2025年数据隐私保护认证测试标准知识考察试题及答案解析.docxVIP

2025年数据隐私保护认证测试标准知识考察试题及答案解析

数据隐私保护认证测试试题（2025版）

一、单项选择题（每题2分，共30分）

1.根据《个人信息保护法》（2023年修订），个人信息处理者向第三方提供个人信息时，以下哪项不是必须履行的义务？

A.向个人告知接收方的名称或姓名、联系方式、处理目的、处理方式

B.取得个人的单独同意

C.与接收方约定数据安全保护义务并监督其履行

D.对接收方的技术能力进行等级认证

2.以下哪项技术属于“隐私增强技术（PETs）”的典型应用？

A.基于哈希算法的用户密码存储

B.数据库防火墙

C.联邦学习（FederatedLearning）

D.日志审计系统

3.根据ISO/IEC27701:2024《隐私信息管理体系要求与指南》，隐私信息管理体系（PIMS）的核心要素不包括：

A.隐私政策与流程文件化

B.数据主体权利响应机制

C.数据泄露事件模拟演练

D.数据处理者的商业盈利指标

4.某医疗APP拟收集用户“病史记录”，根据《数据安全法》及《个人信息保护法》，其合法性基础应优先选择：

A.个人明确同意

B.履行法定职责或法定义务

C.为公共利益实施新闻报道

D.与个人有书面合同约定

5.关于“匿名化数据”与“去标识化数据”的区分，以下表述正确的是：

A.匿名化数据无法通过任何技术手段复原，去标识化数据可能通过关联其他信息复原

B.匿名化数据需经第三方机构认证，去标识化数据无需认证

C.两者均不属于个人信息，处理时无需告知用户

D.去标识化数据的处理需遵守《个人信息保护法》，匿名化数据不受该法约束

6.某电商平台计划将用户购物记录用于个性化推荐，根据“数据最小化原则”，以下哪项操作不符合要求？

A.仅收集用户近12个月的购物记录，而非全部历史数据

B.对用户姓名、地址等信息进行脱敏处理后再用于推荐

C.收集用户浏览过但未购买的商品类别，而非具体商品名称

D.同步收集用户社交平台关注的品牌信息以增强推荐准确性

7.根据《网络数据安全管理条例（征求意见稿2024）》，关键信息基础设施运营者处理10万人以上个人信息的，数据出境前应通过：

A.国家网信部门组织的安全评估

B.行业自律组织的合规认证

C.数据接收方所在国的法律审查

D.第三方机构的风险自测

8.隐私影响评估（PIA）的核心目标是：

A.计算数据处理活动的商业收益

B.识别数据处理过程中的隐私风险并提出控制措施

C.验证数据处理者的技术设备先进性

D.统计数据处理涉及的用户数量

9.以下哪种场景无需取得个人单独同意？

A.金融机构将客户征信信息提供给关联方用于风险评估

B.医疗机构向疾控中心报送传染病患者信息

C.社交平台将用户聊天记录用于AI内容审核

D.电商平台将用户收货地址共享给物流服务商

10.根据GDPR（通用数据保护条例）2025年修订案，数据控制者未在72小时内报告数据泄露事件的，最高可处以下哪项处罚？

A.2000万欧元或全球年营业额的2%（取较高者）

B.4000万欧元或全球年营业额的4%（取较高者）

C.1000万欧元或全球年营业额的1%（取较高者）

D.无固定金额，由监管机构酌情判定

11.某企业拟建立用户个人信息数据库，以下哪项措施不符合“访问控制”要求？

A.采用多因素认证（MFA）登录数据库

B.为不同岗位员工分配最小权限（如客服仅能查询用户基本信息）

C.数据库管理员可直接访问所有用户敏感信息

D.定期审查并撤销离职员工的系统访问权限

12.关于“隐私计算”的应用场景，以下表述错误的是：

A.银行与电商合作进行联合风控时，通过隐私计算实现“数据可用不可见”

B.医疗机构共享病例数据用于医学研究时，通过隐私计算保护患者个人信息

C.社交平台分析用户行为偏好时，通过隐私计算直接存储原始用户数据

D.政府部门跨部门数据协同治理时，通过隐私计算避免数据泄露风险

13.根据《儿童个人信息网络保护规定（2025修订）》，处理14周岁以下儿童个人信息的，需取得：

A.儿童本人同意

B.儿童监护人的单独同意

C.学校的书面确认

D.网信部门的备案许可

14.某公司因数据泄露导致用户银行卡信息被窃取，以下哪项不属于“事后补救措施”？

A.立即通知受影响用户修改银行卡密码

B.向监管部门提交泄露事件报告

C.