CIPT备考心得分享-下一个考过的就是你

数据安全、个人信息与隐私保护的合规监管环境在全球数字化背景下不断加强，中国的数据合规也迎来了春天，为信息安全从业人员开辟了一条新的安全赛道--隐私保护。

IAPP（International Association of Privacy Professionals）是国际知名的隐私保护专业机构，其发布的CIPP/E/US/A/C、CIPM和CIPT认证得到了全球隐私保护业界的高度认可。我们作为隐私保护从业人员，考取IAPP的认证可以系统化地学习掌握隐私保护的基本知识，也可以获得业界的认可。

我从事信息安全管理、数据合规和隐私保护工作已有多年时间，一直跟随着谷安天下的脚步获得了CIPM、CISSP、CISA、CDPSE、EXIN-DPO、C-CCSK、CISP-DSG等信息安全和隐私认证，也拥有CDPO、CCNA、ISO 27001 LA、ISO 27701 IA和网络规划设计师等相关认证。

在今年3月份，我在谷安天下的CIPM课程里面以390分的成绩，第一个通过了CIPM考试。在CIPT课程中，我也继续一马当先，为各位学员探路和试水。经过4个月的阅读和复习，终于通过了CIPT考试，虽然357分不算高分，但总算完成了心里面的头等大事。考试难度方面，如方乐老师的感受一样，CIPT整个考试的难度比CIPM要难，但是场景题更少了。我本次参加考试只有两道场景题，但是普通的选择题里面的单词量比CIPM要多，有很多“小场景”和“条件”在题目中，总体来讲，阅读量并没有降低多少。对于想要参加考试的法律人士来讲，可能在隐私技术上会面临不少挑战。

CIPT目前是依然是全英文的考试，这个考试在国内考生不多，语言问题是一个很重要的阻碍因素。不过如果大家在外企工作多年的话，语言问题就可以忽略了。如果你不是，我会在后面教你如何快速掌握考试相关的语言问题。

IAPP的考试，单纯依靠刷题是比较难通过考试的，因为题库的刷新速度是很快的，从其他学员的反馈来看，我估计题库在一年时间左右就会有90%以上差异。因此，打下扎实的基础才是硬道理。

备考流程可以分为下面几个步骤，分别是看书与听课、梳理知识点、做练习题、错题反复加固、英语单词复习。

• 听课

线上直播课为期两天，由谷安天下的方老师授课。方老师在信息安全和IT等领域有深厚的功底，能将市面上主要安全认证的知识点融会贯通后进行简明扼要地讲授，风趣幽默的讲课方式能够使大家在愉快的气氛中学习到数据合规和隐私保护方面的知识点和考试技巧。在听课过程中，应该将老师提及的关键知识点进行记录，也要更多地与老师和同学们交流互动，可以使知识点记忆更加深刻。CIPT的课程比较偏技术，如果有CISSP学习背景的同学，对于知识的理解应该是比较简单的，只需要重点关注隐私技术即可。

• 看书与梳理知识点

任何信息安全与隐私认证，看书肯定是首要任务，但我们需要掌握看书的方法。首先我们需要获取认证考试的考试大纲，然后根据考试大纲制定看书的计划。看书分为概览、精读、跳读和扩展阅读。

报考课程后，谷安天下会发三本书和一本PPT讲义教材，第一本是《Introduction to Privacy for Technology》，第二本是《Strategic Privacy by Design》，第三本是《Privacy in Technology》。

（1）概览：我的做法是先看PPT讲义教材，了解课程大纲和重点。

（2）精度：精读三本书一遍，读书的同时要做两件事，一方面要将知识点梳理成思维导图，另一方面要将不懂的英语单词摘录下来，放到有单词卡片复习的英语翻译软件（我用的是 有道词典电脑版 ）。三本书加起来大概1200页左右，英语阅读如果有障碍，很容易就会中途放弃了，我基本是逼自己利用早起、晚上时间以及周末时间强制阅读和学习。

（3）跳读：跳读应该在整理思维导图或复习错题的时候进行部分章节的再次阅读。

（4）扩展阅读：CIPT的隐私内容偏技术，关于Privacy By Design和Dark Pattern方面的内容，我建议大家进行扩展阅读，推荐大家阅读以下几个文章：

1. Tales from the Dark Side Privacy Dark Strategies and Privacy Dark Patterns；
2. Guidelines 3/2022 on Dark patterns in social media platform interfaces: How to recognise and avoid them；
3. 微信公众号：隐私保护设计（PbD)：个人信息保护的学霸方法论；
4. 微信公众号：通过设计的个人信息保护；
5. 微信公众号：《上篇：暗黑模式域外监管简史》 ；
6. 微信公众号：《中篇：暗黑模式的中国“灯下黑”实践》；
7. 微信公众号：《下篇：暗黑模式的识别、认定及未来》。

• 做练习题

谷安提供了两套练习题给大家，并对习题答案进行了反复研究，能够使各位学员快速掌握CIPT的考试形式、内容和提问方式，提供了错题分析和反复练习的考试模拟环境。CIPT考试分为概念题和场景题，均为单选题目，考生需要再150分钟内完成90道题目，对考生的英文阅读能力有比较大的挑战。CIPT的重点我总结了10个方面，敲黑板、划重点了：

1. 要区分清楚各种隐私技术的区别与联系，包括假名化、去标识化、匿名化（K匿名、L多样性、T接近性）、脱敏（泛化、掩码、模糊、扰乱、截断、抑制、哈希）、数据聚合、同态加密、差分隐私、多方安全计算等等概念，要做到一说到这个概念，就知道主要特点和应用场景。
2. 各类加密技术的应用场景要了解，对称加密、非对称加密（公钥加密）、哈希算法、密码信封、HTTPS、TLS、PKI等都要了解清楚。
3. 各类访问控制的基本概念要熟记区别与应用场景，包括自主访问控制（DAC）、强制访问控制（MAC）、基于角色的访问控制（RBAC）、基于属性的访问控制（ABAC）等；
4. 加拿大Ann Cavoukian博士的Privacy By Design的7原则，是反复考到的重点概念，一定要熟记。对于隐私设计策略中的8大策略（Strategies）和26个手段（Tactics）一定要熟记，对应的暗黑模式策略也要清楚区分其风险、危害与例子。除了理论外，Privacy By Design的实际落地场景也要清楚，例如隐私通知分层设计的概念，可以通过静态隐私通知文本、增强提示、即时提示（弹窗）、图标和标志直观辅助、隐私面板/偏好中心等。
5. FIPPs、OECD、APEC、GAPP、NISTIR 8062、GDPR等隐私框架的主要原则，以及各自的发布时间年份要谨记，特别是FIPPs是美国的隐私原则，经常会考到。
6. Ryan Calo简直是最知名的隐私危害理论提出者，著名的主观隐私危害与客观隐私危害要熟记，有较多相关考题，如下图。

1. 决策干扰（Decision Interference）有较多题目，要熟记情形与解决方法。
2. 对于各类隐私追踪技术要非常熟悉，Cookie、浏览器追踪、设备追踪、蓝牙追踪、RFID追踪、NFC追踪、GPS地理位置追踪、Wifi无线窃听、视频监控、IoT物联网监控、无人机监控等等，都要非常熟悉。
3. 隐私计划管理中的DSAR、RoPA、Inventory、Data Mapping、Data Flow Diagram、Incident Response等等都要清楚了解。这都是日常工作中经常会用到的东西，如果有实践经验，则事半功倍。
4. 隐私工程的Protectability, Manageability, and Disassociability概念要熟记。

CIPT场景题比较Practical，我考试中遇到一题是讲类似新冠疫情的APP收集各类感染者的地理位置信息，以判断是否密接的题型，与实际工作和生活非常贴近。

• 错题反复加固

每次做完练习题，都需要对答案，并且将错题摘录到Excel里面，方便后面复习。做错的题目，也应该再次进行教材阅读。错题摘录后，建议起码反复做2-3次，再次加深记忆。特别是考试前一两天，应该反复巩固。谷安天下同时会组织联系题的专项课程，会对每一道题目进行解释，加深学员对题目的印象和出题逻辑的理解。

• 英语单词复习

既然CIPT是一门英文考试，那么英语单词的复习就非常重要了。前面看书摘录下来的英文单词，应该用英文翻译软件的单词卡片功能，进行反复记忆，根据艾宾浩斯遗忘曲线定律，一周刷几次，基本90%以上都没有问题了，可以大大提高阅读速度。

正式考试

正式考试前，由谷安天下的老师帮忙预约在合适的时间和地点进行考试。虽然IAPP可以在网上直接考，但我依然建议到现场考。因为出现什么问题和状况时，有考点人员协助解决，使考试更加顺畅。要注意的是，IAPP考试需要携带两张身份证件，国内参加考试建议带身份证+（社保卡,驾驶执照）。

如果各位已经按照上面的步骤进行考试，那么正式考试时不用太紧张，按部就班进行答题就OK，时间还是很充足的。

考试时间一共165分钟，90道题目。在完成其中完成前面45道题目后，可以选择15分钟的休息时间。要注意的是，选择休息的话，前面45道题就需要先行提交，意味着不能再修改答案了。从我的经验来看，基本不用再回头对答案了，该提交就提交，对自己有信心就行。

最后，祝大家顺利通过CIPT考试，加入数据合规和隐私保护的信息安全新赛道吧！