Memberikan informasi untuk bagian Keamanan Data Google Play

Video ini akan memberi Anda semua referensi dan langkah yang diperlukan untuk melengkapi formulir Keamanan Data.

"Mengumpulkan" berarti mengirimkan data dari aplikasi Anda keluar dari perangkat pengguna. Harap perhatikan panduan berikut:

• Library dan SDK: Data ini mencakup data pengguna yang dikirim keluar dari perangkat oleh library dan/atau SDK yang digunakan di aplikasi Anda, terlepas dari apakah data dikirimkan kepada Anda atau server pihak ketiga.
• Webview: Data ini juga mencakup data pengguna yang dikumpulkan dari webview yang telah dibuka dari aplikasi Anda, jika aplikasi Anda mengontrol kode/perilaku yang dikirimkan melalui webview tersebut.
  • Anda tidak perlu mendeklarasikan pengumpulan data dari webview tempat pengguna menjelajahi web yang terbuka.
• Pemrosesan singkat: Data pengguna yang dikirim keluar dari perangkat dan diproses secara singkat harus disertakan dalam respons formulir Anda, tetapi jika standar di bawah terpenuhi, data tersebut tidak akan diungkapkan di bagian Keamanan Data aplikasi di Google Play.
  • Memproses data "secara singkat" berarti mengakses dan menggunakannya saat data hanya disimpan dalam memori dan disimpan tidak lebih lama dari yang diperlukan untuk melayani permintaan tertentu secara real time.
  • Contoh aplikasi yang penggunaan lokasi sementaranya dapat dianggap sebagai pemrosesan singkat adalah aplikasi cuaca yang mentransmisikan lokasi pengguna dari perangkat untuk mengambil data cuaca saat ini di lokasi pengguna, tetapi hanya menggunakan data lokasi di memori dan tidak menyimpan data tersebut setelah permintaan terpenuhi. Namun, penggunaan data untuk membuat profil iklan atau profil pengguna lainnya tidak dapat dianggap sebagai proses singkat dan harus dideklarasikan sebagai pengumpulan atau pembagian data untuk tujuan yang relevan.
• Data pseudonim: Data pengguna yang dikumpulkan dengan nama samaran harus diungkapkan. Misalnya, data yang dapat dikaitkan kembali secara wajar kepada pengguna harus diungkapkan.

Bukan cakupan untuk pengumpulan data

Kasus penggunaan berikut tidak perlu diungkapkan jika dikumpulkan:

• Akses/pemrosesan di perangkat: Data pengguna yang diakses oleh aplikasi Anda yang hanya diproses secara lokal di perangkat pengguna dan tidak dikirim dari perangkat tidak perlu diungkapkan.
• Enkripsi end-to-end: Data pengguna yang dikirim dari perangkat, tetapi tidak dapat dibaca oleh Anda atau siapa pun selain pengirim dan penerima karena enkripsi menyeluruh tidak perlu diungkapkan.
  • Data yang dienkripsi tidak boleh dapat dibaca oleh entitas perantara mana pun, termasuk developer, dan hanya pengirim serta penerima yang boleh memiliki kunci yang diperlukan.

"Berbagi" berarti mentransfer data pengguna yang dikumpulkan dari aplikasi Anda ke pihak ketiga. Ini mencakup data pengguna yang ditransfer:

• Di luar perangkat, seperti transfer server ke server. Misalnya, jika Anda mentransfer data pengguna yang dikumpulkan aplikasi dari server Anda ke server pihak ketiga.
• Transfer di perangkat ke aplikasi lain. Mentransfer data pengguna dari aplikasi Anda ke aplikasi lain langsung di perangkat. Dalam hal ini, Anda harus mengungkapkan pembagian data di deklarasi bagian Keamanan Data meskipun aplikasi Anda tidak mengirim data keluar dari perangkat pengguna.
• Dari SDK dan library aplikasi Anda. Mentransfer data yang dikumpulkan dari aplikasi Anda langsung dari perangkat pengguna ke pihak ketiga melalui library dan/atau SDK yang disertakan dalam aplikasi Anda.
• Dari webview yang telah dibuka melalui aplikasi Anda. Mentransfer data pengguna ke pihak ketiga melalui webview yang telah dibuka dari aplikasi Anda, jika aplikasi dapat mengontrol kode/perilaku yang dikirimkan melalui webview tersebut.
  • Anda tidak perlu menyatakan pembagian data dari webview tempat pengguna membuka halaman web yang terbuka.

Jenis transfer data berikut tidak perlu diungkapkan sebagai "berbagi":

• Penyedia layanan. Mentransfer data pengguna ke "penyedia layanan" yang memprosesnya untuk developer.
  • "Penyedia layanan" adalah entitas yang memproses data pengguna atas nama developer dan berdasarkan petunjuk developer.
• Untuk tujuan hukum. Mentransfer data pengguna untuk tujuan hukum tertentu, seperti sebagai respons atas kewajiban hukum atau permintaan pemerintah.
• Tindakan yang dimulai pengguna atau pengungkapan yang jelas dan izin pengguna. Mentransfer data pengguna ke pihak ketiga berdasarkan tindakan tertentu yang dimulai pengguna, ketika pengguna mengharapkan secara wajar bahwa data akan dibagikan, atau berdasarkan izin dan pengungkapan dalam aplikasi yang jelas serta memenuhi persyaratan yang dijelaskan di kebijakan Data Pengguna kami.
• Data anonim. Mentransfer data pengguna yang telah dianonimkan sepenuhnya sehingga tidak dapat dikaitkan lagi dengan pengguna perorangan.

Pihak pertama dan ketiga.

• "Pihak pertama" adalah organisasi utama yang bertanggung jawab atas pemrosesan data yang dikumpulkan oleh aplikasi, yang biasanya merupakan organisasi yang memublikasikan aplikasi tersebut di Google Play dan muncul di listingan Play Store.
  • Pihak pertama memiliki kewajiban untuk menunjukkan kepada pengguna secara jelas dan wajar terkait organisasi mana yang memiliki tanggung jawab utama untuk memproses data yang dikumpulkan oleh aplikasi.
• "Pihak ketiga" adalah organisasi selain pihak pertama atau penyedia layanannya.

Anda juga dapat mengungkapkan apakah setiap jenis data yang dikumpulkan oleh aplikasi Anda bersifat "opsional" atau "wajib". "Opsional" berarti kemampuan untuk ikut serta atau tidak ikut pengumpulan data. Misalnya, Anda dapat menyatakan jenis data sebagai "opsional" saat pengguna memiliki kontrol atas pengumpulan data dan dapat menggunakan aplikasi tanpa harus memberikan data tersebut; atau saat pengguna dapat memilih untuk memberikan jenis data tersebut secara manual. Jika fungsi utama aplikasi Anda memerlukan jenis data, Anda harus menyatakan data tersebut sebagai "wajib".

Anda dapat menyatakan bahwa aplikasi Anda mengumpulkan data tertentu secara opsional hanya jika semua pengguna – terlepas dari perangkat atau wilayah – dapat secara opsional memberikan informasi, memilih tidak ikut, atau memilih ikut serta dalam pengumpulan data.

Contoh pengumpulan data opsional meliputi:

• Aplikasi media sosial yang meminta tanggal lahir pengguna untuk komunikasi pemasaran, tetapi info tersebut sifatnya tidak wajib – pengguna tetap dapat mendaftar tanpa memberikan informasi tersebut.
• Data pengguna yang hanya dikumpulkan saat pengguna login, ketika sebenarnya pengguna dapat berinteraksi dengan aplikasi tanpa harus login.

Bagian Keamanan Data juga merupakan peluang bagi Anda untuk menjelaskan praktik keamanan dan privasi aplikasi Anda kepada pengguna. Misalnya, Anda dapat memperjelas informasi berikut:

• Enkripsi saat dalam pengiriman: Apakah data yang dikumpulkan atau dibagikan oleh aplikasi Anda menggunakan enkripsi saat dalam pengiriman untuk melindungi alur data pengguna dari perangkat pengguna akhir menuju server.
  • Beberapa aplikasi didesain untuk memungkinkan pengguna mentransfer data ke situs atau layanan lain. Misalnya, aplikasi pesan dapat memberi pengguna opsi untuk mengirim pesan SMS melalui penyedia layanan seluler mereka, yang menerapkan praktik enkripsi yang berbeda-beda. Di bagian Keamanan Data, aplikasi ini dapat menyatakan bahwa data ditransfer melalui koneksi yang aman selama aplikasi tersebut menggunakan standar industri terbaik untuk mengenkripsi data dengan aman saat data berpindah antara perangkat pengguna dan server aplikasi.
• Mekanisme permintaan penghapusan: Apakah aplikasi Anda menyediakan cara bagi pengguna untuk meminta penghapusan data?

Aplikasi yang target audiensnya anak-anak harus mematuhi persyaratan Kebijakan keluarga Google Play. Jika aplikasi Anda termasuk dalam kategori ini dan Anda telah meninjau kepatuhannya terhadap persyaratan Kebijakan keluarga, Anda dapat memilih untuk menampilkan badge di bagian Keamanan Data, yang menyatakan bahwa Anda telah "Berkomitmen untuk mematuhi Kebijakan Keluarga Google Play".

Untuk menampilkan badge, buka bagian "Praktik keamanan" di formulir Keamanan Data, lalu klik Buka Target audiens dan konten untuk memilih ikut serta

Di formulir Keamanan Data, Anda dapat memilih untuk menyatakan bahwa aplikasi Anda telah divalidasi secara independen berdasarkan standar keamanan global. Peninjauan ini bersifat opsional serta dilakukan dan dibayar oleh developer. Melalui MASA (Mobile Application Security Assessment), developer dapat bekerja sama langsung dengan Lab Resmi Google agar aplikasi mereka dievaluasi berdasarkan MASVS (Mobile Application Security Verification Standard) dari OWASP. Organisasi pihak ketiga melakukan peninjauan tersebut atas nama developer.

Jika tertarik untuk berpartisipasi, Anda dapat langsung menghubungi Lab Resmi Google untuk memulai proses pengujian. Setelah lab memverifikasi bahwa aplikasi Anda telah memenuhi semua persyaratan keamanan, Anda dapat memilih untuk menampilkan badge di bagian Keamanan Data, yang menyatakan bahwa Anda telah menyelesaikan "Peninjauan Keamanan Independen".

Lab Resmi memiliki area praktik khusus seputar keamanan aplikasi seluler serta memberikan kemampuan dan pengalaman pengujian keamanan yang komprehensif. Lab ini juga mematuhi ISO 17025 atau setara dengan standar industri yang diakui. Jika Anda memenuhi kriteria ini dan berminat untuk menjadi partner lab, harap lengkapi dan kirimkan formulir ini beserta detail perusahaan Anda.

Penting: Peninjauan independen ini mungkin tidak mencakup verifikasi terhadap akurasi dan kelengkapan pernyataan Keamanan Data Anda. Meskipun Anda menggunakan alat pihak ketiga untuk mendiagnosis kontrol keamanan aplikasi, Anda tetap bertanggung jawab sepenuhnya untuk membuat pernyataan yang lengkap dan akurat di listingan Play Store aplikasi di Google Play.

Unified Payments Interface (UPI) adalah sistem transfer uang instan, yang dikembangkan oleh National Payments Corporation of India (NPCI), sebuah entitas yang diatur oleh RBI. Jika saat ini Anda menggunakan sistem transfer pembayaran ini, Anda dapat memilih untuk menyatakannya di formulir Keamanan Data. Jika Anda tertarik untuk berpartisipasi atau memiliki pertanyaan, Anda dapat menghubungi NPCI secara langsung untuk mengetahui kriteria kelayakan terkait cara akreditasi aplikasi Anda. Aplikasi dengan akreditasi ini mungkin memenuhi syarat untuk menampilkan badge di listingan Play Store, yang memverifikasi bahwa NPCI telah memvalidasi penerapan UPI aplikasi ini. Badge tersebut akan bertuliskan "Menawarkan Pembayaran melalui UPI", dan tidak akan ditampilkan kepada pengguna kecuali Anda menyatakannya dengan memilih ikut serta dalam formulir Keamanan Data di Konsol Play. Badge hanya terlihat oleh pengguna Google Play yang berada di India.

Developer akan diminta untuk memberikan pengumpulan, pembagian, dan praktik lainnya untuk berbagai jenis data pengguna, serta tujuan penggunaan data tersebut.

CSV berisi satu baris per respons. Respons untuk pertanyaan pilihan ganda dan pilihan tunggal mencakup beberapa baris, sesuai dengan jumlah pilihan yang tersedia. Untuk merespons pertanyaan, masukkan TRUE atau FALSE dalam sel yang sesuai di kolom "Nilai respons", atau Anda dapat mengosongkan sel jika pertanyaan bersifat opsional atau Anda merespons pertanyaan pilihan ganda. Kolom "Persyaratan jawaban" menunjukkan apakah respons diwajibkan atau tidak, dan dapat berisi nilai berikut:

• OPTIONAL: Tidak wajib — boleh dikosongkan.
• REQUIRED: Wajib — Anda harus memberikan nilai respons
• MULTIPLE_CHOICE: Anda dapat memberikan nilai respons TRUE untuk setidaknya satu pilihan respons untuk ID pertanyaan yang sesuai. Anda dapat mengosongkan respons lainnya.
• SINGLE_CHOICE: Anda dapat memberikan nilai respons TRUE ke salah satu pilihan respons untuk ID pertanyaan yang sesuai. Anda dapat mengosongkan respons lainnya.
• MAYBE_REQUIRED: Anda hanya diwajibkan jika kondisi tertentu terpenuhi, misalnya berdasarkan jawaban Anda di pertanyaan sebelumnya

Tabel di bawah memberikan contoh untuk bagian “Nama” dan “Perkiraan lokasi” di formulir Keamanan Data. Isinya sebagai berikut:

• Pertanyaan pilihan ganda
• Pertanyaan wajib
• Pertanyaan opsional

1. Buka Konsol Play, lalu buka halaman Konten aplikasi.
2. Di bagian "Keamanan Data", pilih Mulai.
3. Di kanan atas halaman, pilih Ekspor ke CSV.

Penting: Jawaban yang sudah dimasukkan ke dalam formulir akan ditimpa saat Anda mengimpor CSV.

1. Buka Konsol Play, lalu buka halaman Konten aplikasi.
2. Di bagian "Keamanan Data", pilih Mulai.
3. Di kanan atas halaman, pilih Impor CSV.

Kami membuka Konsol Play pada bulan Oktober untuk pengiriman formulir Keamanan Data dan akan memberikan masa tenggang hingga 20 Juli 2022, yang seharusnya cukup lama. Saat ini, kami tidak berencana untuk memberikan perpanjangan waktu.

Singkatnya ya. Anda harus memberikan informasi akurat yang mencerminkan praktik pengumpulan dan penanganan data aplikasi Anda. Anda bertanggung jawab atas informasi yang Anda berikan. Google Play meninjau aplikasi berdasarkan semua persyaratan kebijakan; namun, kami tidak dapat membuat keputusan atas nama developer mengenai cara mereka menangani data pengguna. Hanya Anda yang memiliki semua informasi yang diperlukan untuk melengkapi formulir Keamanan Data.

Jika kami mendapati bahwa Anda telah membuat pernyataan yang tidak benar atas data yang diberikan serta melanggar kebijakan, kami akan meminta Anda untuk memperbaikinya. Aplikasi yang tidak mematuhi kebijakan dapat dikenai penegakan kebijakan, seperti pemblokiran update atau penghapusan dari Google Play.

Setelah Anda mengirimkan aplikasi baru atau update untuk aplikasi yang sudah ada di Konsol Play, perlu waktu beberapa saat agar aplikasi Anda diproses untuk publikasi standar di Google Play. Aplikasi tertentu mungkin akan menjalani peninjauan lebih lanjut, yang dapat memperlama waktu peninjauan hingga 7 hari atau bahkan lebih pada kasus tertentu.

Update aplikasi dan pengiriman baru harus mematuhi Kebijakan Program Developer Google Play. Anda dapat membuka halaman Ringkasan publikasi di Konsol Play untuk memeriksa apakah pengiriman aplikasi Anda masih menunggu peninjauan.

Jika update terbaru telah siap, dan Anda masih tidak melihat formulir bagian Keamanan Data di Google Play, Anda dapat memeriksa apakah publikasi terkelola diaktifkan di Konsol Play. Jika publikasi terkelola diaktifkan, rilis tidak akan tersedia sampai Anda memublikasikannya. Anda dapat meluncurkan rilis dari halaman Ringkasan publikasi. Setelah itu, pengajuan yang disetujui akan dipublikasikan dan tersedia di Google Play.

Jika Anda telah memperbarui konten bagian Keamanan Data, tetapi tidak melihat konten terbaru di Google Play, coba muat ulang halaman aplikasi. Perlu diketahui bahwa karena konektivitas perangkat dan beban server yang berbeda-beda, mungkin diperlukan waktu beberapa hari (terkadang hingga 7 hari) agar update aplikasi menjangkau semua perangkat. Harap bersabar selagi Google Play mendaftarkan dan mengirimkan update aplikasi Anda.

Kami senang Anda memiliki pengetahuan yang baik tentang praktik data aplikasi Anda. Formulir Keamanan Data meminta informasi tambahan dan berbeda yang mungkin belum digunakan sebelumnya, jadi harap dipahami bahwa tim Anda tetap harus mengupayakan hal ini. Taksonomi dan framework bagian Keamanan Data di Google Play secara materi mungkin berbeda dengan yang digunakan di app store lainnya.

Mirip dengan kebijakan privasi atau detail aplikasi seperti screenshot dan deskripsi, developer bertanggung jawab atas informasi yang diungkapkan di bagian Keamanan Data. Kebijakan Data Pengguna Google Play mengharuskan developer memberikan informasi yang akurat. Jika kami mendapati bahwa developer telah membuat pernyataan yang tidak benar atas data yang diberikan serta melanggar kebijakan, kami meminta developer untuk memperbaikinya. Aplikasi yang tidak mematuhi kebijakan tunduk pada penegakan kebijakan.

Pengguna Google Play harus merasa yakin bahwa data mereka aman. Kami terus meluncurkan fitur dan kebijakan baru untuk melindungi privasi pengguna dan tetap menjadikan Google Play sebagai tempat yang tepercaya bagi siapa saja. Beberapa fitur dan kebijakan baru Google Play telah meningkatkan kualitas kontrol dan transparansi pengguna. Sementara yang lainnya membantu memastikan bahwa developer hanya mengakses data pribadi jika diperlukan untuk penggunaan utama aplikasinya. Kebijakan Program Developer Google Play yang sudah ada ini berisi sejumlah persyaratan seputar transparansi dan kontrol data. Aplikasi yang tidak mematuhi kebijakan Program Developer Google Play tunduk pada penegakan kebijakan.

Anda harus memperbarui bagian Keamanan Data jika ada perubahan yang relevan pada praktik data aplikasi. Respons formulir Keamanan Data Anda harus selalu akurat dan lengkap setiap saat.

Bagian Keamanan Data dapat membantu pengguna membuat keputusan yang tepat untuk menentukan aplikasi mana yang akan didownload. Bagian ini juga membantu developer membangun kepercayaan dan mendapatkan lebih banyak pengguna aktif yang merasa yakin bahwa data mereka akan digunakan secara bertanggung jawab. Developer telah menyampaikan bahwa mereka ingin memiliki cara yang lebih jelas untuk berkomunikasi dengan pengguna terkait praktik data ini.

Google Play memiliki satu bagian Keamanan Data dan formulir Keamanan Data global di listingan Google Play Store per nama paket yang tidak terkait dengan penggunaan, versi aplikasi, wilayah, dan usia pengguna. Dengan kata lain, jika ada pengumpulan, penggunaan, atau penautan apa pun dalam setiap versi aplikasi yang saat ini didistribusikan di Google Play, di negara mana pun, Anda harus mencantumkan hal tersebut. Oleh karena itu, bagian Keamanan Data menjelaskan aktivitas pengumpulan dan berbagi data secara menyeluruh untuk semua versi aplikasi yang saat ini didistribusikan di Google Play. Anda dapat menggunakan bagian “Tentang aplikasi ini” untuk memberikan informasi spesifik per versi kepada pengguna.

Saat ini, kami mencerminkan representasi global dari praktik data Anda per aplikasi. Bagian Keamanan Data menjelaskan aktivitas pengumpulan dan berbagi data secara menyeluruh di semua versi aplikasi yang saat ini didistribusikan di Google Play. Anda dapat menggunakan bagian “Tentang aplikasi ini” untuk memberikan informasi spesifik per versi kepada pengguna. Bagian Keamanan Data menyertakan klarifikasi bagi pengguna Google Play bahwa praktik keamanan dan pengumpulan data aplikasi dapat bervariasi berdasarkan sejumlah faktor seperti wilayah.

Tidak, bagian Keamanan Data hanya ditampilkan di listingan Play Store aplikasi Anda di Google Play; tidak ada pengungkapan baru dalam proses penginstalan aplikasi pengguna dan tidak ada izin pengguna baru yang terkait dengan fitur ini. Developer yang mengumpulkan data pengguna yang bersifat pribadi dan sensitif harus menerapkan izin dan pengungkapan dalam aplikasi jika diwajibkan oleh kebijakan Data Pengguna Google Play yang sudah ada.

Bagian Keamanan Data menjelaskan aktivitas pengumpulan dan berbagi data secara menyeluruh di semua versi aplikasi yang saat ini didistribusikan di Google Play. Jika salah satu versi aplikasi Anda mewajibkan pengumpulan data tertentu, Anda harus menyatakan hal tersebut di bagian Keamanan Data sebagaimana yang diwajibkan. Jangan mendeskripsikan bahwa pengumpulan ini bersifat opsional jika hal ini diwajibkan bagi setiap pengguna aplikasi Anda. Anda dapat menggunakan bagian “Tentang aplikasi ini” untuk memberikan informasi spesifik per versi kepada pengguna.

Anda tidak perlu menyatakan aktivitas pengumpulan atau berbagi kecuali jika data benar-benar dikumpulkan dan/atau dibagikan. Aplikasi Anda harus mematuhi semua kebijakan Program Developer Google Play, termasuk kebijakan kami untuk Izin dan API yang Mengakses Informasi Sensitif.

Jika Anda berniat mengumpulkan suatu jenis data selama pengumpulan jenis data lain, Anda harus mengungkapkan keduanya. Misalnya, jika Anda mengumpulkan foto pengguna dan menggunakannya untuk menentukan karakteristik pengguna (seperti etnis atau ras), Anda juga harus mengungkapkan pengumpulan data terkait etnis dan ras.

Bagian Keamanan Data menyediakan platform bagi Anda untuk menyampaikan apakah Anda menyediakan mekanisme untuk menerima permintaan penghapusan data dari pengguna. Sebagai bagian dari pengisian formulir Keamanan Data, Anda wajib menyampaikannya jika mekanisme tersebut memang Anda sediakan.

Tidak ada mekanisme yang ditetapkan, tetapi sebagai praktik terbaik, mekanisme permintaan harus mudah ditemukan dan diakses oleh pengguna. Contoh umum mekanisme yang secara jelas menunjukkan jalur yang dapat digunakan pengguna untuk meminta penghapusan data mencakup, tetapi tidak terbatas pada: fitur dalam aplikasi, formulir kontak, atau alias email khusus.

Anda dapat memilih badge mekanisme permintaan penghapusan di formulir Keamanan Data jika Anda:

• memberi pengguna mekanisme untuk meminta penghapusan data; atau
• secara otomatis memulai penghapusan atau anonimisasi data yang dikumpulkan dalam waktu 90 hari sejak pengumpulan.

Anda dapat memilih badge mekanisme permintaan penghapusan meskipun mereka Anda perlu mempertahankan data tertentu karena alasan hukum, seperti untuk memenuhi kepatuhan hukum atau pencegahan penyalahgunaan.

Google Play menyediakan satu formulir Keamanan Data dan bagian Keamanan Data global di listingan Google Play Store untuk setiap nama paket yang harus mencakup praktik data berdasarkan penggunaan, versi aplikasi, wilayah, dan usia pengguna. Dengan kata lain, jika salah satu praktik data ditemukan di versi aplikasi mana pun yang saat ini didistribusikan di mana pun di seluruh dunia melalui Google Play, Anda harus menunjukkan praktik tersebut dalam formulir. Oleh karena itu, bagian Keamanan Data akan menjelaskan aktivitas pengumpulan dan berbagi data secara menyeluruh untuk semua versi aplikasi yang saat ini didistribusikan di Google Play.

Ada berbagai metode yang dapat digunakan untuk menganonimkan data sehingga data tersebut tidak dapat dikaitkan dengan pengguna perorangan. Anda harus berkonsultasi dengan pakar privasi dan keamanan untuk mencari tahu metode yang cocok untuk kasus penggunaan Anda. Misalnya, halaman ini membahas beberapa metode anonimisasi data yang digunakan oleh Google, seperti privasi diferensial.

Seperti jenis data lainnya, Anda harus mengungkapkan aktivitas pengumpulan, penggunaan, dan berbagi alamat IP berdasarkan penggunaan dan praktik tertentu yang mereka lakukan. Misalnya, jika developer menggunakan alamat IP sebagai cara untuk menentukan lokasi, jenis data tersebut harus dinyatakan.

Seperti jenis data lainnya, Anda harus mengungkapkan aktivitas pengumpulan, penggunaan, dan berbagi berbagai jenis ID berdasarkan penggunaan dan praktik tertentu yang Anda lakukan. Misalnya, pengumpulan nama akun yang terkait dengan orang yang dapat diidentifikasi harus dinyatakan sebagai "ID pribadi", dan pengumpulan ID Iklan Android pengguna harus dinyatakan sebagai "Perangkat atau ID lainnya". Sebagai contoh lain, ID yang terkait dengan acara tertentu dalam aplikasi, tetapi tidak berkaitan secara wajar dengan masing-masing perangkat, browser, atau aplikasi, tidak perlu diungkapkan sebagai "Perangkat atau ID lainnya".

Seperti disebutkan di atas, pengumpulan data secara pseudonim harus diungkapkan dalam survei Anda pada jenis data yang relevan. Misalnya, jika Anda mengumpulkan informasi diagnostik dengan ID perangkat, Anda tetap harus mengungkapkan pengumpulan "Diagnostik" di formulir Keamanan Data.

Penyedia layanan hanya dapat memproses data pengguna atas nama Anda. Misalnya, penyedia analisis yang memproses data pengguna dari aplikasi atas nama Anda saja, atau penyedia cloud yang menghosting data pengguna dari aplikasi untuk penggunaan oleh Anda, biasanya akan memenuhi syarat sebagai "penyedia layanan". Namun, jika suatu penyedia SDK membuat profil iklan untuk beberapa pelanggan berdasarkan data aplikasi Anda, tindakan ini tidak akan dianggap sebagai aktivitas “penyedia layanan” untuk tujuan bagian Keamanan Data, dan harus diungkapkan sebagai "berbagi" dalam formulir Keamanan Data.

Hal ini bergantung pada sifat integrasi Anda dengan layanan pembayaran. Jika aplikasi Anda menggunakan layanan pembayaran seperti PayPal, Google Pay, sistem penagihan Google Play, atau layanan serupa untuk menyelesaikan transaksi pembayaran, Anda tidak perlu menyatakan pengumpulan data yang dilakukan layanan pembayaran sehubungan dengan pemrosesan transaksi keuangannya, seperti nomor kartu kredit, jika ketentuan berikut terpenuhi:

• Aplikasi Anda tidak pernah mengakses informasi ini; dan
• Layanan pembayaran mengumpulkan informasi ini langsung dari pengguna, dan pengumpulannya diatur oleh persyaratan layanan tersebut.

Anda harus meninjau integrasi dengan layanan pembayaran secara cermat untuk memastikan bahwa bagian Keamanan Data aplikasi mendeklarasikan pengumpulan dan pembagian data relevan yang tidak memenuhi ketentuan ini. Anda juga harus mempertimbangkan apakah aplikasi mengumpulkan informasi keuangan lainnya seperti histori pembelian, dan apakah aplikasi menerima data yang relevan dari layanan pembayaran, misalnya untuk tujuan penanggulangan risiko dan penipuan.

Hal ini bergantung pada implementasi tertentu. Jika pengguna memilih untuk mengupload data mereka secara langsung ke drive eksternal atau akun penyimpanan cloud mereka sendiri (seperti Google Drive, Dropbox, atau layanan serupa) dan upload ini diatur oleh persyaratan layanan dan kebijakan privasi drive eksternal atau penyedia penyimpanan cloud, dan aplikasi tidak pernah mengumpulkan atau mengakses data yang dimaksud, aplikasi Anda tidak perlu mendeklarasikan pengumpulan data ini.

Anda harus mengikuti standar industri terbaik untuk mengenkripsi data dalam pengiriman di aplikasi secara aman. Protokol enkripsi umum meliputi TLS (Transport Layer Security) dan HTTPS.

Anda harus mendeklarasikan pengumpulan data ini untuk pengelolaan akun, yang menunjukkan (jika berlaku) jika pengumpulan bersifat opsional untuk pengguna.

Selain itu, sama halnya dengan jenis data yang dikumpulkan oleh aplikasi, Anda harus mengungkapkan data ini untuk tujuan penggunaan aplikasi Anda. Misalnya, jika aplikasi Anda memungkinkan pengguna menambahkan tanggal lahir ke akunnya serta menggunakan data tersebut untuk mengirimkan notifikasi push secara tepat waktu, aplikasi Anda juga harus mendeklarasikan tujuan ini selain pengelolaan akun.

Pengelolaan akun dapat digunakan untuk mencakup penggunaan umum data akun yang tidak spesifik untuk aplikasi tertentu. Misalnya, jika Anda menggunakan informasi akun untuk pencegahan penipuan, iklan, pemasaran, atau komunikasi developer di seluruh layanan, dan penggunaan ini tidak spesifik untuk aplikasi Anda atau aktivitas di aplikasi tersebut, Anda hanya perlu menyatakan “pengelolaan akun” sebagai tujuan pengumpulan data akun ini untuk mencakup penggunaan umum tersebut di bagian Keamanan Data. Namun, aplikasi Anda harus selalu menyatakan semua tujuan penggunaan data yang dilakukan langsung oleh aplikasi. Sebagai praktik terbaik, sebaiknya ungkapkan cara aplikasi Anda menangani data pengguna untuk layanan akun sebagai bagian dari proses pendaftaran dan dokumentasi tingkat akun.

Layanan sistem adalah software yang sudah diinstal sebelumnya yang mendukung fungsi sistem inti. Layanan sistem dapat mengajukan pengecualian dari penyelesaian formulir Keamanan Data.

Anda dapat memeriksa status pengiriman pada halaman Konten aplikasi di Konsol Play. Jika pengiriman mematuhi kebijakan, Anda akan melihat tanda centang hijau di bagian “Keamanan Data”.

Catatan: Kebijakan kami diterapkan melalui sistem dan proses yang terus ditingkatkan kualitasnya dari waktu ke waktu. Selain itu, perubahan dan pembaruan kebijakan kami dapat mengakibatkan aplikasi yang telah disetujui sebelumnya menerima tindakan penegakan pada lain waktu setelah pengiriman awal akibat ketidakpatuhan.

Google Play akan memberi tahu developer terkait pembaruan apa pun. Anda dapat membaca kebijakan Data Pengguna kami dan artikel Pusat Bantuan ini untuk memastikan Anda mengetahui panduan terbaru.

Jika penggunaan ini bersifat singkat, Anda tidak perlu menyertakannya dalam respons formulir. Namun, Anda harus mendeklarasikan setiap penggunaan data pengguna tersebut di luar pemrosesan singkat, termasuk setiap tujuan penggunaan data pengguna yang Anda catat. Harap tinjau definisi pemrosesan singkat di bagian Pengumpulan data di atas.

Google mengumpulkan informasi untuk daftar izin berdasarkan izin waktu penginstalan yang dideklarasikan aplikasi di manifesnya.

Bagian Keamanan Data membagikan data apa saja yang dikumpulkan dan dibagikan oleh aplikasi ke pihak ketiga.

Di bagian Informasi yang perlu diungkapkan oleh developer di formulir Keamanan Data, kami menambahkan bagian baru (Badge Unified Payments Interface (UPI)).

Kami memperbarui bagian Siapa saja developer yang harus melengkapi formulir Keamanan Data di Konsol Play? untuk memberikan informasi terbaru terkait pengujian internal dan persyaratan bagian Keamanan Data. Kami juga menghapus teks yang terkait dengan ini dari entri log perubahan 24 Agustus 2022, karena informasi tersebut tidak lagi berlaku dan kami tidak ingin membuat developer yang mencari informasi tentang masalah ini bingung.

Kami telah mengedit seluruh artikel dengan menghapus referensi ke tanggal tertentu; referensi ini awalnya disertakan (dan diperbarui secara berkala) sebelum, selama, dan setelah peluncuran bagian Keamanan Data di Konsol Play untuk membantu developer memahami apa saja persyaratannya pada waktu tertentu. Karena bagian Keamanan Data kini tersedia di Google Play, kami telah menghapus jadwal asli dan referensi ke tanggal tertentu.

Kami menambahkan informasi tambahan ke jenis data "Interaksi aplikasi" (sekarang menyertakan "screenshot yang diambil").

Kami memperbarui bagian Siapa saja developer yang harus melengkapi formulir Keamanan Data di Konsol Play? untuk menginformasikan bahwa, mulai tanggal 24 Oktober 2022, jalur yang aktif di jalur pengujian internal dikecualikan dari penyertaan di bagian Keamanan Data. Aplikasi yang secara eksklusif aktif di jalur ini tidak perlu menyelesaikan pernyataan.

Kami memperbarui detail Informasi jadwal di bagian "Menyiapkan informasi Anda" untuk menjelaskan bahwa pengiriman aplikasi baru dan update aplikasi yang tidak mematuhi kebijakan akan menerima peringatan. Peringatan ini akan menyatakan bahwa pengiriman dan update aplikasi akan ditolak di Konsol Play jika terdapat masalah formulir yang belum terselesaikan. Kami juga memperbarui bagian ini dengan detail tentang perubahan yang akan terjadi setelah periode peringatan ini berakhir pada 22 Agustus 2022.

Di bagian Informasi yang perlu diungkapkan oleh developer di formulir Keamanan Data, kami melakukan perubahan berikut pada subbagian Peninjauan keamanan independen (sekarang tersedia untuk semua aplikasi):

• Kami mengubah judul dari "Peninjauan keamanan independen (versi beta mulai Maret 2022, dengan ketersediaan umum yang akan segera hadir)" menjadi "Peninjauan keamanan independen (sekarang tersedia untuk semua aplikasi)", karena fitur ini sekarang tersedia untuk semua aplikasi.
• Kami memperbarui subbagian untuk menyertakan informasi bagi developer yang tertarik berpartisipasi dalam peninjauan keamanan independen.

Kami melakukan perubahan berikut pada bagian Pertanyaan umum (FAQ):

• Kami memperbarui jawaban atas pertanyaan, "Apakah saya harus menyediakan mekanisme penghapusan? Haruskah saya menyediakannya untuk setiap dan semua data pengguna?"
• Tepat di bawah pertanyaan ini, kami juga menambahkan tiga pertanyaan dan jawaban baru yang menyediakan informasi lebih mendetail terkait mekanisme penghapusan data dan formulir Keamanan Data.
• Kami menambahkan satu pertanyaan baru tentang perbedaan antara daftar izin dan bagian Keamanan Data aplikasi. Kami menghapus pertanyaan tentang aplikasi yang menargetkan Android versi lama.

Di bagian Ringkasan, kami menambahkan baris yang mendorong developer untuk memeriksa Google Play SDK Index guna mengetahui apakah penyedia mereka telah memberikan link ke panduannya. Anda dapat membaca artikel Pusat Bantuan yang berjudul Membuat pilihan yang tepat dengan Google Play SDK Index untuk mempelajari lebih lanjut.

Di bagian Menyiapkan informasi Anda, kami menambahkan rekomendasi untuk menonton video panduan formulir Keamanan Data Google Play PolicyBytes. Video ini akan memberi Anda semua referensi dan langkah yang diperlukan untuk melengkapi formulir Keamanan Data.

Di bagian Ringkasan, kami menambahkan baris yang mendorong developer tertentu untuk merujuk ke informasi keamanan data yang dipublikasikan penyedia SDK mereka guna mengetahui detail selengkapnya, seperti Firebase dan AdMob.

Kami memperbarui detail Informasi jadwal di bagian "Menyiapkan informasi Anda" dengan referensi ke pesan yang akan dilihat pengguna di Google Play pada entri Juli 2022 (sebelumnya, pesan bertuliskan "Data tidak tersedia" dan kini telah diperbarui menjadi "Info tidak tersedia")

Di bagian FAQ, kami melakukan perubahan berikut:

• Kami menambahkan pertanyaan dan jawaban baru tentang Layanan sistem.
• Kami menambahkan pertanyaan dan jawaban baru tentang opsi pemecahan masalah jika Anda tidak dapat melihat pembaruan Keamanan Data terbaru di Google Play.
• Kami memperbarui jawaban yang ada terkait waktu yang dibutuhkan untuk menampilkan pembaruan Keamanan Data di Google Play serta pengelolaan akun.

Pada 8 April 2022, kami mengoreksi nama jenis data "Foto dan video" (sebelumnya tercantum sebagai "Foto atau video").

Pada 24 Februari 2022, kami melakukan sejumlah perubahan pada artikel ini, yang dijelaskan di bawah.

Perubahan informasi linimasa

Kami memperbarui detail Informasi linimasa di bagian "Menyiapkan informasi Anda" sebagai berikut:

• Sebelumnya, kami menyampaikan bahwa mulai Februari 2022, bagian Keamanan Data akan tersedia di Google Play untuk semua pengguna. Tanggal ini telah diperbarui menjadi akhir April 2022.
• Sebelumnya, kami menyampaikan bahwa mulai April 2022, pengiriman aplikasi baru dan update aplikasi akan ditolak di Konsol Play jika ada masalah yang belum terselesaikan pada formulir. Tanggal ini telah diperbarui menjadi 20 Juli 2022.
• Sebelumnya, kami menyampaikan bahwa mulai April 2022, aplikasi yang tidak mematuhi kebijakan dapat diberi tindakan penegakan tambahan pada masa mendatang. Tanggal ini telah diperbarui menjadi setelah 20 Juli 2022.

Kami memperbarui tanggal pada referensi lainnya dalam artikel agar konsisten dengan tanggal yang direvisi di atas.

Klarifikasi terkait informasi yang perlu diungkapkan developer di seluruh jenis data

Di bagian "Informasi yang perlu diungkapkan oleh developer di formulir Keamanan Data", kami melakukan perubahan berikut pada subbagian "Informasi yang perlu diungkapkan developer di seluruh jenis data":

• Kami menambahkan petunjuk untuk menjelaskan bagaimana developer yang memiliki aplikasi yang berkomitmen untuk mematuhi Kebijakan Keluarga dapat memilih ikut serta menampilkan badge Keluarga mulai 1 Maret 2022.  
• Di Pengungkapan aplikasi dan data lainnya, "Mekanisme penghapusan" diganti namanya menjadi "Mekanisme permintaan penghapusan".
• Kami juga memperbarui bagian Peninjauan keamanan independen dengan informasi yang lebih mendetail tentang fitur ini.

Pembaruan jenis dan tujuan data

Kami melakukan perubahan kecil pada penamaan jenis data:

• Jenis data "ID pribadi" diganti namanya menjadi "ID Pengguna".
• Jenis data "Kartu kredit, kartu debit, atau nomor rekening bank" diganti namanya menjadi "Info pembayaran pengguna".
• Jenis data "Info kredit" diganti namanya menjadi "Skor kredit".
• Kami menambahkan contoh gaji atau utang pengguna ke jenis data "Info keuangan lainnya".
• Jenis data "Informasi kesehatan" diganti namanya menjadi "Info kesehatan".
• Jenis data "Informasi kebugaran" diganti namanya menjadi "Info kebugaran".
• Jenis data "Pesan SMS atau MMS" diganti namanya menjadi "SMS atau MMS".
• Jenis data "Kunjungan halaman dan jumlah ketukan dalam aplikasi" diganti namanya menjadi "Interaksi aplikasi", dan deskripsinya diperbarui.
• Deskripsi jenis data "Konten buatan pengguna lainnya" dan "Tindakan lainnya" telah diperbarui.
• Jenis data "Info pribadi lainnya" diganti namanya menjadi "Info lainnya".
• Kategori "ID perangkat atau yang lain" diganti namanya menjadi "ID perangkat atau lainnya".

Kami membuat klarifikasi pada tujuan data kami:

• Contoh “Komunikasi developer” telah diperbarui.
• Contoh "Iklan atau pemasaran" telah diperbarui.
• Contoh "Pengelolaan akun" telah diperbarui.

Perubahan lainnya

Di bagian Ringkasan, kami menyertakan gambar tambahan untuk menunjukkan apa yang akan dilihat pengguna jika aplikasi Anda tidak membagikan data pengguna apa pun.

Kami menambahkan FAQ baru, termasuk topik yang terkait dengan pengelolaan akun, tindakan yang dimulai pengguna, penggunaan platform pembayaran, dan enkripsi.

Kami memperbarui definisi untuk pemrosesan singkat di bagian Pengumpulan data dan menambahkan FAQ baru terkait topik ini.

Pada 14 Desember 2021, kami memperbarui jenis data yang awalnya bernama "Orientasi seksual dan identitas gender".  Jenis data ini sekarang bernama "Orientasi seksual" dan hanya mengacu pada orientasi seksual.

Kami juga memperbarui jenis data "Info pribadi lainnya" agar menyertakan identitas gender sebagai contoh informasi pribadi lainnya.