国家版权局在文博会期间举办“版权让文化生活更美好”主题展******

　　12月28日，第十八届中国（深圳）国际文化产业博览交易会（以下简称文博会）开幕，国家版权局首次作为主办单位之一，举办了“版权让文化生活更美好”主题展。中宣部副部长张建春在文博会主会场巡馆期间，到版权主题展调研。

　　主题展现场（本文图片由国家版权局 供图）

　　“版权让文化生活更美好”主题展以丰富的内容和新颖的形式，全面展示了党的十八大以来,在以习近平同志为核心的党中央坚强领导下,中国版权立法、版权保护、版权服务、版权国际交流合作、版权宣传教育助力提升中华文化事业繁荣发展方面取得的重大成就，为文博会现场观众更好了解版权的价值和意义提供了参考。

　　主题展重点回顾了《著作权法》实施30多年来，经过三次修订，形成了以《著作权法》为核心，行政法规、国际条约、部门规章、司法解释和地方性法规为组成部分，既与国际规则接轨，又具有中国特色，既适应市场经济要求，又体现新技术发展的完备的版权法律体系。特别是在党的十八大以来，我国深化版权司法审判领域改革，健全审判机构，强化审判监督指导，版权司法保护更加坚定有力，有效维护权利人的合法利益；各级版权行政管理部门坚持日常监管与专项行动相结合，探索运用技术手段，严厉打击各类侵权盗版行为，不断加大惩治力度。针对盗版音像制品以及北京冬奥会等重大活动开展专项整治，连续多年开展打击侵权盗版专项治理行动，版权执法监管力度不断加大，版权执法监管成效显著，为营造法治化、国际化、便利化的一流营商环境和有利于科技创新、文化繁荣的良好环境发挥了重要的保驾护航作用。

　　展台图片

　　“版权助力文化传承与蓬勃发展”部分重点展示了党的十八大以来，版权产业对国民经济的贡献逐步加大，出版物版权输出量持续增长，版权推动电影、音乐、文化娱乐、互联网等产业快速发展的成效。该部分还就国家版权局开展全国版权示范工作、打造全国版权展会授权交易体系、开展国家版权创新发展基地试点工作、进行全国作品和计算机软件著作权登记、设立著作权集体管理组织等全面推动版权运用和价值转化进行了展示。

　　“丰富多彩的版权宣传教育讲好中国版权故事”部分主要展示了自1991年《著作权法》颁布实施以来，中国先后批准加入了8个版权相关国际条约，包括推动视听产业发展的《视听表演北京条约》和世界上唯一一部版权领域的人权条约——《马拉喀什条约》。随着中国的版权国际影响力逐步增强，开展了版权保护优秀案例示范点调研项目，推动民间文艺版权保护国内立法和国际推广联动，助力中华优秀传统文化“传下去”“活起来”“走出去”。

　　版权主题展主办方表示，党的二十大擘画了以中国式现代化推进中华民族伟大复兴的宏伟蓝图，也为中国版权事业高质量发展提出了新任务、新要求。版权工作将坚持以习近平新时代中国特色社会主义思想为指导，围绕文化强国、知识产权强国、版权强国建设，不断激发文化创新创造活力，推动文化高质量发展，优化营商环境，促进国际交流合作，努力讲好中国版权故事，为社会主义文化新辉煌提供有力版权支撑。(赖名芳)

　　编辑：刘一文

　　审核：杨为民

【动画】@App开发者们，你想了解的SDK安全风险都在这！******

　　日前，工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App，有13款内嵌第三方SDK存在违规收集用户设备信息行为。

　　现如今，大量App借助SDK实现特定功能，提供便捷服务，满足用户多样需要，但APP使用SDK也可能带来相关安全问题，包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。

　　其中，SDK恶意行为是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性，对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持、资费消耗、隐私窃取等。

　　常见SDK恶意行为

　　流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同，恶意劫持App流量，可能对App造成损害；隐私窃取指SDK在用户不知情或误导用户的情况下，隐蔽窃取用户的通讯录、短信息等个人敏感信息，隐蔽进行拍照、录音等敏感行为，并发送给恶意开发者；广告刷量指SDK在最终用户不知情的情况下，在后台模拟人工点击广告链接进行牟利。

　　在SDK收集使用个人信息方面，安天移动安全发现，应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中，包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。

　　除了上述 SDK恶意行为外，当前 App 接入的 SDK 中还存在以上风险行为类型

　　在对某统计类SDK检测分析时研究发现，其主要提供用户行为统计功能，并在此过程中实现用户终端数据的收集和上传。

　　由于该SDK 在不同App中存在模块代码和版本的不同，因此对其在不同月活范围 App 中的数据收集行为进行抽样分析，从结果上来看，该SDK 普遍存在违规收集和超范围收集个人信息的问题，并且在月活较低的 App 接入的版本中，还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况，并且涉及大量用户隐私路径数据的访问。

　　以某知名地图 App为例，在相关检测中发现，在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi 的BSSID名称信息外，还频繁上传用户安装应用的列表信息。

　　国家标准计划《信息安全技术 移动互联网应用程序（App）收集个人信息基本要求》中明确定义了不同业务场景下，应用收集个人信息范围的最小化原则。而在应用接入的 SDK 中，收集个人信息范围、频度的必要性和最小化原则同样适用于SDK的功能业务场景。

　　虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围，但其合理性和必要性存疑，例如收集个人信息范围为软件安装列表，但实际除了收集安装应用包名信息外，还收集了安装应用运行状态信息等，这就涉及超范围收集个人信息。

　　例如，某统计类 SDK除了应用开发者本身主动调用相关事件接口外，SDK自身还注册监听了多种广播消息，在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏、电源连接断开事件进行监听、对用户终端安装、卸载应用行为进行监听，除此以外，还会监听应用前台、后台的切换行为从而触发数据的收集和上传。

　　另外，当前 App 接入的 SDK 中还存在云端控制SDK行为，热更新技术控制 SDK 行为，后台拉活、自动下载安装、误触下载等风险行为。

　　（监制：张宁 策划：李政葳 制作：黎梦竹）