吉利彩票娱乐 - 吉利彩票规则

【动画】@App开发者们，你想了解的SDK安全风险都在这！******

　　日前，工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App，有13款内嵌第三方SDK存在违规收集用户设备信息行为。

　　现如今，大量App借助SDK实现特定功能，提供便捷服务，满足用户多样需要，但APP使用SDK也可能带来相关安全问题，包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。

　　其中，SDK恶意行为是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性，对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持、资费消耗、隐私窃取等。

　　常见SDK恶意行为

　　流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同，恶意劫持App流量，可能对App造成损害；隐私窃取指SDK在用户不知情或误导用户的情况下，隐蔽窃取用户的通讯录、短信息等个人敏感信息，隐蔽进行拍照、录音等敏感行为，并发送给恶意开发者；广告刷量指SDK在最终用户不知情的情况下，在后台模拟人工点击广告链接进行牟利。

　　在SDK收集使用个人信息方面，安天移动安全发现，应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中，包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。

　　除了上述 SDK恶意行为外，当前 App 接入的 SDK 中还存在以上风险行为类型

　　在对某统计类SDK检测分析时研究发现，其主要提供用户行为统计功能，并在此过程中实现用户终端数据的收集和上传。

　　由于该SDK 在不同App中存在模块代码和版本的不同，因此对其在不同月活范围 App 中的数据收集行为进行抽样分析，从结果上来看，该SDK 普遍存在违规收集和超范围收集个人信息的问题，并且在月活较低的 App 接入的版本中，还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况，并且涉及大量用户隐私路径数据的访问。

　　以某知名地图 App为例，在相关检测中发现，在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi 的BSSID名称信息外，还频繁上传用户安装应用的列表信息。

　　国家标准计划《信息安全技术 移动互联网应用程序（App）收集个人信息基本要求》中明确定义了不同业务场景下，应用收集个人信息范围的最小化原则。而在应用接入的 SDK 中，收集个人信息范围、频度的必要性和最小化原则同样适用于SDK的功能业务场景。

　　虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围，但其合理性和必要性存疑，例如收集个人信息范围为软件安装列表，但实际除了收集安装应用包名信息外，还收集了安装应用运行状态信息等，这就涉及超范围收集个人信息。

　　例如，某统计类 SDK除了应用开发者本身主动调用相关事件接口外，SDK自身还注册监听了多种广播消息，在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏、电源连接断开事件进行监听、对用户终端安装、卸载应用行为进行监听，除此以外，还会监听应用前台、后台的切换行为从而触发数据的收集和上传。

　　另外，当前 App 接入的 SDK 中还存在云端控制SDK行为，热更新技术控制 SDK 行为，后台拉活、自动下载安装、误触下载等风险行为。

　　（监制：张宁 策划：李政葳 制作：黎梦竹）

养老“第三支柱”如何撑起来？金融机构等积极性高涨******

　　养老“第三支柱”如何撑起来？

　　阅读提示

　　截至2022年底，个人养老金缴费人数613万人，总缴费金额142亿元……个人养老金制度实施后，金融机构等积极性高涨，个人养老金行情迅速升温。目前，收入较高且接近退休年龄的人群积极性较高。未来，个人养老金制度有待进一步调整优化，进一步提升产品吸引力。

　　去年12月底，在北京一家国企工作的张华开通了个人养老金账户，并“顶格”存入了1.2万元，为自己的未来养老“支”起了第三支柱。

　　2022年11月25日，人社部、财政部、国家税务总局三部门发布通知，明确个人养老金制度在北京、天津、上海等36个先行城市和地区启动实施。银行金融机构等积极性高涨，个人养老金行情迅速升温。

　　数据显示，截至2022年底，个人养老金参加人数1954万人，缴费人数613万人，总缴费金额142亿元。人们对个人养老金到底是怎么看的？《工人日报》记者对此进行了采访。

　　金融机构等积极性高涨

　　2022年12月初，为了帮在银行工作的高中同学完成年底工作量考核，在天津一家设计院工作的刘伟线上开通了个人养老金账户，并存入了1元钱。“过程不复杂，填写相关信息，进行短信验证，就开户成功了”。

　　记者在采访中发现，有不少人和刘伟一样，是被在银行工作的熟人拉着入局的。

　　个人养老金制度开始试点后，首批有23家银行可以开通个人养老金账户，包括6大国有银行、12家股份制银行以及5家城商行。

　　一场客户争夺战也由此打响。各大银行纷纷通过返现金、赠送消费券、积分等手段“拉新”。2022年12月29日，词条“每周60个新开户指标，个人养老金争夺战下的银行理财经理‘喊苦’”一度冲上热搜。

　　刘伟在开户后，获得了50元现金返现。对于是否继续往个人养老金账户存钱，他仍持观望态度。

　　税优是个人养老金的吸引力之一。按照制度安排，个人养老金开户后，可以在综合所得或经营所得中按照个人养老金的实际缴费金额进行税前抵扣。刘伟表示，自己的年收入在12万元左右，本身交税就不多，因此减税效果并不明显，可以再等等看。

　　个人养老金背后的“两本账”

　　与持观望态度的刘伟不同，在北京一家国企工作的张华开通个人养老金账户经过了深思熟虑。

　　2016年开始，他所在的企业开始为职工缴纳企业年金，这为张华的养老支起了第二支柱。这次开通个人养老金账户，张华是想“支”起第三支柱，为自己养老多一份保障。

　　张华今年35岁，年收入在35万元左右，他给记者算了这样一笔减税账。

　　除去包括房贷、赡养老人两项专项附加扣除在内的各项扣除，他年度应纳税所得额约在18万元左右，适用于20%的税率档位。如果能再扣除1.2万元的个人养老金，那一年可以少交税2400元，按60岁退休计算，他可以少交6万元。

　　关于投资收益，根据制度安排，在投资环节，计入个人养老金资金账户的投资收益暂不征收个税；在领取环节，个人领取的个人养老金，不并入综合所得，单独按照3%的税率计算缴纳个税。

　　张华告诉记者，对于养老产品投资，他更看重的是稳健性，而非高收益。因此，他更倾向于选择相对保守的储蓄，“相当于为未来养老多存了一笔钱”。

　　按照3%的年化收益率计算，张华如果每年持续缴纳1.2万元，缴纳25年至退休，缴税后，他能从个人养老金账户中拿到43.71万元。

　　在福州一家国有银行工作人员张欢看来，个人养老金更适合年收入在20万元以上的人群。在她接触的开户客户中，收入较高且接近退休年龄的人群，积极性普遍较高。

　　提升个人养老金制度吸引力

　　由于个人养老金采取市场化运营，不可避免地会存在投资风险。那么，普通人该如何合理使用存入养老金个人账户里的资金购买养老金融产品？

　　中国养老金融50人论坛秘书长董克用建议，投资者要根据自己的年龄、财务情况和心理承受能力进行投资。比如，年轻人可以选择购买风险相对高的养老基金和养老理财产品，中年人投资要趋向稳健，接近退休年龄的人，可以选择相对保守的养老储蓄产品。

　　根据规定，个人养老金产品由金融监管部门确定，进入个人养老金“白名单”的产品要具备运作安全、成熟稳定、标的规范、侧重长期保值4个属性，从而更好保障退休人员的生活。《个人养老金实施办法》也强调，销售机构要以“销售适当性”为原则，做好风险提示，不得主动向参加人推介超出其风险承受能力的个人养老金产品。

　　下一步，个人养老金制度如何更好地完善、发展？中国人民银行前行长、全国社保基金理事会前理事长戴相龙建议，今后，可以把个人养老金最高限额提高到1.8万元以上，扩大税收优惠。同时，对个人养老金的投资收益率实行保底，加大政策扶持力度，以进一步提升大家参与个人养老金的热情。

　　“为了适应劳动力市场灵活化趋势，未来的个人养老金制度可以考虑将第二支柱(企业年金和职业年金)和第三支柱(个人储蓄型养老保险和商业养老保险)打通，或者建立两者之间的衔接办法。”中国人民大学教授、中国社会保障学会秘书长鲁全指出，目前，第二支柱是由劳动者和用人单位共同缴费，如果劳动者换了工作，新单位又没有企业年金计划，那么他的第二支柱就会中断。他建议，增强第二支柱和第三支柱之间的协同功能。(文中刘伟 张华 张欢为化名)

　　王维砚

　　（文图：赵筱尘 巫邓炎）