外国专家：中国优化出入境政策促进全球贸易******

　　从1月8日起，中国对新冠病毒感染实施“乙类乙管”，取消入境后全员核酸检测和集中隔离。莫斯科美利坚大学高级研究员马丁·西夫1月11日在《中国日报》撰文称，旅行和国际贸易是促进全球和平与繁荣的重大、必要条件，因此中国的最新举措应当受到邻国以及其他贸易伙伴的欢迎。

　　中国优化出入境是大势所趋

　　文章指出，为遏制高传染性的新冠病毒传播，此前实施旅行限制是必要的。然而，随着新冠病毒致病力持续减弱，以及全球推动接种新冠疫苗及其加强针，该病毒所造成的威胁已经远远低于三年前。

　　遗憾的是，在当前严峻形势下，即便是最具建设性的举措也会被西方歪曲报道，被用于攫取廉价的政治得分。接下来的一年里，任何限制中国公民和货物在世界各地自由流动的行径，无疑都属于西方损人利己、搞破坏的范畴。

　　对于全球经济而言，最迫切需要的是与中国的新一轮贸易以及来自中国的投资。中国将再次发挥巨大的建设性作用，促进世界繁荣与增长。在过去20年里，中国一直是全球增长主要引擎，尤其是在拉丁美洲、撒哈拉以南非洲发挥了重要作用。中国与沙特阿拉伯以及其他海湾国家之间的贸易快速增长、关系持续深化，向着这一方向迈进是大势所趋、众望所归。

　　在地缘政治局势紧张的背景下，若要促进世界和平，最重要的是推动个人旅行以及商业和旅游业互动，为新一轮外交对话与外交接触营造更加积极的氛围。

　　对于拉丁美洲和非洲发展中国家而言，当务之急是吸引新一轮中国投资以重振陷入停滞与衰退的经济。除了英美智囊团，全世界都知道，中国无意破坏各国政府和社会的稳定。

　　积极回应中国新举措是良好开端

　　文章分析称，长期以来，中国以实际行动证明自己是一个忠诚可靠的伙伴，值得信赖，愿对世界各国进行投资并保持合作关系，而不是以意识形态和政府组织形式来划界。这是维护世界长期和平、促进全球发展与繁荣的必由之路。

　　如今，中国再次采取积极、明智和令人鼓舞的举措，以此促进世界贸易复苏，推动各国人民和政府重新建立联系、增进了解。各主要国家应当积极回应这一举措。一些国家的针锋相对不是人心所向，全球人民都希望在2023年看到积极回应，进而消除仇恨、缓解紧张局势、增加投资、加深理解、促进包容。

　　美国领导人和政客一直以来都是口惠而实不至，中国同其他许多国家一样早就对此见怪不怪。令人鼓舞的是，在世界各地，一些领导人已经意识到重要的是日积月累的政治才能，而不是在国际舞台上用侮辱性、煽动性的指责和谎言哗众取宠。在经历了这么长时间的新冠危机后，对中国优化防疫政策作出快速而积极的回应将是一个良好开端。

　　（编辑：严玉洁 王辉 周凤梅）

【动画】@App开发者们，你想了解的SDK安全风险都在这！******

　　日前，工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App，有13款内嵌第三方SDK存在违规收集用户设备信息行为。

　　现如今，大量App借助SDK实现特定功能，提供便捷服务，满足用户多样需要，但APP使用SDK也可能带来相关安全问题，包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。

　　其中，SDK恶意行为是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性，对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持、资费消耗、隐私窃取等。

　　常见SDK恶意行为

　　流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同，恶意劫持App流量，可能对App造成损害；隐私窃取指SDK在用户不知情或误导用户的情况下，隐蔽窃取用户的通讯录、短信息等个人敏感信息，隐蔽进行拍照、录音等敏感行为，并发送给恶意开发者；广告刷量指SDK在最终用户不知情的情况下，在后台模拟人工点击广告链接进行牟利。

　　在SDK收集使用个人信息方面，安天移动安全发现，应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中，包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。

　　除了上述 SDK恶意行为外，当前 App 接入的 SDK 中还存在以上风险行为类型

　　在对某统计类SDK检测分析时研究发现，其主要提供用户行为统计功能，并在此过程中实现用户终端数据的收集和上传。

　　由于该SDK 在不同App中存在模块代码和版本的不同，因此对其在不同月活范围 App 中的数据收集行为进行抽样分析，从结果上来看，该SDK 普遍存在违规收集和超范围收集个人信息的问题，并且在月活较低的 App 接入的版本中，还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况，并且涉及大量用户隐私路径数据的访问。

　　以某知名地图 App为例，在相关检测中发现，在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi 的BSSID名称信息外，还频繁上传用户安装应用的列表信息。

　　国家标准计划《信息安全技术 移动互联网应用程序（App）收集个人信息基本要求》中明确定义了不同业务场景下，应用收集个人信息范围的最小化原则。而在应用接入的 SDK 中，收集个人信息范围、频度的必要性和最小化原则同样适用于SDK的功能业务场景。

　　虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围，但其合理性和必要性存疑，例如收集个人信息范围为软件安装列表，但实际除了收集安装应用包名信息外，还收集了安装应用运行状态信息等，这就涉及超范围收集个人信息。

　　例如，某统计类 SDK除了应用开发者本身主动调用相关事件接口外，SDK自身还注册监听了多种广播消息，在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏、电源连接断开事件进行监听、对用户终端安装、卸载应用行为进行监听，除此以外，还会监听应用前台、后台的切换行为从而触发数据的收集和上传。

　　另外，当前 App 接入的 SDK 中还存在云端控制SDK行为，热更新技术控制 SDK 行为，后台拉活、自动下载安装、误触下载等风险行为。

　　（监制：张宁 策划：李政葳 制作：黎梦竹）