1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 医药卫生
  5. 预防医学/卫生学

2026年隐私保护工程师(CIPT)考试题库(附答案和详细解析)(0117).docxVIP

  • 0
  • 0
  • 约9.06千字
  • 约 12页
  • 2026-02-17 发布于上海
  • 举报

2026年隐私保护工程师(CIPT)考试题库(附答案和详细解析)(0117).docx

    隐私保护工程师(CIPT)考试试卷

    一、单项选择题(共10题,每题1分,共10分)

    根据《通用数据保护条例》(GDPR),以下哪类主体的个人数据处理行为受GDPR约束?

    A.美国企业在加州处理欧盟公民数据(无欧盟实体)

    B.法国企业在巴黎处理本国公民数据

    C.中国企业通过官网向欧盟用户推送广告(无欧盟实体)

    D.德国企业在柏林处理非欧盟公民数据(仅用于内部统计)

    答案:B

    解析:GDPR的属地管辖范围包括:①在欧盟境内设立的实体处理个人数据(无论数据主体是否为欧盟公民);②非欧盟实体处理欧盟公民数据(当该处理与向欧盟提供商品/服务或监控欧盟境内行为相关)。选项B符合①;选项A无欧盟实体且未明确与欧盟服务相关;选项C虽面向欧盟用户,但需“提供商品/服务”才触发,仅推送广告可能不满足;选项D处理非欧盟公民数据且无欧盟外影响,不受约束。

    隐私设计(PrivacybyDesign)原则的核心目标是?

    A.事后补救数据泄露风险

    B.将隐私保护嵌入系统开发全周期

    C.仅在数据收集阶段设置隐私控制

    D.通过用户协议转移隐私责任

    答案:B

    解析:隐私设计(PbD)强调“隐私从设计开始”,要求在系统开发的规划、设计、实施阶段主动融入隐私保护措施(如默认隐私设置、最小化数据收集),而非事后补救(排除A)。其覆盖全生命周期(排除C),且责任不可转移(排除D)。

    数据主体依据GDPR行使“访问权”时,数据控制者应在多久内响应?

    A.7个工作日

    B.1个月

    C.2个月

    D.3个月

    答案:B

    解析:GDPR第12条规定,数据控制者应在收到请求后1个月内作出响应(可延长1个月,若请求复杂)。选项B正确,其他选项不符合法定时限。

    以下哪项属于“去标识化数据”而非“匿名化数据”?

    A.通过哈希算法处理的用户ID(无密钥)

    B.仅保留“年龄”和“性别”的统计数据(无法关联到个人)

    C.移除姓名但保留手机号段的用户数据(可通过其他信息复原)

    D.完全无法通过任何手段识别个人的加密数据

    答案:C

    解析:去标识化数据仍可能通过额外信息复原个人身份(如手机号段+外部数据库),而匿名化数据在合理技术手段下无法识别个人(GDPR第4条)。选项C符合去标识化特征;选项A、B、D属于匿名化。

    CCPA(加州消费者隐私法)规定的“数据删除权”适用于以下哪类数据?

    A.企业为履行合同必要收集的个人数据

    B.消费者主动提供的评论内容

    C.企业内部用于质量控制的日志数据

    D.已公开的政府登记信息

    答案:B

    解析:CCPA第1798.105条规定,删除权不适用于“履行合同必要”“法律要求保留”“公开的政府记录”等情形。选项B(消费者主动提供的评论)属于可删除范围;选项A、D为法定排除项;选项C为内部必要数据。

    隐私影响评估(PIA)的首要步骤是?

    A.识别数据处理的目的和范围

    B.评估数据泄露的潜在风险

    C.制定风险缓解措施

    D.记录评估结果并提交监管

    答案:A

    解析:PIA的标准流程为:①明确处理活动的目的、范围、数据类型及涉及方;②识别风险;③评估风险等级;④制定缓解措施;⑤记录并更新。选项A为首要步骤。

    以下哪项不属于“合法处理依据”(GDPR第6条)?

    A.数据主体明确同意

    B.履行法定义务

    C.数据控制者的商业利益

    D.公共卫生的重大利益

    答案:C

    解析:GDPR第6条规定的合法依据包括:同意、合同必要、法定义务、公共利益、数据主体重大利益、控制者/第三方合法利益(需平衡数据主体权益)。选项C表述不完整(未提及“平衡测试”),单独“商业利益”不构成合法依据。

    跨境数据传输中,“标准合同条款”(SCCs)的法律效力来源于?

    A.接收国立法认可

    B.欧盟委员会批准

    C.数据控制者与接收方约定

    D.联合国数据保护公约

    答案:B

    解析:SCCs是欧盟委员会制定的标准化合同模板(如2021年更新版本),经批准后可作为跨境传输的合法机制(GDPR第46条)。选项B正确,其他选项不符合法律渊源。

    数据最小化原则要求不包括?

    A.仅收集实现目的必要的数据

    B.存储时间不超过必要期限

    C.收集超出原目的的扩展数据(需重新评估)

    D.避免收集敏感个人信息(除非必要)

    答案:C

    解析:数据最小化原则要求“收集的数据应与处理目的相关、适当且必要”(GDPR第5条),超出原目的的扩展数据需重新评估必要性,因此“收集扩展数据”本身不违反原则,但需符合“必要”条件。选项C表述不构成“要求不包括”。

    以下哪类数据属于GDPR定义的“敏感个人数据”?

    A.电子邮箱地址

    B.政治观点

    C.消费记录

    D.设备MAC地址

    答案:B

    解析:GDPR第9条规定的敏感数据包括:种族、民族、政治观点、宗教信仰、工会成员、健康数据、性生活/性取

    您可能关注的文档

    最近下载

    文档评论(0)

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >