【动画】@App开发者们,你想了解的SDK安全风险都在这!******
日前,工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App,有13款内嵌第三方SDK存在违规收集用户设备信息行为。
现如今,大量App借助SDK实现特定功能,提供便捷服务,满足用户多样需要,但APP使用SDK也可能带来相关安全问题,包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。
其中,SDK恶意行为是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性,对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持、资费消耗、隐私窃取等。
常见SDK恶意行为
流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同,恶意劫持App流量,可能对App造成损害;隐私窃取指SDK在用户不知情或误导用户的情况下,隐蔽窃取用户的通讯录、短信息等个人敏感信息,隐蔽进行拍照、录音等敏感行为,并发送给恶意开发者;广告刷量指SDK在最终用户不知情的情况下,在后台模拟人工点击广告链接进行牟利。
在SDK收集使用个人信息方面,安天移动安全发现,应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中,包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。
除了上述 SDK恶意行为外,当前 App 接入的 SDK 中还存在以上风险行为类型
在对某统计类SDK检测分析时研究发现,其主要提供用户行为统计功能,并在此过程中实现用户终端数据的收集和上传。
由于该SDK 在不同App中存在模块代码和版本的不同,因此对其在不同月活范围 App 中的数据收集行为进行抽样分析,从结果上来看,该SDK 普遍存在违规收集和超范围收集个人信息的问题,并且在月活较低的 App 接入的版本中,还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况,并且涉及大量用户隐私路径数据的访问。
以某知名地图 App为例,在相关检测中发现,在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi 的BSSID名称信息外,还频繁上传用户安装应用的列表信息。
国家标准计划《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》中明确定义了不同业务场景下,应用收集个人信息范围的最小化原则。而在应用接入的 SDK 中,收集个人信息范围、频度的必要性和最小化原则同样适用于SDK的功能业务场景。
虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围,但其合理性和必要性存疑,例如收集个人信息范围为软件安装列表,但实际除了收集安装应用包名信息外,还收集了安装应用运行状态信息等,这就涉及超范围收集个人信息。
例如,某统计类 SDK除了应用开发者本身主动调用相关事件接口外,SDK自身还注册监听了多种广播消息,在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏、电源连接断开事件进行监听、对用户终端安装、卸载应用行为进行监听,除此以外,还会监听应用前台、后台的切换行为从而触发数据的收集和上传。
另外,当前 App 接入的 SDK 中还存在云端控制SDK行为,热更新技术控制 SDK 行为,后台拉活、自动下载安装、误触下载等风险行为。
(监制:张宁 策划:李政葳 制作:黎梦竹)
零元员工持股计划激增背后:慷谁之慨,谋谁之利?******
低价、低考核的员工持股计划频现,上市公司为员工谋福利愈发“慷慨”。
证券时报记者统计,2022年共有264家A股公司推出员工持股计划,同比增长18%。其中,35家公司的员工持股价格不超过1元/股,同比翻番,更有21家公司计划推出0元持股方案。
与此同时,市场对于低价员工持股计划“白送”的质疑声也愈演愈烈。2022年发布0元员工持股计划的上市公司中,约半数收到了交易所关注函,要求公司对方案的公平性、合理性以及是否存在利益输送做出说明。
员工持股计划是重要的中长期人才激励方式。然而,近年来频频出现的超低价员工持股计划,不少都缺乏对等的考核和约束机制,侵害股东利益的同时,也未能实现员工普惠,成为了少数人攫取利益的手段。
员工持股再成香饽饽
员工持股计划是公司稳定人才队伍、优化治理结构的重要工具。相比于股权激励,员工持股计划的覆盖范围更广,所受监管更为宽松,在定价、业绩考核、锁定期限上更具灵活性。
2014年6月,证监会首次发布规范员工持股计划的指导意见,点燃了上市公司实施员工持股计划的热情。2015年全年,共有277家公司发布员工持股计划(以董事会预案日统计,下同),掀起A股第一波员工持股计划的高潮。
然而,第一波员工持股计划的热浪未能延续。伴随着牛市行情的结束,发布预案的上市公司数量逐年减少。2019年全年,仅有101家公司推出预案,较2015年下降了63%。直到2020年,上市公司推行员工持股计划的热情才逐步恢复,2021年发布预案的公司数量再度突破200家关口,2022年这一数字进一步提升至264家,逼近2015年的峰值。
从高调亮相到少人问津,到再成香饽饽,参与者持股收益率的涨跌,或许是员工持股计划受欢迎程度几经变化的重要原因。
很长一段时间内,“认购即被套”、“专坑自己人”成了员工持股的标签。根据记者的统计,2019年之前实施的员工持股计划中,实施一年后出现浮亏的占比高达2/3,约15%的公司股价直接腰斩。部分以信托计划方式实施的员工持股计划因存在一定杠杆,股价的下跌一度引发多家公司员工持股计划“爆仓”,导致参与的员工血本无归。
2019年是员工持股计划整体盈利与否的分水岭。记者统计发现,2019年实施的员工持股计划中,一年后浮亏的比例下降至31%;而在2018年,这一比例高达68.8%;2020年和2021年实施的员工持股计划,六成以上在一年后维持浮盈,员工持股计划不再是参与者的负担(图1,见A1版)。一定的获利空间可以保障员工持股计划发挥激励和福利作用。
与员工持股计划数量稳定增长不同,2022年A股股权激励计划同比下降了8.41%。荣正咨询资深合伙人何志聪认为,员工持股计划的增加也与经济环境的变化有关,“上市公司面临业绩增长压力和留人的困境,常规股权激励计划有刚性要求,包括定价和业绩考核等,在当前经济环境下,不一定能达到预期激励效果。”
“骨折方案”激增 渐成福利方案
除了受市场环境影响外,员工持股方案中股票认购价格的变化,对收益率的高低起到了关键作用。
以员工持股计划草案中的拟发行价与董事会预案日前收盘价的比值计算折价,2015年至2018年推出的员工持股计划平均折价幅度均在10%以内,2020年后折价幅度均超过30%,2022年达到38%。也就是说,2020年后推出的员工持股计划,参与员工平均可以六折至七折的价格买入(图2)。
2020年之前,员工持股计划的定价通常以定价基准日前20个交易日均价或回购股份均价为基准,给予少量折价。近三年员工持股定价方式更趋灵活,购买折价率越来越高的同时,“骨折价”的员工持股计划数量急剧增多。
2022年,共有35家公司推出1元/股以内超低价员工持股计划,其中21个员工持股计划出现“0元购”(表1)。如果没有对等的考核和约束机制,这些员工持股计划就彻底失去激励效应,成为完完全全的员工福利。
有上市公司表示,从员工激励有效性的角度出发,受市场价格波动影响,可能使得员工无法取得与其业绩贡献相对应的正向收益,同时额外的出资成本也可能导致优秀员工放弃股份奖励而要求等额现金奖励,最终导致激励效果欠佳。出于参与主体激励作用最大化目的,公司选择实施低价员工持股计划。
白菜价方案,慷谁之慨?
根据规定,用于员工持股计划的股票主要源自上市公司回购、二级市场购买、认购非公开发行股票、股东赠予四种方式。A股市场上,上市公司回购是当前最常见的选择。在2022年发布草案的员工持股计划中,股票全部或部分来源于上市公司回购的占比73%。
从这一层面来说,回购型员工持股计划的成本由上市公司负担。然而,有些自身盈利情况堪忧的上市公司仍斥“巨资”回购股份,再以低价或零对价实施员工持股计划,这将不可避免地影响到股东的利益,不符合员工持股计划所倡导的公司、员工、股东风险共担、利益共享的原则。
证券时报记者统计发现,在2022年受让价格折价幅度超过50%的员工持股计划中,16.2%的公司2021年净利润亏损,有的甚至已连亏多年。此时推出低价的回购型员工持股计划,无疑会进一步增加公司成本,使公司业绩雪上加霜。
2022年12月,首航高科的0元员工持股计划,在股东大会上以超过90%的反对票被否决。首航高科已连续两年亏损,2022年前三季度仍亏损1.22亿元,加上激励对象此前在二级市场减持的行为,这一员工持股计划被投资者质疑有掏空公司之嫌。同月,另一家推行0元员工持股计划的金盾股份,虽然股东大会上表决通过,但中小股东投下反对票的比例达67.89%。
因推出“骨折价”员工持股计划遭受质疑的不乏白马股。2022年9月,中炬高新的半价员工持股计划,在股东大会上被以58.33%的反对票否决,中小股东更是投出了85.93%的反对票。该公司多名董事在董事会表决中也提出反对意见,理由包括该持股计划将为公司带来数亿元亏损、福利性质大于激励性质、控股股东控制权加强进而影响中小股东利益等。
作为具有福利属性的激励形式,员工持股计划存在一定的折价是合理现象。但如果折扣过高,则难免引发市场对于计划实施初衷和公平性的质疑。
利益倾斜之下,谁最受益?
与股权激励仅面向董事、高管、核心人员和少数骨干不同,员工持股计划的可参与对象为所有公司员工,具有普惠性。上市公司可自主选择持股计划的覆盖范围,并自行确定各类对象的持股份额及比例,经董事会确认后,通过股东大会表决即可。
不过,记者梳理发现,部分低价员工持股计划,股份认购比例向董监高群体严重倾斜(表2)。在2020年以来发布的200余个折价率超过50%的方案中,34个计划的高管认购比例超过50%。由于董监高人数较少,这类利益倾斜的员工持股计划容易成为个别人攫取利益的工具。
例如,2022年11月发布员工持股计划预案的ST中嘉,7位认购对象中4人为董监高,认购比例高达92%,仅副总裁朱林1人认购比例就高达72.54%,但朱林2022年3月才上任公司副总裁。解锁股票仅设置了个人考核目标,未设置公司考核目标。
再如恺英网络,公司在2020年至2022年共发布过三期员工持股计划,以预案日收盘价算,对应市值超过3亿元。三期员工持股计划中,董监高认购的总份额占比高达76%,三期受让折价率均超过50%。2022年11月发布的最新一期员工持股计划显示,仅董事长金锋一人的股份认购比例就占到当期全部份额的31.63%。与其称为员工持股计划,不如叫作高管奖励计划。
股权激励计划对股份转让价格、业绩考核均有明确的要求,而员工持股计划操作更为灵活,员工持股计划向董事和高管群体大幅倾斜,难免引发市场对于公司借员工持股计划刻意规避股权激励中更苛刻的授权要求和更严格监管的猜想。
业绩考核放水,激励变成白送?
不可否认,上市公司有权通过员工持股计划奖励优秀员工,但派发福利不应以牺牲股东利益为前提。尤其对于低价员工持股计划,更应该在业绩考核设置上把好关,设置相应的约束机制。然而,当前的低价员工持股计划中,相当一部分设置的业绩考核标准较低,指标五花八门,有的公司甚至完全不设置任何解锁考核。
在交易所发出的员工持股计划关注函中,业绩考核标准的合理性是重要关注点(表3)。2022年,通源石油、福光股份、通达股份等多家1元/股以内员工持股计划草案未设置任何业绩考核标准。
这些公司在员工持股计划推出前,业绩表现就多数不尽如人意。如通源石油,公司用于员工持股计划所回购股份的总费用约为928万元,而公司2021年净利润仅有1458.5万元。福光股份在2020年和2021年已连续两年净利润下滑,2022年前三季度净利润继续下降39%,通达股份2021年净利润更下滑80%。
除未设置公司业绩考核指标的情形外,还有一些员工持股计划因考核标准过于宽松受到质疑,其中包括设置的业绩增速过低、选择业绩大幅下滑的年份作为基期、考核解锁标准选用了产能等非业绩指标等。
宽松的解锁标准下,顺利完成短期业绩考核目标成为大概率事件。即便如此,有的上市公司在发现未能完成业绩考核目标时,直接下调了考核标准,使本就宽松的考核标准进一步丧失严肃性。记者粗略统计,2022年超过5家公司发布了业绩考核目标调整公告。
2022年5月,格力电器发布公告,下调2021年6月发布的第一期员工持股计划的业绩考核标准,调整后2022年需达到的净利润标准比调整前减少约36亿元。此前,格力电器的员工持股计划因利益过于倾斜高管群体而备受争议,一度导致股价大跌,此次因没有达到要求而下修业绩考核门槛的举措,更使本就饱受争议的员工持股计划遭受更大质疑,企业公信力受损。
暗藏利益输送路径
上市公司实施员工持股计划,本意是建立和完善劳动者与所有者的利益共享机制,改善公司治理水平,提高团队凝聚力和公司竞争力。不过,员工持股计划方案的灵活和监管的相对宽松,在增加上市公司自由度的同时,也为利益输送留下了空间。
基于前文提及的低价员工持股计划的主要争议点,不难勾勒出员工持股计划可能暗藏的利益输送路径:上市公司以真金白银回购的股份实施超低价员工持股计划,并将认购比例向少数董监高倾斜,最后设置宽松的股份解锁考核指标,公司和股东利益受到侵害。
从锁定时长来看,2022年实施的高折价员工持股方案中,约有21%的方案全部股份的锁定期为12个月,其余方案中,绝大多数为三年内分批解锁。整体来看短线特征明显,不利于员工持股计划实现长线激励的目标,也容易在股份解锁后使股价承压。
利益输送是监管关注的重要问题,然而面对监管关注函中的质询,不少上市公司给出的回复也模板化、套路化严重,颇有“打太极”的意味,并不能很好地为投资者解惑。
例如,某公司在回复交易所关于未设置短期业绩考核目标的原因时称,“公司未设置短期业绩考核解锁目标,更有利于核心骨干员工增加对公司的认可,有利于引导员工持续关注公司长期战略目标的实现,而非短期业绩及股价波动,有利于实现公司、股东和员工利益长期保持一致的目标,加快公司战略目标的实现,为公司及股东带来更高效、更持久的回报。”
另一公司在回复为何将受让价格定为0元时称,“公司以0元/股受让公司回购的股份,体现了公司对未来长远发展的信心”。不少公司在回复公告中表明,实施0元员工持股计划是参考了其他已实施公司的案例。
这些回复显然缺乏事实支撑,不符合多数投资者的认知,难以打消投资者对实施低价员工持股计划动因的质疑,关注函回复仿佛只是走了个过场。
中国人民大学财政金融学院金融学教授郑志刚认为,零成本员工持股计划并非没有成本,也可能是为公司未来稳定持续运营暗藏了成本,其中就包括少数内部人侵占外部分散股东利益合法途径的行为。
针对目前在A股出现的0元员工持股计划,郑志刚提出两点建议:一是还原员工持股计划的原本设计激励初衷,使激励员工不仅付出持有成本,而且需要设置严格的解锁条件;二是通过在股东大会表决上设置更高的通过门槛,赋予小股东阻止利益侵占和输送的可能和途径。
荣正咨询何志聪表示:“从上市公司持续发展看,人才激励应该更多包容,更多个性化特点,而不是风险。在制度设计和监管层面,主要防范利益输送的风险,比如实际控制人是否能参加,高管是否能大比例参加,如果是奖金换股,对提取奖励的规则应进一步披露信息。”
“零成本”员工持股计划应以公平性为前提
在互联网快速发展的这些年,腾讯、京东、小米等大厂常常斥资上亿元进行员工股权激励,甚至直接向员工派送股票,壕气十足。员工心满意足,看客心生羡慕,这一股份奖励多被解读为关怀员工,实现利益绑定和共赢的治理方式。
反观A股市场,自2019年三七互娱首次推出0元员工持股计划以来,关于员工持股0元购的争议始终不断,优质的龙头公司也难以幸免。同样是上市公司推行员工福利,舆论为何两极分化?
对比之下不难看出,员工持股计划受到争议的焦点不在于低价或是0元本身,而是计划的公平性。
首先,方案本身是否公平。以腾讯为例,公司的股权激励计划以重点激励和普惠奖励相结合,2020年至2022年共推出了10期员工股份奖励计划,授予人数最多的有2.97万人,占全部员工人数比例超过20%,授予人数最少的也有2400人,且均为非关联人士,即不包括董事和主要股东。
而A股上市公司近三年实施的1元/股以内员工持股计划,授予人数占员工总数的平均比例约为6%,董监高平均认购比例22.5%,倾斜性严重,普惠性较差。这使得员工持股计划实施的动机受到质疑。
其次,方案是否侵害了股东的利益。那些受到市场肯定的员工股份奖励计划,公司长期保持了稳定的业绩增长,并多伴有大手笔分红。股东长期从公司成长中获益,自然更加信任公司员工持股计划的激励作用,也更信任公司的治理方式。
A股实施低价员工持股计划的公司中,不少公司不仅业绩差、分红少,在业绩考核上也一味降低标准,同时降低了投资者对公司未来成长性的预期。
可见,大多数股东只要切实分享了企业成长的成果,从持股中稳定获益,就并不会真正在意企业以适当价格向员工发放股份奖励。这样能实现公司、股东和员工的共赢。
在政策完善和监管层面,为充分发挥员工持股计划的长效激励作用,避免其成为少数人谋利的工具,政策应以维护公平为前提,在保持员工持股计划灵活性的同时应适当提高实施门槛。同时,鼓励和引导上市公司实施长期计划,以激励和约束对等为原则,完善低价员工持股计划的约束机制,维护市场各方利益的公平。
(文图:赵筱尘 巫邓炎)