2025年隐私保护工程师（CIPT）考试题库（附答案和详细解析）（1201）.docxVIP

隐私保护工程师（CIPT）考试试卷

一、单项选择题（共10题，每题1分，共10分）

根据GDPR，数据控制者与处理者的核心区别是？

A.控制者决定数据处理目的和方式，处理者仅按控制者指令处理

B.控制者需承担法律责任，处理者无需担责

C.控制者需进行PIA，处理者无需参与

D.控制者需公开隐私政策，处理者无需披露信息

答案：A

解析：GDPR第4条明确，数据控制者（Controller）是“决定个人数据处理目的和方式的自然人或法人”，数据处理者（Processor）是“代表控制者处理个人数据的自然人或法人”。B错误，处理者在违反GDPR时仍需担责；C错误，处理者可能需配合PIA；D错误，处理者可能需在隐私政策中被披露（如GDPR第13条）。

以下哪项不属于CCPA规定的消费者权利？

A.要求删除个人数据

B.要求更正不准确的个人数据

C.要求获取已收集的个人数据类型

D.要求禁止基于个人数据的定向广告

答案：B

解析：CCPA（加州消费者隐私法）规定的消费者权利包括删除权（A）、访问权（C）、禁止销售权（D），但未明确规定“更正权”（更正权是GDPR的核心权利之一）。因此B为正确选项。

隐私影响评估（PIA）的主要目的是？

A.证明企业已遵守所有隐私法规

B.识别并减轻个人数据处理中的隐私风险

C.替代数据保护影响评估（DPIA）

D.向监管机构申请数据跨境传输许可

答案：B

解析：PIA（或DPIA，GDPR中称数据保护影响评估）的核心目的是“识别、分析和减轻个人数据处理活动中的高风险”（GDPR第35条）。A错误，PIA是风险评估工具，非合规证明；C错误，PIA与DPIA为同一概念的不同表述；D错误，PIA是跨境传输的辅助工具，非申请许可的直接条件。

匿名化（Anonymization）与脱敏（De-identification）的关键区别是？

A.匿名化后数据无法通过任何方式重新识别，脱敏可能通过关联数据恢复

B.匿名化仅适用于结构化数据，脱敏适用于非结构化数据

C.匿名化需法律认证，脱敏无需

D.匿名化是技术手段，脱敏是管理手段

答案：A

解析：ISO/IEC29100定义，匿名化是“通过技术手段使数据无法关联到特定个人且无合理可能重新识别”，而脱敏（如去标识化）可能通过补充信息恢复识别（如结合其他数据集）。B、C、D均错误，二者均为技术手段，无数据类型或认证限制。

根据《个人信息保护法》，处理敏感个人信息的合法性基础不包括？

A.取得个人单独同意

B.为公共利益实施新闻报道

C.为订立或履行个人作为一方当事人的合同

D.为应对突发公共卫生事件

答案：C

解析：《个人信息保护法》第29条规定，处理敏感个人信息需“取得个人的单独同意”（A）；第32条列举了例外情形，包括“为公共利益实施新闻报道、舆论监督”（B）、“应对突发公共卫生事件”（D）。C属于一般个人信息的合法基础（第13条），不适用于敏感个人信息。

跨境数据传输中，“标准合同条款（SCCs）”的法律效力来源于？

A.数据接收国立法

B.数据输出国监管机构批准

C.数据控制者与处理者自行约定

D.国际组织（如欧盟）制定的模板条款

答案：D

解析：欧盟GDPR下的标准合同条款（SCCs）由欧盟委员会制定，作为跨境传输的合法机制之一（GDPR第46条）。数据控制者/处理者需签署并向监管机构备案，但条款本身由监管机构制定（D正确）。A、B、C均不准确。

隐私政策（PrivacyNotice）的核心要求是？

A.语言专业严谨，体现法律权威性

B.仅需在网站底部放置链接

C.清晰说明数据处理目的、类型、共享对象等

D.无需更新，发布后长期有效

答案：C

解析：GDPR第13-14条、《个人信息保护法》第17条均要求隐私政策需“以清晰、易懂、易访问的方式，说明数据处理的目的、类型、共享对象、存储期限、权利等”（C正确）。A错误，应使用通俗语言；B错误，需主动提供（如首次访问时弹窗）；D错误，处理活动变化时需更新。

以下哪项属于“隐私增强技术（PETs）”？

A.数据加密

B.日志审计

C.访问控制

D.数据备份

答案：A

解析：隐私增强技术（PETs）指直接保护个人隐私的技术，如加密（防止未授权访问）、匿名化、差分隐私等。B（审计）、C（权限管理）、D（冗余存储）属于安全控制措施，非直接隐私增强技术。

根据COPPA（儿童在线隐私保护法），针对13岁以下儿童的网站需？

A.自动收集儿童个人数据用于个性化服务

B.无需取得父母同意即可共享数据

C.提供父母访问和删除儿童数据的途径

D.仅需在隐私政策中提及儿童数据处理

答案：C

解析：COPPA要求，针对13岁以下儿童的网站需“取得父母同意后收集数据”（