2026年隐私保护工程师（CIPT）考试题库（附答案和详细解析）（0105）.docxVIP

隐私保护工程师（CIPT）考试试卷

一、单项选择题（共10题，每题1分，共10分）

根据国际隐私专业协会（IAPP）的CIPT知识体系，以下哪项是隐私保护工程师的核心能力领域？

A.网络安全攻防、漏洞挖掘、渗透测试

B.法律与合规、隐私项目管理、技术与架构

C.数据可视化、商业智能、数据分析

D.区块链开发、智能合约、加密货币设计

答案：B

解析：CIPT（CertifiedInformationPrivacyTechnologist）的核心能力聚焦于隐私技术实现与管理，包括隐私法律框架（如GDPR、CCPA）、隐私项目全生命周期管理（如PIA、合规审计）、隐私技术架构设计（如匿名化、加密）。选项A为网络安全工程师能力，C为数据分析师能力，D为区块链开发者能力，均不符合CIPT核心领域。

以下哪项符合《通用数据保护条例》（GDPR）中“数据控制者”的定义？

A.仅执行数据处理指令的云服务器提供商

B.决定个人数据处理目的和方式的企业

C.接收并存储已处理数据的第三方平台

D.仅负责数据传输的通信服务运营商

答案：B

解析：GDPR第4条定义“数据控制者”为“单独或与他人共同决定个人数据处理目的和方式的自然人或法人”。选项A、C、D均属于“数据处理者”（执行控制者指令的主体），而非控制者。

隐私保护中“数据最小化原则”的核心要求是？

A.尽可能收集更多数据以覆盖潜在需求

B.仅收集与处理目的直接相关的必要数据

C.对所有数据进行加密存储

D.定期删除所有历史数据

答案：B

解析：数据最小化是GDPR第5条规定的核心原则之一，要求数据收集“限于实现处理目的所必要的、相关的且不过度的个人数据”（必要性、相关性、适当性）。选项A违背最小化原则，C是安全措施，D属于存储限制原则。

以下哪种场景无需获得用户“明确同意”即可处理个人数据？

A.医疗平台为患者提供紧急救治

B.电商平台向用户推送个性化广告

C.社交平台存储用户聊天记录

D.教育机构收集学生成绩用于学籍管理

答案：A

解析：GDPR第6条规定，“为履行医疗紧急任务”属于“公共利益或重大利益”的合法处理基础，无需用户同意。选项B需用户同意（个性化营销），C需同意或其他合法基础（如合同履行），D需同意或教育法授权。

根据《加州消费者隐私法案》（CCPA），用户对“销售个人数据”的拒绝权适用于以下哪类主体？

A.非营利性慈善机构

B.员工人数少于50人的小企业

C.年营收超2500万美元的商业实体

D.仅内部使用数据的教育机构

答案：C

解析：CCPA适用范围为“年营收超2500万美元、或每年从5万人以上处收集/销售个人数据的商业实体”。选项A、B、D属于豁免或不适用范围，无需提供拒绝销售权。

隐私影响评估（PIA）的主要目的是？

A.证明企业已获得用户全部同意

B.识别并降低个人数据处理中的隐私风险

C.计算数据泄露的经济损失

D.满足监管机构的形式化备案要求

答案：B

解析：PIA（GDPR第35条）要求对高风险数据处理活动进行系统性风险评估，核心目的是“识别、分析和最小化隐私风险”。选项A是同意管理的目标，C是风险量化的部分内容，D是合规结果而非核心目的。

以下哪项技术属于“匿名化”而非“去标识化”？

A.对用户姓名进行哈希处理（Hash）

B.移除身份证号中的出生年份段

C.将IP地址精确到城市级（如“北京市”）

D.通过k-匿名技术使数据无法关联到特定个体

答案：D

解析：匿名化是通过技术手段使数据“无法合理关联到特定自然人”（GDPR第4条），k-匿名通过确保至少k个个体具有相同标识符组合实现此目标。选项A、B、C属于去标识化（仍可能通过其他信息重新识别）。

跨境数据传输中，“约束性公司规则（BCRs）”的适用主体是？

A.不同国家的关联企业集团

B.任意两个商业合作伙伴

C.政府间数据共享项目

D.个人向境外传输数据

答案：A

解析：BCRs是经欧盟数据保护委员会（EDPB）批准的、适用于跨国企业集团内部数据传输的约束性规则，要求集团内所有实体遵守统一隐私标准。选项B适用标准合同条款（SCCs），C适用政府协议，D无特殊规则。

隐私管理框架（PMF）的核心要素不包括？

A.隐私政策与流程文档

B.隐私培训与意识提升

C.数据泄露应急响应计划

D.员工绩效考核体系

答案：D

解析：PMF（如IAPP推荐框架）包括政策制定、流程设计（如PIA、数据映射）、培训、监控与响应（如泄露管理）等。员工绩效考核属于人力资源管理，非隐私管理核心要素。

以下哪项符合“数据可移植权”的要求？

A.用户要求将社交平台数据迁移至竞争对手平台

B.企业要求用户提供其他平台的个人数据

C.用户要求删除存储在多个服务