安徽省政协香港地区委员吴志斌：科创是深化皖港合作新突破口******

　　中新网合肥1月14日电 (记者 张强 吴兰 张俊)“目前，安徽省正融入长三角一体化发展的新车道，努力成为国家科技体制改革的‘试验田’，在此历史发展的契机下，要深化皖港两地的经济文化互动合作，科创必然是一个新的突破口和增长点，更是开创皖港合作的新面向。”安徽省政协香港地区委员、安徽省侨联副主席、香港安徽联谊会总会常务副会长吴志斌14日在接受中新网记者专访时如是说。

　　当日，安徽省“两会”继续在合肥市举行。作为“老委员”，吴志斌坦言，五年的委员任期，让他从对安徽感到陌生变得熟悉与亲切，从一位对安徽的旁观者、欣赏者变成了安徽发展的参与者、见证者，从最初的荣誉感变成了一种自觉的、沉甸甸的责任感。

　　过去五年，作为安徽省政协委员，吴志斌共参加了皖港活动逾百场。三年的疫情，让港澳委员来皖履职增加了很多困难，但吴志斌2021年至2022年之间仍克服困难，每年都二次返皖履职交流。

　　履职期间，吴志斌积极参与安徽省脱贫攻坚，设立的“吴国修端仁教育基金”五年来资助了二百多名贫困中学生升读大学，扶贫助学与扶贫消费总额逾百万元。

　　同时，吴志斌还深入安徽九个地市，推动各地市在港成立地市级“同乡联谊会”，2022年底“香港合肥同乡联谊会”正式成立并运作。“我觉得变的是环境，不变的是履职的初心、心中的责任，有信念，办法总比困难多。”

　　如今，参政履职的工作让吴志斌成为一名“新安徽人”，不仅自己在安徽置业，更动员香港中文大学毕业的女儿到安徽创业。

　　在今年安徽省“两会”上，吴志斌根据安徽发展动态，重点关注皖港科创交流合作，并积极建言献策。

　　吴志斌说，皖港科创合作有基础有政策。安徽省区域创新能力为全国第7位，并连续11年位居全国第一方阵。作为综合性国家科学中心的合肥和立志建立“国际创新科技中心”的香港，具有高度的战略重叠性。皖港两地从技术发展的资源储备、创新政策的支持力度以及人才吸引到企业落户等方面，都有相同的策略性谋划和施政目标。

　　为实现皖港两地在科技创新的多、深、广的合作交流，吴志斌建议，安徽应建立省级科创统筹领导小组，制定专门与港交流、协作的相关机制，弥补皖港长久以来的互动欠缺，针对性设立皖港科创基金，实现和培育有深度、有专题、精细化的科创交流活动。支持鼓励两地共建优势学科、实验室和研究中心。

　　同时，应发挥省级国有公司、在港窗口公司(香港黄山公司)、民营在港企业的主体性作用，深入洞察两地合作的“契合点”，尤其是在发挥合肥综合性国家科学中心优势方面，着重结合香港特区政府对生物科技、人工智能、智慧城市等方面的政策支持，引进相关企业项目，完善两地科创生态圈。

　　此外，要实现人才和项目的互动互联，其中在港安徽政协委员在发挥履职双重作用的同时，更要进一步起到“双面黏合”的作用。自改革开放以来，皖籍海归和港漂科创、金融人才落户香港，成了香港科技进步和创新的新生力量。安徽省需调动且发挥这一批人才的积极性，创立多领域、多面向的人才交流合作项目，定期举办人才项目峰会和考察活动，以国家级科创项目计划为主导，联合两地高精尖人才团队，以实现人才、资源和项目的互认、互动、互赢。(完)

【动画】@App开发者们，你想了解的SDK安全风险都在这！******

　　日前，工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App，有13款内嵌第三方SDK存在违规收集用户设备信息行为。

　　现如今，大量App借助SDK实现特定功能，提供便捷服务，满足用户多样需要，但APP使用SDK也可能带来相关安全问题，包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。

　　其中，SDK恶意行为是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性，对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持、资费消耗、隐私窃取等。

　　常见SDK恶意行为

　　流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同，恶意劫持App流量，可能对App造成损害；隐私窃取指SDK在用户不知情或误导用户的情况下，隐蔽窃取用户的通讯录、短信息等个人敏感信息，隐蔽进行拍照、录音等敏感行为，并发送给恶意开发者；广告刷量指SDK在最终用户不知情的情况下，在后台模拟人工点击广告链接进行牟利。

　　在SDK收集使用个人信息方面，安天移动安全发现，应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中，包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。

　　除了上述 SDK恶意行为外，当前 App 接入的 SDK 中还存在以上风险行为类型

　　在对某统计类SDK检测分析时研究发现，其主要提供用户行为统计功能，并在此过程中实现用户终端数据的收集和上传。

　　由于该SDK 在不同App中存在模块代码和版本的不同，因此对其在不同月活范围 App 中的数据收集行为进行抽样分析，从结果上来看，该SDK 普遍存在违规收集和超范围收集个人信息的问题，并且在月活较低的 App 接入的版本中，还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况，并且涉及大量用户隐私路径数据的访问。

　　以某知名地图 App为例，在相关检测中发现，在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi 的BSSID名称信息外，还频繁上传用户安装应用的列表信息。

　　国家标准计划《信息安全技术 移动互联网应用程序（App）收集个人信息基本要求》中明确定义了不同业务场景下，应用收集个人信息范围的最小化原则。而在应用接入的 SDK 中，收集个人信息范围、频度的必要性和最小化原则同样适用于SDK的功能业务场景。

　　虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围，但其合理性和必要性存疑，例如收集个人信息范围为软件安装列表，但实际除了收集安装应用包名信息外，还收集了安装应用运行状态信息等，这就涉及超范围收集个人信息。

　　例如，某统计类 SDK除了应用开发者本身主动调用相关事件接口外，SDK自身还注册监听了多种广播消息，在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏、电源连接断开事件进行监听、对用户终端安装、卸载应用行为进行监听，除此以外，还会监听应用前台、后台的切换行为从而触发数据的收集和上传。

　　另外，当前 App 接入的 SDK 中还存在云端控制SDK行为，热更新技术控制 SDK 行为，后台拉活、自动下载安装、误触下载等风险行为。

　　（监制：张宁 策划：李政葳 制作：黎梦竹）