加仓权益资产 险资调研积极******

　　今年以来，保险机构调研较为积极。据Wind数据统计，截至1月18日，已有59家保险机构合计参与A股上市公司224次调研。从险资关注的行业来看，电子设备和仪器、家用电器、工业机械、电子元件等领域成为近期调研的重点。

　　业内人士表示，随着上市公司2022年年报的陆续披露，今年一季度在业绩和政策面上向好的行业会逐渐清晰，或迎来较好的调仓或加仓时间窗口。展望后市，多家机构给予中性偏乐观观点，建议把握疫情修复链、金融地产链、新能源领域的波段机会。

　　关注电子设备和仪器等领域

　　Wind数据显示，截至1月18日，开年以来共有59家保险机构合计调研194家A股上市公司，合计调研次数达224次。具体来看，中邮人寿、太平养老、国寿养老参与调研较为频繁，调研次数分别为21次、19次、16次，在保险机构中位列前三。

　　从险资关注的行业来看，电子设备和仪器、家用电器、工业机械、电子元件等领域成为险资近期调研的重点。个股方面，民德电子、火星人、苏州银行等上市公司得到保险机构较多关注。

　　从调研内容来看，企业的业绩指标、生产经营情况、行业动向、未来规划、客户关系等多个方面都是保险机构主要关心的问题。

　　例如，在对苏州银行的调研中，多家保险机构对银行业目前存在的存款定期化情况较为关心。苏州银行表示，针对存款定期化的变化趋势，该行不断优化对公开户、综合签约流程，强化基本账户开立意识，做大对公客户基盘。零售方面，该行将通过制定差异化的产品策略，实行多维度的产品定价，做好低成本存款产品营销，满足不同类型零售客户的金融储蓄需求。

　　优化资产配置结构

　　银保监会披露的最新数据显示，截至2022年11月末，保险资金运用余额为24.8万亿元，较2022年初增长6.8%。其中，股票和证券投资基金3.18万亿元，占比12.82%。某保险机构投研经理表示，2022年11月股市反弹，险资加大了权益类资产配置，股票和证券投资基金投资环比增长近10%，但配置占比仍处于相对较低水平，进一步提升空间较大。

　　目前已进入上市公司业绩密集披露期，多家保险机构表示，会根据公司的财报情况，做出标的选择与调仓动作。

　　也有部分险资人士透露，为避开今年年初的集中配置时点，去年四季度已提前加仓，以期获得相对同业较低的配置成本，在2023年实现收益优势。

　　在调研和加仓的对象选择上，某保险资管机构相关业务负责人对中国证券报记者表示：“年初这段时间，我们需在全年投研策略的基础上，通过现场调研、专家访谈、上市公司电话会议等方式，做好行业和个股的研究筛选，并根据投资计划与调研结果，结合市场走势、基本面的实际进行相互印证后，对个股进行相应的调整操作。”

　　对后市中性偏乐观

　　展望2023年，多位保险业内人士认为，权益类资产是诸多可配置大类资产中性价比较高的资产，今年险资对股票与证券投资基金的配置余额和占比均可能上升，投资收益率也有望改善。

　　市场方面，泰康资产研究部给予中性略偏乐观观点。泰康资产认为，疫情防控政策优化提振市场信心，利好中长期市场，经济将较快恢复；股市收益率与国债收益率之差仍超出历史平均水平，权益资产在大类资产配置中具备相对性价比优势。建议把握疫情修复链、金融地产链、新能源领域的波段机会。

　　中信建投认为，2023年A股多个板块有望在政策刺激、需求回暖及低基数背景下迎来改善。行业配置可优先聚焦“盈利周期反转”方向，例如，计算机、医药、餐饮链、电力板块；其次优选依旧高景气的风、光、储以及军工中的细分方向；另外，还可继续关注地产行业政策反转后业绩有望修复的地产链龙头。

【动画】@App开发者们，你想了解的SDK安全风险都在这！******

　　日前，工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App，有13款内嵌第三方SDK存在违规收集用户设备信息行为。

　　现如今，大量App借助SDK实现特定功能，提供便捷服务，满足用户多样需要，但APP使用SDK也可能带来相关安全问题，包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。

　　其中，SDK恶意行为是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性，对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持、资费消耗、隐私窃取等。

　　常见SDK恶意行为

　　流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同，恶意劫持App流量，可能对App造成损害；隐私窃取指SDK在用户不知情或误导用户的情况下，隐蔽窃取用户的通讯录、短信息等个人敏感信息，隐蔽进行拍照、录音等敏感行为，并发送给恶意开发者；广告刷量指SDK在最终用户不知情的情况下，在后台模拟人工点击广告链接进行牟利。

　　在SDK收集使用个人信息方面，安天移动安全发现，应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中，包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。

　　除了上述 SDK恶意行为外，当前 App 接入的 SDK 中还存在以上风险行为类型

　　在对某统计类SDK检测分析时研究发现，其主要提供用户行为统计功能，并在此过程中实现用户终端数据的收集和上传。

　　由于该SDK 在不同App中存在模块代码和版本的不同，因此对其在不同月活范围 App 中的数据收集行为进行抽样分析，从结果上来看，该SDK 普遍存在违规收集和超范围收集个人信息的问题，并且在月活较低的 App 接入的版本中，还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况，并且涉及大量用户隐私路径数据的访问。

　　以某知名地图 App为例，在相关检测中发现，在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi 的BSSID名称信息外，还频繁上传用户安装应用的列表信息。

　　国家标准计划《信息安全技术 移动互联网应用程序（App）收集个人信息基本要求》中明确定义了不同业务场景下，应用收集个人信息范围的最小化原则。而在应用接入的 SDK 中，收集个人信息范围、频度的必要性和最小化原则同样适用于SDK的功能业务场景。

　　虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围，但其合理性和必要性存疑，例如收集个人信息范围为软件安装列表，但实际除了收集安装应用包名信息外，还收集了安装应用运行状态信息等，这就涉及超范围收集个人信息。

　　例如，某统计类 SDK除了应用开发者本身主动调用相关事件接口外，SDK自身还注册监听了多种广播消息，在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏、电源连接断开事件进行监听、对用户终端安装、卸载应用行为进行监听，除此以外，还会监听应用前台、后台的切换行为从而触发数据的收集和上传。

　　另外，当前 App 接入的 SDK 中还存在云端控制SDK行为，热更新技术控制 SDK 行为，后台拉活、自动下载安装、误触下载等风险行为。

　　（监制：张宁 策划：李政葳 制作：黎梦竹）