2025年個人信息保護(hù)合規(guī)考試試題及答案一、單項選擇題（每題2分，共40分）1.根據(jù)《個人信息保護(hù)法》，個人信息處理者處理敏感個人信息時，下列哪項不是必須滿足的條件？A.取得個人的單獨同意B.具有特定的目的和充分的必要性C.采取嚴(yán)格的保護(hù)措施D.向個人告知處理的必要性以及對個人權(quán)益的影響答案：D（敏感個人信息處理需告知“處理敏感個人信息的必要性以及對個人權(quán)益的影響”，但普通個人信息處理也需告知必要性，因此D不是敏感信息特有的必須條件。依據(jù)《個人信息保護(hù)法》第29條）2.某電商平臺擬對用戶購物記錄進(jìn)行自動化決策推薦商品，下列哪項符合合規(guī)要求？A.僅通過用戶注冊時勾選的“同意隱私政策”作為自動化決策的同意依據(jù)B.允許用戶關(guān)閉個性化推薦功能，并提供不針對其個人特征的選項C.對不同用戶設(shè)置不同的商品價格，但不告知用戶價格差異的原因D.將用戶購物記錄與第三方廣告平臺共享用于精準(zhǔn)營銷，無需額外告知答案：B（自動化決策需保證用戶有拒絕權(quán)，提供非個性化選項。依據(jù)《個人信息保護(hù)法》第24條）3.某醫(yī)療APP收集用戶健康數(shù)據(jù)，根據(jù)《個人信息保護(hù)法》及相關(guān)規(guī)定，下列哪類信息不屬于敏感個人信息？A.基因信息B.病歷資料C.血型D.就診次數(shù)答案：D（敏感個人信息包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，就診次數(shù)屬于一般個人信息。依據(jù)《個人信息保護(hù)法》第28條）4.甲公司擬將境內(nèi)用戶個人信息傳輸至境外關(guān)聯(lián)公司，下列哪項跨境傳輸途徑不符合現(xiàn)行規(guī)定？A.通過國家網(wǎng)信部門組織的安全評估B.與境外接收方簽訂國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同C.經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個人信息保護(hù)認(rèn)證D.僅取得用戶單獨同意后直接傳輸答案：D（個人信息跨境傳輸需通過安全評估、標(biāo)準(zhǔn)合同或認(rèn)證，僅用戶同意不足以作為唯一途徑。依據(jù)《個人信息保護(hù)法》第38條、《個人信息出境標(biāo)準(zhǔn)合同辦法》第2條）5.某兒童教育類APP需收集12周歲用戶的個人信息，下列合規(guī)操作是？A.直接與用戶簽訂隱私協(xié)議并收集信息B.取得用戶監(jiān)護(hù)人的同意，并單獨告知監(jiān)護(hù)人收集目的、方式和范圍C.僅需在隱私協(xié)議中提示“未成年人需監(jiān)護(hù)人同意”，無需主動確認(rèn)D.收集信息范圍包括用戶的社交賬號、通訊錄以優(yōu)化學(xué)習(xí)互動答案：B（處理不滿14周歲未成年人個人信息需取得監(jiān)護(hù)人同意，并單獨告知。依據(jù)《個人信息保護(hù)法》第31條）6.某銀行發(fā)現(xiàn)系統(tǒng)漏洞導(dǎo)致客戶銀行卡信息泄露，應(yīng)在多長時間內(nèi)向履行個人信息保護(hù)職責(zé)的部門報告？A.立即B.24小時內(nèi)C.3個工作日內(nèi)D.7個工作日內(nèi)答案：B（發(fā)生個人信息泄露、篡改、丟失的，應(yīng)立即采取補(bǔ)救措施，并在24小時內(nèi)向監(jiān)管部門報告。依據(jù)《個人信息保護(hù)法》第57條）7.下列哪項不屬于個人信息處理者的“最小必要”原則要求？A.收集的個人信息類型與實現(xiàn)處理目的直接相關(guān)B.收集的個人信息數(shù)量為實現(xiàn)處理目的的最低限度C.存儲個人信息的時間為實現(xiàn)處理目的的最短必要時間D.對個人信息進(jìn)行加密存儲以防止泄露答案：D（“最小必要”原則針對收集、使用的范圍和時間，加密屬于安全技術(shù)措施。依據(jù)《個人信息保護(hù)法》第6條）8.某短視頻APP在用戶未登錄時收集設(shè)備MAC地址、IMEI號，聲稱用于“設(shè)備識別以保障賬號安全”。根據(jù)《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》，該行為是否合規(guī)？A.合規(guī)，設(shè)備信息是保障安全的必要信息B.不合規(guī)，設(shè)備信息不屬于短視頻類APP的必要個人信息C.合規(guī)，未登錄時收集設(shè)備信息無需用戶同意D.不合規(guī)，需取得用戶單獨同意后方可收集答案：B（短視頻類APP必要個人信息僅包括注冊用戶移動電話號碼，設(shè)備信息不屬于必要信息，超范圍收集違反“最小必要”原則。依據(jù)《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》）9.個人信息處理者委托第三方處理個人信息時，下列哪項義務(wù)無需履行？A.與受托人約定數(shù)據(jù)安全保護(hù)義務(wù)B.對受托人的處理活動進(jìn)行監(jiān)督C.向個人告知受托人的名稱或姓名D.確保受托人僅按約定處理，不得轉(zhuǎn)委托答案：C（委托處理時需向個人告知受托人基本信息，但無需告知具體名稱或姓名，可告知類別。依據(jù)《個人信息保護(hù)法》第22條）10.某企業(yè)擬通過“隱私政策”概括性聲明“本公司可能與關(guān)聯(lián)公司共享個人信息”，未具體列明關(guān)聯(lián)公司名稱。該行為是否合規(guī)？A.合規(guī)，關(guān)聯(lián)公司屬于同一集團(tuán)，共享無需具體列明B.不合規(guī)，需具體列明共享的接收方名稱或姓名、聯(lián)系方式C.合規(guī)，概括性聲明已滿足“明確、具體”的告知要求D.不合規(guī)，需取得用戶對每個關(guān)聯(lián)公司的單獨同意答案：B（告知需明確具體，包括接收方的名稱或姓名、聯(lián)系方式、處理目的等。依據(jù)《個人信息保護(hù)法》第17條）11.根據(jù)《個人信息保護(hù)法》，下列哪項情形個人信息處理者無需取得個人同意？A.為履行法定職責(zé)或者法定義務(wù)所必需B.為應(yīng)對突發(fā)公共衛(wèi)生事件所必需C.為個人訂立、履行合同所必需D.為新聞報道，合理處理個人信息答案：A（履行法定職責(zé)或義務(wù)無需同意，其他選項需符合“合理”或“必需”條件。依據(jù)《個人信息保護(hù)法》第13條）12.某社交平臺用戶要求查詢其個人信息處理情況，平臺以“查詢需人工審核，需30個工作日”為由延遲響應(yīng)。該行為是否合規(guī)？A.合規(guī)，法律未規(guī)定響應(yīng)時限B.不合規(guī)，應(yīng)在合理期限內(nèi)響應(yīng)，一般不超過15個工作日C.合規(guī)，平臺可根據(jù)自身業(yè)務(wù)流程設(shè)定時限D(zhuǎn).不合規(guī)，需在7個工作日內(nèi)響應(yīng)答案：B（個人信息主體行使權(quán)利時，處理者應(yīng)在合理期限內(nèi)響應(yīng)，實踐中通常不超過15個工作日。依據(jù)《個人信息保護(hù)法》第47條）13.某金融科技公司將用戶的消費記錄、信用評分與保險公司共享用于保險產(chǎn)品推薦，未告知用戶共享目的。該行為違反了哪項原則？A.目的明確原則B.最小必要原則C.公開透明原則D.質(zhì)量原則答案：A（共享需明確告知處理目的，未告知違反目的明確原則。依據(jù)《個人信息保護(hù)法》第6條）14.匿名化處理后的信息是否屬于個人信息？A.屬于，仍可能識別特定自然人B.不屬于，無法識別或關(guān)聯(lián)特定自然人C.部分屬于，需結(jié)合其他信息判斷D.法律未明確規(guī)定答案：B（匿名化處理后無法識別或關(guān)聯(lián)特定自然人，不屬于個人信息。依據(jù)《個人信息保護(hù)法》第4條）15.某智能手表廠商收集用戶運動軌跡信息，下列哪項告知內(nèi)容不符合要求？A.“我們將收集您的實時運動軌跡，用于計算運動距離和卡路里”B.“運動軌跡信息可能與合作健身平臺共享，用于優(yōu)化運動建議”C.“您可隨時關(guān)閉定位功能以停止軌跡收集”D.“軌跡信息存儲期限為自最后一次使用手表后10年”答案：D（存儲期限需為實現(xiàn)處理目的的最短時間，10年明顯超過必要期限，違反“最小必要”原則。依據(jù)《個人信息保護(hù)法》第6條）16.根據(jù)《數(shù)據(jù)安全法》，重要數(shù)據(jù)的處理者應(yīng)當(dāng)按照規(guī)定對數(shù)據(jù)處理活動定期開展風(fēng)險評估，并向有關(guān)主管部門報告。風(fēng)險評估的周期是？A.每半年一次B.每年一次C.每兩年一次D.每三年一次答案：B（重要數(shù)據(jù)處理者需每年開展風(fēng)險評估并報告。依據(jù)《數(shù)據(jù)安全法》第31條）17.某APP在用戶安裝時要求開啟“通訊錄”“位置”“相機(jī)”權(quán)限，但實際功能僅需“相機(jī)”權(quán)限用于掃碼。該行為違反了？A.最小必要原則B.目的明確原則C.公開透明原則D.責(zé)任原則答案：A（超范圍申請權(quán)限違反最小必要原則。依據(jù)《個人信息保護(hù)法》第6條）18.個人信息處理者因合并、分立需要轉(zhuǎn)移個人信息時，下列哪項無需告知個人？A.接收方的名稱或姓名B.轉(zhuǎn)移的個人信息內(nèi)容C.接收方的處理目的、方式D.轉(zhuǎn)移的時間和地點答案：D（轉(zhuǎn)移時需告知接收方信息、處理目的方式、個人信息內(nèi)容等，無需告知時間和地點。依據(jù)《個人信息保護(hù)法》第23條）19.某教育機(jī)構(gòu)將學(xué)生的考試成績匿名化后用于教學(xué)研究論文發(fā)表，是否需要取得學(xué)生同意？A.需要，匿名化前屬于個人信息B.不需要，匿名化后不屬于個人信息C.需要，匿名化過程可能存在重新識別風(fēng)險D.不需要，教學(xué)研究屬于合理使用答案：B（匿名化后的信息不屬于個人信息，無需同意。依據(jù)《個人信息保護(hù)法》第4條）20.下列哪項不屬于個人信息主體的權(quán)利？A.查閱、復(fù)制權(quán)B.更正、補(bǔ)充權(quán)C.刪除權(quán)D.要求解釋權(quán)答案：D（個人信息主體享有查閱、復(fù)制、更正、補(bǔ)充、刪除等權(quán)利，“要求解釋權(quán)”不屬于法定權(quán)利，但自動化決策中需提供解釋。依據(jù)《個人信息保護(hù)法》第4447條）二、多項選擇題（每題3分，共30分，少選、錯選均不得分）1.個人信息處理者制定隱私政策時，應(yīng)當(dāng)包含的內(nèi)容有（）A.個人信息的處理目的、方式、種類、保存期限B.個人信息共享、轉(zhuǎn)讓、公開的規(guī)則C.個人信息主體行使權(quán)利的方式和程序D.個人信息安全事件的響應(yīng)機(jī)制答案：ABCD（隱私政策需涵蓋處理規(guī)則、主體權(quán)利、安全措施等。依據(jù)《個人信息保護(hù)法》第17條）2.下列屬于敏感個人信息的有（）A.15周歲未成年人的身份證號碼B.某企業(yè)高管的行蹤軌跡C.糖尿病患者的診斷結(jié)果D.某明星的宗教信仰答案：BCD（不滿14周歲未成年人信息屬于敏感信息，15周歲不屬于；行蹤軌跡、醫(yī)療健康、宗教信仰均為敏感信息。依據(jù)《個人信息保護(hù)法》第28條）3.個人信息處理者應(yīng)當(dāng)建立健全個人信息保護(hù)合規(guī)制度體系，包括（）A.個人信息分類分級制度B.個人信息安全影響評估制度C.個人信息處理流程管理制度D.員工個人信息保護(hù)培訓(xùn)制度答案：ABCD（合規(guī)制度需覆蓋分類、評估、流程、培訓(xùn)等。依據(jù)《個人信息保護(hù)法》第51條）4.個人信息跨境提供時，個人信息處理者應(yīng)當(dāng)向個人告知的內(nèi)容包括（）A.接收方的名稱、聯(lián)系方式、所在國家或地區(qū)B.跨境提供的目的、方式、種類、保存期限C.接收方所在國家或地區(qū)的個人信息保護(hù)政策和法規(guī)D.個人行使權(quán)利的方式和程序答案：ABCD（跨境提供需全面告知接收方信息、處理規(guī)則及個人權(quán)利。依據(jù)《個人信息保護(hù)法》第39條）5.個人信息主體行使刪除權(quán)的情形包括（）A.個人信息處理目的已實現(xiàn)，無需繼續(xù)保存B.個人信息處理者違反法律規(guī)定處理個人信息C.個人撤回同意，且無法律依據(jù)繼續(xù)處理D.個人信息處理者停止提供產(chǎn)品或服務(wù)答案：ABCD（刪除權(quán)適用于目的實現(xiàn)、違規(guī)處理、撤回同意、停止服務(wù)等情形。依據(jù)《個人信息保護(hù)法》第47條）6.某APP收集用戶個人信息時，下列哪些行為符合“告知同意”原則？（）A.在注冊頁面以顯著方式展示隱私政策鏈接，用戶勾選“同意”后注冊B.在首次使用時彈出彈窗，明確告知收集的信息類型及用途，用戶點擊“同意”C.更新隱私政策后，通過站內(nèi)通知提示用戶，用戶未點擊“不同意”視為默認(rèn)同意D.收集位置信息前，系統(tǒng)提示“需要獲取位置權(quán)限以提供附近服務(wù)”，用戶點擊“允許”答案：ABD（默認(rèn)同意無效，需主動確認(rèn)。依據(jù)《個人信息保護(hù)法》第17、18條）7.根據(jù)《個人信息保護(hù)法》，個人信息處理者的義務(wù)包括（）A.對個人信息實行分類管理B.采取技術(shù)措施和其他必要措施保障個人信息安全C.定期對從業(yè)人員進(jìn)行個人信息保護(hù)培訓(xùn)D.制定并公布個人信息保護(hù)負(fù)責(zé)人的聯(lián)系方式答案：ABCD（義務(wù)包括分類管理、安全措施、培訓(xùn)、負(fù)責(zé)人設(shè)置等。依據(jù)《個人信息保護(hù)法》第51、52條）8.下列哪些行為可能構(gòu)成個人信息侵權(quán)？（）A.醫(yī)院將患者病歷提供給醫(yī)藥公司用于藥物研發(fā)，未取得患者同意B.快遞公司將用戶收貨地址提供給電商平臺用于物流統(tǒng)計C.社交平臺未明確告知用戶，將用戶聊天記錄用于AI模型訓(xùn)練D.銀行在用戶逾期未還款時，向其緊急聯(lián)系人告知欠款情況答案：ABC（D屬于履行合同必要，不侵權(quán)；ABC均未取得同意或超范圍處理。依據(jù)《個人信息保護(hù)法》第13、22條）9.個人信息安全影響評估的內(nèi)容包括（）A.個人信息的處理目的、方式的合法性、正當(dāng)性、必要性B.對個人權(quán)益的影響及安全風(fēng)險C.所采取的安全保護(hù)措施的有效性D.個人信息跨境提供的必要性及風(fēng)險答案：ABCD（影響評估需涵蓋目的合法性、權(quán)益影響、安全措施、跨境風(fēng)險等。依據(jù)《個人信息保護(hù)法》第55條）10.處理生物識別信息時，下列合規(guī)要求正確的有（）A.僅收集實現(xiàn)處理目的所需的最小生物特征數(shù)據(jù)B.采用去標(biāo)識化或匿名化技術(shù)存儲生物識別信息C.禁止將生物識別信息用于與處理目的無關(guān)的場景D.向個人告知生物識別信息的處理方式和可能的風(fēng)險答案：ABCD（生物識別信息屬敏感信息，需嚴(yán)格遵循最小必要、安全存儲、目的限制、充分告知。依據(jù)《個人信息保護(hù)法》第28、29條）三、判斷題（每題1分，共10分）1.個人信息處理者可以將“同意隱私政策”作為用戶使用產(chǎn)品或服務(wù)的唯一條件。（）答案：×（不得將同意作為唯一條件，需提供不同意的替代方案。依據(jù)《個人信息保護(hù)法》第16條）2.處理已公開的個人信息，無需取得個人同意。（）答案：×（需符合“合理”原則，超出合理范圍仍需同意。依據(jù)《個人信息保護(hù)法》第27條）3.個人信息處理者委托第三方處理個人信息的，第三方可再委托其他方處理，無需告知原處理者。（）答案：×（轉(zhuǎn)委托需取得原處理者同意，并約定責(zé)任。依據(jù)《個人信息保護(hù)法》第22條）4.個人信息的保存期限應(yīng)自個人信息處理完畢后起算，而非收集時。（）答案：√（保存期限需明確“自……起算”，通常為處理完畢后。依據(jù)《個人信息保護(hù)法》第6條）5.不滿16周歲未成年人的個人信息處理需取得監(jiān)護(hù)人同意。（）答案：×（不滿14周歲需監(jiān)護(hù)人同意。依據(jù)《個人信息保護(hù)法》第31條）6.個人信息主體撤回同意后，個人信息處理者應(yīng)立即刪除相關(guān)個人信息。（）答案：×（撤回同意后，若有法律依據(jù)可繼續(xù)處理，否則需刪除。依據(jù)《個人信息保護(hù)法》第47條）7.個人信息安全事件發(fā)生后，處理者只需向監(jiān)管部門報告，無需告知受影響個人。（）答案：×（需及時告知受影響個人，除非告知可能造成二次傷害。依據(jù)《個人信息保護(hù)法》第57條）8.匿名化處理后的信息可以不受個人信息保護(hù)相關(guān)法律約束。（）答案：√（匿名化信息不屬于個人信息，不適用《個人信息保護(hù)法》。依據(jù)《個人信息保護(hù)法》第4條）9.個人信息處理者可以將同一信息的處理目的多次變更，只需更新隱私政策并告知即可。（）答案：×（變更處理目的需重新取得同意。依據(jù)《個人信息保護(hù)法》第15條）10.金融機(jī)構(gòu)因反洗錢需要處理個人信息的，無需取得個人同意。（）答案：√（屬于履行法定職責(zé)，無需同意。依據(jù)《個人信息保護(hù)法》第13條）四、簡答題（每題6分，共30分）1.簡述個人信息處理的“告知同意”原則的具體要求。答案：（1）告知需以顯著方式、清晰易懂的語言真實、準(zhǔn)確、完整告知處理目的、方式、種類、保存期限、共享/轉(zhuǎn)讓/公開情況、主體權(quán)利等；（2）同意需由個人主動作出，明確、自愿、具體；（3）變更處理目的、方式、范圍等需重新取得同意；（4）不得將同意作為提供產(chǎn)品或服務(wù)的唯一條件；（5）處理敏感個人信息、向境外提供個人信息等需取得單獨同意。（依據(jù)《個人信息保護(hù)法》第1720條）2.列舉個人信息處理者應(yīng)履行的安全保護(hù)義務(wù)。答案：（1）制定內(nèi)部管理制度和操作規(guī)程；（2）對個人信息實行分類分級管理；（3）采取加密、去標(biāo)識化等技術(shù)措施；（4）合理確定個人信息處理的操作權(quán)限，并定期審核；（5）制定并組織實施個人信息安全事件應(yīng)急預(yù)案；（6）對工作人員進(jìn)行安全培訓(xùn)；（7）法律、行政法規(guī)規(guī)定的其他義務(wù)。（依據(jù)《個人信息保護(hù)法》第51條）3.簡述敏感個人信息的定義及處理要求。答案：定義：敏感個人信息是一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財產(chǎn)安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。處理要求：（1）具有特定的目的和充分的必要性；（2）取得個人的單獨同意（未成年人需監(jiān)護(hù)人同意）；（3）向個人告知處理敏感個人信息的必要性以及對個人權(quán)益的影響；（4）采取嚴(yán)格的保護(hù)措施。（依據(jù)《個人信息保護(hù)法》第28、29、31條）4.個人信息主體享有哪些法定權(quán)利？答案：（1）查閱、復(fù)制權(quán)：有權(quán)查閱、復(fù)制其個人信息；（2）更正、補(bǔ)充權(quán)：有權(quán)要求更正不準(zhǔn)確或補(bǔ)充不完整的個人信息；（3）刪除權(quán)：在法定情形下有權(quán)要求刪除個人信息；（4）撤回同意權(quán)：有權(quán)撤回之前作出的同意；（5）限制處理權(quán)：在特定情形下有權(quán)限制處理個人信息；（6）獲取轉(zhuǎn)移權(quán)：有權(quán)獲取其個人信息的復(fù)制件并轉(zhuǎn)移至其他處理者（符合國家網(wǎng)信部門規(guī)定條件）。（依據(jù)《個人信息保護(hù)法》第4449條）5.簡述個人信息跨境提供的合規(guī)路徑。答案：（1）通過國家網(wǎng)信部門組織的安全評估；（2）與境外接收方簽訂國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同；（3）按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個人信息保護(hù)認(rèn)證；（4）法律、行政法規(guī)或者國家網(wǎng)信部門規(guī)定的其他條件。同時需履行以下義務(wù)：向個人告知跨境提供的相關(guān)信息、取得個人單獨同意（法律另有規(guī)定除外）、開展個人信息保護(hù)影響評估并向監(jiān)管部門報告。（依據(jù)《個人信息保護(hù)法》第3840條、《個人信息出境標(biāo)準(zhǔn)合同辦法》第2條）五、案例分析題（每題10分，共30分）案例1：某社交APP違規(guī)收集信息案2024年12月，用戶舉報某社交APP（月活用戶超5000萬）在注冊時強(qiáng)制要求讀取通訊錄、相冊、位置權(quán)限，否則無法使用基本聊天功能；同時，APP在用戶未主動操作時，自動上傳手機(jī)聯(lián)系人信息至服務(wù)器，聲稱“用于推薦可能認(rèn)識的人”。經(jīng)核查，該APP隱私政策僅籠統(tǒng)提及“可能收集設(shè)備信息、聯(lián)系人信息用于社交功能”，未明確收集方式和范圍；且上傳聯(lián)系人前未向用戶單獨告知或取得同意。問題：分析該APP存在哪些合規(guī)問題，并指出法律依據(jù)。答案：合規(guī)問題及法律依據(jù)：（1）超范圍收集個人信息：強(qiáng)制要求讀取通訊錄、相冊、位置權(quán)限作為使用基本功能的條件，違反“最小必要”原則（《個人信息保護(hù)法》第6條）；（2）強(qiáng)制同意：將同意收集非必要信息作為使用基本功能的唯一條件，侵犯用戶自主選擇權(quán)（《個人信息保護(hù)法》第16條）；（3）未充分告知：隱私政策對聯(lián)系人收集的方式、范圍描述籠統(tǒng)，未達(dá)到“明確、具體”要求（《個人信息保護(hù)法》第17條）；（4）未取得單獨同意：自動上傳聯(lián)系人信息屬于敏感操作（涉及他人個人信息），需取得用戶單獨同意（《個人信息保護(hù)法》第29條）；（5）超目的處理：上傳聯(lián)系人信息的目的（推薦可能認(rèn)識的人）雖與社交功能相關(guān)，但未在隱私政策中明確，違反目的明確原則（《個人信息保護(hù)法》第6條）。案例2：某跨境電商個人信息出境案某跨境電商平臺（中國境內(nèi)注冊）為優(yōu)化境外物流服務(wù)，擬將用戶的姓名、地址、聯(lián)系方式等個人信息傳輸至境外物流服務(wù)商。平臺計劃通過與境外服務(wù)商簽訂自行制定的《數(shù)據(jù)共享協(xié)議》完成傳輸，未進(jìn)行安全評估或認(rèn)證，僅在隱私政策中提示“個人信息可能因物流需要傳輸至境外”，未取得用戶單獨同意。問題：指出該平臺個人信息出境的違規(guī)點，并提出合規(guī)建議。答案：違規(guī)點：（1）未通過法定跨境傳輸途徑：僅簽訂自行制定的協(xié)議，未通過安全評估、標(biāo)準(zhǔn)合同或認(rèn)證（《個人信息保護(hù)法》第38條、《個人信息出境標(biāo)準(zhǔn)合同辦法》第2條）；（2）未充分告知：僅籠統(tǒng)提示