2025年数据隐私合规师(DPO)考试题库(附答案和详细解析)(0929).docxVIP

  • 1
  • 0
  • 约9.55千字
  • 约 13页
  • 2025-10-12 发布于上海
  • 举报

2025年数据隐私合规师(DPO)考试题库(附答案和详细解析)(0929).docx

数据隐私合规师(DPO)考试试卷

一、单项选择题(共10题,每题1分,共10分)

根据《个人信息保护法》,个人信息的“最小必要原则”要求处理个人信息时应满足以下哪项?

A.收集的个人信息种类越多越好,以覆盖潜在需求

B.仅收集实现处理目的所必需的最少个人信息

C.只要用户同意,可超出原处理目的范围收集信息

D.无需明确处理目的,只需告知用户可能收集的信息类型

答案:B

解析:《个人信息保护法》第六条规定,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集。选项A违反“最小”要求,C违反“目的限制”,D未明确处理目的,均错误。

以下哪类主体无需设立独立的数据隐私保护部门或指定数据隐私官(DPO)?

A.处理超过50万人个人信息的大型互联网企业

B.国家机关处理个人信息的

C.仅处理员工考勤信息的小微企业(员工数20人)

D.跨境提供个人信息的金融机构

答案:C

解析:《个人信息保护法》第五十二条规定,处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人;处理敏感个人信息、跨境提供个人信息或国家机关处理个人信息的,也应指定负责人。小微企业仅处理内部员工考勤(未达法定数量且非敏感/跨境),无需强制设立。

根据GDPR,个人信息“匿名化”的核心特征是?

A.结合其他信息可识别特定自然人

B.无法通过现有技术手段单独或结合其他信息识别自然人

C.仅删除姓名、身份证号等直接标识符

D.需经数据主体明确同意方可进行

答案:B

解析:GDPR第4条第5款定义“匿名化”为通过处理使个人信息无法归属于特定数据主体(无论是否借助额外信息),且该处理不可逆。选项A是“去标识化”的特征,C未达到匿名化标准,D非匿名化的必要条件,均错误。

某电商平台拟收集用户“收货地址+手机号码”用于配送服务,其合法性基础优先选择?

A.数据主体同意

B.履行合同所必需

C.公共利益需要

D.企业合法利益

答案:B

解析:《个人信息保护法》第十三条规定,履行与数据主体订立的合同所必需的处理,可作为合法性基础(无需单独同意)。电商配送服务是履行买卖合同的必要环节,因此优先选择B。

以下哪项不属于个人信息主体的“查阅复制权”范围?

A.个人信息的存储地点

B.个人信息的处理规则

C.个人信息的共享对象

D.已删除的历史交易记录

答案:D

解析:《个人信息保护法》第四十五条规定,个人有权查阅、复制其个人信息;个人信息处理者应当提供个人信息的存储地点、处理规则、共享接收方名称等。已删除的历史记录因不再存储,不属于可查阅范围。

数据隐私影响评估(PIA)的首要步骤是?

A.识别数据处理活动的风险点

B.确定评估的范围和目标

C.制定风险控制措施

D.形成评估报告并备案

答案:B

解析:PIA的标准流程为:明确评估范围与目标→识别数据处理活动→分析风险→制定控制措施→记录与更新。因此首要步骤是确定范围和目标(B)。

根据《数据安全法》,以下哪项不属于“重要数据”?

A.某医院存储的5000份患者诊疗记录(含健康敏感信息)

B.某车企收集的全国新能源汽车充电设施分布数据

C.某高校发布的年度毕业生就业统计报告(匿名化处理)

D.某能源企业掌握的省级电网实时运行数据

答案:C

解析:《数据安全法》第二十一条规定,重要数据指一旦泄露、破坏可能危害国家安全、公共利益或个人/组织合法权益的数据。匿名化处理后的统计报告无法识别特定主体,不属于重要数据(C)。

跨境数据流动中,“标准合同条款(SCC)”的适用主体是?

A.中国境内数据处理者与境外接收方

B.仅适用于欧盟与非欧盟国家之间

C.仅适用于金融行业跨境数据传输

D.需经国家网信部门安全评估后生效

答案:A

解析:根据《个人信息跨境流动标准合同规定》,中国境内个人信息处理者向境外接收方提供个人信息时,可通过签订标准合同的方式合规(A正确)。SCC是全球通用机制(B错误),无行业限制(C错误),无需额外安全评估(D错误)。

处理未满14周岁未成年人个人信息时,以下哪项符合《个人信息保护法》要求?

A.仅需未成年人本人同意

B.需取得其父母或其他监护人的单独同意

C.无需同意,因属于“履行教育职责”

D.可通过默认勾选方式获取监护人同意

答案:B

解析:《个人信息保护法》第三十一条规定,处理未满十四周岁未成年人个人信息的,应当取得其父母或其他监护人的同意,且需单独同意(不能默认勾选)。因此B正确。

数据泄露事件发生后,个人信息处理者向履行个人信息保护职责的部门报告的时限是?

A.立即(24小时内)

B.3个工作日内

C.7个自然日内

D.

文档评论(0)

1亿VIP精品文档

相关文档