1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 医药卫生
  5. 预防医学/卫生学

2026年隐私保护工程师(CIPT)考试题库(附答案和详细解析)(0109).docxVIP

  • 0
  • 0
  • 约8.51千字
  • 约 11页
  • 2026-02-09 发布于上海
  • 举报

2026年隐私保护工程师(CIPT)考试题库(附答案和详细解析)(0109).docx

    隐私保护工程师(CIPT)考试试卷

    一、单项选择题(共10题,每题1分,共10分)

    以下哪项是《通用数据保护条例》(GDPR)规定的“数据控制者”核心义务?

    A.确保数据处理符合用户的所有个性化需求

    B.在数据处理前进行隐私影响评估(PIA)

    C.对所有数据处理活动购买网络安全保险

    D.向数据主体提供数据处理的完整技术文档

    答案:B

    解析:GDPR第35条规定,当数据处理可能对数据主体权利造成高风险时,控制者必须进行隐私影响评估(PIA)。选项A错误,因GDPR要求“合法、公平、透明”处理,而非满足所有个性化需求;选项C错误,保险非强制义务;选项D错误,技术文档非必须向数据主体提供,需提供的是处理目的、类型等核心信息。

    根据《加州消费者隐私法案》(CCPA),消费者不享有以下哪项权利?

    A.要求企业删除其个人信息

    B.要求企业提供其个人信息的来源

    C.要求企业停止将其个人信息用于广告定向

    D.要求企业将其个人信息转移至第三方平台

    答案:D

    解析:CCPA规定消费者享有删除权(A)、信息来源知情权(B)、退出销售权(C),但“数据可携带权”仅在CCPA修正案(CPRA)中新增,原CCPA未明确(D错误)。

    隐私设计(PrivacybyDesign)的核心原则不包括?

    A.主动保护而非被动响应

    B.默认隐私保护(PrivacybyDefault)

    C.数据最小化(DataMinimization)

    D.完全匿名化所有处理数据

    答案:D

    解析:隐私设计七大原则包括主动保护、默认保护、数据最小化等,但“完全匿名化”非强制要求(部分场景需保留可识别性),因此D错误。

    以下哪类数据不属于GDPR定义的“敏感个人数据”?

    A.宗教信仰信息

    B.基因数据

    C.匿名化后的健康数据

    D.政治观点信息

    答案:C

    解析:GDPR第9条规定敏感数据包括种族、宗教、基因、健康、政治观点等,匿名化后的数据因无法识别自然人,不再受GDPR管辖(C错误)。

    跨境数据传输中,“充分性认定”(AdequacyDecision)指?

    A.数据接收方国家的隐私保护水平被欧盟认定为与欧盟等效

    B.数据控制者证明传输符合接收国法律

    C.数据主体明确同意跨境传输

    D.数据处理者通过ISO27001认证

    答案:A

    解析:欧盟“充分性认定”是指欧盟委员会对第三国/地区隐私保护水平的等效性认可(A正确)。B是“适当保障措施”(如标准合同条款)的要求,C是单独同意的场景,D与跨境传输无直接关联。

    隐私影响评估(PIA)的关键步骤不包括?

    A.识别数据处理活动的目的和范围

    B.评估数据泄露对企业声誉的影响

    C.分析数据主体权利可能受侵害的风险

    D.提出风险缓解措施

    答案:B

    解析:PIA核心是评估对数据主体权利的风险(如隐私侵害),而非企业声誉(B错误)。其他选项均为PIA标准步骤(ISO/IEC29134)。

    根据GDPR,儿童个人信息处理的“同意”需满足?

    A.13岁以下儿童需父母或监护人同意

    B.16岁以下儿童需父母或监护人同意(欧盟多数成员国)

    C.任何年龄儿童均可自行同意

    D.仅需儿童口头同意

    答案:B

    解析:GDPR第8条规定,儿童同意的年龄由成员国设定(默认16岁,允许降至13岁),需父母或监护人同意(B正确,A错误)。C、D违反“明确、书面或可记录”的同意要求。

    以下哪项是“数据脱敏”与“匿名化”的主要区别?

    A.脱敏后数据仍可能被重新识别,匿名化后不可识别

    B.脱敏仅适用于结构化数据,匿名化适用于非结构化数据

    C.脱敏是法律要求,匿名化是技术手段

    D.脱敏需数据主体同意,匿名化无需

    答案:A

    解析:脱敏(如部分遮盖)可能通过关联其他数据重新识别,匿名化(如加密哈希)理论上不可识别(A正确)。B、C、D均混淆概念,两者均为技术手段,无法律强制区分。

    企业隐私政策(PrivacyPolicy)必须包含的信息不包括?

    A.数据处理的具体技术算法

    B.数据保留的时间范围

    C.数据共享的第三方信息

    D.数据主体权利的行使方式

    答案:A

    解析:GDPR第13条要求隐私政策需包含处理目的、数据类型、保留期限、共享方、权利行使方式等,但无需披露具体技术算法(A错误)。

    以下哪项属于“隐私管理体系(PIMS)”的核心要素?

    A.定期进行员工隐私培训

    B.购买数据泄露保险

    C.选择云服务提供商的品牌知名度

    D.每季度更换数据加密算法

    答案:A

    解析:PIMS(ISO/IEC27701)强调流程化管理,包括培训、风险评估、政策制定等(A正确)。B、C、D为具体措施,非体系核心要素。

    二、多项选择题(共10题,每题2分,共20分)

    GDPR适用的场景包括?

    A.欧盟境内企业处理欧盟居民个人

    您可能关注的文档

    最近下载

    文档评论(0)

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >