2025年隐私保护工程师（CIPT）考试题库（附答案和详细解析）（1221）.docxVIP

隐私保护工程师（CIPT）考试试卷

一、单项选择题（共10题，每题1分，共10分）

根据《通用数据保护条例》（GDPR），以下哪项属于“个人数据”的定义范畴？

A.匿名化处理后无法关联到特定自然人的信息

B.已公开的企业工商登记信息（如注册资本）

C.与已识别自然人直接关联的电话号码

D.统计报告中不包含任何标识符的人口分布数据

答案：C

解析：GDPR第4条定义“个人数据”为可直接或间接识别自然人的信息（如姓名、电话号码）。选项A错误，匿名化数据无法识别自然人，不属于个人数据；选项B错误，企业信息非“自然人”信息；选项D错误，无标识符的统计数据不可识别特定自然人。

隐私设计（PrivacybyDesign）的核心原则不包括以下哪项？

A.主动保护而非被动响应

B.全生命周期的隐私保护

C.默认隐私（PrivacybyDefault）

D.数据收集最大化

答案：D

解析：隐私设计的7大核心原则包括主动保护、全生命周期保护、默认隐私等，而“数据收集最大化”违背“数据最小化”原则，是隐私设计明确反对的。

根据CCPA（加州消费者隐私法案），消费者的“删除权”适用于以下哪类数据？

A.企业为完成交易必需的订单信息

B.消费者主动提供的健康咨询记录

C.企业内部用于质量控制的客服对话录音

D.已提供给第三方用于广告定向的用户标签

答案：B

解析：CCPA规定消费者可要求删除其个人数据，但企业为履行合同、法律义务或内部合法用途（如质量控制、完成交易）的必要数据可豁免。选项B是消费者主动提供的个人数据，无豁免情形；选项A、C属于合同或内部必要用途；选项D属于第三方已接收数据，需额外通知第三方删除。

以下哪项是隐私影响评估（PIA/DPIA）的核心目标？

A.证明数据处理活动符合行业最佳实践

B.识别并降低数据处理中的隐私风险

C.记录数据处理流程的技术细节

D.向监管机构申请数据处理许可

答案：B

解析：PIA的核心目标是通过系统性评估，识别数据处理活动中的隐私风险（如数据泄露、过度收集），并制定缓解措施，确保隐私保护与数据利用的平衡。其他选项均非核心目标。

欧盟《数字服务法》（DSA）对“大型在线平台”的隐私保护要求中，不包括以下哪项？

A.公开广告算法的基本逻辑

B.允许用户关闭基于个人数据的定向广告

C.为儿童提供更严格的隐私默认设置

D.强制删除用户6个月未使用的账号

答案：D

解析：DSA要求大型平台公开算法逻辑、允许用户关闭定向广告、强化儿童隐私保护，但未强制规定账号删除期限。账号删除通常由GDPR等其他法规调整。

以下哪项场景符合“合法处理个人数据”的GDPR“同意”要件？

A.用户勾选“同意隐私政策”才能注册社交平台

B.医院在患者手术前要求签署包含数据使用条款的知情同意书

C.电商平台将“同意接收营销短信”设为注册默认选项（可取消勾选）

D.银行在开户时仅口头告知数据用途，未提供书面同意选项

答案：B

解析：GDPR要求同意需自愿、明确、可撤回、与具体用途绑定。选项A属于“捆绑同意”（不同意则无法使用核心功能），不合法；选项C默认勾选违反“主动同意”要求；选项D未提供书面形式（或可记录的形式），不符合“明确”要求；选项B是医疗场景中与具体医疗行为绑定的必要同意，合法。

以下哪类主体不属于GDPR规定的“数据控制者”？

A.决定用户画像算法规则的电商平台

B.仅按指令处理客户信息的第三方支付机构

C.制定员工考勤数据收集范围的企业HR部门

D.自主设计用户问卷并分析结果的市场调研公司

答案：B

解析：数据控制者是“决定个人数据处理目的和方式”的主体，而数据处理者是“按控制者指令处理数据”的主体。选项B的第三方支付机构仅执行指令，属于数据处理者；其他选项均自主决定处理目的或方式，属于控制者。

根据《个人信息保护法》（中国），以下哪项不属于“敏感个人信息”？

A.15周岁未成年人的兴趣爱好数据

B.某用户的宗教信仰信息

C.企业高管的行踪轨迹数据

D.患者的基因检测结果

答案：A

解析：《个人信息保护法》第28条规定敏感个人信息包括生物识别、宗教信仰、特定身份（如未成年人）、医疗健康、金融账户、行踪轨迹等。选项A中“15周岁未成年人”属于“特定身份”，但其“兴趣爱好”非敏感信息本身；若收集的是“未成年人个人信息”，需特殊保护，但兴趣爱好本身不必然敏感。

隐私增强技术（PETs）中，“差分隐私”的核心机制是？

A.对原始数据添加可控噪声，确保个体数据不可识别

B.通过加密算法保护数据传输过程的机密性

C.使用联邦学习在本地训练模型，避免数据集中

D.建立访问控制列表限制数据查看权限

答案：A

解析：差分隐私通过向数据集添加噪声（如随机扰动），使得单个