在本期节目，我们邀请到资深隐私与信息安全专家 阿宽，他也是公众号“阿宽谈安全”主理人，与大家深入探讨隐私成熟度模型（Privacy Maturity Model）。

本期围绕三个核心问题展开：

1️⃣ 什么是隐私成熟度模型？ 它如何区别于传统认证或审计？

2️⃣ 为什么企业需要进行隐私成熟度评估？ 它能带来哪些治理价值？

3️⃣ 如何搭建隐私成熟度评估体系？ 从0到1、再从1到10的落地经验分享。

阿宽结合自己在头部企业十余年的信息安全与隐私管理经验，分享了从GDPR时代起构建隐私体系的实务路径——从制度到流程、从指标到文化，展示了企业如何通过量化与对标，实现隐私合规从“纸面合规”到”体系化合规”质的飞跃。

🕒 时间轴

05:22 隐私成熟度模型定义与主流框架介绍（GAPP、ISACA、TrustArc等）

09:14 隐私成熟度评估的体系化思路

10:56 详解五级成熟度模型（L1-L5）及国内常见水平

15:45 隐私成熟度的战略意义与外部驱动（认证、ESG等）

19:36 成熟度评估如何说服管理层持续投入

22:52 法律人与技术人的思维差异

25:36 分两步走，从0到1选体系，从1到10用模型

32:01 如何选取合适的成熟度模型（ISACA、GAPP、TrustArc）

33:36 行业对标的重要性（谷歌、Meta、微软、苹果、华为）

37:05 详解“PPT模型”（人员、流程、技术）

38:07 案例：从数据打标到跨部门协同的落地实践

42:38 如何设定“北极星指标”推动隐私项目

45:09 外部监管动作如何影响内部成熟度

46:28 行业对标与目标设定：从3分追到4分

47:35 成熟度评估如何融入绩效考核体系

51:07 企业初期实施评估常掉入的两大陷阱

52:46 PPT模型在日常工作文化中的应用

53:41 谁来牵头？职责划分与指标设定

在本期节目，我们邀请到嘉宾 Terry，共同深入解读美国最新的 EO 14117 行政令。

这一法案聚焦于防止“受关注国家”获取美国敏感个人数据和政府相关数据，对跨境业务、互联网公司以及金融机构都有深远影响。我们将从法案出台背景、核心内容框架、典型业务场景到合规路径与挑战 展开讨论，并结合Terry的实务经验，分享企业在面对该行政令时的应对策略、合规要点和项目管理心得。

无论你是法务、合规，还是技术人员，这一期都能帮助你快速理解 EO 14117 对实际业务的影响。 本期信息量大，相关内容也提到Terry的文章，大家移步微信公众号《越洋网事》，结合文章听，效果更佳。（https://mp.weixin.qq.com/s/_tAIiqQIDakffaLPRFUTaw）

🕒 时间轴

02:19 EO 14117出台背景

04:47 典型业务场景与风险案例（广告、APP、军方数据等）

08:56 EO 14117整体框架解析：国家安全 vs 个人隐私

15:34 两类受限制数据：美国政府敏感数据 & 批量敏感个人信息

24:02 存储是否算处理？企业面临的额外合规负担

28:00 合规路径：豁免、许可与安全措施

34:23 违规后果：民事责任与最高20年刑事责任

36:39 企业可行的合规动作与业务调整思路

39:23 GDPR原则在EO 14117下的体现与倒逼合规

41:42 实例探讨：Delivery业务如何处理精确地理位置信息

44:40 合规的关键环节：主体、数据链路、第三方合同条款

47:52 项目管理挑战 & 为什么想到考 PMP

51:10 从法规分析到跨部门协调：合规PM的角色

53:26 10月6日关键合规节点 & 实际准备进度

55:06 合规 vs 技术：职责边界与合作模式

57:31 谁来验证整改结果？内部测试 vs 第三方审计

在本期节目的DPO对谈系列中，我们邀请到Vincent ，一位从香港个人资料私隐专员公署（PCPD）走出去的资深监管者，如今担任香港首家数字银行的香港DPO。

他将分享：

从监管者到实务者的身份转变

如何理解并管理监管方的期望

在银行如何平衡合规与客户体验

对想进入金融行业或香港数据合规方向的新人的建议

这是一期兼具实务经验、案例分析和职业洞察 的对谈，适合关注数据合规、隐私保护和DPO职业发展的朋友们。

🕒 时间轴

03:33 📌 回顾在PCPD的15年经历：从基层到合规总监

06:33 🤔 为什么选择从监管跳到银行做DPO？

07:51 🏦 在银行作为DPO的角色与思维方式转变

11:19 ❓ 数字银行 vs 传统银行：合规上的区别

12:25 🔍 从法律到客户视角：隐私保护的落地挑战

14:20 📑 如何理解与管理监管期望（accountability & Privacy Awards）

26:58 ⚖️ Dark Patterns & 营销同意：如何把握透明度与客户体验

29:59 🏦 案例分享：银行营销流程因“同意设计”不当被客户投诉

32:19 💼 在金融行业做DPO的挑战

33:53 🎓 对新人入行的建议

36:14 📄 招聘视角：新人如何展现优势（法律背景/兴趣/学习能力）

37:01 🗣️ 在香港工作语言要求：粤语/普通话/英文的重要性

38:08 🤖 AI & 学习能力：如何借助新工具持续成长

本期继续我们的DPO对谈系列，邀请到现任国际奢侈品零售集团 亚太区数据保护专家的 James。他从律所到企业法务，再到APAC DP Counsel岗位，一路走来积累了丰富的一线实战经验。2024年，他从上海搬到香港，负责亚太区域超过十个国家市场的数据合规工作。

我们将围绕以下话题展开深入对谈：

🔹 APAC DPC的核心职责与挑战是什么？

🔹 面对不同国家法律、文化、语言差异，如何有效沟通和推进合规？

🔹 如何做好第三方数据处理合规、DPA签署与供应商管理？

🔹 从律所到in-house，如何规划 DPO 职业转型路径？

🔹 在香港职场是怎样的节奏？内地数据合规从业者如何寻找香港的工作机会？

如果你是数据合规行业的同路人，或正考虑如何走向更国际化的职业发展路径，这一期一定不能错过！

🎧 欢迎收听，留言分享你想听的DPO对谈主题。

01:11 James 分享 APAC DPC的职责与挑战

07:30 如何应对多国法规差异，与 local counsel 协作

12:00 跨文化沟通挑战与个人适应经验

15:27 东南亚立法发展趋势与合规应对策略

19:17 第三方数据处理合规管理与DPA签署流程

25:51 从律所/法务转型为 DPO 的路径与建议

32:45 从上海到香港的职场文化与工作节奏差异

34:11 内地跳槽到香港的数据合规岗位机会与建议

本期我们聊聊IAPP主办的各类国际隐私与数据保护会议的参会体验和参与建议。适逢Chandy刚刚从爱尔兰都柏林参加完最新一届AI Governance Global Conference (AIGG) 回来，带来了很多观察和思考。而Arlene也曾先后参加 美国华盛顿的Global Privacy Summit (GPS) 和 新加坡的Asia Privacy Forum (APF)，这次我们一起来回顾各地会议的特点与收获，看看哪些适合你“冲一波”。

除了分享现场感受和网络拓展体验，我们也会讨论：

怎样才能成为IAPP会议的panel speaker？

如果不出国，国内有没有值得参加的数据合规会议或沙龙？

欢迎你和我们一起踏上这场“会议旅行”，思考自己未来如何在这个行业更深地连接、参与、发声。

00:00 Chandy对比近两年参加IAPP在欧洲举办的AIGG的不同感受

07:30 Arlene分享在美国华盛顿的GPS以及在新加坡的APF的参会体验

17:30 如何深度参与IAPP会议，成为panel speaker的路径

22:40 除了IAPP的会议，国内有什么推荐的数据合规会议值得参加

如对本期内容有任何反馈意见，欢迎在评论区留言，关注相关微信公众号“数据合规与治理”。

本期我们邀请跨国连锁企业的数据合规官 Tracy，分享她从信息安全到数据保护的职场经历，以及如何在企业中推动数据合规制度落地。

✅ 如何搭建企业数据保护架构

✅ DPIA（隐私影响评估）的触发场景与落地经验

✅ 第三方数据处理合规管理的现实挑战

00:00 数据合规官Tracy 分享数据保护工作经历

01:20 企业数据保护架构搭建及个保审计经验分享

08:07 数据保护框架搭建及关键要素探讨

12:35 互联网公司数据治理经验分享及不同规模企业成熟度探讨

17:12 企业 PIA 落地的触发场景、参与流程及团队协作问题

24:37 第三方合规管理:数据供应商筛选、协议签署等情况探讨

35:22 企业第三方评估复审机制及数据安全行业交流

如对本期内容有任何反馈意见，欢迎在评论区留言，关注相关公众号《数据合规与治理》。

在数据隐私逐渐成为企业“必答题”的今天，越来越多的公司设立了DPO（数据保护官）岗位。但DPO究竟是一个怎样的角色？从律师背景如何顺利转型？数据合规工作在企业内部如何真正“落地”？这些问题对许多法律人、合规人乃至信息安全从业者来说，仍然是谜一样的存在。

在数据隐私ABC播客的新栏目“DPO对谈”系列首期中，我们特别邀请到了一位重量级嘉宾——Tracy，她目前在一家美资文娱企业担任中国区DPO。她拥有红圈所与国际律所背景，在数据合规领域已深耕8年。从律所到甲方，从提供意见到推动落地，Tracy的经历不仅真实，更充满启发。

01:33 数据合规领域工作分享：从律所到企业的经历与缘由

05:23 律所与企业数据合规工作的核心差异探讨

08:09 探讨律所与公司数据合规工作差异及 DPO 日常

20:00 DPO岗位困难与痛点分享及行业思考

27:41 外企数据保护合规痛点与工具需求及跨境政策沟通探讨

39:23 探讨转型做 DPO 需准备的技能与心理要点

In January 2025, the non-profit organization, None Of Your Business (“NOYB”), filed six GDPR complaints against TikTok, AliExpress, SHEIN, Temu, WeChat and Xiaomi with several European data protection authorities based on the suspected "unlawful transfer of personal data from the EU to China".

In this episode, we have invited Mia, data privacy lawyer, now a PhD researcher at the VUB, Brussels to join our discussion about NOYB's complaints and lesson learnt for Chinese AI companies providing services in the EU.

Q1: To what extent, can we compare the NOYB complaints with the two famous Schrems cases against Meta (Facebook) for data transfer from the EU to the US?

11:00 - Q2: What's the implication of recent draft decision against TikTok by the Irish DPA?

15:00 - Q3: Whether the China data protection legislation can provide similar protection to users as under the GDPR?

25:00 - Q4: Can EU users exercise their data subject rights in a similar way in China?

33:00 - Q5: GDPR legal challenges faced by DeepSeek and any lesson learnt for Chinese AI companies providing services in the EU?

翘首以盼的个人信息保护合规审计管理办法将在2025年5月1日生效，本期邀请数据合规资深专家赵老师，一起聊聊该个保审计的落地，数据合规技术工具的选择，以及数据合规和业务平衡的艺术。

1:42 数据合规审计的落地

13:25 数据合规技术工具的选择

21:10 数据合规与业务的平衡

China mandatory PIPL compliance audit requirements will be effective from 1 May 2025.

We have invited our friend Laoshi Zhao, who is an experienced data compliance expert in the industry to share his insights about how to implement the new audit requirements in the MNC environment.

The 2025 AI Summit was just closed in Paris. A declaration on “inclusive and sustainable” AI has been signed by over 60 countries, including China, Singapore and Australia.

No matter if you are a big fan of this declaration or the new U-turn to deregulate the AI development, including the recent revocation of the Biden E.O. 14110. You may be curious about where we are on AI governance in the APAC region. In this episode, we have invited our AI technology legal friend, James, who is based in Australia, to share our observations across China, Hong Kong, Singapore and Australia.

Part One: Share AI experience and journey;

15:00 - Part Two: What is the scope of "AI technology" and its impact?

21:00 - Part Three: Different approaches of AI governance and what to expect in 2025?

这一集是为了庆祝1月28日“国际数据隐私保护日”。 我们将讨论数据隐私如何影响着每个人的日常生活，以及为什么数据隐私在数字时代显得日益重要。

It is a special episode to celebrate the international data privacy day on 28 January 2025. We will discuss how data privacy is affecting our daily life, why we think data privacy is getting important for everyone in the digital era.

两位主播将在第一集节目中分享各自的“数据合规”入行路径, 给想入行的同学们提供第一手的经验及资源。