2025年隐私保护工程师（CIPT）考试题库（附答案和详细解析）（1225）.docxVIP

隐私保护工程师（CIPT）考试试卷

一、单项选择题（共10题，每题1分，共10分）

依据GDPR规定，以下哪类主体必须履行数据保护义务？

A.仅向欧盟用户提供免费信息查询服务的中国网站（未在欧盟设立实体）

B.总部位于德国，处理全球员工数据的跨国企业

C.仅处理非欧盟居民数据且服务器位于日本的科技公司

D.偶尔向欧盟用户推送广告的美国社交媒体（年营收低于2000万欧元）

答案：B

解析：GDPR第3条规定，若主体在欧盟境内设立实体，或虽未设立实体但处理欧盟居民数据以提供商品/服务（无论是否收费），或监控欧盟居民行为，则适用GDPR。选项B总部在欧盟，必然适用；选项A未设立实体且仅提供免费服务（非“为提供商品/服务”），不强制适用；选项C不涉及欧盟居民数据；选项D年营收低于2000万欧元且非“大规模”处理特殊类别数据，可不适用。

隐私设计（PrivacybyDesign）的核心目标是？

A.事后补救数据泄露风险

B.在系统开发阶段嵌入隐私保护措施

C.仅符合最低合规要求

D.依赖用户主动选择隐私设置

答案：B

解析：隐私设计（PbD）的七项原则强调“预防优于补救”“隐私嵌入设计”，要求在系统开发初期（而非事后）将隐私保护作为核心功能，而非仅满足最低合规或依赖用户操作。选项B正确，其他选项违背PbD核心理念。

根据CCPA，加州消费者的“删除权”不适用于以下哪类数据？

A.为完成订单收集的地址信息

B.企业内部质量控制记录的客服对话

C.依法需保留的税务凭证

D.用户主动发布在公开论坛的评论

答案：C

解析：CCPA第1798.105条规定，若数据因法律要求（如税务、审计）需保留，则企业可拒绝删除请求。选项C符合“法律保留”例外；其他选项均属于用户可要求删除的个人信息范围。

以下哪项属于“去标识化”（De-identification）技术？

A.对姓名进行哈希加密（Hash）

B.用“X先生”替代具体姓名

C.通过k-匿名化处理使数据无法关联到个体

D.销毁原始数据存储介质

答案：C

解析：去标识化是通过技术手段使数据无法直接或间接识别特定自然人，k-匿名化（确保至少k个个体数据无法区分）是典型技术。选项A哈希加密可通过彩虹表破解，仍可能关联到个体；选项B“X先生”可能结合其他信息识别；选项D属于数据销毁，非去标识化。

隐私影响评估（PIA）的启动时机通常是？

A.数据泄露事件发生后

B.新系统上线运行3个月后

C.数据处理活动设计阶段

D.收到监管机构整改通知时

答案：C

解析：ISO/IEC29134规定，PIA应在数据处理活动（如系统开发、业务流程设计）的早期阶段启动，以预防隐私风险。其他选项均为事后补救，不符合PIA“预防为主”的要求。

GDPR中“数据控制者”（Controller）的核心责任是？

A.按照控制者指令处理数据

B.制定数据处理的目的和方式

C.保障数据传输的技术安全

D.响应数据主体的访问请求

答案：B

解析：GDPR第4(7)条定义，数据控制者是“决定个人数据处理目的和方式”的主体。选项B正确；选项A是数据处理者（Processor）的责任；选项C、D是控制者与处理者可能共同承担的义务，但非核心。

以下哪项不属于“敏感个人信息”（GDPR第9条）？

A.宗教信仰

B.生物识别数据

C.电话号码

D.健康状况

答案：C

解析：GDPR第9条明确敏感个人信息包括种族、宗教、健康、生物识别等涉及隐私核心的信息；电话号码属于普通个人信息（可识别但不涉及敏感领域）。

跨境数据传输中，“标准合同条款”（SCCs）的法律效力来自？

A.数据接收国立法

B.欧盟委员会认可

C.双方企业自愿签订

D.国际法院裁决

答案：B

解析：GDPR第46条规定，经欧盟委员会认可的标准合同条款（SCCs）是跨境传输的合法机制之一，其效力源于欧盟官方认证，而非仅企业约定。

隐私管理体系（PIMS）的核心框架通常基于？

A.ISO/IEC27001

B.ISO/IEC27701

C.NISTSP800-53

D.PCIDSS

答案：B

解析：ISO/IEC27701是专门针对隐私管理体系的国际标准，融合了ISO/IEC27001（信息安全）和ISO/IEC29100（隐私框架）的要求，是PIMS的核心依据。

数据主体“反对权”（RighttoObject）在GDPR中主要适用于？

A.基于公共利益的数据处理

B.直接营销活动

C.履行合同必需的处理

D.法律要求的处理

答案：B

解析：GDPR第21条规定，数据主体可基于自身情况反对基于“合法利益”或“直接营销”的处理活动（公共利益、合同履行、法律要求的处理除外）。选项B正确。

二