2025年隐私保护工程师（CIPT）考试题库（附答案和详细解析）（1106）.docxVIP

隐私保护工程师（CIPT）考试试卷

一、单项选择题（共10题，每题1分，共10分）

根据GDPR，以下哪类主体必须任命数据保护官（DPO）？

A.年营业额500万欧元的电商平台

B.以公共管理为主要活动的政府机构

C.仅通过人工方式处理少量客户信息的小型诊所

D.专注于市场调研的非欧盟企业（未在欧盟设立机构）

答案：B

解析：GDPR第37条规定，必须任命DPO的情形包括：（1）公共机构（除非是司法机构）；（2）核心活动涉及大规模定期监控个人（如广告追踪）；（3）核心活动涉及大规模处理特殊类别数据（如健康、种族）。选项B符合“公共管理活动”的要求；A未达到“大规模处理”标准；C为“人工处理少量数据”可豁免；D未在欧盟设立机构且无相关活动，不适用。

以下哪项是隐私设计（PrivacybyDesign）的核心原则？

A.数据收集后再考虑隐私保护

B.仅对敏感数据实施保护措施

C.隐私作为系统默认配置

D.依赖用户主动选择隐私选项

答案：C

解析：隐私设计的七大原则包括“默认隐私”（PrivacybyDefault），即系统应默认采用最高隐私保护级别，无需用户主动设置。A违反“主动预防”原则；B违反“全面保护”原则；D违反“默认隐私”原则。

依据CCPA，加州消费者的“删除权”不适用于以下哪类数据？

A.企业为完成订单而收集的地址信息

B.企业内部用于质量控制的客户服务记录

C.依法需保留的税务申报相关数据

D.公开可获取的政府登记信息

答案：C

解析：CCPA规定，若数据“依法需保留”（如税务、审计要求），企业可拒绝删除请求。A、B属于正常业务数据；D为公开信息，但CCPA删除权仍可能适用（需结合具体场景），而C明确受法律保留义务豁免。

隐私影响评估（PIA）的主要目的是？

A.证明企业已遵守所有隐私法规

B.识别并缓解个人数据处理中的隐私风险

C.替代数据保护官（DPO）的职责

D.记录数据主体的所有访问请求

答案：B

解析：PIA的核心目标是通过系统性分析，识别数据处理活动中的隐私风险（如数据泄露、歧视性处理），并提出缓解措施（如加密、访问控制）。A错误，PIA是风险评估工具，非合规证明；C错误，DPO职责包括监督PIA但不可替代；D是数据主体权利管理的内容。

以下哪种技术属于“匿名化”（Anonymization）？

A.对用户姓名进行哈希处理（Hash）

B.将身份证号中的出生年月替换为“****”

C.通过k-匿名技术使个体无法被重新识别

D.对通话记录中的电话号码打码（如138****1234）

答案：C

解析：匿名化要求数据无法通过合理手段重新识别到个体（GDPR第4条）。k-匿名技术通过模糊或泛化数据，确保至少k个个体具有相同标识符，属于匿名化；A（哈希）、B（部分打码）、D（部分隐藏）均可能通过关联其他数据重新识别，属于“去标识化”（De-identification）。

跨境数据传输中，“充分性认定”（AdequacyDecision）指？

A.数据接收方国家的隐私保护水平被欧盟认定为与GDPR等效

B.数据控制者与处理者签订标准合同条款（SCCs）

C.数据主体明确同意跨境传输

D.企业通过欧盟-美国隐私盾（PrivacyShield）认证

答案：A

解析：GDPR第45条规定，“充分性认定”是欧盟委员会对第三国/地区隐私保护水平的正式认可（如瑞士、日本），允许数据自由传输。B（SCCs）、C（同意）、D（已失效的隐私盾）是其他合规路径，非“充分性认定”。

数据主体的“访问权”（RightofAccess）要求企业提供？

A.所有与该主体相关的原始数据副本

B.数据处理的目的、类别、接收方等信息

C.数据处理系统的技术架构文档

D.其他数据主体的个人信息关联分析结果

答案：B

解析：GDPR第15条规定，访问权包括：（1）数据处理的目的；（2）个人数据的类别；（3）数据接收方或类别；（4）保留期限等。A错误，企业可提供摘要而非全部原始数据；C、D涉及企业内部信息或他人数据，无需提供。

以下哪项不符合“数据最小化”（DataMinimization）原则？

A.电商平台仅收集用户下单所需的姓名、地址、电话

B.银行在用户注册时要求提供婚姻状况、宗教信仰

C.社交APP仅存储用户最近3个月的聊天记录

D.教育平台根据课程需求收集学生的成绩和出勤信息

答案：B

解析：数据最小化要求收集“必要且与目的相关”的数据。婚姻状况、宗教信仰属于GDPR中的“特殊类别数据”（第9条），银行注册时无合理理由收集此类数据，违反最小化原则；A、C、D均符合“必要性”和“相关性”要求。

根据ISO/IEC27701（隐私信息管理体系），以下哪项是PDC