1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 资格/认证考试
  5. 质量管理体系认证

2025年隐私保护工程师(CIPT)考试题库(附答案和详细解析)(1207).docxVIP

  • 1
  • 0
  • 约7.89千字
  • 约 11页
  • 2026-03-14 发布于上海
  • 举报

2025年隐私保护工程师(CIPT)考试题库(附答案和详细解析)(1207).docx

    隐私保护工程师(CIPT)考试试卷

    一、单项选择题(共10题,每题1分,共10分)

    根据GDPR,以下哪类主体的个人信息处理活动受其约束?

    A.仅欧盟成员国公民的个人信息

    B.在欧盟境内设立的企业处理个人信息的活动

    C.非欧盟企业处理非欧盟居民的个人信息

    D.仅涉及欧盟政府机构的个人信息处理

    答案:B

    解析:GDPR的适用范围包括两类:①在欧盟境内设立的实体处理个人信息的活动;②非欧盟实体向欧盟境内的数据主体提供商品/服务,或监控其行为的活动(无论是否在欧盟设立)。选项A错误,因GDPR保护所有在欧盟境内的数据主体(包括非欧盟公民);选项C错误,非欧盟企业若向欧盟提供服务则受约束;选项D错误,适用范围不限于政府机构。

    隐私影响评估(PIA/DPIA)的核心目的是?

    A.确保数据处理活动符合行业惯例

    B.识别并降低个人信息处理中的隐私风险

    C.替代数据安全技术措施

    D.满足数据主体的访问请求

    答案:B

    解析:PIA的核心目标是系统性评估个人信息处理活动可能对数据主体隐私造成的风险,并提出缓解措施(GDPR第35条)。选项A错误,行业惯例非核心;选项C错误,PIA是管理流程,不能替代技术措施;选项D错误,数据主体权利实现是PIA的部分输出而非目的。

    以下哪项属于“匿名化”技术?

    A.对姓名进行哈希处理(可通过密钥还原)

    B.将身份证号中的出生年月替换为“****”

    C.对数据集应用k-匿名算法(无法通过其他信息重新识别)

    D.对手机号进行脱敏(如138****1234)

    答案:C

    解析:匿名化是指通过技术手段使个人信息无法被识别且不能复原(ISO/IEC29100)。选项A、D属于去标识化(可通过关联信息还原);选项B是部分脱敏,仍可能结合其他信息识别;选项C通过k-匿名确保无法重新识别,属于匿名化。

    根据CCPA,消费者对“数据销售”的拒绝权适用于?

    A.所有个人信息类型

    B.仅财务信息

    C.仅未成年人信息

    D.仅用于广告定向的个人信息

    答案:A

    解析:CCPA规定消费者有权拒绝企业销售其个人信息(“销售”定义为向第三方提供以换取对价),适用于所有个人信息类型(除非法律豁免)。选项B、C、D缩小了适用范围,错误。

    隐私管理中“数据最小化原则”要求不包括?

    A.仅收集与处理目的直接相关的数据

    B.收集数量尽可能少

    C.存储期限尽可能短

    D.对所有数据进行加密

    答案:D

    解析:数据最小化原则关注数据的“范围”和“数量”(ISO/IEC27001),包括收集目的明确、仅收集必要数据、限制存储期限等。加密是安全技术措施,属于“完整性与保密性”原则,与数据最小化无关(选项D错误)。

    以下哪项是有效“同意”的必要条件?

    A.同意可通过默认勾选复选框获得

    B.同意需具体、明确且自愿

    C.同意不可撤回

    D.儿童的同意仅需本人确认

    答案:B

    解析:GDPR规定有效同意需满足“自由、具体、知情、明确”(第7条),且可随时撤回。选项A错误(默认勾选非自愿);选项C错误(同意可撤回);选项D错误(儿童需父母或监护人同意)。

    跨境数据传输中,“标准合同条款(SCCs)”的法律依据是?

    A.GDPR第44条(跨境传输的合法性基础)

    B.CCPA第1798.185条(数据共享规则)

    C.ISO/IEC27701(隐私信息管理体系)

    D.中国《个人信息保护法》第38条(跨境传输条件)

    答案:A

    解析:GDPR第44-49条规定了跨境传输的合法性基础,其中标准合同条款(SCCs)是欧盟委员会认可的机制之一(第46条)。选项B是CCPA关于数据销售的规定;选项C是隐私管理体系标准;选项D是中国法规定的跨境传输条件(如安全评估、认证等)。

    隐私保护中“责任原则”要求企业?

    A.仅需在发生泄露后承担责任

    B.证明其个人信息处理活动符合法规要求

    C.由CEO个人承担所有隐私责任

    D.无需记录处理活动细节

    答案:B

    解析:GDPR第24条“责任原则”要求企业通过文档、措施和验证机制证明合规(“有责任证明合规”)。选项A错误(需事前合规);选项C错误(责任归企业,非个人);选项D错误(需记录处理活动(第30条))。

    以下哪项不属于数据主体的“访问权”范围?

    A.要求企业提供其个人信息的副本

    B.了解个人信息的处理目的和类型

    C.要求企业删除其个人信息

    D.知悉个人信息的共享对象

    答案:C

    解析:访问权(GDPR第15条)包括获取个人信息副本、处理目的/类型、共享对象等信息;删除权是独立权利(第17条)。选项C属于删除权,非访问权范围。

    隐私培训的核心目标是?

    A.仅确保技术人员掌握加密技术

    B.提升全体员工的隐私合规意识与操作能力

    C.满足监管部门的形式要求

    D.仅针对管理层进行法规解读

    您可能关注的文档

    最近下载

    文档评论(0)

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >