作者 億觀分析組

近期，亞馬遜又掀起了一輪視頻驗證。一些做過視頻驗證的賣家也收到了亞馬遜的郵件，被要求“第二次視頻驗證”。

在接到郵件通知之后，賣家必須在7天內預約視頻通話，并按照要求驗證身份，否則將面臨封號的風險（沒有資格在亞馬遜商城銷售商品）。

必須注意的是，視頻驗證必須出示注冊時提交的身份證件原件和營業執照原件，不接受任何新的文件。

亞馬遜群發“二審視頻驗證”之后，一批賣家已經中招，視頻驗證失敗，不僅本站點店鋪被關閉，甚至還連累其他站點賬號被關閉。

這個視頻驗證的目的就是要證明，這個賬號是歸屬正在運營的賣家所有的，而不是買來的，或者通過其他形式獲得的。

許多買賬號的賣家，在一段時間后，往往無法聯系到“原來的法人”，可能連原來的營業執照也找不到了，因為公司都被注銷了。

在這種情況下，亞馬遜會關掉賬號，以避免風險。因為，如果讓法人和公司都找不到的主體在亞馬遜上銷售，一旦產品出事（比如之前電池自燃而燒掉房子的事故），亞馬遜無法找到真正的責任主體，那么，最終擔責將是亞馬遜自己。

因此，亞馬遜在驗證賣家身份方面，非常上心。甚至業內有一個說法，亞馬遜還專門開發了一個算法來驗證賣家身份。

該算法采用“軟件+硬件”結合對比的方式，抓取賣家所在的物理地址，以及支付工具信息，以機器學習模型來分析和篩查“店鋪”以及“ 開店申請”，一旦有問題，立即觸發視頻驗證。【在亞馬遜美國站點最新公布的《關于賣家的面部生物數據》中表示：“我們會利用您設備的相機采集您的臉部圖片以及政府簽發的身份證，并使用機器學習模型進行分析，以驗證您是真人，且您的臉部圖像與您身份證上的照片相符。”】

業內人士稱，亞馬遜在視頻驗證中，其系統會收集賣家的大量數據進行分析，如果視頻驗證地點和營業執照地點差太遠，可能會觸發風控。 當然，這一說法的具體情況有待進一步確認。

但沒有疑問的點是，亞馬遜對賬戶注冊主體真實身份的驗證，將會不斷加強。

一位賬號出現問題的賣家表示，在進行賬號申訴時，亞馬遜團隊會問很多細節，有時細到令人意外的程度。

除了賬號基本情況，還會問“細到毛細血管”的問題，比如員工的姓名、供應商名字和情況、賣得最好的產品是哪些、庫存情況，甚至連店鋪第一單成交的時間也被會問及。

圖/亞馬遜要求收集的信息

種種情況表明，中國國內并沒有負責亞馬遜視頻驗證的團隊。

據21世紀經濟報道的消息，曾經參與視頻驗證的賣家李女士說道，“對方帶有明顯的印度口音，但無法確認具體位置。”而跨境賣家張先生則明確表示，Amazon Chime上顯示對方的IP地址在新加坡。

律師：亞馬遜視頻驗證或違反中國法律

目前，視頻驗證已經被亞馬遜廣泛用于各個場景中：

一、注冊賬號的時候；二、賬號有風險而可能被封的時候；三、賬號被封號后，賣家要追款的時候；四、店鋪涉嫌欺詐時、亞馬遜要確認賣家身份的時候；五、賣家二審提交了資料的時候。

視頻驗證的場景很多，同時涉及的中國賣家基數非常龐大。

圖源：賣家大學2022年《亞馬遜賣家注冊指導（北美站點）（賣家自注冊）》

僅在2021年亞馬遜第三方賣家數量超過600萬，雖然經過了封號潮，中國賣家的店鋪數量銳減，但截至2021年12月，中國賣家依然占了45.2%（Marketplace Pulse）。

如此之多的中國賣家，在視頻驗證中被亞馬遜收集、處理、存儲的個人信息（包括個人敏感信息數據）。同時，這些信息可能被在境外被使用、傳輸、加工和提供。

那么，是否應受中國法律約束呢？是否符合相關法律規定呢？

依據最高人民法院于2021年7月27日發布的《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事若干問題的規定》第一條第三款規定，人臉信息屬于生物識別信息。

人臉信息廣泛涉及個人其他私密信息。比如，有些銀行賬戶和人臉信息進行綁定、關聯。因此，人臉信息一旦被泄露，會對個人人身和財產安全造成極大威脅。

中國人民大學法學院教授張新寶認為，外國公司通過其系統（如果是在中國可以登錄的）在中國境內收集個人信息，應該受《個人信息保護法》的管轄。

華進律師事務所數據合規中心副主任顏赟赟認為，亞馬遜視頻驗證或違反了多項法律規定：

一、亞馬遜視頻驗證或違反了個人信息收集的最小必要原則

1.亞馬遜視頻驗證超出了“最小必要的范圍”： 根據《個人信息保護法》的規定，最小必要原則指的是“處理個人信息應當具有明確、合理的目的，并應當與處理目的直接相關，采取對個人權益影響最小的方式。收集個人信息，應當限于實現處理目的的最小范圍，不得過度收集個人信息。換言之，對于可收集可不收集的信息，則不收集。在《常見類型移動互聯網應用程序必要個人信息范圍規定》第5條第（六）項規定，網上購物類的必要個人信息包括：注冊用戶移動電話號碼，收貨人姓名（名稱）、地址、聯系電話，以及支付時間、支付金額、支付渠道等支付信息。

即跨境電商平臺獲取個人信息應當充分論證其必要性、正當性、合理性。

然而，亞馬遜視頻驗證收集的信息已經超出了上述“最小化”范圍。反過來說，如果作為跨境電商平臺具有其特殊性，需要獲取的信息不限于此，那么，亞馬遜應當充分論證其必要性、正當性、合理性。

2.亞馬遜視頻驗證缺失正當性和必要性

（1）大部分電商平臺沒有要求視頻驗證：視頻驗證并非平臺總部所在國家對平臺的要求，也并不是跨境電商平臺約定俗成的做法。橫向來看，僅有亞馬遜、eBay、Shopee等少數平臺有視頻驗證的要求。

（2）亞馬遜已經采取了多種方式收集個人信息進行反欺詐的監控和調查：亞馬遜在注冊時，收集了營業執照、主要聯系人姓名、出生日期、出生地、國籍、身份數據等信息，同時向賣家提供的公司地址發送明信片的方式，以進行驗證其提供的公司地址是否真實。

此外，亞馬遜還有“欺詐探測器”（Fraud Detector）等工具、技術手段以及復雜的算法進行反欺詐調查。

亞馬遜收集的這些信息和監測手段，足以實現反欺詐的監控和調查目的。因此，亞馬遜現在又追加視頻驗證，收集了人臉、聲音在內的生物信息等個人敏感信息，已然超過了“最小化”范圍。

（3）亞馬遜并未告知個人信息主體其敏感信息收集的必要性和對個人權益可能的影響：依據《個人信息保護法》第三十條規定，個人信息處理者處理敏感個人信息的，除法律規定的事項外，還應當向個人告知處理敏感個人信息的必要性以及對個人權益的影響。然而，亞馬遜并未進行該告知。

二、亞馬遜視頻驗證違反個人信息處理公開透明原則

《個人信息保護法》第七條規定了公開透明原則。

亞馬遜在多個站點實行視頻驗證多年，但在其官網的隱私政策并未公開視頻驗證取得的面部和聲音信息處理的目的、方式和范圍。

雖然后面發布了《關于賣家的面部生物識別數據》政策，但已經是在實行視頻驗證很長一段時間后才發布的，但是此政策僅針對北美站點，既未見于其他站點。

圖/亞馬遜視頻驗證的相關政策

在該政策里也未提到聲音這個生物識別信息的處理問題。顯然，亞馬遜視頻驗證違反了個人信息處理公開透明原則。

三、亞馬遜視頻驗證違反敏感個人信息收集的“告知+單獨同意”規則

依據《個人信息保護法》第十七條規定，個人信息處理者在處理個人信息前，應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知相關事項；且個人信息處理規則應當公開，便于查閱和保存。《個人信息保護法》第二十九條規定了處理敏感個人信息應當取得個人的單獨同意。

在封號之后，亞馬遜才通過郵件要求賣家進行視頻驗證并告知相關驗證，然而，在收集和處理個人敏感信息時，亞馬遜并未設置取得個人的單獨同意的環節。

這里有一個問題，有些觀點認為，法定代表人進行了視頻驗證，意味著以其在行為上作出了同意。

然而，亞馬遜作為平臺方，擁有強大話語權，其平臺協議和政策是其單方面發布的，賣家沒有任何拒絕的權利。賣家對個人信息采集和處理的同意，至多只是包含在對亞馬遜所有政策的概括同意里，未有單獨同意。

如前所述，賣家如果不遵從，要么無法成為注冊賣家，要么無法取回資金，在這種情況下，賣家毫無選擇權。

因此，亞馬遜該視頻驗證違反了《個人信息保護法》第十四條、第二十九條。

四、亞馬遜視頻驗證或違反《個人信息保護法》“不得拒絕”的規定

《個人信息保護法》第十六條規定：“個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由，拒絕提供產品或者服務；處理個人信息屬于提供產品或者服務所必需的除外。”

如前所述，亞馬遜通過視頻驗證過度收集信息，其單方強制要求賣家接受視頻認證，否則拒絕接受注冊或者回款等行為，亦違反了《個人信息保護法》不得拒絕的要求。

五、亞馬遜視頻驗證將采集的個人信息進行“跨境傳輸”未經單獨同意

通過亞馬遜視頻驗證使用的Amazon Chime視頻會議軟件，可能存在其向“境外傳輸”收集的個人信息的情況。

圖/視頻驗證收集的個人信息和敏感信息出境并在境外存儲

中國人民大學法學院教授張新寶在接受21世紀經濟報道采訪時表示，外國公司通過其系統收集個人信息向境外傳輸，屬于向境外提供個人信息的行為。在他看來，收集滿足其中之一即可，一是收集行為發生在中國境內；二是通過中國的通訊基礎設施進行傳輸。

中國賣家的個人信息只要被傳輸至境外，依照《個人信息保護法》第三十九條，就應獲得單獨同意。

在中國法下，我們認為，企業賣家并不能決定個人信息采集和處理的方式和目的，不具備個人信息處理者應有之意。

六、亞馬遜視頻驗證涉及數據出境，建議提交相關部門評估

在亞馬遜封號案件庭審過程中，亞馬遜美國律師向仲裁庭提供了賣家視頻驗證過程所有問答的未脫敏化文字信息，也包含了諸多個人信息。

根據《個人信息保護法》第三十八條規定，個人信息跨境提供需要具備一定條件，一是通過國家網信部門組織的安全評估，二是經過專業機構的個人信息保護認證，三是按照網信部門制定的標準合同與境外接收方訂立合同，三者必居其一。

《評估辦法》以及2022年8月31日國家互聯網信息辦公室發布的《數據出境安全評估申報指南（第一版）》，對數據出境安全評估申報方法、申報流程、申報材料等具體要求作出了說明，規定了數據處理者向境外提供數據，應當通過所在地省級網信部門向國家網信部門申報數據出境安全評估的情形。

去年9月1日正式施行的《數據出境安全評估辦法》（以下簡稱《辦法》）明確了出境數據的評估范圍、評估機制以及各參與主體的責任，完善了數據出境安全評估的具體制度。

浙江理工大學法政學院特聘副教授、杭州長三角大數據研究院副院長郭兵接受21世紀經濟報道采訪時稱：“結合視頻驗證這一特定場景，《辦法》第2條中的‘運營’可能存在兩種不同的理解，一種狹義理解，即處理個人生物識別信息的視頻驗證系統的物理載體必須在境內才屬于‘在中華人民共和國境內運營’；另外一種是廣義上運營，即處理個人生物識別信息的視頻驗證系統雖然物理載體在境外，但該系統可以從境內進入，也屬于‘在中華人民共和國境內運營’。 ”

郭兵進一步解釋稱，從更好地保護中國公民合法權益以及國家安全的角度看，《辦法》第2條宜從廣義上解釋“運營”的涵義。因此，亞馬遜通過視頻驗證收集商家個人信息就可能屬于“在中華人民共和國境內運營中收集的個人信息”。亞馬遜作為數據處理者（個人信息處理者）將其在“在中華人民共和國境內運營中收集的個人信息”傳輸并存儲在境外的行為，如果存在《辦法》第4條所列情形的，就應當進行數據出境安全評估。

依照上述中國賣家的總量和數據出境判斷，亞馬遜應屬于“處理100萬人以上個人信息的數據處理者向境外提供個人信息”和/或“自2021年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息”，因此，建議其應向國家網信部門申報數據出境安全評估。

顏赟赟律師作為出海企業法律服務律師，在代理案件中觀察到亞馬遜收集和處理大量賣家個人信息（尤其包含了大量個人敏感信息），并由此進行初步合規分析，提出疑問，拋磚引玉，期待引發更多人士對跨境電商平臺數據合規的深度思考和積極討論。 （億觀分析組）

如果本文對您有點用，煩請點贊、關注、在看，謝謝啦。