孙 权 中国银联股份有限公司
沙泽阳 复旦大学
王 曦 中国银联股份有限公司
吴 杰 复旦大学
柴洪峰 中国银联股份有限公司
叶家炜 复旦大学
1967年,信息隐私的概念由艾伦.F.威斯汀(Alan F.Westin)在《隐私与自由》一书中提出。随着社会发展,个人隐私逐步成为了个人重要的基本权利,世界各国也相继推出了个人数据保护法案。但在不同国家的法律框架内,相同的行为可能会被认定为不同的性质,因而对不同的个人数据保护法案进行对比研究显得尤为重要。本文从不同的维度对中国、欧盟、美国、新加坡、日本等国家和地区的个人数据保护法案进行比较分析,为企业开展涉外业务提供借鉴。
随着经济数字化进程的不断纵深发展,个人数据更加透明化,数据保护面临新态势。截至2018年,全球近120个国家和独立的司法管辖区已采用全面的数据保护或隐私法律来保护个人数据,另有近40个国家和司法管辖区有待批准此类法案或倡议。
为充分保障保险服务质量,保护消费者的合法权益,各大保险公司会收集、处理大量个人信息。2002年《保险法》第三十二条规定:“保险人或者再保险接受人对在办理保险业务中知道的投保人、被保险人、受益人或者再保险分出人的业务和财产情况及个人隐私,负有保密义务。”法律明确要求保险机构必须承担保护个人信息的法律义务。受新冠疫情影响,2020年银保监会陆续发布多项通知,明确要求金融机构加强科技运用,强化电子渠道服务,鼓励运用人脸识别等信息技术发展非现场核查、核保、核签工作,保险企业进一步深化电子化业务、非接触式服务的需求越来越迫切,面临的个人数据保护合规压力也越来越大。与此同时,疫情期间的非现场化的远程服务需求,也为保险企业拓展海外业务提供了契机。
本文选取了中国、欧盟、美国、新加坡和日本等国家和地区的具有代表性的法律规范来进行比较,以便为保险企业开展海外业务、涉外业务提供参考。
《中华人民共和国网络安全法》由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过,自2017年6月1日起施行。这是我国首次在法律层面针对个人信息保护构建较为完整的法律制度闭环。
中国在发展过程中对网络安全重视程度的不断增加和中国作为网络大国面临巨大的网络威胁的严峻现状,直接促使了《中华人民共和国网络安全法》(简称《网络安全法》)的颁布。《网络安全法》的立法目的,旨在保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展。
《中华人民共和国民法典》(简称《民法典》)于2020年5月28日由十三届全国人大三次会议表决通过,将于2021年1月1日起施行。《民法典》从人格权的角度提出了“自然人的个人信息受法律保护”的法律观点,并阐述了“合法、正当、必要”原则和应当遵循的基本规范。从内容上来看,《民法典》的个人信息保护相关条款与2017年6月正式实施的《网络安全法》有关内容总体一致,个别方面对其进行补充和完善。
由于《民法典》尚未实施,当前个人数据保护主要遵循的是《网络安全法》。
欧盟《通用数据保护条例》(General Data Protection Regulation,简称 GDPR)于2016年4月出台,2018年5月25日在欧盟全体成员国正式生效。GDPR致力于保护个人数据,更倾向于保护人权,赋予了个人很多权利。与此同时,GDPR是基于监管者的立场,以保护基本人权为出发点,强调有关责任主体主动规范数据处理的行为。长期以来,欧盟各成员国的个人数据立法标准存在巨大差异,不利于欧盟统一数据市场的形成。GDPR的颁布和实施为欧洲的个人数据保护提供了一个更强大和一致的数据保护框架,且它具有严格的合规要求和极重的行政处罚,被誉为最严格的个人数据保护条例。同时,由于其管辖范围的外延特征,对全球的涉欧业务和全球范围的个人信息保护带来了深远影响。
2018年6月28日,美国加利福尼亚州《2018年加州消费者隐私法案》(California Consumer Privacy Act,简称 CCPA)正式颁布,成为全美最严隐私保护法案。该法案已于2020年1月1日正式施行。CCPA的出台目的为通过消费者的一系列权利,为消费者控制其个人信息提供有效途径,从而进一步拓展加州居民的隐私权。由于不同的历史传统和利益诉求,CCPA的制度内核与欧盟制度的烙印存在差异,CCPA更注重消费者保护的实际效果,以及与促进企业发展、技术创新之间的平衡。虽然CCPA并不是联邦法律,但其“属人原则”的管辖范围实际超越了地理空间限制,其影响力可与欧盟GDPR比肩。
新加坡是一个高度法制化的社会,且执法严厉。新加坡现行有效的个人信息保护法案,是2012年制定的《个人数据保护法案》(Personal Data Protection Act,简称 PDPA)。该法旨在规制组织对个人数据的收集、使用和披露。新加坡为此还专门成立个人数据保护 委 员 会(Personal Data Protection Commission,简称 PDPC),通过适时修订PDPA,来严控企业使用国民身份信息权限,防止组织或个人信息被用于盗窃、欺诈等非法活动。
日本现行的个人数据保护法案是《个人信息保护法》(2017)。
《个人信息保护法》最初于2005年4月1日起施行。随着信息社会的高速发展,个人信息的利用范围被显著扩大。考虑到个人信息的实用性,以保障个人权利和利益为目的,日本在2015年对《个人信息保护法》进行了大幅调整,并于2017年5月30日起实施。《个人信息保护法》就个人信息的正当处理,对其基本理念、政府制定的基本方针以及其他个人信息保护措施的基本事项作出规定,对国家及地方公共团体的职责等予以明确,同时对个人信息处理业者应遵守的义务等作出规定,以达到在确保个人信息合理、有效利用的同时,对个人的权利和利益加以保护的目的。
各国的数据保护法案都是为了保护个人信息的安全性,同时也都着重强调了个人对自己数据的控制权。这反映出保障个人对于自身相关信息和数据拥有的控制权已逐步成为全球共识,也由此丰富了个人权利的定义。但由于各国的基本国情存在差异,因而在一些基本原则上也存在一些差异。
欧盟的GDPR重视的是对自然人的个人信息权利的保护。GDPR在第二章确立了合法、合理、正当、透明原则,获得同意原则,必要、有限原则,准确原则,安全原则;同时它也规定个人数据的使用“原则上禁止,有合法授权时允许”。
和GDPR不同的是,美国CCPA、新加坡《个人数据保护法案》和日本《个人信息保护法》原则上是鼓励个人数据流通和合理使用的,即“原则上允许,有条件禁止”,通过法条的具体规定约束组织对个人数据的处理行为,并保障个人的合法权利。
我国的《网络安全法》与其他国家和地区的相关法案略有不同,它旨在保障网络安全,维护网络空间主权和国家安全以及社会公共利益,个人信息保护只是其中的一部分内容。但在基本原则,即保证个人信息的安全、确保个人拥有对其自身相关信息的控制权等方面,我国的《网络安全法》与其他国家和地区的个人信息保护法案并没有太多差异。
1.受保护信息或数据的定义
各国的法案对于受保护信息或数据(即敏感数据)的表述和定义存在较大差异。表1罗列了各相关法案对受保护信息或数据的定义。
GDPR、CCPA、PDPA、日本《个人信息保护法》在对受保护的数据的定义上具有一定的相似性,都定义成了可以从这一段数据中直接或间接获得个人信息的数据;在我国的《网络安全法》中,则将个人信息定义成了一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。
各法案中对个人信息(或个人数据)都进行了一定程度的概括,并且进行了罗列。CCPA的表述最为细致、完整,不仅包括个人,还延伸到了家庭;除常规的姓名、地址、联系方式、身份信息之外,还包括互联网或其他电子网络的活动信息、商业信息(包括个人相关的财产、产品、服务、消费历史或倾向等)、可穿戴设备信息,以及从罗列出的有关信息得出的推论。
2.法案管辖范围
法案管辖范围表述可以分为“属地原则”和“属人原则”。属地原则是指一个国家以地域的概念作为其行使权力所遵循的原则;属人原则是指一国政府以人的概念作为其行使权力所遵循的原则。
GDPR管辖范围是“属地原则”和“属人原则”的结合;CCPA是单纯的“属人原则”;我国的《网络安全法》、PDPA、日本《个人信息保护法》则是单纯的“属地原则”。
需要说明的是,GDPR的“属地原则”不仅仅是欧盟成员国的范围,还包括适用欧盟法律的地区。此外,在“属人原则”方面,GDPR的保护对象并不仅限于欧盟居民,而是包括身处欧盟法律适用范围内的所有自然人。这与其他法案有较为明显的差异。
此外,虽然CCPA采用“属人原则”,但也对规制对象进行了说明:“年度总收入超过2500万美元,或为商业目的购买、出售、分享超过50000个消费者、家庭或设备的个人信息,或通过销售消费者个人数据取得的年收入超过总收入50%”,且在加州开展业务收集消费者个人信息的主体。这与其他法案有所不同。
关于如何保护用户数据,各个国家的数据保护法案在普遍的保护策略上是保持一致的,法案都注重保护数据的访问权,都关注了数据传输和处理的方式,但在具体如何实现以及一些关键问题的表述上还是有一定的区别。同时,针对一些具体问题,如数据跨境的限制等,各法案的规定也有明显的区别。下文将对这些区别进行详细的阐述。
▶表1 各国或地区的个人数据保护法案对“敏感信息”的定义
1.用户对数据的访问权
访问权是指企业需要提供足够的便利和权限,让用户能够访问自己的全部数据、知晓企业处理或将处理该等个人数据的程度,使用户对自己的数据具有一定程度的掌控权,保证数据主体的权利。
各个国家的法案都保护了用户对数据的访问权,也都要求企业在一定条件下给用户获取、修正、撤销的权利,但各国法案对用户访问权的保护程度却有所不同。除CCPA外,各国法案都没有要求数据来源和数据处理方式,而对于公开数据的方式,GDPR要求企业无条件地满足用户获取个人数据的请求,CCPA则规定了用户免费获取数据的时间期限,日本《个人信息保护法》对于用户访问权的规定并不明确,但也保证了个人可以获得自己的数据,新加坡的PDPA则没有对企业做出严格规定,认为在特定条件下处理可以不向用户披露个人数据。
2.关于获得用户同意的表述
企业合法的处理用户数据的主要方法是获得用户同意,各大法案也对企业等如何获得用户同意做出了明确的规定。
GDPR、《网络安全法》和PDPA采取选择加入的方式,个人同意是企业处理数据的重要依据,因此企业需主动获取。在GDPR和PDPA中,企业有义务告知用户数据的用途,以及用户有携带和销毁数据的权利。
CCPA采取选择退出的方式,消费者有权指示企业停止向第三方出售其个人信息。对此,企业须明确发布其隐私政策和标题为“不要出售我的个人信息”的链接,并指导消费者行使该权利。虽然与GDPR相比,CCPA对同意要求的适用范围较窄,对于商业用途的个人信息共享有着更严格的限制,但各种选择退出数据共享的权利设定,使得同意规定更为清晰和明确,有利于推进问责制,也在一定程度上赋予了消费者更广泛的知情权。
日本《个人信息保护法》没有强化事前的“知情同意”规则,只有对“需注意的个人信息”(指含有政令规定的、为避免发生针对本人的人种、信条、社会身份、病历、犯罪经历、因犯罪而被害的事实及其他方面的不当歧视、偏见及其他不利益而需要在处理上予以特别注意的记述等个人信息),规定了必须事先取得用户同意。而对于一般个人信息,则以限制滥用为原则。《个人信息保护法》默认用户同意数据控制者收集、处理个人数据,但数据控制者需要及时告知本人或公布对数据的处理使用情况。
3.关于个人数据跨境的限制
数据跨境是指数据通过信息网络进行跨越边境的传输、处理活动。伴随着数字经济全球化的快速发展,网络对数据的传输成本极低,也并不以地理边境为界,数据跨境流动成为普遍现象。然而,它产生的效应并不局限于正面,出于隐私、安全等各方面考虑,各地区政府或机构针对数据采取了不同的基本立场以及立法或配套管理措施。
▶表2 各国或地区的法案中用户的数据访问权比较
▶表3 各国或地区的法案中对处理用户数据获得用户同意的表述
▶表4 各国或地区法案对个人数据跨境的限制
在欧盟GDPR的规定中,数据控制者和处理者须是欧盟认定相关的第三国、国际组织,且具有足够级别的保护,才可进行数据转移,否则仅当具有适当安全保障措施(且为数据主体提供可执行权利与有效法律保护措施)时才能进行转移。而美国加州的《消费者隐私保护法案》中,则未有数据跨境方面的限制。我国《网络安全法》则规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储;因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法(《出境评估办法》)进行安全评估。而PDPA对于数据跨境的表述就较为模糊,该法案认为个人数据不可转至国外,除非该国拥有与新加坡可比的《个人资料保护条例》。相比较而言,日本的《个人信息保护法》对数据跨境传输的限制较为宽松,对于数据的传输并没有正面规定,但限制向第三国提供数据。
4.处罚机制
各法案中,设置了一定的处罚机制。GDPR中,对于违规行为设定了较重的处罚,规定违规企业会面临最高处以2000万欧元或上一财年全球营业额4%的行政处罚(以较高者为准)。CCPA重点强调了民事赔偿责任,只有在企业限期未整改时才承担行政处罚责任,罚金最高为7500美元。我国的《网络安全法》的罚金最高是100万元人民币。PDPA要求支付不超过100万美元的罚金。日本的《个人信息保护法》中则规定,违反法规或提供虚假报告时,个人信息保护委员会可以处以30万日元以下的罚款;员工以非法获利为目的提供窃取个人信息数据库时,处以1年以下有期徒刑或50万日元以下的罚款,同时对公司进行罚款。
相比之下,可以明显看出GDPR法律惩罚的严厉性。在GDPR的规制下,大企业如果被欧盟监管当局重罚后,可能就没有足够的资金投入新技术研发,无法及时提升产品性能,无法有效改善服务质量,从而可能最终在竞争激烈的全球市场中被淘汰。对于一些中小企业来说,欧盟的一次罚款,可能马上就会使其濒临破产。
整体而言,上述各国和地区的数据保护法案在立法初衷上有很大的共同点,即保护个人数据安全,并且都承认个人对自己的数据享有权利。欧盟、日本、新加坡的法案更多偏向于保护个人用户数据安全,而美国加州的法案则侧重于规范个人数据的使用,中国的《网络安全法》则致力于维护整个网络的安全。
从局部而言,不同法案的实现细节又有所不同。具体来说,欧盟的GDPR中法律保护的对象和范围最为庞大,而美国加州的CCPA对于用户对数据的访问权的保护最为完善。关于获得用户同意的表述,总体分为加入和退出两种模式,对于数据跨境的限制,欧盟GDPR要求最为严格。
1.针对个人数据保护过程中的关键问题要有明确的法律定义和阐述
通过前述数据保护法的对比研究可以发现,各国的数据保护法案都对在法案执行过程中可能出现的关键问题进行了明确的定义和阐述,比如,个人信息和个人隐私的定义、数据跨境的具体实现和保护范围等。我国在制定个人信息安全相关法律的过程中,要充分考虑各种可能出现的情况,根据我国的宪法精神对各种特例进行详细规定,这样才能真正做到在面对个人数据保护问题时有法可依。
目前,《信息安全技术个人信息安全规范》(GB/T 35273-2017)和《个人金融信息保护技术规范》(JR/T 0171-2020)已经颁布实施,建议包括保密企业在内的保险企业能够参照有关标准,拟定适合企业业务需求的个人信息范围和跨境数据保护要求等。
2.防止法律实施过程中可能会产生的过度保护
不能过度保护个人信息以至于阻碍到现代社会中的信息流通。对中国来说,个人信息既是个人隐私的一部分,也是非常重要的战略资源。为此,中国的数据保护法案,既要能够完善个人信息保护制度,还要促进信息流动和共享。建议我国效仿日本和新加坡立法过程中的个人信息适量原则,以用户的极其重要个人信息的不泄露为底线、以信息流动为目的的数据保护法案是较适合中国国情的。
建议在国家没有颁布具体的个人金融数据管理规范之前,金融机构能够根据自身业务需要,结合我国和海外业务所在国的有关法律要求,以“在确保个人数据安全的同时,促进数据资源的合理使用”为基本原则,拟定个人数据收集、使用、存储、传输规范。
3.注重跨境数据流动的国际交流和合作
在各国数据保护的规定中,对于跨境数据的保护都极其明确和严格。其中,新加坡等国的法律明确规定,与新加坡有数据流动的国家应当拥有与新加坡数据保护法案相对应的法案。为此,我国在制定个人数据保护相关法律时,一方面要严格制定与数据跨境有关的数据保护法案;另一方面,要主动开放,谋求世界各国对中国个人数据保护规范的认同,从而促进国际间的数据流动。
建议保险企业积极参与制订行业规范和国家标准,以切实行动推动我国金融行业个人数据保护规范体系的发展,进而促进世界各国对我国保险企业个人数据保护能力的认同。
1.建立以DPO为核心的企业个人数据保护监督审查指导体系
GDPR创造性地提出了DPO(Data Protection Officer,数据保护官)制度,建议组织(不仅限于企业)指派DPO,并明确提出了DPO应当具备关于数据保护法律的专业知识,要求数据控制者或处理者为DPO执行任务提供必要的信息和资源,规定了DPO的任务,包括与监管机构合作,向数据控制者和处理者发出通知和提出建议,监测关于个人数据相关政策和审计活动的合规性等。其他各国个人数据保护法律中虽然没有对设立DPO进行重点描述,但在具体实践中普遍接受DPO理念,要求组织采取类似机制落实各项个人数据保护责任,并与监管机构之间充分配合。
建议在保险企业内部设立DPO岗位(或角色),在承担监管机构联络人职责的同时,代表企业最高管理层,全权负责企业内部的个人数据治理工作。在组织形式上采用“以DPO为核心组建个人数据治理工作组”的方式较为合适,即由一个人担任个人数据保护工作的领导者(即DPO),由其管理的专职团队共同完成相关工作。为了配合DPO及个人数据治理工作组的工作,还应当在企业的其他涉及个人数据治理的部门设立专职或兼职的工作岗位,负责本部门的相关工作。
2.从法条合规的角度审视企业的个人数据保护合规性
对于保险企业而言,短期内全面实现个人数据保护合规是非常困难的。但从法条合规的角度,审视企业的个人数据保护合规问题是能够最大程度降低违规风险的快捷途径。对照GDPR的有关要求,企业在个人数据保护工作中需要梳理的法律事务至少应当包含以下几个方面:
(1)个人数据获取
需要由法律事务部门会同业务部门,共同分析获取个人数据的必要性,确保所获取的是最小化的个人数据。同时,法律事务部门还需要审核确定获取个人数据方式方法、个人数据获取渠道、所采取的技术措施是否符合有关法律条款的规定。
(2)个人数据处理
需要详细分析企业每一项涉及个人数据的业务中,个人数据存储、传输、处理等过程,确保各个环节所使用的方法符合必要性原则和最小化原则。同时,详细分析是否在业务系统中存在个人数据违规处理的情况,例如,在未告知用户或未经用户授权的情况下,使用个人数据对用户进行画像;系统中存在个人数据交叉混用的情况;未经审核产生个人数据副本等。
(3)数据主体对个人数据处理的知情与明示同意
在详细分析金融业务对个人数据处理需求的基础上,以恰当的方式告知用户有关个人数据处理的必要性,以及处理的主要过程、方法等,需要获得用户的明示同意。法律事务部分需要详细审核所有与个人用户相关的隐私保护条款、个人数据使用及处理同意书等文本内容,确保有关处理过程符合法律规定。
(4)数据交由第三方处理
当个人数据将交由第三方进行处理时,业务部门应当首先审核交由第三方处理的必要性,并审核确定交由第三方处理的个人数据符合最小化原则。法律事务部门基于有关法律法规的规定,拟定、审核企业与第三方数据处理机构签订的协议文本,确保有关个人数据处理的范围、处理方法、个人数据保护措施、数据泄露或失控的应急响应措施符合规范。同时,法律事务部门应当督促业务部门明确告知个人用户其个人数据将由第三方进行处理,并获得用户的明示同意。
(5)数据需要跨境传输与处理
当个人数据进行跨境传输与处理前,严格审核个人数据跨境传输与处理的必要性,并审核确定跨境传输的个人数据符合最小化原则,且在传输和处理过程中会受到恰当的保护。法律事务部门基于有关法律法规的规定,拟定、审核企业与境外处理机构签订的协议文本,确保有关个人数据的范围、跨境传输的方法、境外机构的数据处理方法、个人数据保护措施、数据泄露或失控的应急响应措施符合规范。同时,法律事务部门应当督促业务部门明确告知个人用户其个人数据将进行跨境传输和境外处理,并获得用户的明示同意。
(6)对数据主体各项权利的保障
《网络安全法》、GDPR、CCPA等各主流个人数据保护法律法规都赋予了数据主体各项基本权利。保险企业在开展涉及个人数据的业务时,需要充分考虑如何保障用户的正当权益。首先,保险企业应当认真分析当前业务涉及到哪些类别的用户数据;其次,企业需要逐一分析当用户行使其权利时,企业当前的业务模式和数据处理方式,是否能够保证用户可以完整行使其权利;接着,企业需要充分考虑当用户的权利无法得到保障时,该如何对用户给予一定的补偿;最后,企业应当在获取用户个人数据时,明确告知个人用户拥有哪些权利,企业如何保障用户能够行使自己的权利,以及当用户无法行使某项权利时将会得到哪些补充等信息,并获得用户的明示同意。
(7)境外法律规范的部分条款与中国法律、金融监管规定之间是否存在冲突
由于GDPR、CCPA等法律法规具有一定的长臂管辖特征,其部分条款可能会存在与我国的相关法律规定相矛盾、或不适合中国国情的情况。保险企业需要从中国的金融监管规范出发,认真分析GDPR、CCPA等法律条款在国内的适用性问题,并给出相应的解决方案。
3.面向个人数据保护进行业务设计与优化
对于保险企业而言,保障业务的顺利开展是企业的核心工作。企业合规的根本任务是保障业务的安全性。因而,保险企业需要针对自身的每一项业务,结合主流个人数据保护法案的有关要求,进行数据保护影响评估,内容包括:
(1)基于业务需求,对相关个人数据处理机制以及处理目的(包括数据应用、控制者所追求的合法利益)进行系统性描述;
(2)对与处理目的相关的数据处理机制进行必要性评估;
(3)对数据处理活动所涉及数据主体的权利和自由开展风险评估;
(4)基于风险评估结果,设计处理风险的举措,包括保障措施、安全措施、确保个人数据保护的机制,以及考虑到数据主体权利和合法利益的,用于证明对于个人数据保护法案合规性的举措。
对于当前已经开展的各项业务,企业需要在数据保护影响评估的基础上,审视当前业务活动中个人数据处理的必要性和合规性状况,结合DPO(个人数据保护官)的监督意见和建议,以及来自于咨询机构或法务部门的法条合规建议,从业务模式、业务流程、数据处理方式等各个方面提出改进和优化方案,尽最大努力保证在业务层面基本符合个人数据保护法案的有关要求。
对于即将开展的新业务,企业应当充分发挥数据保护影响评估的作用,认真分析数据处理的必要性和各项风险应对举措的有效性,充分征求监管机构、DPO、咨询机构、法务部门的意见和建议,完善业务方案,确保业务活动中的个人数据处理活动都将能够符合有关法律的要求。
4.建立个人数据跟踪机制与处理活动证据链
保险企业由于业务需要,存在大量的业务信息系统,彼此相互独立但又联系密切。在GDPR及各国当前主要个人数据保护相关法律规范出台之前,几乎所有的信息系统都不具备跟踪和监视数据流通过程的功能。企业需要通过技术改进,在实现数据全程可控和数据处理活动可追溯的基础上,建立个人数据跟踪机制,实现对个人数据流通过程的追踪溯源,为数据抽取、数据销毁等工作提供支撑。
通过追踪数据在企业各个业务系统和管理系统中的流动轨迹,刻画企业在获取、访问、使用、传输、处理、销毁个人数据等过程中的行为痕迹特征,结合个人数据处理活动记录,形成处理活动证据链,为企业自证合规提供有力证据,也为数据主体、第三方评估机构、监管机构等提供快速查找和定位有关证据的方法和工具。