2025年数据隐私合规师(DPO)考试题库(附答案)

2025年数据隐私合规师(DPO)考试题库(附答案)一、单选题（每题1分，共30分。每题只有一个正确答案，请将正确选项字母填入括号内）1.根据《个人信息保护法》第四十条，处理个人信息达到国家网信部门规定数量的个人信息处理者，应当（）。A.向省级公安机关备案B.指定个人信息保护负责人并公开其联系方式C.每年开展一次网络安全等级保护测评D.将数据库存放在中国境内且不得出境答案：B2.欧盟GDPR第6条规定的六大合法性基础中，哪一项不能作为数据控制者“二次利用”已收集个人数据的直接依据？（）A.数据主体同意B.履行合同之必要C.控制者或第三方的合法利益D.法律义务之遵守答案：B3.中国《数据出境安全评估办法》要求，出境数据累计达到（）条个人敏感信息的，必须申报安全评估。A.一万B.五万C.十万D.五十万答案：C4.在ISO/IEC27701:2019中，对“隐私影响分级”描述错误的是（）。A.需结合数据主体数量、敏感程度、处理规模综合判定B.分级结果直接影响控制措施的选择C.分级为“高”时必须实施双重加密D.分级为“低”可豁免记录处理活动答案：D5.当发生个人信息泄露事件时，根据《个人信息保护法》第五十七条，处理者应当（）内将事件基本情况告知受影响的个人信息主体。A.24小时B.3日C.7日D.15日答案：B6.GDPR下，数据保护官（DPO）的联系方式必须（）。A.仅向监管机构备案B.在隐私政策中公开C.仅向员工内部公示D.仅在发生泄露时公开答案：B7.中国《个人信息保护法》中，对“敏感个人信息”的界定不包括（）。A.个人行踪轨迹B.14周岁以下未成年人的个人信息C.支付密码D.网页浏览记录答案：D8.在跨境数据传输场景中，若采用“标准合同”机制，中国《个人信息出境标准合同办法》要求合同生效后（）内完成备案。A.5个工作日B.10个工作日C.15个工作日D.30个工作日答案：B9.根据GDPR第30条，记录处理活动（RoPA）必须包含（）。A.数据主体国籍B.数据保留期限C.数据加密算法版本D.数据主体收入水平答案：B10.当企业同时受GDPR与中国《个人信息保护法》管辖时，对“数据主体权利”响应时限的正确做法是（）。A.以较长者为准B.以较短者为准C.分别适用各自法域D.由企业自行选择答案：C11.在隐私工程设计中，“数据最小化”原则最直接的落地技术是（）。A.零知识证明B.同态加密C.差分隐私D.匿名化令牌答案：A12.根据《网络安全审查办法》，掌握（）以上个人信息的平台运营者赴国外上市，必须申报网络安全审查。A.100万B.500万C.1000万D.5000万答案：A13.GDPR下，对“数据可携权”的适用范围，下列哪项描述正确？（）A.仅适用于基于同意处理的数据B.适用于基于法律义务处理的数据C.适用于基于合法利益处理的数据D.适用于所有自动化处理的数据答案：A14.中国《个人信息保护法》规定，处理敏感个人信息应取得数据主体的（）。A.明示同意B.书面同意C.单独同意D.口头同意答案：C15.在隐私影响评估（PIA）中，对“剩余风险”的判定应依据（）。A.风险发生概率×影响程度B.控制措施成本÷风险影响C.数据主体数量÷交易额D.监管机构罚款金额答案：A16.若企业采用“绑定企业规则（BCR）”作为跨境传输工具，GDPR要求BCR必须经（）批准。A.欧盟数据保护委员会（EDPB）B.成员国海关C.leadsupervisoryauthorityD.欧洲法院答案：C17.根据《个人信息保护法》第六十二条，国家网信部门可启动“认证”制度，对个人信息处理活动进行（）。A.行政许可B.自愿性认证C.强制性审批D.事后备案答案：B18.在差分隐私参数设置中，ε（epsilon）值越大，表示（）。A.隐私保护强度越高B.隐私保护强度越低C.查询精度越低D.噪声注入量越大答案：B19.对“数据匿名化”最严格的法律检验标准是（）。A.无法被任何主体识别B.无法被数据控制者识别C.无法被第三方识别D.无法被数据主体本人识别答案：A20.当监管机构依据GDPR第83条处以罚款时，对“情节特别严重”的最高罚款上限为（）。A.1000万欧元或全球营业额2%B.2000万欧元或全球营业额4%C.3000万欧元或全球营业额6%D.5000万欧元或全球营业额10%答案：B21.中国《个人信息保护法》对“自动化决策”要求提供（）选项。A.仅说明用途B.拒绝仅自动化决策C.人工复核全部结果D.免费升级会员答案：B22.在隐私政策中，对“第三方SDK”的披露必须包括（）。A.SDK开发公司CEO姓名B.SDK收集的个人信息类型C.SDK服务器机柜位置D.SDK开源许可证答案：B23.GDPR下，数据控制者应在收到数据主体访问请求后（）内提供信息。A.15天B.1个月C.2个月D.3个月答案：B24.若企业委托第三方处理个人信息，根据《个人信息保护法》第五十九条，委托方应当（）。A.对受托方进行监督B.将数据所有权转移给受托方C.与受托方共享收益D.无需约定数据返还义务答案：A25.在跨境传输场景中，若使用“充分性认定”机制，目前欧盟认定具备充分性地位的国家/地区不包括（）。A.日本B.韩国C.印度D.加拿大答案：C26.对“人脸识别”技术的合规要求，中国《人脸识别技术应用管理办法（征求意见稿）》要求取得（）。A.明示同意B.单独同意C.书面同意D.公证同意答案：B27.GDPR第35条规定的“数据保护影响评估（DPIA）”必须在处理活动（）完成。A.开始前B.开始后7日C.开始后30日D.首次收到投诉后答案：A28.在隐私计算场景中，联邦学习的“梯度泄露”风险可通过（）缓解。A.差分隐私噪声B.提升学习率C.增加模型层数D.降低批大小答案：A29.中国《个人信息保护法》对“死者个人信息”的保护期限为（）。A.无期限B.近亲属行使权利期间C.三年D.五年答案：B30.当发生跨境数据泄露，涉及欧盟居民个人信息时，企业应首先通知（）。A.受影响用户B.数据控制者所在国DPAC.欧洲数据保护专员公署D.欧洲议会答案：B二、多选题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）31.以下哪些情形必须开展数据出境安全评估？（）A.出境数据含10万人个人敏感信息B.出境数据含1万人个人敏感信息且含生物识别信息C.出境数据含50万人普通个人信息D.出境数据含1TB商业机密答案：A、B、C32.GDPR下，数据主体享有之权利包括（）。A.更正权B.限制处理权C.被遗忘权D.收益权答案：A、B、C33.在隐私影响评估中，需识别之“风险源”包括（）。A.内部员工滥用B.第三方API漏洞C.供应链渗透D.数据主体遗忘密码答案：A、B、C34.中国《个人信息保护法》规定的“告知同意”例外情形包括（）。A.突发公共卫生事件中保护自然人生命健康B.新闻报道中已公开信息C.学术研究已去标识化D.履行法定职责已公开信息答案：A、B、C、D35.以下哪些技术可用于“数据最小化”落地？（）A.属性基加密B.零知识证明C.同态加密D.安全多方计算答案：A、B、D36.对“儿童个人信息”的特殊保护，中美欧三方共同要求包括（）。A.获得监护人同意B.建立专门的儿童隐私政策C.提供监护人访问权D.允许儿童随时注销账户答案：A、B、C37.在建立“记录处理活动（RoPA）”时，必须记录之内容有（）。A.处理目的B.数据主体类别C.数据接收方类别D.数据保留期限答案：A、B、C、D38.GDPR第46条允许的“适当保障措施”包括（）。A.标准合同条款B.绑定企业规则C.经批准的行为准则D.口头承诺答案：A、B、C39.对“算法透明度”之监管要求，中国《互联网信息服务算法推荐管理规定》要求披露（）。A.算法基本原理B.主要运行机制C.算法开发者收入D.用户申诉渠道答案：A、B、D40.在开展“数据匿名化”评估时，需检验之“重识别风险”包括（）。A.单点攻击B.链接攻击C.背景知识攻击D.差分攻击答案：A、B、C、D三、判断题（每题1分，共10分。正确请填“√”，错误请填“×”）41.GDPR规定，员工人数少于250人的企业无需建立记录处理活动。（）答案：×42.中国《个人信息保护法》适用于在中国境外处理中国境内自然人个人信息的活动，只要以向境内自然人提供产品或服务为目的。（）答案：√43.差分隐私技术可以完全消除重识别风险。（）答案：×44.在BCR框架下，集团内数据进口方可以进一步将数据转移给外部第三方，无需额外保障措施。（）答案：×45.中国《数据安全法》要求建立“数据分类分级保护制度”。（）答案：√46.GDPR下，数据可携权适用于匿名数据。（）答案：×47.对“人脸识别”数据的收集，必须提供非人脸识别的替代方案。（）答案：√48.中国《个人信息保护法》规定，处理敏感个人信息必须事前进行个人信息保护影响评估。（）答案：√49.在隐私政策中，企业可以“一揽子”列出所有第三方接收方，无需分别说明。（）答案：×50.若数据出境方通过认证机构获得“个人信息保护认证”，则无需再进行安全评估。（）答案：×四、简答题（每题10分，共30分）51.简述中国《个人信息保护法》与欧盟GDPR在“敏感个人信息”处理合法性基础方面的异同，并给出合规实务建议。答案：相同点：均要求明示、特定、知情之前提；均需告知处理目的、方式、范围；均需采取更严格保护措施。差异：1.合法性基础：GDPR无“单独同意”概念，可在“重大公共利益”“劳动关系”等法定事由无需同意；中国法要求“单独同意”且无“劳动关系”例外。2.告知要素：中国法要求告知“必要性”及“对个人权益影响”，GDPR无此强制表述。3.特殊类别：中国法将“14岁以下儿童信息”整体纳入敏感；GDPR仅要求监护人同意，未单列敏感。4.评估义务：中国法强制事前PIA；GDPR仅在“高风险”场景需DPIA。实务建议：a.对14岁以下用户，先取得监护人“单独同意”并留存音视频证据；b.在App端采用“双层同意”弹窗，第一层概述敏感类型，第二层勾选具体目的；c.建立“敏感信息清单+PIA模板”，每季度复审必要性；d.若同时服务欧盟用户，需在同意之外补充“重大公共利益”等备选基础，避免跨境场景失效。52.某跨国电商平台拟将欧盟用户订单数据（含姓名、地址、支付金额）传输至中国境内数据中心，请列出至少三种合规路径，并比较其优劣。答案：路径一：标准合同条款（SCC）2021版优：无需监管机构事前审批，落地快；缺：需逐例进行TransferImpactAssessment（TIA），对中国法律访问风险需大量法律论证。路径二：绑定企业规则（BCR）优：集团内一次性批准，后续灵活；缺：审批周期1218个月，成本高，需建立独立申诉机制。路径三：数据本地化+匿名化出境优：规避跨境监管；缺：匿名化导致精准营销受限，需重建推荐算法，技术投入大。路径四：认证机制（未来GDPR认证或中国认证互认）优：一次认证多次使用；缺：目前无互认细则，存在不确定性。推荐：短期采用SCC+TIA，同步启动BCR申请，待认证互认细则出台后再评估切换。53.请设计一套“人脸识别门禁系统”的隐私合规方案，涵盖合法性、数据主体权利、技术与管理措施、跨境场景。答案：合法性：依据《人脸识别技术应用管理办法（征求意见稿）》取得员工“单独同意”，提供IC卡替代方案，将“公共安全”作为备用基础。告知：在门禁处设置显著标识+二维码，告知处理目的、保存期限（离职后30天销毁）、申诉渠道。数据主体权利：建立“人脸数据管理”小程序，支持员工随时撤回、查看、删除；设置24小时内响应机制。技术措施：采用国密SM4加密存储；使用不可逆特征向量，原始照片即时删除；差分隐私添加噪声防止重放攻击；门禁终端与服务器之间TLS1.3双向认证。管理措施：指定DPO，每半年进行PIA；建立“人脸数据最小化”白名单，仅安保与HR可访问；与第三方维保公司签订标准合同，禁止留存数据。跨境场景：服务器位于境内，维保远程运维需通过VPN+堡垒机，运维日志留存三年；禁止境外运维人员下载任何生物特征数据。应急：制定《生物特征泄露应急预案》，一旦泄露，72小时内向省级以上网信办报告，同步为员工购买身份盗用保险。五、案例分析题（共10分）54.背景：A公司为中国本土SaaS服务商，2025年6月与德国B公司签署合同，为B公司处理欧洲客户售后数据（含客户姓名、邮箱、故障照片）。A公司服务器位于宁夏，运维团队在西安。合同采用SCC2021版，A公司未进行