中国连续第三个月减持美债，持仓再创2010年6月以来新低******

　　澎湃新闻记者 陈佩珍

　　美东时间1月18日，美国财政部公布2022年11月的国际资本流动报告(TIC)。根据最新数据，2022年11月，日本和中国(大陆)为美国国债的前两大“债主”。2022年11月，日本结束自2022年7月开始的减持美国国债步伐，当月增持178亿美元至1.0822万亿美元。中国则连续第三个月减持美国国债，当月减持78亿美元至8700亿美元，持仓规模为2010年6月以来新低。

　　2022年，美联储的大幅度加息和日本的宽松货币政策形成鲜明对比。不过，在2022年底，日本央行突然的“鹰派”转向，让市场猜测其宽松货币政策是否会转向。

　　从对美债的持有量来看，日本在“奇袭”市场前的一个月，即2022年11月，对美债转为小幅增持，而在2022年10月，日本对美债的减持幅度环比收窄，在2022年9月，日本对美债一度大幅减持796亿美元。

　　一般来说，当美债收益率处于上行阶段，投资者会倾向于减持美债资产以降低资产损失，当美债收益率下行时再增持。在2022年11月10日，美国劳工统计局发布10月通胀数据超预期回落后，美国10年期国债收益率就进入总体下行趋势阶段，此前因为美联储较为“鹰派”加息曾一路高涨。

　　当时美国劳工统计局公布的数据显示，美国2022年10月CPI同比增长7.7%，低于市场预期，前值为8.2%。

　　从中国大陆来看，去年5月，中国所持美债环比减少226亿美元至9808亿美元，为2010年5月以来首次持仓不足1万亿美元。在2022年7月、8月小幅增持后，9月、10月、11月，中国均在减持美债。

　　从全年来看，2022年年初，日本和中国所持美债分别为1.3031万亿美元、1.0601万亿美元；截止到2022年11月，日本和中国所持美债分别较年初降低2209亿美元和1901亿美元。

　　美国财政部在官网披露的11月国际资本数据内容显示，11月份外国对美国长期、短期证券和银行流水的净买入额为2131亿美元。其中，外国私人净流入为2127亿美元，外国官方净流入为4亿美元。

　　11月，外国居民增持了长期美国证券，净买入1406亿美元。外国私人投资者净买入1528亿美元，而外国官方机构净卖出122亿美元。美国居民减少了长期外国证券的持有量，净抛售了309亿美元。

　　若将国际长期证券和美国长期证券均考虑在内，外国对长期证券的净买入为1715亿美元。在计入调整因素后，比如对未记录的美国资产支持证券向外国投资者支付的本金的估计，11月份外国净购买入估计为1652亿美元。

　　外国居民持有的美国国债增加了47亿美元。外国居民持有的所有以美元计价的短期美国证券和其他托管负债减少了10亿美元。银行对外国居民以美元计价的净负债增加了490亿美元。

　　美国财政部下一次将发布2022年12月的财政部国际资本(TIC)数据，定于2023年2月15日。

【动画】@App开发者们，你想了解的SDK安全风险都在这！******

　　日前，工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App，有13款内嵌第三方SDK存在违规收集用户设备信息行为。

　　现如今，大量App借助SDK实现特定功能，提供便捷服务，满足用户多样需要，但APP使用SDK也可能带来相关安全问题，包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。

　　其中，SDK恶意行为是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性，对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持、资费消耗、隐私窃取等。

　　常见SDK恶意行为

　　流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同，恶意劫持App流量，可能对App造成损害；隐私窃取指SDK在用户不知情或误导用户的情况下，隐蔽窃取用户的通讯录、短信息等个人敏感信息，隐蔽进行拍照、录音等敏感行为，并发送给恶意开发者；广告刷量指SDK在最终用户不知情的情况下，在后台模拟人工点击广告链接进行牟利。

　　在SDK收集使用个人信息方面，安天移动安全发现，应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中，包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。

　　除了上述 SDK恶意行为外，当前 App 接入的 SDK 中还存在以上风险行为类型

　　在对某统计类SDK检测分析时研究发现，其主要提供用户行为统计功能，并在此过程中实现用户终端数据的收集和上传。

　　由于该SDK 在不同App中存在模块代码和版本的不同，因此对其在不同月活范围 App 中的数据收集行为进行抽样分析，从结果上来看，该SDK 普遍存在违规收集和超范围收集个人信息的问题，并且在月活较低的 App 接入的版本中，还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况，并且涉及大量用户隐私路径数据的访问。

　　以某知名地图 App为例，在相关检测中发现，在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi 的BSSID名称信息外，还频繁上传用户安装应用的列表信息。

　　国家标准计划《信息安全技术 移动互联网应用程序（App）收集个人信息基本要求》中明确定义了不同业务场景下，应用收集个人信息范围的最小化原则。而在应用接入的 SDK 中，收集个人信息范围、频度的必要性和最小化原则同样适用于SDK的功能业务场景。

　　虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围，但其合理性和必要性存疑，例如收集个人信息范围为软件安装列表，但实际除了收集安装应用包名信息外，还收集了安装应用运行状态信息等，这就涉及超范围收集个人信息。

　　例如，某统计类 SDK除了应用开发者本身主动调用相关事件接口外，SDK自身还注册监听了多种广播消息，在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏、电源连接断开事件进行监听、对用户终端安装、卸载应用行为进行监听，除此以外，还会监听应用前台、后台的切换行为从而触发数据的收集和上传。

　　另外，当前 App 接入的 SDK 中还存在云端控制SDK行为，热更新技术控制 SDK 行为，后台拉活、自动下载安装、误触下载等风险行为。

　　（监制：张宁 策划：李政葳 制作：黎梦竹）