2025年隐私保护工程师（CIPT）考试题库（附答案和详细解析）（1226）.docxVIP

隐私保护工程师（CIPT）考试试卷

一、单项选择题（共10题，每题1分，共10分）

根据GDPR，个人信息“匿名化”与“去标识化”的核心区别在于：

A.匿名化需不可逆，去标识化可能通过额外信息复原

B.匿名化仅适用于欧盟境内，去标识化适用于全球

C.匿名化需技术手段，去标识化仅需管理措施

D.匿名化由企业自主决定，去标识化需监管机构批准

答案：A

解析：GDPR明确区分匿名化与去标识化：匿名化是通过技术手段使数据无法关联到特定个人且不可逆（如加密哈希+无密钥），而去标识化仅移除直接标识符（如姓名），仍可能通过其他信息（如IP地址+时间戳）复原个人信息（Recital26）。B错误，两者无地域限制；C错误，去标识化也可能使用技术手段；D错误，两者均需符合技术标准，非主观决定。

以下哪项不属于“最小必要原则”的要求？

A.仅收集与服务目的直接相关的个人信息

B.收集的信息数量以满足需求为上限

C.存储时间不超过实现目的所需的合理期限

D.对所有用户统一收集相同范围的信息

答案：D

解析：最小必要原则要求数据处理的范围、数量、时长与目的严格匹配（GDPR第5条）。D选项“统一收集相同信息”可能导致对部分用户过度收集（如儿童与成人的信息需求不同），违反“必要性”要求。A、B、C均符合最小必要原则的核心。

根据CCPA，加州居民的“删除权”适用于：

A.所有企业收集的个人信息

B.企业从消费者处直接收集的信息

C.企业从第三方购买的信息

D.企业为提供服务必须保留的信息

答案：B

解析：CCPA第1798.105条规定，删除权仅适用于企业从消费者处直接收集的个人信息（如用户注册时填写的资料），不适用于企业为完成交易、履行法律义务或内部合法用途必须保留的信息（D错误）。A错误，排除第三方数据（C错误）。

隐私影响评估（PIA）的核心目的是：

A.证明企业已履行合规义务

B.识别并降低数据处理中的隐私风险

C.替代数据保护影响评估（DPIA）

D.满足监管机构的形式审查要求

答案：B

解析：PIA（或DPIA，GDPR术语）的核心是通过系统分析识别数据处理中的隐私风险（如泄露、滥用），并提出缓解措施（GDPR第35条）。A、D是结果而非目的；C错误，PIA与DPIA为同一概念的不同表述，无替代关系。

以下哪种场景无需获得用户“明确同意”即可处理个人信息？

A.医疗机构为疫情防控统计患者信息

B.电商平台收集用户浏览记录用于个性化推荐

C.社交平台存储用户聊天记录用于纠纷取证

D.教育机构收集学生成绩用于教学质量分析

答案：A

解析：GDPR第9条（特殊类别数据）和第6条（合法基础）规定，公共卫生利益（如疫情防控）属于“合法利益”或“公共任务”，可豁免明确同意（需符合比例原则）。B需用户同意（个性化推荐非必要服务）；C需基于合同或用户同意；D需符合教育机构的合法职责，但可能仍需告知（非“明确同意”）。

跨境数据传输中，“标准合同条款（SCCs）”的法律效力来自：

A.数据接收方所在国法律

B.数据发送方与接收方的合同约定

C.欧盟委员会的认可

D.联合国国际贸易法委员会（UNCITRAL）的推荐

答案：C

解析：SCCs是欧盟委员会根据GDPR第46条认可的跨境传输机制，通过标准条款确保接收方提供与欧盟相当的保护水平（欧盟委员会2021年更新版SCCs）。B错误，合同需基于欧盟认可的模板；A、D非直接法律依据。

隐私政策的“清晰易懂”原则要求：

A.使用法律专业术语以确保准确性

B.通过超链接将详细条款隐藏在二级页面

C.用简明语言说明信息收集目的、范围和处理方式

D.仅在用户注册时展示一次，后续无需更新

答案：C

解析：GDPR第12条要求隐私政策需“清晰、简洁、易懂”，避免使用复杂术语（A错误），关键信息应在首次访问时直接展示（B错误），且需随处理活动变更及时更新（D错误）。C符合“用户友好”的核心要求。

以下哪项属于“隐私设计（PrivacybyDesign）”的实践？

A.系统开发完成后增加隐私功能模块

B.默认开启最高隐私设置（如“仅自己可见”）

C.收集用户信息后再评估隐私风险

D.仅对敏感数据实施加密保护

答案：B

解析：隐私设计的七大原则包括“默认保护”（默认设置为最高隐私级别）、“主动预防”（开发阶段嵌入隐私功能）、“全生命周期保护”（从设计到销毁）（AnnCavoukian提出）。A、C违反“主动预防”；D违反“端到端保护”（需覆盖所有数据）。

根据《个人信息保护法》，个人信息处理者的“告知-同意”义务中，“告知”的内容不包括：

A.个人信息的存储地点

B.个人信息的共享对象

C.个人信息的加密算法

D.个人信息的处理期限

答案：C

解析：《个