数据隐私ABC - 节目列表

本期我们邀请跨国连锁企业的数据合规官 Tracy，分享她从信息安全到数据保护的职场经历，以及如何在企业中推动数据合规制度落地。 你将听到： ✅ 如何搭建企业数据保护架构 ✅ PIA（隐私影响评估）的触发场景与落地经验 ✅ 第三方数据处理合规管理的现实挑战 欢迎收听《数据隐私ABC》，和我们一起深入数据合规的一线实践！相信每一次真实的讨论，都是推动行业走向更成熟的力量！ 👉 评论区欢迎提问或分享你的看法。 00:00 DPO 对谈系列:数据合规官Tracy 分享数据保护工作经历 继续 DPO 对谈系列，聚焦DPO 在企业中推动数据保护工作落地。我们邀请嘉宾Tracy 参与讨论，她现就职于大型连锁跨国企业任数据合规官，2013 年起在日本保险公司从事信息安全工作，目前负责企业数据安全制度搭建与技术落地。 01:20 企业数据保护架构搭建及个保审计经验分享。 Tracy 绍其所在企业已建立自上而下组织架构，包括决策层、管理工作组和专员小组因监管行动顺势成立管理小组。还分享个保审计做法，根据个保法整理清单，经决策层支持后联系利益相关人，安排访谈调研，解决风险，难解决的上报决策层。 08:07 数据保护框架搭建及关键要素探讨 Tracy认为 DPO 在此过程中起关键作用，需协助企业评估数据处理风险并汇报。对于数据保护治理框架，各要素都很重要，要先识别数据分类、定级，再做权限管控，且在数据生命周期各环节都要重视，Arlene还提出可用矩阵形式对数据生命周期和分类权限管理交叉管控。 12:35 互联网公司数据治理经验分享及不同规模企业成熟度探讨 Arlene 分享互联网公司经验，提出在数据保护框架基础上，可从四个层面进行合规治理构建隐私控制框架并以此评估数据治理成熟度。Tracy认同，提到企业数据治理有不同阶段，指出大型跨国企业与第三方合作时，小企业搭建数据保护框架较被动，小公司受成本限制难以做到高级阶段。 17:12 企业 PIA 落地的触发场景、参与流程及团队协作问题 Tracy 分享企业用One Trust工具，在个人信息处理变更、系统变化、数据交易共享、政策变动等场景触发PIA。还提到曾遇业务部门不配合情况，通过将风险上报高层拉采购介入及承担部分成本解决强调合规要兼顾商业成本，及时上报风险。 24:37 第三方合规管理:数据供应商筛选、协议签署等情况探讨 在供应商筛选上，与采购部门合作，根据监管要求和数据处理场景定制清单。在数据保护方面提前介入获业务部门支持。签数据处理协议时，遇到大厂商不愿签或条款谈不拢情况，审计权、买保险条款较难谈，最终看谁更强势。 35:22 企业第三方评估复审机制及数据安全行业交流 内部建立的供应商评估机制为每三年轮一次，针对重要供应商;若出现数据泄露情况、供应商数据泄露被黑产或暗网发现、被315监管提及，会做复审。 最后双方总结谈话收获满满鼓励数据安全从业者，欢迎观众在评论区提问题，关注相关公众号《数据合规与治理》。

在数据隐私逐渐成为企业“必答题”的今天，越来越多的公司设立了DPO（数据保护官）岗位。但DPO究竟是一个怎样的角色？从律师背景如何顺利转型？数据合规工作在企业内部如何真正“落地”？这些问题对许多法律人、合规人乃至信息安全从业者来说，仍然是谜一样的存在。 在数据隐私ABC播客的新栏目“DPO对谈”系列首期中，我们特别邀请到了一位重量级嘉宾——Tracy，她目前在一家美资文娱企业担任中国区DPO。她拥有红圈所与国际律所背景，在数据合规领域已深耕8年。从律所到甲方，从提供意见到推动落地，Tracy的经历不仅真实，更充满启发。 01:33 数据合规领域工作分享：从律所到企业的经历与缘由 05:23 律所与企业数据合规工作的核心差异探讨 08:09 探讨律所与公司数据合规工作差异及 DPO 日常 20:00 DPO岗位困难与痛点分享及行业思考 27:41 外企数据保护合规痛点与工具需求及跨境政策沟通探讨 39:23 探讨转型做 DPO 需准备的技能与心理要点

In January 2025, the non-profit organization, None Of Your Business (“NOYB”), filed six GDPR complaints against TikTok, AliExpress, SHEIN, Temu, WeChat and Xiaomi with several European data protection authorities based on the suspected "unlawful transfer of personal data from the EU to China". In this episode, we have invited Mia, data privacy lawyer, now a PhD researcher at the VUB, Brussels to join our discussion about NOYB's complaints and lesson learnt for Chinese AI companies providing services in the EU. Q1: To what extent, can we compare the NOYB complaints with the two famous Schrems cases against Meta (Facebook) for data transfer from the EU to the US? 11:00 - Q2: What's the implication of recent draft decision against TikTok by the Irish DPA? 15:00 - Q3: Whether the China data protection legislation can provide similar protection to users as under the GDPR? 25:00 - Q4: Can EU users exercise their data subject rights in a similar way in China? 33:00 - Q5: GDPR legal challenges faced by DeepSeek and any lesson learnt for Chinese AI companies providing services in the EU?