美方一些人越鼓噪“断链” 外资越“做多”中国******

　　“全球投资者渴望回到中国做生意。”英国《金融时报》近日援引投资机构专家的观点进行报道。8日起，中国疫情防控进入新阶段，给全球投资者带来强劲信心。多家外国在华商会等机构认为，中外人员往来和商务旅行将加快恢复。不少外资企业称，已经开始制定集团高层访华日程，积极推动重启相关项目，寻找新的投资机会。华尔街日报网站9日报道说，商界人士将再次前往中国快速增长的市场考察。

　　目前在中国国内，商圈人流量上升、文旅市场回暖、多地重大项目集中开工……“流动的中国”回来了。路透社援引经济学家的观点称：“强劲的经济复苏就在前面。”

　　事实面前，那些唱衰中国经济、鼓噪对华“断链”的杂音，还有什么市场？过去三年，美国一些人总能找出歪理来“刷存在”。在疫情严峻时中国采取严格防疫政策，他们声称外国投资者信心下降、不好做生意，要求中国“放开”；当中国因时因势优化防疫措施，他们又声称中国疫情会给在华外企带来风险。总之，无论中国怎么做，他们的指向不变，就是千方百计想把产业链“转移”出中国。这种典型的双标做派，反映出美国一些人对中国根深蒂固的偏见、遏制打压的居心。

　　只不过，他们鼓噪了三年也没有达到目的。数据显示， 2020年，中国实际使用外资同比增长6.2%。2021年这一增速达到14.9%，在数量上首次突破万亿元人民币大关，刷新历史纪录。2022年前11个月，中国实际使用外资金额已超过2021年全年水平，同比增长9.9%。这表明，中国市场一直对外资有着很强的“磁吸力”。

　　吸引外资的，还有中国难以替代的产业链优势。苹果公司2022年10月发布的2021财年供应商名单显示，约190家供应商中有150家在中国大陆设有工厂。前不久，全球光学与光电行业领先企业蔡司的研发生产新基地项目，在苏州工业园区奠基。蔡司中国首席运营官谢磊说：“基本上在200公里范围内，80%的供应商都可以成为很好的合作伙伴。”当地成熟的产业链配套优势，是促成蔡司投资的重要原因之一。

　　巴斯夫（广东）一体化基地项目首套装置正式投产、华晨宝马生产基地大规模升级项目在沈阳正式开业、松下集团将冷链设备生产与销售等更多业务板块转移至中国……外资近来纷纷加快在华布局，看中的是中国14多亿人的超大规模市场，是中国拥有联合国产业分类中全部工业门类，是创新这个引领中国发展的第一动力，是中国不断推进的高水平对外开放，更是中国欣欣向荣的发展前景。

　　1月1日，《鼓励外商投资产业目录（2022年版）》正式实施。新版目录共有1474条总条目，与2020年版相比净增加239条、修改167条，增加条目数为近年来最多。这将给外资在华发展提供更大空间、带来更丰厚的回报。这些可不是美国几个人几张嘴就能抹杀的。

　　近来，高盛集团、摩根士丹利等纷纷上调2023年中国经济增长预期。多个国际经济机构预测，随着中国疫情防控进入新阶段，各项政策效果持续显现，今年经济运行有望总体回升。有分析指出，中国经济韧性强、潜力大、活力足，对世界经济的“加速器”作用不可替代。

　　反观美国经济，“衰退”已成为经济学家和投资者的预测共识。在刚刚过去的2022年，美联储为应对国内高通胀采取了激进的加息政策。美国经济界人士指出，由于货币政策存在滞后效应，美国人在今年上半年可能会承受 “很多痛苦”。美方一些政客还是多管好自己的家务事，少想着拆别人家的台。政治操弄对抗不了经济规律；企图堵别人的路，最终只会堵死自己的路。

　　（国际锐评评论员）

【动画】@App开发者们，你想了解的SDK安全风险都在这！******

　　日前，工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App，有13款内嵌第三方SDK存在违规收集用户设备信息行为。

　　现如今，大量App借助SDK实现特定功能，提供便捷服务，满足用户多样需要，但APP使用SDK也可能带来相关安全问题，包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。

　　其中，SDK恶意行为是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性，对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持、资费消耗、隐私窃取等。

　　常见SDK恶意行为

　　流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同，恶意劫持App流量，可能对App造成损害；隐私窃取指SDK在用户不知情或误导用户的情况下，隐蔽窃取用户的通讯录、短信息等个人敏感信息，隐蔽进行拍照、录音等敏感行为，并发送给恶意开发者；广告刷量指SDK在最终用户不知情的情况下，在后台模拟人工点击广告链接进行牟利。

　　在SDK收集使用个人信息方面，安天移动安全发现，应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中，包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。

　　除了上述 SDK恶意行为外，当前 App 接入的 SDK 中还存在以上风险行为类型

　　在对某统计类SDK检测分析时研究发现，其主要提供用户行为统计功能，并在此过程中实现用户终端数据的收集和上传。

　　由于该SDK 在不同App中存在模块代码和版本的不同，因此对其在不同月活范围 App 中的数据收集行为进行抽样分析，从结果上来看，该SDK 普遍存在违规收集和超范围收集个人信息的问题，并且在月活较低的 App 接入的版本中，还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况，并且涉及大量用户隐私路径数据的访问。

　　以某知名地图 App为例，在相关检测中发现，在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi 的BSSID名称信息外，还频繁上传用户安装应用的列表信息。

　　国家标准计划《信息安全技术 移动互联网应用程序（App）收集个人信息基本要求》中明确定义了不同业务场景下，应用收集个人信息范围的最小化原则。而在应用接入的 SDK 中，收集个人信息范围、频度的必要性和最小化原则同样适用于SDK的功能业务场景。

　　虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围，但其合理性和必要性存疑，例如收集个人信息范围为软件安装列表，但实际除了收集安装应用包名信息外，还收集了安装应用运行状态信息等，这就涉及超范围收集个人信息。

　　例如，某统计类 SDK除了应用开发者本身主动调用相关事件接口外，SDK自身还注册监听了多种广播消息，在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏、电源连接断开事件进行监听、对用户终端安装、卸载应用行为进行监听，除此以外，还会监听应用前台、后台的切换行为从而触发数据的收集和上传。

　　另外，当前 App 接入的 SDK 中还存在云端控制SDK行为，热更新技术控制 SDK 行为，后台拉活、自动下载安装、误触下载等风险行为。

　　（监制：张宁 策划：李政葳 制作：黎梦竹）