吴丹君律师团队 2020-10-30 原载于 大数据法律
个人信息保护面临着两大困境,一是个人信息滥用问题,即个人信息处理行为超出个人信息主体的可预期范围;二是个人信息安全问题,即个人信息被未经授权的第三方访问,比如个人信息泄露。这两大困境导致个人信息主体(以下简称“信息主体”)与个人信息处理者(以下简称“信息处理者”)间的利益冲突,阻碍了个人信息的有序流动与合理利用。2020年10月,中国人大网公布《个人信息保护法(草案)》(以下简称《草案》)全文,向社会公开征求意见,纵览全文,可以发现《草案》正是围绕着上述两个困境的解决而构建的。
一、破解个人信息滥用困境
为了避免个人信息处理行为超出个人信息主体的可预期范围,个人信息处理者在处理个人信息时需具备明确、合理的目的,处理活动应限于实现处理目的的最小范围,不得进行与处理目的无关的个人信息处理。而如何确定明确、合理的目的,《网络安全法》只提供了获取信息主体同意这一路径,只有信息主体同意该处理目的,信息处理者方可围绕该目的进行信息处理行为。然而,仅凭信息主体同意这一合法性基础,不利于个人信息的合理利用。同时,仅要求信息主体同意对信息处理者的约束不够强烈,目前实践中个人信息滥用现象仍层出不穷。
因此,继《民法典》新增两项个人信息处理合法性基础后,《草案》更进一步地将个人信息处理合法性基础扩展到六项。通过对比,可在《草案》对合法性基础的规定看出不少GDPR的影子,但《草案》目前的规定显得更为谨慎。比如根据GDPR,若处理是为保护“数据主体或另一自然人的重大利益”所必需的,那么未经同意进行处理属于合法行为,但在《草案》中,为保护“自然人的生命健康和财产安全所必需”而未经同意处理个人信息仅在应对突发公共卫生事件或紧急情况下方属于合法行为。然而,《草案》又留下了“法律、行政法规规定的其他情形”的口子,有利于后续立法根据实践发展增加相应的合法性基础以适应社会变迁。
| 《草案》 | GDPR |
| 第十三条 符合下列情形之一的,个人信息处理者方可处理个人信息:(一)取得个人的同意;(二)为订立或者履行个人作为一方当事人的合同所必需;(三)为履行法定职责或者法定义务所必需;(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(五)为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息;(六)法律、行政法规规定的其他情形。 第十五条 个人信息处理者知道或者应当知道其处理的个人信息为不满十四周岁未成年人个人信息的,应当取得其监护人的同意。 | 第六条 处理的合法性处理应至少符合下列条件之一方属合法:(一)数据主体已同意为一个或多个特定目的而处理其个人数据;(二)处理是为履行数据主体为一方当事人的合同所必需,或在订立合同签订前应数据主体的要求采取措施所必需;(三)处理是数据控制者为遵守一项法定义务所必需;(四)处理是为保护数据主体或另一自然人的重大利益所必需;(五)处理对为公共利益执行职务或数据控制者受托行使公权力所必需;(六)处理是为数据控制者或第三方追求正当利益的目的所必需,需个人数据保护的数据主体的利益或基本权利和自由显著优先于该利益的除外,特别是数据主体为儿童时。第(六)项不适用于公务机关执行其职务时进行的处理。欧盟成员国可以维持或引入更具体的规定,通过对处理设定更确切的具体要求和其他措施,以适应本条例有关符合本条第一款(三)项和(四)项的处理的规则的适用,确保在包括第九章规定的其他特定处理情形下处理的合法性和公正性。 |
当信息处理者基于除信息主体同意以外的合法性基础处理个人信息时,仍需注意其处理行为不得超出信息主体的可预期范围,否则涉嫌滥用个人信息。比如在此次新型冠状病毒肺炎疫情防控工作中,有权收集个人信息的主体需同时承担保障个人信息安全的义务,不得出现类似胶州市中心医院泄露6000余人的出入人员名单信息等对信息主体合法权益造成损害的情况。[1]而在疫情防控工作的后期和结束之后,也需对所收集的个人信息作出妥善的处理,不得随意贩卖、肆意流传。[2]
然而,虽增加了数项合法性基础,“同意”仍是《草案》的关键词,但这将可能导致条文适用的矛盾。以向第三方提供个人信息为例,将个人信息提供给信息主体可预见范围外的第三方或者合法获取信息的第三方从事超出可预见范围外的处理活动是实践中个人信息滥用频发的重要原因。因此,《草案》规定,个人信息处理者向第三方提供个人信息时,不仅需向个人告知第三方的身份、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意外,还需对第三方进行监督。接收个人信息的第三方应在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。第三方变更原先的处理目的、处理方式的,应依照本法规定重新向个人告知并取得其同意。个人信息处理者向第三方提供匿名化信息的,第三方不得利用技术等手段重新识别个人身份。
从上述规定中可看出,当信息处理者向第三方提供个人信息时需取得信息主体的单独同意。但若信息处理者向第三方提供个人信息的合法性基础并不是同意时,还需取得信息主体的同意吗?比如保险公司基于合同约定将被保险人的个人信息交给再保险公司,这是一个在保险合同典型目的范围内的正当处理行为[3],依据《草案》第十三条可不经信息主体同意直接进行,但根据《草案》第二十四条却需获得个人的单独同意,可看出,条文在此种情况下有所冲突。同时,亦有观点指出,《草案》第十五条要求知道或者应当知道其处理的个人信息为不满十四周岁未成年人个人信息的信息处理者应取得监护人的同意的规定与第十三条存在冲突。[4]
二、加强个人信息安全保障
《草案》建立起一套风险管理制度,将风险管理责任合理地分配给信息主体、信息处理者、政府、司法机关和社会组织等多个主体。
由于信息处理者作为实际实施个人信息处理行为的实体,其相较于信息主体,对处理行为的目的、方式、所采用的技术等各项情况更为了解,而且以企业、政府部门为代表的信息处理者亦有足够的技术能力去对个人信息处理行为的风险进行评估和控制。因此,《草案》要求实际实施个人信息处理行为的信息处理者承担主要的风险预防和风险管理责任。需注意,处理电子形式的个人信息的信息处理者往往同时属于网络运营者,需同时承担《网络安全法》所设置的安全保护义务。
| 《网络安全法》 | 《草案》 | GDPR |
| 第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密等措施;(五)法律、行政法规规定的其他义务。 | 第九条 个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。第十条任何组织、个人不得违反法律、行政法规的规定处理个人信息,不得从事危害国家安全、公共利益的个人信息处理活动。第五十条个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人的影响、可能存在的安全风险等,采取必要措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露或者被窃取、篡改、删除:(一)制定内部管理制度和操作规程;(二)对个人信息实行分级分类管理;(三)采取相应的加密、去标识化等安全技术措施;(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;(五)制定并组织实施个人信息安全事件应急预案;(六)法律、行政法规规定的其他措施。 | 第二十四条 数据控制者的责任考量处理的性质、范围、背景和目的以及给自然人的权利和自由带来的不同可能性和严重程度的风险,数据控制者应当采取适当技术性和组织性措施以确保并证明处理符合本条例规定。这些措施应在必要时予以复审和更新。与处理活动相适当的情况下,第一款所指的措施应包括数据控制者实施适当的数据保护政策。……第二十五条 设计和默认数据保护考量现有技术,实施的成本和处理的性质、范围、背景和目的以及给自然人的权利和自由带来的不同可能性和严重程度的风险,数据控制者应当在决定处理方法和在进行处理时,以有效的方式采取适当技术性和组织性措施,如匿名化,其目的是实现数据保护原则,如数据最小化,并将必要的安保措施纳入处理过程,以符合本条例要求并保护数据主体的权利。数据控制者应当采取适当技术性和组织性措施以确保,在默认情况下仅处理对各个特定处理目的必需的个人数据。该义务以用于所收集的个人数据的数量、处理程度、存储时间和可访问性。特别是,这些措施应确保在默认情况下,个人数据不经人为干预无法被不特定多数自然人访问。 第三十二条处理安全考量现有技术,实施的成本和处理的性质、范围、背景和目的以及给自然人的权利和自由带来的不同可能性和严重程度的风险,数据控制者、数据处理者应当采取适当技术性和组织性措施以保证应对风险的适当安全水平,酌情考量包括但不限于以下的因素:(一)个人数据的匿名化和加密;(二)保证处理系统和服务持续保密、完整、可用和自我修复的能力;(三)在发生物理性或技术性事故的情况下及时恢复个人数据的可用性和访问的能力;(四) 在发生物理性或技术性事故的情况下即使恢复个人数据的可用性和访问的能力;(五) 定期测试、评价和评估确保处理过程安全的技术性和组织性措施的有效性。衡量安全措施的适当水平时,应当特别考量因处理产生的风险,特别是传输、存储或进行其他处理时个人数据被以外或非法破坏、遗失、变更、未经授权披露或访问。…… |
| 第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。 第四十三条 个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。 | 第五十五条 个人信息处理者发现个人信息泄露的,应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项:(一)个人信息泄露的原因;(二)泄露的个人信息种类和可能造成的危害;(三)已采取的补救措施;(四)个人可以采取的减轻危害的措施;(五)个人信息处理者的联系方式。个人信息处理者采取措施能够有效避免信息泄露造成损害的,个人信息处理者可以不通知个人;但是,履行个人信息保护职责的部门认为个人信息泄露可能对个人造成损害的,有权要求个人信息处理者通知个人。 | 第三十三条 向监管机关通知个人数据泄露在个人数据泄露时,数据控制者应无不当迟延且不晚于发现后72小时内(若可行)依据本条例第五十五条向监管机关通知个人数据泄露向相关监管机关发出通知,个人数据的泄露不太可能给自然人的权利和自由造成风险的除外。未在72小时内向监管机关发出通知的,在通知时应当对迟延原因进行解释。数据处理者应当在发现个人数据泄露后无不当迟延地通知控制者。第一款规定的通知至少应当包括:(一) 对所泄露个人数据性质的描述,包括涉及的数据主体和个人数据记录的类别和大致数量(如可能);(二) 数据保护官的名称和详细联系方式或其他可以获得更多信息的联络点;(三) 对个人信息泄露的可能结果的描述;(四) 对数据控制者应对个人数据泄露已采取的或者计划采取的措施的描述,包括减轻可能负面影响的措施(如适当);在信息无法同时提供的情况下,信息可以分阶段提供,不得有进一步不当迟延。数据控制者应当记录任何个人数据泄露,包括和个人数据泄露有关的事实、泄露的影响和采取的补救措施。该记录应当使监管机关得以查验是否与本条相符。 第三十四条 向数据主体告知个人数据泄露当个人数据泄露可能给自然人的权利和自由带来高度风险时,数据控制者应无不当迟延地将个人数据泄露告知数据主体。本条第一款规定的告知义务应当至少用清晰且简明的语言描述个人数据泄露的性质,并至少包括本条例第33条第3款的(二)(三)(四)三项规定的信息和措施。本条第一款规定的向数据主体的告知义务在以下情形无需履行:(一) 数据控制者已采取适当技术性和组织性保护措施,且此类措施已应用于受到数据泄露影响的个人数据,特别是使未经授权访问者无法识别个人数据的措施,如数据保密;(二) 数据控制者已实施后续措施,够确保第一款规定的数据主体的权利和自由的高度风险不再有可能实现的;(三) 需不成比例的投入。在该情形下,应采用能够使得数据主体获得相同有效通知的公共沟通机制或者类似机制代替。如数据控制者并未向数据主体告知个人数据泄露,监管机关考量个人数据信息泄露导致高度风险的可能,可以要求数据控制者履行告知义务或决定其需满足第三款列出的任一条件。 |
《草案》提出需设立个人信息保护负责人,但仅要求处理个人信息达到国家网信部门规定数量的个人信息处理者应指定个人信息保护负责人。然而,影响个人信息处理行为风险性的不仅仅是个人信息的数量,个人信息的性质、处理方式或处理方式皆可能影响个人信息处理行为的风险性。同时,《草案》未对个人信息保护负责人的选任、职位和职务作出详细规定,缺乏一定的操作性,后续《草案》完善或可参考GDPR等规则进行进一步完善。
| 《网络安全法》 | 《草案》 | GDPR |
| 第二十一条……(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任; | 第五十一条 处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。个人信息处理者应当公开个人信息保护负责人的姓名、联系方式等,并报送履行个人信息保护职责的部门。 | 第三十七条 数据保护官的指定在下列情形下,数据控制者和数据处理者应当指定数据保护官:(一) 公务机关或机构实施的处理,但法院行使司法权的除外;(二) 数据控制者或数据处理者的核心活动,由依其性质、范围和/或目的需对数据主体进行定期大规模系统性监控的处理行为组成;或(三) 数据控制者或数据处理者的核心活动,由大规模处理本条例第九条规定的特殊类别的数据,或者第十条规定的有关刑事定罪和犯罪的个人数据的处理行为组成。……第三十八条数据保护官的职位第三十九条数据保护官的职务 |
《草案》构建了个人信息处理风险评估制度,信息处理者在计划进行《草案》第五十四条所列的几项处理活动时,需事先进行风险评估,以判断处理行为和风险是否在安全可控范围之内。而在日常的运营过程中,信息处理者还需定期对其个人信息处理活动、采取的保护措施等是否符合法律、行政法规的规定进行审计,以提高风险预防能力和安全事件处置能力。
在风险评估制度中,由谁来进行风险评估也是一个需讨论的问题。若由信息处理者自身来评估可能会存在对于客观性的质疑,而由主管部门评估可能会有专业能力和资源受限等问题。《草案》第五十三条引入第三方专业机构,但未明确信息处理者在进行《草案》第五十四条的风险评估时是否可借助第三方专业机构的力量。但引入独立的第三方评估机构,与信息处理者、主管部门共同分担一定的风险评估之责应更为合理。
| 《草案》 | GDPR |
| 第五十四条 个人信息处理者应当对下列个人信息处理活动在事前进行风险评估,并对处理情况进行记录:(一)处理敏感个人信息;(二)利用个人信息进行自动化决策;(三)委托处理个人信息、向第三方提供个人信息、公开个人信息;(四)向境外提供个人信息;(五)其他对个人有重大影响的个人信息处理活动。风险评估的内容应当包括:(一)个人信息的处理目的、处理方式等是否合法、正当、必要;(二)对个人的影响及风险程度;(三)所采取的安全保护措施是否合法、有效并与风险程度相适应。风险评估报告和处理情况记录应当至少保存三年。 | 第三十五条 数据保护影响评估当一种数据处理方式特别是使用新技术时,考量处理的性质、范围、背景和目的,可能给自然人的权利和自由带来高度风险的,数据控制者在处理前应当对拟进行的处理行为给个人数据保护带来的影响进行评估。一次评估可以针对一系列呈现类似的高风险的类似处理行为。……评估应当至少包括:(一)对拟进行的处理行为亦及处理目的,包括数据控制者追求的正当利益(如适用)的系统性描述;(二)对该处理行为与处理目的之间的必要性和合比例性进行评估;(三)对第一款规定的给数据主体的权利和自由带来的风险的评估;和(四)预计应对风险的措施,包括安保措施、安全措施、个人数据保护的保障机制以及考量数据主体和其他相关人员的权利和正当利益,符合本条例的证明。…… |
| 第三十条 处理活动的记录 | |
| 第五十三条 个人信息处理者应当定期对其个人信息处理活动、采取的保护措施等是否符合法律、行政法规的规定进行审计。履行个人信息保护职责的部门有权要求个人信息处理者委托专业机构进行审计。 | 第三十二条 处理安全……(五) 定期测试、评价和评估确保处理过程安全的技术性和组织性措施的有效性。 |
GDPR在欧盟成员国层面并没有要求各个成员国必须设立唯一的监管机关,但成员国需指定其中一个监管机关在数据保护委员会代表这些监管机关,并建立一致性机制以确保各监管机关间的合作。GDPR第五十六条和第五十七条、第五十八条明确区分了主监管机关和所有监管机关拥有的职权。而《草案》虽明确国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作,但并未明确区分国家网信部门和其他履行个人信息保护职责的部门的职权范围。
| 《草案》 | GDPR |
| 第五十六条 国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。前两款规定的部门统称为履行个人信息保护职责的部门。 | 第五十一条 监管机关各个欧盟成员国国应设立一个多多个独立公务机关负责监测本条例的适用……一个欧盟成员国设有一个以上监管机关时,该欧盟成员国应指定其中一个监管机关在数据保护委员会代表这些监管机关,并应建立机制以确保其他机关遵守与本条例第六十三条规定的一致性机制有关的规则。 |
| 第五十七条 履行个人信息保护职责的部门履行下列个人信息保护职责:(一)开展个人信息保护宣传教育,指导、监督个人信息处理者开展个人信息保护工作;…… 第五十八条 国家网信部门和国务院有关部门按照职责权限组织制定个人信息保护相关规则、标准,推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估、认证服务。 | 第三十五条 数据保护影响评估……监管机关应当建立并公布依据第一款需进行数据保护影响评估的处理行为类型清单。…… 第三十六条 事先咨询如果本条例第三十五条规定的数据保护影响评估显示,如数据控制者未采取减少风险的措施,该处理将导致高风险的,数据控制者应当在处理前咨询监管机关。当监管机关认为第一款规定的拟进行的处理将违反本条例的,特别是当数据控制者未能确定或者降低风险的,监管机关应当在收到咨询请求后不超过八周向数据控制者(以及数据处理者,如适用)提出书面建议…… |
| 第五十九条 履行个人信息保护职责的部门履行个人信息保护职责,可以采取下列措施:……第六十条 履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈。个人信息处理者应当按照要求采取措施,进行整改,消除隐患。 | 第五十五条 权限第五十六条 主监管机关的权限第五十七条 职务第五十八条 权力 |
较之GDPR,《草案》没有明确第六十二条所规定的“上一年度营业额百分之五以下罚款”是否为全球营业额。《草案》第六十二条的行政处罚区分为三档更具可操作性。同时,《草案》除罚款外还设置了责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照以及记入信用档案等措施,相较GDPR较为单一的罚款制度,对违法个人信息处理行为的规制更为灵活和具有针对性。
| 《草案》 | GDPR |
| 第六十二条 | 第八十三条 实施行政罚款的一般条件……依据第二款规定,违反下列规定者应处以不超过10000000欧元的行政罚款,当主体为企业时,不超过为前一会计年度全球营业额的2%,并以较高者为准;(一)第八条、第十一条、第二十五条至第三十九条和第四十二条及第四十三条规定的数据控制者和数据处理者的义务;……依据第二款规定,违反下列规定者应处以不超过20000000欧元的行政罚款,当主体为企业时,不超过为前一会计年度全球营业额的4%,并以较高者为准;(一)第五条、第六条、第七条和第九条规定的处理的基本原则,包括同意的条件;……(三)依照第九章通过的欧盟成员国法律所规定的任何义务…… |
| 违反本法规定处理个人信息,或者处理个人信息未按照规定采取必要的安全保护措施 | 由履行个人信息保护职责的部门责令改正,没收违法所得,给予警告 |
| 拒不改正的 | 并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款 |
| 情节严重的 | 由履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。 |
| 第六十三条有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。 |
三、结语
个人信息保护是当今时代的热点问题,然而原有的同意路径难以突破个人信息滥用难题和切实维护个人信息安全的困境。《个人信息保护法(草案)》以保护个人信息权益,规范个人信息处理活动,保障个人信息依法有序自由流动,促进个人信息合理利用为目的,增加个人信息处理的合法性技术,并将风险管理责任合理地分配给信息主体、信息处理者和政府、司法机关等主体,更加有效协调信息保护与利用之间的利益冲突。然而,《草案》中依然存在缺陷,后续还需不断完善,才能找到符合中国现实需求的个人信息保护路径,有利于中国在全球个人信息保护和数据治理的制度竞争中赢得一席之地。
[1]参见新华社:《出入胶州中心医院6000余人信息遭泄漏3人被拘留》.(2020-04-20)[2020-10-28].http://www.sd.xinhuanet.com/news/2020-04/20/c_1125881474.htm.
[2]隐私护卫队:《保留,删除还是彻底销毁?谁来给因疫情收集的个人信息“善后”?》(2020-03-20)[2020-10-26].https://mp.weixin.qq.com/s/S-ypta-QzApsNZ8L0YegUg.
[3]参见杨芳:《个人信息自动化处理领域的个人信息保护规则》,载《重庆理工大学学报(社会科学)》2016年第9期。
[4]参见大队长金融:《〈个人信息保护法(草案)〉全文逐条解读》(2020-10-22)[2020-10-26].https://mp.weixin.qq.com/s/rx8VmxINhmySjy8uLqcwwQ.
作者简介:吴丹君律师,观韬中茂上海办公室合伙人,律商联讯LexisNexis网络安全合规专家、首席数据官联盟专家组成员及法律顾问、深圳市大数据研究与应用协会法律专家。主要执业领域为互联网|数据信息、兼并收购、外商直接投资、酒店等,吴律师曾为众多跨国公司和外国公司的在华投资、并购以及日常运营提供法律服务。近年来,吴律师专注于互联网、数据信息合规领域,就网络安全和数据信息的合规事项为客户提供咨询及全流程合规整改服务。她服务的行业众多,包括金融、科技、教育、酒店、大数据产品、征信、精准营销、在线支付、互联网医疗等。
吴律师的工作语言为中文和英文。