2025年信息系统安全专家个人信息保护与GDPR合规专题试卷及解析.pdfVIP

2025年信息系统安全专家个人信息保护与GDPR合规专题试卷及解析1

2025年信息系统安全专家个人信息保护与GDPR合规专

题试卷及解析

2025年信息系统安全专家个人信息保护与GDPR合规专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、根据GDPR，以下哪项不属于“个人数据”的定义范畴？

A、员工的IP地址

B、公司的年度财务报告

C、用户的地理位置信息

D、Cookie标识符

【答案】B

【解析】正确答案是B。GDPR将个人数据定义为任何与已识别或可识别的自然人

相关的信息。IP地址、地理位置和Cookie标识符都属于个人数据，而公司财务报告涉

及法人实体而非自然人。知识点：GDPR第4条对个人数据的定义。易错点：误认为

所有商业数据都受GDPR保护。

2、GDPR规定的数据主体权利中，哪项权利具有绝对性，不受公共利益等例外限

制？

A、访问权

B、被遗忘权

C、数据可携带权

D、反对权

【答案】B

【解析】正确答案是B。被遗忘权（删除权）在GDPR中具有绝对性，只要处理不

再必要，数据主体即可要求删除，不受公共利益等例外限制。其他权利都存在一定例外

情形。知识点：GDPR第17条删除权。易错点：混淆各项权利的适用条件。

3、根据GDPR，以下哪种情况不需要进行数据保护影响评估（DPIA）？

A、大规模处理敏感数据

B、系统性监测公共区域

C、员工日常考勤记录

D、使用新技术处理数据

【答案】C

【解析】正确答案是C。GDPR第35条规定，高风险处理活动（如大规模敏感数据

处理、系统性监测、新技术应用）需进行DPIA。普通员工考勤属于常规处理，不触发

DPIA要求。知识点：DPIA触发条件。易错点：误将所有数据处理都视为高风险。

4、GDPR规定的数据泄露通知时限是？

2025年信息系统安全专家个人信息保护与GDPR合规专题试卷及解析2

A、知晓后24小时内

B、知晓后48小时内

C、知晓后72小时内

D、知晓后7个工作日内

【答案】C

【解析】正确答案是C。GDPR第33条明确规定，控制者应在知晓数据泄露后72

小时内通知监管机构，除非泄露不太可能对个人权利造成风险。知识点：数据泄露通知

义务。易错点：混淆不同国家法律的通知时限要求。

5、以下哪项不属于GDPR定义的“特殊类别数据”？

A、种族或民族出身

B、政治观点

C、信用卡号

D、健康数据

【答案】C

【解析】正确答案是C。GDPR第9条规定的特殊类别数据包括种族、政治观点、

健康数据等敏感信息，而信用卡号属于一般个人数据（财务信息）。知识点：特殊类别

数据范围。易错点：将所有敏感信息都视为特殊类别数据。

6、根据GDPR，以下哪个角色不需要签订数据处理协议（DPA）？

A、数据控制者

B、数据处理者

C、子处理者

D、数据主体

【答案】D

【解析】正确答案是D。GDPR第28条要求控制者与处理者之间必须签订DPA，

处理者与子处理者之间也需类似协议。数据主体是权利人，不参与协议签订。知识点：

DPA签订主体。易错点：误认为数据主体需要参与所有数据处理协议。

7、GDPR规定的罚款上限是？

A、1000万欧元或全球营业额2%

B、2000万欧元或全球营业额4%

C、500万欧元或全球营业额1%

D、无上限

【答案】B

【解析】正确答案是B。GDPR第83条规定，最严重的违法行为可处2000万欧元

或全球年营业额4%的罚款（以较高者为准）。知识点：GDPR处罚机制。易错点：混

淆不同违法行为的处罚标准。

2025年信息系统安全专家个人信息保护与GDPR合规专题试卷及解析