Изисквания за SDK

Програмистите на приложения често разчитат на код на трети страни (например SDK), за да интегрират ключови функционалности и услуги в приложенията си. Когато включвате SDK в приложението си, трябва да се уверите, че потребителите ви са в безопасност и че приложението ви е защитено от уязвимости. В тази секция демонстрираме как част от съществуващите ни изисквания за поверителност и сигурност се прилагат в контекста на SDK. Те имат за цел да помогнат на програмистите да интегрират SDK в приложенията си по безопасен и сигурен начин.

Ако включите SDK в приложението си, трябва да се уверите, че то не нарушава програмните правила за програмистите в Google Play поради кода и практиките на съответната трета страна. Важно е да обърнете внимание на начина, по който използваните в приложението ви SDK боравят с потребителските данни, и да знаете какви разрешения използват, какви данни събират и защо. Не забравяйте, че събирането и обработването на потребителски данни от страна на даден SDK трябва да съответства на спазващия правилата начин, по който приложението ви използва съответните данни.

За да се уверите, че използван от вас SDK не нарушава изискванията на правилата, прочетете внимателно и изцяло посочените по-долу правила и обърнете внимание на следните им съществуващи изисквания, свързани с SDK:

Правила за потребителските данни

Трябва да има прозрачност в начина, по който боравите с потребителските данни (например информация, събрана от или за потребителя, включително за устройството). Това означава да разкривате достъпа, събирането, използването, обработването и споделянето на потребителски данни от страна на приложението ви и да ги използвате само за оповестените цели, които спазват правилата.

Ако сте включили код на трета страна (например SDK) в приложението си, трябва да се уверите, че съответният код, както и практиките на третата страна по отношение на потребителските данни от приложението ви спазват програмните правила за програмистите в Google Play, които включват изисквания за употреба и разкриване на информация. Трябва например да се уверите, че доставчиците ви на SDK не продават лични и чувствителни потребителски данни от приложението ви. Това изискване е в сила независимо дали потребителските данни се предават след изпращане до сървър, или чрез вграждане на код на трета страна в приложението ви.

Лични и чувствителни потребителски данни

  • Ограничете достъпа, събирането, използването и споделянето на лични и чувствителни потребителски данни, получени чрез приложението, като извършвате тези действия само за функции на приложения и услуги, както и за съобразени с правилата цели според основателните очаквания на потребителя:
    • Приложенията, които разширяват употребата на личните и чувствителните данни до показване на реклами, трябва да спазват правилата на Google Play за рекламите.
  • Трябва да боравите с всички лични и чувствителни потребителски данни по сигурен начин, включително да ги предавате посредством съвременни криптографски решения (например през HTTPS).
  • При възможност използвайте заявка за разрешения по време на изпълнение, преди да осъществите достъп до данни, ограничени от разрешения за Android.

Продажба на лични и чувствителни потребителски данни

Не продавайте личните и чувствителните потребителски данни.

  • „Продажба“ е обменът или предаването на лични и чувствителни потребителски данни към трети страни срещу финансова облага.
    • Започнато от потребителя предаване на лични и чувствителни потребителски данни (когато например потребителят използва функция на приложението, за да прехвърли файл към трета страна, или когато той по собствено желание използва специално приложение за научно изследване) не се смята за продажба.

Изисквания за разкриване на информация по ясен начин и получаване на съгласие

В случаите, когато достъпът, събирането, използването и споделянето на лични и чувствителни потребителски данни може да са извън основателните очаквания на потребителя за въпросния продукт или функция, трябва да изпълните изискванията, посочени в правилата за потребителските данни, за разкриване на информация по ясен начин и получаване на съгласие.

Ако в приложението ви е интегриран код на трета страна (например SDK), чието стандартно предназначение е да събира лични и чувствителни потребителски данни, в рамките на 2 седмици от получаването на искане от Google Play (или в рамките на по-дълъг период от време, ако е посочен такъв в искането от Google Play) трябва да предоставите достатъчно доказателства в подкрепа на това, че приложението ви спазва изложените в текущите правила изисквания за разкриване на информация по ясен начин и получаване на съгласие, включително по отношение на достъпа, събирането, използването и споделянето на данни посредством кода на трета страна.

Не забравяйте да се уверите, че с използването на код на трета страна (например SDK) приложението ви не нарушава правилата за потребителските данни.

За повече информация относно изискването за разкриване на информация по ясен начин и получаване на съгласие вижте тази статия в Помощния център.

Примери за нарушения, причинени от SDK

  • Приложение с SDK, който събира лични и чувствителни потребителски данни и не ги третира като предмет на текущите правила за потребителските данни и на изискванията, свързани с достъпа и обработването на данните (включително непозволената продажба), и тези за разкриване на информация по ясен начин и получаване на съгласие.
  • Приложение, в което е интегриран SDK, събиращ лични и чувствителни потребителски данни по подразбиране, като по този начин нарушава изискванията на настоящите правила относно получаване на съгласие от потребителя и разкриване на информация по ясен начин.
  • Приложение с SDK, за който се твърди, че събира лични и чувствителни потребителски данни само с цел обезпечаване на функции, предотвратяващи измами и злоупотреба, но съответният SDK също споделя с трети страни събираните от него данни с цел рекламиране или анализ.
  • Приложение, включващо SDK, който предава информация за инсталираните от потребителя пакети, без да спазва указанията за разкриване на информация по ясен начин и/или указанията за декларация за поверителност.

Допълнителни изисквания за достъп до личните и чувствителните данни

В таблицата по-долу са описани изискванията за конкретни активности.

Активност Изискване
Приложението ви събира постоянни идентификатори на устройството или прави връзки с тях (напр. IMEI, IMSI, серийния номер на SIM картата и др.)

Постоянните идентификатори на устройството не бива да се свързват с други лични и чувствителни потребителски данни или идентификатори на устройства, които могат да бъдат нулирани, освен за следните цели:

  • телефонни услуги, свързани с конкретна SIM карта (напр. обаждания през Wi-Fi, свързани с профил към оператор);
  • приложения за управление на корпоративно устройство, които използват режима за собственик на устройството.

Тези начини на използване трябва да бъдат представени на потребителите по ясен начин, както е описано в правилата за потребителските данни.

За алтернативните уникални идентификатори прегледайте този ресурс.

За допълнителни указания относно идентификатора за рекламиране за Android прочетете правилата за рекламите.
Приложението ви е насочено към деца Приложението ви може да включва само SDK, които са самостоятелно сертифицирани за употреба в насочени към деца услуги. За пълните правила и изисквания прегледайте страницата Програма за самостоятелно сертифицирани SDK за реклами за семейства.

 

Примери за нарушения, причинени от SDK

  • Приложение, използващо SDK, който свързва идентификатор за Android с местоположението.
  • Приложение с SDK, който свързва AAID с постоянните идентификатори на устройството с цел рекламиране или анализ.
  • Приложение, използващо SDK, който свързва AAID с имейл адрес с цел анализ.

Секция за безопасност на данните

Всички програмисти трябва да попълнят ясно и точно секцията за безопасност на данните за всяко приложение, като предоставят информация относно събирането, използването и споделянето на потребителски данни. Това включва данните, събирани и обработвани чрез използваните в приложенията им библиотеки или SDK на трети страни. Програмистите носят отговорност за точността на етикета за поверителността и актуализирането на тези данни. Където е уместно, информацията в секцията трябва да съответства на разкриванията в декларацията за поверителност на приложението.

Направете справка с тази статия в Помощния център за допълнителна информация относно попълването на секцията за безопасност на данните.

Вижте пълния текст на правилата за потребителските данни.

Правила относно разрешенията и API, които осъществяват достъп до поверителна информация

Исканията за разрешения и използване на API, които осъществяват достъп до поверителна информация, трябва да са разбираеми за потребителите. Може да искате само разрешения и да ползвате API с достъп до поверителна информация, когато това е необходимо за реализирането на текущи функции или услуги в приложението Ви, посочени в малката обява за него в Google Play. Не може да използвате разрешения и API с достъп до поверителна информация, които дават достъп до потребителски данни или такива за устройството, за неразкрити, нереализирани или забранени функции или цели. Забранено е лични или чувствителни данни, получени чрез тези разрешения или API, да се продават или споделят с цел улесняване на продажбата им.

Вижте пълния текст на правилата относно разрешенията и API, които осъществяват достъп до поверителна информация.

Примери за нарушения, причинени от SDK

  • Приложението ви включва SDK, който иска достъп до местоположението на заден план за забранена или неразкрита цел.
  • Приложението ви включва SDK, който предава IMEI, извлечен посредством разрешението за Android read_phone_state, без съгласието на потребителя.
Правила относно злонамерения софтуер
Правилата ни относно злонамерения софтуер са прости – екосистемата на Android, включително Google Play Магазин, и устройствата на потребителите не трябва да бъдат обект на опасно (т.е. злонамерено) поведение. Това е основният принцип, въз основа на който се стремим да осигуряваме екосистема на Android, която е безопасна за потребителите и устройствата им.

 Злонамерен софтуер е всеки код, който може да застраши даден потребител, данните или устройството му. Злонамереният софтуер включва, без изброяването да е изчерпателно, потенциално опасни приложения, двоичен код или промени в софтуерната рамка и се състои от различни категории, като например троянски коне, приложения за фишинг и шпиониращ софтуер. Непрекъснато актуализираме списъка с категории и добавяме нови.

Изискванията на тези правила се отнасят и за кодовете на трети страни (например SDK), които включвате в приложението си.

Вижте пълния текст на правилата относно злонамерения софтуер.

Примери за нарушения, причинени от SDK

  • Приложения, включващи библиотеки с SDK от доставчици, които разпространяват злонамерен софтуер.
  • Приложения, които нарушават модела за разрешения на Android или крадат идентификационни данни (например означения за OAuth) от други приложения.
  • Приложения, които злоупотребяват с функции, за да предотвратят деинсталирането или спирането си.
  • Приложения, които деактивират SELinux.
  • Приложения, които включват SDK, който не спазва модела за разрешения на Android, като получава администраторски права чрез достъп до данните на устройството за неразкрита цел.
  • Приложения, които включват SDK с код, който подвежда потребителите да се абонират или да купят съдържание чрез сметката за мобилния си телефон.

Приложения, които си осигуряват администраторски права и получават пълноправен достъп до устройствата без разрешението на потребителите, се класифицират като приложения за пълноправен достъп.

Шпиониращ софтуер

Шпиониращият софтуер е злонамерено приложение, код или действие за събиране, извличане или споделяне на потребителски данни или данни от устройството за цели, които не са свързани със спазващата правилата функционалност.

Злонамереният код и действията, които могат да бъдат сметнати за шпиониране на потребителя или при които се извличат данни без съответното известие или получаване на съгласие, също може да попаднат в категорията за шпиониращ софтуер.

Вижте пълния текст на правилата относно шпиониращия софтуер.

Примерите за причинени от SDK нарушения на правилата относно шпиониращия софтуер включват, но не се ограничават до:

  • приложение, използващо SDK, който предава данни от аудиозаписи или записи на обаждания, когато това не е свързано със спазваща правилата функционалност на приложението;
  • приложение със злонамерен код на трета страна (например SDK), който предава данни извън устройството по неочакван за потребителя начин и/или без съответното известие или без съгласието на потребителя.
Правила относно нежелания софтуер на мобилни устройства

Прозрачно поведение и разкриване по ясен начин

Всеки код трябва да изпълнява дадените на потребителя обещания. Приложенията трябва да осигуряват всички обявени функционалности. Приложенията не трябва да объркват потребителите.

Примери за нарушения:

  • измама с реклами;
  • социално инженерство.

Защитавайте потребителските данни

Осигурете яснота и прозрачност по отношение на достъпа, използването, събирането и споделянето на лични и чувствителни потребителски данни. При използване на потребителски данни трябва да се спазват съответните правила, където е приложимо, и да се вземат всички предпазни мерки за защита на данните.

Примери за нарушения:

  • събиране на данни (направете справка с раздела „Шпиониращ софтуер“);
  • злоупотреба с ограничени разрешения.

Вижте пълния текст на правилата относно нежелания софтуер на мобилни устройства

Правила относно злоупотребата с устройства и мрежи

Не допускаме приложения, които могат да повредят, да възпрепятстват или влошат работата на или да осъществяват неупълномощен достъп до устройството на потребителя, други устройства или компютри, сървъри, мрежи, приложни програмни интерфейси (API) или услуги, включително, но не само, други приложения на устройството, която и да е услуга на Google или мрежата на оторизиран оператор.

Приложения или код на трета страна (напр. SDK), съдържащи интерпретируеми езици (JavaScript, Python, Lua и др.), които се зареждат по време на изпълнение (напр. такива, които не са пакетирани с приложението), не трябва да допускат потенциални нарушения на правилата на Google Play.

Не допускаме код, който въвежда или използва уязвимости в сигурността. Разгледайте програмата за подобряване на сигурността на приложенията, за да научите повече за най-скорошните проблеми със сигурността, за които е подаден сигнал до програмистите.

Вижте пълния текст на правилата относно злоупотребата с устройства и мрежи.

Примери за нарушения, причинени от SDK

  • Приложения, които улесняват прокси услуги към трети страни, се допускат само ако това е основната им функция, насочена към потребителя.
  • Приложението ви включва SDK, който изтегля изпълним код, като например dex файлове или код с директно изпълнение, от източник, различен от Google Play.
  • Приложението ви включва SDK, съдържащ WebView с добавен интерфейс на JavaScript, който зарежда ненадеждно уеб съдържание (например HTTP URL адрес) или непотвърдени URL адреси, получени от ненадеждни източници (например URL адреси, получени от ненадеждни намерения).
  • Приложението ви включва SDK, съдържащ код, който се използва за актуализиране на собствения му APK файл.
  • Приложението ви включва SDK, който излага потребителите на уязвимост в сигурността, като изтегля файлове през незащитени връзки.
  • Приложението ви включва SDK, който съдържа код за изтегляне и инсталиране на приложения от неизвестни източници извън Google Play.
  • Приложението ви включва SDK, който използва услуги на преден план без подходящ случай на употреба.
  • Приложението ви включва SDK, който използва услуги на преден план съгласно правилата, но случаят на употреба не е деклариран в манифеста на приложението ви.
Правила относно подвеждащото поведение

Не разрешаваме приложения, които опитват да подвеждат потребителите или допускат непочтено поведение, включително, но не само, приложения, чиято функционалност е определена за невъзможна. Приложенията трябва да представят точно функционалността си чрез разкриване на информация, описание и изображения/видеоклипове във всички части от метаданните. Те не трябва да имитират функции или предупреждения от операционната система или от други приложения. Всички промени в настройките на устройството трябва да се извършват със знанието и съгласието на потребителя и да са обратими.

Вижте пълния текст на правилата относно подвеждащото поведение.

Прозрачност на поведението

Функционалността на приложението ви трябва да бъде сравнително ясна за потребителите. Не включвайте скрити, неактивни или недокументирани функции в него. Не се допускат техники за избягване на отзивите за приложението. Може да се наложи да бъдат предоставени допълнителни подробности за приложенията с цел да се гарантират безопасността на потребителите, целостта на системата и спазването на правилата.

Пример на причинено нарушение от SDK

  • Приложението ви включва SDK, който използва техники за избягване на отзивите за приложението.

Кои правила за програмистите в Google Play обикновено се свързват с нарушенията, причинени от SDK?

За да се уверите, че използваният в приложението ви код на трета страна спазва програмните правила за програмистите в Google Play, вижте пълния текст на посочените по-долу правила:

Въпреки че обикновено възникват проблеми с тези правила, важно е да не забравяте, че поради проблемен код на SDK приложението ви може да наруши правило, което не е споменато по-горе. Не забравяйте да прегледате пълния текст на всички правила, за да получите актуална информация. Като програмист трябва да се уверите, че използваните от вас SDK боравят с данните от приложението ви по спазващ правилата начин.

За да научите повече, посетете Помощния ни център.

Това полезно ли бе?

Как можем да направим подобрения?

Нуждаете се от още помощ?

Изпробвайте следните стъпки:

Търсене
Изчистване на търсенето
Затваряне на търсенето
Приложения на Google
Главно меню