Sovelluskehittäjät käyttävät usein kolmannen osapuolen koodia (esimerkiksi SDK:ta) integroidakseen sovelluksiinsa toimintoja ja palveluja. Kun käytät SDK:ta sovelluksessa, varmista, että pidät käyttäjät suojassa ja turvaat sovelluksen haavoittuvuuksilta. Tässä osiossa kerromme, kuinka jotkin nykyisistä yksityisyys- ja tietoturvavaatimuksista soveltuvat SDK-kontekstiin, ja kuinka ne on suunniteltu auttamaan kehittäjiä SDK:iden turvallisessa integroinnissa sovelluksiin.
Jos sovelluksessa on SDK, on vastuullasi varmistaa, että kolmannen osapuolen koodi ja käytännöt eivät johda siihen, että sovellus rikkoo Google Play ‑kehittäjien ohjelmakäytäntöjä. On tärkeää huomioida, miten sovelluksen SDK:t käsittelevät käyttäjädataa, ja varmistaa, että tiedät niiden käyttämät luvat, mitä dataa ne keräävät ja miksi. Muista, että SDK:n käyttäjädatan keräämisen ja käsittelyn on vastattava sovelluksesi käytäntöjen mukaista datan käyttöä.
Varmistaaksesi, että SDK:n käyttö ei riko käytäntövaatimuksia, lue seuraavat käytännöt tarkasti ja kokonaan. Huomioi, että osa niiden nykyisistä vaatimuksista koskee SDK:ita:
KäyttäjädatakäytäntöSinun on kerrottava avoimesti, miten käsittelet käyttäjädataa (esimerkiksi käyttäjältä kerättyjä tai häneen liittyviä tietoja, laitteen tiedot mukaan lukien). Tämä tarkoittaa tietojen luovuttamista sovelluksen käyttäjädatan lukemisesta, keräämisestä, käytöstä, käsittelystä ja jakamisesta ja että dataa käytetään vain ilmoitettuihin käytäntöjen sallimiin tarkoituksiin.
Jos sovellus sisältää kolmannen osapuolen koodia (esimerkiksi SDK:n), sinun on varmistettava, että sovelluksessa käytetty kolmannen osapuolen koodi ja kyseisen kolmannen osapuolen käytännöt sovelluksesi käyttäjädatan osalta noudattavat Google Play ‑kehittäjien ohjelmakäytäntöjä, jotka sisältävät käyttöä ja ilmoitusvelvollisuutta koskevia vaatimuksia. Sinun on esimerkiksi varmistettava, että SDK:iden toimittajat eivät myy sovelluksesi henkilökohtaista ja arkaluontoista käyttäjädataa. Tämä vaatimus on voimassa siitä huolimatta, siirretäänkö käyttäjädataa sen jälkeen, kun se on lähetetty palvelimelle, vai upottamalla kolmannen osapuolen koodia sovellukseesi.
Henkilökohtainen ja arkaluontoinen käyttäjädata
Henkilökohtaisen ja arkaluontoisen käyttäjädatan myyminenÄlä myy henkilökohtaista ja arkaluontoista käyttäjädataa.
Näkyvä ilmoitus ja suostumusvaatimuksetTilanteissa, joissa tuotteen tai ominaisuuden käyttäjä ei voi kohtuudella odottaa, että sovellus lukee, kerää, käyttää tai jakaa henkilökohtaista tai arkaluontoista käyttäjädataa, sinun on noudatettava käyttäjädatakäytännön näkyvää ilmoitusta ja suostumusta koskevia vaatimuksia. Jos sovellus sisältää kolmannen osapuolen koodia (esimerkiksi SDK:n) joka on suunniteltu oletuksena keräämään henkilökohtaista ja arkaluontoista käyttäjädataa, sinun on lähetettävä kahden viikon kuluessa Google Playn pyynnöstä (tai pyynnössä mainitun ajanjakson kuluessa) riittävät todisteet siitä, että sovellus täyttää tämän käytännön näkyvää ilmoitusta ja suostumusta koskevat vaatimukset. Tähän kuuluvat myös tiedot datan lukemisesta, keräämisestä, käytöstä tai jakamisesta kolmannen osapuolen koodin kautta. Muista varmistaa, että kolmannen osapuolen koodin (esimerkiksi SDK:n) käyttö ei johda siihen, että sovellus rikkoo käyttäjädatakäytäntöä. Tästä ohjekeskuksen artikkelista löydät lisätietoa näkyvää ilmoitusta ja suostumusta koskevasta vaatimuksesta. Esimerkkejä SDK:iden aiheuttamista rikkomuksista
Henkilökohtaiseen ja arkaluontoiseen dataan pääsyä koskevat lisävaatimuksetAlla olevassa taulukossa on kuvattu toimintakohtaiset vaatimukset.
Esimerkkejä SDK:iden aiheuttamista rikkomuksista
Dataturvallisuus-sivuKaikkien kehittäjien on luotava jokaiselle sovellukselle selkeä ja tarkka Dataturvallisuus-sivu, jossa kerrotaan käyttäjädatan keräämisestä, käytöstä ja jakamisesta. Tämä sisältää myös kaiken sovelluksissa käytetyn datan, jota kolmannet osapuolet keräävät ja käsittelevät kirjastojensa tai SDK:idensa kautta. Kehittäjä on vastuussa osuuden oikeellisuudesta ja tietojen päivittämisestä. Soveltuvissa tapauksissa sivun on oltava johdonmukainen sovelluksen tietosuojakäytännön kanssa. Lisätietoa Dataturvallisuus-sivun luomisesta löydät tästä ohjekeskuksen artikkelista. Katso täysi käyttäjädatakäytäntö. |
||||||
Lupapyyntöjen ja arkaluontoisia tietoja käsittelevien rajapintojen (API) pitäisi olla ymmärrettäviä käyttäjille. Saat pyytää vain sellaisia lupia ja arkaluontoisia tietoja käsitteleviä rajapintoja, jotka ovat välttämättömiä sovelluksesi Play Kaupan tietosivulla mainittujen nykyisten palvelujen tai ominaisuuksien kannalta. Et saa hyödyntää sellaisia lupia tai arkaluontoisia tietoja käsitteleviä rajapintoja, joilla pääset käyttäjä- tai laitedataan, sellaisia ominaisuuksia tai tarkoituksia varten, joita ei ole mainittu, toteutettu tai sallittu. Lupien tai APIen avulla saatua henkilökohtaista tai arkaluontoista dataa ei saa koskaan myydä tai jakaa myyntitarkoituksessa. Katso täysi Luvat ja arkaluontoisia tietoja käsittelevät APIt ‑käytäntö. Esimerkkejä SDK:iden aiheuttamista rikkomuksista
|
Haittaohjelma tarkoittaa koodia, joka voi aiheuttaa riskin käyttäjälle, käyttäjän datalle tai laitteelle. Haittaohjelmia ovat esimerkiksi mahdollisesti haitalliset sovellukset (PHA:t), binaarit ja kehysten muokkaukset, joihin kuuluvat esim. troijalaiset sekä tietojenkalastelu- ja vakoilusovellukset. Päivitämme ja lisäämme jatkuvasti uusia kategorioita.
Katso täysi haittaohjelmakäytäntö.
Esimerkkejä SDK:iden aiheuttamista rikkomuksista
- Sovellus, jossa on SDK-kirjastoja toimittajilta, jotka jakelevat haitallisia ohjelmistoja.
- Sovellus, joka rikkoo Androidin lupamallia tai varastaa kirjautumistietoja (esim. OAuth-tunnuksia) muilta sovelluksilta.
- Sovellukset, jotka väärinkäyttävät ominaisuuksia estääkseen sovelluksen poistamisen tai lopettamisen.
- Sovellus, joka poistaa käytöstä SELinuxin.
- Sovelluksessa on SDK, joka rikkoo Androidin lupamallia lisäämällä itselleen laajat pääsyoikeudet laitedataan tarkoitukseen, jota ei ole ilmoitettu.
- Sovelluksessa on SDK, jonka koodi huijaa käyttäjiä tilaamaan tai ostamaan sisältöä puhelinlaskun kautta.
Oikeuksienlisäämissovellukset, jotka ottavat käyttöön pääkäyttäjän oikeudet ilman käyttäjän myöntämää lupaa, luokitellaan pääkäyttäjän oikeuksienottamissovelluksiksi.
Vakoiluohjelmat
Vakoiluohjelma on haitallinen sovellus, koodi tai käyttäytyminen, joka kerää, varastaa tai jakaa käyttäjä‑ tai laitedataa. Tämä ei liity käytäntöä noudattavaan toimintaan.
Vakoiluohjelmaksi lasketaan myös sellainen haitallinen koodi tai käyttäytyminen, jota voidaan pitää käyttäjän vakoiluna tai datan varastamisena ilman ilmoitusta tai suostumusta.
Katso täysi vakoiluohjelmia koskeva käytäntö.
Esimerkkejä SDK:iden aiheuttamista vakoiluohjelmiin liittyvistä rikkomuksista:
- Sovelluksessa on SDK, joka lähettää dataa audio- tai puhelutallenteista, kun se ei liity käytäntöjen mukaisiin sovelluksen toimintoihin.
- Sovelluksen haitallinen kolmannen osapuolen koodi (esimerkiksi SDK), joka lähettää dataa laitteelta odottamattomalla tavalla tai ilman ilmoitusta tai käyttäjän suostumusta.
Avoin toiminta ja selkeät ilmoituksetKoodin tulee aina täyttää käyttäjälle tehdyt lupaukset. Sovelluksen on tarjottava kaikki ilmoitetut ominaisuudet. Sovellukset eivät saa hämmentää käyttäjiä. Esimerkkejä rikkomuksista:
Käyttäjädatan suojaaminenKerro avoimesti ja selkeästi henkilökohtaisen ja arkaluontoisen käyttäjädatan käytöstä, keräämisestä ja jakamisesta sekä siihen pääsystä. Käyttäjädataa on aina käytettävä asiaankuuluvien käyttäjädatakäytäntöjen mukaisesti (soveltuvin osin) ja suojattava tarpeellisin menetelmin. Esimerkkejä rikkomuksista:
Katso täysi ei-toivottujen mobiiliohjelmistojen sovellukset ‑käytäntö. |
Emme salli sovelluksia, jotka puuttuvat käyttäjän laitteen, muiden laitteiden tai tietokoneiden, palvelimien, verkkojen, rajapintojen (APIen) tai palveluiden toimintaan tai häiritsevät, vahingoittavat tai käyttävät niitä luvattomasti. Tämä koskee myös esimerkiksi laitteen muita sovelluksia, Googlen palveluita tai valtuutetun operaattorin verkkoa. Sovellukset ja kolmannen osapuolen koodi (esim. SDK:t), joka käyttää tulkittuja, suorituksen aikana ladattavia (eli ei sovelluksen sisällä pakattuja) kieliä (JavaScriptiä, Pythonia, Luaa jne.), ei saa sallia mahdollisia Google Playn käytäntöjen rikkomuksia. Emme salli koodia, johon liittyy tai joka hyödyntää tietoturvan haavoittuvuuksia. Tutustu App Security Improvement ‑ohjelmaan, jos haluat tietää uusimmista tietoturvaongelmista, joista on ilmoitettu kehittäjille. Katso täysi Laitteiden ja verkon väärinkäyttökäytäntö. Esimerkkejä SDK:iden aiheuttamista rikkomuksista
|
Emme salli sovelluksia, joilla yritetään johtaa käyttäjiä harhaan tai mahdollistaa petollinen toiminta, esimerkiksi käytännössä toimimattomiksi todettuja sovelluksia. Sovellusten toiminnasta on kerrottava tarkasti kuvauksen ja kuvien tai videoiden avulla metadatan kaikissa osissa. Sovellukset eivät saa jäljitellä käyttöjärjestelmän tai muiden sovellusten toimintoja tai varoituksia. Käyttäjän täytyy suostua laitteen asetusten kaikkiin muutoksiin ja olla niistä tietoinen, ja muutosten tulee olla käyttäjän peruutettavissa. Katso täysi Harhaanjohtava toiminnan käytäntö. Käyttäytymisen avoimuusSovelluksen toiminnan pitää olla kohtuullisen selvää käyttäjille. Älä lisää sovellukseen piilotettuja, passiivisia ja dokumentoimattomia ominaisuuksia. Sovelluksen tarkastuksen välttelemiseen tarkoitetut tekniikat eivät ole sallittuja. Sovellusten pitää mahdollisesti tarjota lisätietoja, joiden avulla varmistetaan käyttäjien turvallisuus, järjestelmän eheys ja käytäntöjen noudattaminen.
Esimerkki SDK:n aiheuttamasta rikkomuksesta
|
Mitkä Google Playn kehittäjäkäytännöt liittyvät usein SDK:iden aiheuttamiin rikkomuksiin?
Jotta voit varmistaa, että sovelluksen käyttämä kolmannen osapuolen koodi noudattaa Google Playn kehittäjien ohjelmakäytäntöjä, tutustu seuraaviin käytäntöihin kokonaisuudessaan:
- Käyttäjädatakäytäntö
- Luvat ja arkaluontoisia tietoja käsittelevät APIt
- Laitteiden ja verkon väärinkäyttökäytäntö
- Haittaohjelmat
- Ei-toivotut mobiiliohjelmistot
- Families Self-Certified Ads SDK ‑ohjelma
- Mainoskäytäntö
- Harhaanjohtava toiminta
- Google Play ‑kehittäjien ohjelmakäytännöt
Vaikka ongelmat liittyvät usein näihin käytäntöihin, on tärkeää huomata, että huono SDK-koodi voi johtaa siihen, että sovellus rikkoo muuta kuin yllä mainittua käytäntöä. Muista tarkistaa kaikki käytännöt tarkasti ja seuraa niissä tapahtuvia muutoksia, koska vastuullasi sovelluskehittäjänä on varmistaa, että SDK:si käsittelevät sovellusdataa käytäntöjä noudattavalla tavalla.
Lue lisää ohjekeskuksesta.