沪政协委员吁实现最大化赋能 优化留学归国人才服务政策******

　　中新网上海1月10日电 (记者 许婧)受疫情常态化影响，越来越多的意向留学人群倾向毕业后回国就业。上海如何进一步让留学归国人才更好发挥独特优势，提升城市核心竞争力与软实力，建成国际化人才高地？正在此间召开的2023年上海两会上，政协委员们纷纷建言献策。

　　作为中国开埠最早的城市以及目前最大和最发达的城市，上海一直以来都是引才聚资的前沿，对全球高端人才具有强劲吸引力。上海也一直致力于构筑人才战略优势、建设高水平人才高地，鼓励和支持留学人员来沪就业、创业。

　　上海市人社局相关数据显示，去年6月份留学人员落户新政出台以来，通过直接落户政策引进留学人员已超过3万人。目前，来沪工作和创业的留学人员累计达27万余人。

　　海外高端人才大规模流入带来了巨大效益，为上海科技进步与经济发展注入了强大动力。近年来，海外高端人才引领上海经济社会发展的效应更为明显。他们带来了先进的学术思想，促进了科研管理及理念的国际化，提升了上海的软实力。

　　不过，留学归国人才来沪发展仍有一些突出诉求目前没有得到解决。

　　上海市政协委员、致公党上海市委副主委张文明受访时说，结合全市中心工作，致公党上海市委开展专项重点课题研究，汇聚高校、政府侨务部门、留学社会组织、上海市欧美同学会等不同涉侨、涉留学归国人员部门的智慧，通过大量数据分析和再分析，对在沪留学归国人才的生存状况、人才贡献情况、人才发展面临的问题等进行了深入分析。

　　张文明介绍，致公党上海市委在调研中发现，目前上海留学归国人才对拓宽信息渠道仍有突出需求。回国、来沪求职、创业的过程中，海归仍或多或少受到获取信息渠道不畅、创业资源对接不顺的钳制，强关系网络和非正式关系仍在求职创业过程中发挥着重要作用。

　　同时，海归也表达了需进一步加大多种扶持力度的期待。“围绕海归人才就业、尤其是创业过程中最关注的人才服务、税收租金减免等问题，制定相应的解决方案，用足政策、强化支撑，也是紧迫的重要诉求之一。”

　　在对上海的人才政策和方略进行评估后，致公党上海市委提出了进一步优化上海留学归国人才服务政策的建议。

　　“留学归国人员渴望有更加优化的服务体系。‘互联网+政务服务’的提出和发展已为企业办事提供了相当的便利，但对海归人才创业过程的新问题、新诉求，政府也需不断优化公共服务体系和鼓励发展市场化服务功能，为海归创业企业和创新项目实现最大化赋能。”张文明说。

　　曾在日本留学10 年的张文明是在2005 年毕业之际选择回到祖国工作。他结合自身经历谈到，人才引进政策从早期的填补空白到如今涉及高端人才，其实应该向有实际工作经验的人才倾斜，加大对这类人才的引进力度；在未来的人才支持方面，应尽可能向科研成果转化方面倾斜，要注重相关研究成果的实用性评估，集中力量支持那些解决具体问题的人才发展。

　　此外，应重视引进人才团队建设，对海外应届博士生的引进建议尽可能在既有研究团队基础上引进，这样可以发挥海归人才的专业优势，有助于引进的高端人才在相关领域延续所学，继续作出贡献；还应大力支持关键制造业方面方面的人才，特别是应建立针对创业型人才评价的体系，并以此作为进一步支持的依据。

　　“我们研究发现留学归国人才正在呈从中心城区向周边城区扩散的趋势，这是对于上海市发挥各具特色城区资源具有积极的导向作用。因此，我们建议结合五大新城建设，进一步出台相关政策吸引留学归国人才积极参与五大新城建设，提升五大新城的竞争力和整体发展水平。”张文明说。(完)

【动画】@App开发者们，你想了解的SDK安全风险都在这！******

　　日前，工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App，有13款内嵌第三方SDK存在违规收集用户设备信息行为。

　　现如今，大量App借助SDK实现特定功能，提供便捷服务，满足用户多样需要，但APP使用SDK也可能带来相关安全问题，包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。

　　其中，SDK恶意行为是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性，对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持、资费消耗、隐私窃取等。

　　常见SDK恶意行为

　　流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同，恶意劫持App流量，可能对App造成损害；隐私窃取指SDK在用户不知情或误导用户的情况下，隐蔽窃取用户的通讯录、短信息等个人敏感信息，隐蔽进行拍照、录音等敏感行为，并发送给恶意开发者；广告刷量指SDK在最终用户不知情的情况下，在后台模拟人工点击广告链接进行牟利。

　　在SDK收集使用个人信息方面，安天移动安全发现，应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中，包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。

　　除了上述 SDK恶意行为外，当前 App 接入的 SDK 中还存在以上风险行为类型

　　在对某统计类SDK检测分析时研究发现，其主要提供用户行为统计功能，并在此过程中实现用户终端数据的收集和上传。

　　由于该SDK 在不同App中存在模块代码和版本的不同，因此对其在不同月活范围 App 中的数据收集行为进行抽样分析，从结果上来看，该SDK 普遍存在违规收集和超范围收集个人信息的问题，并且在月活较低的 App 接入的版本中，还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况，并且涉及大量用户隐私路径数据的访问。

　　以某知名地图 App为例，在相关检测中发现，在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi 的BSSID名称信息外，还频繁上传用户安装应用的列表信息。

　　国家标准计划《信息安全技术 移动互联网应用程序（App）收集个人信息基本要求》中明确定义了不同业务场景下，应用收集个人信息范围的最小化原则。而在应用接入的 SDK 中，收集个人信息范围、频度的必要性和最小化原则同样适用于SDK的功能业务场景。

　　虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围，但其合理性和必要性存疑，例如收集个人信息范围为软件安装列表，但实际除了收集安装应用包名信息外，还收集了安装应用运行状态信息等，这就涉及超范围收集个人信息。

　　例如，某统计类 SDK除了应用开发者本身主动调用相关事件接口外，SDK自身还注册监听了多种广播消息，在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏、电源连接断开事件进行监听、对用户终端安装、卸载应用行为进行监听，除此以外，还会监听应用前台、后台的切换行为从而触发数据的收集和上传。

　　另外，当前 App 接入的 SDK 中还存在云端控制SDK行为，热更新技术控制 SDK 行为，后台拉活、自动下载安装、误触下载等风险行为。

　　（监制：张宁 策划：李政葳 制作：黎梦竹）