2025年個人信息保護合規(guī)考試試題及答案一、單項選擇題（每題2分，共20分）1.根據(jù)《個人信息保護法》及相關(guān)規(guī)定，下列哪項信息不屬于“個人信息”范疇？A.經(jīng)過匿名化處理的用戶消費記錄B.某用戶在社交平臺發(fā)布的公開動態(tài)中的手機號碼C.電商平臺收集的用戶收貨地址D.醫(yī)療機構(gòu)記錄的患者就診卡號答案：A（依據(jù)《個人信息保護法》第四條，匿名化處理后的信息無法識別特定自然人，不屬于個人信息）2.某金融科技公司擬通過自動化決策對用戶實施差異化服務(wù)，以下哪項操作符合“透明公平”原則？A.僅在用戶注冊時以超鏈接形式提示可能存在算法推薦B.在用戶每次接收差異化服務(wù)前彈窗說明決策邏輯C.對不同信用等級用戶設(shè)置不同的服務(wù)費率但不告知具體分級標準D.基于用戶設(shè)備型號調(diào)整界面布局但不說明原因答案：B（《個人信息保護法》第二十四條要求自動化決策應(yīng)保證透明度和公平性，需向用戶說明決策邏輯）3.處理不滿十四周歲未成年人個人信息時，個人信息處理者的合規(guī)義務(wù)不包括？A.制定專門的未成年人個人信息處理規(guī)則B.取得未成年人本人的單獨同意C.明確告知處理目的、方式和范圍D.采取更嚴格的安全保護措施答案：B（《個人信息保護法》第三十一條規(guī)定，處理不滿十四周歲未成年人個人信息應(yīng)取得其監(jiān)護人同意，而非未成年人本人）4.某旅游平臺擬將用戶行程信息提供給合作酒店，下列哪項情形無需取得用戶單獨同意？A.提供信息用于酒店為用戶辦理入住登記B.提供信息用于酒店向用戶推送旅游優(yōu)惠券C.提供信息用于酒店統(tǒng)計用戶入住偏好D.提供信息用于第三方數(shù)據(jù)分析公司建模答案：A（《個人信息保護法》第二十三條規(guī)定，向其他個人信息處理者提供個人信息，若為實現(xiàn)原處理目的所必需且已事先告知，可不單獨同意；用于額外目的需單獨同意）5.關(guān)于個人信息刪除權(quán)的行使，下列表述正確的是？A.用戶要求刪除個人信息時，處理者需在7個工作日內(nèi)響應(yīng)B.若個人信息已共享給第三方，處理者只需自身刪除即可C.用戶撤回同意后，處理者應(yīng)主動刪除相關(guān)個人信息D.因法律訴訟需要留存的個人信息，處理者可拒絕刪除答案：D（《個人信息保護法》第四十七條規(guī)定，法律、行政法規(guī)規(guī)定的保存期限未屆滿時，處理者可不刪除）6.某直播平臺收集用戶面部識別信息用于登錄驗證，其合規(guī)要點不包括？A.明確告知收集面部信息的必要性B.僅收集實現(xiàn)登錄功能所需的最小生物特征數(shù)據(jù)C.存儲時進行去標識化處理D.與用戶簽訂單獨的生物信息處理協(xié)議答案：C（生物識別信息屬于敏感個人信息，《個人信息保護法》第二十九條要求應(yīng)采取嚴格加密等安全措施，而非簡單去標識化）7.跨境提供個人信息時，下列哪項不屬于“通過國家網(wǎng)信部門組織的安全評估”的適用情形？A.關(guān)鍵信息基礎(chǔ)設(shè)施運營者向境外提供個人信息B.處理100萬人以上個人信息的處理者向境外提供信息C.自上年1月1日起累計向境外提供10萬人以上個人信息D.金融機構(gòu)向境外母公司提供客戶信息答案：D（依據(jù)《個人信息出境安全評估辦法》第四條，金融機構(gòu)向境外母公司提供信息若未達到人數(shù)標準，可能適用標準合同等其他方式）8.某教育類APP擬更新隱私政策，下列操作符合要求的是？A.通過站內(nèi)通知提示用戶“隱私政策已更新，繼續(xù)使用即視為同意”B.在更新后的隱私政策中新增“收集用戶通訊錄用于好友推薦”條款，并通過彈窗要求用戶重新確認C.將隱私政策更新內(nèi)容隱藏在“歷史版本”中，不主動提示用戶D.僅修改條款表述方式，未實際變更處理規(guī)則時，不告知用戶答案：B（《個人信息保護法》第十七條規(guī)定，隱私政策重大變更需以顯著方式、清晰易懂的語言告知用戶并重新取得同意）9.個人信息處理者因合并導致個人信息控制權(quán)轉(zhuǎn)移時，下列哪項操作違規(guī)？A.在合并前30日通過官網(wǎng)公告告知用戶B.向用戶說明新處理者的名稱、聯(lián)系方式及處理規(guī)則C.未取得用戶同意直接轉(zhuǎn)移個人信息D.允許用戶在合并前選擇撤回同意并刪除信息答案：C（《個人信息保護法》第二十二條規(guī)定，個人信息處理者發(fā)生合并時，需向用戶告知并取得同意，否則不得轉(zhuǎn)移）10.某企業(yè)擬建立個人信息保護合規(guī)審計制度，下列哪項不符合要求？A.每年至少開展一次全面審計B.審計范圍覆蓋個人信息收集、存儲、使用全流程C.由企業(yè)法務(wù)部門獨立實施審計D.審計報告留存至少3年答案：C（《個人信息保護法》第五十一條要求，合規(guī)審計應(yīng)確保獨立性，由法務(wù)部門實施可能影響客觀性，建議由第三方或獨立合規(guī)部門負責）二、多項選擇題（每題3分，共30分）1.下列哪些情形屬于“個人信息處理”行為？A.電商平臺對用戶搜索記錄進行分析以優(yōu)化推薦算法B.快遞公司將用戶地址信息提供給合作倉儲企業(yè)C.社交軟件對用戶發(fā)布的動態(tài)進行關(guān)鍵詞過濾D.醫(yī)療機構(gòu)將患者病歷信息匿名化后用于學術(shù)研究答案：AB（《個人信息保護法》第四條規(guī)定，處理包括收集、存儲、使用、加工、傳輸、提供、公開等；C為內(nèi)容審核，D為匿名化處理，不屬于個人信息處理）2.個人信息處理者履行“告知義務(wù)”時，需包含的內(nèi)容有？A.個人信息的處理目的、方式B.個人信息的保存期限C.用戶行使權(quán)利的方式和程序D.個人信息處理的技術(shù)方案細節(jié)答案：ABC（《個人信息保護法》第十七條規(guī)定，告知內(nèi)容需包括處理目的、方式、范圍、保存期限、權(quán)利行使方式等；技術(shù)細節(jié)無需告知）3.關(guān)于“同意”的有效性，下列表述正確的有？A.用戶勾選“同意隱私政策”復(fù)選框視為有效同意B.未成年人通過虛假身份信息注冊時，其同意無效C.處理敏感個人信息需取得用戶的書面同意D.同意的撤回不影響撤回前基于同意已進行的處理答案：ABD（《個人信息保護法》第二十九條規(guī)定，敏感個人信息需“單獨同意”，不強制書面形式；C錯誤）4.個人信息處理者應(yīng)建立的合規(guī)制度包括？A.個人信息分類分級管理制度B.個人信息安全影響評估制度C.用戶權(quán)利響應(yīng)制度D.數(shù)據(jù)泄露應(yīng)急處置制度答案：ABCD（《個人信息保護法》第五十一條要求處理者應(yīng)建立健全管理制度、操作規(guī)程、應(yīng)急機制等）5.下列哪些行為可能構(gòu)成“過度收集個人信息”？A.視頻軟件要求用戶提供身份證號才能觀看免費內(nèi)容B.銀行APP在注冊時收集用戶通訊錄C.購物平臺在支付時僅收集姓名、銀行卡號D.天氣應(yīng)用在定位時獲取精確到街道的位置信息答案：ABD（根據(jù)“最小必要”原則，A非必要信息，B注冊時無需通訊錄，D天氣應(yīng)用一般只需城市級定位）6.個人信息跨境提供的合規(guī)路徑包括？A.通過國家網(wǎng)信部門安全評估B.與境外接收方簽訂標準合同C.經(jīng)專業(yè)機構(gòu)認證符合要求D.取得用戶逐一單獨同意答案：ABC（《個人信息保護法》第三十八條規(guī)定，跨境提供需通過安全評估、標準合同或認證等；用戶同意是基礎(chǔ)，但非唯一路徑）7.用戶行使“查閱復(fù)制權(quán)”時，個人信息處理者的義務(wù)包括？A.提供個人信息的副本B.說明個人信息的來源C.告知處理個人信息的算法邏輯D.提供便捷的申請渠道答案：ABD（《個人信息保護法》第四十五條規(guī)定，處理者需提供信息副本、來源及便捷渠道；算法邏輯屬于自動化決策范疇，非查閱復(fù)制權(quán)必須告知內(nèi)容）8.某企業(yè)發(fā)生個人信息泄露事件，應(yīng)采取的措施包括？A.立即暫停相關(guān)業(yè)務(wù)B.評估泄露可能造成的危害C.向履行個人信息保護職責的部門報告D.通知可能受影響的用戶答案：BCD（《個人信息保護法》第五十七條規(guī)定，發(fā)生泄露需立即采取補救措施，評估影響，報告監(jiān)管部門，通知用戶；暫停業(yè)務(wù)非必須）9.下列哪些屬于“敏感個人信息”？A.15周歲未成年人的身份證號B.某用戶的宗教信仰信息C.企業(yè)高管的行程軌跡D.患者的診療記錄答案：ABCD（《個人信息保護法》第二十八條規(guī)定，敏感個人信息包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等，未成年人個人信息視為敏感信息）10.個人信息保護合規(guī)審計的重點內(nèi)容包括？A.個人信息處理活動是否符合約定的處理目的B.安全技術(shù)措施是否與風險等級相匹配C.用戶權(quán)利請求的響應(yīng)時效和處理結(jié)果D.數(shù)據(jù)跨境流動的合規(guī)性答案：ABCD（合規(guī)審計需覆蓋處理活動的合法性、安全性、用戶權(quán)利保障及特殊場景合規(guī)性）三、判斷題（每題1分，共10分）1.個人信息處理者可以將“不同意提供非必要信息”作為拒絕提供基礎(chǔ)服務(wù)的理由。（）答案：×（《個人信息保護法》第十六條規(guī)定，不得因用戶不同意提供非必要信息而拒絕提供基礎(chǔ)服務(wù)）2.已公開的個人信息無需取得同意即可處理。（）答案：×（《個人信息保護法》第二十七條規(guī)定，處理已公開個人信息仍需符合“合理范圍”，超出合理范圍需取得同意）3.個人信息的保存期限應(yīng)明確為“自處理完畢后永久保存”。（）答案：×（《個人信息保護法》第十九條規(guī)定，保存期限應(yīng)“為實現(xiàn)處理目的所必要的最短時間”）4.處理者委托第三方處理個人信息時，需與受托方簽訂書面協(xié)議并監(jiān)督其處理活動。（）答案：√（《個人信息保護法》第二十一條規(guī)定，委托處理需簽訂協(xié)議并履行監(jiān)督義務(wù)）5.用戶撤回同意后，處理者應(yīng)立即刪除所有相關(guān)個人信息。（）答案：×（《個人信息保護法》第四十七條規(guī)定，若法律、行政法規(guī)規(guī)定需留存或為履行法定義務(wù)，可不刪除）6.人臉識別技術(shù)用于公共安全領(lǐng)域時，無需取得個人同意。（）答案：√（《個人信息保護法》第二十六條規(guī)定，為維護公共安全，可在合理范圍內(nèi)處理個人信息，無需同意）7.個人信息處理者的合規(guī)負責人需直接向董事會匯報工作。（）答案：√（《個人信息保護法》第五十二條規(guī)定，處理者應(yīng)指定負責人，確保其直接向高層匯報）8.數(shù)據(jù)匿名化后，處理者可自由使用無需承擔任何責任。（）答案：×（匿名化信息雖非個人信息，但處理時仍需遵守《數(shù)據(jù)安全法》等其他法規(guī)）9.個人信息跨境提供時，境外接收方的保護水平可低于我國標準。（）答案：×（《個人信息保護法》第三十八條要求，境外接收方應(yīng)具備相應(yīng)保護水平）10.用戶通過客服熱線申請刪除個人信息，處理者可要求其通過線上系統(tǒng)提交申請。（）答案：×（《個人信息保護法》第四十五條規(guī)定，處理者應(yīng)提供便捷的權(quán)利行使方式，不得增設(shè)不合理條件）四、簡答題（每題6分，共30分）1.簡述個人信息處理的“告知-同意”原則的具體要求。答案：①告知需以顯著方式、清晰易懂的語言進行，內(nèi)容包括處理目的、方式、范圍、保存期限、權(quán)利行使方式等；②同意需由用戶主動作出，不得通過默認勾選、捆綁授權(quán)等方式強迫；③處理敏感個人信息、向第三方提供、跨境提供等特殊情形需取得“單獨同意”；④同意可隨時撤回，撤回不影響已進行的處理。2.個人信息安全影響評估應(yīng)包含哪些主要內(nèi)容？答案：①個人信息的處理目的、方式是否合法、正當、必要；②對個人權(quán)益的影響及風險程度；③所采取的安全保護措施是否有效；④委托處理、共享、轉(zhuǎn)讓、公開等場景的風險；⑤應(yīng)急處置措施的有效性；⑥評估結(jié)果需形成報告并留存至少3年。3.處理敏感個人信息時需滿足哪些特殊合規(guī)要求？答案：①僅限實現(xiàn)特定目的所必需，且具有充分的必要性；②取得個人的“單獨同意”（未成年人需監(jiān)護人同意）；③向個人告知處理敏感信息的必要性及對其權(quán)益的影響；④采取嚴格的安全保護措施（如加密、訪問控制）；⑤進行安全影響評估并記錄。4.個人信息處理者在用戶行使“更正權(quán)”時應(yīng)履行哪些義務(wù)？答案：①收到更正請求后及時核查個人信息的準確性；②對不準確的信息予以更正；③若個人信息已共享給第三方，應(yīng)及時通知第三方更正（法律另有規(guī)定或雙方約定除外）；④為用戶提供便捷的更正申請渠道；⑤記錄更正過程并留存相關(guān)證據(jù)。5.簡述數(shù)據(jù)跨境流動中“標準合同”的適用條件及主要內(nèi)容。答案：適用條件：非關(guān)鍵信息基礎(chǔ)設(shè)施運營者，且未達到安全評估人數(shù)標準（如年處理100萬人以下或累計向境外提供10萬人以下）。主要內(nèi)容：①雙方基本信息；②個人信息的種類、范圍、用途；③境外接收方的保護義務(wù)（包括安全措施、責任承擔）；④用戶權(quán)利保障機制；⑤合同終止時的處理措施；⑥爭議解決方式。五、案例分析題（每題10分，共20分）案例一：某社交軟件“蜜語”為提升用戶體驗，在未更新隱私政策的情況下，新增“根據(jù)用戶聊天記錄分析興趣偏好，推送個性化廣告”功能。用戶注冊時需勾選“同意《隱私政策》”才能使用，政策中僅模糊表述“可能收集用戶信息用于優(yōu)化服務(wù)”。部分用戶發(fā)現(xiàn)廣告內(nèi)容與聊天內(nèi)容高度相關(guān)后投訴，要求停止推送并刪除相關(guān)信息。問題：分析“蜜語”的違規(guī)行為及法律依據(jù)。答案：違規(guī)行為及依據(jù)：①新增處理目的未履行告知義務(wù)。根據(jù)《個人信息保護法》第十七條，處理目的發(fā)生變更需以顯著方式告知用戶并重新取得同意，“蜜語”未更新隱私政策即新增廣告推送功能，違反告知要求。②同意方式不合法。用戶需勾選“同意隱私政策”才能使用，屬于“捆綁授權(quán)