亚马逊“封号潮”余波不断:卖家个人信息跨境或面保护危机

  来源:21 世纪经济报道

  见习记者/郑雪严灿 

  近几年来,跨境电商已成为我国进出口贸易的重要组成部分,极具发展活力和潜力。海关数据显示,2022 年我国跨境电商进出口(含 B2B)2.11 万亿元,同比增长 9.8%。

  亚马逊全球开店作为跨境电商头部品牌,也成为不少国内卖家出海的首选平台。根据 Marketplace Pulse 最新报告,截至 2022 年 12 月,在亚马逊全球市场上,中国卖家在 TOP 卖家中占比达到了 45.66%。

  但亚马逊卖家“跨服淘金”,也面临诸多挑战,承担着巨大风险。除了陌生的市场竞争和法律法规、遥远的库存管理和物流把控,一旦店铺被判定涉嫌欺诈或者违反亚马逊商业解决服务协议第三条,就会面临账号被封和资金冻结的局面。

  被封账号如要申请回款,亚马逊通知要求必须通过“视频验证”,成功后才有可能回款。同时,视频验证的正当性和必要性一直饱受广大卖家的质疑,有效同意和告知等程序亦存在不足,验证过程更是涉及到了卖家数据跨境的问题。

  多位专家在接受 21 世纪经济报道采访时表示,亚马逊视频验证中的相关数据引起的合规问题受到《个人信息保护法》的管辖;但对于视频验证中产生的数据跨境流动是否需要进行安全评估,从收集、运营等角度出发,不同的专家则持不同的观点。

  “视频验证”涉及数据跨境

  2021 年 4 月底以来,中国卖家遭遇亚马逊封号潮,约有 600 个中国品牌和 3000 个卖家账号被封。亚马逊给出的理由是商家存在违规操作,包括“操纵评论”“刷单”和“违规账号关联”等。

  同年 9 月 17 日,亚马逊全球副总裁戴竫斐在接受央视财经采访时表示,“如果卖家能够证明亚马逊的判断有误,或者是他们的违规行为只是暂时的或是无意的过失,亚马逊希望能够看到他们提供一些避免未来再次违规的方案,之后便会恢复他们的账号;但是如果卖家的账号申诉不成功,或者是卖家不进行申诉,那么这个账号里面的资金会被暂时冻结,冻结周期为 90 天,这些资金将被用来支付对客户的退货、退款、赔偿等费用以及卖家其他未支付费用。在冻结周期之后,我们就会通过正常的流程告诉卖家申请资金的退还,如果卖家不涉及其他犯罪违法违规行为,只要通过身份的验证便能够将资金取回。”

  华进律师所数据合规部副主任、广东民营企业进出口商会法务部秘书长颜赟赟律师告诉 21 记者,“受封号潮影响,亚马逊卖家如果想要解封账号、解冻资金,则必须进行视频验证,这是之前没有的。”

  虽然成功机会渺茫,但面临着店铺账号被关、库存被封、资金被冻的困局,不少中国卖家提出了申诉,也去尝试封号 90 天后,提出回款申请并接受了视频验证。

  据了解,提出回款申请的卖家,需要完成视频验证,顺利通过才能解冻资金。视频验证过程中,卖家需要使用亚马逊提供的 Amazon Chime 会议软件或者直接点击亚马逊后台链接。视频验证需由公司法定代表人出席,携带身份证件、员工信息、银行对账单等材料。

  同时,种种迹象表明,中国国内并没有负责亚马逊视频验证的团队。曾经参与视频验证的卖家李女士说道,“对方带有明显的印度口音,但无法确认具体位置。”而跨境卖家张先生在接受 21 世纪经济报道采访时则明确表示,Amazon Chime 上显示对方的 IP 地址在新加坡。

  显然,视频验证过程涉及到了卖家数据跨境的问题。

  此外,验证过程中,法定代表人需要回答审核人员提出的大量细致问题。跨境卖家陈先生对 21 记者介绍,“账号申诉时,亚马逊会详细询问很多细节,包括账号的基本情况,详细的经营记录,比如店铺第一单产生的时间、员工的姓名、供应商的信息、相关费用收支明细、卖得最好的产品、相应库存数量等等,还有一些个人信息,大概会持续 50 分钟。”

  整个过程由亚马逊方开启视频录制,卖家则不被允许视频录制。在整个验证过程中,法定代表人点头、摇头、眨眼等行为被记录的同时,属于生物识别信息的面部信息也将一同记录。需要注意的是,生物识别信息有着强烈的人身属性,反映个人独一无二的特征,若是发生泄露,则会造成严重影响。

  数字化时代,数据已经成为企业市场竞争中的重要力量。数据促进社会经济发展的同时,安全及隐私保护也成为用户日益关注的焦点。

  相关跨境卖家在接受 21 世纪经济报道采访时表示,他们并未在官方网站找到专门视频验证文件介绍。对于视频验证过程中产生的数据,诸如卖家的人脸数据、视频数据,存储在什么地方、保留多长时间、将会被用在什么地方等问题,亚马逊并没有明确说明。

  卖家陈先生曾向亚马逊发送邮件,要求对方说明视频验证相关数据问题,包括用途、存储、处理、保护等问题,但并没有得到正式回复。“他们只是互相踢皮球。”

  曾有卖家表示,在视频验证的过程中,亚马逊审核人员曾说过,“为了保证服务质量和培训目的会对整个过程进行录制”。

  “这样的视频验证已经超出原有反欺诈的目的。”颜赟赟说道。

  同时,颜赟赟关注到一个新变化。2021 年开始,亚马逊日本站、欧洲站、美国站这三个站点,要求任何新注册的卖家都要进行视频验证,在此之前只有欺诈账号才要视频验证。

  21 世纪经济报道记者曾向亚马逊中国询问跨境“视频验证”涉及的数据存储、隐私、传输等问题,对方回应目前无法提供相关信息。

  数据跨境流动规则尚未达成共识

  数据在流动中产生价值,但是数据的跨国流动往往涉及国家战略、地缘政治、经济运行等一系列复杂因素,数据跨境流动已经成为各国关注的焦点问题之一。而在数据跨境流动的国际规则制定上,当前并没有形成共识。

  美国主张全球数据自由流动,构建数据“单向”的流动格局,但在关键领域,如人工智能关键技术、敏感个人数据,对其数据出境施加限制措施。另外,2018 年美国国会通过《澄清境外数据合法使用法案》,赋予美国执法机构向企业调取存储在美国境外服务器上的数据的权力。

  欧盟的数据跨境政策,可见于 2018 年正式实施的《通用数据保护条例》(以下简称 GDPR)。数据只能传输到和欧盟具有同等保护程度的国家和地区,只能在少数特殊情形下进行克减。在强化个人隐私数据保护的同时,提升数据竞争优势。

  国际贸易中,电子商务往往更容易遇到数据跨境问题。某互联网平台法务负责人对 21 记者介绍称,“目前大部分跨境电商都是独立品牌运作,采取单独服务模式。”跨境电商相关商品的详情页需要告知此为境外产品和相应协议条款,其面临税务、海关等监管。

  数据跨境方面,我国已基本建立数据跨境的法律规制框架。

  《网络安全法》规定关键信息基础设施的数据确需向境外提供的,要进行安全评估。

  2021 年 11 月 1 日正式实施的《个人信息保护法》则规定了个人信息处理者数据跨境传输的三种方式:安全评估、个人信息保护认证、标准合同。

  去年 9 月 1 日正式施行的《数据出境安全评估办法》(以下简称《办法》)明确了出境数据的评估范围、评估机制以及各参与主体的责任,完善了数据出境安全评估的具体制度。

  视频验证涉及数据跨国流动,对于卖家反馈视频验证中数据存储、保护、用途等的并不清晰的回答,又该如何确认隐私保护和数据安全?值得一提的是,2021 年 4 月,美国亚马逊宣布退出中国电商市场,但将保留云计算、Kindle 和跨境贸易业务。

  上述平台法务负责人表示,亚马逊虽在中国境内没有开展电子商务部分,但在中国境内有实体公司,中国相关法律对其适用。

  在中国人民大学法学院教授张新宝看来,外国公司通过其系统(如果是在中国可以登录的)在中国境内收集个人信息,应该受《个人信息保护法》的管辖。

  跨境流动的数据是否需要安全评估?

  在数据跨境备受关注的当前,视频验证产生的数据跨境问题又该如何理解?是否需要进行安全评估?

  多位受访专家对 21 世纪经济报道表示,对这一问题的回答,需要回到对《办法》第二条“收集、运营”的理解。

  张新宝表示,外国公司通过其系统收集个人信息向境外传输,属于向境外提供个人信息的行为。在他看来,收集满足其中之一即可,一是收集行为发生在中国境内;二是通过中国的通讯基础设施进行传输。

  广州金鹏律师事务所合伙人、广东省律师协会跨境电商委主任詹朝霞律师认为,《办法》第二条关于数据处理者的定义以及“运营中”的理解,应该结合实施数据处理的具体行为、数据使用的最终目的来综合认定。

  具体到这个案件中来,亚马逊公司已经结束中国电商业务,是否属于《办法》所规定的“运营”范畴?

  颜赟赟表示,亚马逊全球跨境电商平台的运营由其全球业务所在国各个公司一体化运作,不能孤立地只看亚马逊全球站点设立在哪个国家。“中国经营活动构成亚马逊全球运营不可或缺、不可分割的组成部分,所以应认定亚马逊在中国有运营行为,相关卖家视频验证数据的收集和产生与该运营行为相关。”

  “结合视频验证这一特定场景,《办法》第 2 条中的‘运营’可能存在两种不同的理解,一种狭义理解,即处理个人生物识别信息的视频验证系统的物理载体必须在境内才属于‘在中华人民共和国境内运营’;另外一种是广义上运营,即处理个人生物识别信息的视频验证系统虽然物理载体在境外,但该系统可以从境内进入,也属于‘在中华人民共和国境内运营’。”浙江理工大学法政学院特聘副教授、杭州长三角大数据研究院副院长郭兵说道。

  郭兵进一步解释称,从更好地保护中国公民合法权益以及国家安全的角度看,《办法》第 2 条宜从广义上解释“运营”的涵义。因此,亚马逊通过视频验证收集商家个人信息就可能属于“在中华人民共和国境内运营中收集的个人信息”。亚马逊作为数据处理者(个人信息处理者)将其在“在中华人民共和国境内运营中收集的个人信息”传输并存储在境外的行为,如果存在《办法》第 4 条所列情形的,就应当进行数据出境安全评估。

  同时也有学者表示不同观点。

  北京航空航天大学法学院副教授、北京科技创新中心研究基地副主任赵精武认为,《办法》无法对亚马逊强制适用。因为数据出境安全评估的适用情形主要是以境内数据处理者向境外机构提供重要数据和法定数量的个人信息。“但是,在这个案件中,卖家解封视频认证的方式大多是与境外机构直接进行的,而不是经由亚马逊在中国境内的机构传输给境外机构。”

  北京市中伦文德律师事务所网络安全和数据合规专业委员会主任徐云飞亦持此种观点。“境内数据处理者的存在构成《办法》的适用前提,如不存在境内数据处理者,则理论上适用《办法》缺乏法律依据。”

  对于“运营、收集”的理解只是理解亚马逊视频验证中的数据跨境的第一步。由谁申报、责任和义务如何划分等问题仍需值得进一步探讨。