2025年隐私保护工程师（CIPT）考试题库（附答案和详细解析）（1223）.docxVIP

隐私保护工程师（CIPT）考试试卷

一、单项选择题（共10题，每题1分，共10分）

根据《通用数据保护条例》（GDPR），以下哪类活动明确受其约束？

A.欧盟境外企业处理非欧盟居民的个人数据

B.欧盟境内企业处理匿名化后的个人数据

C.在欧盟境内设立的企业处理个人数据的活动

D.仅用于统计分析且无法识别特定自然人的数据处理

答案：C

解析：GDPR的适用范围包括“在欧盟境内设立的控制器或处理者的个人数据处理活动”（第3条）。选项A错误，因境外企业若处理欧盟居民数据也可能受约束；选项B错误，匿名化数据不属于GDPR定义的“个人数据”；选项D错误，统计分析若涉及可识别数据仍受约束。

隐私设计（PrivacybyDesign）的核心原则不包括以下哪项？

A.数据最小化

B.默认隐私

C.事后补救

D.透明性

答案：C

解析：隐私设计的七大原则包括主动预防而非事后补救、默认隐私、数据最小化、全程安全、透明性等（Cavoukian提出）。选项C“事后补救”是被动措施，不符合隐私设计的主动原则。

以下哪项是数据主体根据GDPR享有的“访问权”的正确表述？

A.仅可获取个人数据的存储位置

B.可要求获得个人数据的副本及处理详情

C.仅适用于结构化数据库中的个人数据

D.需通过司法程序才能行使

答案：B

解析：GDPR第15条规定，数据主体有权获取其个人数据的副本（免费一次）及处理目的、数据接收方等详细信息。选项A错误，访问权不限于存储位置；选项C错误，适用于所有存储形式；选项D错误，无需司法程序。

隐私影响评估（PIA）的主要目的是？

A.证明数据处理活动符合行业惯例

B.识别并缓解个人数据处理中的隐私风险

C.替代数据保护影响评估（DPIA）

D.仅用于跨境数据传输场景

答案：B

解析：PIA（或DPIA）的核心目的是系统性识别、评估和降低数据处理中的隐私风险（GDPR第35条）。选项A错误，需符合法律而非惯例；选项C错误，PIA与DPIA为同一概念的不同表述；选项D错误，适用于高风险处理场景（如大规模数据收集、自动化决策等）。

以下哪种数据处理方式属于“去标识化”而非“匿名化”？

A.移除姓名、身份证号等直接标识符

B.通过加密技术使数据无法被解密

C.结合其他数据集可重新识别个人

D.仅保留统计性聚合数据

答案：C

解析：去标识化数据仍可能通过关联其他信息重新识别个人（GDPR第26条指南），而匿名化数据在合理技术措施下无法恢复（如不可逆加密）。选项A属于去标识化的初步操作；选项B、D属于匿名化。

根据《加州消费者隐私法案》（CCPA），消费者的“删除权”不适用以下哪种情形？

A.企业需保留数据完成交易

B.数据已公开且来自合法公开渠道

C.企业为检测安全事件而保留数据

D.消费者主动提供数据用于产品开发

答案：B

解析：CCPA第1798.105条规定，若数据来自合法公开渠道且企业未进一步处理，则删除权不适用。选项A、C、D均属于允许保留的例外情形（如履行合同、安全维护、合法处理）。

跨境数据传输中，“标准合同条款”（SCCs）的法律依据是？

A.GDPR第44条“充分性认定”

B.GDPR第46条“适当保障措施”

C.CCPA第1798.185条“数据共享规则”

D.亚太经合组织（APEC）隐私框架

答案：B

解析：GDPR第46条规定，跨境传输可通过标准合同条款（SCCs）、绑定企业规则（BCRs）等“适当保障措施”实现。选项A是“充分性认定”（如欧盟对某些国家/地区的整体合规认可）；选项C、D不直接关联SCCs法律依据。

隐私政策的核心要素不包括？

A.数据处理的目的和期限

B.数据主体权利的行使方式

C.企业内部员工的绩效考核标准

D.数据共享的第三方信息

答案：C

解析：隐私政策需明确数据处理的目的、类型、共享方、存储期限、权利行使方式等（GDPR第13-14条）。选项C属于企业内部管理内容，与数据主体无关，无需在隐私政策中披露。

以下哪项不属于隐私管理体系（PIMS）的组成部分？

A.隐私政策与流程文档

B.员工隐私培训计划

C.产品开发的隐私合规审查

D.企业年度财务审计报告

答案：D

解析：PIMS是系统化管理隐私风险的框架，包括政策、流程、培训、合规审查等（ISO/IEC27701）。选项D属于财务审计，与隐私管理无直接关联。

当发生个人信息泄露事件时，数据控制者应首先采取的措施是？

A.立即通知监管机构

B.评估泄露的潜在风险

C.向媒体发布声明

D.对涉事员工进行处罚

答案：B

解析：GDPR第33条要求，泄露事件发生后应首先评估“对数据主体的风险”，若风险高则需在72小时内通知监管机构。选项A需在评估后进行；选项C、D属于后