2025年隐私保护工程师（CIPT）考试题库（附答案和详细解析）（1224）.docxVIP

隐私保护工程师（CIPT）考试试卷

一、单项选择题（共10题，每题1分，共10分）

根据GDPR，以下哪类主体必须任命数据保护官（DPO）？

A.年营业额500万欧元的零售企业

B.以公共管理为主要活动的政府机构

C.仅通过自动化处理实现内部人事管理的中小企业

D.处理非欧盟公民个人数据的境外企业

答案：B

解析：GDPR第37条规定，以下主体必须任命DPO：（1）以公共管理为主要活动的主体（如政府机构）；（2）核心活动涉及大规模系统性监控个人数据的主体；（3）核心活动涉及大规模处理特殊类别个人数据（如健康数据）的主体。选项B符合“公共管理”要求；A（营业额非强制条件）、C（非大规模监控）、D（不涉及欧盟境内处理）均不符合。

隐私影响评估（PIA）的核心目的是？

A.证明企业已通过ISO27001认证

B.识别并降低个人数据处理中的隐私风险

C.替代数据保护官（DPO）的职责

D.满足数据主体的访问权请求

答案：B

解析：PIA是通过系统性分析，识别数据处理活动中可能对个人隐私造成的风险（如数据泄露、歧视性处理），并提出缓解措施的过程（GDPR第35条）。A（认证无关）、C（PIA是DPO的职责之一而非替代）、D（访问权是数据主体权利，与PIA无关）均错误。

以下哪项属于CCPA（加州消费者隐私法案）规定的消费者权利？

A.要求企业停止收集其生物识别数据

B.要求企业更正所有不准确的个人数据

C.要求企业提供三年内向第三方出售个人数据的接收方名单

D.要求企业删除已匿名化处理的个人数据

答案：C

解析：CCPA第1798.100条规定，消费者有权要求企业披露“过去12个月内出售或披露个人数据的类别及接收方”（选项C正确）。A（生物识别数据受CPRA特别保护，但CCPA未明确“停止收集权”）、B（CCPA规定“更正权”但限于“不准确”数据，非“所有”）、D（匿名化数据不属于CCPA定义的“个人数据”，无法要求删除）错误。

隐私设计（PrivacybyDesign）的“默认隐私”原则指？

A.数据处理默认需经数据主体明示同意

B.系统默认设置为保护隐私的最高级别

C.隐私条款默认包含所有可能的免责声明

D.数据保留策略默认设置为永久存储

答案：B

解析：“默认隐私”原则要求系统在无用户主动设置时，自动采用隐私保护的最高配置（如默认关闭位置追踪、最小化数据收集）。A（同意是合法性基础之一，非默认隐私核心）、C（免责声明与隐私设计无关）、D（永久存储违反数据最小化）均错误。

根据ISO/IEC29100隐私框架，“隐私策略”的核心内容不包括？

A.个人数据处理的目的

B.数据主体权利的行使方式

C.数据泄露后的赔偿金额

D.个人数据的保留期限

答案：C

解析：ISO/IEC29100要求隐私策略需包含处理目的、数据类型、保留期限、权利行使方式、跨境传输等，但不强制规定“赔偿金额”（属于法律责任条款，由具体法规约束）。C错误。

以下哪项技术属于“匿名化”而非“去标识化”？

A.对姓名进行哈希处理（Hash）

B.对身份证号进行部分脱敏（如隐藏中间四位）

C.通过k-匿名技术确保数据组内至少k个个体无法区分

D.删除所有直接标识符（如姓名、手机号）

答案：C

解析：匿名化是通过技术手段使个人数据无法被识别或关联到特定自然人（即使结合其他信息），k-匿名技术通过泛化或抑制数据，确保无法通过外部信息重新识别（C正确）。去标识化仅移除直接标识符（D）或简单脱敏（B），可能通过关联其他数据重新识别；哈希处理（A）可能被反向破解，仍属于去标识化。

以下哪类数据不属于GDPR定义的“特殊类别个人数据”？

A.宗教信仰

B.遗传数据

C.政治观点

D.电话号码

答案：D

解析：GDPR第9条规定的特殊类别数据包括：种族或民族出身、政治观点、宗教或哲学信仰、工会成员身份、遗传数据、生物识别数据、健康数据、性生活或性取向。电话号码属于普通个人数据（D错误）。

数据控制者（Controller）与数据处理者（Processor）的核心区别是？

A.控制者需任命DPO，处理者不需要

B.控制者决定数据处理目的和方式，处理者仅按控制者指示处理

C.控制者对数据泄露负全责，处理者无责任

D.控制者需公开隐私政策，处理者不需要

答案：B

解析：GDPR第4条定义，控制者是“决定个人数据处理目的和方式的实体”，处理者是“代表控制者处理个人数据的实体”（B正确）。A（处理者在特定情况下也需任命DPO）、C（处理者可能因过失承担连带责任）、D（处理者可能需在隐私政策中披露）均错误。

根据《个人信息保护法》（中国），以下哪项不属于个人信息处理者的“告知义务”内容？

A.个人信息的处理方式

B.个人