定制度、强引导、通堵点 宁夏科技成果“跑”出实验室******

　　刚刚过去的这个秋天，一个名叫“宁芦1号”的芦竹新品种惊艳了宁夏人——其新材料及组织培养快繁技术以220万元金额成功转让，刷新宁夏农业领域单项科技成果转化金额最高纪录。

　　“宁芦1号”卖出好价钱，是宁夏职务科技成果赋权改革结出的硕果。

　　2020年5月、2021年12月，科技部等九部门、宁夏科技厅等十部门分别印发《赋予科研人员职务科技成果所有权或长期使用权试点实施方案》，分领域选择科研机构和高等院校开展试点。

　　激发科研人员创新积极性，离不开科技成果转移转化。从国家到宁夏，都在铆力破解科技成果“变现难”。

　　宁夏农林科学院固原分院买自珍研究员开展田间调查工作宁夏农林科学院供图

　　完善制度 推出“1234”流程

　　“科技成果只有转化才能真正实现创造价值。”改革推进会上，宁夏农林科学院院长刘常青的话掷地有声。

　　作为自治区两家试点单位之一，宁夏农林科学院在实践探索中转思路、建机制、强服务，赋权改革试点工作稳步推进。

　　今年伊始，该院迅速成立由院长任组长，院分管领导任副组长，成果转化处、科研处、计财处等相关处室负责人为成员的赋权工作领导小组，高标准推进赋权改革试点工作。

　　这需要加强顶层设计。

　　“我们在广泛调研的基础上，借鉴外省成功经验，结合院内工作实际，制定出台了《赋予科研人员职务科技成果所有权或长期使用权改革试点工作方案》。”刘常青告诉记者。

　　围绕成果评价、认定、赋权流程、权属变更等重点环节，该院悉心设计了文本及配套制度，明确赋权成果类型及转化方式，在枸杞、生物农药、酿酒葡萄等领域探索建立以技术入股为主要方式的成果转化新机制。

　　强化激励引导的“1234”赋权流程，应运而生。

　　简言之，就是以一项成果完成人（团队）为主体提出赋权申请，提交院赋权工作领导小组审核和院党组会议研究审批后，在院门户网站、院机关和申请人所在单位三级进行公示，无异议后签署备案《科技成果转化实施方案》《负面清单阅知承诺函》等四项文本。

　　举一纲而万目张，流程明确，工作开展就有了强力保障。

　　在紧锣密鼓推出赋权流程的同时，宁夏农林科学院研究建立了赋权科技成果转化尽职免责机制和职务科技成果转化收益分配机制，把成果转化收益的80％奖励给科技成果完成人，让创新全过程参与者分享更多创新红利。

　　改革方案落地见效，需要疾风骤雨，也需要春风化雨。明确职务科技成果转化体制机制的宁夏农林科学院，科技成果转化驶上“快车道”。

　　2022年，宁夏农林科学院赋权转化新品种、新技术76项，合同总金额790.35万元，是历年最高金额的1.5倍；其中“宁芦1号”转让220万元，是历年最高金额的2.75倍。“双创”年度和单项历史新高，被宁夏科技厅作为典型案例报送科技部。

　　强化引导 试点改革风生水起

　　另一家试点单位宁夏大学，始终坚持赋予科研人员成果转化最大的决定自主权，早在2017年就出台了《促进科研成果转化办法（试行）》。

　　科研成果是否转化、转化给谁，实际工作中，宁夏大学科研人员完全可以自主决定，并允许与技术需求方进行对接洽谈。为鼓励科研人员实施科技成果转化，在完成科技成果转化后，该校将转化收益的85%直接奖励给成果完成人。

　　此次宁夏大学职务科技成果赋权改革，便是之前的“延伸版”。

　　该校成立了科学技术研究院成果转化与奖励办公室，大力整合相关资源，建立了全校科研成果管理知识产权创造、运用、保护、管理、运营和服务全链条的工作体系；通过科技成果的收集、汇总、评估等工作开展，搭建起成果供给源与企业需求源之间的桥梁。

　　“我们还组建了宁夏大学科技园发展有限公司。”该校科学技术研究院成果转化与奖励办公室主任张龙介绍，宁夏大学通过搭建技术转移转化中心等平台，深度对接宁夏技术市场、宁夏技术转移研究院等社会化技术转移机构，打通了转化最后一公里。

　　以前不想转、不敢转，现在积极转、主动转。通过多措并举，宁夏大学科技成果转化实现重大突破。

　　截至目前，该校已完成科技成果转化项目35项，累计签约转化金额1387.7万元。其中李广宇团队“化学工程与技术”双一流学科建设重要成果之一“煤及危险废物高温热转化气化系列专利”，以专利权及专利申请权转让的形式成功转化给（北京）环球润博能源科技有限公司，签约总金额达1100万元，实现该校科技成果转化项目单笔交易签约金额千万级突破。

　　诚然，高校科研队伍长期以来在成果转化方面的问题仍然存在。张龙分析，这主要是因为学校多数科技成果仍是实验室成果，技术成熟度不高，客观上阻碍了成果转化向纵深推进。

　　“另外，成果转化队伍与机构建设不能满足实际需要，既懂科技创新规律，又懂市场商务实践，且懂法规制度的专业人才稀缺；企业对新技术落地积极性不高，这都打击了科研人员的积极性，影响了科技成果落地。”张龙指出。

　　打通堵点 利好信号持续释放

　　“切实松绑最关键！只有赋予科研人员更大技术路线决定权、科研经费自主支配权、组建团队用人权，他们才能心无旁骛搞研究，聚精会神钻技术。”宁夏农林科学院党组书记罗成虎一语中的。

　　科研人员的获得感、成就感、幸福感增强了，继而研发带动产业、产业反哺研发，形成良性循环。

　　12月14日，宁夏公布2021年度科技进步奖获奖名单。宁夏农林科学院获自治区科学技术重大贡献奖1项、一等奖1项、二等奖5项、三等奖6项，囊括所有奖项的15%。

　　宁夏农林科学院农业生物技术研究中心主任杨建国对职务科技成果赋权改革深表赞同：“这次我们的科技成果‘宁芦1号’以创纪录的价格进行转化，不仅表明成果受到企业认可，更是科技工作者价值的体现。”

　　让科研人员放开手脚谋转化，宁夏全力打通职务科技成果转化堵点，赋权改革工作井然有序铺开。

　　宁夏科技厅会同自治区党委组织部、发改委、教育厅等部门，建立了联动推进机制，及时发现改革中出现的新情况、新问题，加强研究支持改革试点的政策措施，确保试点工作顺利进行。

　　“我们力争充分激发科研人员创新创造活力，促进科技成果转化，为黄河流域生态保护和高质量发展先行区建设提供坚强科技支撑。”宁夏科技厅成果转化与科技服务处处长马俊理表示。

　　利好信号持续释放。

　　近日，中共中央、国务院印发《扩大内需战略规划纲要（2022—2035年）》，第二十一条提出要完善知识、技术、数据要素配置机制，再次明确“深化科技成果使用权、处置权、收益权改革，完善职务科技成果转化激励机制。加大科研单位改革力度，支持科研事业单位试行更灵活的岗位、薪酬等管理制度”。

　　在罗成虎看来，这将为更多科技成果走出实验室、走向生产线安上“加速器”。毕竟，站在改革另一端的永远都是产业发展、群众受益。（本报记者 王迎霞 通讯员 闫 璇）

【动画】@App开发者们，你想了解的SDK安全风险都在这！******

　　日前，工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App，有13款内嵌第三方SDK存在违规收集用户设备信息行为。

　　现如今，大量App借助SDK实现特定功能，提供便捷服务，满足用户多样需要，但APP使用SDK也可能带来相关安全问题，包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。

　　其中，SDK恶意行为是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性，对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持、资费消耗、隐私窃取等。

　　常见SDK恶意行为

　　流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同，恶意劫持App流量，可能对App造成损害；隐私窃取指SDK在用户不知情或误导用户的情况下，隐蔽窃取用户的通讯录、短信息等个人敏感信息，隐蔽进行拍照、录音等敏感行为，并发送给恶意开发者；广告刷量指SDK在最终用户不知情的情况下，在后台模拟人工点击广告链接进行牟利。

　　在SDK收集使用个人信息方面，安天移动安全发现，应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中，包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。

　　除了上述 SDK恶意行为外，当前 App 接入的 SDK 中还存在以上风险行为类型

　　在对某统计类SDK检测分析时研究发现，其主要提供用户行为统计功能，并在此过程中实现用户终端数据的收集和上传。

　　由于该SDK 在不同App中存在模块代码和版本的不同，因此对其在不同月活范围 App 中的数据收集行为进行抽样分析，从结果上来看，该SDK 普遍存在违规收集和超范围收集个人信息的问题，并且在月活较低的 App 接入的版本中，还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况，并且涉及大量用户隐私路径数据的访问。

　　以某知名地图 App为例，在相关检测中发现，在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi 的BSSID名称信息外，还频繁上传用户安装应用的列表信息。

　　国家标准计划《信息安全技术 移动互联网应用程序（App）收集个人信息基本要求》中明确定义了不同业务场景下，应用收集个人信息范围的最小化原则。而在应用接入的 SDK 中，收集个人信息范围、频度的必要性和最小化原则同样适用于SDK的功能业务场景。

　　虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围，但其合理性和必要性存疑，例如收集个人信息范围为软件安装列表，但实际除了收集安装应用包名信息外，还收集了安装应用运行状态信息等，这就涉及超范围收集个人信息。

　　例如，某统计类 SDK除了应用开发者本身主动调用相关事件接口外，SDK自身还注册监听了多种广播消息，在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏、电源连接断开事件进行监听、对用户终端安装、卸载应用行为进行监听，除此以外，还会监听应用前台、后台的切换行为从而触发数据的收集和上传。

　　另外，当前 App 接入的 SDK 中还存在云端控制SDK行为，热更新技术控制 SDK 行为，后台拉活、自动下载安装、误触下载等风险行为。

　　（监制：张宁 策划：李政葳 制作：黎梦竹）