近期,亚马逊又掀起了一轮视频验证。一些做过视频验证的卖家也收到了亚马逊的邮件,被要求“第二次视频验证”。 在接到邮件通知之后,卖家必须在7天内预约视频通话,并按照要求验证身份,否则将面临封号的风险(没有资格在亚马逊商城销售商品)。 必须注意的是,视频验证必须出示注册时提交的身份证件原件和营业执照原件,不接受任何新的文件。 亚马逊群发“二审视频验证”之后,一批卖家已经中招,视频验证失败,不仅本站点店铺被关闭,甚至还连累其他站点账号被关闭。 这个视频验证的目的就是要证明,这个账号是归属正在运营的卖家所有的,而不是买来的,或者通过其他形式获得的。 许多买账号的卖家,在一段时间后,往往无法联系到“原来的法人”,可能连原来的营业执照也找不到了,因为公司都被注销了。 在这种情况下,亚马逊会关掉账号,以避免风险。因为,如果让法人和公司都找不到的主体在亚马逊上销售,一旦产品出事(比如之前电池自燃而烧掉房子的事故),亚马逊无法找到真正的责任主体,那么,最终担责将是亚马逊自己。 因此,亚马逊在验证卖家身份方面,非常上心。甚至业内有一个说法,亚马逊还专门开发了一个算法来验证卖家身份。 该算法采用“软件+硬件”结合对比的方式,抓取卖家所在的物理地址,以及支付工具信息,以机器学习模型来分析和筛查“店铺”以及“ 开店申请”,一旦有问题,立即触发视频验证。【在亚马逊美国站点最新公布的《关于卖家的面部生物数据》中表示:“我们会利用您设备的相机采集您的脸部图片以及政府签发的身份证,并使用机器学习模型进行分析,以验证您是真人,且您的脸部图像与您身份证上的照片相符。”】 业内人士称,亚马逊在视频验证中,其系统会收集卖家的大量数据进行分析,如果视频验证地点和营业执照地点差太远,可能会触发风控。 当然,这一说法的具体情况有待进一步确认。 但没有疑问的点是,亚马逊对账户注册主体真实身份的验证,将会不断加强。 一位账号出现问题的卖家表示,在进行账号申诉时,亚马逊团队会问很多细节,有时细到令人意外的程度。 除了账号基本情况,还会问“细到毛细血管”的问题,比如员工的姓名、供应商名字和情况、卖得最好的产品是哪些、库存情况,甚至连店铺第一单成交的时间也被会问及。 种种情况表明,中国国内并没有负责亚马逊视频验证的团队。 据21世纪经济报道的消息,曾经参与视频验证的卖家李女士说道,“对方带有明显的印度口音,但无法确认具体位置。”而跨境卖家张先生则明确表示,Amazon Chime上显示对方的IP地址在新加坡。 律师:亚马逊视频验证或违反中国法律 目前,视频验证已经被亚马逊广泛用于各个场景中: 一、注册账号的时候; 二、账号有风险而可能被封的时候; 三、账号被封号后,卖家要追款的时候; 四、店铺涉嫌欺诈时、亚马逊要确认卖家身份的时候; 五、卖家二审提交了资料的时候。 视频验证的场景很多,同时涉及的中国卖家基数非常庞大。 图源:卖家大学2022年《亚马逊卖家注册指导(北美站点)(卖家自注册)》 仅在2021年亚马逊第三方卖家数量超过600万,虽然经过了封号潮,中国卖家的店铺数量锐减,但截至2021年12月,中国卖家依然占了45.2%(Marketplace Pulse)。 如此之多的中国卖家,在视频验证中被亚马逊收集、处理、存储的个人信息(包括个人敏感信息数据)。同时,这些信息可能被在境外被使用、传输、加工和提供。 那么,是否应受中国法律约束呢?是否符合相关法律规定呢? 依据最高人民法院于2021年7月27日发布的《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事若干问题的规定》第一条第三款规定,人脸信息属于生物识别信息。 人脸信息广泛涉及个人其他私密信息。比如,有些银行账户和人脸信息进行绑定、关联。因此,人脸信息一旦被泄露,会对个人人身和财产安全造成极大威胁。 中国人民大学法学院教授张新宝认为,外国公司通过其系统(如果是在中国可以登录的)在中国境内收集个人信息,应该受《个人信息保护法》的管辖。 华进律师事务所数据合规中心副主任颜赟赟认为,亚马逊视频验证或违反了多项法律规定: 一、亚马逊视频验证或违反了个人信息收集的最小必要原则 1.亚马逊视频验证超出了“最小必要的范围”: 根据《个人信息保护法》的规定,最小必要原则指的是“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。换言之,对于可收集可不收集的信息,则不收集。在《常见类型移动互联网应用程序必要个人信息范围规定》第5条第(六)项规定,网上购物类的必要个人信息包括:注册用户移动电话号码,收货人姓名(名称)、地址、联系电话,以及支付时间、支付金额、支付渠道等支付信息。 即跨境电商平台获取个人信息应当充分论证其必要性、正当性、合理性。 然而,亚马逊视频验证收集的信息已经超出了上述“最小化”范围。反过来说,如果作为跨境电商平台具有其特殊性,需要获取的信息不限于此,那么,亚马逊应当充分论证其必要性、正当性、合理性。 2.亚马逊视频验证缺失正当性和必要性 (1)大部分电商平台没有要求视频验证:视频验证并非平台总部所在国家对平台的要求,也并不是跨境电商平台约定俗成的做法。横向来看,仅有亚马逊、eBay、Shopee等少数平台有视频验证的要求。 (2)亚马逊已经采取了多种方式收集个人信息进行反欺诈的监控和调查:亚马逊在注册时,收集了营业执照、主要联系人姓名、出生日期、出生地、国籍、身份数据等信息,同时向卖家提供的公司地址发送明信片的方式,以进行验证其提供的公司地址是否真实。 此外,亚马逊还有“欺诈探测器”(Fraud Detector)等工具、技术手段以及复杂的算法进行反欺诈调查。 亚马逊收集的这些信息和监测手段,足以实现反欺诈的监控和调查目的。因此,亚马逊现在又追加视频验证,收集了人脸、声音在内的生物信息等个人敏感信息,已然超过了“最小化”范围。 (3)亚马逊并未告知个人信息主体其敏感信息收集的必要性和对个人权益可能的影响:依据《个人信息保护法》第三十条规定,个人信息处理者处理敏感个人信息的,除法律规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响。然而,亚马逊并未进行该告知。 二、亚马逊视频验证违反个人信息处理公开透明原则 《个人信息保护法》第七条规定了公开透明原则。 亚马逊在多个站点实行视频验证多年,但在其官网的隐私政策并未公开视频验证取得的面部和声音信息处理的目的、方式和范围。 虽然后面发布了《关于卖家的面部生物识别数据》政策,但已经是在实行视频验证很长一段时间后才发布的,但是此政策仅针对北美站点,既未见于其他站点。 图/亚马逊视频验证的相关政策 在该政策里也未提到声音这个生物识别信息的处理问题。显然,亚马逊视频验证违反了个人信息处理公开透明原则。 三、亚马逊视频验证违反敏感个人信息收集的“告知+单独同意”规则 依据《个人信息保护法》第十七条规定,个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知相关事项;且个人信息处理规则应当公开,便于查阅和保存。《个人信息保护法》第二十九条规定了处理敏感个人信息应当取得个人的单独同意。 在封号之后,亚马逊才通过邮件要求卖家进行视频验证并告知相关验证,然而,在收集和处理个人敏感信息时,亚马逊并未设置取得个人的单独同意的环节。 这里有一个问题,有些观点认为,法定代表人进行了视频验证,意味着以其在行为上作出了同意。 然而,亚马逊作为平台方,拥有强大话语权,其平台协议和政策是其单方面发布的,卖家没有任何拒绝的权利。卖家对个人信息采集和处理的同意,至多只是包含在对亚马逊所有政策的概括同意里,未有单独同意。 如前所述,卖家如果不遵从,要么无法成为注册卖家,要么无法取回资金,在这种情况下,卖家毫无选择权。 因此,亚马逊该视频验证违反了《个人信息保护法》第十四条、第二十九条。 四、亚马逊视频验证或违反《个人信息保护法》“不得拒绝”的规定 《个人信息保护法》第十六条规定:“个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。” 如前所述,亚马逊通过视频验证过度收集信息,其单方强制要求卖家接受视频认证,否则拒绝接受注册或者回款等行为,亦违反了《个人信息保护法》不得拒绝的要求。 五、亚马逊视频验证将采集的个人信息进行“跨境传输”未经单独同意 通过亚马逊视频验证使用的Amazon Chime视频会议软件,可能存在其向“境外传输”收集的个人信息的情况。 图/视频验证收集的个人信息和敏感信息出境并在境外存储 中国人民大学法学院教授张新宝在接受21世纪经济报道采访时表示,外国公司通过其系统收集个人信息向境外传输,属于向境外提供个人信息的行为。在他看来,收集满足其中之一即可,一是收集行为发生在中国境内;二是通过中国的通讯基础设施进行传输。 中国卖家的个人信息只要被传输至境外,依照《个人信息保护法》第三十九条,就应获得单独同意。 在中国法下,我们认为,企业卖家并不能决定个人信息采集和处理的方式和目的,不具备个人信息处理者应有之意。 六、亚马逊视频验证涉及数据出境,建议提交相关部门评估 在亚马逊封号案件庭审过程中,亚马逊美国律师向仲裁庭提供了卖家视频验证过程所有问答的未脱敏化文字信息,也包含了诸多个人信息。 根据《个人信息保护法》第三十八条规定,个人信息跨境提供需要具备一定条件,一是通过国家网信部门组织的安全评估,二是经过专业机构的个人信息保护认证,三是按照网信部门制定的标准合同与境外接收方订立合同,三者必居其一。 《评估办法》以及2022年8月31日国家互联网信息办公室发布的《数据出境安全评估申报指南(第一版)》,对数据出境安全评估申报方法、申报流程、申报材料等具体要求作出了说明,规定了数据处理者向境外提供数据,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估的情形。 去年9月1日正式施行的《数据出境安全评估办法》(以下简称《办法》)明确了出境数据的评估范围、评估机制以及各参与主体的责任,完善了数据出境安全评估的具体制度。 浙江理工大学法政学院特聘副教授、杭州长三角大数据研究院副院长郭兵接受21世纪经济报道采访时称:“结合视频验证这一特定场景,《办法》第2条中的‘运营’可能存在两种不同的理解,一种狭义理解,即处理个人生物识别信息的视频验证系统的物理载体必须在境内才属于‘在中华人民共和国境内运营’;另外一种是广义上运营,即处理个人生物识别信息的视频验证系统虽然物理载体在境外,但该系统可以从境内进入,也属于‘在中华人民共和国境内运营’。 ” 郭兵进一步解释称,从更好地保护中国公民合法权益以及国家安全的角度看,《办法》第2条宜从广义上解释“运营”的涵义。因此,亚马逊通过视频验证收集商家个人信息就可能属于“在中华人民共和国境内运营中收集的个人信息”。亚马逊作为数据处理者(个人信息处理者)将其在“在中华人民共和国境内运营中收集的个人信息”传输并存储在境外的行为,如果存在《办法》第4条所列情形的,就应当进行数据出境安全评估。 依照上述中国卖家的总量和数据出境判断,亚马逊应属于“处理100万人以上个人信息的数据处理者向境外提供个人信息”和/或“自2021年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息”,因此,建议其应向国家网信部门申报数据出境安全评估。 颜赟赟律师作为出海企业法律服务律师,在代理案件中观察到亚马逊收集和处理大量卖家个人信息(尤其包含了大量个人敏感信息),并由此进行初步合规分析,提出疑问,抛砖引玉,期待引发更多人士对跨境电商平台数据合规的深度思考和积极讨论。 |
2023-05-31
2023-02-17
2023-05-20
2023-05-17
2022-10-26
回答
评论