原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
隐私保护工程师(CIPT)考试试卷
一、单项选择题(共10题,每题1分,共10分)
根据GDPR,以下哪类数据处理活动需要强制进行隐私影响评估(PIA)?
A.企业内部员工考勤记录的常规存储
B.基于用户位置数据的个性化广告推送
C.医院对患者姓名、年龄等基本信息的登记
D.电商平台对已注销用户历史订单的归档
答案:B
解析:GDPR第35条规定,当数据处理活动可能对个人隐私造成“高风险”时需强制进行PIA。高风险场景包括大规模处理敏感数据(如生物识别、健康数据)、基于自动化决策的个性化推荐(如位置数据用于广告推送)等。选项A(常规考勤)、C(基本信息登记)、D(历史订单归档)均属于低风险或常规处理,无需强制PIA。
以下哪项不属于《个人信息保护法》规定的个人信息处理者的“告知-同意”义务?
A.告知个人信息的处理目的、方式和范围
B.告知个人信息的存储期限
C.告知个人信息共享的接收方名称及共享内容
D.告知个人信息处理的技术实现细节(如加密算法)
答案:D
解析:《个人信息保护法》第17条要求处理者需告知的内容包括处理目的、方式、范围、存储期限、共享接收方等核心信息,但无需告知技术实现细节(如加密算法),因技术细节属于内部安全措施,不影响个人对处理活动的自主决策。
匿名化(Anonymization)与脱敏(Pseudonymization)的核心区别是?
A.匿名化可通过额外信息恢复原始数据,脱敏不可恢复
B.脱敏属于GDPR下的“个人信息处理”,匿名化不属于
C.匿名化仅适用于结构化数据,脱敏适用于非结构化数据
D.脱敏需获得个人同意,匿名化无需同意
答案:B
解析:GDPR中,脱敏(Pseudonymization)是指通过替换标识符使数据无法直接识别个人,但仍可能通过关联其他信息恢复(如用“用户ID”代替姓名),因此仍属于个人信息处理,需遵守GDPR;匿名化(Anonymization)是通过技术手段确保数据绝对无法识别个人(如移除所有标识符并破坏关联可能性),此时数据不再视为个人信息,不受GDPR管辖。选项A错误(匿名化不可恢复),C、D无法律依据。
以下哪类主体无需设立数据保护官(DPO)?
A.欧盟成员国政府的公共行政机构
B.年处理10万人以上个人数据的电商平台
C.仅处理内部员工信息的小型企业(员工50人)
D.基于自动化决策进行大规模用户画像的金融科技公司
答案:C
解析:GDPR第37条规定需设立DPO的主体包括:公共行政机构(除法院等司法机关)、核心活动涉及大规模处理敏感数据或自动化决策的组织。选项C中“仅处理内部员工信息的小型企业”不属于大规模处理或高风险场景,无需设立DPO;A(公共机构)、B(大规模处理)、D(自动化决策)均需设立。
根据CCPA(加州消费者隐私法),消费者不享有以下哪项权利?
A.要求企业删除其个人信息
B.要求企业提供其个人信息的具体来源
C.要求企业不得将其个人信息出售给第三方
D.要求企业更正不准确的个人信息
答案:B
解析:CCPA规定的消费者权利包括删除权、拒绝出售权(Opt-Out)、更正权等,但未要求企业披露个人信息的具体来源(如“数据来自合作广告平台”),仅需告知处理目的和类别。因此选项B不符合CCPA要求。
隐私设计(PrivacybyDesign)原则的核心目标是?
A.在数据处理流程中嵌入隐私保护措施,而非事后补救
B.确保个人信息处理符合所有现行法律法规
C.通过技术手段完全消除隐私风险
D.优先保护企业商业利益,再考虑个人隐私
答案:A
解析:隐私设计原则由AnnCavoukian提出,强调将隐私保护嵌入系统设计的全生命周期(如默认隐私设置、最小化数据收集),而非在问题发生后采取补救措施。选项B(合规)是结果而非核心目标;C(完全消除风险)不现实;D(优先商业利益)违背原则。
以下哪项属于“敏感个人信息”?
A.普通企业员工的手机号
B.电商平台用户的收货地址
C.医疗APP记录的用户病史
D.社交媒体用户的兴趣标签
答案:C
解析:《个人信息保护法》第28条规定,敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等。选项C(病史)属于医疗健康信息,是敏感个人信息;其他选项为普通个人信息。
跨境数据传输时,以下哪种机制不属于GDPR认可的“充分性保障”?
A.接收国被欧盟委员会认定为具有“充分保护水平”(如阿根廷)
B.企业采用欧盟认可的标准合同条款(SCCs)
C.企业加入“欧盟-美国数据隐私框架”(DPF)并通过认证
D.企业承诺仅传输不超过100条个人信息记录
答案:D
解析:GDPR认可的跨境传输机制包括:接收国“充分性认定”、标准合同条款(SCCs
文档评论(0)