2025年個人信息保護合規(guī)考試試題及答案2025年個人信息保護合規(guī)考試試題一、單項選擇題（共15題，每題2分，共30分。每題只有1個正確選項）1.根據(jù)《個人信息保護法》，下列哪項不屬于“個人信息”的范疇？A.已公開的企業(yè)工商登記信息（統(tǒng)一社會信用代碼）B.手機用戶的位置軌跡數(shù)據(jù)（精確到米級）C.匿名化處理前的用戶健康檔案D.電商平臺收集的用戶購物偏好標簽（如“母嬰類商品高頻購買者”）2.某金融機構擬處理16周歲未成年人的個人信息，需特別遵守的規(guī)則是：A.僅需獲得未成年人本人同意即可B.需獲得未成年人父母或其他監(jiān)護人的單獨同意C.無需額外同意，但需在處理前告知監(jiān)護人D.需通過公證方式確認監(jiān)護人同意3.甲公司因業(yè)務需要向境外提供用戶個人信息，根據(jù)《個人信息出境標準合同辦法》，下列哪項不屬于必須提交的材料？A.個人信息出境風險自評估報告B.與境外接收方簽訂的標準合同文本C.數(shù)據(jù)出境安全評估申報書D.境內(nèi)外處理活動的合規(guī)性證明材料4.某社交平臺擬對用戶發(fā)布的UGC內(nèi)容（如短視頻、評論）進行自動化決策推薦，根據(jù)《個人信息保護法》，下列哪項要求無需滿足？A.向用戶提供不針對其個人特征的選項（如“隨機推薦”）B.告知用戶自動化決策的基本原理和主要影響C.確保決策結(jié)果僅用于推薦，不影響用戶其他權益D.若用戶拒絕自動化決策，不得限制其使用平臺基本功能5.乙公司在用戶注冊時收集手機號、身份證號、職業(yè)信息，根據(jù)“最小必要原則”，下列哪項處理行為合規(guī)？A.將用戶職業(yè)信息用于精準廣告推送B.因業(yè)務擴展，將身份證號共享給合作的第三方物流公司C.僅基于手機號實現(xiàn)用戶登錄驗證D.存儲用戶身份證號超過業(yè)務所需的5年期限（業(yè)務需求已終止）6.下列哪類信息不屬于《個人信息保護法》規(guī)定的“敏感個人信息”？A.14周歲未成年人的個人信息B.生物識別信息（如指紋）C.醫(yī)療健康信息（非診斷結(jié)果）D.金融賬戶信息（僅賬號，不含余額）7.丙公司擬通過APP收集用戶通訊錄，需在隱私政策中明確告知的內(nèi)容不包括：A.通訊錄的收集目的（如“添加通訊錄好友”）B.通訊錄的存儲地點（如“境內(nèi)阿里云服務器”）C.通訊錄的加密方式（如“AES256加密”）D.通訊錄的共享對象（如“僅用于內(nèi)部功能，不共享第三方”）8.根據(jù)《數(shù)據(jù)安全法》，個人信息處理者未履行數(shù)據(jù)安全保護義務，導致大量個人信息泄露，可能面臨的最高處罰是：A.警告并沒收違法所得B.處上一年度營業(yè)額5%以下罰款（不超過5000萬元）C.吊銷相關業(yè)務許可證D.對直接責任人員處10萬元以下罰款9.丁公司收到用戶的個人信息刪除請求，下列哪種情形下可以拒絕刪除？A.用戶已注銷賬戶，但仍有未完成的交易訂單（需保留交易記錄）B.用戶要求刪除的信息已因技術故障無法恢復C.信息處理活動涉及公共利益（如協(xié)助公安機關調(diào)查案件）D.用戶未提供有效身份驗證（如僅口頭要求，未通過APP內(nèi)“刪除入口”提交）10.某直播平臺擬對用戶打賞行為進行數(shù)據(jù)分析，需遵守的“告知同意”規(guī)則是：A.僅需在隱私政策中概括性說明“可能分析用戶行為數(shù)據(jù)”B.需在用戶打賞前彈窗提示具體分析目的、方式，并獲得同意C.因打賞屬于用戶主動行為，無需額外告知D.僅需向用戶推送短信告知，無需獲得明確同意11.下列哪項符合“去標識化”的技術要求？A.將用戶姓名替換為“用戶123”，但保留手機號后四位B.通過哈希算法對身份證號進行不可逆轉(zhuǎn)換，且無法通過其他信息復原C.僅刪除用戶地址中的門牌號，保留城市和街道信息D.將用戶年齡從“28歲”模糊為“2530歲”12.戊公司與第三方數(shù)據(jù)服務公司合作，委托其處理用戶行為數(shù)據(jù)，下列哪項義務無需由戊公司履行？A.監(jiān)督第三方的數(shù)據(jù)處理活動B.要求第三方簽署數(shù)據(jù)處理協(xié)議（明確處理范圍和責任）C.向用戶告知第三方的身份和處理目的D.由第三方直接向用戶承擔侵權責任13.根據(jù)《個人信息保護法》，個人信息處理者的“合規(guī)負責人”需履行的職責不包括：A.組織制定個人信息保護內(nèi)部制度B.直接參與用戶個人信息的收集和存儲操作C.監(jiān)督個人信息處理活動的合規(guī)性D.向監(jiān)管部門報告?zhèn)€人信息保護情況14.己公司因系統(tǒng)漏洞導致50萬條用戶個人信息泄露，應在多長時間內(nèi)向履行個人信息保護職責的部門報告？A.立即（發(fā)現(xiàn)泄露后24小時內(nèi)）B.3個工作日內(nèi)C.7個工作日內(nèi)D.15個自然日內(nèi)15.下列哪項屬于“個人信息跨境提供”的場景？A.境內(nèi)總公司將用戶信息傳輸至境內(nèi)分公司B.境內(nèi)公司將用戶信息存儲于境外云服務器（由境內(nèi)主體實際控制）C.境內(nèi)公司向境外關聯(lián)公司提供用戶信息用于市場分析D.用戶自行將個人信息通過郵件發(fā)送至境外親友二、多項選擇題（共10題，每題3分，共30分。每題有2個或以上正確選項，錯選、漏選均不得分）1.根據(jù)《個人信息保護法》，個人信息處理的“合法性基礎”包括：A.取得個人同意B.為履行法定職責或法定義務所必需C.為應對突發(fā)公共衛(wèi)生事件所必需D.為個人利益以外的正當利益所必需（需不損害個人權益）2.某教育APP收集小學生個人信息，需特別注意的合規(guī)要點包括：A.需獲得未成年人父母或其他監(jiān)護人的同意B.隱私政策需以顯著方式、清晰易懂的語言呈現(xiàn)C.不得收集與教育服務無關的信息（如社交賬號）D.存儲時間需嚴格限制在教育服務期間及法律要求的最短期限內(nèi)3.個人信息處理者在“告知”用戶時，需滿足的要求有：A.采用顯著方式（如彈窗、加粗字體）B.內(nèi)容具體明確（如明確數(shù)據(jù)共享的第三方名稱、處理目的）C.可訪問性（用戶可隨時查看、下載）D.無需考慮用戶的理解能力（如使用專業(yè)術語）4.下列哪些行為可能構成“過度收集個人信息”？A.外賣APP要求用戶授權訪問通訊錄（功能為“添加常用收貨地址”）B.天氣APP收集用戶短信記錄（聲稱用于“驗證用戶身份”）C.銀行APP要求用戶提供婚姻狀況（功能為“信用卡申請”）D.購物APP收集用戶手機IMEI號（功能為“設備識別防作弊”）5.個人信息跨境提供的主要合規(guī)路徑包括：A.通過國家網(wǎng)信部門組織的安全評估B.與境外接收方簽訂標準合同C.境外接收方所在國/地區(qū)具有等效的個人信息保護水平D.經(jīng)用戶單獨同意（無需其他合規(guī)程序）6.個人信息處理者的“數(shù)據(jù)安全事件應急處置”需包括：A.立即暫停相關系統(tǒng)運行B.評估事件影響范圍和程度C.通知受影響的個人（如通過短信、APP推送）D.向監(jiān)管部門報告事件詳情7.下列哪些情形下，個人信息處理者無需取得用戶同意？A.為公共利益實施新聞報道，合理處理個人信息B.處理已合法公開的個人信息（但個人明確拒絕的除外）C.為維護個人信息主體的生命健康和財產(chǎn)安全所必需D.政府機關為履行法定職責處理個人信息8.個人信息“可攜帶權”的具體要求包括：A.個人可請求將其個人信息轉(zhuǎn)移至其指定的其他處理者B.處理者需提供轉(zhuǎn)移的途徑（如數(shù)據(jù)導出接口）C.轉(zhuǎn)移過程中需確保信息安全（如加密傳輸）D.處理者可收取合理成本費用（需提前告知）9.下列哪些屬于“自動化決策”的典型場景？A.電商平臺根據(jù)用戶瀏覽記錄推薦商品B.銀行基于用戶信用數(shù)據(jù)自動審批貸款C.招聘平臺通過簡歷關鍵詞篩選候選人D.社交平臺對用戶發(fā)布的內(nèi)容進行人工審核10.個人信息處理者的“內(nèi)部合規(guī)制度”應包括：A.個人信息分類分級管理制度B.數(shù)據(jù)安全事件應急預案C.用戶權利響應流程（如查詢、刪除請求的處理時限）D.員工個人信息保護培訓制度三、判斷題（共10題，每題1分，共10分。正確的打“√”，錯誤的打“×”）1.匿名化后的信息不屬于個人信息，因此處理匿名化信息無需遵守《個人信息保護法》。（）2.個人信息處理者可以將“同意”作為用戶使用產(chǎn)品或服務的唯一條件（如“不同意則無法注冊”）。（）3.處理敏感個人信息需取得個人的“單獨同意”，且需向個人告知處理的必要性以及對個人權益的影響。（）4.個人信息跨境提供時，若境外接收方已通過ISO27001認證，可直接視為具有等效保護水平。（）5.用戶要求查閱個人信息時，處理者可以要求用戶提供書面申請（如郵寄紙質(zhì)材料），無需通過線上渠道響應。（）6.個人信息處理者因合并、分立需要轉(zhuǎn)移個人信息的，需重新取得用戶同意。（）7.為提高數(shù)據(jù)利用效率，處理者可將用戶的健康信息與金融信息關聯(lián)分析，無需額外告知。（）8.未成年人的父母可以代為行使未成年人的個人信息權利（如查詢、刪除）。（）9.個人信息處理者的隱私政策更新后，無需通知已注冊用戶，只需在官網(wǎng)公示即可。（）10.數(shù)據(jù)安全風險評估報告和處理記錄應至少保存3年。（）四、簡答題（共5題，每題5分，共25分）1.簡述“告知同意”規(guī)則的核心要求及例外情形。2.列舉敏感個人信息的范圍，并說明處理敏感個人信息的特殊規(guī)則。3.個人信息跨境提供時，“數(shù)據(jù)出境安全評估”與“標準合同”的適用場景有何區(qū)別？4.個人信息處理者應如何落實“最小必要原則”？請結(jié)合具體場景說明。5.當用戶提出“刪除個人信息”請求時，處理者在哪些情形下可以拒絕？需履行哪些程序？五、案例分析題（共1題，15分）背景：某電商平臺“快購”推出新版本APP，更新隱私政策后未主動通知用戶，僅在登錄頁面底部以小字鏈接標注“隱私政策已更新”。新政策中新增以下內(nèi)容：（1）收集用戶手機相冊權限，用于“識別商品圖片以優(yōu)化搜索結(jié)果”；（2）將用戶購物記錄共享給合作的第三方廣告公司，用于“精準廣告推送”；（3）對高頻購物用戶（月消費超5000元）啟動自動化決策，降低其賬戶優(yōu)惠力度（系統(tǒng)自動調(diào)整）。用戶張某登錄時未注意隱私政策更新，直接點擊“同意”。后發(fā)現(xiàn)手機相冊被頻繁訪問，且收到大量非相關廣告，遂要求“快購”刪除其購物記錄并停止自動化決策?！翱熨彙币浴坝脩粢淹怆[私政策”為由拒絕刪除，并稱“自動化決策是平臺運營權利”。問題：請分析“快購”的上述行為存在哪些合規(guī)問題？并提出整改建議。六、論述題（共1題，20分）結(jié)合《個人信息保護法》《數(shù)據(jù)安全法》及行業(yè)實踐，論述企業(yè)應如何構建“全流程個人信息保護合規(guī)體系”，并說明各環(huán)節(jié)的關鍵措施。2025年個人信息保護合規(guī)考試答案一、單項選擇題1.A2.B3.C4.C5.C6.D7.C8.B9.C10.B11.B12.D13.B14.A15.C二、多項選擇題1.ABCD2.ABCD3.ABC4.BC5.ABC6.BCD7.ABCD8.ABCD9.ABC10.ABCD三、判斷題1.√2.×3.√4.×5.×6.√7.×8.√9.×10.×四、簡答題1.簡述“告知同意”規(guī)則的核心要求及例外情形。核心要求：（1）告知需以顯著方式、清晰易懂的語言，明確個人信息的處理目的、方式、種類、保存期限、共享或轉(zhuǎn)移的接收方等；（2）同意需由個人主動作出，不可默認勾選；（3）處理敏感個人信息需取得單獨同意；（4）同意可撤回，處理者需提供便捷撤回方式。例外情形：（1）為履行法定職責或法定義務；（2）為應對突發(fā)公共衛(wèi)生事件或緊急情況下保護自然人生命健康和財產(chǎn)安全；（3）為公共利益實施新聞報道、輿論監(jiān)督等；（4）已合法公開的個人信息（個人明確拒絕的除外）；（5）用于統(tǒng)計或?qū)W術研究等非商業(yè)目的且無法識別特定個人。2.列舉敏感個人信息的范圍，并說明處理敏感個人信息的特殊規(guī)則。敏感個人信息范圍：生物識別、宗教信仰、特定身份（如犯罪記錄）、醫(yī)療健康、金融賬戶、行蹤軌跡信息，以及不滿十四周歲未成年人的個人信息。特殊規(guī)則：（1）僅當處理目的具有必要性且充分正當，方可處理；（2）需取得個人的單獨同意（書面、彈窗等明確方式）；（3）告知時需特別說明處理的必要性及對個人權益的影響；（4）采取嚴格的保護措施（如加密、訪問控制）；（5）存儲期限應嚴格限制，僅保留必要時間。3.個人信息跨境提供時，“數(shù)據(jù)出境安全評估”與“標準合同”的適用場景有何區(qū)別？（1）安全評估適用場景：關鍵信息基礎設施運營者處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量（如超過100萬人）；處理敏感個人信息；自境外接收方獲取個人信息后再轉(zhuǎn)移出境；國家網(wǎng)信部門規(guī)定的其他情形。（2）標準合同適用場景：不屬于安全評估范圍的個人信息跨境提供（如非關鍵信息基礎設施運營者處理非敏感個人信息，且數(shù)據(jù)量未達安全評估閾值）。需由境內(nèi)處理者與境外接收方簽訂并備案標準合同，提交風險自評估報告。4.個人信息處理者應如何落實“最小必要原則”？請結(jié)合具體場景說明。落實措施：（1）明確業(yè)務功能所需的最小信息類型（如社交APP注冊僅需手機號，無需身份證號）；（2）限制信息收集范圍（如天氣APP僅需位置權限，無需訪問通訊錄）；（3）縮短存儲期限（如電商訂單信息在交易完成后保存3年，而非永久存儲）；（4）控制共享范圍（如物流信息僅共享給合作快遞公司，不共享給廣告商）。示例：某辦公軟件為實現(xiàn)“文件云存儲”功能，僅需收集用戶郵箱和姓名，無需收集手機號或銀行卡信息；若用戶未主動開啟“位置簽到”功能，不得默認收集位置軌跡。5.當用戶提出“刪除個人信息”請求時，處理者在哪些情形下可以拒絕？需履行哪些程序？拒絕情形：（1）處理者履行法定義務所必需（如保存稅務記錄）；（2）為應對突發(fā)公共事件或維護公共利益（如協(xié)助公安機關調(diào)查）；（3）個人信息已無法恢復（因技術原因滅失）；（4）用戶未提供有效身份驗證（如未通過賬號密碼或生物識別驗證）。程序要求：（1）在收到請求后及時驗證用戶身份（一般不超過15個工作日）；（2）若拒絕，需向用戶說明理由（如“因配合司法調(diào)查，暫無法刪除”）；（3）拒絕決定需記錄留存，備查。五、案例分析題合規(guī)問題分析：（1）隱私政策更新未有效通知用戶：僅以小字鏈接標注，未通過彈窗、短信等顯著方式告知，違反“告知需顯著”的要求（《個人信息保護法》第17條）。（2）過度收集相冊權限：收集手機相冊的目的是“識別商品圖片優(yōu)化搜索”，但未證明該目的的必要性（用戶可主動上傳圖片，無需默認訪問相冊），可能違反“最小必要原則”（第6條）。（3）未明確告知共享第三方：將購物記錄共享給廣告公司，需在隱私政策中明確第三方名稱、處理目的，而案例中未提及具體告知內(nèi)容（第17條）。（4）自動化決策未履行告知義務：對高頻用戶降低優(yōu)惠力度，屬于影響用戶權益的自動化決策，需告知基本原理和主要影響，并提供拒絕選項（第24條）。（5）拒絕刪除請求無合法依據(jù)：用戶要求刪除購物記錄，若不存在法定拒絕情形（如配合調(diào)查），平臺不得拒絕（第47條）。整改建議：（1）更新隱私政策時，通過APP彈窗、站內(nèi)信等顯著方式通知用戶，確保用戶知悉并重新確認同意；（2）僅在用戶主動使用“圖片搜索”功能時請求相冊權限，且明確告知收集目的；（3）在隱私政策中列明合作廣告公司的名稱、共享的信息類型（如購物記錄）及處理目的（如“精準推送”）；（4）對自動化決策功能，向用戶告知算法原理（如“基于消費頻次調(diào)整優(yōu)惠”），并提供“關閉個性化優(yōu)惠”選項；（5）收到刪除請求后，驗證用戶身份并在15個工作日內(nèi)刪除購物記錄（或提供刪除路徑），若無法刪除需說明理由。六、論述題企業(yè)構建全流程個人信息保護合規(guī)體系的關鍵環(huán)節(jié)及措施：1.制度設計與組織保障制定《個人信息保護管理辦法》《數(shù)據(jù)安全分級分類規(guī)則》等內(nèi)部制度，明確各部門職責（如IT部門負責技術保護，合規(guī)部門負責監(jiān)督）。設立獨立的個人信息保護負責人（DPO），直接向高層匯報，負責統(tǒng)籌合規(guī)工作。建立跨部門協(xié)作機制（如法務、技術、產(chǎn)品、客服），確保信息處理全流程合規(guī)。2.數(shù)據(jù)生命周期管理收集階段：通過“需求評審”流程，驗證信息收集的必要性（如產(chǎn)品部門需提交“信息收集必要性說明”），僅收集與業(yè)務功能直接相關的信息（如教育類APP不收集用戶金融信息）。存儲階段：對個人信息分類分級（如敏感信息標記為“高敏感”），采用加密存儲（如AES256）、訪問控制（如最小權限原則），限制存儲期限（如用戶注銷后30日內(nèi)刪除）。使用與共享階段：簽訂數(shù)據(jù)共享協(xié)議（明確第三方處理范