周一早上,中國的「數據保護官」(data protection officer,DPO)一覺醒來就將成為炙手可熱的人物。
中國出台全面的數據保護法,使一種原本枯燥乏味的合規工作變成大小企業中的一個關鍵職位。
隨著企業爭相聘請,DPO的薪資也在飆升,尤其是因為新法律將把這些員工置於一種不太愉快的境地,即他們要為企業任何不合規行為承擔個人責任。
一家大型快遞公司的DPO表示:「如果我們玩忽職守,我們可能面臨100萬元人民幣(合15.6萬美元)的個人罰款,甚至入獄。」
周一,中國的《個人信息保護法》(PIPL)正式生效。與歐洲的《通用數據保護條例》(GDPR)類似,該法對企業可以使用消費者數據做些什麼進行限制。
根據PIPL的規定,中國各網站在獲取用戶個人信息之前,必須取得用戶的明確同意。
「在PIPL出台前,我的工作範圍要小得多。」一位要求匿名的電信公司DPO表示,「我主要負責確保數據被安全地存儲在伺服器上。現在我必須關注數據的整個生命周期——從收集、生成、使用、存儲到最後的銷毀。」
中國最大叫車應用滴滴出行(Didi Chuxing)在紐約進行盛大的首次公開發行(IPO)兩天後,突然因涉嫌數據違規遭到調查,突顯了企業在數據方面不合規的風險。
中國的數據監管機構——中國國家網際網路信息辦公室(CAC)勒令所有應用商店在其開展調查期間下架滴滴應用,此舉令滴滴的業務一時受到了嚴重打擊。
「滴滴事件發生後,DPO的工資出現飆漲,」在中國南方城市珠海經營DPO培訓課程的李翔(音譯)說。他補充說,企業現在希望聘請的DPO,除了要精通中國複雜的數據法之外,還要懂技術,具備處理與政府之間的關係的經驗。
一家熱門招聘網站上的廣告顯示,流行短視頻應用TikTok的母公司字節跳動(ByteDance)在北京的初級DPO職位月薪最高可達6萬元人民幣(合9380美元),是首都平均薪資水平的5倍。軟體開發商易華錄(E-Hualu)正在招聘一名首席安全官,主管數據安全管理工作,年薪高達180190美元。
然而,與公司因違反PIPL最高可能受到年收入5%的罰款相比,聘請DPO的成本要小得多。
「DPO身上的壓力非常大,」李翔說,並解釋說,他們要為企業任何違反中國數據法律法規的行為負個人責任。李翔說,如果僱主非法獲取客戶信息或將敏感數據泄露到海外,DPO「可能會被列入職業黑名單」。
根據個人信息保護法規定,數據保護官必須向數據監管機構在地方上的部門提交安全報告。但兩名曾在該機構工作過的人士指出,地方網信辦缺乏必要的技術知識和能力,無法從微觀層面監督企業如何處理數據。
因此,由國家主席習近平於2014年成立、旨在集中地控制網際網路的網信辦也一直在大力招聘數據專業人員,職責包括處理企業關於向海外轉移特定數據的申請。中國大學官網的就業網站到處可見地方網信辦的招聘廣告。
網信辦權力的擴大標誌著中國在數據方面長達20年的鬆散治理的結束,在這段時期,網際網路公司在成長過程中幾乎不關心數據保護和消費者隱私。隨著網際網路成為經濟增長的更大驅動力,新數據法代表了網信辦開展從大型科技公司手中奪取數據控制權的政府行動的又一工具。
北京諮詢公司策緯(Trivium)負責科技政策研究的肯德拉•謝弗(Kendra Schaefer)表示:「數字經濟對於克服當前中國整體增速放緩的局面至關重要,而數據是推動數字經濟的引擎。」
企業在這種新的數據法規下應如何營運的不確定性,加劇了數據保護官的壓力。歐華律師事務所(DLA Piper)駐香港科技領域律師卡羅琳•比格(Carolyn Bigg)表示:「個人信息保護法中有很多含糊的地方,關於具體會如何落實該法,企業已經開始從監管機構那裡得到了不一致的信息。」
政治研究機構Plenum創始人之一封楚誠表示,這種含糊其辭是有意為之:「這給了監管機構靈活性,以適應不斷變化的環境。」
但對企業的數據保護官來說,在這種模稜兩可的情況下走錯一步,代價就是坐牢或被處以大額罰款。一家媒體公司的數據保護官表示:「我擔心在該法的執行方式上會有衝突。我們的壓力非常大。」
