2025年隐私保护工程师（CIPT）考试题库（附答案和详细解析）（1026）.docxVIP

隐私保护工程师（CIPT）考试试卷

一、单项选择题（共10题，每题1分，共10分）

根据GDPR，以下哪类主体的个人数据处理活动受其约束？

A.仅欧盟成员国公民的个人数据

B.在欧盟境内设立的实体处理个人数据

C.全球所有企业处理欧盟公民数据的行为

D.仅涉及欧盟政府机构的个人数据处理

答案：B

解析：GDPR第3条规定，其适用范围包括：（1）在欧盟境内设立的实体处理个人数据（无论数据处理是否发生在欧盟）；（2）非欧盟实体处理欧盟居民个人数据（若处理与提供商品/服务或监控行为相关）。选项A缩小了范围（不限于公民），选项C扩大了范围（需满足“与欧盟相关”条件），选项D错误（覆盖所有实体）。

隐私政策的核心目的是？

A.展示企业技术实力

B.向用户明确告知数据处理规则

C.规避法律责任

D.提升用户对企业的好感度

答案：B

解析：隐私政策是企业与用户之间的“数据处理契约”，GDPR第12-14条要求其必须清晰、易懂，明确告知数据处理目的、类型、共享对象等关键信息。选项A、C、D均偏离了“告知用户权利与处理规则”的核心目的。

数据最小化原则的核心要求是？

A.尽可能收集更多数据以满足未来需求

B.仅收集完成处理目的所需的最少数据

C.对所有数据进行加密存储

D.限制数据存储时间不超过1年

答案：B

解析：GDPR第5(1)(c)条规定，数据收集应“与处理目的相关、充分且必要”，即仅收集完成目的所需的最小范围数据。选项A违背“最小化”要求，选项C是安全措施，选项D属于“存储限制原则”。

GDPR要求数据控制者响应用户访问权的最长期限是？

A.7个工作日

B.1个月

C.3个月

D.6个月

答案：B

解析：GDPR第12(3)条规定，数据控制者应在收到请求后“1个月内”响应用户权利请求（复杂情况可延长至3个月，但需告知用户）。选项A过短，选项C是延长后的期限，选项D无法律依据。

以下哪项属于匿名化（Anonymization）技术？

A.对姓名进行哈希处理（Hashing）

B.使用k-匿名算法消除识别性

C.对身份证号进行部分隐藏（脱敏）

D.为数据添加访问权限控制

答案：B

解析：匿名化是通过技术手段使数据无法再识别特定自然人（且无合理可能恢复），k-匿名通过泛化或抑制数据，确保至少k个个体具有相同标识符，属于典型匿名化技术。选项A、C属于去标识化（可通过关联其他数据恢复识别），选项D是访问控制措施。

CCPA（加州消费者隐私法）的适用对象是？

A.所有在美国注册的企业

B.年营收超过2500万美元或处理5万+加州居民数据的企业

C.仅加州本地注册的企业

D.全球所有处理加州居民数据的企业

答案：B

解析：CCPA第1798.140(o)条规定，适用对象包括：（1）年营收超2500万美元；（2）年度处理5万+加州居民/家庭/设备数据；（3）50%以上收入来自销售加州居民数据。选项A、C、D均不符合“门槛条件”。

隐私影响评估（PIA）的主要触发场景是？

A.低风险的常规数据处理活动

B.涉及大规模敏感数据的处理活动

C.仅需内部文档记录的简单数据收集

D.已通过ISO27001认证的系统

答案：B

解析：GDPR第35(1)条规定，PIA需在“高风险”数据处理活动前开展，包括涉及大规模敏感数据（如健康、生物识别）、新型技术（如AI）或可能侵犯基本权利的处理活动。选项A、C、D均属于低风险或已合规场景，无需强制PIA。

以下哪项是跨境数据传输的合法机制？

A.已失效的“欧盟-美国隐私盾”

B.企业自行制定的内部数据传输协议

C.欧盟认可的“充分性认定（AdequacyDecision）”

D.仅通过口头约定的传输规则

答案：C

解析：GDPR第44-49条规定的合法机制包括：（1）接收国获得“充分性认定”；（2）采用“标准合同条款（SCCs）”；（3）约束性公司规则（BCRs）等。选项A已被欧洲法院废除，选项B、D无法律约束力。

组织隐私培训的核心对象是？

A.仅隐私合规部门员工

B.全体员工

C.仅IT技术部门员工

D.仅高层管理人员

答案：B

解析：隐私保护需全员参与，GDPR第24条要求企业“确保所有处理个人数据的员工具备必要的知识和能力”。无论岗位是否直接接触数据，员工都可能因操作不当导致隐私风险（如客服泄露用户信息），因此需覆盖全体。

GDPR要求数据控制者在发生数据泄露后，最晚需多久向监管机构报告？

A.24小时内

B.72小时内

C.5个工作日内

D.1个月内

答案：B

解析：GDPR第33(2)条规定，数据控制者应在“意识到泄露后72小时内”向监管机构报告（无不合理延迟），若超过72小时需说明理由。选项A过短，选项C、D超出法定时限。