè)施運營者等特定處理者，還需要進(jìn)行個人信息保護(hù)影響評估（E正確）。僅有進(jìn)口國法律允許是不夠的，還需要滿足其他條件。8.敏感個人信息處理的特殊情況有哪些？（）A.為應(yīng)對突發(fā)公共衛(wèi)生事件所必需B.為訂立生死合同所必需C.為保護(hù)個人重大利益所必需D.為維護(hù)國家安全所必需E.獲得個人特別明確的同意答案：ACDE解析：在特定情況下，處理敏感個人信息可以獲得豁免，這些特殊情況通常包括：為應(yīng)對突發(fā)公共衛(wèi)生事件所必需（A正確）；為訂立、履行合同所必需，且僅限于履行合同所必需的最少范圍；為保護(hù)個人重大利益所必需（C正確）；為維護(hù)國家安全、公共利益或他人重大利益所必需（D正確）；獲得個人在充分知情的前提下特別明確、單獨的同意（E正確）。為訂立生死合同所必需（B）通常不被視為特殊情況豁免，因為此類合同本身性質(zhì)特殊，涉及生命權(quán)利，其訂立和履行往往與敏感信息處理密切相關(guān)，但仍需遵循最小化等原則。9.以下哪些行為屬于對個人信息的濫用？（）A.未經(jīng)同意將信息用于原用途之外B.超出約定范圍收集信息C.隱瞞真實身份收集信息D.將信息提供給第三方用于牟利E.采取加密措施保護(hù)信息答案：ABCD解析：對個人信息的濫用是指違反法律規(guī)定或違背公序良俗，對個人信息進(jìn)行侵害的行為。未經(jīng)同意將信息用于原用途之外（A正確）、超出約定范圍收集信息（B正確）、隱瞞真實身份收集信息（C正確）、將信息提供給第三方用于牟利（D正確）都屬于對個人信息的濫用。采取加密措施保護(hù)信息（E）是保障信息安全的合法行為，不屬于濫用。10.應(yīng)用程序如何落實個人信息保護(hù)？（）A.隱含同意收集所有權(quán)限信息B.清晰告知收集信息的目的和方式C.僅請求與功能相關(guān)的必要權(quán)限D(zhuǎn).允許用戶查閱和刪除自己的信息E.定期更新隱私政策答案：BCDE解析：應(yīng)用程序落實個人信息保護(hù)應(yīng)遵循以下做法：清晰告知收集信息的目的和方式（B正確），確保透明度；僅請求與功能相關(guān)的必要權(quán)限（C正確），滿足必要性原則；允許用戶查閱、復(fù)制、更正、刪除自己的個人信息，以及撤回同意（D正確）；定期更新隱私政策，并確保用戶知曉（E正確）。隱含同意收集所有權(quán)限信息（A錯誤）違反了同意原則，屬于濫用行為。11.個人信息處理者如何履行告知義務(wù)？（）A.在用戶注冊時彈窗提示B.在隱私政策中詳細(xì)說明C.通過郵件單獨發(fā)送告知書D.僅口頭告知用戶E.確保用戶能夠便捷訪問答案：ABCE解析：個人信息處理者的告知義務(wù)要求以清晰、易懂的方式，提前告知個人信息主體處理個人信息的規(guī)則。這通常通過在用戶注冊時彈窗提示（A正確）、在隱私政策中詳細(xì)說明（B正確）、通過郵件或短信單獨發(fā)送告知書（C正確）等方式進(jìn)行。告知內(nèi)容應(yīng)包括處理目的、方式、信息種類、存儲期限、個人權(quán)利行使方式等。僅口頭告知（D錯誤）難以留下證據(jù)且可能不夠清晰。同時，應(yīng)確保用戶能夠便捷地訪問到這些告知信息（E正確），例如在網(wǎng)站顯著位置鏈接隱私政策。因此，正確答案為ABCE。12.敏感個人信息的處理需要獲得哪些方面的同意？（）A.個人書面同意B.個人口頭同意C.監(jiān)護(hù)人同意（針對未成年人）D.特別明確的同意E.基于法律規(guī)定答案：ACD解析：處理敏感個人信息需要獲得更嚴(yán)格、更明確的同意。這通常要求獲得個人本人的書面同意（A正確）、在充分知情的前提下獲得特別明確的同意（D正確），或者在特定情況下，如為訂立、履行合同所必需且僅限于履行所必需的最少范圍、為保護(hù)個人重大利益所必需、為維護(hù)國家安全、公共利益或他人重大利益所必需等，可以基于法律規(guī)定（E正確）進(jìn)行處理，無需個人同意。僅口頭同意（B錯誤）通常不被視為足夠明確的同意。針對未成年人（C正確），則需要獲得其監(jiān)護(hù)人的同意。因此，正確答案為ACD。13.個人信息主體行使其權(quán)利時，處理者應(yīng)該如何處理？（）A.告知個人權(quán)利內(nèi)容B.設(shè)定合理的辦理時限C.收取高額處理費用D.告知處理決定及理由E.為提供其他服務(wù)設(shè)置障礙答案：ABD解析：根據(jù)標(biāo)準(zhǔn)，個人信息處理者對個人信息主體的權(quán)利請求，應(yīng)當(dāng)及時響應(yīng)，并在合理時限內(nèi)予以處理。處理者應(yīng)告知個人權(quán)利內(nèi)容（A正確），說明如何行使這些權(quán)利；對于請求，應(yīng)設(shè)定合理的辦理時限（B正確），并告知處理決定及理由（D正確）。處理者不得收取不合理費用（C錯誤），不得以提供其他服務(wù)或商品為條件，設(shè)置行使權(quán)利的障礙（E錯誤）。因此，正確答案為ABD。14.企業(yè)如何落實個人信息安全責(zé)任？（）A.高級管理人員承擔(dān)最終責(zé)任B.制定專門的信息安全部門C.對員工進(jìn)行定期培訓(xùn)D.對個人信息進(jìn)行分類分級管理E.與第三方服務(wù)商簽訂協(xié)議答案：ACDE解析：企業(yè)落實個人信息安全責(zé)任需要系統(tǒng)性的措施：高級管理人員應(yīng)確立安全意識并承擔(dān)最終領(lǐng)導(dǎo)責(zé)任（A正確）；建立專門的信息安全部門或指定專人負(fù)責(zé)（B正確，但非唯一方式），制定內(nèi)部管理制度和操作規(guī)程；對員工進(jìn)行定期的個人信息保護(hù)和安全意識培訓(xùn)（C正確），提高全員防范意識；對個人信息進(jìn)行分類分級管理（D正確），根據(jù)敏感程度采取不同的保護(hù)措施；若委托第三方處理個人信息，應(yīng)與其簽訂協(xié)議，明確雙方責(zé)任（E正確），確保其履行安全義務(wù)。因此，正確答案為ACDE。15.以下哪些屬于個人信息處理中的“目的限制原則”要求？（）A.僅收集實現(xiàn)目的所需的最少信息B.不得將信息用于與原始目的無關(guān)的用途C.需要變更處理目的時，重新獲得同意D.向第三方提供信息前，需獲得原始目的同意E.原始目的無法實現(xiàn)時，及時停止處理答案：ABCE解析：“目的限制原則”要求個人信息處理必須有明確、合法的目的，并且處理活動需與該目的相符。具體要求包括：僅收集實現(xiàn)該目的所必需的最少信息（A正確）；不得將個人信息用于與原始目的無關(guān)或不相符的其他用途（B正確）；如果需要變更處理目的，且變更后的處理活動對個人權(quán)益有重大影響，則應(yīng)獲得個人信息主體的重新同意（C正確）；向第三方提供個人信息時，除非該第三方為實現(xiàn)同一目的而獲得信息，否則通常需要獲得原始目的的同意（D正確）；如果原始處理目的無法實現(xiàn)，或者處理活動與目的不再相關(guān)，應(yīng)當(dāng)及時停止處理該信息（E正確）。因此，正確答案為ABCE。16.敏感個人信息處理的特殊情況有哪些？（）A.為應(yīng)對突發(fā)公共衛(wèi)生事件所必需B.為訂立生死合同所必需C.為保護(hù)個人重大利益所必需D.為維護(hù)國家安全所必需E.獲得個人特別明確的同意答案：ACDE解析：在特定情況下，處理敏感個人信息可以獲得豁免，這些特殊情況通常包括：為應(yīng)對突發(fā)公共衛(wèi)生事件所必需（A正確）；為保護(hù)個人重大利益所必需（C正確）；為維護(hù)國家安全、公共利益或他人重大利益所必需（D正確）；獲得個人在充分知情的前提下特別明確、單獨的同意（E正確）。為訂立生死合同所必需（B）通常不被視為特殊情況豁免，因為此類合同本身性質(zhì)特殊，涉及生命權(quán)利，其訂立和履行往往與敏感信息處理密切相關(guān)，但仍需遵循最小化等原則。因此，正確答案為ACDE。17.個人信息泄露的應(yīng)急處理措施包括哪些？（）A.立即評估泄露范圍和影響B(tài).采取補(bǔ)救措施防止損害擴(kuò)大C.及時通知受影響的個人信息主體D.向監(jiān)管機(jī)構(gòu)報告E.對事件進(jìn)行內(nèi)部調(diào)查答案：ABCDE解析：發(fā)生個人信息泄露后，處理者應(yīng)立即啟動應(yīng)急預(yù)案，采取一系列措施：首先，立即評估信息泄露的范圍、影響程度（A正確），判斷是否構(gòu)成重大泄露；其次，采取補(bǔ)救措施，如修改密碼、通知用戶、封堵漏洞等，防止損害進(jìn)一步擴(kuò)大（B正確）；再次，根據(jù)泄露情況和法律規(guī)定，及時通知受影響的個人信息主體（C正確）；同時，向相關(guān)監(jiān)管機(jī)構(gòu)報告（D正確）；最后，進(jìn)行內(nèi)部調(diào)查，查明原因，改進(jìn)機(jī)制（E正確），并評估是否需要承擔(dān)法律責(zé)任。因此，正確答案為ABCDE。18.應(yīng)用程序在收集個人信息時應(yīng)遵循哪些原則？（）A.最小化原則B.必要性原則C.合法正當(dāng)原則D.透明原則E.目的限制原則答案：ABCDE解析：應(yīng)用程序在收集個人信息時，應(yīng)全面遵循個人信息處理的基本原則：合法、正當(dāng)、必要原則（B正確，包含必要性），即處理必須有法律依據(jù)、方式正當(dāng)且限于必要范圍；透明原則（D正確），即處理規(guī)則應(yīng)向用戶明示；目的限制原則（E正確），即收集目的應(yīng)明確且處理活動與目的相符；最小化原則（A正確），即僅收集實現(xiàn)目的所必需的最少信息。這些原則共同指導(dǎo)應(yīng)用程序合規(guī)、合理地收集個人信息。因此，正確答案為ABCDE。19.個人信息主體可以撤回哪些同意？（）A.之前明確同意處理其信息的同意B.未經(jīng)充分告知的同意C.基于法定義務(wù)的同意D.為訂立合同所必需的同意E.涉及敏感個人信息的同意答案：ABE解析：根據(jù)標(biāo)準(zhǔn)，個人信息主體有權(quán)撤回其同意處理個人信息的權(quán)利，但撤回同意不影響處理者在撤回前基于同意已進(jìn)行的處理。可以撤回的同意通常包括：之前明確同意處理其信息的同意（A正確），特別是對于非必需的處理；未經(jīng)充分告知或誤導(dǎo)性告知而獲得的同意（B正確）；涉及敏感個人信息的同意（E正確），因其處理強(qiáng)度更高。不能撤回的同意主要包括：基于法定義務(wù)或履行合同所必需的同意（C、D錯誤），因為這些處理并非基于個人自愿同意。因此，正確答案為ABE。20.企業(yè)內(nèi)部如何保障個人信息安全？（）A.設(shè)置訪問權(quán)限控制B.定期進(jìn)行安全審計C.對員工進(jìn)行保密培訓(xùn)D.使用強(qiáng)密碼策略E.妥善處理廢棄文件答案：ABCDE解析：企業(yè)內(nèi)部保障個人信息安全需要采取綜合措施：設(shè)置基于角色的訪問權(quán)限控制（A正確），確保只有授權(quán)人員才能訪問；定期進(jìn)行安全審計，檢查系統(tǒng)漏洞和管理制度的執(zhí)行情況（B正確）；對員工進(jìn)行個人信息保護(hù)和保密意識培訓(xùn)（C正確），提高全員防范意識；要求使用強(qiáng)密碼策略并定期更換（D正確），增強(qiáng)系統(tǒng)登錄安全；對包含個人信息的文件、存儲介質(zhì)（如硬盤、U盤、紙質(zhì)文件）進(jìn)行妥善銷毀或處理（E正確），防止信息泄露。這些措施共同構(gòu)成了內(nèi)部安全保障體系。因此，正確答案為ABCDE。三、判斷題1.個人信息處理者可以未經(jīng)用戶同意，將其個人信息用于廣告推送。（）答案：錯誤解析：根據(jù)標(biāo)準(zhǔn)，個人信息處理者在處理個人信息時，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，并充分告知用戶處理目的、方式等。未經(jīng)用戶同意，將其個人信息用于廣告推送，通常屬于強(qiáng)制同意或過度處理，侵犯了用戶的知情權(quán)和選擇權(quán)，違反了個人信息保護(hù)的相關(guān)規(guī)定。用戶有權(quán)自主決定是否同意其個人信息被用于廣告推送。2.未成年人可以獨立行使所有個人信息權(quán)利。（）答案：錯誤解析：根據(jù)標(biāo)準(zhǔn)，不滿十四周歲的未成年人行使個人信息權(quán)利需要其監(jiān)護(hù)人協(xié)助。對于不滿十四周歲未成年人個人信息的處理，應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護(hù)人的同意。因此，未成年人不能獨立行使所有個人信息權(quán)利，尤其是在涉及敏感個人信息或需要特別明確同意的情況下。3.個人信息一旦被處理，用戶就失去了對其信息的控制權(quán)。（）答案：錯誤解析：根據(jù)標(biāo)準(zhǔn)，個人信息主體對其個人信息享有知情權(quán)、訪問權(quán)、更正權(quán)、刪除權(quán)、撤回同意權(quán)等多項權(quán)利。這意味著用戶即使在信息被處理之后，仍然有權(quán)了解其信息被如何使用、訪問其信息、要求更正不準(zhǔn)確的信息、要求刪除其信息，以及在同意處理時有權(quán)撤回該同意。因此，用戶并未失去對其信息的控制權(quán)。4.敏感個人信息的處理在任何情況下都需要獲得用戶的特別明確同意。（）答案：錯誤解析：雖然處理敏感個人信息需要獲得用戶的特別明確同意，但在某些特定情況下，如為保護(hù)個人重大利益、維護(hù)國家安全或公共利益所必需，或者為履行法定義務(wù)所必需，處理敏感個人信息可以獲得豁免，無需獲得個人同意。因此，并非在任何情況下都需要獲得用戶的特別明確同意。5.個人信息處理者不需要對個人信息安全負(fù)責(zé)。（）答案：錯誤解析：根據(jù)標(biāo)準(zhǔn)，個人信息處理者對所處理的個人信息承擔(dān)安全保護(hù)義務(wù)。處理者需要采取必要的技術(shù)和管理措施，保障個人信息的安全，防止泄露、篡改、丟失。如果因處理者未盡到保護(hù)義務(wù)導(dǎo)致個人信息安全事件，處理者需要承擔(dān)相應(yīng)的法律責(zé)任。因此，個人信息處理者必須對個人信息安全負(fù)責(zé)。6.醫(yī)療機(jī)構(gòu)可以為科研目的，未經(jīng)患者同意，直接獲取其完整的病歷信息。（）答案：錯誤解析：醫(yī)療機(jī)構(gòu)處理患者病歷信息時，需要遵循最小化原則和目的限制原則。為科研目的獲取患者完整的病歷信息，通常涉及對患者隱私的深度侵犯，且可能超出治療目的。根據(jù)標(biāo)準(zhǔn)，此類處理通常需要獲得患者的明確同意，并采取嚴(yán)格的保密措施。未經(jīng)患者同意直接獲取完整病歷信息，屬于違規(guī)行為。7.個人信息泄露后，如果未造成實際損害，就不需要采取任何措施。（）答案：錯誤解析：根據(jù)標(biāo)準(zhǔn)，即使個人信息泄露未造成實際損害，個人信息處理者也必須采取應(yīng)急措施。這包括評估泄露范圍和影響、采取措施防止損害擴(kuò)大、及時通知受影響的個人信息主體和相關(guān)監(jiān)管機(jī)構(gòu)等。是否造成實際損害以及損害程度，需要在采取措施后進(jìn)行判斷，但預(yù)防措施和通知義務(wù)是必須履行的。8.應(yīng)用程序可以默認(rèn)勾選同意收集位置信息、通訊錄等敏感權(quán)限。（）答案：錯誤解析：應(yīng)用程序在請求用戶授權(quán)訪問其設(shè)備敏感信息（如位置信息、通訊錄、相機(jī)、麥克風(fēng)等）時，應(yīng)當(dāng)遵循必要性原則和用戶同意原則。應(yīng)用程序不得以默認(rèn)勾選同意的方式獲取用戶授權(quán)，而應(yīng)當(dāng)明確告知用戶為何需要這些權(quán)限，并讓用戶自主選擇是否同意。強(qiáng)制同意或誘導(dǎo)同意獲取用戶敏感權(quán)限是違反個人信息保護(hù)規(guī)定的。9.企業(yè)內(nèi)部員工離職時，可以帶走含有客戶信息的資料。（）答案：錯誤解析：根據(jù)標(biāo)準(zhǔn)，企業(yè)內(nèi)部員工離職時，其所掌握的包含客戶信息的資料（無論紙質(zhì)或電子形式）屬于企業(yè)的財產(chǎn)，也是受保護(hù)的個人信息。員工離職后，應(yīng)當(dāng)按照企業(yè)的規(guī)定或法律規(guī)定，將包含客戶信息的資料交還給企業(yè)，或者進(jìn)行銷毀處理。不得私自帶走含有客戶信息的資料，否則可能構(gòu)成對個人信息的侵犯。10.個人信息保護(hù)影響評估只需要在系統(tǒng)上線前進(jìn)行一次即可。（）答案：錯誤解析：個人信息保護(hù)影響評估并非只需要在系統(tǒng)上線前進(jìn)行一次。根據(jù)標(biāo)準(zhǔn)，對于處理個人信息可能帶來較高風(fēng)險的自動化決策、處理敏感個人信息、大規(guī)模處理個人信息、引入新的處理方式等情況，都應(yīng)當(dāng)進(jìn)行個人信息保護(hù)影響評估。并且，如果處理活動發(fā)生變化，或者評估初期的風(fēng)險控制措施失效，也需要重新進(jìn)行評估或補(bǔ)充評估。因此，個人信息保護(hù)影響評估可能需要根據(jù)實際情況進(jìn)行多次。四、簡答題1.簡述個人信息處理者如何落實告知義務(wù)。答案：個人信息處理者在處理個人信息前，應(yīng)以清晰、易懂的方式，提前告知個人信息主體其處理個人信息的規(guī)則，包括：（1）處理信息的種類和目的；（2）處理方