在“健全全面从严治党体系”上下功夫******
作者:冯舟
习近平总书记在二十届中央纪委二次全会上强调,“进一步健全全面从严治党体系,使全面从严治党各项工作更好体现时代性、把握规律性、富于创造性”。新时代十年,我们党不断深化对自我革命规律的认识,不断推进党的建设理论创新、实践创新、制度创新,初步构建起全面从严治党体系。习近平总书记的这一重要论述,突出强调了健全全面从严治党体系在深化全面从严治党战略、把党的伟大自我革命进行到底中的重大作用,具有鲜明的政治意义。
马克思主义唯物辩证法告诉我们,要用普遍联系的、全面系统的、发展变化的观点观察事物,把握事物发展规律。对于我们这个成立100多年、执政70多年、拥有9600多万名党员、具有重大全球影响力的世界第一大执政党来说,在内有诸多大党独有难题需要破解,在外面临重大风险和严峻挑战,很多问题都是牵一发而动全身,只有“体系”层面聚焦用力,整体地而不是局部地、系统地而不是零碎地、持久地而不是短暂地、高标准地而不是一般化地推进全面从严治党,才能使我们党永葆先进性和纯洁性,引领中国特色社会主义巍巍巨轮劈波斩浪、一往无前。
全面从严治党体系是一个内涵丰富、功能完备、科学规范、运行高效的动态系统。它是国家治理体系的重要组成部分,自身也包含众多子系统,处于复杂的联系之中。在总体设计上,党的十九大提出新时代党的建设总要求,明确全面推进党的政治建设、思想建设、组织建设、作风建设、纪律建设,把制度建设贯穿其中,深入推进反腐败斗争的“5+2”任务布局,对党的建设框架体系进行重大改进和重塑,使之更加科学合理、运行有力。在体制机制上,健全总揽全局、协调各方的党的领导制度体系,建立党建工作责任制,形成党组织书记抓党建述职评议工作机制,有力推动管党治党责任落实到各个领域各个层级。在制度架构上,形成党章之下分为党的组织法规制度、党的领导法规制度、党的自身建设法规制度、党的监督保障法规制度的“1+4”党内法规制度体系,注重各方面法规协同耦合、衔接配套,强化制度执行力,发挥强大治理能力。在现实举措上,党的二十大提出坚持和加强党中央集中统一领导、坚持不懈用习近平新时代中国特色社会主义思想凝心铸魂等七大方面要求,既系统全面,又突出重点。同时,作为动态系统,全面从严治党体系是随着党的建设理论创新、实践创新、制度创新而不断发展完善的。
构建全面从严治党体系,重点是健全“体系”。“体系”包含多个层面,但基础是制度。因此,首先要坚持制度治党、依规治党,做到有规必依、执规必严、违规必究,依靠党章党规党纪严肃处置党内出现的各种问题,同时着眼事业需要、实践发展,及时进行制度立改废释工作,最大限度地把党内法规体系的管党治党效能释放出来。要做到“三个更加突出”,即更加突出党的各方面建设有机衔接、联动集成、协同协调,更加突出体制机制的健全完善和法规制度的科学有效,更加突出运用治理的理念、系统的观念、辩证的思维管党治党建设党,力求使管党治党的理念思维、体制机制、法规制度、具体措施等统一起来,上下贯通、内外协调、相互促进,发挥出更加强大的合力。坚持内容上全涵盖、对象上全覆盖、责任上全链条、制度上全贯通,把“全面”的要求落实好,确保无遗漏、没缺口、不脱节。
“知之愈明,则行之愈笃;行之愈笃,则知之益明。”全面从严治党体系健不健全,现实问题是试金石、也是磨刀石。要把党内存在的顽瘴痼疾当成一面镜子,反照全面从严治党体系的不足,有针对性地加以改进,推动其更加成熟、更加定型。(冯舟)
【动画】@App开发者们,你想了解的SDK安全风险都在这!******
日前,工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App,有13款内嵌第三方SDK存在违规收集用户设备信息行为。
现如今,大量App借助SDK实现特定功能,提供便捷服务,满足用户多样需要,但APP使用SDK也可能带来相关安全问题,包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。
其中,SDK恶意行为是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性,对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持、资费消耗、隐私窃取等。
常见SDK恶意行为
流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同,恶意劫持App流量,可能对App造成损害;隐私窃取指SDK在用户不知情或误导用户的情况下,隐蔽窃取用户的通讯录、短信息等个人敏感信息,隐蔽进行拍照、录音等敏感行为,并发送给恶意开发者;广告刷量指SDK在最终用户不知情的情况下,在后台模拟人工点击广告链接进行牟利。
在SDK收集使用个人信息方面,安天移动安全发现,应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中,包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。
除了上述 SDK恶意行为外,当前 App 接入的 SDK 中还存在以上风险行为类型
在对某统计类SDK检测分析时研究发现,其主要提供用户行为统计功能,并在此过程中实现用户终端数据的收集和上传。
由于该SDK 在不同App中存在模块代码和版本的不同,因此对其在不同月活范围 App 中的数据收集行为进行抽样分析,从结果上来看,该SDK 普遍存在违规收集和超范围收集个人信息的问题,并且在月活较低的 App 接入的版本中,还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况,并且涉及大量用户隐私路径数据的访问。
以某知名地图 App为例,在相关检测中发现,在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi 的BSSID名称信息外,还频繁上传用户安装应用的列表信息。
国家标准计划《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》中明确定义了不同业务场景下,应用收集个人信息范围的最小化原则。而在应用接入的 SDK 中,收集个人信息范围、频度的必要性和最小化原则同样适用于SDK的功能业务场景。
虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围,但其合理性和必要性存疑,例如收集个人信息范围为软件安装列表,但实际除了收集安装应用包名信息外,还收集了安装应用运行状态信息等,这就涉及超范围收集个人信息。
例如,某统计类 SDK除了应用开发者本身主动调用相关事件接口外,SDK自身还注册监听了多种广播消息,在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏、电源连接断开事件进行监听、对用户终端安装、卸载应用行为进行监听,除此以外,还会监听应用前台、后台的切换行为从而触发数据的收集和上传。
另外,当前 App 接入的 SDK 中还存在云端控制SDK行为,热更新技术控制 SDK 行为,后台拉活、自动下载安装、误触下载等风险行为。
(监制:张宁 策划:李政葳 制作:黎梦竹)
(文图:赵筱尘 巫邓炎)