2025年數(shù)據(jù)隱私合規(guī)師(DPO)考試題庫(附答案)一、單選題（每題1分，共30分。每題只有一個正確答案，請將正確選項字母填入括號內(nèi)）1.根據(jù)《個人信息保護(hù)法》第四十條，處理個人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者，應(yīng)當(dāng)（）。A.向省級公安機(jī)關(guān)備案B.指定個人信息保護(hù)負(fù)責(zé)人并公開其聯(lián)系方式C.每年開展一次網(wǎng)絡(luò)安全等級保護(hù)測評D.將數(shù)據(jù)庫存放在中國境內(nèi)且不得出境答案：B2.歐盟GDPR第6條規(guī)定的六大合法性基礎(chǔ)中，哪一項不能作為數(shù)據(jù)控制者“二次利用”已收集個人數(shù)據(jù)的直接依據(jù)？（）A.數(shù)據(jù)主體同意B.履行合同之必要C.控制者或第三方的合法利益D.法律義務(wù)之遵守答案：B3.中國《數(shù)據(jù)出境安全評估辦法》要求，出境數(shù)據(jù)累計達(dá)到（）條個人敏感信息的，必須申報安全評估。A.一萬B.五萬C.十萬D.五十萬答案：C4.在ISO/IEC27701:2019中，對“隱私影響分級”描述錯誤的是（）。A.需結(jié)合數(shù)據(jù)主體數(shù)量、敏感程度、處理規(guī)模綜合判定B.分級結(jié)果直接影響控制措施的選擇C.分級為“高”時必須實施雙重加密D.分級為“低”可豁免記錄處理活動答案：D5.當(dāng)發(fā)生個人信息泄露事件時，根據(jù)《個人信息保護(hù)法》第五十七條，處理者應(yīng)當(dāng)（）內(nèi)將事件基本情況告知受影響的個人信息主體。A.24小時B.3日C.7日D.15日答案：B6.GDPR下，數(shù)據(jù)保護(hù)官（DPO）的聯(lián)系方式必須（）。A.僅向監(jiān)管機(jī)構(gòu)備案B.在隱私政策中公開C.僅向員工內(nèi)部公示D.僅在發(fā)生泄露時公開答案：B7.中國《個人信息保護(hù)法》中，對“敏感個人信息”的界定不包括（）。A.個人行蹤軌跡B.14周歲以下未成年人的個人信息C.支付密碼D.網(wǎng)頁瀏覽記錄答案：D8.在跨境數(shù)據(jù)傳輸場景中，若采用“標(biāo)準(zhǔn)合同”機(jī)制，中國《個人信息出境標(biāo)準(zhǔn)合同辦法》要求合同生效后（）內(nèi)完成備案。A.5個工作日B.10個工作日C.15個工作日D.30個工作日答案：B9.根據(jù)GDPR第30條，記錄處理活動（RoPA）必須包含（）。A.數(shù)據(jù)主體國籍B.數(shù)據(jù)保留期限C.數(shù)據(jù)加密算法版本D.數(shù)據(jù)主體收入水平答案：B10.當(dāng)企業(yè)同時受GDPR與中國《個人信息保護(hù)法》管轄時，對“數(shù)據(jù)主體權(quán)利”響應(yīng)時限的正確做法是（）。A.以較長者為準(zhǔn)B.以較短者為準(zhǔn)C.分別適用各自法域D.由企業(yè)自行選擇答案：C11.在隱私工程設(shè)計中，“數(shù)據(jù)最小化”原則最直接的落地技術(shù)是（）。A.零知識證明B.同態(tài)加密C.差分隱私D.匿名化令牌答案：A12.根據(jù)《網(wǎng)絡(luò)安全審查辦法》，掌握（）以上個人信息的平臺運營者赴國外上市，必須申報網(wǎng)絡(luò)安全審查。A.100萬B.500萬C.1000萬D.5000萬答案：A13.GDPR下，對“數(shù)據(jù)可攜權(quán)”的適用范圍，下列哪項描述正確？（）A.僅適用于基于同意處理的數(shù)據(jù)B.適用于基于法律義務(wù)處理的數(shù)據(jù)C.適用于基于合法利益處理的數(shù)據(jù)D.適用于所有自動化處理的數(shù)據(jù)答案：A14.中國《個人信息保護(hù)法》規(guī)定，處理敏感個人信息應(yīng)取得數(shù)據(jù)主體的（）。A.明示同意B.書面同意C.單獨同意D.口頭同意答案：C15.在隱私影響評估（PIA）中，對“剩余風(fēng)險”的判定應(yīng)依據(jù)（）。A.風(fēng)險發(fā)生概率×影響程度B.控制措施成本÷風(fēng)險影響C.數(shù)據(jù)主體數(shù)量÷交易額D.監(jiān)管機(jī)構(gòu)罰款金額答案：A16.若企業(yè)采用“綁定企業(yè)規(guī)則（BCR）”作為跨境傳輸工具，GDPR要求BCR必須經(jīng)（）批準(zhǔn)。A.歐盟數(shù)據(jù)保護(hù)委員會（EDPB）B.成員國海關(guān)C.leadsupervisoryauthorityD.歐洲法院答案：C17.根據(jù)《個人信息保護(hù)法》第六十二條，國家網(wǎng)信部門可啟動“認(rèn)證”制度，對個人信息處理活動進(jìn)行（）。A.行政許可B.自愿性認(rèn)證C.強(qiáng)制性審批D.事后備案答案：B18.在差分隱私參數(shù)設(shè)置中，ε（epsilon）值越大，表示（）。A.隱私保護(hù)強(qiáng)度越高B.隱私保護(hù)強(qiáng)度越低C.查詢精度越低D.噪聲注入量越大答案：B19.對“數(shù)據(jù)匿名化”最嚴(yán)格的法律檢驗標(biāo)準(zhǔn)是（）。A.無法被任何主體識別B.無法被數(shù)據(jù)控制者識別C.無法被第三方識別D.無法被數(shù)據(jù)主體本人識別答案：A20.當(dāng)監(jiān)管機(jī)構(gòu)依據(jù)GDPR第83條處以罰款時，對“情節(jié)特別嚴(yán)重”的最高罰款上限為（）。A.1000萬歐元或全球營業(yè)額2%B.2000萬歐元或全球營業(yè)額4%C.3000萬歐元或全球營業(yè)額6%D.5000萬歐元或全球營業(yè)額10%答案：B21.中國《個人信息保護(hù)法》對“自動化決策”要求提供（）選項。A.僅說明用途B.拒絕僅自動化決策C.人工復(fù)核全部結(jié)果D.免費升級會員答案：B22.在隱私政策中，對“第三方SDK”的披露必須包括（）。A.SDK開發(fā)公司CEO姓名B.SDK收集的個人信息類型C.SDK服務(wù)器機(jī)柜位置D.SDK開源許可證答案：B23.GDPR下，數(shù)據(jù)控制者應(yīng)在收到數(shù)據(jù)主體訪問請求后（）內(nèi)提供信息。A.15天B.1個月C.2個月D.3個月答案：B24.若企業(yè)委托第三方處理個人信息，根據(jù)《個人信息保護(hù)法》第五十九條，委托方應(yīng)當(dāng)（）。A.對受托方進(jìn)行監(jiān)督B.將數(shù)據(jù)所有權(quán)轉(zhuǎn)移給受托方C.與受托方共享收益D.無需約定數(shù)據(jù)返還義務(wù)答案：A25.在跨境傳輸場景中，若使用“充分性認(rèn)定”機(jī)制，目前歐盟認(rèn)定具備充分性地位的國家/地區(qū)不包括（）。A.日本B.韓國C.印度D.加拿大答案：C26.對“人臉識別”技術(shù)的合規(guī)要求，中國《人臉識別技術(shù)應(yīng)用管理辦法（征求意見稿）》要求取得（）。A.明示同意B.單獨同意C.書面同意D.公證同意答案：B27.GDPR第35條規(guī)定的“數(shù)據(jù)保護(hù)影響評估（DPIA）”必須在處理活動（）完成。A.開始前B.開始后7日C.開始后30日D.首次收到投訴后答案：A28.在隱私計算場景中，聯(lián)邦學(xué)習(xí)的“梯度泄露”風(fēng)險可通過（）緩解。A.差分隱私噪聲B.提升學(xué)習(xí)率C.增加模型層數(shù)D.降低批大小答案：A29.中國《個人信息保護(hù)法》對“死者個人信息”的保護(hù)期限為（）。A.無期限B.近親屬行使權(quán)利期間C.三年D.五年答案：B30.當(dāng)發(fā)生跨境數(shù)據(jù)泄露，涉及歐盟居民個人信息時，企業(yè)應(yīng)首先通知（）。A.受影響用戶B.數(shù)據(jù)控制者所在國DPAC.歐洲數(shù)據(jù)保護(hù)專員公署D.歐洲議會答案：B二、多選題（每題2分，共20分。每題有兩個或兩個以上正確答案，多選、少選、錯選均不得分）31.以下哪些情形必須開展數(shù)據(jù)出境安全評估？（）A.出境數(shù)據(jù)含10萬人個人敏感信息B.出境數(shù)據(jù)含1萬人個人敏感信息且含生物識別信息C.出境數(shù)據(jù)含50萬人普通個人信息D.出境數(shù)據(jù)含1TB商業(yè)機(jī)密答案：A、B、C32.GDPR下，數(shù)據(jù)主體享有之權(quán)利包括（）。A.更正權(quán)B.限制處理權(quán)C.被遺忘權(quán)D.收益權(quán)答案：A、B、C33.在隱私影響評估中，需識別之“風(fēng)險源”包括（）。A.內(nèi)部員工濫用B.第三方API漏洞C.供應(yīng)鏈滲透D.數(shù)據(jù)主體遺忘密碼答案：A、B、C34.中國《個人信息保護(hù)法》規(guī)定的“告知同意”例外情形包括（）。A.突發(fā)公共衛(wèi)生事件中保護(hù)自然人生命健康B.新聞報道中已公開信息C.學(xué)術(shù)研究已去標(biāo)識化D.履行法定職責(zé)已公開信息答案：A、B、C、D35.以下哪些技術(shù)可用于“數(shù)據(jù)最小化”落地？（）A.屬性基加密B.零知識證明C.同態(tài)加密D.安全多方計算答案：A、B、D36.對“兒童個人信息”的特殊保護(hù)，中美歐三方共同要求包括（）。A.獲得監(jiān)護(hù)人同意B.建立專門的兒童隱私政策C.提供監(jiān)護(hù)人訪問權(quán)D.允許兒童隨時注銷賬戶答案：A、B、C37.在建立“記錄處理活動（RoPA）”時，必須記錄之內(nèi)容有（）。A.處理目的B.數(shù)據(jù)主體類別C.數(shù)據(jù)接收方類別D.數(shù)據(jù)保留期限答案：A、B、C、D38.GDPR第46條允許的“適當(dāng)保障措施”包括（）。A.標(biāo)準(zhǔn)合同條款B.綁定企業(yè)規(guī)則C.經(jīng)批準(zhǔn)的行為準(zhǔn)則D.口頭承諾答案：A、B、C39.對“算法透明度”之監(jiān)管要求，中國《互聯(lián)網(wǎng)信息服務(wù)算法推薦管理規(guī)定》要求披露（）。A.算法基本原理B.主要運行機(jī)制C.算法開發(fā)者收入D.用戶申訴渠道答案：A、B、D40.在開展“數(shù)據(jù)匿名化”評估時，需檢驗之“重識別風(fēng)險”包括（）。A.單點攻擊B.鏈接攻擊C.背景知識攻擊D.差分攻擊答案：A、B、C、D三、判斷題（每題1分，共10分。正確請?zhí)睢啊獭?，錯誤請?zhí)睢啊痢保?1.GDPR規(guī)定，員工人數(shù)少于250人的企業(yè)無需建立記錄處理活動。（）答案：×42.中國《個人信息保護(hù)法》適用于在中國境外處理中國境內(nèi)自然人個人信息的活動，只要以向境內(nèi)自然人提供產(chǎn)品或服務(wù)為目的。（）答案：√43.差分隱私技術(shù)可以完全消除重識別風(fēng)險。（）答案：×44.在BCR框架下，集團(tuán)內(nèi)數(shù)據(jù)進(jìn)口方可以進(jìn)一步將數(shù)據(jù)轉(zhuǎn)移給外部第三方，無需額外保障措施。（）答案：×45.中國《數(shù)據(jù)安全法》要求建立“數(shù)據(jù)分類分級保護(hù)制度”。（）答案：√46.GDPR下，數(shù)據(jù)可攜權(quán)適用于匿名數(shù)據(jù)。（）答案：×47.對“人臉識別”數(shù)據(jù)的收集，必須提供非人臉識別的替代方案。（）答案：√48.中國《個人信息保護(hù)法》規(guī)定，處理敏感個人信息必須事前進(jìn)行個人信息保護(hù)影響評估。（）答案：√49.在隱私政策中，企業(yè)可以“一攬子”列出所有第三方接收方，無需分別說明。（）答案：×50.若數(shù)據(jù)出境方通過認(rèn)證機(jī)構(gòu)獲得“個人信息保護(hù)認(rèn)證”，則無需再進(jìn)行安全評估。（）答案：×四、簡答題（每題10分，共30分）51.簡述中國《個人信息保護(hù)法》與歐盟GDPR在“敏感個人信息”處理合法性基礎(chǔ)方面的異同，并給出合規(guī)實務(wù)建議。答案：相同點：均要求明示、特定、知情之前提；均需告知處理目的、方式、范圍；均需采取更嚴(yán)格保護(hù)措施。差異：1.合法性基礎(chǔ)：GDPR無“單獨同意”概念，可在“重大公共利益”“勞動關(guān)系”等法定事由無需同意；中國法要求“單獨同意”且無“勞動關(guān)系”例外。2.告知要素：中國法要求告知“必要性”及“對個人權(quán)益影響”，GDPR無此強(qiáng)制表述。3.特殊類別：中國法將“14歲以下兒童信息”整體納入敏感；GDPR僅要求監(jiān)護(hù)人同意，未單列敏感。4.評估義務(wù)：中國法強(qiáng)制事前PIA；GDPR僅在“高風(fēng)險”場景需DPIA。實務(wù)建議：a.對14歲以下用戶，先取得監(jiān)護(hù)人“單獨同意”并留存音視頻證據(jù)；b.在App端采用“雙層同意”彈窗，第一層概述敏感類型，第二層勾選具體目的；c.建立“敏感信息清單+PIA模板”，每季度復(fù)審必要性；d.若同時服務(wù)歐盟用戶，需在同意之外補充“重大公共利益”等備選基礎(chǔ)，避免跨境場景失效。52.某跨國電商平臺擬將歐盟用戶訂單數(shù)據(jù)（含姓名、地址、支付金額）傳輸至中國境內(nèi)數(shù)據(jù)中心，請列出至少三種合規(guī)路徑，并比較其優(yōu)劣。答案：路徑一：標(biāo)準(zhǔn)合同條款（SCC）2021版優(yōu)：無需監(jiān)管機(jī)構(gòu)事前審批，落地快；缺：需逐例進(jìn)行TransferImpactAssessment（TIA），對中國法律訪問風(fēng)險需大量法律論證。路徑二：綁定企業(yè)規(guī)則（BCR）優(yōu)：集團(tuán)內(nèi)一次性批準(zhǔn)，后續(xù)靈活；缺：審批周期1218個月，成本高，需建立獨立申訴機(jī)制。路徑三：數(shù)據(jù)本地化+匿名化出境優(yōu)：規(guī)避跨境監(jiān)管；缺：匿名化導(dǎo)致精準(zhǔn)營銷受限，需重建推薦算法，技術(shù)投入大。路徑四：認(rèn)證機(jī)制（未來GDPR認(rèn)證或中國認(rèn)證互認(rèn)）優(yōu)：一次認(rèn)證多次使用；缺：目前無互認(rèn)細(xì)則，存在不確定性。推薦：短期采用SCC+TIA，同步啟動BCR申請，待認(rèn)證互認(rèn)細(xì)則出臺后再評估切換。53.請設(shè)計一套“人臉識別門禁系統(tǒng)”的隱私合規(guī)方案，涵蓋合法性、數(shù)據(jù)主體權(quán)利、技術(shù)與管理措施、跨境場景。答案：合法性：依據(jù)《人臉識別技術(shù)應(yīng)用管理辦法（征求意見稿）》取得員工“單獨同意”，提供IC卡替代方案，將“公共安全”作為備用基礎(chǔ)。告知：在門禁處設(shè)置顯著標(biāo)識+二維碼，告知處理目的、保存期限（離職后30天銷毀）、申訴渠道。數(shù)據(jù)主體權(quán)利：建立“人臉數(shù)據(jù)管理”小程序，支持員工隨時撤回、查看、刪除；設(shè)置24小時內(nèi)響應(yīng)機(jī)制。技術(shù)措施：采用國密SM4加密存儲；使用不可逆特征向量，原始照片即時刪除；差分隱私添加噪聲防止重放攻擊；門禁終端與服務(wù)器之間TLS1.3雙向認(rèn)證。管理措施：指定DPO，每半年進(jìn)行PIA；建立“人臉數(shù)據(jù)最小化”白名單，僅安保與HR可訪問；與第三方維保公司簽訂標(biāo)準(zhǔn)合同，禁止留存數(shù)據(jù)。跨境場景：服務(wù)器位于境內(nèi)，維保遠(yuǎn)程運維需通過VPN+堡壘機(jī)，運維日志留存三年；禁止境外運維人員下載任何生物特征數(shù)據(jù)。應(yīng)急：制定《生物特征泄露應(yīng)急預(yù)案》，一旦泄露，72小時內(nèi)向省級以上網(wǎng)信辦報告，同步為員工購買身份盜用保險。五、案例分析題（共10分）54.背景：A公司為中國本土SaaS服務(wù)商，2025年6月與德國B公司簽署合同，為B公司處理歐洲客戶售后數(shù)據(jù)（含客戶姓名、郵箱、故障照片）。A公司服務(wù)器位于寧夏，運維團(tuán)隊在西安。合同采用SCC2021版，A公司未進(jìn)行