2025年数据隐私合规师（DPO）考试题库（附答案和详细解析）（0912）.docxVIP

数据隐私合规师（DPO）考试试卷

一、单项选择题（共10题，每题1分，共10分）

1.根据GDPR的规定，数据处理活动的核心原则是什么？

A.数据最小化和目的限制

B.数据存储无期限

C.自动化的决策优先

D.数据可商业化交易

答案：A

解析：正确选项A的依据是GDPRArticle5(1)(c)和Article5(1)(b)，强调数据最小化（仅收集必要数据）和目的限制（仅用于指定目的）。错误选项B错误，GDPR要求存储限制（Article5(1)(e)），即有存储期限。选项C错误，GDPR限制自动化决策（Article22）。选项D错误，数据商业化需遵守透明度原则和同意要求（Article7）。

中国个人信息保护法（PIPL）规定，敏感个人信息的处理须满足什么条件？

A.仅需一般同意

B.必须获得单独同意

C.无需告知数据主体

D.可仅在内部匿名处理

答案：B

解析：正确选项B的依据是PIPLArticle29，要求处理敏感信息时需获取单独同意。错误选项A错误，一般同意只适用于非敏感信息。选项C错误，PIPLArticle17要求告知处理情况。选项D错误，匿名处理不适用于敏感信息，且匿名数据不属个人信息范畴（PIPLArticle4）。

GDPR要求组织在发生数据泄露事件后，必须向监管机构报告的时间限制是多少？

A.24小时内

B.48小时内

C.72小时内

D.10个工作日内

答案：C

解析：正确选项C的依据是GDPRArticle33(1)，规定在意识到数据泄露后在72小时内报告监管机构。错误选项A、B和D均错误，72小时是法定标准，其他选项不符事实。

数据保护影响评估（DPIA）的主要目的是什么？

A.评估数据资产的商业价值

B.识别和降低数据处理中的高风险

C.审计数据主体投诉记录

D.优化数据存储成本

答案：B

解析：正确选项B的依据是GDPRArticle35，DPIA旨在评估高风险处理活动的潜在影响，并采取缓解措施。错误选项A错误，DPIA关注隐私风险，非商业价值。选项C错误，投诉审计是独立流程。选项D错误，成本优化非DPIA核心目的。

GDPR定义的“数据控制者”角色是指？

A.仅负责数据存储的技术人员

B.决定数据处理目的和方式的主体

C.监督数据泄露响应的机构

D.仅外部服务提供商

答案：B

解析：正确选项B的依据是GDPRArticle4(7)，数据控制者确定数据处理的目的和方法。错误选项A错误，控制者涉及决策，非仅技术角色。选项C错误，响应机构包括处理者和其他角色。选项D错误，外部服务提供商通常属数据“处理者”（Article4(8)）。

中国PIPL规定，个人信息跨境传输前需履行什么关键义务？

A.仅需内部风险评估

B.必须通过安全评估

C.直接使用标准合同条款

D.忽略数据主体权利

答案：B

解析：正确选项B的依据是PIPLArticle40，个人信息跨境传输需通过国家网信部门的安全评估（如关键数据）。错误选项A错误，风险评估是初步步骤，但不足以履行义务。选项C错误，标准合同条款可选项之一，但非必须。选项D错误，PIPL强调权利保护（如Article15）。

GDPR下，数据主体的“被遗忘权”（RighttobeForgotten）适用于什么情况？

A.当数据不再必要或撤回同意时

B.仅当数据准确无误时

C.当数据用于营销目的时

D.仅当组织内部共享时

答案：A

解析：正确选项A的依据是GDPRArticle17，被遗忘权允许数据主体在数据不必要、同意撤回等情况下要求删除。错误选项B错误，删除权基于必要性或合法性，非准确性（Article16处理准确性）。选项C错误，营销目的下可行使其他权利（如Article21反对权）。选项D错误，该权利适用于所有处理活动。

DPO的主要职责不包括以下哪项？

A.监督合规监控和培训

B.审批所有数据处理合同

C.建议进行DPIAs

D.担任数据主体联系点

答案：B

解析：正确选项B的依据是GDPRArticle39，DPO负责监督合规、培训、建议DPIAs和充当联系点，但无权审批合同（由控制者决定）。错误选项A、C、D均正确职责，因此B是错误项。DPO的角色是咨询性和监督性，非决策性。

根据CCPA，消费者有权请求组织披露哪类信息？

A.过去12个月收集的个人信息类别

B.组织内部财务记录

C.数据泄露的历史赔偿

D.员工个人信息

答案：A

解析：正确选项A的依据是CCPASection1798.130(a)，明确消费者有权知悉过去12个月内收集的个人信息类别。错误选项B错误，CCPA不覆盖内部财务信息。选项C错误，披露义务