2025年GDPR标准培训试题及答案解析.docxVIP

2025年GDPR标准培训试题及答案解析

一、单项选择题

1.以下哪项不属于GDPR规定的“个人数据”范畴？

A.某用户的手机号码

B.匿名化处理后无法关联到特定自然人的统计数据

C.某员工的职业资格证书编号

D.某患者的病历诊断结果

答案：B

解析：GDPR第4条第1款明确“个人数据”指与已识别或可识别的自然人（“数据主体”）相关的任何信息；匿名化数据因无法关联到特定自然人，不属于个人数据范畴（第26条）。

2.GDPR规定数据控制者向数据主体提供的“隐私信息告知”中，必须包含的核心内容不包括？

A.数据处理的目的和合法依据

B.数据保留的具体期限或保留规则

C.数据控制者的联系方式及数据保护官（DPO）的信息

D.数据主体的社交媒体好友列表

答案：D

解析：根据GDPR第13、14条，隐私告知需包含处理目的、合法依据、保留期限、控制者及DPO信息等，但无需提供数据主体的社交关系信息。

3.数据主体行使“访问权”时，数据控制者应在多长时间内响应？

A.收到请求后7个自然日

B.收到请求后1个月内

C.收到请求后2个月内

D.无明确时限要求

答案：B

解析：GDPR第12条第3款规定，数据控制者应在收到请求后1个月内作出响应；复杂情况可延长1个月，但需提前告知数据主体。

4.以下哪项是GDPR规定的“数据处理合法依据”？

A.数据控制者的商业利益优先

B.数据主体的明确同意（Freelygivenconsent）

C.数据处理可能提升社会公共形象

D.数据处理为第三方提供便利

答案：B

解析：GDPR第6条规定的合法依据包括：数据主体同意、合同履行必要、法定义务、公共利益、控制者或第三方的重大利益（需平衡数据主体权益）。仅“明确同意”是法定依据之一。

5.GDPR对跨境数据传输的核心要求是？

A.禁止任何跨境数据传输

B.需通过“充分性认定”、标准合同条款（SCCs）或绑定企业规则（BCRs）等机制确保接收国具备充分保护水平

C.仅允许向欧盟成员国传输数据

D.只需数据控制者内部审批即可

答案：B

解析：GDPR第44-49条规定，跨境传输需通过欧盟委员会认定的“充分性保护”（如欧盟认可的国家/地区）、标准合同条款（SCCs）、绑定企业规则（BCRs）等机制，确保数据接收方提供与GDPR相当的保护水平。

6.数据泄露事件发生后，数据控制者需向监管机构报告的最晚时限是？

A.发现泄露后24小时内

B.发现泄露后72小时内

C.发现泄露后3个工作日内

D.无强制报告要求

答案：B

解析：GDPR第33条第2款规定，数据控制者应在“意识到泄露”后72小时内报告监管机构；若延迟报告，需说明合理理由。

7.GDPR规定的最高罚款额度是？

A.全球年营业额的2%或1000万欧元（取较高值）

B.全球年营业额的4%或2000万欧元（取较高值）

C.全球年营业额的5%或3000万欧元（取较高值）

D.无明确罚款上限

答案：B

解析：GDPR第83条规定，最严重违规（如违反核心权利、未履行数据保护义务）的罚款为全球年营业额的4%或2000万欧元（以较高者为准）。

8.以下哪类组织无需强制任命数据保护官（DPO）？

A.欧盟成员国政府机构（除法院行使司法职能外）

B.核心业务为大规模处理敏感数据（如健康数据、生物识别数据）的企业

C.年处理个人数据量超过10万人的电商平台

D.仅偶尔处理客户姓名和联系方式的小型便利店

答案：D

解析：GDPR第37条规定，需强制任命DPO的情形包括：公共机构（除司法机关）、核心业务为大规模处理敏感数据、大规模系统性监控数据主体。小型便利店因处理数据量小且非核心业务，无需强制任命。

9.数据主体行使“被遗忘权”（删除权）时，数据控制者可拒绝的情形是？

A.数据处理用于行使言论自由和信息自由权利

B.数据主体已撤回同意

C.数据处理为履行法定义务所需

D.数据处理是为公共利益进行的历史、统计或科学研究

答案：A

解析：GDPR第17条第3款规定，被遗忘权的例外包括：言论自由、法定义务履行、公共利益研究等。若数据处理涉及言论自由，控制者可拒绝删除。

10.GDPR中“数据处理者”的定义是？

A.决定个人数据处理目的和方式的实体

B.仅执行数据控制者指令进行处理的实体

C.同时决定处理目的和方式的实体

D.向数据主体收集数据的实体

答案：B

解析：GDPR第4条第8款定义“数据处理者”为代表数据控制者处理个人数据的实体（如云服务提供商），其处理行为需严格遵循控制者的指令。

二、多项选择题

1.以下属于数据主体在GDPR下的权利有？

A.访问权（Rightofaccess）

B.更正权（Righttorec