2025年個人信息保護合規(guī)考試試題及答案一、單項選擇題（每題1分，共30分。每題只有一個正確答案，請將正確選項的字母填在括號內(nèi)）1.根據(jù)《個人信息保護法》第十三條，處理個人信息應(yīng)當(dāng)取得個人的同意，但下列哪一項不屬于可以不經(jīng)同意的合法情形？A.為履行法定職責(zé)或法定義務(wù)所必需B.為應(yīng)對突發(fā)公共衛(wèi)生事件所必需C.為提升用戶體驗所必需D.為公共利益實施新聞報道所必需答案：C2.某App在首次啟動時彈窗提示“為改進服務(wù)，我們將收集您的設(shè)備信息、位置信息、通訊錄”，并僅提供“同意”按鈕，未提供“拒絕”選項。該做法違反了《個人信息保護法》哪一項基本原則？A.合法正當(dāng)必要原則B.公開透明原則C.自愿同意原則D.最小必要原則答案：C3.某電商平臺將用戶收貨地址提供給第三方物流公司，但未單獨告知用戶且未獲得明確同意。該行為最可能構(gòu)成：A.合法履行合同必需B.未經(jīng)同意向他人提供個人信息C.已匿名化處理D.合理使用已公開信息答案：B4.個人信息處理者應(yīng)當(dāng)保存?zhèn)€人信息處理活動記錄，保存期限不得少于：A.1年B.2年C.3年D.5年答案：C5.敏感個人信息不包括：A.14周歲以下未成年人的個人信息B.銀行賬戶余額C.用戶瀏覽商品記錄D.精準(zhǔn)定位信息答案：C6.個人信息處理者發(fā)生個人信息泄露事件后，應(yīng)當(dāng)在幾小時內(nèi)履行告知義務(wù)？A.8小時B.12小時C.24小時D.72小時答案：C7.個人信息保護影響評估報告和處理情況記錄應(yīng)當(dāng)至少保存：A.1年B.2年C.3年D.5年答案：C8.某公司將員工指紋用于考勤，但未進行個人信息保護影響評估，可能被處以：A.警告B.五萬元以下罰款C.五十萬元以下罰款D.五千萬元以下或者上一年度營業(yè)額5%以下罰款答案：C9.個人信息處理者向境外提供個人信息，應(yīng)當(dāng)具備下列哪項條件？A.通過網(wǎng)絡(luò)安全審查B.取得個人單獨同意C.簽訂標(biāo)準(zhǔn)合同即可，無需評估D.僅需內(nèi)部審批答案：B10.個人信息處理者委托他人處理個人信息，應(yīng)當(dāng)對受托人的哪項義務(wù)進行約定？A.數(shù)據(jù)商業(yè)化利用B.數(shù)據(jù)二次開發(fā)C.數(shù)據(jù)安全保護D.數(shù)據(jù)共享收益答案：C11.個人信息主體有權(quán)撤回同意，個人信息處理者應(yīng)當(dāng)提供：A.電話撤回方式B.便捷撤回方式C.書面撤回方式D.郵件撤回方式答案：B12.個人信息處理者因業(yè)務(wù)需要確需向境外提供個人信息，且無法取得個人同意時，可依據(jù)：A.國際條約B.企業(yè)規(guī)章制度C.行業(yè)慣例D.數(shù)據(jù)出境安全評估辦法答案：D13.個人信息處理者利用個人信息進行自動化決策，應(yīng)當(dāng)保證決策的：A.商業(yè)機密性B.透明度和結(jié)果公平合理C.高效性D.不可解釋性答案：B14.個人信息處理者拒絕個人行使權(quán)利請求的，個人可以依法向哪一部門投訴？A.市場監(jiān)管部門B.網(wǎng)信部門C.工信部門D.公安部門答案：B15.個人信息處理者處理已公開的個人信息，符合下列哪項條件方可處理？A.無需任何條件B.個人未明確表示拒絕C.在合理范圍內(nèi)處理D.取得二次授權(quán)答案：C16.個人信息跨境傳輸安全評估的重點不包括：A.數(shù)據(jù)規(guī)模B.數(shù)據(jù)敏感程度C.境外接收方所在國家法律環(huán)境D.數(shù)據(jù)出境成本答案：D17.個人信息處理者應(yīng)當(dāng)定期對從業(yè)人員進行安全教育培訓(xùn)，頻次不得少于：A.每月一次B.每季度一次C.每半年一次D.每年一次答案：D18.個人信息處理者提供工具供用戶查詢、更正、刪除個人信息，該工具應(yīng)當(dāng)：A.僅在工作日開放B.僅對會員開放C.便捷且免費D.收取合理費用答案：C19.個人信息處理者破產(chǎn)且無承接方時，個人信息應(yīng)當(dāng)：A.移交行業(yè)協(xié)會B.刪除或匿名化C.轉(zhuǎn)讓給其他企業(yè)D.繼續(xù)保存答案：B20.個人信息處理者處理敏感個人信息，除告知一般事項外，還應(yīng)當(dāng)告知：A.處理目的不可替代性B.數(shù)據(jù)出境計劃C.數(shù)據(jù)商業(yè)化收益D.數(shù)據(jù)保存年限答案：A21.個人信息保護合規(guī)審計可以由以下哪類機構(gòu)開展？A.企業(yè)內(nèi)部審計部B.省級以上網(wǎng)信部門C.依法成立的第三方機構(gòu)D.行業(yè)協(xié)會答案：C22.個人信息處理者未履行個人信息保護義務(wù)，致使信息泄露，造成大量用戶騷擾電話，可能被處以：A.警告B.一萬元以下罰款C.一百萬元以下罰款D.五千萬元以下或者上一年度營業(yè)額5%以下罰款答案：D23.個人信息處理者處理個人信息時，哪項技術(shù)措施屬于“去標(biāo)識化”？A.對稱加密B.哈希加鹽C.對稱解密D.明文存儲答案：B24.個人信息處理者向境外提供個人信息，應(yīng)當(dāng)事前進行：A.數(shù)據(jù)分類分級B.個人信息保護認(rèn)證C.個人信息保護影響評估D.數(shù)據(jù)備份答案：C25.個人信息處理者處理生物識別信息時，應(yīng)當(dāng)：A.與身份信息分開存儲B.與身份信息合并存儲C.無需加密D.無需告知答案：A26.個人信息處理者通過“捆綁授權(quán)”方式收集個人信息，違反了哪項原則？A.最小必要原則B.公開透明原則C.自愿同意原則D.公平競爭原則答案：C27.個人信息處理者應(yīng)當(dāng)建立便捷的投訴舉報機制，受理時限不得超過：A.3日B.7日C.15日D.30日答案：C28.個人信息處理者處理員工個人信息用于背景調(diào)查，應(yīng)當(dāng)：A.無需告知員工B.取得員工單獨同意C.僅告知工會D.僅告知人力資源部答案：B29.個人信息處理者因合并分立需要轉(zhuǎn)移個人信息，接收方變更處理目的時，應(yīng)當(dāng)：A.無需重新告知B.重新取得個人同意C.內(nèi)部備案即可D.僅需通知董事會答案：B30.個人信息處理者應(yīng)當(dāng)建立個人信息安全事件應(yīng)急預(yù)案，并：A.每年演練一次B.每兩年演練一次C.每三年演練一次D.無需演練答案：A二、多項選擇題（每題2分，共20分。每題有兩個或兩個以上正確答案，多選、少選、錯選均不得分）31.下列哪些信息屬于敏感個人信息？A.宗教信仰B.指紋C.購物記錄D.醫(yī)療健康答案：A、B、D32.個人信息處理者在哪些情形下應(yīng)當(dāng)進行個人信息保護影響評估？A.處理敏感個人信息B.利用個人信息進行自動化決策C.向境外提供個人信息D.公開披露個人信息答案：A、B、C、D33.個人對其個人信息享有以下哪些權(quán)利？A.查詢權(quán)B.更正權(quán)C.刪除權(quán)D.攜帶權(quán)答案：A、B、C、D34.個人信息處理者采取加密措施時，應(yīng)當(dāng)考慮哪些因素？A.加密算法強度B.密鑰管理安全性C.加密對業(yè)務(wù)性能的影響D.加密成本是否低于罰款答案：A、B、C35.個人信息跨境傳輸標(biāo)準(zhǔn)合同應(yīng)當(dāng)包括哪些內(nèi)容？A.境外接收方義務(wù)B.個人權(quán)利救濟渠道C.合同解除條件D.數(shù)據(jù)再轉(zhuǎn)移條件答案：A、B、C、D36.個人信息處理者委托處理個人信息時，應(yīng)當(dāng)對受托人進行哪些監(jiān)督？A.查閱其日志B.定期審計C.約定保密義務(wù)D.約定轉(zhuǎn)委托條件答案：A、B、C、D37.個人信息處理者發(fā)生泄露事件后，應(yīng)當(dāng)告知個人哪些內(nèi)容？A.事件原因B.可能造成的危害C.已采取的措施D.個人可采取的防范措施答案：A、B、C、D38.個人信息處理者利用個人信息進行用戶畫像并推送廣告，應(yīng)當(dāng)：A.提供關(guān)閉選項B.提供非個性化廣告選項C.提供畫像邏輯說明D.提供一鍵刪除畫像數(shù)據(jù)功能答案：A、B、C39.個人信息處理者處理未成年人個人信息時，應(yīng)當(dāng)：A.制定專門規(guī)則B.取得監(jiān)護人同意C.設(shè)置最小必要默認(rèn)選項D.建立投訴渠道答案：A、B、C、D40.個人信息處理者進行數(shù)據(jù)匿名化時，應(yīng)當(dāng)確保：A.無法識別特定個人B.無法復(fù)原C.匿名化后可用于任意目的D.匿名化過程可逆答案：A、B三、判斷題（每題1分，共10分。正確打“√”，錯誤打“×”）41.個人信息處理者可以在用戶拒絕提供非必要信息后拒絕提供基本功能服務(wù)。答案：×42.個人信息處理者處理公開信息無需履行任何義務(wù)。答案：×43.個人信息處理者可以通過格式條款免除自身責(zé)任。答案：×44.個人信息處理者處理員工工資信息無需取得員工同意。答案：√45.個人信息處理者可以將個人信息保護影響評估報告公開，以提升透明度。答案：√46.個人信息處理者向境外提供個人信息后，無需再關(guān)注境外接收方的處理情況。答案：×47.個人信息處理者可以在用戶注銷賬號后立即刪除其全部個人信息。答案：√48.個人信息處理者可以基于“合法利益”處理個人信息而無需告知個人。答案：×49.個人信息處理者可以要求用戶支付合理費用以行使刪除權(quán)。答案：×50.個人信息處理者可以將用戶數(shù)據(jù)出售給第三方以獲取收益，只要用戶曾同意。答案：×四、簡答題（每題10分，共20分）51.簡述個人信息處理者在發(fā)生數(shù)據(jù)泄露事件后應(yīng)當(dāng)履行的告知義務(wù)內(nèi)容及時限要求。答案：（1）告知時限：發(fā)現(xiàn)泄露后24小時內(nèi)向省級以上網(wǎng)信部門報告，并在24小時內(nèi)告知受影響的個人；（2）告知內(nèi)容：事件基本情況、可能造成的危害、已采取或擬采取的處置措施、個人可采取的防范措施及救濟渠道；（3）告知方式：郵件、短信、彈窗、公告等便捷方式，確保個人及時知悉；（4）例外情形：如已采取有效措施避免危害可不予告知個人，但須向主管部門報告；（5）后續(xù)更新：事件出現(xiàn)重大變化時應(yīng)補充告知。52.簡述個人信息處理者進行自動化決策時應(yīng)當(dāng)如何保障決策的透明度和結(jié)果公平合理。答案：（1）事前評估：進行個人信息保護影響評估，識別算法偏見風(fēng)險；（2）透明義務(wù)：以顯著方式告知個人自動化決策的存在、原理及影響；（3）解釋權(quán)利：個人有權(quán)要求對決策邏輯作出說明，處理者應(yīng)提供易懂的解釋；（4）拒絕權(quán)與人工復(fù)核：個人有權(quán)拒絕僅通過自動化決策作出的重大影響決定，處理者應(yīng)提供人工復(fù)核渠道；（5）公平保障：定期審計算法模型，剔除歧視性變量，確保結(jié)果公平；（6）數(shù)據(jù)最小化：僅使用與決策目的直接相關(guān)的必要個人信息；（7）記錄留存：保存模型訓(xùn)練數(shù)據(jù)、參數(shù)及評估報告不少于三年，供監(jiān)管檢查。五、案例分析題（每題20分，共20分）53.背景：“健康云”App系某市衛(wèi)健委授權(quán)企業(yè)運營的全民健康信息平臺，注冊用戶超1200萬。2025年3月，媒體曝光該App在隱私政策中聲明“為實現(xiàn)保險理賠服務(wù)，平臺會與第三方保險公司共享用戶就診記錄、檢驗報告、基因信息”，用戶注冊時如不同意則無法使用任何功能。此外，平臺采用人臉識別登錄，但未提供任何替代登錄方式；用戶撥打客服要求刪除就診記錄，客服答復(fù)“數(shù)據(jù)系市衛(wèi)健委統(tǒng)一管控，無權(quán)刪除”。經(jīng)技術(shù)驗證，平臺將用戶基因數(shù)據(jù)以明文形式存儲于云端MongoDB數(shù)據(jù)庫，且未開啟任何訪問日志。問題：（1）請指出“健康云”App違反《個人信息保護法》的具體條款及對應(yīng)違法情形；（2）若你是該市網(wǎng)信辦執(zhí)法人員，請依據(jù)法律規(guī)定提出整改要求并說明處罰依據(jù)及裁量標(biāo)準(zhǔn)；（3）請為“健康云”App設(shè)計一套合規(guī)整改方案，涵蓋數(shù)據(jù)收集、存儲、共享、權(quán)利響應(yīng)、自動化決策五個維度，要求具有可落地性。答案：（1）違法條款及情形：①違反第十三條、第十四條：以“不同意則無法使用任何功能”方式強制收集個人信息，構(gòu)成捆綁授權(quán)；②違反第二十九條、第三十條：收集敏感個人信息（基因、就診記錄）未取得單獨同意，未告知必要性；③違反第三十八條：向境外保險公司共享敏感個人信息未進行安全評估、未簽訂標(biāo)準(zhǔn)合同；④違反第五十一條：未采取加密、去標(biāo)識化技術(shù)措施，基因數(shù)據(jù)明文存儲；⑤違反第五十二條：未建立便捷刪除渠道，拒絕用戶刪除請求；⑥違反第五十三條：未建立訪問日志，無法追溯數(shù)據(jù)操作行為；⑦違反第四十四條：僅提供人臉識別登錄，未提供替代方式，侵犯個人選擇權(quán)。（2）執(zhí)法整改與處罰：依據(jù)第六十六條、第六十七條，對“健康云”運營企業(yè)責(zé)令改正、給予警告，沒收違法所得，并處五千萬元以下或上一年度營業(yè)額5%以下罰款；對直接負(fù)責(zé)的主管人員和其他責(zé)任人員處十萬元以上一百萬元以下罰款，并禁止其在一定期限內(nèi)擔(dān)任相關(guān)企業(yè)的董事、監(jiān)事、高管。整改要求：①30日內(nèi)重新制定隱私政策，區(qū)分基本與擴展功能，提供“僅使用基本功能”選項；②15日內(nèi)完成基因數(shù)據(jù)加密及訪問日志系統(tǒng)上線；③7日內(nèi)開通多元化登錄方式；④15日內(nèi)建立用戶權(quán)利響