一、问题的提出：亚马逊视频验证成为亚马逊仲裁的一大利器

二、亚马逊视频验证的场景和过程

（左图来源于对Chime.aws App网页的查询；右图来源于AWS官网）

根据美国站点《关于卖家的面部生物识别数据》政策可知，处理视频过程的Persona Identities, Inc.是一家注册于美国加州旧金山的公司，因此视频过程交互中的数据也是出境的。同时，政策里虽然否认了储存采集的面部生物识别数据，但表示“用于创建面部生物识别数据的图片可能会保留更长时间，以便用于审计和合规性事宜”。

（五）视频验证过程中的个人信息被存储于境外

1. 新注册卖家

亚马逊卖家注册过程中还被要求确认，不对视频通话拍照或进行录制，也不会在公共平台上发布录制的视频。但亚马逊同时表示“视频通话可能会被监控或录制，以供培训、安全和质量保证之用”，且用于创建卖家面部生物识别数据的图像被安全存储，只有经过授权的员工才能访问。可见，亚马逊及其授权的第三方服务提供商存储了可能构成未来生成面部生物识别数据的脸部图像。

（图片来源于卖家大学2022年《亚马逊卖家注册指导（北美站点）（卖家自注册）》）

2. 被封号卖家

亚马逊发给卖家的视频验证相关邮件中提到：“视频通话可能会被监控或录制，用于培训和保证质量的目的。”

（图片来源于亚马逊发送给卖家的视频验证邮件）

在卖家美国维权的其中一案中，亚马逊律师提交了涉案卖家视频验证文字版，从中可以看到，亚马逊曾提出会对本次通话进行录制，并获得卖家对录制行为的单独同意。

综上，由于数据处理者系亚马逊和/或其位于美国的第三方服务提供商，在无相反事实的前提下，可以认定相关个人信息的存储都发生在中国境外。

三、亚马逊进行视频验证的合同和亚马逊内部政策依据

（一）《亚马逊业务解决方案协议》

相关身份验证的合同依据来自于卖家进行平台注册时同意并接受的格式合同《亚马逊业务解决方案协议》。

比如，美国站点《亚马逊业务解决方案协议》约定，“认证：我们可以在任何时候要求您提供我们所需的任何财务、商业或个人信息，以核实您的身份。您授权我们不时，或在出现与本协议或您的卖家账户活动有关的争议时，获得消费者信用报告，以建立或更新您的卖家账户。您同意在发生任何变化时，及时更新所有卖家账户信息。亚马逊支付的隐私声明适用于由亚马逊支付公司处理的交易。”

值得注意的是，视频验证要求未在该协议中提及。

（二）亚马逊相关政策

配套《亚马逊业务解决方案协议》约束卖家的，还有一系列的政策，其中和视频验证有关的有三项。

值得一提的是，在《关于卖家的面部数据》政策发布之前，其他两项政策虽然提及卖家身份认证或个人信息采集，但未阐述视频验证的必要性，也未对其中涉及的个人生物识别信息的收集、处理、存储、跨境传输设置任何单独同意。

现虽有《关于卖家的面部数据》政策对北美站卖家注册时进行视频验证提供政策依据，但仍然未见对卖家进行视频验证设置单独同意。该政策不能为其他站点视频验证提供政策支持，也没有对卖家声纹这个生物识别特征的任何规定，更不能覆盖亚马逊其他场景下的视频验证要求。

（三）亚马逊视频验证要求的邮件

1. 封号潮卖家

2021年封号潮中的卖家，有权在被封号90天后向亚马逊发出回款申请，这也可能触发亚马逊以邮件方式要求卖家进行视频验证。笔者参与的多起案件里，即使回款申请未触发视频验证，只要卖家提起仲裁，亚马逊后台即会发出视频验证邀请邮件，卖家不完成视频验证将成为亚马逊律师主张卖家无权要求返还冻结资金的依据。

2. 未通过二审的亚马逊卖家

亚马逊注册完成后可能触发账户审核，俗称“二审”。2022年下半年开始，陆续有卖家因为二审不通过，收到亚马逊即将封号的邮件通知。通知中会告知卖家账号将于哪天停用，且声称因为该账号涉嫌从事欺骗性或非法活动，损害了客户和其他销售的合作伙伴的利益，现亚马逊需要“额外”通过视频验证卖家身份。

以上邮件邀请均不构成卖家和亚马逊的关于视频验证的合意，亦不视为亚马逊取得了卖家的单独同意。

（四）亚马逊卖家后台

以北美站为例，卖家在亚马逊网页注册过程中“常见问题栏”可以查看到，亚马逊回答了为什么需要验证：“为了保护买家和卖家在我们商城的安全，我们会验证企业和个人信息”，身份验证包括了提交卖家公司和法定代表人一系列文件，并进行地址验证和视频验证，但是未见针对具体视频验证目的的特别回答。

根据卖家大学发布的2022年《亚马逊卖家注册指导（北美站点）（卖家自注册）》（以下简称“《卖家注册指导》”），新卖家注册时，根据流程依次走完“公司信息”“卖家信息”“账单”“店铺”的信息填写，亚马逊官网就会跳转至“验证”界面，验证流程如下：

在此过程中，未见任何卖家同意视频验证的前置程序，注册过程中网页的“常见问题”更是明确告知“您可以取消预约（视频验证）。但是，您（卖家）必须先完成（视频）验证，才有资格在亚马逊上销售商品”。

（图片来源于《卖家注册指导》）

换言之，卖家没有选择权，不完成视频验证，就无法获得在亚马逊上成功注册的资格，无法使用亚马逊服务。

（五）卖家大学亚马逊卖家注册指导软件

亚马逊卖家大学出版的《亚马逊卖家注册指导》分站点对卖家进行注册指导，北美站点、欧洲站点、日本站点、澳洲站点展现了视频验证详细和完整的流程介绍，具有指导意义，但该指导并非亚马逊官方政策。

（六）亚马逊视频验证使用的软件

亚马逊指定的Amazon Chime视频会议软件里，无法查询到任何获取卖家单独同意视频验证的前置程序。

四、亚马逊视频验证是否受相关中国法管辖

根据Marketplace Pulse报道，“2021年全球亚马逊第三方卖家超过600多万”；“截止到2021年12月，在亚马逊全球市场上，有45.2%的卖家来自于中国”。[5]由此可见，中国卖家通过视频验证被亚马逊收集、处理、存储的个人信息（包括个人敏感信息数据）的数量十分可观，每年至少十万量级，其后续还可能发生境外使用、传输、加工、提供、公开等行为。那么，该等行为是否应受中国相关法律约束呢？

亚马逊中国站点实际上已经停止运营，本文讨论的场景，只限于亚马逊接受中国卖家的注册并为其提供相应平台服务的境外站点。中国卖家，不论是持有中国身份证的自然人，还是在中国境内取得营业执照的企业，其相关自然人主动登录境外网站，并提供网站要求的个人信息，是否被排除在中国相关法律规定之外呢？

（一）《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）

依据《个人信息保护法》第三条第二款规定，在中国境外处理境内自然人个人信息的活动，三种情形下适用该法：一是以向境内自然人提供产品或者服务为目的，二是分析、评估境内自然人的行为，三是法律法规规定的其他情形。因此需要分析亚马逊及其第三方供应商是否以向所涉个人或个人所代表的企业提供亚马逊全球站点服务为目的，在中国境外处理中国境内卖家登录境外站点提供的所涉个人（敏感）信息，同时，出于反欺诈要求和目的也需分析、评估所涉自然人的行为是否符合《个人信息保护法》约束的行为特征。

（二）《中华人民共和国数据安全法》（以下简称《数据安全法》）

依据《数据安全法》第二条规定第一款规定，在中国境内开展数据处理活动及其安全监管，适用该法。同时，该法第三条规定，在中国境外开展数据处理活动，损害国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任。因此，无论亚马逊是否在中国境内处理、存储中国卖家数据，只要亚马逊因为数据安全措施不力导致卖家数据泄露，或者超过约定的目的使用卖家数据，损害了中国卖家合法权益的，则应当适用《数据安全法》，需依法追究其法律责任。

（三）《中华人民共和国网络安全法》（以下简称《网络安全法》）

依据《网络安全法》第二条规定，该法仅适用于在中国境内建设、运营、维护和使用网络，以及网络安全的监督管理的情形，本文场景下不涉及。

（四）《数据出境安全评估办法》（以下简称《评估办法》）

依据于2022年7月7日公布的《评估办法》第二条规定，数据处理者向境外提供在中国境内运营中收集和产生的重要数据和个人信息的安全评估，受其约束。在国家互联网信息办公室有关负责人就《评估办法》相关问题回答记者提问中提出，《评估办法》所称数据出境活动主要包括两种，一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外（以下简称“第一种数据出境活动”）；二是数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以访问或者调用。

《评估办法》在第四条中对《个人信息保护法》中提及的个人信息处理规定数量进行了解释，将“一百万人”直接作为了衡量规定数量的标准，即如处理超过一百万人的个人信息则需要履行本地化存储义务。

根据笔者前述收集的有限信息，无从得知亚马逊视频验证所获取的信息是否存储在中国境内，只能确定亚马逊及其境外第三方服务商，作为数据处理者，至少在境外收集、处理、存储了卖家个人信息，包括个人敏感信息。为了分析上述第一种数据出境活动是否覆盖本文亚马逊视频验证场景，还需要论证该等数据收集是否发生于亚马逊在中国境内的运营中。有观点认为，亚马逊并未在中国境内运营站点，该数据出境不存在与亚马逊境内经营的连接点，因为亚马逊中国站点已经不再运营，而且该场景下，中国卖家系直接访问境外亚马逊各站点，与境外亚马逊发生经济活动并在境外向其提供个人信息。笔者对此持相反观点，我们理解，对运营二字的理解不应纸面化、片面化，而应当和互联网公司数字经济以及跨境电商行业的特性相结合。

首先，从字面定义来看，跨境电子商务是指分属不同关境的交易主体，通过电子商务平台达成交易、进行电子支付结算，并通过跨境电商物流及异地仓储送达商品，从而完成交易的一种国际商业活动。完成跨境电子商务的完整交易，需要不同关境的交易主体。跨境电商平台如果开放给某个国家的卖家参与，为完成完整的交易，则需要提供该国家当地配套的运营支持。亚马逊作为全球要求最严格、规则最多的跨境电商平台，如果不为其开放服务的卖家提供本地服务，卖家是难以理解其规则并运营店铺的。

其次，从业务定义来看，本文所涉场景的完整业务名称实为“亚马逊全球开店业务”，中国区域也在其中。亚马逊是否在某个国家运营，不应只以其是否开设站点作为唯一标准，亚马逊投入资源支持某个国家的卖家参与到其全球开店业务，则应认定亚马逊运营活动延伸至该国。

最后，从业务实质来看，第一，亚马逊在中国设立至少7家公司 [6]，并运营名称为亚马逊全球开店业务的中文网站。该网站对其公司和业务完整描述为：“亚马逊成立于1995年7月，总部在美国西雅图。2015年，亚马逊全球开店业务进入中国，旨在借助亚马逊全球资源，帮助中国卖家抓住跨境电商新机遇，发展出口业务，拓展全球市场，打造国际品牌。目前，亚马逊美国、加拿大、墨西哥、英国、法国、德国、意大利、西班牙、荷兰、瑞典、比利时、日本、新加坡、澳大利亚、印度、阿联酋、沙特和波兰等十八大海外站点已面向中国卖家开放，吸引数十万中国卖家入驻。”不仅亚马逊自己宣称“亚马逊全球开店业务进入中国”，经查询，该网站首页底部显示的许可证号为“京ICP备1101414788号”，同时显示“2022, Amazon Services LLC. All Rights Reserved. An Amazon Company”（版权所有为Amazon Services LLC，即亚马逊的美国公司）。该ICP许可证号所属亚马逊卓越有限公司，审核通过日期为2022年4月27日，域名为amazon.cn。

（图片来源于亚马逊全球开店业务的网站）

（图片来源于中国域名信息备案管理系统）

第二，该网站详细介绍了其业务相关的各国站点、如何开店、配套的资源与服务、政策、卖家培训等全方位服务，包括境内服务（比如卖家培训的服务提供商为亚马逊（上海）国际贸易有限公司）。其中一项服务为客户经理服务，也即运营培训服务。该网站也能查找到视频验证的要求和流程。点击网站联系人还可以看到显示：“亚马逊全球开店已在杭州、厦门和宁波等地已成立亚马逊全球开店跨境电商园，旨在立足当地，进行服务资源整合，搭建本地化跨境电商产品服务集群，为当地以及周边地区企业出口提供一站式服务”。

（图片来源于亚马逊全球开店网站截图）

（图片来源于卖家与亚马逊（上海）国际贸易有限公司签订的服务协议）

第三，该网站通过 https://gs.amazon.cn/nsi?ref=as_cn_ags_prevav 网页，点击进入“立即开店”，或者在该网页点击进入“前往站点注册”可以直通境外网“Amazon seller central”去创建亚马逊账户。可见，亚马逊中国网站为中国卖家在海外站点进驻提供直通开立卖家账号通道。

第四，除了网站，亚马逊还运营了亚马逊全球开店公众号，认证主体为亚马逊（上海）国际贸易有限公司，该公众号称其“致力于为中国跨境卖家提供最新，最全亚马逊全球开店资讯，运营干货及开店支持”。

（图片来源于亚马逊全球开店公众号）

第五，亚马逊在中国拥有众多客户经理，卖家到境外亚马逊网站进行跨境电商销售，一般会通过亚马逊全球开店的中国招商经理发送的店铺注册链接进行注册后，然后再进行跨境销售。身份认证过程中含有地址认证，亚马逊会给卖家发明信片，也是由境内亚马逊配合完成的。引导卖家到境外站点注册的另一个链接也经由亚马逊中国网站的指引。

简言之，亚马逊全球跨境电商平台的运营由其全球业务所在国各个公司一体化运作，不能孤立地只看亚马逊全球站点设立在哪个国家。亚马逊在中国成立了多家公司，进行招商推广、卖家服务、卖家培训、跨境电商产业园等等多种运营行为，中国经营活动构成亚马逊全球运营不可或缺、不可分割的组成部分，所以应认定亚马逊在中国有运营行为，相关卖家视频验证数据的收集和产生与该运营行为相关。综上所述，亚马逊视频验证属于上述第一种数据活动，应受《评估办法》约束。

五、亚马逊视频验证在《个人信息保护法》下合规问题

结合我国几部相关法律的要求和国内外实践，笔者提出下述几点关于亚马逊在《个人信息保护法》下的合规质疑。

（一）亚马逊视频验证或违反了个人信息收集的最小必要原则

1．最小必要原则是个人信息保护领域立法的基本原则之一

我国《民法典》《网络安全法》《个人信息保护法》确立了最小必要原则是个人信息保护领域立法的基本原则之一。[7]

2．最小必要原则的内涵和要求

根据最小必要原则要求，其一，个人信息的收集处理应当具有明确、合理的目的；其二，个人信息处理活动必须与处理目的直接相关；其三，个人信息的收集理应限制在为实现特定目的所必不可少的范围内，也即“最小化”范围。对于可收集可不收集的信息，则不收集。并且，个人信息的保存期限应当为实现处理目的所必要的最短时间。[8]例如，《常见类型移动互联网应用程序必要个人信息范围规定》第5条第（六）项规定，网上购物类的必要个人信息包括：注册用户移动电话号码，收货人姓名（名称）、地址、联系电话，以及支付时间、支付金额、支付渠道等支付信息，即对于一般的电商平台的网上购物而言，获取以上信息为“最小化”范围。如跨境电商平台具有其特殊性，需要获取的信息不限于此，则应当充分论证其必要性、正当性、合理性。

3．视频验证缺失正当性和必要性

首先，从横向看，视频验证既不是某一主权国家法律对平台的强制要求，也并不是跨境电商平台约定俗成的做法。所有跨境电商平台均有防范欺诈和信用风险的相关要求，均对相关个人提供各种信息进行验证，但是只有少数跨境电商平台对卖家有视频验证的要求，如亚马逊、Ebay、Shopee等。大部分平台，如沃尔玛、Wish、Tiktok、速卖通等均未曾要求对卖家所涉个人进行视频验证。

亚马逊总部位于美国，美国于2022年12月29日通过INFORM法案（“关于网络零售市场诚信、通知和公平的消费者法案”），适用于线上市场，广义上包括“促进或使第三方卖家能够参与消费品的销售、购买、支付、存储运输或交付”的“以消费者为导向”的平台，并要求他们收集、验证并向买家提供其平台上“高销量第三方卖家”的某些身份信息。虽然遭受亚马逊等线上平台强烈反对，最终该法案还是生效通过。法案要求在线（网络）市场收集达到一定交易和收入门槛的卖家的姓名、邮件地址、电话号码、税号和银行账户信息，卖家提供这些信息后才有资格成为“高销量第三方卖家”。对于实体卖家，市场还必须为代表卖家行动的个人获取政府签发的有效身份证明副本，或政府签发的包含卖家公司名称和实际地址的记录或税务文件的副本。尽管该法案对亚马逊等线上市场提出了审核身份的要求，很清晰的是，亚马逊在该法案未通过前收集的信息已经远远超过该法案要求，该法案也并未要求对卖家进行涉及收集和存储生物识别信息的视频验证。

其次，从纵向看，视频验证系亚马逊2021年才开始实行的新要求。在此之前，亚马逊在实践中已经采取了多重手段进行反欺诈调查，包括：其一，亚马逊在注册平台账户时会要求卖家上传营业执照、主要联系人姓名、出生日期、出生地、国籍、身份数据（身份证、有效期、签发国家/地区）、居住地地址和身份证明文件（正面和反面）等材料以验证其身份真实性。

（图片来源于亚马逊卖家注册流程截图）

其二，亚马逊会通过向卖家提供的公司地址发送明信片的方式来进行验证其提供的公司地址是否真实。其三，亚马逊一直在通过其拥有的“欺诈探测器”（Fraud Detector）等工具、技术手段以及复杂的算法进行反欺诈调查。综上，亚马逊可以通过以上多种方式实现其反欺诈的监控和调查的目的。

由此可见，视频验证并非亚马逊反欺诈商业目的所必需的行为，亚马逊早年原本已经收集了卖家法定代表人的身份信息、住址等个人信息，以及银行账户信息等金融信息实现反欺诈目的，后又追加收集了人脸、声音在内的生物信息等个人敏感信息，已然超过了“最小化”范围。

参照国内相关实践案例，网信办等监管机构在App治理工作中，也始终将“最小必要”原则作为治理工作的重点，并在发布的治理公告中加以强调，“App强制授权、过度索权、超范围收集个人信息的现象大量存在，违法违规使用个人信息的问题十分突出”。以2021年5月网信办针对输入类App的执法案例为例，网信办对15款输入法App进行了点名，以“违反必要原则，收集与其提供的服务无关的个人信息”为由要求其在10个工作日内完成整改。理由是根据《常见类型移动互联网应用程序必要个人信息范围规定》，输入法类App基本功能服务为“文字、符号等输入”，无须个人信息即可使用基本功能服务。此后，仅有百度输入法按期完成整改，其他App均因未能限期完成整改而被下架。[9]

笔者还观察到，国内实践中，关于互联网空间身份认证，为解决网络世界中“我是谁”的问题，国家“互联网+”可信身份认证平台（CTID平台）核心技术为各级政府部门、互联网运营商、各行业应用提供权威、可信、安全、便捷的身份认证业务，信息主体可以在不泄露身份信息的前提下实现在线身份认证。

综上，笔者初步认为，有必要对亚马逊平台通过视频验证收集和存储卖家账号相关的个人（敏感）信息一事是否违反最小必要原则进行审查。

4．亚马逊并未告知个人信息主体其敏感信息收集的必要性和对个人权益可能的影响

依据《个人信息保护法》第三十条规定，个人信息处理者处理敏感个人信息的，除法律规定的事项外，还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响。然而，亚马逊并未进行该等告知。

（二）亚马逊视频验证违反个人信息处理公开透明原则

《个人信息保护法》第七条规定了公开透明原则，因此亚马逊隐私政策应涵盖视频验证，公开明示视频验证处理的信息的目的、方式和范围。作为个人，有权知晓自身个人信息处理的情况。

亚马逊在多个站点实行视频验证多年，在实践中对视频过程进行了录制和存储，而亚马逊平台在官网的隐私政策并未公开视频验证取得的面部和声音信息处理的目的、方式和范围，滞后发布的《关于卖家的面部生物识别数据》政策仅在北美站点可以找到，既未见于其他站点，政策里也未提到声音这个生物识别信息的处理问题。显然，亚马逊视频验证违反了个人信息处理公开透明原则。

（三）亚马逊视频验证违反敏感个人信息收集的“告知+单独同意”规则

依据《个人信息保护法》第十七条规定，个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知相关事项；且个人信息处理规则应当公开，便于查阅和保存。《个人信息保护法》第二十九条规定了处理敏感个人信息应当取得个人的单独同意。亚马逊一方面仅在卖家封号之后才通过邮件要求卖家进行视频验证并告知相关验证的事宜，另一方面其在收集和处理个人敏感信息时，并未设置取得个人的单独同意的环节。

即使有观点称，法定代表人参加视频验证即以其行为作出同意信息采集的意思表示，实际上亚马逊的平台协议和政策都是单方发布的，卖家并无任何拒绝的权利。卖家对个人信息采集和处理的同意，至多只是包含在对亚马逊所有政策的概括同意里，未有单独同意。如前所述，亚马逊平台对于卖家法定代表人视频验证的要求是强制的，卖家如果不遵从，要么无法成为注册卖家，要么无法取回资金，因此该视频验证违反了《个人信息保护法》第十四条、第二十九条。

（四）亚马逊视频验证或违反《个人信息保护法》不得拒绝原则

《个人信息保护法》确立了不得拒绝原则，其第十六条规定：“个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务；处理个人信息属于提供产品或者服务所必需的除外。”

如前所述，亚马逊通过视频验证过度收集信息，尤其人脸和声音等生物信息不属于必要信息，其单方强制要求卖家接受视频认证否则拒绝接受注册或者回款等行为，亦违反了《个人信息保护法》不得拒绝原则。

未来如果涉及侵权诉讼，即使有观点认为，个人进行视频验证即表示同意收集人脸等个人敏感信息，根据《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第四条规定，该观点也应被认定因违反不得拒绝原则而不被人民法院采信。

（五）亚马逊视频验证将采集的个人信息进行跨境传输未经单独同意

如前所述，亚马逊视频验证使用的Amazon Chime视频会议软件的隐私政策中载明其“向境外传输”收集的个人信息。笔者认为，中国卖家的个人信息只要被传输至境外，依照《个人信息保护法》第三十九条，就应获得单独同意。

也许有观点认为，亚马逊部分卖家为企业，在企业传输个人信息的应用场景下，卖家应为个人信息处理者，卖家决定数据传输给亚马逊一事应该由卖家自行获得个人信息主体的单独同意，亚马逊作为境外信息接收方，无义务去取得个人信息主体单独同意。然而，在中国法下我们认为，企业卖家并不能决定个人信息采集和处理的方式和目的，不具备个人信息处理者应有之意。

（六）亚马逊视频验证涉及数据出境建议提交相关部门评估

在封号案件庭审过程中，亚马逊美国律师向仲裁庭提供了卖家视频验证过程所有问答的未脱敏化文字信息，也包含了诸多个人信息。

根据《个人信息保护法》第三十八条规定，个人信息跨境提供需要具备一定条件，一是通过国家网信部门组织的安全评估，二是经过专业机构的个人信息保护认证，三是按照网信部门制定的标准合同与境外接收方订立合同，三者必居其一。

《评估办法》以及2022年8月31日国家互联网信息办公室发布的《数据出境安全评估申报指南（第一版）》，对数据出境安全评估申报方法、申报流程、申报材料等具体要求作出了说明，包括风险自评估与安全评估相结合，防范数据出境安全风险，保障数据依法有序自由流动等，并规定了数据处理者向境外提供数据，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估的情形。

依照上述中国卖家的总量和数据出境判断，亚马逊应属于“处理100万人以上个人信息的数据处理者向境外提供个人信息”和/或“自2021年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息”，因此，笔者建议其应向国家网信部门申报数据出境安全评估。

综上，作为出海企业法律服务律师，笔者在代理案件中观察到亚马逊收集和处理大量卖家个人信息（尤其包含了大量个人敏感信息），并由此进行初步合规分析，提出疑问，抛砖引玉，期待引发更多人士对跨境电商平台数据合规的深度思考和积极讨论。近年来，越来越多的中国跨境电商平台也陆续入场参与全球合作，其个人信息的采集、处理以及跨境传输等行为也将在各个法域接受各个国家和地区数据合规的管制，如何将平台的反欺诈要求与数据合规要求在一定尺度下取得平衡，是个值得论证的复杂问题。