亚马逊被 FTC 罚款 225 万美元:拒不向身份盗窃受害者提供交易记录,违反《公平信用报告法》609(e) 条——中资电商、支付企业的"数据交付"合规新警示

2026年6月30日,美国联邦贸易委员会(FTC)宣布,电商巨头亚马逊(Amazon.com, Inc.)将支付 225万美元民事罚款,以了结其"明知故犯"违反《公平信用报告法》(Fair Credit Reporting Act, FCRA)第609(e)条的指控。FTC 指控亚马逊长期拒绝向身份盗窃受害者提供与冒名欺诈交易相关的记录。这一处罚看似只是一起消费者保护个案,实则为所有在美经营的电商、支付与平台型企业敲响警钟:拒绝配合受害者的合法调取请求,本身即构成可被处罚的数据合规违法行为。

事件背景

根据由 FTC 移交、美国司法部(DOJ)代为向哥伦比亚特区联邦地区法院提起的起诉书(案号 252-3024),大量消费者在发现自己的个人信息被他人冒用、在亚马逊平台上产生欺诈交易后,向亚马逊索取相关交易记录,却被客服以"安全"或"隐私"为由拒绝。

起诉书披露了一个近乎荒诞的案例:一名消费者因信用卡被冒用、要求查询该冒名账户信息时,客服竟要求其先"猜出"冒名者(即身份盗窃者本人)在账户上使用的姓名,否则不予提供——该消费者尝试猜测 30 次仍无法通过。更严重的是,亚马逊甚至拒绝了代表受害者、获得授权的执法机构提交的调取请求。FTC 特别指出,亚马逊直到 2025 年初、在得知 FTC 正在调查后,才首次制定了应对第 609(e) 条请求的书面政策,而此前 FTC 工作人员早已提醒其审查合规情况。

法律依据:FCRA 第 609(e) 条

FCRA 第 609(e) 条是一项常被企业忽视的强制性义务:任何"从事交易的商业实体"(business entity),在收到身份盗窃受害者的书面请求后,必须在 30 天内,向受害者(或其授权的执法机构)提供与冒名欺诈交易相关的申请资料及交易记录。该条款的立法目的,是让受害者能够掌握足以证明欺诈、协助报案与止损的第一手证据。换言之,掌握交易数据的企业,负有主动"交付数据"的法定义务,而非仅有"保护数据"的义务。

监管要点与处罚机制

本案的 225万美元罚款,创下第 609(e) 条项下的处罚金额纪录。除罚款外,和解令还要求亚马逊:其一,禁止再违反第 609(e) 条,须依法向受害者及执法机构提供记录;其二,须向消费者公示身份盗窃受害者如何依 FCRA 调取记录的途径;其三,须主动联系自 2024 年 4 月以来曾提出请求但未获记录的消费者,告知其可再次申请。

值得注意的是,这仅是 FTC 历史上第二起依第 609(e) 条提起的执法案件——首例为 2020 年针对 Kohl's 百货的和解案。委员会以 2 比 0 票通过移交起诉与批准和解令。两起案件间隔六年,凸显出 FTC 正将执法触角延伸至以往罕被适用的"冷门"条款,企业不能再心存"法不责众"或"监管盲区"的侥幸。

对中资企业的合规启示

对于在美经营的中资电商、跨境支付、平台及零售企业,本案提供了若干具体、可落地的合规抓手:

第一,建立书面的身份盗窃记录调取(609(e))响应流程。亚马逊"临时抱佛脚"式的补救未能免责——恰恰是"事发前无书面政策"成为 FTC 认定其"明知故犯"的关键。企业应预先制定 SOP,明确受理入口、身份核验标准与 30 日办结时限。

第二,切勿以"隐私/安全"为由笼统拒绝合法请求。面对受害者本人或授权执法机构的调取,"保护他人隐私"不是拒绝的正当理由。客服团队须接受专门培训,能够区分合法的 609(e) 请求与普通咨询,避免"要求受害者先猜出盗窃者姓名"式的荒谬操作。

第三,将 609(e) 义务纳入更广的数据主体权利(DSAR)体系。企业本已需应对 CCPA/CPRA 等州隐私法下的查阅、删除请求;609(e) 请求应作为一条独立但并行的通道纳入统一的请求管理与工单系统,确保不同法律项下的时限(如 CCPA 的 45 天、FCRA 的 30 天)分别达标。

第四,做好数据留存与可检索性。履行 609(e) 义务的前提是企业能够快速定位并调取冒名账户的申请与交易记录。数据映射(data mapping)与留存策略应确保欺诈交易相关记录在合理期限内可查、可导出。

第五,主动排查历史积压请求。和解令要求亚马逊回溯联系 2024 年 4 月以来未获满足的请求人。中资企业亦应自查是否存在被搁置、拒绝的历史调取请求,及时补正,避免成为下一个执法目标。

趋势展望

本案释放出清晰信号:在美国联邦层面综合性隐私立法仍未落地的背景下,FTC 正娴熟运用 FCRAFTC 法第 5 条等既有工具,将"配合受害者、履行数据交付义务"纳入执法重点,且不惜适用尘封多年的冷门条款并顶格处罚。对中资出海企业而言,数据合规早已不止于"如何收集、如何保护",更在于"当消费者、监管者或执法机构依法索取时,能否及时、准确地交付"。建议企业以本案为契机,全面盘点自身在 FCRA 609(e)、州隐私法 DSAR、以及跨境数据请求等多重义务下的响应能力,将被动应付转为流程化、可审计的主动合规。

本文仅供参考,不构成法律意见。具体合规事宜请咨询专业律师。

Previous
Previous

一粒胶囊里的"盐重"与"碱重"之争:联邦巡回上诉法院 Otsuka 诉 Hetero 案维持仿制药禁令、撤销担保金豁免——中国药企 ANDA 出海双重警示

Next
Next

美国犹他州《数字选择法》(HB 418) 7月1日生效:社交平台"数据可携+互操作"强制令——中资社交、内容出海企业的"数据搬家"合规新关口