本文提出DPolicy系统，旨在解决差分隐私（DP）在组织级多轮数据发布中的累积隐私风险管理问题。差分隐私已被证明是保护隐私的强健框架，并在2020年美国人口普查等高规格场景中得到应用。然而，在组织环境中，DP的使用通常局限于孤立的数据发布，未能充分发挥其作为全面隐私风险管理的潜力。尽管理论上可以通过DP的组合性质评估孤立发布的累积隐私风险，但在实践中，每个发布的DP保证往往针对特定场景定制，导致难以推理其交互或合并影响；反之，较少定制的DP保证虽然易于组合，但会带来过大的隐私预算，意义有限。DPolicy通过灵活框架同时考虑多个DP保证，反映真实部署中多样化的上下文和范围。系统引入高层策略语言来形式化隐私保证，使传统上隐含的范围和上下文假设显式化。通过从这些高层策略推导出执行复杂隐私语义所需的DP保证，DPolicy实现了组织级别的细粒度隐私风险管理。实验表明，DPolicy能有效缓解缺乏全面组织隐私风险管理时出现的隐私风险。该工作适合隐私保护研究者、数据治理及合规团队阅读。