参加注册信息隐私专业人员 CIPP-E 模拟题考试，取得惊人成绩 [Q88-Q106]

8 月 30, 2023 CIPP-E, IAPP 0 评论

参加注册信息隐私专业人员 CIPP-E 模拟考试，取得惊人成绩 [Q88-Q106]

4.5/5 - (4 选票)

参加注册信息隐私专业人员 CIPP-E 模拟考试，取得惊人成绩

IAPP CIPP-E 考试试卷是获得高分的必要条件

问题 88
GDPR 要求控制者向数据主体提供有关其数据处理的详细信息。如果控制者直接从数据主体处获取数据，在法律上无需提供以下哪项信息？

收件人或收件人类别。

有关个人资料的类别。

访问权、删除权、限制权和可移植性。

向监管机构投诉的权利。

问题 89
情景
请用下面的文字回答下一个问题：
Jason 是 ABC 保险公司的长期客户，几个月前他遭遇了一场小车祸。
虽然没有人受伤，但杰森一直被一家名为 Erbium Insurance 的公司的短信和电话所困扰，该公司表示可以帮助他获得人身伤害赔偿。杰森听说过保险公司向第三方出售客户资料的事情，他相信 Erbium 一定是从 ABC 公司那里得到了他的信息。
Jason 还收到了 ABC 公司越来越多的营销信息，试图向他推销他们的全套保险政策。
Jason 对此感到不安，他开始在互联网上寻找比价网站，并震惊地发现其他保险公司的费率比 ABC 便宜得多，尽管他已经是这家公司多年的忠实客户。当 ABC 保险公司的保单到期续保时，他决定转投 Xentron 保险公司。
为了激活他的新保险单，Jason 需要向 Xentron 提供有关他的无索赔奖金、车辆和驾驶历史的信息。在研究了 GDPR 赋予他的权利后，他写信要求 ABC 将他的信息直接转给 Xentron。他还借此机会要求 ABC 停止将其个人资料用于营销目的。
ABC 公司向 Jason 提供了 PDF 和 XML（可扩展标记语言）版本的无索赔证明，但告诉 Jason 由于技术上不可行，无法将其数据直接传输给 Xentron 公司。ABC 公司还解释说，杰森的合同中包含一项条款，规定杰森同意将其数据用于营销目的；据 ABC 公司称，杰森现在改变主意为时已晚。当杰森回忆起合同的措辞时，他感到非常愤怒，因为合同中充斥着法律术语，非常令人困惑。
在此期间，杰森仍然接到 Erbium 保险公司的骚扰电话。他写信给 Erbium，询问向他们提供他的详细资料的机构名称。他警告 Erbium，他计划向数据保护机构投诉，因为他认为他们公司非法使用了他的数据。他在信中表示，他不希望他们以任何方式使用他的数据。
Erbium 公司的复函证实了 Jason 的猜测。Erbium 是 ABC 的全资子公司，他们在 Jason 提交事故索赔后不久就从 ABC 收到了 Jason 的事故信息。
Erbium 公司向 Jason 保证没有违反 GDPR，因为 Jason 的合同中包含一条规定，即他同意出于商业目的与 ABC 的附属公司共享他的信息。
杰森对美国广播公司对待他的方式非常反感，他写信给他们，坚持要求从计算机系统中删除他的所有信息。
哪项陈述准确概括了 ABC 公司对 Jason 的数据可移植性请求应承担的义务？

如果向 Xentron 转移 Jason 的数据在技术上不可行，ABC 没有义务这样做。

ABC 公司不必将 Jason 的数据传输给 Xentron 公司，因为数据可移植权不适用于为执行公共利益任务而处理个人数据的情况。

ABC 公司没有履行将 Jason 的数据转移给 Xentron 公司的义务，因为该义务适用于以自动化手段处理个人数据的情况，并且是履行与客户的合同所必需的。

ABC 公司没有履行将 Jason 的数据传输给 Xentron 公司的义务，因为它有义务开发通用的、机器可读的和可互操作的格式，以便应要求将所有客户数据传输给其他保险公司。

问题 90
数据控制者任命了一名数据保护官。以下哪种情况不会导致违反 GDPR 第 37 至 39 条？

如果数据保护官未获得 ISO 27001 审核员认证。

如果数据处理者提供了数据保护官。

如果数据保护官也管理营销预算。

如果数据保护官收到数据控制者的指示。

问题 91
以下哪项是监督机构的调查权之一？

通知控制者或处理者涉嫌违反 GDPR 的情况。

要求控制者或处理者采用经批准的数据保护认证机制。

确定控制者或处理者是否有权就针对其做出的赔偿决定寻求司法补救。

要求数据控制者就所有新的处理活动向其提供书面通知。

问题 92
情景
请用下面的文字回答下一个问题：
WonderkKids 提供在线托儿预订服务。Wonderkids 总部设在法国，但其网站是通过瑞士的一家公司托管的。作为其服务的一部分，Wonderkids 会将提供给他们的所有个人数据传递给通过其系统预订的托儿服务提供商。网站上收集的个人数据类型包括预订儿童看护服务者的姓名、地址和联系方式，以及被看护儿童的信息，包括姓名、年龄、性别和健康信息。Wonderkids 网站的隐私声明如下：
"出于日程安排、健康和安全考虑，WonderkKids 会将您通过本网站披露给我们的信息提供给您的托儿机构。我们也可能将您和您孩子的个人信息用于我们自己的合法商业目的，我们雇用了一家位于瑞士的第三方网站托管公司来存储数据。任何存储在瑞士设备上的数据都符合欧盟委员会的规定，保证您和您孩子的个人信息得到充分的保护。我们只与我们认为能为您带来真正价值的企业共享您和您孩子的个人信息。您向我们提供任何个人数据，即表示您同意将其传输给关联企业并向您发送促销信息。
"我们保留您和您孩子的个人信息的期限不超过 28 天，届时将对数据进行去个性化处理，除非您的个人信息在 28 天后被用于合法商业目的，在这种情况下，您的个人信息可被保留长达 2 年"。
"我们是在征得您同意的情况下处理您和您孩子的个人信息的。如果您选择不向我们提供某些信息，您可能无法使用我们的服务。您有权：要求访问您和您孩子的个人信息；更正或删除您或您孩子的个人信息；有权更正或删除您和/或您孩子的个人信息；反对处理您和您孩子的个人信息。您还有权就我们的数据处理活动向监管机构投诉。WonderKids 和托管服务提供商之间的合同必须包含哪些内容？

要求采取技术和组织措施保护数据。

控制器到控制器模型合同条款。

数据主体的审核权。

保密协议。

问题 93
Bioface 是一家总部设在美国的公司。它在欧盟没有服务器、人员或资产。通过从社交媒体和其他网络服务（如报纸和博客）收集照片，该公司利用机器学习开发了一种面部识别算法。该算法根据算法和现有数据，识别出照片中不在其数据集中的个人。该服务收集欧盟境内数据主体的照片，并在出示其照片时识别他们的身份。Bioface向美国和加拿大的政府机构和公司提供服务，但不向欧盟的政府机构和公司提供服务。Bioface 不向个人提供服务。
为什么 Bioface 受《一般数据保护条例》的地域范围管辖？

它从欧盟网站收集数据，这就构成了在欧盟的机构。

它通过识别欧洲联盟的数据主体在欧洲联盟提供服务。

它收集对象的数据并用于自动处理。

它监控欧盟数据主体的行为。

问题 94
在 2016 年的指导意见中，英国信息专员办公室（ICO）重申了使用 "分层通知 "向数据主体提供哪些信息的重要性？

隐私声明包含简要信息，同时提供获取更多详细信息的途径。

隐私声明，解释选择不在网站上使用 cookie 的后果。

解释在将个人数据传输给第三方时所采用的安全措施。

在要求提供书面同意的成员国，这是一种提供书面同意的有效手段。

问题 95
GDPR 中新增的哪种机制现在允许根据第 42 条向第三国转移个人数据？

批准的认证。

具有约束力的公司规则。

执法请求。

标准合同条款。

问题 96
情景
请用下面的文字回答下一个问题：
Building Block Inc. 是一家跨国公司，总部位于芝加哥，在美国、亚洲和欧洲（包括德国、意大利、法国和葡萄牙）均设有办事处。去年，该公司遭到网络钓鱼攻击，导致重大数据泄露。执行董事会与总经理、隐私办公室和信息安全团队协调，决定采取额外的安全措施。这些措施包括培训意识计划、网络安全审计，以及使用一种名为 SecurityScan 的新软件工具，它可以扫描员工的电脑，查看他们是否安装了供应商不再支持的软件，从而无法获得安全更新。不过，该软件还提供其他功能，包括监控员工的电脑。
由于这些措施可能会对员工造成影响，Building Block 隐私办公室决定向所有员工发布一份一般性通知，说明公司将实施一系列措施，以加强信息安全，防止今后发生数据泄露事件。
实施这些措施后，服务器性能有所下降。总经理指导安全团队如何使用 SecurityScan 监控员工的电脑活动及其位置。
在这些活动中，信息安全小组发现一名来自意大利的员工每天都在连接电影视频库，另一名来自德国的员工在未经授权的情况下远程工作。安全小组向隐私办公室和总经理报告了这些事件。在报告中，小组得出结论认为，服务器性能下降的原因是来自意大利的那名员工。
鉴于这些侵权行为的严重性，公司决定对这两名员工采取纪律处分措施，因为公司的安全和隐私政策禁止员工在公司的电脑上安装软件，也禁止员工在未经授权的情况下远程工作。
对于来自意大利的员工，Building Block 最合适的处理方式是什么？

由于 GDPR 不适用于这种情况，公司有权采取意大利劳动法授权的任何纪律措施。

由于该员工对服务器性能及其数据造成了严重威胁，公司有权对该员工采取纪律措施，包括公平解雇。

由于该员工未被告知安全措施将被用于监控等其他目的，公司可能难以对该员工采取任何纪律措施。

由于这是严重的违规行为，但该员工没有被适当告知新安全措施的后果，因此公司有权采取一些纪律措施，但不是解雇。

问题 97
哪个机构有权通过调查结果，确认非欧盟国家的数据保护水平是否充分？

欧洲议会

欧盟委员会

第 29 条工作组

欧洲理事会

问题 98
以下哪个国家在 1973 年率先实施了国家数据保护法？

法国

瑞典

德国

英国

问题 99
某小学计划使用面部识别技术跟踪学生出勤情况。以下哪项可以为这一处理提供合法依据？

学校在每个摄像头附近都贴有告示。

学校会征得学生的明确同意。

出于学校的合法利益，有必要进行处理。

一项州法律规定，必须进行面部识别以核实出勤情况。

问题 100
在考虑《欧洲人权公约》第 8 条规定的隐私权时，哪种说法是正确的？

隐私权是一项绝对权利

隐私权必须与《欧洲人权公约》规定的其他权利相平衡

欧洲人权公约》第 10 条规定的言论自由权永远高于隐私权。

隐私权保护持有观点以及不受干扰地接受和传播思想的权利

问题 101
哪句话最恰当地概括了《信息权保护条例》第 5 条明确要求的 "公平"、"合法 "和 "透明 "的概念？

公平性和透明度指的是在收集数据之前传达关键信息；合法性指的是遵守政府法规。

公平性是指限制从个人收集的数据量；合法性是指国家批准公司的指导方针；透明度仅涉及收集数据前的关键信息沟通。

公平性指的是个人数据的安全性；合法性和透明度指的是对法令的分析，以确保法令得到统一执行。

公平性是指从不同主体收集数据；合法性是指法律规则必须统一；透明度是指让个人能够获取自己的数据。

问题 102
欧洲数据保护指令 95/46/EC 的目的是什么？

协调所有成员国执行《欧洲人权公约》的工作。

执行经合组织《保护隐私和个人数据跨境流动准则》。

完全防止将个人数据转出欧盟。

进一步协调保护个人基本权利与数据在成员国之间自由流动之间的关系。

问题 103
为使个人数据成为假名，数据控制者必须做些什么？

单独保存可将数据与数据主体联系起来的任何信息。

对数据进行加密，以防止任何未经授权的访问或修改。

移除所有间接数据标识符，并对其进行安全处置。

仅将汇总数据用于研究目的。

问题 104
根据 GDPR，如何定义假名个人数据？

在不使用单独保存的附加信息的情况下，无法再归属于特定数据主体的数据。

不能再归属于特定数据主体的数据，不可能重新识别这些数据。

以不再能识别数据主体的方式匿名化的数据。

已加密或受其他技术保障措施保护的数据。

问题 105
情景
请用下面的文字回答下一个问题：
安娜和弗兰克都在格兰切斯特大学工作。安娜是一名负责数据保护的律师，而弗兰克则是工程系的一名讲师。大学保存着多种类型的记录：
学生档案，包括姓名、学号、家庭住址、大学前信息、大学出勤和成绩记录、特殊教育需求详情以及财务信息。
教职员工档案，包括自传材料（如课程表、专业联系档案、学生评价和其他相关教学档案）。
校友记录，包括出生地、出生年份、入学日期和学位授予情况。以前的学生通过格兰切斯特的校友门户网站注册后，可以获得这些记录。教育部记录，显示某些人口群体（如第一代学生）的平均学习进度。这些记录不包含姓名或身份证号码。
根据其安全政策，大学对所有传输和静止的个人数据记录进行加密。
为了改进教学，弗兰克希望调查他的工程专业学生的表现与教育部的期望之间的关系。他参加了 Anna 举办的数据保护培训课程，知道为达到目的，不应使用超出必要范围的个人数据。他创建了一个程序，只导出一些学生数据：以前就读的学校、最初取得的成绩、目前取得的成绩以及首次就读的大学。他希望保留学生个人层面的记录。考虑到安娜接受的培训，弗兰克通过算法将学生编号转换成不同的参考编号。他每次都使用相同的算法，以便随着时间的推移更新每条记录。
Anna 的任务之一是按照 GDPR 的要求完成处理活动记录。在收到电子邮件提醒后，按照 GDPR 的要求。在收到电子邮件提醒后，弗兰克将其绩效数据库告知安娜。
安向弗兰克解释说，除了尽量减少个人数据外，大学还必须检查现有数据的新用途是否允许。她还怀疑，根据 GDPR 的规定，在进行数据处理之前可能需要进行风险分析。安娜安排在做了一些额外的研究后与弗兰克进一步讨论这个问题。
弗兰克希望能在业余时间研究他的分析结果，因此他把分析结果转移到了家里的笔记本电脑上（这台电脑没有加密）。不幸的是，当弗兰克把笔记本电脑带进大学时，却在火车上弄丢了。弗兰克当天必须去见安娜，讨论兼容处理问题。他知道自己需要报告安全事件，因此决定同时告诉安娜自己丢失笔记本电脑的事情。
安娜会发现，在这种情况下不需要进行风险分析，只要？

资料当事人已不再是弗兰克学院的学生

处理过程不会对数据主体的权利产生负面影响

弗兰克在处理过程中使用的算法技术可靠

数据主体对原始处理明确表示同意

问题 106
在什么情况下，"软性接受 "规则可能适用于直接营销？

当个人不同意营销时。

从个人购买产品的咨询中获取个人详细信息。

从购买的营销名单中获取个人详细信息。

个人可以取消订阅向其发送的营销电子邮件。