2025年信息系统安全专家欧盟通用数据保护条例合规要点专题试卷及解析.pdfVIP

2025年信息系统安全专家欧盟通用数据保护条例合规要点专题试卷及解析1

2025年信息系统安全专家欧盟通用数据保护条例合规要点

专题试卷及解析

2025年信息系统安全专家欧盟通用数据保护条例合规要点专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、根据GDPR，以下哪项不属于个人数据的处理合法依据？

A、数据主体同意

B、履行合同必要

C、商业利益最大化

D、遵守法律义务

【答案】C

【解析】正确答案是C。GDPR第6条规定了6项合法处理依据，包括同意、合同

履行、法律义务、重要利益、公共利益和合法利益，但商业利益最大化不属于法定依据。

知识点：GDPR合法处理依据。易错点：容易将”合法利益”与”商业利益”混淆。

2、GDPR规定的数据保护影响评估（DPIA）应在什么情况下进行？

A、所有数据处理活动

B、大规模处理敏感数据

C、常规客户数据处理

D、内部员工数据管理

【答案】B

【解析】正确答案是B。根据GDPR第35条，DPIA适用于可能对个人权利和自

由造成高风险的处理活动，特别是大规模处理敏感数据。知识点：DPIA适用情形。易

错点：误认为所有处理都需要DPIA。

3、GDPR中数据控制者的定义是指？

A、仅提供数据处理服务的实体

B、决定数据处理目的和方式的实体

C、数据存储服务提供商

D、网络安全公司

【答案】B

【解析】正确答案是B。GDPR第4(7)条明确定义控制者为”单独或联合决定个人

数据处理目的和方式的自然人或法人”。知识点：控制者与处理者区别。易错点：容易混

淆控制者与处理者的角色。

4、数据主体访问权（DSAR）的响应时限是？

A、7天

B、15天

2025年信息系统安全专家欧盟通用数据保护条例合规要点专题试卷及解析2

C、30天

D、60天

【答案】C

【解析】正确答案是C。GDPR第15条规定控制者应在收到请求后一个月内提供

访问信息，特殊情况下可延长两个月。知识点：DSAR响应时限。易错点：忽略可延长

的特殊情况。

5、以下哪项不属于GDPR定义的特殊类别数据？

A、种族或民族出身

B、政治观点

C、电子邮件地址

D、健康数据

【答案】C

【解析】正确答案是C。GDPR第9条规定的特殊类别数据包括种族、政治观点、

宗教信仰、健康数据等，而电子邮件地址属于一般个人数据。知识点：特殊类别数据范

围。易错点：将所有个人数据误认为特殊类别数据。

6、GDPR对跨境数据传输的主要机制是？

A、仅需要数据主体同意

B、充分性决定或适当保障措施

C、企业自行决定

D、无需特别要求

【答案】B

【解析】正确答案是B。GDPR第4450条规定跨境传输需基于欧盟委员会的充分

性决定或提供适当保障措施如SCCs。知识点：跨境传输机制。易错点：误认为仅凭同

意即可合法传输。

7、数据泄露通知的时限要求是？

A、知晓后立即通知

B、24小时内

C、72小时内

D、一周内

【答案】C

【解析】正确答案是C。GDPR第33条要求控制者在知晓泄露后72小时内通知监

管机构，除非不太可能对个人权利造成风险。知识点：泄露通知时限。易错点：忽略”知

晓后”的起算点。

8、GDPR的罚款上限是？

A、100万欧元或全球营业额2%

2025年信息系统安全专家欧盟通用数据保护条例合规要点专题试卷及解析3

B、2000万欧元或全球营业额4%

C、500万欧元或全球营业额1%

D、无上限

【答案】B

【解析】正确答案是B。GDPR第83条规定最高罚款为2000万欧元或全球年营业

额4%，以较高者为准。知识点：