2025年個(gè)人信息保護(hù)合規(guī)考試試題及答案一、單項(xiàng)選擇題（每題2分，共40分）1.根據(jù)《個(gè)人信息保護(hù)法》，下列哪一項(xiàng)不屬于“敏感個(gè)人信息”()A.14周歲以下未成年人的個(gè)人信息B.個(gè)人行蹤軌跡信息C.個(gè)人健康信息D.個(gè)人教育背景信息答案：D解析：教育背景信息未被列入敏感個(gè)人信息法定清單，其余三項(xiàng)均在第二十八條明確列舉。2.處理個(gè)人信息時(shí)，處理者應(yīng)當(dāng)遵循的首要原則是()A.合法正當(dāng)必要B.公開(kāi)透明C.最小必要D.安全可控答案：A解析：第五條將“合法、正當(dāng)、必要和誠(chéng)信”確立為首要原則，其他原則均在此基礎(chǔ)上展開(kāi)。3.個(gè)人信息跨境傳輸安全評(píng)估的負(fù)責(zé)部門是()A.國(guó)家互聯(lián)網(wǎng)信息辦公室B.工信部C.公安部D.市場(chǎng)監(jiān)管總局答案：A解析：第三十八條明確由國(guó)家網(wǎng)信部門組織安全評(píng)估。4.個(gè)人信息處理者應(yīng)當(dāng)保存?zhèn)€人信息處理活動(dòng)記錄的最低期限為()A.1年B.3年C.5年D.10年答案：B解析：第五十四條要求至少保存三年，除非法律另有更長(zhǎng)規(guī)定。5.當(dāng)數(shù)據(jù)泄露事件可能損害個(gè)人權(quán)益時(shí)，處理者向個(gè)人告知的時(shí)限為()A.24小時(shí)內(nèi)B.48小時(shí)內(nèi)C.72小時(shí)內(nèi)D.5個(gè)工作日內(nèi)答案：C解析：第五十七條明確“及時(shí)”告知，通常以72小時(shí)為執(zhí)法基準(zhǔn)。6.個(gè)人信息保護(hù)影響評(píng)估（PIA）報(bào)告保存期限不少于()A.1年B.2年C.3年D.5年答案：C解析：第五十五條要求保存至少三年。7.處理敏感個(gè)人信息應(yīng)取得個(gè)人的()A.明示同意B.書(shū)面同意C.單獨(dú)同意D.口頭同意答案：C解析：第二十九條確立“單獨(dú)同意”規(guī)則，排除一攬子同意。8.個(gè)人信息處理者應(yīng)當(dāng)指定哪類角色負(fù)責(zé)個(gè)人信息保護(hù)()A.數(shù)據(jù)安全官B.個(gè)人信息保護(hù)負(fù)責(zé)人C.首席信息官D.法務(wù)總監(jiān)答案：B解析：第五十二條強(qiáng)制要求設(shè)立個(gè)人信息保護(hù)負(fù)責(zé)人。9.對(duì)違反《個(gè)人信息保護(hù)法》的最高罰款比例為()A.上一年度營(yíng)業(yè)額1%B.上一年度營(yíng)業(yè)額5%C.上一年度營(yíng)業(yè)額10%D.5000萬(wàn)元固定額答案：B解析：第六十六條設(shè)定“五千萬(wàn)元或上一年度營(yíng)業(yè)額百分之五”的較高者。10.個(gè)人信息主體有權(quán)提出查閱、復(fù)制其個(gè)人信息的請(qǐng)求，處理者應(yīng)在多少天內(nèi)答復(fù)()A.7天B.15天C.30天D.45天答案：B解析：第四十五條明確15日內(nèi)予以答復(fù)。11.下列哪項(xiàng)不屬于個(gè)人信息去標(biāo)識(shí)化的有效手段()A.哈希加鹽B.假名化C.對(duì)稱加密D.數(shù)據(jù)染色答案：D解析：“數(shù)據(jù)染色”并非法定技術(shù)概念，前三項(xiàng)均為常見(jiàn)去標(biāo)識(shí)化技術(shù)。12.個(gè)人信息處理者共享數(shù)據(jù)給第三方時(shí)，必須向個(gè)人告知的要素不包括()A.第三方的真實(shí)身份與聯(lián)系方式B.共享目的與方式C.第三方的數(shù)據(jù)保留期限D(zhuǎn).第三方的員工工資水平答案：D解析：?jiǎn)T工工資水平與共享無(wú)關(guān)，無(wú)需告知。13.個(gè)人信息保護(hù)合規(guī)審計(jì)的最低頻率為()A.每季度一次B.每半年一次C.每年一次D.每?jī)赡暌淮未鸢福篊解析：第五十四條要求“定期”審計(jì)，行業(yè)慣例以年度為最低。14.對(duì)未成年人個(gè)人信息的處理，應(yīng)當(dāng)取得誰(shuí)的同意()A.未成年人本人B.其監(jiān)護(hù)人C.學(xué)校老師D.未成年人及其監(jiān)護(hù)人雙重同意答案：B解析：第三十一條明確監(jiān)護(hù)人同意即可，無(wú)需雙重。15.個(gè)人信息處理者因合并分立需要轉(zhuǎn)移數(shù)據(jù)時(shí)，必須向個(gè)人告知的方式為()A.電話逐一通知B.彈窗推送C.便于接收的方式D.登報(bào)公告答案：C解析：第二十二條要求“便于接收的方式”，不強(qiáng)制具體形式。16.個(gè)人信息可攜帶權(quán)的行使前提是()A.數(shù)據(jù)已結(jié)構(gòu)化和通用化B.數(shù)據(jù)已完全匿名化C.數(shù)據(jù)已加密D.數(shù)據(jù)已脫敏答案：A解析：第四十五條要求“結(jié)構(gòu)化、通用化”方可攜帶。17.個(gè)人信息出境標(biāo)準(zhǔn)合同備案的受理機(jī)關(guān)為()A.省級(jí)以上網(wǎng)信部門B.市級(jí)公安C.國(guó)家市場(chǎng)監(jiān)管總局D.國(guó)務(wù)院答案：A解析：第三十八條實(shí)施細(xì)則明確由省級(jí)以上網(wǎng)信部門備案。18.個(gè)人信息處理者利用自動(dòng)化決策作出對(duì)個(gè)人權(quán)益有重大影響的決定時(shí)，應(yīng)提供()A.算法源代碼B.申訴渠道C.決策樹(shù)模型D.訓(xùn)練數(shù)據(jù)集答案：B解析：第二十四條要求提供“便捷的申訴渠道”。19.個(gè)人信息保護(hù)認(rèn)證制度的主管部門是()A.國(guó)家市場(chǎng)監(jiān)管總局B.國(guó)家網(wǎng)信辦C.工信部D.國(guó)家標(biāo)準(zhǔn)委答案：B解析：第三十八條授權(quán)國(guó)家網(wǎng)信部門建立認(rèn)證制度。20.個(gè)人信息處理者發(fā)生嚴(yán)重?cái)?shù)據(jù)泄露時(shí)，向監(jiān)管報(bào)告的時(shí)限為()A.立即B.24小時(shí)C.48小時(shí)D.72小時(shí)答案：A解析：第五十七條使用“立即”表述，無(wú)緩沖期。二、多項(xiàng)選擇題（每題3分，共30分）1.下列哪些情形屬于“取得個(gè)人同意”的例外()A.履行合同必需B.實(shí)施人力資源管理C.應(yīng)對(duì)突發(fā)公共衛(wèi)生事件D.新聞報(bào)道E.法定職責(zé)或義務(wù)答案：ACE解析：第十三條明確列舉，B需依法制定的規(guī)章制度，D需符合公共利益。2.個(gè)人信息處理者在進(jìn)行PIA時(shí)，必須評(píng)估的內(nèi)容包括()A.處理目的合法性B.數(shù)據(jù)規(guī)模與敏感程度C.對(duì)個(gè)人的風(fēng)險(xiǎn)D.第三方SDK清單E.擬采取的安全措施答案：ABCE解析：第五十五條未強(qiáng)制要求列SDK清單，但實(shí)務(wù)中建議納入。3.以下哪些屬于個(gè)人信息主體權(quán)利()A.查閱權(quán)B.更正權(quán)C.刪除權(quán)D.可攜帶權(quán)E.被遺忘權(quán)答案：ABCD解析：我國(guó)立法未直接使用“被遺忘權(quán)”術(shù)語(yǔ)，但刪除權(quán)已覆蓋。4.對(duì)跨境傳輸進(jìn)行安全評(píng)估時(shí)，需重點(diǎn)考察()A.境外接收方所在國(guó)家法律環(huán)境B.數(shù)據(jù)出境規(guī)模C.數(shù)據(jù)出境頻率D.數(shù)據(jù)類型敏感程度E.接收方上市市值答案：ABCD解析：市值與評(píng)估無(wú)關(guān)。5.個(gè)人信息保護(hù)合規(guī)審計(jì)報(bào)告應(yīng)至少包含()A.審計(jì)范圍B.發(fā)現(xiàn)的問(wèn)題C.整改建議D.審計(jì)人員簽字E.審計(jì)人員身份證號(hào)答案：ABCD解析：身份證號(hào)屬敏感信息，無(wú)需寫(xiě)入報(bào)告。6.以下哪些行為可能構(gòu)成“非法買賣個(gè)人信息”()A.明碼標(biāo)價(jià)出售用戶手機(jī)號(hào)B.以會(huì)員積分互換形式變相交易C.提供數(shù)據(jù)用于精準(zhǔn)營(yíng)銷并收取對(duì)價(jià)D.經(jīng)去標(biāo)識(shí)化后無(wú)償共享E.經(jīng)匿名化后出售答案：ABC解析：匿名化后不再屬于個(gè)人信息，出售不違法；去標(biāo)識(shí)化仍屬個(gè)人信息，無(wú)償共享不構(gòu)成本罪。7.個(gè)人信息處理者應(yīng)當(dāng)建立的安全管理制度包括()A.分類分級(jí)B.加密C.去標(biāo)識(shí)化D.最小權(quán)限E.數(shù)據(jù)染色答案：ABCD解析：數(shù)據(jù)染色非法定制度。8.觸發(fā)“告知同意”豁免的法定職責(zé)包括()A.稅務(wù)機(jī)關(guān)征收稅款B.公安機(jī)關(guān)通緝逃犯C.法院強(qiáng)制執(zhí)行D.高校自主招生E.統(tǒng)計(jì)局經(jīng)濟(jì)普查答案：ABCE解析：高校招生非法定職責(zé)豁免范圍。9.個(gè)人信息處理者利用人臉識(shí)別技術(shù)時(shí)，應(yīng)當(dāng)()A.取得單獨(dú)同意B.提供非人臉識(shí)別替代方案C.公開(kāi)技術(shù)原理D.取得書(shū)面同意E.進(jìn)行PIA答案：ABE解析：無(wú)需公開(kāi)技術(shù)原理，也無(wú)需強(qiáng)制書(shū)面。10.以下哪些屬于個(gè)人信息保護(hù)行政處罰的裁量因素()A.違法行為持續(xù)時(shí)間B.涉及個(gè)人信息數(shù)量C.是否主動(dòng)消除危害后果D.上一年度營(yíng)業(yè)額E.法定代表人年齡答案：ABCD解析：年齡與裁量無(wú)關(guān)。三、判斷題（每題1分，共10分）1.個(gè)人信息處理者可以將用戶瀏覽記錄直接用于訓(xùn)練推薦算法而無(wú)需再次告知。()答案：×解析：若瀏覽記錄未在原始告知范圍內(nèi)，需重新告知并取得同意。2.只要數(shù)據(jù)已加密，就可以自由出境無(wú)需任何評(píng)估。()答案：×解析：加密并非出境豁免條件。3.個(gè)人請(qǐng)求刪除其信息時(shí)，處理者必須無(wú)條件立即刪除。()答案：×解析：存在法定保存期限或其他豁免情形時(shí)可延期或拒絕。4.個(gè)人信息保護(hù)負(fù)責(zé)人必須由公司副總裁以上級(jí)別人員擔(dān)任。()答案：×解析：法律未限定職級(jí)，只要求具備專業(yè)知識(shí)。5.匿名化信息不再適用《個(gè)人信息保護(hù)法》。()答案：√解析：第四條明確匿名化信息不屬于個(gè)人信息。6.處理員工考勤數(shù)據(jù)無(wú)需任何同意，因?yàn)閷儆谌肆Y源管理。()答案：×解析：需依法制定的規(guī)章制度，并非完全無(wú)需同意。7.個(gè)人信息處理者可以在隱私政策中一次性取得所有未來(lái)合作的第三方共享同意。()答案：×解析：需“單獨(dú)告知”共享給新第三方。8.個(gè)人有權(quán)撤回同意，撤回后不影響撤回前處理的合法性。()答案：√解析：第十五條確立無(wú)溯及力原則。9.個(gè)人信息可攜帶權(quán)適用于所有類型的個(gè)人信息。()答案：×解析：需滿足“結(jié)構(gòu)化、通用化”條件。10.個(gè)人信息處理者可以將數(shù)據(jù)保護(hù)職責(zé)完全外包給云服務(wù)商而無(wú)需承擔(dān)法律責(zé)任。()答案：×解析：委托處理不免除處理者主體責(zé)任。四、填空題（每空2分，共20分）1.個(gè)人信息處理者向境外提供個(gè)人信息，應(yīng)當(dāng)具備下列條件之一：通過(guò)國(guó)家網(wǎng)信部門的安全評(píng)估、________、按照國(guó)家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證、或法律行政法規(guī)規(guī)定的其他條件。答案：訂立國(guó)家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同2.處理個(gè)人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)與處理目的________相關(guān)，不得過(guò)度收集個(gè)人信息。答案：直接3.個(gè)人信息處理者應(yīng)當(dāng)采取相應(yīng)的加密、________、去標(biāo)識(shí)化等安全技術(shù)措施。答案：訪問(wèn)控制4.個(gè)人有權(quán)要求個(gè)人信息處理者對(duì)其個(gè)人信息處理規(guī)則進(jìn)行________。答案：解釋說(shuō)明5.個(gè)人信息保護(hù)影響評(píng)估應(yīng)當(dāng)包括個(gè)人信息的處理目的、處理方式等是否合法、正當(dāng)、________。答案：必要6.個(gè)人信息處理者應(yīng)當(dāng)建立便捷的個(gè)人________和舉報(bào)機(jī)制。答案：申訴7.個(gè)人信息處理者向第三方提供其處理的個(gè)人信息的，應(yīng)當(dāng)向個(gè)人告知第三方的身份、________、處理目的、處理方式和個(gè)人信息的種類。答案：聯(lián)系方式8.法律、行政法規(guī)規(guī)定處理敏感個(gè)人信息應(yīng)當(dāng)取得相關(guān)________的，依照其規(guī)定。答案：行政許可或批準(zhǔn)9.個(gè)人信息處理者應(yīng)當(dāng)________對(duì)其處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)。答案：定期10.個(gè)人信息處理者應(yīng)當(dāng)建立個(gè)人信息安全事件________預(yù)案。答案：應(yīng)急五、簡(jiǎn)答題（每題10分，共30分）1.簡(jiǎn)述個(gè)人信息處理者履行“告知—同意”義務(wù)的核心要素。(1).告知內(nèi)容需完整，包括處理者身份與聯(lián)系方式、處理目的與方式、信息種類、保存期限、個(gè)人權(quán)利及行使方式。(2).告知方式需顯著、清晰、易懂，避免冗長(zhǎng)晦澀。(3).同意需自愿、明確、具體，敏感信息需單獨(dú)同意。(4).變更處理目的、方式、種類時(shí)，需重新告知并取得二次同意。(5).提供便捷的撤回同意途徑，不得設(shè)置不合理?xiàng)l件。2.列舉并說(shuō)明個(gè)人信息跨境傳輸?shù)娜龡l合規(guī)路徑。(1).通過(guò)國(guó)家網(wǎng)信部門的安全評(píng)估：適用于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和處理個(gè)人信息達(dá)到規(guī)定數(shù)量的處理者。(2).訂立國(guó)家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同：適用于中小企業(yè)且數(shù)據(jù)量未達(dá)評(píng)估門檻的情形，需備案。(3).經(jīng)個(gè)人信息保護(hù)認(rèn)證：由國(guó)家認(rèn)可的專業(yè)機(jī)構(gòu)進(jìn)行認(rèn)證，適用于跨境頻繁但風(fēng)險(xiǎn)可控的業(yè)務(wù)場(chǎng)景。3.說(shuō)明個(gè)人信息保護(hù)合規(guī)審計(jì)的四大階段及關(guān)鍵產(chǎn)出。(1).計(jì)劃階段：確定審計(jì)范圍、目標(biāo)、時(shí)間表，產(chǎn)出審計(jì)方案。(2).實(shí)施階段：訪談、抽樣、技術(shù)檢測(cè)，產(chǎn)出底稿與問(wèn)題清單。(3).報(bào)告階段：整理發(fā)現(xiàn)與證據(jù)，產(chǎn)出審計(jì)報(bào)告，包括問(wèn)題描述、風(fēng)險(xiǎn)等級(jí)、整改建議。(4).整改跟蹤階段：復(fù)查整改措施有效性，產(chǎn)出關(guān)閉報(bào)告或二次審計(jì)意見(jiàn)。六、案例分析題（共30分）案例背景：A公司運(yùn)營(yíng)一款健身App，收集用戶身高、體重、心率、GPS軌跡等信息。2025年3月，A公司與境外B營(yíng)銷公司簽署合作協(xié)議，將200萬(wàn)用戶數(shù)據(jù)（含心率、GPS）傳輸至境外服務(wù)器用于“精準(zhǔn)廣告定向”。A公司僅在隱私政策中模糊描述“可能向合作伙伴提供去標(biāo)識(shí)化數(shù)據(jù)用于營(yíng)銷”，未單獨(dú)告知心率與GPS數(shù)據(jù)出境，也未進(jìn)行PIA。2025年4月，部分用戶發(fā)現(xiàn)收到境外減肥藥廣告，投訴至監(jiān)管部門。經(jīng)查，B公司所在國(guó)數(shù)據(jù)保護(hù)水平低于我國(guó)，且B公司又將數(shù)據(jù)轉(zhuǎn)供C公司，導(dǎo)致數(shù)據(jù)再泄露。1.指出A公司違反《個(gè)人信息保護(hù)法》的具體條款及行為表現(xiàn)。（10分）(1).違反第三十八條：未通過(guò)安全評(píng)估、未簽標(biāo)準(zhǔn)合同、未認(rèn)證即跨境傳輸。(2).違反第二十九條：處理敏感個(gè)人信息（健康、行蹤）未取得單獨(dú)同意。(3).違反第五十五條：未進(jìn)行個(gè)人信息保護(hù)影響評(píng)估。(4).違反第五十七條：發(fā)生再泄露后未在72小時(shí)內(nèi)告知個(gè)人與監(jiān)管。(5).違反第二十二條：未向個(gè)人告知數(shù)據(jù)將提供給境外接收方及其再轉(zhuǎn)移風(fēng)險(xiǎn)。2.針對(duì)心率、GPS數(shù)據(jù)，A公司應(yīng)如何重新設(shè)計(jì)合規(guī)流程？（10分）(1).進(jìn)行PIA，評(píng)估健康數(shù)據(jù)出境對(duì)個(gè)人的高風(fēng)險(xiǎn)。(2).在App內(nèi)彈窗單獨(dú)告知出境目的、接收方身份、再轉(zhuǎn)移風(fēng)險(xiǎn)，取得單獨(dú)同意。(3).與B公司簽署國(guó)家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同，并備案。(4).對(duì)心率、GPS