4月13-14日IAPP CIPM知识分享沙龙 (附:EXIN DPO VS IAPP体系课程及学习感悟）

【本公众号原创，禁止复制或转载】

‍

我们知道，一门课程解决不了所有问题，即使是同样的隐私保护课程，不同认证机构的课程设计也会有不同侧重点，我们之前整理过一份2套认证体系知识的内容清单如以下：‍‍‍

【EXIN DPO VS IAPP CIPP/E&CIPM]

IAPP CIPP/E 和 EXIN DPO知识内容对照，其中黄色框内的内容为二者重合知识

IAPP CIPM和 EXIN DPO知识内容对照，其中黄色框内的内容为二者重合知识

今天我们摘自3位DPO同学的分享，他们学完EXIN DPO课程后再学习IAPP体系课程，他们如何来看待这2大国际认证隐私保护课程，以下观点仅代表他们个人观点，供大家参考。

Wayne Zhu , 某外资企业中国区DPO

我和大部分数据隐私和保护领域的从业者背景不一样，既不是法律法务背景，亦不是IT和安全，所以在被公司安排担任DPO岗位的时候内心是忐忑的。于是我自己网上搜索相应学习课程，初衷只是为了找到着手点履行工作基础职责。第一个参加的EXIN DPO课程，一开始的学习也是懵懂，且对很多隐私领域的专有词汇也是似是而非的。 然而EXIN学习和备考中案例的分析讨论让我更好的从日常工作中汲取灵感，慢慢接受和理解最基础的术语和概念。完成了这门综合但是相对基础课程之后，我发现我需要更详细，更具体的了解隐私管理体系和全球不同地区的法律法规，于是我先后报名和学习来了CIPM和CIPP/US的培训课程，自学了CIPP/E，并顺利的通过相应的考试。 CIPM考试强调privacy program，framework和full life cycle management的建立，完善和回顾，同时要结合日常工作实践中的痛点难点来理解和消化，相对于iapp的其他证书来说比较抽象，也更适合企业借鉴，并与内部各部门一起搭建长远的企业侧数据合规体系和制度。相比之下，CIPP/E和CIPP/US是基于欧盟和美国的隐私法律体系和制度，以隐私来源及发展作为脉络，帮助我更好的理解对应地区或国家的监管和被监管侧视角，发展和趋势。 特别是CIPP/E把EXIN DPO课程内有关GDPR部分的内容补充深化，使我更好的理解借鉴其精华的很多亚太国家地区的相应法律法规，例如中国的PIPL，印度的PDPDA和越南的PDPD。

我学习每门课程的时间分别是：1.5个月 EXIN DPO，1.5个月 IAPP CIPP/US, 1.5个月CIPM，1个月CIPP/E，给到大家的学习建议：

整个一年多来的学习，确实是痛并快乐着，痛是我这个隐私小白对学习，考试，实操如同打怪一般关关难过关关过的感受，然而快乐又是这段学习旅程的收获，法律为准绳，体系为框架，全面的学习消化和实操应用让我乐此不疲。我最大的感受就是这些课程我的学习顺序是适合我的，而隐私安全领域的学习是无止境的，希望大家能够找到适合自己的学习路径和方法，在这个领域深耕开花结果，因为热爱，所以选择与坚持，与大家共勉！

（2023年3-4月份获得EXIN DPO&DPO-PIPL双认证证书）‍‍‍‍‍‍‍‍‍‍

萧伟郎 ，富士康科技集团B事业群IT技术总监 

去年9月份学完EXIN DPO课程后，又经过两个月的学习我于2024/1/4通过注册信息隐私经理 (IAPP CIPM)考试也顺利取得证照。从EXIN DPO中我学到最严格的欧盟及中国个保法要求GDPR、PIPL, 并结合信息安全管理及隐私信息管理(ISO 27001、ISO 27701) 于实践中。从CIPM学到制定隐私计划、隐私计划框架、隐私运营生命周期(评估、保护、维持、响应)等主题, 当融会贯通后就像一盏明灯指导隐私项目如何有效运行。EXIN DPO和IAPP CIPM二者若能兼备有如知行合一, 有EXIN DPO的基础, 学习CIPM及考证照、思考问题及实践变得更加容易。

另外不论执行数据出境安全评估、数据安全治理、在AI全生命周期的每个阶段负责任设计开发使用AI等, 都涉及合规、信息安全、隐私治理、数据治理等, 缺一不可且环环相扣, 无形中提高自己及团队的思维深度及广度。

此课程帮助我非常大， 已经在内部开5次各1小时的课，落实隐私保护。我将持续知识结合实践，以Privacy by Design、Privacy by Default 为隐私设计原则，以NIST隐私框架、以信息安全为基础，以数据治理为顶层设计，落实ESG，围绕数据全生命周期，巩固客户、员工等数据主体的隐私及信息安全保护，落实于隐私运营生命周期中。期许以信息安全技术(ISO 27001)为核心、围绕隐私(ISO 27701) 、治理（ISO 27014、DSG)、合规EXIN（DPO、DPO-PIPL)和DCO、管理IAPP CIPM、ISACA(CDPSE、CISA、CISM、CGEIT、CRISC)等多维度证照开创崭新的一年, 开心能与从事数据保护、信息审计、信息安全、法律合规或风险管理等国际专业人士同行。

（2023年9月24日获得EXIN DPO双认证）

（2024年1月4日获得IAPP CIPM认证）

邵同学，信息安全专家‍‍‍‍

近年来，信息安全、数据安全和个人隐私等相关问题，成为众多企业关注的问题，虽说2023年数据安全业务受全球经济的影响有所下滑，但我个人认为影响仅是暂时的，将来仍是企业需要重点关注、解决的问题。

我们想要学习相关知识，可以了解各个组织相关的知识体系架构逐步深入学习，当然也要看每个人对每个组织的认可程度。这个问题是仁者见仁，智者见智。本人也获取了CISA、CDPSE、CISSP、CCSP、DPO及CIPM等相关认证。我是学习完DPO并获取证书的一年后学习的CIPM，今天我来谈谈对CIPM的感言吧。

区别

首先，通过学习DPO认证，我对GDPR中的角色和关系有了基本的认识，了解了控制者、处理者和数据主体等的权利和义务，全面学习了Pbd、数据保护策略、DPIA、DPMS等相关思想，了解如何合规、数据泄露处理相关流程。

CIPM课程主要包含以下六个领域：制定隐私计划(I)、隐私计划框架(II)、隐私计划运营生命周期-评估(III)、隐私计划运营生命周期-保护(IV)、隐私计划运营生命周期-维持(V)，以及隐私计划运营生命周期-响应(VI)。我的CIPM通过分数较低，因此我对这个课程理解有限，在本课程学习的过程中，感觉很多内容是重复的，其他同学也有类似的看法，但通过第二次读书，就会发现其中的区别。另外CIPM更偏重于隐私，有安全控制措施与技术资产保护、管理行动维持等实践。看到网上也有很多机构说CIPM是DPO的高阶，我的感觉是他们之间的关系有些类似于项目管理中的两个认证-PMP和Prince2。学习完DPO再学CIPM，会感觉轻松很多。

认证

两门课程都需要一定程度的英语基础，当然，目前两门课程都有中文版的教材，但个人感觉CIPM的翻译与GDPR（DPO用到教材）的翻译有一定差距。如有一定英语基础的同学，建议看原版教材。另外这两门课的受众群体主要有律师和信息管理、技术人员。对于律师来说，CIPM中有些知识还是需要补课的，但对于信息人员，不要对课程有过高的期待。教材讲述的是对隐私全流程保护的一种思路。另外我感觉CIPM更偏重于执行人员，也许因为我就是执行人员，没有站在更高的角度去学习。

实践

学习DPO之后，我感觉提升是潜移默化的，在理解国内的政策时会更加轻松些。CIPM认证后，并没有实际的隐私项目经验，但曾经参加过一次同事的项目分享会，某手机厂商的隐私项目，该项目中的思路完全应用CIPM的体系。印象最深刻的就是数据资产部分中的数据流图。也正因如此，我参加了CIPM的学习。

总结

如果费用充足，两个认证都可以考虑，如果费用非常有限，选择便宜的。但针对不同专业的人员，不同的需求，可能会有不同的选择。大家在选择前一定要咨询“前辈”的意见。综合自己的需求，认证的含金量、考证的目的以及以后的职业发展，综合考虑。

【4月份CIPM开课计划】

为满足新老学员在线学习的需求，特开设DPO读书会之IAPP知识分享沙龙，帮助大家快速顺利通过IAPP考试。

其中 IAPP CIPM隐私管理体系知识分享沙龙（中文版考试冲刺）即将开班

• 时  间：2024年4月13-14日

• 授课形式：上海线下+其他城市线上接入授课

• 上海线下课地点：待定

课程安排：

CIPM 认证包括以下六个领域：制定隐私计划 (I)、隐私计划框架 (II)、隐私计划运营生命周期 – 评估 (III)、隐

私计划运营生命周期 - 保护 (IV)、隐私计划运营生命周期 - 维持 (V)，以及隐私计划运营生命周期 - 响应 (VI)。

领域 I 为隐私计划奠定了坚实的基础，定义了隐私计划的制定、衡量和改进方法；

领域 II 侧重于组织隐私策略背景下隐私计划治理模型的管理和运营；

领域 III 详细说明了支持组织隐私制度评估或分析的重要组成部分；

领域 IV 概述了通过行业领先的隐私和安全控制措施与技术进行的资产保护；

领域 V 详细说明了通过沟通、培训和管理行动维持隐私计划的方式；以及

领域 VI 为隐私事件的响应所需信息奠定了坚实的基础。

课程咨询请联系：

向老师，13823096461

附：

CIPM  (注册信息隐私经理)

知识体系 (BoK) 概述

版本 3.0，生效时间2022年2月24日

CIPM 认证包括以下六个领域： 制定隐私计划 (I)、

隐私计划框架 (II)、

隐私计划运营生命周期 – 评估 (III)、

隐 私计划运营生命周期 - 保护 (IV)、

隐私计划运营生命周期 - 维持 (V)，

隐私计划运营生命周期 - 响应 (VI)。

领域 I 为隐私计划奠定了坚实的基础，定义了隐私计划的制定、衡量和改进方法；

领域 II 侧重于组织隐私策略背景下隐私计划治理模型的管理和运营；

领域 III 详细说明了支持组织隐私制度评估或分析的重要组成部分；

领域 IV 概述了通过行业领先的隐私和安全控制措施与技术进行的资产保护；

领域 V 详细说明了通过沟通、培训和管理行动维持隐私计划的方式；以及

领域 VI 为隐私事件的响应所需信息奠定了坚实的基础。

I.          制定隐私计划

A.  创建组织愿景

a.   评估既定目标

b.   就该愿景获得执行支持方批准

B.   建立数据治理模型

a.   集中式

b.   分布式

c.   混合式

C.   明确隐私计划

a.   明确计划范围和章程

b.   确定组织和适用法范围内的个人信息 (PI) 来源、类型和使用

c.   制定隐私战略

i.    业务认同

1. 完成隐私业务案例

2.  识别利益相关者

3.  充分利用关键职能

4.  创建组织内协作流程

5.   统一组织文化以及隐私/数据保护目标

ii.   为隐私和隐私团队获得资金/预算

iii.   开发用于处理个人信息的数据治理策略(例如，收集、使用、访问、共享、 传输、销毁)

iv.  确保计划灵活性，以整合法律/法规/市场/业务要求

D.  组建隐私团队

a.  根据组织规模，创建组织模型、职责和汇报路线(例如，首席隐私官、数据保护官 (DPO)、 隐私经理、隐私分析师、隐私大使、“第一响应人”)

b.   指定隐私问题联系人

c.   建立/批准专业能力衡量标准

E.   沟通

a.   从内外部建立对组织隐私计划的意识(例如，公共关系、企业沟通、人力资源部门)

b.   制定内外部沟通计划，确保组织责任感深入人心

c.   确保员工有权访问与其职责相关的政策、程序和更新内容

II.      隐私计划框架

A.  制定隐私计划框架

a.  制定组织隐私政策、程序、标准和/或指南

b.   明确隐私计划和活动

i.    教育和意识

ii.   监控和响应监管环境

iii.  监督内部隐私政策合规性

iv.  设计数据清单、数据流和数据分类，识别组织处理的个人数据

v.   风险评估(隐私影响评估 [PIA])(例如， DPIA 及其他)

vi.  事件响应过程，包括法律要求

vii. 补救措施监督管理

viii. 计划保证，包括审计

ix.  计划查询/投诉处理程序(客户、监管等)

B.   实施隐私计划框架

a.   与内外部利益相关者就该框架进行沟通

b.   确保始终符合适用法律法规要求，从而支持组织隐私计划框架的制定

i.    了解区域内的法律和/或法规(例如， GDPR、CCPA、LGPD)

ii.   了解部门及行业法律和/或法规(例如， HIPAA、GLBA)

iii.  了解针对违反法律法规行为的处罚

iv.  了解监管机构的范围和权限(例如，数据保护监管机构、隐私委员会、联邦贸易 委员会等)

v.   了解在隐私法不健全或未制定隐私法的国家开展业务的隐私影响

vi.  维持管理全球隐私职能的能力

vii. 维持追踪多个司法管辖区内隐私法变化的能力

c.   了解数据共享协议

i.     国际数据共享协议

ii.   供应商协议

iii.   关联方和子公司协议

C.  制定适当指标

a.   识别指标的目标受众

b.   明确报告资源

c.   明确基于各受众与监督和治理有关的隐私指标

i.    合规性指标(可能因组织而异)

1. 收集(声明)

2.  数据主体查询响应

3. 保留

4.   向第三方披露

5.  事件(泄露、投诉、查询)

6. 经过培训的员工

7.  PIA/DPIA 指标

8. 隐私风险指标

9. 治理机制中公司职能代表的占比

ii.   趋势分析

iii.  隐私计划投资回报率 (ROI)

iv.  业务韧性指标

v.   隐私计划成熟度级别

vi.  资源利用率

d.   识别系统/应用程序收集点

III.    隐私运营生命周期：评估

A.  记录您的当前隐私计划的基准

a.   教育和意识

b.   监控和响应监管环境

c.   基于内外部要求评估制度遵从性

d.   数据、系统和流程评估

i.    映射数据清单、数据流、生命周期和系统集成

e.   风险评估方法

f.   事件管理、响应和补救

g.   确定所需的状态，按照所采用的标准或法律(包括 GDPR)开展差距分析

h.   计划保证，包括审计

B.   处理者和第三方供应商评估

a.   评估处理者和第三方供应商、内包和外包隐私风险，其中包括国际数据传输规则

i.    隐私和信息安全政策

ii.   访问控制

iii.   个人信息的保存位置

iv.   审查供应商内部对个人信息的使用并为其设限

b.   了解并使用不同类型的关系

i.     内部审计

ii.   信息安全

iii.   物理安全

iv.  数据保护监管机构

c.   风险评估

i.    外包数据类型

ii.   数据位置

iii.   部署的技术和处理方式(例如，云计算)

iv.  法律合规性

v.   记录保留

vi.  合同要求(事件响应等)

vii.  确定最低信息保护标准

viii. 跨境传输

d.   合同要求和审查流程

e.   持续监督和审计

C.  物理评估

a.   识别运营风险

i.    数据中心和办公场所

ii.   物理访问控制

iii.   文件保留和销毁

iv.  介质处理和销毁(例如，硬盘、 USB/便携存储设备等)

v.   设备取证

vi.  设备安全(例如，移动设备、物联网 (IoT)、地理位置追踪、镜像/复制硬盘的 安全)

D.  兼并、收购和资产剥离

a.   尽职调查程序

b.   审查合同及数据共享义务

c.   风险评估

d.   风险和控制一致性

e.   合并后规划和风险减缓

E.   隐私评估和文件制定

a.   关于系统、应用程序和流程的隐私阈值分析 (PTA)

b.   定义隐私评估流程(例如， PIA、DPIA、TIA、LIA)

i.    了解各类评估的生命周期

ii.   在系统、流程、数据生命周期中纳入隐私评估

IV.     隐私运营生命周期：保护

A.  信息安全实务

a.   物理和虚拟系统的访问控制

i.    最低特许访问(例如，知所必需)

ii.   账户管理(例如，赋权流程)

iii.   特权管理

b.   技术类安全控制(包括相关政策和程序)

c.   事件响应计划

B.   隐私保护设计 (PbD)

a.   将隐私融入系统开发生命周期 (SDLC)

b.   在系统开发框架中建立隐私卡点

c.   将隐私和业务流程整合

d.   与利益相关者沟通 PIA 和 PbD 的重要性

C.  将隐私要求和表述整合至组织职能领域(例如，信息安全、人力资源、营销、法律和合同、兼并、  收购和资产剥离) 

D.  技术和组织措施

a.   量化技术和组织控制措施的成本

b.   根据组织政策要求管理数据保留

c.   明确物理和电子数据的销毁方法

d.   明确用于管理供内外部使用的数据共享和披露的职责和职能

e.   确定并实施二次使用指南(例如，研究等)

f.   基于法律和道德要求，制定关于组织数据处理(包括收集、使用、保留、披露和处置)的 相关政策

g.   实施恰当的管理保障措施，例如，政策、程序和合同

V.       隐私运营生命周期：维持

A.  监控

a.   环境(例如，系统、应用程序)监控

b.   监控隐私政策遵从性

c.   监控法律和立法变化

d.   遵从性监控(例如，收集、使用和保留)

i.     内部审计

ii.    自我监管

iii.   保留策略

iv.  退出策略

B.   审计

a.   按照内外部合规审计计划，调整隐私运营

i.    熟悉审计流程，维护“审计日志”

ii.   基于行业标准进行评估

iii.   使用并上报监管合规评估工具

b.   审计对隐私政策和标准的合规性

c.   审计数据完整性和质量，并就审计结果与利益相关者进行沟通

d.   审计信息的访问、修改和披露

e.   有针对性的员工、管理层和承包商培训

i.    隐私政策

ii.   运营隐私实务(例如，标准化运营指导)，例如：

1.   数据的创建/使用/保留/处理

2. 访问控制

3. 报告事件

4.  主要联系人

VI.     隐私运营生命周期：响应

A.  数据主体信息请求和隐私权

a.   访问

b.   纠正

c.   更正

d.   管理数据完整性

e.   删除权

f.   知情权

g.   控制数据使用，包括拒绝处理

h.   投诉，包括文件审查

B.   隐私事件响应

a.   法律合规性

i.    预防伤害

ii.    收集限制

iii.   问责制

iv.  监督和执行

v.   强制报告

b.   事件响应计划

i.    了解关键职责和职能

1. 识别关键业务利益相关者

a)  信息安全部

b)  法务部

c)   合规负责人

d)   审计部

e)   人力资源部

f)   营销部

g)  业务发展部

h)  沟通和公共关系部

i)    外部相关方

2.  成立事件管理团队

3. 制定隐私事件响应计划

4. 识别隐私事件响应计划的要素

5. 将隐私事件响应整合至业务连续性计划中

c.   事件检测

i.    明确隐私事件的组成

ii.   识别报告流程

iii.  协调各检测职能部门

1.   企业 IT 部

2.  物理安全部

3.  人力资源部

4. 调查团队

5.  供应商

d.   事件处理

i.    了解关键职责和职能

ii.   进行风险评估

iii.  开展遏制活动

iv.  识别并实施补救措施

v.   制定沟通计划，以通知高级管理层

vi.  通知监管机构、受影响个人和/或相应的数据控制者

e.   遵循事件响应流程，确保符合法律要求、集团要求和业务要求

i.    组建隐私团队

ii.   审查事实

iii.  开展分析

iv.  确定相关措施(遏制、沟通等)

v.   执行

vi.  维护事件登记册以及相关事件管理记录

vii. 监控

viii. 审查并应用取得的经验教训

f.   识别可减少事件发生的技术

g.   事件指标 - 量化隐私事件成本

课程咨询请联系：

向老师，13823096461

   (扫描上方直播二维码可听回放）

珠海山竹科技有限公司是国内知名的首家专注于DPO课程、隐私保护和数据合规课程的培训机构，致力于培养国内DPO专家和讲师、推动国内隐私和数据保护的相关立法和合规实践。目前培养了几百名DPO学员，授权讲师10名。2019年荣获EXIN 授权机构新锐奖，2021年和2022年荣获EXIN金牌授权机构。

 2021年增设数据合规咨询服务业务，致力于打造国内首家跨律所、跨企业的集法律+IT+安全人员的综合性数据合规咨询平台。山竹科技数据合规团队为企业提供数据合规咨询评估和法律风险规避、体系落地建设、数据安全技术解决方案等综合性服务，资深项目团队均具有十多年世界500强或咨询公司的项目管理和实施经验。我们直接或间接辅导了多家企业的GDPR出海合规、ISO27001信息安全管理体系和ISO27701隐私保护管理体系的咨询及实施，已积累了跨境电商、出海企业、医疗、金融、汽车等行业的数据合规最佳实践。

http://www.mangosteen-zh.com 公众号：“山竹科技DPO学堂”