1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 资格/认证考试
  5. 质量管理体系认证

2025年隐私保护工程师(CIPT)考试题库(附答案和详细解析)(1216).docxVIP

  • 0
  • 0
  • 约7.53千字
  • 约 10页
  • 2026-01-09 发布于上海
  • 举报

2025年隐私保护工程师(CIPT)考试题库(附答案和详细解析)(1216).docx

    隐私保护工程师(CIPT)考试试卷

    一、单项选择题(共10题,每题1分,共10分)

    以下哪项是《通用数据保护条例》(GDPR)的核心原则?

    A.数据最小化原则

    B.数据无限保留原则

    C.企业绝对控制权原则

    D.用户无理由拒绝权原则

    答案:A

    解析:GDPR的核心原则包括合法、公平、透明,数据最小化,准确性,存储限制,完整性与保密性,责任共担。选项A正确;B违反存储限制原则,C违反用户权利原则,D表述不准确(用户拒绝权有限制条件)。

    根据CCPA(加州消费者隐私法案),用户对个人数据的“删除权”适用于以下哪种情况?

    A.用户主动要求删除其在社交媒体的历史评论

    B.企业因业务需要已将数据匿名化处理

    C.数据已提供给第三方且无法收回

    D.数据是企业正常经营必需的财务记录

    答案:A

    解析:CCPA规定用户有权要求企业删除其个人数据,除非数据用于完成交易、检测安全事件等合法用途(如D)。匿名化数据(B)、无法收回的第三方数据(C)不属于可删除范围。用户主动要求删除个人生成内容(A)符合规定。

    隐私影响评估(PIA)的首要步骤是?

    A.识别数据处理中的隐私风险

    B.确定数据处理活动的范围和目标

    C.评估现有隐私保护措施的有效性

    D.制定风险缓解方案

    答案:B

    解析:PIA的标准流程为:1.确定范围(明确处理目的、数据类型、涉及方等);2.识别风险;3.评估现有措施;4.制定缓解方案;5.记录与更新。因此首要步骤是B。

    以下哪种技术属于“匿名化”而非“脱敏”?

    A.对身份证号隐藏部分数字(如440101****1234)

    B.通过加密算法对用户手机号进行不可逆转换

    C.将用户姓名替换为随机生成的UUID

    D.对年龄字段进行分桶处理(如20-30岁)

    答案:C

    解析:匿名化要求数据无法通过合理手段重新识别自然人(如UUID无关联映射);脱敏(如A、D)仍可能通过关联其他数据识别。加密(B)属于脱敏(可解密恢复原始数据)。

    GDPR规定,数据泄露事件发生后,控制者需在多长时间内向监管机构报告?

    A.24小时内

    B.72小时内

    C.1周内

    D.无明确时限,需“及时”报告

    答案:B

    解析:GDPR第33条规定,若数据泄露可能对自然人权利造成高风险,控制者应在“知道泄露后72小时内”报告监管机构;无高风险则可延迟。

    以下哪项不属于隐私设计(PrivacybyDesign)的核心要求?

    A.默认隐私(PrivacybyDefault)

    B.主动保护(ProactivenotReactive)

    C.完全匿名(AbsoluteAnonymity)

    D.端到端安全(FullFunctionality)

    答案:C

    解析:隐私设计七项原则包括:主动保护、默认隐私、嵌入隐私、完全功能、透明公开、用户参与、责任共担。“完全匿名”不现实(多数场景需保留部分可识别性),因此C错误。

    根据中国《个人信息保护法》,处理敏感个人信息的合法性基础不包括?

    A.取得个人单独同意

    B.为公共利益实施新闻报道

    C.履行法定职责或义务

    D.个人自行公开的信息

    答案:D

    解析:《个人信息保护法》第29条规定,处理敏感个人信息需取得单独同意(A),或基于法定职责(C)、公共利益(B)等;个人自行公开的信息(D)不构成敏感信息处理的合法基础(仍需评估必要性)。

    跨境数据传输中,“标准合同条款(SCCs)”的法律效力适用于以下哪组地区?

    A.中国与欧盟

    B.欧盟与美国(替代隐私盾)

    C.美国与日本

    D.中国与新加坡

    答案:B

    解析:SCCs是欧盟认可的跨境传输机制,用于欧盟与非充分性保护国家(如美国)的数据传输(替代已失效的隐私盾)。中国目前主要通过数据出境安全评估等机制(A、D不适用)。

    隐私政策的核心内容不包括?

    A.个人信息的收集范围与方式

    B.数据存储的具体物理位置

    C.用户行使权利的途径

    D.数据共享的第三方信息

    答案:B

    解析:隐私政策需明确收集范围(A)、用户权利(C)、共享第三方(D)等,但无需披露数据存储的具体物理位置(如服务器机房地址),只需说明存储地点(如“中国境内”)。

    以下哪项是隐私合规审计的重点内容?

    A.企业年度财务报表

    B.数据泄露事件的响应记录

    C.员工绩效考核制度

    D.产品UI/UX设计文档

    答案:B

    解析:隐私合规审计需检查数据处理流程、用户权利响应、泄露事件记录(B)、PIA报告等;财务报表(A)、绩效考核(C)、UI设计(D)与隐私合规无直接关联。

    二、多项选择题(共10题,每题2分,共20分)

    GDPR规定的“数据控制者(Controller)”需履行的义务包括?

    A.制定并实施隐私政策

    B.任命数据保护官(DPO)(若符合法定条件)

    C.

    您可能关注的文档

    最近下载

    文档评论(0)

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >