2026年隐私保护工程师（CIPT）考试题库（附答案和详细解析）（0118）.docxVIP

隐私保护工程师（CIPT）考试试卷

一、单项选择题（共10题，每题1分，共10分）

根据GDPR，数据控制者与数据处理者的核心区别是？

A.数据控制者决定数据处理目的和方式，处理者仅按控制者指令处理

B.数据控制者对数据安全负全责，处理者无责任

C.数据控制者需公开隐私政策，处理者无需公开

D.数据控制者是企业，处理者是第三方服务商

答案：A

解析：GDPR第4条明确，数据控制者（Controller）是“决定个人数据处理目的和方式的自然人或法人”，数据处理者（Processor）是“代表控制者处理个人数据的自然人或法人”。B错误，处理者需按合同履行安全义务；C错误，处理者可能需配合控制者公开信息；D错误，控制者和处理者均可为企业或个人。

以下哪项属于“敏感个人信息”？

A.普通企业员工的姓名

B.医疗健康数据

C.电商平台的用户收货地址

D.社交媒体的公开昵称

答案：B

解析：根据《个人信息保护法》第28条，敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等。A、C、D为普通个人信息，不涉及高风险场景。

隐私设计（PrivacybyDesign）的核心目标是？

A.在数据处理完成后补救隐私问题

B.在系统设计阶段嵌入隐私保护措施

C.通过技术手段完全消除隐私风险

D.仅满足法律最低合规要求

答案：B

解析：隐私设计原则强调“预防优于补救”，要求在系统开发的早期阶段（如设计、研发环节）融入隐私保护措施（如默认隐私设置、数据最小化）。A是事后补救，违背原则；C错误，隐私风险无法完全消除；D错误，需主动超越最低要求。

数据匿名化（Anonymization）与去标识化（De-identification）的根本区别是？

A.匿名化后数据无法复原，去标识化可能通过关联复原

B.匿名化需技术手段，去标识化仅需删除标识符

C.匿名化适用于所有数据，去标识化仅适用于个人信息

D.匿名化是法律概念，去标识化是技术概念

答案：A

解析：匿名化通过技术手段使数据无法识别特定自然人（如差分隐私），且无合理可能复原；去标识化仅删除直接标识符（如姓名、ID），但可能通过其他信息（如生日+邮编）关联复原。B错误，两者均需技术；C错误，均适用于个人信息；D错误，两者均为技术+法律概念。

根据CCPA（加州消费者隐私法），消费者的“删除权”适用于？

A.所有企业收集的个人信息

B.仅企业从消费者处直接收集的信息

C.企业为提供服务必需的信息

D.企业从第三方购买的个人信息

答案：D

解析：CCPA规定，消费者有权要求企业删除其收集的个人信息（包括从第三方获取的信息），但企业可基于合法利益（如完成交易）拒绝。A错误，存在例外；B错误，范围不限于直接收集；C错误，必需信息可能被豁免。

隐私影响评估（PIA）的触发条件通常不包括？

A.涉及敏感个人信息的大规模处理

B.采用新型技术（如人脸识别）

C.数据处理目的明确且风险较低

D.跨境数据传输至低隐私保护水平地区

答案：C

解析：PIA的核心是评估高风险数据处理活动。GDPR第35条规定，当处理可能对个人权利造成高风险（如大规模敏感信息处理、新型技术、跨境传输至低保护地区）时需开展PIA。C属于低风险场景，无需强制评估。

数据主体的“访问权”要求企业提供的信息不包括？

A.个人信息的存储地点

B.个人信息的处理目的

C.个人信息的共享对象

D.企业的商业盈利数据

答案：D

解析：GDPR第15条规定，数据主体有权获取其个人信息的处理目的、类别、共享对象、存储期限等信息，但企业的商业盈利数据（与个人信息无关）无需提供。A、B、C均为法定需提供内容。

以下哪项符合“数据最小化原则”？

A.电商平台收集用户身份证号用于注册

B.医疗APP仅收集姓名和病症信息用于诊断

C.社交平台收集用户通讯录用于推荐好友

D.银行收集用户婚姻状况用于贷款审核

答案：B

解析：数据最小化要求收集的个人信息“限于实现处理目的的必要范围”。B中医疗APP仅收集诊断必需的姓名和病症，符合原则；A注册无需身份证号；C推荐好友非必须收集通讯录；D婚姻状况与贷款审核无直接关联。

跨境数据传输中，“标准合同条款（SCCs）”的法律效力来自？

A.接收国的国内法

B.输出国与接收国的双边协议

C.数据输出国监管机构的认可

D.国际组织（如欧盟）的统一模板

答案：D

解析：SCCs是欧盟委员会制定的标准合同模板（如2021年更新的EUSCCs），经数据输出国（如欧盟成员国）监管机构认可后，可作为跨境传输的合规机制。A错误，接收国需遵守合同；B错误，非双边协议；C错误，需输出国认可模板。

隐私政策（PrivacyPolicy）的核心要求是？

A.语