2026年隐私保护工程师（CIPT）考试题库（附答案和详细解析）（0103）.docxVIP

隐私保护工程师（CIPT）考试试卷

一、单项选择题（共10题，每题1分，共10分）

根据《通用数据保护条例》（GDPR），以下哪类主体必须遵守GDPR的规定？

A.仅欧盟境内注册的企业

B.处理欧盟居民个人数据的非欧盟企业

C.仅处理欧盟企业数据的非欧盟组织

D.所有全球500强企业

答案：B

解析：GDPR的地域适用范围不仅限于欧盟境内的实体，还包括“虽设立在欧盟境外，但处理欧盟境内数据主体个人数据”的主体（GDPR第3条）。选项A错误，因非欧盟企业若处理欧盟居民数据也需遵守；选项C错误，因“欧盟企业数据”不等同于“欧盟居民个人数据”；选项D错误，与企业规模无关。

隐私设计（PrivacybyDesign）的核心原则不包括以下哪项？

A.全程嵌入（ProactivenotReactive）

B.默认隐私（PrivacyastheDefaultSetting）

C.数据最大化（DataMaximization）

D.端到端安全（FullFunctionality–Positive-Sum）

答案：C

解析：隐私设计的七大核心原则包括全程嵌入、默认隐私、隐私即默认、端到端安全等，而“数据最大化”与“数据最小化原则”直接冲突（OECD隐私准则）。选项C是干扰项。

隐私影响评估（PIA）的触发条件通常是？

A.所有个人数据处理活动

B.高风险的个人数据处理活动

C.仅涉及儿童个人数据的处理

D.数据处理量超过10万条的活动

答案：B

解析：GDPR第35条规定，PIA适用于“可能对数据主体权利和自由造成高风险”的处理活动（如大规模自动化决策、敏感数据处理等）。选项A错误，低风险活动无需PIA；选项C、D是具体场景而非触发条件。

根据《加州消费者隐私法案》（CCPA），消费者不享有以下哪项权利？

A.要求企业删除其个人数据

B.要求企业提供其个人数据的披露接收方

C.要求企业不得将其个人数据用于广告定向

D.要求企业赔偿因数据泄露导致的精神损失

答案：D

解析：CCPA规定消费者享有访问、删除、数据端口可携带、选择退出数据销售等权利，但未规定精神损失赔偿（仅允许实际损害赔偿）。选项D是干扰项。

以下哪项技术属于“匿名化”而非“去标识化”？

A.对姓名进行哈希处理（Hashing）

B.对身份证号进行部分隐藏（如“440106****1234”）

C.应用k-匿名技术使数据无法关联到特定个体

D.移除直接标识符（如姓名、电话）但保留间接标识符（如年龄、邮编）

答案：C

解析：匿名化是通过技术手段使数据“在合理努力下无法识别特定个体”（GDPR第4条），k-匿名通过泛化或抑制确保数据无法关联到个人，属于匿名化；去标识化仅移除直接标识符，但可能通过间接标识符重新识别（如选项D）。选项A、B属于去标识化。

跨境数据传输中，“充分性认定（AdequacyDecision）”指？

A.数据接收方国家被欧盟认定为具有“充分保护水平”

B.数据控制者与接收方签订标准合同条款（SCCs）

C.数据接收方加入约束性公司规则（BCRs）

D.数据控制者通过行业自律机制确保保护水平

答案：A

解析：“充分性认定”是欧盟委员会对第三国/地区数据保护水平的官方认可（如2021年对韩国的认定），属于GDPR第45条规定的合法传输机制。选项B、C是其他合法机制，选项D非法定机制。

以下哪项不符合“有效同意”的要求？

A.同意通过勾选框单独提出，与其他服务条款分离

B.同意内容明确说明数据处理目的、类型和接收方

C.未成年人的同意需经监护人确认（符合COPPA）

D.以“注册即同意”作为用户使用服务的必要条件

答案：D

解析：GDPR要求同意需“自由、具体、知情、明确”，“注册即同意”将同意与服务使用绑定，属于“非自由同意”（GDPR第7条）。选项A、B、C符合同意有效性要求。

隐私政策中无需包含以下哪类信息？

A.个人数据的收集类型（如姓名、位置）

B.数据处理的具体技术算法（如推荐算法代码）

C.数据共享的第三方接收方及共享目的

D.数据主体行使权利的方式（如联系邮箱）

答案：B

解析：隐私政策需公开“处理目的、数据类型、共享方、权利行使方式”等（GDPR第13条），但无需披露技术细节（如算法代码），否则可能泄露商业秘密。选项B非必要内容。

企业隐私培训的重点对象不包括？

A.人力资源部门（负责员工数据管理）

B.市场营销部门（负责客户数据营销）

C.IT部门（负责系统数据存储）

D.外部法律顾问（仅提供合规咨询）

答案：D

解析：隐私培训需覆盖所有可能接触个人数据的员工（如HR、市场、IT），外部顾问是支持角色，非企业内部重点培训对象。选项D错误。

ISO/IEC