作者 億觀分析組
近期,亞馬遜又掀起了一輪視頻驗(yàn)證���。一些做過視頻驗(yàn)證的賣家也收到了亞馬遜的郵件����,被要求“第二次視頻驗(yàn)證”��。
在接到郵件通知之后����,賣家必須在7天內(nèi)預(yù)約視頻通話,并按照要求驗(yàn)證身份�����,否則將面臨封號(hào)的風(fēng)險(xiǎn)(沒有資格在亞馬遜商城銷售商品)����。
必須注意的是,視頻驗(yàn)證必須出示注冊(cè)時(shí)提交的身份證件原件和營(yíng)業(yè)執(zhí)照原件�����,不接受任何新的文件。
亞馬遜群發(fā)“二審視頻驗(yàn)證”之后����,一批賣家已經(jīng)中招,視頻驗(yàn)證失敗�,不僅本站點(diǎn)店鋪被關(guān)閉,甚至還連累其他站點(diǎn)賬號(hào)被關(guān)閉���。
這個(gè)視頻驗(yàn)證的目的就是要證明�����,這個(gè)賬號(hào)是歸屬正在運(yùn)營(yíng)的賣家所有的�����,而不是買來的,或者通過其他形式獲得的�。
許多買賬號(hào)的賣家,在一段時(shí)間后�����,往往無法聯(lián)系到“原來的法人”,可能連原來的營(yíng)業(yè)執(zhí)照也找不到了��,因?yàn)楣径急蛔N了��。
在這種情況下��,亞馬遜會(huì)關(guān)掉賬號(hào)��,以避免風(fēng)險(xiǎn)����。因?yàn)椋绻尫ㄈ撕凸径颊也坏降闹黧w在亞馬遜上銷售���,一旦產(chǎn)品出事(比如之前電池自燃而燒掉房子的事故)����,亞馬遜無法找到真正的責(zé)任主體�����,那么���,最終擔(dān)責(zé)將是亞馬遜自己�。
因此,亞馬遜在驗(yàn)證賣家身份方面���,非常上心��。甚至業(yè)內(nèi)有一個(gè)說法��,亞馬遜還專門開發(fā)了一個(gè)算法來驗(yàn)證賣家身份����。
該算法采用“軟件+硬件”結(jié)合對(duì)比的方式�,抓取賣家所在的物理地址,以及支付工具信息��,以機(jī)器學(xué)習(xí)模型來分析和篩查“店鋪”以及“ 開店申請(qǐng)”��,一旦有問題��,立即觸發(fā)視頻驗(yàn)證�����。【在亞馬遜美國(guó)站點(diǎn)最新公布的《關(guān)于賣家的面部生物數(shù)據(jù)》中表示:“我們會(huì)利用您設(shè)備的相機(jī)采集您的臉部圖片以及政府簽發(fā)的身份證���,并使用機(jī)器學(xué)習(xí)模型進(jìn)行分析�,以驗(yàn)證您是真人����,且您的臉部圖像與您身份證上的照片相符?!薄?/span>
業(yè)內(nèi)人士稱,亞馬遜在視頻驗(yàn)證中�����,其系統(tǒng)會(huì)收集賣家的大量數(shù)據(jù)進(jìn)行分析���,如果視頻驗(yàn)證地點(diǎn)和營(yíng)業(yè)執(zhí)照地點(diǎn)差太遠(yuǎn)���,可能會(huì)觸發(fā)風(fēng)控。 當(dāng)然�,這一說法的具體情況有待進(jìn)一步確認(rèn)。
但沒有疑問的點(diǎn)是���,亞馬遜對(duì)賬戶注冊(cè)主體真實(shí)身份的驗(yàn)證���,將會(huì)不斷加強(qiáng)。
一位賬號(hào)出現(xiàn)問題的賣家表示���,在進(jìn)行賬號(hào)申訴時(shí)���,亞馬遜團(tuán)隊(duì)會(huì)問很多細(xì)節(jié)�����,有時(shí)細(xì)到令人意外的程度�。
除了賬號(hào)基本情況�����,還會(huì)問“細(xì)到毛細(xì)血管”的問題�����,比如員工的姓名����、供應(yīng)商名字和情況、賣得最好的產(chǎn)品是哪些���、庫存情況�����,甚至連店鋪第一單成交的時(shí)間也被會(huì)問及����。
圖/亞馬遜要求收集的信息
種種情況表明�,中國(guó)國(guó)內(nèi)并沒有負(fù)責(zé)亞馬遜視頻驗(yàn)證的團(tuán)隊(duì)。
據(jù)21世紀(jì)經(jīng)濟(jì)報(bào)道的消息���,曾經(jīng)參與視頻驗(yàn)證的賣家李女士說道����,“對(duì)方帶有明顯的印度口音���,但無法確認(rèn)具體位置�?����!倍缇迟u家張先生則明確表示�,Amazon Chime上顯示對(duì)方的IP地址在新加坡。
律師:亞馬遜視頻驗(yàn)證或違反中國(guó)法律
目前�����,視頻驗(yàn)證已經(jīng)被亞馬遜廣泛用于各個(gè)場(chǎng)景中:
一、注冊(cè)賬號(hào)的時(shí)候�����;二�����、賬號(hào)有風(fēng)險(xiǎn)而可能被封的時(shí)候����;三、賬號(hào)被封號(hào)后����,賣家要追款的時(shí)候;四��、店鋪涉嫌欺詐時(shí)�����、亞馬遜要確認(rèn)賣家身份的時(shí)候����;五����、賣家二審提交了資料的時(shí)候�。
視頻驗(yàn)證的場(chǎng)景很多,同時(shí)涉及的中國(guó)賣家基數(shù)非常龐大��。
圖源:賣家大學(xué)2022年《亞馬遜賣家注冊(cè)指導(dǎo)(北美站點(diǎn))(賣家自注冊(cè))》
僅在2021年亞馬遜第三方賣家數(shù)量超過600萬�����,雖然經(jīng)過了封號(hào)潮���,中國(guó)賣家的店鋪數(shù)量銳減,但截至2021年12月�����,中國(guó)賣家依然占了45.2%(Marketplace Pulse)��。
如此之多的中國(guó)賣家����,在視頻驗(yàn)證中被亞馬遜收集、處理、存儲(chǔ)的個(gè)人信息(包括個(gè)人敏感信息數(shù)據(jù))�����。同時(shí)��,這些信息可能被在境外被使用�、傳輸、加工和提供��。
那么�����,是否應(yīng)受中國(guó)法律約束呢����?是否符合相關(guān)法律規(guī)定呢?
依據(jù)最高人民法院于2021年7月27日發(fā)布的《最高人民法院關(guān)于審理使用人臉識(shí)別技術(shù)處理個(gè)人信息相關(guān)民事若干問題的規(guī)定》第一條第三款規(guī)定�,人臉信息屬于生物識(shí)別信息。
人臉信息廣泛涉及個(gè)人其他私密信息��。比如����,有些銀行賬戶和人臉信息進(jìn)行綁定����、關(guān)聯(lián)����。因此,人臉信息一旦被泄露��,會(huì)對(duì)個(gè)人人身和財(cái)產(chǎn)安全造成極大威脅���。
中國(guó)人民大學(xué)法學(xué)院教授張新寶認(rèn)為,外國(guó)公司通過其系統(tǒng)(如果是在中國(guó)可以登錄的)在中國(guó)境內(nèi)收集個(gè)人信息�,應(yīng)該受《個(gè)人信息保護(hù)法》的管轄。
華進(jìn)律師事務(wù)所數(shù)據(jù)合規(guī)中心副主任顏赟赟認(rèn)為��,亞馬遜視頻驗(yàn)證或違反了多項(xiàng)法律規(guī)定:
一�、亞馬遜視頻驗(yàn)證或違反了個(gè)人信息收集的最小必要原則
1.亞馬遜視頻驗(yàn)證超出了“最小必要的范圍”: 根據(jù)《個(gè)人信息保護(hù)法》的規(guī)定,最小必要原則指的是“處理個(gè)人信息應(yīng)當(dāng)具有明確��、合理的目的����,并應(yīng)當(dāng)與處理目的直接相關(guān),采取對(duì)個(gè)人權(quán)益影響最小的方式�����。收集個(gè)人信息,應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍�,不得過度收集個(gè)人信息。換言之����,對(duì)于可收集可不收集的信息,則不收集�。在《常見類型移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序必要個(gè)人信息范圍規(guī)定》第5條第(六)項(xiàng)規(guī)定,網(wǎng)上購(gòu)物類的必要個(gè)人信息包括:注冊(cè)用戶移動(dòng)電話號(hào)碼��,收貨人姓名(名稱)�、地址、聯(lián)系電話�����,以及支付時(shí)間��、支付金額��、支付渠道等支付信息�。
即跨境電商平臺(tái)獲取個(gè)人信息應(yīng)當(dāng)充分論證其必要性、正當(dāng)性����、合理性�。
然而�����,亞馬遜視頻驗(yàn)證收集的信息已經(jīng)超出了上述“最小化”范圍��。反過來說���,如果作為跨境電商平臺(tái)具有其特殊性���,需要獲取的信息不限于此,那么�,亞馬遜應(yīng)當(dāng)充分論證其必要性�、正當(dāng)性、合理性����。
2.亞馬遜視頻驗(yàn)證缺失正當(dāng)性和必要性
(1)大部分電商平臺(tái)沒有要求視頻驗(yàn)證:視頻驗(yàn)證并非平臺(tái)總部所在國(guó)家對(duì)平臺(tái)的要求,也并不是跨境電商平臺(tái)約定俗成的做法�。橫向來看,僅有亞馬遜��、eBay、Shopee等少數(shù)平臺(tái)有視頻驗(yàn)證的要求�。
(2)亞馬遜已經(jīng)采取了多種方式收集個(gè)人信息進(jìn)行反欺詐的監(jiān)控和調(diào)查:亞馬遜在注冊(cè)時(shí),收集了營(yíng)業(yè)執(zhí)照�、主要聯(lián)系人姓名、出生日期���、出生地����、國(guó)籍��、身份數(shù)據(jù)等信息���,同時(shí)向賣家提供的公司地址發(fā)送明信片的方式��,以進(jìn)行驗(yàn)證其提供的公司地址是否真實(shí)��。
此外�,亞馬遜還有“欺詐探測(cè)器”(Fraud Detector)等工具�、技術(shù)手段以及復(fù)雜的算法進(jìn)行反欺詐調(diào)查。
亞馬遜收集的這些信息和監(jiān)測(cè)手段�����,足以實(shí)現(xiàn)反欺詐的監(jiān)控和調(diào)查目的。因此���,亞馬遜現(xiàn)在又追加視頻驗(yàn)證���,收集了人臉、聲音在內(nèi)的生物信息等個(gè)人敏感信息�,已然超過了“最小化”范圍。
(3)亞馬遜并未告知個(gè)人信息主體其敏感信息收集的必要性和對(duì)個(gè)人權(quán)益可能的影響:依據(jù)《個(gè)人信息保護(hù)法》第三十條規(guī)定�����,個(gè)人信息處理者處理敏感個(gè)人信息的���,除法律規(guī)定的事項(xiàng)外��,還應(yīng)當(dāng)向個(gè)人告知處理敏感個(gè)人信息的必要性以及對(duì)個(gè)人權(quán)益的影響����。然而�����,亞馬遜并未進(jìn)行該告知��。
二���、亞馬遜視頻驗(yàn)證違反個(gè)人信息處理公開透明原則
《個(gè)人信息保護(hù)法》第七條規(guī)定了公開透明原則�。
亞馬遜在多個(gè)站點(diǎn)實(shí)行視頻驗(yàn)證多年����,但在其官網(wǎng)的隱私政策并未公開視頻驗(yàn)證取得的面部和聲音信息處理的目的、方式和范圍�。
雖然后面發(fā)布了《關(guān)于賣家的面部生物識(shí)別數(shù)據(jù)》政策,但已經(jīng)是在實(shí)行視頻驗(yàn)證很長(zhǎng)一段時(shí)間后才發(fā)布的�����,但是此政策僅針對(duì)北美站點(diǎn)����,既未見于其他站點(diǎn)。
圖/亞馬遜視頻驗(yàn)證的相關(guān)政策
在該政策里也未提到聲音這個(gè)生物識(shí)別信息的處理問題����。顯然,亞馬遜視頻驗(yàn)證違反了個(gè)人信息處理公開透明原則�。
三、亞馬遜視頻驗(yàn)證違反敏感個(gè)人信息收集的“告知+單獨(dú)同意”規(guī)則
依據(jù)《個(gè)人信息保護(hù)法》第十七條規(guī)定,個(gè)人信息處理者在處理個(gè)人信息前���,應(yīng)當(dāng)以顯著方式���、清晰易懂的語言真實(shí)、準(zhǔn)確�、完整地向個(gè)人告知相關(guān)事項(xiàng);且個(gè)人信息處理規(guī)則應(yīng)當(dāng)公開���,便于查閱和保存�?�!秱€(gè)人信息保護(hù)法》第二十九條規(guī)定了處理敏感個(gè)人信息應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意���。
在封號(hào)之后�,亞馬遜才通過郵件要求賣家進(jìn)行視頻驗(yàn)證并告知相關(guān)驗(yàn)證����,然而,在收集和處理個(gè)人敏感信息時(shí)�,亞馬遜并未設(shè)置取得個(gè)人的單獨(dú)同意的環(huán)節(jié)。
這里有一個(gè)問題��,有些觀點(diǎn)認(rèn)為����,法定代表人進(jìn)行了視頻驗(yàn)證,意味著以其在行為上作出了同意����。
然而,亞馬遜作為平臺(tái)方�,擁有強(qiáng)大話語權(quán),其平臺(tái)協(xié)議和政策是其單方面發(fā)布的���,賣家沒有任何拒絕的權(quán)利�����。賣家對(duì)個(gè)人信息采集和處理的同意��,至多只是包含在對(duì)亞馬遜所有政策的概括同意里���,未有單獨(dú)同意。
如前所述��,賣家如果不遵從����,要么無法成為注冊(cè)賣家�����,要么無法取回資金�,在這種情況下����,賣家毫無選擇權(quán)。
因此����,亞馬遜該視頻驗(yàn)證違反了《個(gè)人信息保護(hù)法》第十四條、第二十九條����。
四、亞馬遜視頻驗(yàn)證或違反《個(gè)人信息保護(hù)法》“不得拒絕”的規(guī)定
《個(gè)人信息保護(hù)法》第十六條規(guī)定:“個(gè)人信息處理者不得以個(gè)人不同意處理其個(gè)人信息或者撤回同意為由��,拒絕提供產(chǎn)品或者服務(wù)���;處理個(gè)人信息屬于提供產(chǎn)品或者服務(wù)所必需的除外����。”
如前所述��,亞馬遜通過視頻驗(yàn)證過度收集信息���,其單方強(qiáng)制要求賣家接受視頻認(rèn)證,否則拒絕接受注冊(cè)或者回款等行為�����,亦違反了《個(gè)人信息保護(hù)法》不得拒絕的要求�。
五、亞馬遜視頻驗(yàn)證將采集的個(gè)人信息進(jìn)行“跨境傳輸”未經(jīng)單獨(dú)同意
通過亞馬遜視頻驗(yàn)證使用的Amazon Chime視頻會(huì)議軟件��,可能存在其向“境外傳輸”收集的個(gè)人信息的情況���。
圖/視頻驗(yàn)證收集的個(gè)人信息和敏感信息出境并在境外存儲(chǔ)
中國(guó)人民大學(xué)法學(xué)院教授張新寶在接受21世紀(jì)經(jīng)濟(jì)報(bào)道采訪時(shí)表示����,外國(guó)公司通過其系統(tǒng)收集個(gè)人信息向境外傳輸�����,屬于向境外提供個(gè)人信息的行為��。在他看來,收集滿足其中之一即可�����,一是收集行為發(fā)生在中國(guó)境內(nèi)��;二是通過中國(guó)的通訊基礎(chǔ)設(shè)施進(jìn)行傳輸�����。
中國(guó)賣家的個(gè)人信息只要被傳輸至境外��,依照《個(gè)人信息保護(hù)法》第三十九條��,就應(yīng)獲得單獨(dú)同意�。
在中國(guó)法下,我們認(rèn)為�����,企業(yè)賣家并不能決定個(gè)人信息采集和處理的方式和目的��,不具備個(gè)人信息處理者應(yīng)有之意����。
六����、亞馬遜視頻驗(yàn)證涉及數(shù)據(jù)出境�,建議提交相關(guān)部門評(píng)估
在亞馬遜封號(hào)案件庭審過程中,亞馬遜美國(guó)律師向仲裁庭提供了賣家視頻驗(yàn)證過程所有問答的未脫敏化文字信息�����,也包含了諸多個(gè)人信息����。
根據(jù)《個(gè)人信息保護(hù)法》第三十八條規(guī)定����,個(gè)人信息跨境提供需要具備一定條件,一是通過國(guó)家網(wǎng)信部門組織的安全評(píng)估��,二是經(jīng)過專業(yè)機(jī)構(gòu)的個(gè)人信息保護(hù)認(rèn)證�����,三是按照網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同�����,三者必居其一。
《評(píng)估辦法》以及2022年8月31日國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布的《數(shù)據(jù)出境安全評(píng)估申報(bào)指南(第一版)》��,對(duì)數(shù)據(jù)出境安全評(píng)估申報(bào)方法��、申報(bào)流程�、申報(bào)材料等具體要求作出了說明,規(guī)定了數(shù)據(jù)處理者向境外提供數(shù)據(jù)��,應(yīng)當(dāng)通過所在地省級(jí)網(wǎng)信部門向國(guó)家網(wǎng)信部門申報(bào)數(shù)據(jù)出境安全評(píng)估的情形�����。
去年9月1日正式施行的《數(shù)據(jù)出境安全評(píng)估辦法》(以下簡(jiǎn)稱《辦法》)明確了出境數(shù)據(jù)的評(píng)估范圍�����、評(píng)估機(jī)制以及各參與主體的責(zé)任�����,完善了數(shù)據(jù)出境安全評(píng)估的具體制度�����。
浙江理工大學(xué)法政學(xué)院特聘副教授��、杭州長(zhǎng)三角大數(shù)據(jù)研究院副院長(zhǎng)郭兵接受21世紀(jì)經(jīng)濟(jì)報(bào)道采訪時(shí)稱:“結(jié)合視頻驗(yàn)證這一特定場(chǎng)景,《辦法》第2條中的‘運(yùn)營(yíng)’可能存在兩種不同的理解��,一種狹義理解�,即處理個(gè)人生物識(shí)別信息的視頻驗(yàn)證系統(tǒng)的物理載體必須在境內(nèi)才屬于‘在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)’;另外一種是廣義上運(yùn)營(yíng)�����,即處理個(gè)人生物識(shí)別信息的視頻驗(yàn)證系統(tǒng)雖然物理載體在境外���,但該系統(tǒng)可以從境內(nèi)進(jìn)入����,也屬于‘在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)’����。 ”
郭兵進(jìn)一步解釋稱��,從更好地保護(hù)中國(guó)公民合法權(quán)益以及國(guó)家安全的角度看��,《辦法》第2條宜從廣義上解釋“運(yùn)營(yíng)”的涵義����。因此�,亞馬遜通過視頻驗(yàn)證收集商家個(gè)人信息就可能屬于“在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集的個(gè)人信息”��。亞馬遜作為數(shù)據(jù)處理者(個(gè)人信息處理者)將其在“在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集的個(gè)人信息”傳輸并存儲(chǔ)在境外的行為���,如果存在《辦法》第4條所列情形的���,就應(yīng)當(dāng)進(jìn)行數(shù)據(jù)出境安全評(píng)估。
依照上述中國(guó)賣家的總量和數(shù)據(jù)出境判斷���,亞馬遜應(yīng)屬于“處理100萬人以上個(gè)人信息的數(shù)據(jù)處理者向境外提供個(gè)人信息”和/或“自2021年1月1日起累計(jì)向境外提供10萬人個(gè)人信息或者1萬人敏感個(gè)人信息的數(shù)據(jù)處理者向境外提供個(gè)人信息”�����,因此���,建議其應(yīng)向國(guó)家網(wǎng)信部門申報(bào)數(shù)據(jù)出境安全評(píng)估。
顏赟赟律師作為出海企業(yè)法律服務(wù)律師���,在代理案件中觀察到亞馬遜收集和處理大量賣家個(gè)人信息(尤其包含了大量個(gè)人敏感信息)�,并由此進(jìn)行初步合規(guī)分析���,提出疑問���,拋磚引玉���,期待引發(fā)更多人士對(duì)跨境電商平臺(tái)數(shù)據(jù)合規(guī)的深度思考和積極討論。 (億觀分析組)
如果本文對(duì)您有點(diǎn)用��,煩請(qǐng)點(diǎn)贊���、關(guān)注�、在看����,謝謝啦。
