Data Privacy Matters 数据隐私ABC

🎙️ 欢迎收听最新一期播客！之前我们聊过数据合规、AI 治理等热门话题，而数据合规的底线，正是网络安全。当下，国内网络安全行业竞争日趋激烈，越来越多中资网安企业主动走向海外，香港、新加坡、中东正成为他们布局的核心阵地。中国网安产品在全球有哪些独特优势？出海又要面对意识形态、信任壁垒、本地化服务等多重挑战？今天，我们邀请到专注助力中资网安企业出海的Bruce，结合一线实战经验，拆解中国网安产业出海的现状、机遇与破局之道，聊聊最真实的出海观察与未来趋势。🧭时间轴01:20 嘉宾背景：以香港为跳板，助力中资网安企业出海02:27 国内“内卷”倒逼，出海究竟是主动选择还是求生本能？05:00: 中资网安企业在海外市场的竞争优势是什么？09:00：出海面临的主要挑战有哪些？11:30: 撕掉标签，如何让海外客户放心地把安全交给你？15:18: 全球版图太大，第一步该落子东南亚还是另辟蹊径？17:50: 在欧美老牌巨头环伺的“成熟市场”还有机会吗？19:45: 东南亚市场的获客之道是什么？23:11: 本地支持的服务体验是关键？25:35:出海初期就能获得海外市场“信任”的成功案例？31:15:除了石油还有什么？中东这片热土下的网安新商机36:43:AI 正在重塑网安，是助推器还是破坏者？42:00：AI 安全赛道，中资企业的独特解题思路44:46: 避开数据地雷，海外合规的“生存指南”47:04：中资企业在海外市场的数据中心该如何部署？ 50:40: 既懂合规又懂营销，出海最缺哪种“多面手”？53:45: 给打工人的建议：网安出海浪潮里，哪里还有风口？55:30: 预测2026年的出海态势

🎧 播客介绍在中国语境下，AI 合规正在快速发展，但对很多企业来说，最直接的问题不是“规则是什么”，而是这些规则，具体要怎么做？本期节目我们邀请到拥有甲方与律所双重经验的Violet，从一线项目出发，聊聊她在实际工作中是如何帮助企业应对 AI 合规挑战的。本期你会听到：​当前企业在 AI 合规中最集中的需求是什么？为什么“算法备案 / 大模型备案”成为最核心的切入点？​律师在 AI 合规项目中到底在做什么？​企业在准备备案时，最容易低估的难点在哪里？ 这期不是一场法规讲解，而是一次围绕真实项目经验的拆解，带你理解 AI 合规在中国是如何被一步步“做出来”的。我们了解到，关于什么时候完成算法/模型的备案/登记问题，在实务中有不同理解，我们也欢迎大家留言贡献自己的经验和见解。🕒 时间轴00:58 嘉宾背景：从甲方到律所的合规经验02:16 AI 合规需求拆解：企业最关注的四个方向05:15 为什么备案成为当前 AI 合规的核心工作08:30 官方数据与趋势：中国算法备案的发展情况12:00 不同阶段企业的困惑：初创 vs 已上线产品17:00 企业最常见的误解：对备案和合规的认知偏差22:30 律师在 AI 合规中的角色：不仅是解释规则28:30 实务中的核心难点：材料、技术与合规之间的断层35:00 内容合规相关实践：模型行为与风险控制41:00 为什么 AI 合规不只是“法律问题”48:00 从项目经验看监管与企业之间的互动55:00 收尾：当前阶段 AI 合规的整体观察

Follow-up to a previous episode featuring a founder of a Chinese privacy tool, our listeners requested to hear from a global privacy tool provider. On the 2026 International Data Privacy Day, I sat down with OneTrust territory manager Vivien in Hong Kong. We have discussed the Company’'s evolution from a GDPR compliance tool into a comprehensive AI governance platform. The conversation highlights DataGuidance, a global regulatory research database described as the "Wikipedia for privacy lawyers," which provides instant updates on shifting legal frameworks. As businesses move toward Agentic AI, Vivien has explained a shift from manual administration to an integrated infrastructure where privacy, cybersecurity, and marketing teams collaborate on shared accountability and outlined a five-stage AI maturity model. Finally, we have touched on the specific challenges of Chinese companies going global, explaining how automated tools help manage fragmented international regulations while protecting brand reputation.Outline:00:38 Introduction of Vivien 01:16 How OneTrust started in 2016?02:45 What is DataGuidance?04:29 How the platform expanded beyond basic privacy modules to include cookie management, third-party risk management, and now AI governance?07:45 What’s OneTrust’s roadmap to move from administrative privacy to infrastructure and "Agentic AI"?10:55 What is OneTrust’s AI maturity model?14:40 How “Agentic AI” fits in the privacy tool?16:35 Why adoption of privacy tools nowadays requires cross-functional collaboration?18:56 Why is RoPA important? 22:20 How privacy tools can help manage data lifecycle?24:25 How OneTrust engages with Chinese companies? 26:23 Can Chinese companies going global use a universal tool to solve compliance issues?28:22 What questions do such Chinese company clients ask most often? 31:44 How to address "price sensitivity" of the Chinese market where companies often prefer in-house/Excel solutions to save money?

在本期，我们聚焦一个在法律文本中很清晰、但在实践中极其复杂的话题——数据主体权利请求（DSR / DSAR）。我们邀请到 Lulu，一位长期在跨国科技公司负责 全球数据主体权利响应（DSR） 的资深实践者。她将从一线操作视角，带我们走进一个真实的 DSR 世界：​一个删除请求，背后可能牵动上百个系统​不同国家的用户，对“隐私权利”的理解和表达差异巨大​SLA 从 2 天到 30 天不等，合规团队如何不“翻车”？​DSR 为什么不仅是合规义务，更是企业数据治理能力的“照妖镜”？在这期节目中，Arlene 和 Chandy 也结合自己在跨国公司、香港与内地市场的经验，与 Lulu 深度对谈：​DSR 如何落地？哪些坑最容易被低估？​AI 是否真的能拯救 DSR 的人力黑洞？​以及——什么样的人，真正适合做 DSR 这件“又苦又重要”的事？如果你正在做数据合规、隐私治理，或公司正准备出海，这一期非常值得收藏。⏱️时间轴03:15  DSR 在企业中的真实定位：为什么它是“数据治理的放大镜”05:46  真实 DSR 案例拆解：一个删除请求背后的系统与流程协作08:34  跨国 DSR 的差异：欧洲、美国、中国在实践中的不同侧重点11:14  如何用统一流程应对不同国家的法律要求？“最高标准 + 本地调整”14:20  高风险 DSR 场景：测试性请求、监管投诉与 NOYB 相关经验16:57  SLA 压力与极端期限：2 天响应要求下企业如何不翻车19:18  DSR 团队的组织方式：人力配置、系统支持与跨部门协作25:29  DSR 与业务的博弈：合规如何在商业目标中争取空间30:15  出海企业视角：为什么 DSR 往往是被投诉的第一入口33:31 AI + DSR：哪些环节可以自动化，哪些仍然必须人工判断41:39  最容易被低估的风险：数据定位不完整与 data mapping 的现实问题45:25  什么样的人适合做 DSR？能力模型

🍻🥳2025年的最后一期，我们邀来科技利维坦公众号的主理人汶龙, 分享自己海外数据合规KOL炼成之路，尤其是从大厂回到学术圈，从英国回到国内的转变所带来的不同观察。🎙️在节目中我们还讨论了欧盟近期出台的“Digital Omnibus”方案， 及中欧数据监管逻辑的发展路径的异同。另外，在节目开播一周年之际，我们一起展望2026年数据合规工作的“何去何从”。⏰时间轴00:55 嘉宾自我介绍：海外数据合规KOL炼成之路08:40 中欧数据监管发展路径比较：学术界与产业之间的博弈？17:14 中欧数据监管的执法区别：NOYB为什么这么重要？22:48 中欧数据保护法律框架下个人权利行使的差异：PIPL VS GDPR27:00 欧盟“Digital Omnibus”方案出台的来龙去脉：真的松绑了？37:35 GDPR的大额罚单竟然基本 “收回为零”?44:14 欧盟“Digital Omnibus” 方案对中国数据合规或AI监管路径的影响：走自己的路？50:00 不知不觉来到节目开播一周年，听听两位主播怎么说？57:38 展望马不停蹄的2026年，汶龙寄语“帮帮NOYB”？

🎙️ 播客介绍本期《数据隐私ABC》，我们对谈国内最早一批探索数据合规工具的创业者——卓总。从“为什么企业需要数据合规工具”切入，一路聊到中国市场迟迟未成熟的原因、合规工具的技术挑战、与数据治理的关系，以及未来 3–5 年工具化与 AI 自动化的趋势。这不是一场产品介绍，而是一次关于数据合规能不能被技术化、为什么必然被技术化的深度讨论。你将听到：企业到底在什么场景下真正“意识到需要工具”？为什么中国的数据合规市场“池塘很大，但水位很浅”？数据流图、ROPA、数据扫描等功能的痛点与现实AI 如何改变隐私合规工具的能力边界给法务与合规人的建议⏱️ 时间轴00:29 嘉宾自我介绍：从隐私计算到合规工具创业02:14 工具的本质：合规 ≠ 提效率，是治理体系建设03:11 真实痛点：主体权利、数据定位、Excel 的困境04:51 工具价值：可审计、可留痕、可自证合规06:25 合规自动化：将法律要求翻译成流程与数据07:09 大厂 vs 中小企业：工具落地差异12:23 为什么中国工具市场“池子大、但水浅”？30:14 为什么合规工具很难做成 SaaS？31:58 数据流图 & ROPA：业务 vs IT 的两种视角35:49 bigID vs 国内工具的差异（技术驱动 vs 法律驱动）41:01 未来趋势：全面覆盖、自动化、AI 合规43:44 AI 如何改变工具形态（自动扫描、预测、洞察）53:41 给法务和合规人的建议

在本期节目，我们邀请到资深隐私与信息安全专家 阿宽，他也是公众号“阿宽谈安全”主理人，与大家深入探讨隐私成熟度模型（Privacy Maturity Model）。本期围绕三个核心问题展开：1️⃣ 什么是隐私成熟度模型？ 它如何区别于传统认证或审计？2️⃣ 为什么企业需要进行隐私成熟度评估？ 它能带来哪些治理价值？3️⃣ 如何搭建隐私成熟度评估体系？ 从0到1、再从1到10的落地经验分享。阿宽结合自己在头部企业十余年的信息安全与隐私管理经验，分享了从GDPR时代起构建隐私体系的实务路径——从制度到流程、从指标到文化，展示了企业如何通过量化与对标，实现隐私合规从“纸面合规”到”体系化合规”质的飞跃。🕒 时间轴05:22 隐私成熟度模型定义与主流框架介绍（GAPP、ISACA、TrustArc等）09:14 隐私成熟度评估的体系化思路10:56 详解五级成熟度模型（L1-L5）及国内常见水平15:45 隐私成熟度的战略意义与外部驱动（认证、ESG等）19:36 成熟度评估如何说服管理层持续投入22:52 法律人与技术人的思维差异25:36 分两步走，从0到1选体系，从1到10用模型32:01 如何选取合适的成熟度模型（ISACA、GAPP、TrustArc）33:36 行业对标的重要性（谷歌、Meta、微软、苹果、华为）37:05 详解“PPT模型”（人员、流程、技术）38:07 案例：从数据打标到跨部门协同的落地实践42:38 如何设定“北极星指标”推动隐私项目45:09 外部监管动作如何影响内部成熟度46:28 行业对标与目标设定：从3分追到4分47:35 成熟度评估如何融入绩效考核体系51:07 企业初期实施评估常掉入的两大陷阱52:46 PPT模型在日常工作文化中的应用53:41 谁来牵头？职责划分与指标设定

在本期节目，我们邀请到嘉宾 Terry，共同深入解读美国最新的 EO 14117 行政令。这一法案聚焦于防止“受关注国家”获取美国敏感个人数据和政府相关数据，对跨境业务、互联网公司以及金融机构都有深远影响。我们将从法案出台背景、核心内容框架、典型业务场景到合规路径与挑战 展开讨论，并结合Terry的实务经验，分享企业在面对该行政令时的应对策略、合规要点和项目管理心得。无论你是法务、合规，还是技术人员，这一期都能帮助你快速理解 EO 14117 对实际业务的影响。 本期信息量大，相关内容也提到Terry的文章，大家移步微信公众号《越洋网事》，结合文章听，效果更佳。（https://mp.weixin.qq.com/s/_tAIiqQIDakffaLPRFUTaw）🕒 时间轴02:19 EO 14117出台背景 04:47 典型业务场景与风险案例（广告、APP、军方数据等）08:56 EO 14117整体框架解析：国家安全 vs 个人隐私15:34 两类受限制数据：美国政府敏感数据 & 批量敏感个人信息24:02 存储是否算处理？企业面临的额外合规负担28:00 合规路径：豁免、许可与安全措施34:23 违规后果：民事责任与最高20年刑事责任36:39 企业可行的合规动作与业务调整思路39:23 GDPR原则在EO 14117下的体现与倒逼合规41:42 实例探讨：Delivery业务如何处理精确地理位置信息44:40 合规的关键环节：主体、数据链路、第三方合同条款47:52 项目管理挑战 & 为什么想到考 PMP51:10 从法规分析到跨部门协调：合规PM的角色53:26 10月6日关键合规节点 & 实际准备进度55:06 合规 vs 技术：职责边界与合作模式57:31 谁来验证整改结果？内部测试 vs 第三方审计

在本期节目的DPO对谈系列中，我们邀请到Vincent ，一位从香港个人资料私隐专员公署（PCPD）走出去的资深监管者，如今担任香港首家数字银行的香港DPO。他将分享：从监管者到实务者的身份转变如何理解并管理监管方的期望在银行如何平衡合规与客户体验对想进入金融行业或香港数据合规方向的新人的建议这是一期兼具实务经验、案例分析和职业洞察 的对谈，适合关注数据合规、隐私保护和DPO职业发展的朋友们。🕒 时间轴03:33 📌 回顾在PCPD的15年经历：从基层到合规总监06:33 🤔 为什么选择从监管跳到银行做DPO？07:51 🏦 在银行作为DPO的角色与思维方式转变11:19 ❓ 数字银行 vs 传统银行：合规上的区别12:25 🔍 从法律到客户视角：隐私保护的落地挑战14:20 📑 如何理解与管理监管期望（accountability & Privacy Awards）26:58 ⚖️ Dark Patterns & 营销同意：如何把握透明度与客户体验29:59 🏦 案例分享：银行营销流程因“同意设计”不当被客户投诉32:19 💼 在金融行业做DPO的挑战33:53 🎓 对新人入行的建议36:14 📄 招聘视角：新人如何展现优势（法律背景/兴趣/学习能力）37:01 🗣️ 在香港工作语言要求：粤语/普通话/英文的重要性38:08 🤖 AI & 学习能力：如何借助新工具持续成长

本期继续我们的DPO对谈系列，邀请到现任国际奢侈品零售集团 亚太区数据保护专家的 James。他从律所到企业法务，再到APAC DP Counsel岗位，一路走来积累了丰富的一线实战经验。2024年，他从上海搬到香港，负责亚太区域超过十个国家市场的数据合规工作。我们将围绕以下话题展开深入对谈：🔹 APAC DPC的核心职责与挑战是什么？🔹 面对不同国家法律、文化、语言差异，如何有效沟通和推进合规？🔹 如何做好第三方数据处理合规、DPA签署与供应商管理？🔹 从律所到in-house，如何规划 DPO 职业转型路径？🔹 在香港职场是怎样的节奏？内地数据合规从业者如何寻找香港的工作机会？如果你是数据合规行业的同路人，或正考虑如何走向更国际化的职业发展路径，这一期一定不能错过！🎧 欢迎收听，留言分享你想听的DPO对谈主题。01:11 James 分享 APAC DPC的职责与挑战07:30 如何应对多国法规差异，与 local counsel 协作12:00 跨文化沟通挑战与个人适应经验15:27 东南亚立法发展趋势与合规应对策略19:17 第三方数据处理合规管理与DPA签署流程25:51 从律所/法务转型为 DPO 的路径与建议32:45 从上海到香港的职场文化与工作节奏差异34:11 内地跳槽到香港的数据合规岗位机会与建议

本期我们聊聊IAPP主办的各类国际隐私与数据保护会议的参会体验和参与建议。适逢Chandy刚刚从爱尔兰都柏林参加完最新一届AI Governance Global Conference (AIGG) 回来，带来了很多观察和思考。而Arlene也曾先后参加 美国华盛顿的Global Privacy Summit (GPS) 和 新加坡的Asia Privacy Forum (APF)，这次我们一起来回顾各地会议的特点与收获，看看哪些适合你“冲一波”。除了分享现场感受和网络拓展体验，我们也会讨论：怎样才能成为IAPP会议的panel speaker？如果不出国，国内有没有值得参加的数据合规会议或沙龙？欢迎你和我们一起踏上这场“会议旅行”，思考自己未来如何在这个行业更深地连接、参与、发声。00:00 Chandy对比近两年参加IAPP在欧洲举办的AIGG的不同感受07:30 Arlene分享在美国华盛顿的GPS以及在新加坡的APF的参会体验17:30 如何深度参与IAPP会议，成为panel speaker的路径22:40 除了IAPP的会议，国内有什么推荐的数据合规会议值得参加如对本期内容有任何反馈意见，欢迎在评论区留言，关注相关微信公众号“数据合规与治理”。

本期我们邀请跨国连锁企业的数据合规官 Tracy，分享她从信息安全到数据保护的职场经历，以及如何在企业中推动数据合规制度落地。✅ 如何搭建企业数据保护架构✅ DPIA（隐私影响评估）的触发场景与落地经验✅ 第三方数据处理合规管理的现实挑战00:00 数据合规官Tracy 分享数据保护工作经历01:20 企业数据保护架构搭建及个保审计经验分享08:07 数据保护框架搭建及关键要素探讨12:35 互联网公司数据治理经验分享及不同规模企业成熟度探讨17:12 企业 PIA 落地的触发场景、参与流程及团队协作问题24:37 第三方合规管理:数据供应商筛选、协议签署等情况探讨35:22 企业第三方评估复审机制及数据安全行业交流如对本期内容有任何反馈意见，欢迎在评论区留言，关注相关公众号《数据合规与治理》。

在数据隐私逐渐成为企业“必答题”的今天，越来越多的公司设立了DPO（数据保护官）岗位。但DPO究竟是一个怎样的角色？从律师背景如何顺利转型？数据合规工作在企业内部如何真正“落地”？这些问题对许多法律人、合规人乃至信息安全从业者来说，仍然是谜一样的存在。在数据隐私ABC播客的新栏目“DPO对谈”系列首期中，我们特别邀请到了一位重量级嘉宾——Tracy，她目前在一家美资文娱企业担任中国区DPO。她拥有红圈所与国际律所背景，在数据合规领域已深耕8年。从律所到甲方，从提供意见到推动落地，Tracy的经历不仅真实，更充满启发。01:33 数据合规领域工作分享：从律所到企业的经历与缘由05:23 律所与企业数据合规工作的核心差异探讨08:09 探讨律所与公司数据合规工作差异及 DPO 日常20:00 DPO岗位困难与痛点分享及行业思考27:41 外企数据保护合规痛点与工具需求及跨境政策沟通探讨39:23 探讨转型做 DPO 需准备的技能与心理要点

In January 2025, the non-profit organization, None Of Your Business (“NOYB”), filed six GDPR complaints against TikTok, AliExpress, SHEIN, Temu, WeChat and Xiaomi with several European data protection authorities based on the suspected "unlawful transfer of personal data from the EU to China". In this episode, we have invited Mia, data privacy lawyer, now a PhD researcher at the VUB, Brussels to join our discussion about NOYB's complaints and lesson learnt for Chinese AI companies providing services in the EU.Q1: To what extent, can we compare the NOYB complaints with the two famous Schrems cases against Meta (Facebook) for data transfer from the EU to the US? 11:00 - Q2: What's the implication of recent draft decision against TikTok by the Irish DPA?15:00 - Q3: Whether the China data protection legislation can provide similar protection to users as under the GDPR? 25:00 - Q4: Can EU users exercise their data subject rights in a similar way in China? 33:00 - Q5: GDPR legal challenges faced by DeepSeek and any lesson learnt for Chinese AI companies providing services in the EU?

翘首以盼的个人信息保护合规审计管理办法将在2025年5月1日生效，本期邀请数据合规资深专家赵老师，一起聊聊该个保审计的落地，数据合规技术工具的选择，以及数据合规和业务平衡的艺术。1:42 数据合规审计的落地13:25 数据合规技术工具的选择21:10 数据合规与业务的平衡China mandatory PIPL compliance audit requirements will be effective from 1 May 2025. We have invited our friend Laoshi Zhao, who is an experienced data compliance expert in the industry to share his insights about how to implement the new audit requirements in the MNC environment.

The 2025 AI Summit was just closed in Paris. A declaration on “inclusive and sustainable” AI has been signed by over 60 countries, including China, Singapore and Australia. No matter if you are a big fan of this declaration or the new U-turn to deregulate the AI development, including the recent revocation of the Biden E.O. 14110. You may be curious about where we are on AI governance in the APAC region. In this episode, we have invited our AI technology legal friend, James, who is based in Australia, to share our observations across China, Hong Kong, Singapore and Australia. Part One: Share AI experience and journey; 15:00 - Part Two: What is the scope of "AI technology" and its impact?21:00 - Part Three: Different approaches of AI governance and what to expect in 2025?

这一集是为了庆祝1月28日“国际数据隐私保护日”。 我们将讨论数据隐私如何影响着每个人的日常生活，以及为什么数据隐私在数字时代显得日益重要。It is a special episode to celebrate the international data privacy day on 28 January 2025. We will discuss how data privacy is affecting our daily life, why we think data privacy is getting important for everyone in the digital era.

两位主播将在第一集节目中分享各自的“数据合规”入行路径, 给想入行的同学们提供第一手的经验及资源。