我在备考ACP时看到这样的问题

根据提供的知识库资料，您的理解是正确的。在MaxCompute中，默认情况下，如果没有特别设置数据保护策略，项目空间之间的数据访问控制相对宽松。具体来说：

1. 默认安全状态：如果项目空间没有启用ProjectProtection机制，理论上拥有相应权限的用户确实可以在不同项目空间之间进行数据读取操作，只要他们有权限访问那些项目空间。

2. 额外安全措施需求：为了确保数据安全，特别是对于敏感或需要隔离的项目空间，管理员确实需要主动采取措施。这包括但不限于开启ProjectProtection功能来限制数据流出本项目空间，以及使用Package授权机制来精细化控制跨项目的数据共享，确保只有被授权的项目和用户才能访问特定资源。

3. 正确理解：句子“用户可以跨项目空间读未保护的项目空间的数据”意味着如果不采取额外的安全配置，项目空间内的数据可能对其他有权限的用户开放。因此，创建新项目空间时，确实应该考虑实施适当的安全策略以防止未经授权的访问。

综上所述，为了避免数据被非预期地访问，建议公司在创建新的项目空间时，评估其数据敏感性和访问需求，并及时启用相应的安全保护措施，比如设置ProjectProtection为True来阻止数据流出，以及利用Package机制来管理跨项目的数据共享，从而确保数据的访问遵循最小权限原则和业务需求。