周一早上,中国的“数据保护官”(data protection officer,DPO)一觉醒来就将成为炙手可热的人物。
中国出台全面的数据保护法,使一种原本枯燥乏味的合规工作变成大小企业中的一个关键职位。
随着企业争相聘请,DPO的薪资也在飙升,尤其是因为新法律将把这些员工置于一种不太愉快的境地,即他们要为企业任何不合规行为承担个人责任。
一家大型快递公司的DPO表示:“如果我们玩忽职守,我们可能面临100万元人民币(合15.6万美元)的个人罚款,甚至入狱。”
周一,中国的《个人信息保护法》(PIPL)正式生效。与欧洲的《通用数据保护条例》(GDPR)类似,该法对企业可以使用消费者数据做些什么进行限制。
根据PIPL的规定,中国各网站在获取用户个人信息之前,必须取得用户的明确同意。
“在PIPL出台前,我的工作范围要小得多。”一位要求匿名的电信公司DPO表示,“我主要负责确保数据被安全地存储在服务器上。现在我必须关注数据的整个生命周期——从收集、生成、使用、存储到最后的销毁。”
中国最大叫车应用滴滴出行(Didi Chuxing)在纽约进行盛大的首次公开发行(IPO)两天后,突然因涉嫌数据违规遭到调查,突显了企业在数据方面不合规的风险。
中国的数据监管机构——中国国家互联网信息办公室(CAC)勒令所有应用商店在其开展调查期间下架滴滴应用,此举令滴滴的业务一时受到了严重打击。
“滴滴事件发生后,DPO的工资出现飙涨,”在中国南方城市珠海经营DPO培训课程的李翔(音译)说。他补充说,企业现在希望聘请的DPO,除了要精通中国复杂的数据法之外,还要懂技术,具备处理与政府之间的关系的经验。
一家热门招聘网站上的广告显示,流行短视频应用TikTok的母公司字节跳动(ByteDance)在北京的初级DPO职位月薪最高可达6万元人民币(合9380美元),是首都平均薪资水平的5倍。软件开发商易华录(E-Hualu)正在招聘一名首席安全官,主管数据安全管理工作,年薪高达180190美元。
然而,与公司因违反PIPL最高可能受到年收入5%的罚款相比,聘请DPO的成本要小得多。
“DPO身上的压力非常大,”李翔说,并解释说,他们要为企业任何违反中国数据法律法规的行为负个人责任。李翔说,如果雇主非法获取客户信息或将敏感数据泄露到海外,DPO“可能会被列入职业黑名单”。
根据个人信息保护法规定,数据保护官必须向数据监管机构在地方上的部门提交安全报告。但两名曾在该机构工作过的人士指出,地方网信办缺乏必要的技术知识和能力,无法从微观层面监督企业如何处理数据。
因此,由国家主席习近平于2014年成立、旨在集中地控制互联网的网信办也一直在大力招聘数据专业人员,职责包括处理企业关于向海外转移特定数据的申请。中国大学官网的就业网站到处可见地方网信办的招聘广告。
网信办权力的扩大标志着中国在数据方面长达20年的松散治理的结束,在这段时期,互联网公司在成长过程中几乎不关心数据保护和消费者隐私。随着互联网成为经济增长的更大驱动力,新数据法代表了网信办开展从大型科技公司手中夺取数据控制权的政府行动的又一工具。
北京咨询公司策纬(Trivium)负责科技政策研究的肯德拉•谢弗(Kendra Schaefer)表示:“数字经济对于克服当前中国整体增速放缓的局面至关重要,而数据是推动数字经济的引擎。”
企业在这种新的数据法规下应如何运营的不确定性,加剧了数据保护官的压力。欧华律师事务所(DLA Piper)驻香港科技领域律师卡罗琳•比格(Carolyn Bigg)表示:“个人信息保护法中有很多含糊的地方,关于具体会如何落实该法,企业已经开始从监管机构那里得到了不一致的信息。”
政治研究机构Plenum创始人之一封楚诚表示,这种含糊其辞是有意为之:“这给了监管机构灵活性,以适应不断变化的环境。”
但对企业的数据保护官来说,在这种模棱两可的情况下走错一步,代价就是坐牢或被处以大额罚款。一家媒体公司的数据保护官表示:“我担心在该法的执行方式上会有冲突。我们的压力非常大。”
