2025年用户信息保护隐私测试题及答案.docxVIP

2025年用户信息保护隐私测试题及答案

一、单项选择题（每题2分，共30分）

1.某App在首次启动时弹窗索取“读取通讯录”权限，用户点击“拒绝”后，App直接退出无法使用。下列说法正确的是：

A.企业有权强制获取必要权限，否则可拒绝服务

B.通讯录并非核心功能所需权限，构成“强制索权”

C.用户可事后向消协投诉，但无法主张民事赔偿

D.只要隐私政策里提前告知，强制索权即合法

答案：B

解析：《个人信息保护法》第16条明确，个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由拒绝提供产品或者服务，除非该信息为产品或服务实现必需。通讯录与App基础功能无关，构成强制索权。

2.某跨境电商平台将欧盟用户数据存储在贵州服务器，同时调用位于美国的第三方分析接口。以下哪项措施最符合GDPR“跨境传输”要求：

A.与中国网信办签署数据出境安全评估即可

B.与美国公司签署SCC标准合同条款并做TIA转移影响评估

C.采用AES-256加密后传输，无需额外审批

D.只要用户注册时勾选了同意，即可自由出境

答案：B

解析：GDPR第46条允许在“充分性决定”之外通过“适当保障措施”跨境传输，其中SCC（标准合同条款）+TIA（转移影响评估）为通行做法。中国网信办评估仅适用于中国法域，不能替代GDPR要求。

3.人脸识别门禁小区物业拟将业主人脸数据用于夜间商业直播背景，已提前在业主群公告“不同意请书面提出”。下列判断正确的是：

A.公告即视为履行告知同意义务

B.业主沉默可构成默示同意

C.人脸数据属于敏感个人信息，须取得单独书面同意

D.直播已做马赛克处理，无需再次授权

答案：C

解析：《个人信息保护法》第29条要求处理敏感个人信息须取得个人的“单独同意”，且应告知处理必要性及影响。群公告无法替代“单独同意”，沉默亦不构成同意。

4.某健康类小程序在用户终止账号后，将用户三年来的步数数据匿名化后出售给保险公司。以下哪项说法正确：

A.匿名化后数据不再属于个人信息，可自由出售

B.用户已注销，企业拥有数据所有权

C.需证明匿名化不可复原，并确保去标识化达到“不可识别”标准

D.只要数据已脱敏，无需再向监管部门备案

答案：C

解析：匿名化需达到“不可识别且不可复原”程度，否则仍可能被认定为个人信息。出售前须进行合规评估，确保符合《个人信息保护法》第4条“匿名化信息除外”的严格标准。

5.某车企在车辆维修时，技师用个人U盘拷贝行车日志回家分析，导致数据外泄。下列哪项措施最能从源头降低风险：

A.与技师签署必威体育官网网址协议并提高违约金

B.对行车日志做最小化收集，原始数据不上云

C.为技师配备加密工作盘，启用DLP数据防泄漏策略

D.事后对技师进行刑事立案，形成震慑

答案：C

解析：A、D均为事后或威慑措施；B未解决维修场景必需日志问题；C通过加密盘+DLP实现“技防”与“管防”结合，从源头降低泄露概率。

6.某招聘平台推出“AI性格测评”，要求候选人开启手机麦克风30秒“环境声纹校验”。下列做法最合规：

A.在隐私政策中统一说明“可能需要麦克风”

B.单独弹窗告知目的、方式、范围，取得明示同意

C.以“提升测评准确度”为由默认勾选

D.将声纹数据与简历打包提供给企业客户

答案：B

解析：声纹属于敏感个人信息，须履行“单独告知+明示同意”义务，且不得超出初始目的范围共享。

7.某App使用第三方SDK“埋点统计”，但隐私政策仅列出SDK名称，未说明其收集的IMEI、MAC地址。监管部门认定其违规的核心依据是：

A.未履行对第三方处理者的“监督义务”

B.未获得用户“二次授权”

C.未在政策中披露收集信息的“规则与范围”

D.未向网信部门申请安全认证

答案：C

解析：《个人信息保护法》第17条要求告知“处理目的、方式、范围”。政策缺失关键信息要素，构成“告知不充分”。

8.某高校将学生食堂消费记录“去标识化”后发布在开源数据集，结果研究者通过“学号—消费时间”关联重新识别出学生身份。该事件主要违反了哪项原则：

A.最小必要原则

B.公开透明原则

C.可问责性原则

D.匿名化有效性原则

答案：D

解析：去标识化不等于匿名化，发布前须评估重识别风险，确保匿名化有效。

9.某社交软件推出“朋友圈来访记录”付费功能，用户可查看最近30位匿名访客。该功能最可能侵犯的法律权益是：

A.访客的被遗忘权

B.访客的隐私权与个人信息权益

C.用户的知情权

D.平台的知识产权

答案：B

解析：访客在未被充分告