2025年隐私保护工程师（CIPT）考试题库（附答案和详细解析）（1209）.docxVIP

隐私保护工程师（CIPT）考试试卷

一、单项选择题（共10题，每题1分，共10分）

根据GDPR（通用数据保护条例），“数据最小化原则”的核心要求是？

A.尽可能减少数据存储的物理空间

B.仅收集实现处理目的所需的必要数据

C.对所有数据进行加密处理

D.限制数据处理的时间不超过1年

答案：B

解析：GDPR第5条规定数据最小化原则要求“数据应与处理目的相关、充分且必要”（相关性、充分性、必要性）。选项A错误，因物理空间与数据量无直接关联；选项C是安全措施，非最小化核心；选项D是存储限制原则（数据存储限制）的要求。

以下哪项不属于CCPA（加州消费者隐私法案）赋予消费者的权利？

A.要求企业删除其个人信息

B.要求企业提供其个人信息的来源

C.要求企业停止出售其个人信息

D.要求企业将个人信息转移至第三方

答案：D

解析：CCPA规定消费者有权访问、删除个人信息，要求停止出售（“勿出售”权），但“数据可携带权”（转移至第三方）是GDPR的要求，CCPA未明确包含此权利（CPRA修订后部分纳入，但原题基于CCPA）。选项D错误。

隐私影响评估（PIA）的核心目的是？

A.证明企业已遵守所有隐私法规

B.识别并减轻数据处理中的隐私风险

C.记录数据处理活动的详细流程

D.向监管机构申请数据处理许可

答案：B

解析：PIA的核心是系统性评估数据处理活动对个人隐私的潜在风险，并提出缓解措施（OECD、GDPR均明确此目的）。选项A错误，PIA是风险评估工具，非合规证明；选项C是PIA的步骤之一，非目的；选项D是部分场景的结果，非核心目的。

匿名化数据与去标识化数据的关键区别在于？

A.匿名化需不可逆，去标识化可能可恢复

B.匿名化仅删除直接标识符，去标识化删除间接标识符

C.匿名化适用于公共数据，去标识化适用于企业数据

D.匿名化无需遵守隐私法规，去标识化仍需遵守

答案：A

解析：匿名化通过技术手段使数据无法关联到特定自然人（不可逆），而去标识化仅删除部分标识符（可能通过关联其他数据恢复）。GDPR明确去标识化数据仍属个人信息，需受保护；匿名化数据则不属于（选项D错误）。选项B错误，因两者均可能涉及直接/间接标识符；选项C无依据。

跨境数据传输中，“标准合同条款（SCCs）”的法律属性是？

A.由企业自行制定的内部协议

B.经监管机构批准的通用合同模板

C.仅适用于欧盟与美国之间的传输

D.仅对数据接收方具有约束力

答案：B

解析：SCCs是欧盟委员会批准的标准合同模板（如2021年更新版本），用于非欧盟国家接收方与欧盟数据控制者/处理者之间的跨境传输，对双方均有约束力（选项D错误）。选项A错误，因SCCs需采用官方模板；选项C错误，适用于所有非欧盟国家。

隐私政策中“处理目的”的表述要求是？

A.可使用模糊表述（如“用于提升用户体验”）

B.需具体说明数据将用于的具体场景（如“用于个性化推荐商品”）

C.仅需列出法律要求的最低目的

D.无需区分不同数据类型的处理目的

答案：B

解析：GDPR第13条要求处理目的需“清晰、具体”，避免模糊表述。选项A错误，模糊表述可能导致用户无法理解；选项C错误，需全面覆盖实际处理目的；选项D错误，不同数据类型（如位置信息与姓名）的处理目的需分别说明。

用户要求行使“被遗忘权”（删除权）时，企业可拒绝的情形是？

A.数据用于公共利益的科学研究

B.用户已同意数据处理

C.数据已匿名化处理

D.企业已将数据共享给第三方

答案：A

解析：GDPR第17条规定，若数据处理是为了“行使言论自由与信息自由权”“公共利益的科学/历史研究或统计目的”等，企业可拒绝删除。选项B错误，用户同意可被撤回；选项C错误，匿名化数据非个人信息，不适用删除权；选项D错误，企业需要求第三方同步删除（如无法实现需告知用户）。

以下哪项属于“隐私设计”（PrivacybyDesign）的核心原则？

A.仅在数据泄露后采取补救措施

B.数据处理默认不收集个人信息

C.仅由法律部门负责隐私保护

D.仅对敏感数据实施保护措施

答案：B

解析：隐私设计七大原则包括“默认隐私”（DefaultPrivacy），即系统默认不收集不必要的个人信息（或仅收集最小必要信息）。选项A错误，属于事后补救，违反“主动预防”原则；选项C错误，违反“全员参与”原则；选项D错误，违反“端到端安全”原则。

个人信息跨境传输安全评估的责任主体是？

A.数据接收方所在国监管机构

B.数据处理者（如企业）

C.数据主体（用户）

D.第三方认证机构

答案：B

解析：根据我国《个人信息跨境传输安全评估办法》，数据处理者是评估责任主体，需向国家网信部门申报并完成安全评估。选项A错误，监管机构是审核方；