# L23401 數據隱私、安全與合規 — 模擬試題 30 題 > 題型:四選一單選題(iPAS AI 規劃師中級 標準題型) > 教材來源:`chunks/L23401.txt`(每題解析末標 chunks 行號) > 命題原則:用易混淆概念設計干擾項(同類項換位、屬性錯配、定義 partial swap) --- ## 第一部分|前言與章節導覽(Q1) ### Q1 下列關於本章「數據隱私、安全與合規」的章節目標,何者**錯誤**? - (A) 說明數據隱私風險的來源與評估方法 - (B) 介紹常用的隱私強化與匿名化技術 - (C) 比較不同國際與本地資料保護法規 - (D) 提供完整可繞過 GDPR/CCPA 規範的技術手段 **答案:(D)** 解析:(D) 與本章「合規」精神完全相反 — 本章目標是建立合規處理數據的基本原則,並非繞過法規。(A)(B)(C) 才是章節四大目標。(chunks line 13–16) --- ## 第二部分|數據隱私風險辨識與評估(Q2–Q9) ### Q2 下列關於「直接識別風險」的敘述,何者**正確**? - (A) 資料中含有足以「直接」辨識特定個人的欄位,如姓名、身分證號碼、電子郵件、聯絡電話、金融帳號 - (B) 必須結合多項資訊交叉比對才能識別個人身份 - (C) 即使資料已去識別化處理後仍可能被還原 - (D) 不屬於 GDPR/CCPA/PDPA 高度敏感的個人識別資訊 **答案:(A)** 解析:直接識別 = 單一欄位即可辨識個人(PII);(B) 是間接識別;(C) 是再識別風險;(D) 與事實相反,PII 屬於最高優先處理層級。(chunks line 28–34) --- ### Q3 「準識別資訊(Quasi-identifiers)」的**核心特性**為何? - (A) 單一欄位即可直接辨識特定個人 - (B) 雖無單一能辨識個體的欄位,但透過多項資訊交叉比對仍可能「推導」出個人身份 - (C) 經過加密處理後絕對無法被還原 - (D) 必然違反所有國際個資保護法規 **答案:(B)** 解析:準識別資訊 = 單一欄位無法直接識別,但交叉比對可推導;典型例子 = 性別、出生年月、職業、地理位置、消費習慣、瀏覽紀錄。(chunks line 36–42) --- ### Q4 下列關於「再識別風險(Re-identification Risk)」的敘述,何者**正確**? - (A) 只發生在未做任何匿名化處理的資料 - (B) 即便資料已經過去識別化處理(如移除姓名或以代碼替代),仍可能因外部資料的豐富性與可取得性而被「重新還原」出個人身分 - (C) 與資料共享、開放數據完全無關 - (D) 用於 AI 模型訓練時不會涉及此風險 **答案:(B)** 解析:再識別 = 已匿名化的資料被外部資料交叉比對而還原身份。尤其在開放數據、資料共享、AI 模型訓練場景中應高度重視。(chunks line 44–48) --- ### Q5 建立完整的資料清冊或「資料地圖(Data Map)」時,下列何者**不屬於**必要記錄項目? - (A) 資料來源、處理流程、欄位型態 - (B) 接觸單位、流通路徑、儲存位置、保留期限 - (C) 各員工的身高體重與宗教信仰 - (D) 資料的開放層級與敏感度層級 **答案:(C)** 解析:(C) 與資料治理無關。Data Map 應記錄:資料來源/處理流程/欄位型態/接觸單位/流通路徑/儲存位置/保留期限;並進一步做開放層級 + 敏感度層級分類。(chunks line 56–110) --- ### Q6 依教材分類,下列哪一項**屬於「高度敏感個資」**? - (A) 政府公布的統計年報 - (B) 公司內部一般員工通訊錄 - (C) 健康、財務、族群、宗教、政治傾向資訊 - (D) 公司產品型錄 **答案:(C)** 解析:高度敏感個資 = 健康/財務/族群/宗教/政治傾向,外洩恐造成當事人重大損害,常受法律特別規範。(A) 是公開資料;(B)(D) 屬一般或機密資料。(chunks line 107–110) --- ### Q7 隱私影響評估(Privacy Impact Assessment, PIA)的執行流程**順序**為何? - (A) 治理責任分工 → 策略擬定 → 影響程度分析 → 風險辨識 → 資料流程盤點 - (B) 資料流程盤點 → 風險辨識 → 影響程度分析 → 策略擬定 → 治理責任分工 - (C) 風險辨識 → 資料流程盤點 → 策略擬定 → 治理責任分工 → 影響程度分析 - (D) 策略擬定 → 治理責任分工 → 風險辨識 → 資料流程盤點 → 影響程度分析 **答案:(B)** 解析:PIA 五步驟順序:① 資料流程盤點 → ② 風險辨識 → ③ 影響程度分析 → ④ 策略擬定 → ⑤ 治理責任分工。(chunks line 115–135) --- ### Q8 下列關於「風險矩陣(Risk Matrix)」的敘述,何者**正確**? - (A) 將「風險發生的可能性(Likelihood)」與「風險影響程度(Impact)」交叉評估,形成二維矩陣 - (B) 只考慮單一面向:發生機率 - (C) 風險等級的計算公式 = 發生機率 + 影響程度 - (D) 高風險可直接忽略,無需處理 **答案:(A)** 解析:風險矩陣 = Likelihood × Impact 二維評估,常見 3x3 或 5x5;風險等級 = 發生機率 × 影響程度(乘積,不是加法);高風險應優先處理。(chunks line 141–166) --- ### Q9 下列何者**不屬於**再識別模擬與滲透測試(Re-identification Simulation)的常見測試方法? - (A) 交叉比對測試 — 利用公開社群、政府開放或商業資料比對 - (B) 欄位組合分析 — 評估多個欄位在特定情境下的推導能力 - (C) 將原始資料完整公開於網路上做壓力測試 - (D) 若測試顯示再識別風險偏高,應強化匿名化技術或限制資料使用情境 **答案:(C)** 解析:(C) 嚴重違反隱私保護原則,絕非合規測試方法。正確做法為 (A)(B)(D)。常見干擾項把「測試」混淆為「公開資料」。(chunks line 168–186) --- ## 第三部分|基礎匿名化技術(Q10–Q14) ### Q10 下列關於「遮蔽(Masking)」匿名化技術的敘述,何者**正確**? - (A) 以符號或虛構數據替換敏感欄位的部分或全部內容(如「王大明」→「王○○」、「A123456789」→「A12*******89」) - (B) 必然產生不可逆的雜湊字串 - (C) 主要應用於數值統計分析 - (D) 必能完全防止外部資料推測還原 **答案:(A)** 解析:遮蔽 = 以符號替換敏感欄位部分內容;應用於報表展示、測試環境;優點:實作簡單、保留資料格式;限制:搭配其他資料仍可能推測還原。(chunks line 196–212) --- ### Q11 下列關於「雜湊處理(Hashing)」的敘述,何者**錯誤**? - (A) 對身分類欄位(如帳號、Email)進行單向雜湊(如 SHA-256) - (B) 產生固定長度、不可逆的字串 - (C) 適合用於數值分析(如平均薪資計算) - (D) 若原始資料種類有限(如短 ID),易受彩虹表攻擊 **答案:(C)** 解析:(C) 錯 — 雜湊產生不可逆字串,「不適合用於數值分析」(無法做數學運算)。雜湊適用於 ID 匿名化、跨資料庫比對、資料去重。(chunks line 214–230) --- ### Q12 下列關於「泛化(Generalization)」的敘述,何者**正確**? - (A) 將出生日期「1987-03-12」泛化為「1980 年代」,或將地址「台北市信義區基隆路」簡化為「台北市」 - (B) 對數值資料加入隨機噪聲 - (C) 將連續數值轉換為區間 - (D) 對敏感欄位做不可逆雜湊處理 **答案:(A)** 解析:泛化 = 降低資料精度(時間、地理範圍變粗);(B) 是隨機擾動;(C) 是分桶;(D) 是雜湊。常見混淆 Generalization vs Bucketing。(chunks line 232–248) --- ### Q13 下列關於「分桶(Bucketing)」的應用,何者**正確**? - (A) 對姓名打星號遮蔽 - (B) 將連續數值轉換為區間,如將收入「58,000 元」轉為「50K–60K」、年齡「32 歲」歸類為「30–39 歲」 - (C) 對 Email 做 SHA-256 雜湊 - (D) 增加隨機高斯噪聲 **答案:(B)** 解析:分桶 = 連續數值 → 區間;用於統計報表、人口統計分析;若分桶過細仍可能再識別。常與泛化混淆 — 泛化是「精度降低」、分桶是「數值 → 區間」(兩者概念相近但教材分列)。(chunks line 250–266) --- ### Q14 下列關於「隨機擾動(Noise Injection)」的敘述,何者**錯誤**? - (A) 為數值資料加入隨機噪聲(如高斯噪聲),如將薪資「50,000」擾動為「50,123」 - (B) 噪聲幅度越大越好,能完全保護資料 - (C) 保留整體統計特性(如平均數、標準差) - (D) 應用於數值型資料分享、統計分析 **答案:(B)** 解析:(B) 錯 — 噪聲幅度「過大會影響數據分析」,「過小則難以達到保護效果」,需精心設計平衡。常見干擾項。(chunks line 268–284) --- ## 第四部分|進階隱私強化技術 PETs(Q15–Q21) ### Q15 下列關於「K-匿名(K-Anonymity)」的敘述,何者**正確**? - (A) 確保每筆紀錄至少與其他 K-1 筆紀錄在準識別欄位(如年齡、性別)上相同 - (B) 要求每個群組內敏感欄位必須有至少 K 種不同值 - (C) 要求群組內敏感欄位的分佈與全體資料集相近 - (D) 必須使用對抗式網路訓練達成 **答案:(A)** 解析:K-匿名 = 每筆紀錄與 K-1 筆在準識別欄位相同 → 群體內無法單獨識別;(B) 是 L-多樣性;(C) 是 T-接近性。常見三者混淆。(chunks line 292–294) --- ### Q16 下列關於「L-多樣性(L-Diversity)」的敘述,何者**正確**? - (A) 在 K-匿名基礎上,進一步要求每個群組內敏感欄位(如疾病)必須具有至少 L 種不同值,以避免屬性推測 - (B) 要求每筆紀錄至少與其他 L-1 筆在準識別欄位相同 - (C) 要求群組內敏感欄位的分佈與全體資料集相近 - (D) 是基礎匿名化技術,無需 K-匿名前置 **答案:(A)** 解析:L-多樣性 = K-匿名「擴展」+ 敏感欄位至少 L 種值 → 防止屬性推測攻擊。(B) 是 K-匿名定義;(C) 是 T-接近性。(chunks line 296–298) --- ### Q17 下列關於「T-接近性(T-Closeness)」的敘述,何者**正確**? - (A) 要求群組內敏感欄位的分佈與全體資料集相近,防止因分佈偏差而推測個體特徵 - (B) 要求每筆紀錄至少與其他 K-1 筆相同 - (C) 是最基礎的匿名化技術,無需任何前置條件 - (D) 不適用於結構化資料 **答案:(A)** 解析:T-接近性 = 群組內敏感欄位分佈 ≈ 全體分佈,最進階的 K-匿名擴展。三者層次:K-匿名 < L-多樣性 < T-接近性。(chunks line 300–302) --- ### Q18 下列關於「聯邦學習(Federated Learning)」的核心思想,何者**正確**? - (A) 將所有客戶端資料統一集中到中央伺服器再訓練 - (B) 模型在各個客戶端(如使用者裝置或不同機構)本地進行訓練,只將模型參數更新(如梯度)傳回中央伺服器,避免原始資料集中存放或傳輸 - (C) 完全不需要中央伺服器 - (D) 通訊成本極低且完全無攻擊風險 **答案:(B)** 解析:聯邦學習 = 資料在本地、僅傳梯度;應用於醫療聯盟、手機鍵盤輸入預測;限制是通訊成本高 + 可能面臨參數逆向推導攻擊。常見混淆把「資料集中」與「梯度傳輸」概念對調。(chunks line 316–332) --- ### Q19 下列關於「同態加密(Homomorphic Encryption)」的敘述,何者**正確**? - (A) 允許在加密資料上直接執行運算(如加法、乘法),解密後結果與在明文上運算相同 - (B) 必須先解密才能進行任何運算 - (C) 計算效能極高,無需高效能硬體 - (D) 與密碼學無關 **答案:(A)** 解析:同態加密 = 在密文上直接運算,全程資料不解密;基於密碼學提供強安全保證;限制是計算效能較低,FHE 尤甚,需高效能硬體。(chunks line 334–350) --- ### Q20 下列何者**不屬於**進階隱私強化技術(PETs)? - (A) K-匿名、L-多樣性、T-接近性 - (B) 聯邦學習(Federated Learning) - (C) 同態加密(Homomorphic Encryption) - (D) 字典編碼(Label Encoding) **答案:(D)** 解析:Label Encoding 是特徵工程的類別變數編碼技術,與隱私保護無關。進階 PETs = K-匿名/L-多樣性/T-接近性、聯邦學習、同態加密。(chunks line 286–350) --- ### Q21 下列關於「K-匿名 vs L-多樣性 vs T-接近性」三者的層次關係,何者**正確**? - (A) K-匿名 → L-多樣性 → T-接近性,層層擴展、保護強度遞增 - (B) 三者完全獨立,無層次關係 - (C) T-接近性最基礎,K-匿名最進階 - (D) 三者都是基礎匿名化技術,與 K 無關 **答案:(A)** 解析:K-匿名(準識別欄位相同)→ L-多樣性(敏感欄位多種值)→ T-接近性(敏感欄位分佈相近)。層層遞進、保護強度遞增。常見考點。(chunks line 290–302) --- ## 第五部分|合規實務建議(Q22–Q30) ### Q22 下列關於「告知同意」應具備要素的敘述,何者**錯誤**? - (A) 自由性:不可因服務限制、經濟利益或壓力而被迫同意 - (B) 明確性與具體性:應清楚載明蒐集資料項目、利用目的、範圍、保存期間 - (C) 可撤回性:當事人應有權隨時撤回同意 - (D) 一經同意便永久有效,不可撤回 **答案:(D)** 解析:(D) 錯 — 「可撤回性」是必備要素之一,當事人應有權隨時撤回同意,企業須說明撤回方式與後續影響。常見干擾項。(chunks line 358–371) --- ### Q23 「資料最小化(Data Minimization)」與「目的限制(Purpose Limitation)」原則的**核心精神**為何? - (A) 應盡可能蒐集所有資料,以利未來商業應用 - (B) 僅收集實現 AI 訓練或預期功能所需的最低限度資料,且不得將資料用於未經告知或未獲同意的其他目的 - (C) 即使對企業有商業價值,也應將資料挪作其他用途 - (D) 敏感資料無需特別評估 **答案:(B)** 解析:必要性原則 = 只收必要資料;目的限制 = 不得挪作其他用途,即使有商業價值。對敏感資料(健康/族群/宗教信仰)更須謹慎評估比例原則。常見干擾項把「最大化」與「最小化」對調。(chunks line 374–378) --- ### Q24 下列關於「去識別化或匿名化處理」的合規實務建議,何者**錯誤**? - (A) 若資料計畫對外共享、用於模型發布或第三方合作,應優先採取去識別化或匿名化技術 - (B) 應確保無法輕易回推個人身份,並結合再識別風險測試 - (C) 不同法規對匿名化的標準認定完全一致,無差異 - (D) 在某些情境下,應考慮先對敏感欄位進行泛化、分桶或差分隱私處理 **答案:(C)** 解析:(C) 錯 — 不同法規對匿名化的標準認定「有所差異」,企業仍須保留風險評估紀錄。常見干擾項把「差異」說成「一致」。(chunks line 380–385) --- ### Q25 下列關於「透明度與紀錄保存」的合規要求,何者**不屬於**應紀錄項目? - (A) 資料來源及收集方式、法律基礎 - (B) 資料處理過程、傳輸及外部共享情況 - (C) 受影響的資料類別與當事人群體、所採用的保護技術與風險緩解措施 - (D) 員工個人通訊軟體聊天紀錄 **答案:(D)** 解析:(D) 涉及員工隱私且與資料治理紀錄保存無關,反而是隱私違規來源。應紀錄項目為 (A)(B)(C) 三項合規要素。(chunks line 387–400) --- ### Q26 下列關於「跨境傳輸(Cross-border Data Transfer)」規範的敘述,何者**正確**? - (A) GDPR 規定若將歐盟居民個資移轉至歐盟以外國家,需符合足夠保護措施、標準合約條款或其他合法機制 - (B) 跨境傳輸完全不受任何法規限制 - (C) 不需評估接收國的隱私保護水準 - (D) 跨境傳輸協議無需保存紀錄 **答案:(A)** 解析:GDPR 跨境傳輸要求 = 足夠保護措施 / 標準合約條款 / 合法機制。企業須明確定義範圍/用途/國家,評估接收國保護水準,並保存紀錄供監管機關查驗。(chunks line 402–411) --- ### Q27 下列關於常見國際個資保護法規縮寫的**正確配對**為何? - (A) GDPR = 加州消費者隱私法案;CCPA = 一般資料保護規則 - (B) GDPR = 一般資料保護規則(歐盟);CCPA = 加州消費者隱私法案;PDPA = 個人資料保護法 - (C) GDPR = 個人資料保護法;PDPA = 加州消費者隱私法案 - (D) 三者皆為同一部法律 **答案:(B)** 解析:GDPR = General Data Protection Regulation(歐盟);CCPA = California Consumer Privacy Act(加州);PDPA = Personal Data Protection Act(個資法)。常見縮寫互換干擾項。(chunks line 22) --- ### Q28 下列關於風險等級(Risk Level)三大分級的處理建議,何者**錯誤**? - (A) 低風險(Low):可接受、可監控 - (B) 中風險(Medium):需規劃因應對策 - (C) 高風險(High):應優先處理,必要時迴避或延後導入 - (D) 高風險可置之不理,因為發生機率不高 **答案:(D)** 解析:(D) 錯反 — 高風險應「優先處理」,必要時迴避或延後導入,不可置之不理。常見干擾項。(chunks line 162–166) --- ### Q29 若企業欲在「醫療聯盟跨院數據建模」場景中保護病患原始資料、又需多家醫院聯合訓練 AI 模型,最適合採用何種技術? - (A) 將所有醫院的病患原始資料統一上傳到中央伺服器訓練 - (B) 聯邦學習(Federated Learning)— 模型在各院本地訓練,僅傳模型參數更新 - (C) 對病患資料完全公開以加速研究 - (D) 知識蒸餾(Knowledge Distillation) **答案:(B)** 解析:聯邦學習就是為此類「跨機構合作但不傳原始資料」場景設計,醫療聯盟跨院建模 + 手機鍵盤輸入預測都是典型案例。(D) 知識蒸餾屬模型壓縮,不解決隱私問題。(chunks line 316–332) --- ### Q30 下列關於「直接識別 / 間接識別(準識別)/ 再識別風險」三者的層次差異,何者**錯誤**? - (A) 直接識別:單一欄位即可辨識個人(如姓名、身分證號) - (B) 間接識別(準識別):需多欄位交叉比對才能推導身份(如出生年月+性別+地理位置) - (C) 再識別:已匿名化資料被外部資料還原身份 - (D) 三者實際上是同一種風險,僅名稱不同 **答案:(D)** 解析:三者為層次不同的風險:直接識別(最直接)→ 間接識別(需交叉比對)→ 再識別(已匿名仍被還原)。常見混淆三者層次。(chunks line 26–48) --- ## 答案速查表 | Q | 答 | Q | 答 | Q | 答 | |---|---|---|---|---|---| | 1 | D | 11 | C | 21 | A | | 2 | A | 12 | A | 22 | D | | 3 | B | 13 | B | 23 | B | | 4 | B | 14 | B | 24 | C | | 5 | C | 15 | A | 25 | D | | 6 | C | 16 | A | 26 | A | | 7 | B | 17 | A | 27 | B | | 8 | A | 18 | B | 28 | D | | 9 | C | 19 | A | 29 | B | | 10 | A | 20 | D | 30 | D | ## 命題分布統計 | 章節 | 題號 | 題數 | 重點 | |---|---|---:|---| | 前言/章節導覽 | Q1 | 1 | 章節四大目標 | | 數據隱私風險辨識與評估 | Q2–Q9 | 8 | PII/Quasi-identifier/Re-id/Data Map/PIA/Risk Matrix/Re-id Test | | 基礎匿名化技術 | Q10–Q14 | 5 | Masking/Hashing/Generalization/Bucketing/Noise Injection | | 進階隱私強化技術 PETs | Q15–Q21 | 7 | K-匿名/L-多樣性/T-接近性/聯邦學習/同態加密 | | 合規實務建議 | Q22–Q30 | 9 | 告知同意/最小化/匿名化/紀錄/跨境/法規縮寫/風險等級/聯邦案例/三類風險 | | **合計** | — | **30** | — | ## 易混淆考點清單 | # | 易混淆對 | 差異 | |---|---|---| | 1 | 直接識別 vs 間接識別 vs 再識別 | 直接=單欄即可;間接=交叉比對;再識別=匿名後仍被還原(Q2/Q3/Q4/Q30) | | 2 | K-匿名 vs L-多樣性 vs T-接近性 | K=準識別欄位至少 K-1 筆相同;L=敏感欄位至少 L 種值;T=敏感欄位分佈接近全體(Q15/Q16/Q17/Q21) | | 3 | GDPR / CCPA / PDPA | GDPR 歐盟;CCPA 加州;PDPA 個資法(Q27) | | 4 | 遮蔽 Masking vs 雜湊 Hashing | 遮蔽=部分符號替換、保留格式;雜湊=單向不可逆固定長度字串(Q10/Q11) | | 5 | 泛化 Generalization vs 分桶 Bucketing vs 隨機擾動 Noise | 泛化=精度降低;分桶=數值→區間;擾動=加噪聲(Q12/Q13/Q14) | | 6 | 聯邦學習 vs 同態加密 | 聯邦=本地訓練傳梯度;同態=在密文上直接運算(Q18/Q19/Q29) | | 7 | 公開資料 vs 機密資料 vs 個人資料 vs 高度敏感個資 | 公開=政府統計;機密=商業機密;個資=姓名等;高敏=健康/族群/宗教/政治(Q6) | | 8 | PIA 五步驟順序 | 資料盤點 → 風險辨識 → 影響分析 → 策略擬定 → 治理分工(Q7) | | 9 | 風險等級 = 發生機率 × 影響程度 | 乘積(不是加法);高/中/低三級對應不同處理優先(Q8/Q28) | | 10 | 告知同意三大要素 | 自由性 + 明確性具體性 + 可撤回性(Q22) | --- — 命題:Heiter(2026-05-12) — 對應章節:6.1 數據隱私、安全與合規(chunks 6058–6467)