來源：21世紀經濟報道

見習記者/鄭雪 嚴燦 

近幾年來，跨境電商已成爲我國進出口貿易的重要組成部分，極具發展活力和潛力。海關數據顯示，2022年我國跨境電商進出口（含B2B）2.11萬億元，同比增長9.8%。

亞馬遜全球開店作爲跨境電商頭部品牌，也成爲不少國內賣家出海的首選平臺。根據Marketplace Pulse最新報告，截至2022年12月，在亞馬遜全球市場上，中國賣家在TOP賣家中佔比達到了45.66%。

但亞馬遜賣家“跨服淘金”，也面臨諸多挑戰，承擔着巨大風險。除了陌生的市場競爭和法律法規、遙遠的庫存管理和物流把控，一旦店鋪被判定涉嫌欺詐或者違反亞馬遜商業解決服務協議第三條，就會面臨賬號被封和資金凍結的局面。

被封賬號如要申請回款，亞馬遜通知要求必須通過“視頻驗證”，成功後纔有可能回款。同時，視頻驗證的正當性和必要性一直飽受廣大賣家的質疑，有效同意和告知等程序亦存在不足，驗證過程更是涉及到了賣家數據跨境的問題。

多位專家在接受21世紀經濟報道採訪時表示，亞馬遜視頻驗證中的相關數據引起的合規問題受到《個人信息保護法》的管轄；但對於視頻驗證中產生的數據跨境流動是否需要進行安全評估，從收集、運營等角度出發，不同的專家則持不同的觀點。

“視頻驗證”涉及數據跨境

2021年4月底以來，中國賣家遭遇亞馬遜封號潮，約有600箇中國品牌和3000個賣家賬號被封。亞馬遜給出的理由是商家存在違規操作，包括“操縱評論”“刷單”和“違規賬號關聯”等。

同年9月17日，亞馬遜全球副總裁戴竫斐在接受央視財經採訪時表示，“如果賣家能夠證明亞馬遜的判斷有誤，或者是他們的違規行爲只是暫時的或是無意的過失，亞馬遜希望能夠看到他們提供一些避免未來再次違規的方案，之後便會恢復他們的賬號；但是如果賣家的賬號申訴不成功，或者是賣家不進行申訴，那麼這個賬號裏面的資金會被暫時凍結，凍結週期爲90天，這些資金將被用來支付對客戶的退貨、退款、賠償等費用以及賣家其他未支付費用。在凍結週期之後，我們就會通過正常的流程告訴賣家申請資金的退還，如果賣家不涉及其他犯罪違法違規行爲，只要通過身份的驗證便能夠將資金取回。”

華進律師所數據合規部副主任、廣東民營企業進出口商會法務部祕書長顏贇贇律師告訴21記者，“受封號潮影響，亞馬遜賣家如果想要解封賬號、解凍資金，則必須進行視頻驗證，這是之前沒有的。”

雖然成功機會渺茫，但面臨着店鋪賬號被關、庫存被封、資金被凍的困局，不少中國賣家提出了申訴，也去嘗試封號90天后，提出回款申請並接受了視頻驗證。

據瞭解，提出回款申請的賣家，需要完成視頻驗證，順利通過才能解凍資金。視頻驗證過程中，賣家需要使用亞馬遜提供的Amazon Chime會議軟件或者直接點擊亞馬遜後臺鏈接。視頻驗證需由公司法定代表人出席，攜帶身份證件、員工信息、銀行對賬單等材料。

同時，種種跡象表明，中國國內並沒有負責亞馬遜視頻驗證的團隊。曾經參與視頻驗證的賣家李女士說道，“對方帶有明顯的印度口音，但無法確認具體位置。”而跨境賣家張先生在接受21世紀經濟報道採訪時則明確表示，Amazon Chime上顯示對方的IP地址在新加坡。

顯然，視頻驗證過程涉及到了賣家數據跨境的問題。

此外，驗證過程中，法定代表人需要回答審覈人員提出的大量細緻問題。跨境賣家陳先生對21記者介紹，“賬號申訴時，亞馬遜會詳細詢問很多細節，包括賬號的基本情況，詳細的經營記錄，比如店鋪第一單產生的時間、員工的姓名、供應商的信息、相關費用收支明細、賣得最好的產品、相應庫存數量等等，還有一些個人信息，大概會持續50分鐘。”

整個過程由亞馬遜方開啓視頻錄製，賣家則不被允許視頻錄製。在整個驗證過程中，法定代表人點頭、搖頭、眨眼等行爲被記錄的同時，屬於生物識別信息的面部信息也將一同記錄。需要注意的是，生物識別信息有着強烈的人身屬性，反映個人獨一無二的特徵，若是發生泄露，則會造成嚴重影響。

數字化時代，數據已經成爲企業市場競爭中的重要力量。數據促進社會經濟發展的同時，安全及隱私保護也成爲用戶日益關注的焦點。

相關跨境賣家在接受21世紀經濟報道採訪時表示，他們並未在官方網站找到專門視頻驗證文件介紹。對於視頻驗證過程中產生的數據，諸如賣家的人臉數據、視頻數據，存儲在什麼地方、保留多長時間、將會被用在什麼地方等問題，亞馬遜並沒有明確說明。

賣家陳先生曾向亞馬遜發送郵件，要求對方說明視頻驗證相關數據問題，包括用途、存儲、處理、保護等問題，但並沒有得到正式回覆。“他們只是互相踢皮球。”

曾有賣家表示，在視頻驗證的過程中，亞馬遜審覈人員曾說過，“爲了保證服務質量和培訓目的會對整個過程進行錄製”。

“這樣的視頻驗證已經超出原有反欺詐的目的。”顏贇贇說道。

同時，顏贇贇關注到一個新變化。2021年開始，亞馬遜日本站、歐洲站、美國站這三個站點，要求任何新註冊的賣家都要進行視頻驗證，在此之前只有欺詐賬號纔要視頻驗證。

21世紀經濟報道記者曾向亞馬遜中國詢問跨境“視頻驗證”涉及的數據存儲、隱私、傳輸等問題，對方回應目前無法提供相關信息。

數據跨境流動規則尚未達成共識

數據在流動中產生價值，但是數據的跨國流動往往涉及國家戰略、地緣政治、經濟運行等一系列複雜因素，數據跨境流動已經成爲各國關注的焦點問題之一。而在數據跨境流動的國際規則制定上，當前並沒有形成共識。

美國主張全球數據自由流動，構建數據“單向”的流動格局，但在關鍵領域，如人工智能關鍵技術、敏感個人數據，對其數據出境施加限制措施。另外，2018年美國國會通過《澄清境外數據合法使用法案》，賦予美國執法機構向企業調取存儲在美國境外服務器上的數據的權力。

歐盟的數據跨境政策，可見於2018年正式實施的《通用數據保護條例》（以下簡稱GDPR）。數據只能傳輸到和歐盟具有同等保護程度的國家和地區，只能在少數特殊情形下進行克減。在強化個人隱私數據保護的同時，提升數據競爭優勢。

國際貿易中，電子商務往往更容易遇到數據跨境問題。某互聯網平臺法務負責人對21記者介紹稱，“目前大部分跨境電商都是獨立品牌運作，採取單獨服務模式。”跨境電商相關商品的詳情頁需要告知此爲境外產品和相應協議條款，其面臨稅務、海關等監管。

數據跨境方面，我國已基本建立數據跨境的法律規制框架。

《網絡安全法》規定關鍵信息基礎設施的數據確需向境外提供的，要進行安全評估。

2021年11月1日正式實施的《個人信息保護法》則規定了個人信息處理者數據跨境傳輸的三種方式：安全評估、個人信息保護認證、標準合同。

去年9月1日正式施行的《數據出境安全評估辦法》（以下簡稱《辦法》）明確了出境數據的評估範圍、評估機制以及各參與主體的責任，完善了數據出境安全評估的具體制度。

視頻驗證涉及數據跨國流動，對於賣家反饋視頻驗證中數據存儲、保護、用途等的並不清晰的回答，又該如何確認隱私保護和數據安全？值得一提的是，2021年4月，美國亞馬遜宣佈退出中國電商市場，但將保留雲計算、Kindle和跨境貿易業務。

上述平臺法務負責人表示，亞馬遜雖在中國境內沒有開展電子商務部分，但在中國境內有實體公司，中國相關法律對其適用。

在中國人民大學法學院教授張新寶看來，外國公司通過其系統（如果是在中國可以登錄的）在中國境內收集個人信息，應該受《個人信息保護法》的管轄。

跨境流動的數據是否需要安全評估？

在數據跨境備受關注的當前，視頻驗證產生的數據跨境問題又該如何理解？是否需要進行安全評估？

多位受訪專家對21世紀經濟報道表示，對這一問題的回答，需要回到對《辦法》第二條“收集、運營”的理解。

張新寶表示，外國公司通過其系統收集個人信息向境外傳輸，屬於向境外提供個人信息的行爲。在他看來，收集滿足其中之一即可，一是收集行爲發生在中國境內；二是通過中國的通訊基礎設施進行傳輸。

廣州金鵬律師事務所合夥人、廣東省律師協會跨境電商委主任詹朝霞律師認爲，《辦法》第二條關於數據處理者的定義以及“運營中”的理解，應該結合實施數據處理的具體行爲、數據使用的最終目的來綜合認定。

具體到這個案件中來，亞馬遜公司已經結束中國電商業務，是否屬於《辦法》所規定的“運營”範疇？

顏贇贇表示，亞馬遜全球跨境電商平臺的運營由其全球業務所在國各個公司一體化運作，不能孤立地只看亞馬遜全球站點設立在哪個國家。“中國經營活動構成亞馬遜全球運營不可或缺、不可分割的組成部分，所以應認定亞馬遜在中國有運營行爲，相關賣家視頻驗證數據的收集和產生與該運營行爲相關。”

“結合視頻驗證這一特定場景，《辦法》第2條中的‘運營’可能存在兩種不同的理解，一種狹義理解，即處理個人生物識別信息的視頻驗證系統的物理載體必須在境內才屬於‘在中華人民共和國境內運營’；另外一種是廣義上運營，即處理個人生物識別信息的視頻驗證系統雖然物理載體在境外，但該系統可以從境內進入，也屬於‘在中華人民共和國境內運營’。”浙江理工大學法政學院特聘副教授、杭州長三角大數據研究院副院長郭兵說道。

郭兵進一步解釋稱，從更好地保護中國公民合法權益以及國家安全的角度看，《辦法》第2條宜從廣義上解釋“運營”的涵義。因此，亞馬遜通過視頻驗證收集商家個人信息就可能屬於“在中華人民共和國境內運營中收集的個人信息”。亞馬遜作爲數據處理者（個人信息處理者）將其在“在中華人民共和國境內運營中收集的個人信息”傳輸並存儲在境外的行爲，如果存在《辦法》第4條所列情形的，就應當進行數據出境安全評估。

同時也有學者表示不同觀點。

北京航空航天大學法學院副教授、北京科技創新中心研究基地副主任趙精武認爲，《辦法》無法對亞馬遜強制適用。因爲數據出境安全評估的適用情形主要是以境內數據處理者向境外機構提供重要數據和法定數量的個人信息。“但是，在這個案件中，賣家解封視頻認證的方式大多是與境外機構直接進行的，而不是經由亞馬遜在中國境內的機構傳輸給境外機構。”

北京市中倫文德律師事務所網絡安全和數據合規專業委員會主任徐雲飛亦持此種觀點。“境內數據處理者的存在構成《辦法》的適用前提，如不存在境內數據處理者，則理論上適用《辦法》缺乏法律依據。”

對於“運營、收集”的理解只是理解亞馬遜視頻驗證中的數據跨境的第一步。由誰申報、責任和義務如何劃分等問題仍需值得進一步探討。