2026年数据保护官认证考试GDPR相关

2026年数据保护官认证考试GDPR相关一、单项选择题（共10题，每题2分，合计20分）题目：1.根据GDPR第6条，个人数据处理的法律基础不包括以下哪项？A.明确同意B.合同履行必要C.保护数据主体重大利益D.数据控制者单方面利益2.以下哪种情况下，数据主体有权要求数据控制者删除其个人数据？A.数据已被合法处理B.数据被用于自动化决策且涉及合法利益C.数据处理违反GDPR规定D.数据已被共享给第三方3.GDPR中“特殊类别个人数据”不包括以下哪项？A.政治观点B.宗教信仰C.财务账户信息D.生物识别数据4.数据保护影响评估（DPIA）通常适用于以下哪种场景？A.小规模数据收集B.处理敏感个人数据C.使用匿名化数据D.自动化决策5.以下哪项不属于GDPR规定的数据主体权利？A.访问权B.删除权（被遗忘权）C.拒绝权D.转移权（仅限特定情况）6.GDPR对跨国数据传输有哪些要求？A.无需任何条件B.必须获得欧盟委员会批准C.需满足充分性认定或保障措施D.仅适用于欧盟境内传输7.以下哪种职位通常负责监督GDPR合规性？A.数据分析师B.数据保护官（DPO）C.法律顾问D.系统管理员8.GDPR第17条主要保护数据主体的哪项权利？A.限制处理权B.更正权C.删除权D.限制自动化决策权9.以下哪种情况下，数据处理活动可能被视为“监管或执法活动”？A.营销活动B.职务犯罪调查C.内部员工管理D.社交媒体分析10.GDPR对数据泄露的通报要求是什么？A.24小时内通报监管机构B.72小时内通报监管机构C.7天内通报监管机构D.无需通报二、多项选择题（共5题，每题3分，合计15分）题目：1.GDPR中，哪些情况属于“合法利益”例外（第6条第2款f项）？A.维护数据控制者合法权益B.保护数据主体生命安全C.维护公共利益D.进行市场调研2.数据控制者需履行的GDPR义务包括哪些？A.制定数据保护政策B.实施数据安全措施C.定期进行合规审计D.任命数据保护官3.GDPR对“自动化决策”（第22条）有哪些限制？A.不得仅基于自动化决策对个人做出法律或类似重大影响B.必须提供人工干预或申诉机制C.仅适用于非敏感数据D.必须满足合法性和透明度要求4.以下哪些行为属于“数据泄露”的情形？A.敏感数据被未经授权访问B.数据被意外删除但可恢复C.数据被用于非法目的D.数据被泄露给媒体5.GDPR对“数据保护影响评估”（DPIA）的要求包括哪些？A.必须在处理前进行B.需评估对基本权利的影响C.必须记录评估结果D.仅适用于高风险处理活动三、判断题（共10题，每题1分，合计10分）题目：1.GDPR适用于所有处理欧盟公民个人数据的组织，无论其所在地。（√/×）2.数据保护官（DPO）必须具有法律或技术背景。（√/×）3.GDPR允许在数据主体明确同意的情况下无限期处理其数据。（√/×）4.敏感个人数据在任何情况下都禁止处理。（√/×）5.数据控制者必须证明其处理活动具有“合法性”（第6条）。（√/×）6.GDPR对“合法利益”例外（第6条第2款f项）设有优先级限制。（√/×）7.数据主体有权要求限制或阻止对其数据的处理。（√/×）8.跨国数据传输必须获得数据主体同意。（√/×）9.GDPR对数据泄露的通报仅适用于监管机构。（√/×）10.GDPR允许使用“假名化”数据替代“匿名化”数据。（√/×）四、简答题（共5题，每题4分，合计20分）题目：1.简述GDPR中“数据保护官（DPO）”的职责。2.列举GDPR规定的三种“合法处理基础”。3.解释什么是“数据泄露通知”（第33条）及其时限要求。4.说明GDPR对“自动化决策”（第22条）的限制条件。5.描述GDPR中“充分性认定”的概念及其作用。五、案例分析题（共2题，每题10分，合计20分）题目：1.场景：某跨国电商公司在中国运营，其处理欧盟消费者的个人数据用于个性化推荐。数据包括姓名、地址、购物历史，部分涉及宗教信仰。公司未任命DPO，也未进行数据保护影响评估。问题：分析该公司是否违反GDPR？若违反，请指出具体条款及整改建议。2.场景：某政府机构在执法过程中收集了公民的监控录像，随后发现部分录像未经授权被泄露给媒体。机构称这是“执法活动”，无需通报数据主体或监管机构。问题：分析该机构的说法是否成立？请依据GDPR条款说明理由。答案与解析一、单项选择题答案与解析1.D-GDPR第6条允许合法处理基础包括：同意、合同履行、法律义务、保护重大利益、公共利益、合法利益。选项D“数据控制者单方面利益”不属于合法基础。2.C-GDPR第17条（被遗忘权）规定，数据主体有权要求删除数据，前提是处理违反GDPR（如未经同意处理）。其他选项均不符合完全删除的条件。3.C-特殊类别个人数据包括：种族、宗教、政治观点、工会成员、生物识别、基因、健康、性取向等。财务账户信息属于一般个人数据。4.B-DPIA适用于可能对个人权利产生高风险的处理活动，如大规模敏感数据收集、自动化决策等。选项A、C、D均不符合典型DPIA适用场景。5.D-GDPR赋予数据主体的权利包括：访问权、删除权、限制处理权、更正权、反对自动化决策权、数据可携带权等。选项D“转移权”仅适用于特定情况（如数据主体要求转移）。6.C-跨国传输需满足：欧盟委员会批准的充分性认定，或采用标准合同条款（SCCs）、行为准则等保障措施。选项A、B、D均不准确。7.B-DPO是GDPR合规的核心角色，负责监督数据处理活动、提供建议、与监管机构沟通等。其他选项均非DPO职责。8.C-第17条是“被遗忘权”，允许数据主体要求删除其个人数据。其他选项分别对应第18条（更正权）、第21条（限制自动化决策权）。9.B-监管或执法活动（第9条第2款g项）包括刑事调查、法院命令等。其他选项均不属于此类活动。10.B-GDPR第33条要求在发现数据泄露后72小时内通报监管机构（除非无法确定或影响较小）。二、多项选择题答案与解析1.A、C、D-合法利益例外（第6条第2款f项）需满足：不与数据主体基本权利冲突、有合法理由、有适当保障措施。选项B属于“重大利益”例外（第6条第1款d项）。2.A、B、C-数据控制者义务包括：制定政策、实施数据安全（如加密）、定期审计。选项D“任命DPO”并非强制义务（除非特定情况）。3.A、B、D-自动化决策（第22条）限制包括：不得仅基于自动化决策做出法律或重大影响决定，需提供人工干预或申诉机制，需满足合法性和透明度。选项C“仅适用于非敏感数据”错误，敏感数据也需限制。4.A、C、D-数据泄露包括：未经授权访问、非法使用、意外泄露。选项B“可恢复删除”不属于泄露。5.A、B、C、D-DPIA要求包括：处理前进行、评估高风险影响、记录结果、适用于特定场景。所有选项均正确。三、判断题答案与解析1.√-GDPR具有域外效力，适用于处理欧盟公民数据的组织，无论其所在地。2.√-GDPR第37条要求DPO具备法律或技术背景及经验。3.×-明确同意必须特定、知情、不可撤销，且GDPR通常要求更严格的处理基础（如合同）。4.×-敏感数据可在特定条件下处理（如同意、公共利益）。5.√-合法性是GDPR处理数据的首要原则（第6条）。6.√-合法利益需与基本权利平衡，不得优先。7.√-第18条赋予数据主体限制或阻止处理的权利。8.×-跨国传输需满足充分性认定或保障措施，而非简单同意。9.×-数据泄露不仅需通报监管机构，还需通知受影响的数据主体（若可能）。10.√-假名化（去除直接识别信息）可降低处理风险，匿名化（无法逆向识别）则完全合规。四、简答题答案与解析1.DPO职责：-监督合规性、提供建议、与监管机构沟通、培训员工、记录处理活动、协助数据主体行使权利。2.合法处理基础：-明确同意、合同履行、法律义务、保护重大利益、公共利益、合法利益。3.数据泄露通知：-第33条要求72小时内通报监管机构，除非无法确定身份或影响较小。需通知数据主体（若可能）。4.自动化决策限制：-不得仅基于自动化决策做出法律或重大影响决定，需提供人工干预或申诉机制，需透明（说明逻辑、后果）。5.充分性认定：-指欧盟委员会认定的非欧盟国家具备同等数据保护水平，允许数据自由传输。作用是简化跨国数据流动。五、案例分析题答案与解析1.违反GDPR：-