2025年隐私保护工程师（CIPT）考试题库（附答案和详细解析）（1029）.docxVIP

隐私保护工程师（CIPT）考试试卷

一、单项选择题（共10题，每题1分，共10分）

以下哪项是《通用数据保护条例》（GDPR）规定的“匿名化数据”的核心特征？

A.通过技术手段使数据无法与特定自然人关联

B.仅删除姓名、身份证号等直接标识符

C.允许通过合理努力重新识别个人

D.需与其他数据集关联才能识别个人

答案：A

解析：GDPR第4条第5款明确定义“匿名化数据”为通过技术手段确保无法将数据与特定自然人关联（包括无法通过合理努力重新识别）。选项B错误，因仅删除直接标识符可能仍可通过间接标识符（如生日+邮编）重新识别；选项C、D均不符合“无法关联”的核心要求。

根据公平信息实践原则（FIPPs），“处理个人数据的目的应在收集时明确并限制在实现该目的所需范围内”对应以下哪项原则？

A.收集限制原则

B.目的明确原则

C.使用限制原则

D.安全保障原则

答案：B

解析：FIPPs的“目的明确原则”要求数据处理目的需在收集时明确界定，且后续处理不得超出该范围。选项A强调“限制收集范围”；选项C强调“处理活动不得超出原目的”；选项D强调“采取安全措施保护数据”，均不符合题干描述。

以下哪项不属于《加州消费者隐私法案》（CCPA）赋予消费者的权利？

A.要求企业删除其个人数据

B.要求企业提供其个人数据的收集来源

C.要求企业停止出售其个人数据

D.要求企业更正其个人数据中的错误

答案：D

解析：CCPA规定的消费者权利包括删除权、数据来源知情权、停止出售权（“选择退出”），但未明确规定“更正权”（更正权是GDPR的核心权利之一）。选项D错误。

隐私影响评估（PIA）的关键目标是？

A.确保数据处理活动符合技术最优标准

B.识别并缓解个人数据处理中的隐私风险

C.证明数据控制者已获得所有数据主体同意

D.替代数据保护官（DPO）的日常监督职责

答案：B

解析：PIA的核心目标是系统性识别数据处理活动中的隐私风险（如数据泄露、过度收集等），并提出缓解措施（OECD《隐私影响评估指南》）。选项A错误，因PIA关注合规与风险而非技术最优；选项C错误，同意仅是部分场景的合规手段；选项D错误，PIA是DPO的工具之一，不可替代其职责。

数据最小化原则要求组织在处理个人数据时应：

A.尽可能收集更多数据以满足未来需求

B.仅收集实现处理目的所需的最少且必要的数据

C.对所有数据采取最高级别的加密措施

D.仅保留数据至法律规定的最短期限

答案：B

解析：数据最小化原则（GDPR第5条第1款c项）要求数据的收集、处理范围和保留期限应与处理目的“适当、相关且限于必要”。选项A违反“必要”要求；选项C属于安全保障原则；选项D属于存储限制原则，均非数据最小化的核心。

以下哪种场景无需获得数据主体同意即可合法处理个人数据？

A.某电商平台为用户提供个性化推荐

B.医院为救治危急患者处理患者健康数据

C.社交媒体平台共享用户位置信息给广告商

D.教育机构向第三方提供学生成绩用于市场调研

答案：B

解析：GDPR第6条第1款规定，“为履行医疗紧急任务所必需”属于合法处理的例外情形（无需同意）。选项A、C、D均需基于同意或其他合法基础（如合同必要）。

跨境数据传输中，“充分性认定”（AdequacyDecision）指？

A.数据接收方国家/地区的隐私保护水平被欧盟认定为与GDPR等效

B.数据控制者通过签订标准合同条款（SCCs）确保传输合规

C.数据接收方加入《亚太经合组织隐私框架》

D.数据控制者通过绑定企业规则（BCRs）约束集团内传输

答案：A

解析：“充分性认定”是欧盟委员会对非欧盟国家/地区隐私保护水平的正式认可（如瑞士、日本），允许数据自由传输。选项B、D是替代机制；选项C是区域性框架，不等同于欧盟的充分性认定。

隐私政策中无需包含以下哪项信息？

A.个人数据的收集类型（如姓名、联系方式）

B.数据处理者的身份和联系方式

C.数据主体行使权利的具体方式

D.数据控制者的商业盈利模式

答案：D

解析：GDPR第13条要求隐私政策需包含数据类型、控制者信息、权利行使方式等，但无需披露商业盈利模式（除非该模式直接影响数据处理目的）。选项D非必要。

以下哪项属于隐私增强技术（PETs）？

A.数据加密

B.日志审计

C.用户行为追踪

D.数据备份

答案：A

解析：隐私增强技术（PETs）指直接保护个人隐私的技术，如加密（防止未授权访问）、匿名化（k-匿名）、差分隐私（添加噪声保护个体数据）。选项B、D是安全或运维技术；选项C侵犯隐私。

数据保护官（DPO）的核心职责不包括？

A.监督组织遵守隐私法规

B.代表数据主体向监管机构投诉

C.就隐私影响评估提供专业意见

D.培训员工