当选2022年度十大新词 “新型实体企业”新在哪？******

　　12月20日 ，国家语言资源监测与研究中心 、商务印书馆 、光明网联合主办的“汉语盘点2022”活动揭晓了年度字词。其中，“新型实体企业”作为数实融合催生 的企业新类别 ，当选2022年度十大新词。

　　无独有偶 。在11月27日举办的中国企业家博鳌论坛“中国式现代化下 的新型实体企业发展之路”研讨会上，中国企业评价协会发布了“2022新型实体企业100强”及发展报告，国家电网 、京东 、华为位居前三。

　　一时之间，“新型实体企业”被深度聚焦，成为经济领域最受关注 的概念之一 。事实上，新型实体企业虽然位列“2022年度十大新词”，但我们并不陌生 ，它已经融入我们生活 的方方面面。以位居三甲的新型实体企业为例，国家电网深耕公用基础设施、保障生产生活用电 ，很多零售和消费背后都有京东 的供应链在支持，华为则多年来都是高科技行业 的领军者之一。新型实体企业科技含量高 、数字技术能力强，是新时期经济发展和产业结构保持活力和张力的主力军 ，代表着一种更具创新性 的实体经济生产力 。

　　当今社会，无论经济形态、生产模式、行业生态如何变化 ，都不能离开实体经济这个内核 ，否则就成为了无源之水 、无根之木 。数字经济则起到为实体经济提质增效的作用，两者的深度融合 、协同互促，最终为企业和国民经济发展输出不竭的动能。

　　新型实体企业 的崛起，是时代 的要求 ，也 是时代的创造 。传统实体产业转型升级，需要数字技术和创新力高效赋能，而数字经济 的发展必须以实体经济为依托 ，才能挤压经济“泡沫” ，避免“虚拟陷阱”。因此 ，在数实融合 的大潮下，拥有传统实体基因、兼具数字技术能力的新型实体企业得以蓬勃发展，展现出强大 的抗风险能力和成长性。

　　新型实体企业在技术先进性、生态普惠性等多个层面 ，都表现出其领先性 ，从而能够担当更多 的社会责任。新时期定义 的现代化企业，不仅要创造经济价值 ，更要创造社会价值 ，成为经济和社会发展坚实 的支撑 。来自中国企业评价协会 的数据显示 ，新型实体企业百强2021年的总研发投入达6481亿元 、新增发明专利5.6万件，呈现科技创新和产出双高 的特点。巨额的研发投入，在实现自身科技创新 的同时 ，对外输出数字技术服务，也能够助力千行百业生产工艺升级 、经营效率提升 。

　　开放、共享的服务，一如京东打造 的“有责任的供应链”，惠及产业链上下游，创造了更多的商机和就业岗位。这样的例子比比皆 是 ，国货老品牌 ，借助京东 的数字化营销，重新焕发青春魅力 ；京东通过技术扶贫 、技术下乡，再辅以智能物流，让大山里少为人知的土特产跨越地域屏障飞向千家万户，并走上了品牌化、规模化经营的大道；采用京东 的C2M反向供应链服务，制造工厂能为用户精准画像，开发新产品的市场调研时间和上市周期大大缩短……

　　当选2022年度十大新词 ，有力地证明了新型实体企业 的先进性 ，也 是未来市场主体的主流形态 。促进经济高质量发展 ，奔向共同富裕 ，需要深化数实融合，为新型实体企业创造和开拓更为广阔的空间 。“苟日新，日日新 ，又日新” ，相信未来必将开启一段充满信心和希望的经济新征程。（罗江海）

【动画】@App开发者们 ，你想了解 的SDK安全风险都在这 ！******

　　日前 ，工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App，有13款内嵌第三方SDK存在违规收集用户设备信息行为 。

　　现如今 ，大量App借助SDK实现特定功能 ，提供便捷服务，满足用户多样需要，但APP使用SDK也可能带来相关安全问题，包括SDK自身安全漏洞、SDK恶意行为 、SDK收集使用个人信息三类。

　　其中 ，SDK恶意行为是指嵌入APP中 的SDK自身产生 的恶意行为。这种恶意行为将破坏使用SDK的APP 的安全性，对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持 、资费消耗 、隐私窃取等 。

　　常见SDK恶意行为

　　流量劫持指SDK信息拉取 、上报和展示目标App提供者设定的目标不同 ，恶意劫持App流量 ，可能对App造成损害 ；隐私窃取指SDK在用户不知情或误导用户 的情况下，隐蔽窃取用户 的通讯录 、短信息等个人敏感信息，隐蔽进行拍照 、录音等敏感行为，并发送给恶意开发者 ；广告刷量指SDK在最终用户不知情 的情况下 ，在后台模拟人工点击广告链接进行牟利 。

　　在SDK收集使用个人信息方面 ，安天移动安全发现 ，应用接入第三方SDK引发 的违规收集个人信息问题较为普遍 。其中 ，包括用户同意隐私政策前就开始收集个人信息 、隐私政策中未明确提及所接入 的SDK和数据收集情况 、SDK收集的个人信息范围与隐私政策不相符等。

　　除了上述 SDK恶意行为外，当前 App 接入的 SDK 中还存在以上风险行为类型

　　在对某统计类SDK检测分析时研究发现 ，其主要提供用户行为统计功能，并在此过程中实现用户终端数据 的收集和上传。

　　由于该SDK 在不同App中存在模块代码和版本 的不同，因此对其在不同月活范围 App 中 的数据收集行为进行抽样分析，从结果上来看 ，该SDK 普遍存在违规收集和超范围收集个人信息 的问题 ，并且在月活较低 的 App 接入的版本中 ，还存在通过云控参数控制 SDK 在终端侧收集数据范围 的情况 ，并且涉及大量用户隐私路径数据的访问。

　　以某知名地图 App为例 ，在相关检测中发现 ，在隐私政策中明确提到了应用内第三方 SDK所收集 的个人信息类型为设备信息和 Wi-Fi 地址 。而实际上传 的数据中除了包含 WiFi  的BSSID名称信息外，还频繁上传用户安装应用的列表信息 。

　　国家标准计划《信息安全技术 移动互联网应用程序（App）收集个人信息基本要求》中明确定义了不同业务场景下，应用收集个人信息范围 的最小化原则 。而在应用接入的 SDK 中，收集个人信息范围、频度 的必要性和最小化原则同样适用于SDK的功能业务场景 。

　　虽然部分应用接入 SDK 时明示了 SDK 所收集 的个人信息范围 ，但其合理性和必要性存疑 ，例如收集个人信息范围为软件安装列表 ，但实际除了收集安装应用包名信息外 ，还收集了安装应用运行状态信息等，这就涉及超范围收集个人信息。

　　例如，某统计类 SDK除了应用开发者本身主动调用相关事件接口外 ，SDK自身还注册监听了多种广播消息，在监听到相关消息后则会触发数据 的收集和上传行为 。例如对解锁屏 、电源连接断开事件进行监听、对用户终端安装 、卸载应用行为进行监听 ，除此以外 ，还会监听应用前台 、后台的切换行为从而触发数据 的收集和上传。

　　另外 ，当前 App 接入的 SDK 中还存在云端控制SDK行为，热更新技术控制 SDK 行为，后台拉活 、自动下载安装 、误触下载等风险行为。

　　（监制 ：张宁 策划 ：李政葳 制作 ：黎梦竹）