查看原文
其他

第十八期DPO沙龙纪实:生物识别信息的安全保护

冯群星 网安寻路人 2020-02-26

今年8月,因为使用人脸识别系统记录学生出勤率,瑞典的一所高中被判违反《通用数据保护条例》(GDPR),遭到瑞典数据保护机构的处罚。该案反映出欧洲监管机构对人脸识别技术的谨慎态度,在全球引发广泛关注。

事实上,不只是人脸识别,一系列人工智能应用已经进入日常生活,由此带来人脸、声纹、指纹等生物特征数据的收集与保护问题。从亚马逊雇人审听智能音箱录音,到微软的人脸数据库出现未授权照片……种种案例表明,快速发展的人工智能技术,亟待更加清晰的监管准则。

如何应对人工智能带来的数据安全挑战?怎样平衡生物特征数据的保护和利用?在10月24日的第十八期数据保护官沙龙(DPO)上,多位来自一线的技术与法律专家就此进行了探讨。

万物互联时代如何保障数据安全?

华为实践:生物特征数据不上云


今年初,华为创始人任正非发出致全体员工的一封信,其中提到,“把网络安全和隐私保护作为公司的最高纲领”。具体到智能产品上,华为如何落实这一纲领?华为隐私专家结合实际案例,以“移动终端的生物特征数据安全”为主题,介绍了华为的部分探索与经验。

“以前我们提到终端主要是指单点设备,现在更多地要考虑设备互联。”华为专家说,随着人工智能技术的逐步成熟,华为的产品与业务也迎来了“全场景智慧化”的进程。华为终端的战略是“1+8+N”,“1”指智能手机,“8”包括PC、平板、音箱、耳机等等,N则指泛物联网硬件构成的华为生态。

智能设备的发展,带来了更多的数据收集场景。图自网络。

万物互联的场景,给安全业务带来了哪些新挑战?华为专家认为,首当其冲的就是身份认证,其中不仅包括人的身份认证,还包括设备的身份认证。“通俗地说,就是我一定要连接到正确的设备上。我不能连接别人的设备,而别人也不能控制我的设备。”他说。

终端之间要进行数据传输,保证数据传输的安全可信,构成了另一大挑战。“比如说手机投屏,手机的受众一般是机主,但大屏的受众可能有很多。什么样的数据能投到大屏上?什么样的数据不能?什么数据需要获得消费者授权后才能投屏?”华为专家举例说,如果一名企业员工在小组会议时投屏分享资料,手机却突然弹出“应聘回复”的提醒,那么这名员工的隐私与权益就可能受到伤害。

此外,迅猛发展的物联网生态链,也存在安全风险。华为专家说,华为的智能生态中有很多合作伙伴,第三方设备是否具备足够的数据保护能力、如何对第三方设备进行认证,也是需要考虑的问题。否则,就无法保证整个生态的安全与健康发展。

“其实我们现在面临最难的问题,就是怎么取得社会价值和隐私保护的平衡。过度的隐私保护可能会限制数据流动、抑制潜在的社会价值;反过来又可能侵犯消费者的隐私。”华为专家坦言。

2018年,继“史上最严个人数据保护法”GDPR生效以后,欧洲议会又投票通过了《非个人数据自由流动条例》,旨在促进欧盟境内非个人数据自由流动。在华为专家看来,这一将“个人数据”与“非个人数据”分开的思路,或许能为中国提供参考。

他介绍,华为也制定了内部的数据分类分级准则,并在此基础上采取不同的管理措施。对于个人数据,以最小化收集等为基本原则。如果确实要收集某一类个人数据,一定要按照相关法律法规进行管理,例如取得用户授权、防范数据泄露,等等。

如果没有先进的技术,数据保护就成了空谈。“我们希望在消费者数据不泄露或者假名化、匿名化的情况下,仍然能够发展业务。”华为专家说,多方计算、联邦学习等技术,已经有了良好的应用案例。包括华为在内,许多企业都在进行相关探索。

近年来,人脸或指纹解锁逐渐成为手机标配,华为也有多款机型支持这类功能,。如何处理人脸等生物特征数据?华为专家介绍,除了前述的多种保护措施,华为还采取了“生物特征数据不上云”方案,将生物特征数据的处理和存储过程放在终端侧,从而降低了数据的泄露风险。此外,这些生物特征数据的处理和存储被放进单独的“安全隔离区”,受到高等级的严格保护。

语音助手的个人信息保护:

保障用户的数据控制权是关键


谈到人工智能落地的典型代表,语音助手一定会占据一席之地。除了数不胜数的搭载语音助手的智能手机,智能音箱也在近两年呈现猛增态势。美国研究公司Strategy Analytics的报告显示,2019年第二季度,全球智能音箱销量达到3030万台,同比增长95.8%。

市场快速发展的同时,语音助手的隐私争议也是一波未平一波又起。就在今年,亚马逊和苹果均被曝出利用人工审听用户录音,引发用户的强烈不满。

亚马逊、苹果等企业屡次因语音助手陷入“窃听”风波。图自网络。

语音助手涉及到声纹数据,而对于每一个消费者而言,声纹跟人脸一样具有特殊性和敏感性。围绕语音助手的生物特征数据保护,另一位华为专家和小米法务隐私数据合规负责人朱玲凤从不同角度做了分享。

朱玲凤指出,企业之所以使用人工去标注和分析用户的语音,其实是为了提高语音识别的准确度。“以人工智能现在的发展水平,根本不能直接自己学会,人工干预是一种必然。企业想发展技术没有错,但是应该尊重用户对隐私的考虑,提升用户的信赖感。”

今年8月的人工监听风波之后,苹果宣布默认情况下不再保留Siri交互的录音。同时,Siri使用随机标识符来跟踪数据,六个月后随机标识符和数据之间就取消关联,这意味着用户的身份和数据不会被永久绑定。在系统设置中,用户还可以关闭语音唤醒,让Siri只能通过物理按键唤醒。

朱玲凤认为,以上措施都值得肯定。她提到,亚马逊也有类似实践。亚马逊的语音助手Alexa为用户提供了不同级别的隐私保护设置,如查看语音记录或删除所有录音。

“企业其实是在通过自己的努力让用户信任语音助手,然后技术才能继续往前走。我们还是希望大企业有所承担,同时也给用户多提供信息和知识,让用户理解技术是怎么实现的,从而提升用户的信赖感。”朱玲凤说。

“人工智能是全球都在争抢的战略高地,但现在的情况是,人工智能技术在某种程度上被神话了,而人工智能的隐私问题又被妖魔化了。”华为专家说,结合技术和成本来看,“麦克风窃听”的可行性不高。语音助手运行时,一般需要特定的唤醒词才能进入后续操作,比如华为手机的“小艺小艺”或苹果手机的“嘿Siri”。语音助手会监测用户是否说了唤醒词,但这与“窃听”完全是两个概念。监测在用户的终端完成,只检测唤醒词,语音助手不会持续地录音,也不会将用户的所有谈话都上传到服务商云端。

谈到语音助手中的个人信息保护,华为专家指出,其实语音助手不仅涉及到用户的声纹数据,还涉及到大量其他的个人数据——如果语音助手要帮用户打电话,就得访问用户的通讯录;要帮用户查询今天的天气,就得知道用户的位置。须针对不同的个人数据、不同的业务场景,给予不同的保护措施。

“比如打电话的业务场景,涉及哪些个人数据和设备权限?我们会列一个清单,确定其中的风险和应对措施。收集哪些数据?是否必须收集?数据来自哪里,怎么收,法律依据是什么?用户同意之后,数据怎么传输?存储在哪?期限是多久?按照清单去进行梳理,并且对用户做充分的告知,包括告诉他们怎么关闭功能和删除数据。这样的话,我们就可以达到‘用户可控’的目的。”华为专家说,每一个业务动作都会被分解成“很细的点”,有明确的合规标准,以便执行到位。

朱玲凤也谈到,语音助手对个人数据的获取,可能给用户带来隐私担忧。“在未来,语音助手甚至可能比你还更了解你自己。你六点半下班,它就知道你要回家,直接把今天的路况信息发给你。”她认为,语音助手的发展还是离不开隐私保护领域的基石性原则,“最小必要”和“告知同意”。

在她看来,企业收集的数据越多,越可能受到不法分子的攻击,内部滥用的风险也更大。所以数据最小化收集本身就是防范风险的措施。至于告知和同意,亚马逊、苹果等企业没有做到充分的告知,正是其语音助手引发争议的重要原因。不过,事无巨细的告知也会导致企业的负担过重,根据美国联邦贸易委员会的观点,如果数据使用符合用户的合理预期,或者企业有效地进行了去标识化处理,那么就不必僵化地要求消费者对所有数据收集都做出明确同意。

人脸识别的个人信息保护:

涉及多种数据,救济手段缺失


人脸识别,是人工智能应用中的又一典型。尤其是在中国,上班签到、论坛安检、手机支付……“刷脸”俨然成为人们的生活日常。然而,人脸作为生物特征数据的特殊性,总是激起公众对安全和隐私的担忧。日前,浙江小学生用照片刷脸打开快递柜的案例,再一次印证了人脸数据泄露的风险。一段“人脸识别进课堂”、监控学生上课状态的视频展示,则引发了公众对于人脸数据滥用、侵犯未成年人隐私的质疑。

浙江嘉兴一所小学的学生发现可以用照片在快递柜刷脸取件。图自网络。

北京安理律师事务所高级合伙人王新锐认为,人脸等生物特征数据具有不可更改的特性,这使得一个人的生物特征数据泄露后难以获得救济。“邮箱的密码泄露掉了我们可以改,人脸、指纹这些数据没有办法改。如果个体的这些数据被暴露在黑产面前就很可怕,是没有救济手段的。”他说。

2018年,微软提出了人脸识别研究工作需要遵循的六大原则,其中包括确保消费者知情、明确征得消费者同意,启用第三方测试人脸识别服务的准确性,由称职的工作人员对人脸识别结果进行审查并做出关键决策等内容。王新锐认为,这些原则值得人脸识别领域的企业参考。

目前,人脸识别在国内被广泛应用与身份认证,而身份认证的场景又可以大致划分为“1:1”和“1:N”。前者是将摄像头现场采集的照片与用户事先注册的照片做对比,判断是否为同一人,比如机场安检闸机的人证核验。后者则是将现场采集的照片与数据库中的海量照片进行比对,识别出现场这个人是谁,比如商场中的会员识别。

王新锐指出,在实践中,“1:N”面临更大的合规风险。因为“1:N”的人脸识别意味着后台有一个巨大的数据库,通过数据库不仅可能知道一个人是谁,还可能知道他去过哪里、做过什么。一旦数据库泄露,就会带来一系列问题。

“人脸识别就像潘多拉的盒子,我们要更谨慎地去对待。”王新锐说。

平安科技资深解决方案专家赵起超指出,人脸识别涉及到多种维度和种类的数据,除了人脸这一生物特征数据,还可能涉及数据主体的地理位置、轨迹数据,甚至是企业的员工管理数据。不同的数据,保护要求也不同。在刑法、网络安全法等既有法律的框架下,行业也在逐步制定管理标准和规范。

“平安内部有很严格的审计机制,比如说我们要基于人脸识别算法去做一套新的应用,会有第三方的审计机构去做代码审计,重点考察几个事项,一是架构有没有数据泄露的风险,二是代码或系统是不是有数据外发的功能,三是看有没有后门能被人获取到系统的人脸识别数据。”赵起超说。

他介绍,平安也通过一些技术创新来提高人脸数据的保护水平。例如改变人脸识别系统前后端的分工,前端设备抓拍照片后直接提取人脸的特征值传回后端,后端数据库中存储的也是特征值,前后端比较加密后的人脸特征值而非原始照片,避免数据传输过程中的个人信息泄露。

此前,赵起超曾参与一项与印尼合作的项目。印尼是一个监管非常严格的国家,禁止公民的个人信息出境。赵起超说,为了符合印尼的法律要求,平安在印尼建立了服务器节点,把项目中的人脸识别系统部署在这个节点上。算法的优化需要印尼人的人脸数据,平安花了很长时间与监管机构沟通,最后通过印尼本地机构获得C端用户的书面授权函,才解决数据使用的问题。

在人脸识别的应用中,社会价值、企业成本与隐私保护的平衡问题同样存在。赵起超认为,人脸识别中的个人信息保护是综合性的工程,“不是说在存储上加几个防火墙、或者说通过加密传输就可以解决”。从企业的管理流程上讲,如果是可见的、短期就会发生的风险,一定优先解决风险,再去研发投产。如果是长期的、或者说不会产生重大影响的风险,先去做技术预研,投产与管理同步进行,这样的话就能让业务更顺利地上线。

DPO社群发起人洪延青总结,人工智能极大地提高了生活的便利性,但各种智能产品对生物特征数据的利用也给用户带来了不安。保护个人数据不是为了限制人工智能技术的发展,而是寻求更合理的数据利用方式,平衡隐私保护和数据利用。(完)




数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已近300人。关于DPO社群和沙龙更多的情况如下:


DPO社群成果

  1. 印度《2018个人数据保护法(草案)》全文翻译(中英对照版)(DPO沙龙出品)

  2. 巴西《通用数据保护法》全文中文翻译(DPO沙龙出品)

  3. 美国联邦隐私立法重要文件编译第一辑(DPO沙龙出品)

  4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译(DPO沙龙出品)

  5. 第29条工作组《对第2016/679号条例(GDPR)下同意的解释指南》中文翻译(DPO沙龙出品)

  6. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”(DPO沙龙出品)

  7. 第29条工作组《第2/2017号关于工作中数据处理的意见》(DPO沙龙出品)

  8. “美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译(DPO沙龙出品)

  9. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》(DPO沙龙出品)

  10. 法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南

  11. 第29条工作组《数据可携权指南》全文翻译(DPO沙龙出品)

  12. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制(DPO沙龙出品)

  13. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况(DPO沙龙出品)

  14. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译(DPO沙龙出品)

  15. 第29条工作组关于GDPR《透明度准则的指引》全文翻译(DPO沙龙出品)

  16. “108号公约”全文翻译(DPO沙龙出品)

  17. 美国司法部“云法案”白皮书全文翻译(DPO社群出品)

  18. EDPB关于GDPR中合同必要性指引的中文翻译(DPO沙龙出品)

  19. 新加坡《防止网络虚假信息和网络操纵法案》中文翻译(DPO沙龙出品)

  20. 英国ICO《广告技术和实时竞价的更新报告》中译文(DPO社群出品)

  21. “FTC与Facebook达成和解令的新闻通告”全文翻译(DPO社群出品)

  22. CJEU认定网站和嵌入的第三方代码成为共同数据控制者(DPO沙龙出品)

  23. FTC与Facebook“2019和解令”全文翻译(DPO社群出品)

  24. 英国ICO《数据共享行为守则》中译文(DPO社群出品)

  25. “hiQ Labs诉LinkedIn案上诉判决”中译文(DPO社群出品)

  26. 法国数据保护监管机构(CNIL)有关cookies和其他追踪方式的指引(全文翻译)

  27. 美加州消费者隐私法案(CCPA) 修正案汇总中译文(DPO沙龙出品)

  28. FTC“首次针对追踪类App提起诉讼”的官方声明中文翻译(DPO社群出品)


线下沙龙实录见:

  1. 数据保护官(DPO)沙龙第一期纪实

  2. 第二期数据保护官沙龙纪实:个人信息安全影响评估指南 

  3. 第三期数据保护官沙龙纪实:数据出境安全评估

  4. 第四期数据保护官沙龙纪实:网络爬虫的法律规制

  5. 第四期数据保护官沙龙纪实之二:当爬虫遇上法律会有什么风险

  6. 第五期数据保护官沙龙纪实:美国联邦隐私立法重要文件讨论

  7. 数据保护官(DPO)沙龙走进燕园系列活动第一期

  8. 第六期数据保护官沙龙纪实:2018年隐私条款评审工作

  9. 第八期数据保护官沙龙纪实:重点行业数据、隐私及网络安全

  10. 第九期数据保护官沙龙纪实:《个人信息安全规范》修订研讨

  11. 第十期数据保护官沙龙纪实:数据融合可给企业赋能,但不能不问西东

  12. 第十一期数据保护官沙龙纪实:企业如何看住自家的数据资产?这里有份权威的安全指南

  13. 第十二期数据保护官纪实:金融数据保护,须平衡个人隐私与公共利益

  14. 第十三期DPO沙龙纪实:厘清《数据安全管理办法》中的重点条款

  15. 第十四期DPO沙龙纪实:梳理《个人信息出境安全评估办法(征求意见稿)》的评估流程

  16. 第十五期DPO沙龙纪实:SDK非洪水猛兽,但如果“作恶”乱收集信息,谁来管?

  17. 第十六期DPO沙龙纪实:查询App收集个人信息类型、禁止收集IMEI号是未来监管趋势

  18. 与欧美一流数据保护专家面对面(DPO沙龙特别活动)

  19. 第十七期DPO沙龙纪实:数据统一确权恐难实现 部门立法或是有效途径


评估GDPR效果和影响:

  1. 评价GDPR一周年:一些正负面观点

  2. 评估GDPR效果和影响的参考资料(一):来自Capgemini的报告

  3. 评估GDPR效果和影响的参考资料(二):来自CIPL的报告

  4. 评估GDPR效果和影响的参考资料(三):来自IAPP的报告

  5. 评估GDPR效果和影响的参考资料(四):来自“黑客”的视角

  6. 评估GDPR效果和影响的参考资料(五):来自欧盟成员国的视角


线上沙龙见:

  1. DPO社群对数据堂事件的精彩点评

  2. DPO社群线上讨论第二期:“出售 & 提供” 个人信息之法律与实务对话

  3. 用户授权第三方获取自己在平台的数据,可以吗?不可以吗?(DPO沙龙线上讨论第三期)


时评见:

  1. 数据安全事件时评第一期

  2. 数据安全事件时评第二期

  3. 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目:数据可移植性的开源计划

  4. 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论

  5. 【时事七】美国通过《NIST小企业网络安全法》

  6. 【时事八】国际数据流动:欧盟委员会启动对日本的充分性决定流程

  7. 【时评九】加州IoT设备网络安全法对物联网法律之影响(附法案翻译)

  8. 【时评十】五问五答《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》

  9. 【时评十一】社交网络平台,需要多点爱还是多点管?

  10. 日本拟效仿德国:对IT巨头非法收集个人信息适用“反垄断法”

  11. 扎克伯格最新愿景:将Facebook打造成“关注隐私的社交网络“

  12. 德国最高数据保护官员就美国“云法案”提出警告

  13. 【时评】ICO对英国航空和万豪国际开出巨额罚单,GDPR执法强硬时代来临!


DPO社群成员观点

  1. 个人信息委托处理是否需要个人授权?(DPO社群成员观点)

  2. 企业如何告知与保护用户的个人信息主体权利(DPO社群成员观点)

  3. GDPR“首张”执行通知盯上AlQ公司的前期后后(DPO社群成员观点)

  4. 隐私条款撰写调研报告(DPO社群成员观点)

  5. 我看到的数据安全(DPO社群成员观点)

  6. 数据爬取的法律风险综述(DPO社群成员观点)

  7. 银行业金融数据出境的监管框架与脉络(DPO社群成员观点)

  8. 解析公安机关《互联网个人信息安全保护指引(征求意见稿)》(DPO社群成员观点)

  9. 详解GDPR向Google亮剑缘由(DPO社群成员观点)

  10. 从生产安全体系视角看数据安全(DPO社群成员观点)

  11. 从Android Q看安卓系统的授权机制的三次重大演进(DPO社群成员观点)

  12. APP安全认证公告和实施规则解读:治理思路的创新与多样化(DPO社群成员观点)

  13. 从数据融合角度分析CNIL处罚谷歌案(DPO社群成员观点)

  14. 历史和国际比较视角DPO法律制度探源(DPO社群成员观点)

  15. 谷歌数据融合合规之路:从欧盟监管机构调查与处罚来看——上篇(DPO社群成员观点)

  16. 数据保护官岗位角色技术能力分析(DPO社群成员观点)

  17. 中国企业境外投资中儿童个人信息保护(DPO社群成员观点)

  18. 企业上市过程面临的数据合规问题和相关风险:境内篇(DPO社群成员观点)

  19. 企业上市过程面临的数据合规问题和相关风险:境外篇(DPO社群成员观点)

  20. 数据保护岗位需求与能力发展(DPO社群成员观点)

  21. DPO互助平台对企业数据治理实务的指导(DPO社群成员观点)

  22. 对网络安全负责人岗位的思考(DPO社群成员观点)

  23. 结合良好实践,细说APP自评估指南之一(DPO社群成员观点)

  24. 《个人信息安全规范》的效力与功能

  25. 结合良好实践,细说APP自评估指南之二(DPO社群成员观点)

  26. 《网络安全法》中数据出境安全评估真的那么“另类”吗

  27. 实施已满三月,区块链新规“回头看”(DPO社群成员观点)

  28. 从“布拉格提案”看美国政府的策略

  29. 《欧盟GDPR合规指引》前言:从一个损毁的雕像说起

  30. 对《网络安全审查办法(征求意见稿)》的几点观察

  31. 使命与界限:近期个人信息和数据安全新规的一些思考(DPO社群成员观点)

  32. 解析《个人信息出境安全评估办法(征求意见稿)》实体保护规则背后的主要思路

  33. “惟危惟微,允执厥中”:对《数据安全管理办法》中“定向推送”部分的思考

  34. 《儿童个人信息网络保护规定(征求意见稿)》评析:与美国COPPA对比的视角

  35. 网安法中的“范围”如何理解和落地:从头条案说起

  36. 《数据安全管理办法》的监管诉求及文本改进建议:DPO社群的现场讨论

  37. 数据安全的内部和外部视角初探

  38. 《个人信息出境安全评估办法》的流程改进建议:DPO社群的现场讨论

  39. GDPR与相关数据保护法律处罚案例调研(DPO社群成员观点)

  40. 个人信息侵权纠纷类型化试解(DPO社群成员观点)

  41. 英法两国对 AdTech和广告类SDK的监管案例分析

  42. 金控监管办法草案发布 有望扫清信息共享障碍(DPO社群成员观点)

  43. GDPR对用户画像的合规要求分析(DPO社群成员观点)

  44. IAPP新加坡会议上关于27701的Panel和PPT

  45. FTC vs Facebook:50亿美元和解令的来龙去脉(DPO社群成员观点)

  46. 人脸识别技术的法律规制研究初探(DPO社群成员观点)

  47. 澳《消费者数据权利法案》对数据共享与数据可携权的探索(DPO社群成员观点)

  48. FTC vs. YouTube:解读违规处理儿童个人信息之最大罚单(DPO社群成员观点)

  49. 个人数据在美欧外国投资审查中的角色初探(一)

  50. HiQ vs. LinkedIn案的启示与未决之题(DPO社群成员观点)

  51. 国家标准《个人信息安全规范(征求意见稿)》修订解读(DPO社群成员观点)

  52. 解析欧盟法院对与Cookies相关的告知和同意的最新判决(DPO社群成员观点)

  53. 推动域外应用商店下架“HKmap.live全港抗争即时地图”App的思路

  54. “客场作战”,法律先行:以“HKmap.live”为例

  55. 墨迹天气IPO被否 App治理工作组收集个人信息通报成依据之一

  56. 解读世界首例警方使用人脸识别技术合法性判决(DPO社群成员观点)

  57. 从墨迹IPO被否看拟境内上市企业的数据合规工作(DPO社群成员观点)

  58. 对美国外国投资审查新规的观察和评价(DPO社群成员观点)

  59. 《个人信息安全规范》在安标委重庆会议周上的汇报


    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存