Apputviklere bruker ofte kode fra tredjeparter (for eksempel SDK-er) for å integrere funksjoner og tjenester som er viktige for appene deres. Når du inkluderer en SDK i appen din, bør du forsikre deg om at du kan holde brukerne trygge samtidig som appen ikke utsettes for sårbarheter. I denne delen viser vi hvordan noen av de eksisterende personverns- og sikkerhetskravene våre gjelder for SDK-er, samt hvordan de er laget for å hjelpe utviklere med å integrere SDK-er i appene sine på en trygg og sikker måte.
Hvis du inkluderer en SDK i appen din, har du ansvaret for å sikre at koden og praksisene til den aktuelle tredjeparten ikke fører til at appen din bryter programretningslinjene for Google Play-utviklere. Det er viktig at du er klar over hvordan SDK-ene i appen din håndterer brukerdata, og at du forstår hvilke tillatelser de bruker, hva slags data de samler inn, og hvorfor de gjør det. Husk at SDK-ers innsamling og håndtering av brukerdata må være i tråd med din egen apps bruk av slike data – som må overholde retningslinjene.
Du kan forsikre deg om at bruken av en SDK ikke er i strid med kravene i retningslinjene, ved å lese og passe på at du forstår alle de følgende retningslinjene, og merke deg noen av de eksisterende kravene for SDK-er, som du finner nedenfor.
Retningslinjer for brukerdataDu må være åpen om hvordan du håndterer brukerdata (for eksempel informasjon du samler inn fra eller om en bruker, inkludert enhetsinformasjon). Dette betyr at du må informere om hvordan du leser, samler inn, behandler og deler brukerdata fra appen din, og at du må begrense bruken av dataene til de oppgitte formålene som er i tråd med retningslinjene.
Hvis du inkluderer tredjepartskode (for eksempel en SDK) i appen din, må du forsikre deg om at både tredjepartskoden du bruker i appen, og tredjepartens praksis i forbindelse med brukerdata fra appen din, overholder programretningslinjene for Google Play-utviklere. Dette inkluderer kravene til bruk og videreformidling. Du må for eksempel forsikre deg om at leverandørene av SDK-ene du bruker, ikke selger personlige og sensitive brukerdata som er hentet fra appen din. Dette kravet gjelder uavhengig av om brukerdataene overføres etter at de er sendt til en tjener, eller via tredjepartskode du bygger inn i appen.
Personopplysninger og sensitive brukerdata
Salg av personlige og sensitive brukerdataDu kan ikke selge personlige og sensitive brukerdata.
Krav til fremtredende informasjon og samtykkeI tilfeller hvor appen din leser, samler inn, bruker eller deler personlige og sensitive brukerdata på en måte som muligens ikke faller inn under forventningene brukeren av produktet eller funksjonen med rimelighet kan ha, må du overholde kravene til fremtredende informasjon og samtykke i retningslinjene for brukerdata. Hvis du har integrert tredjepartskode (for eksempel en SDK) i appen din og den er laget for å samle inn personlige og sensitive brukerdata som standard, har du 2 uker (eller tidsperioden som er oppført i forespørselen, hvis den er lengre) på deg fra du mottar en forespørsel fra Google Play, på å fremlegge nok beviser som viser at appen din overholder kravene til fremtredende informasjon og samtykke i disse retningslinjene. Dette gjelder også for lesing, innsamling, bruk eller deling av dataene via tredjepartskoden. Husk å forsikre deg om at bruken din av tredjepartskode (for eksempel en SDK) ikke fører til at appen din er i strid med retningslinjene for brukerdata. I denne brukerstøtteartikkelen finner du mer informasjon om kravene til fremtredende informasjon og samtykke. Eksempler på brudd som skyldes SDK-er
Andre krav for tilgang til personlige og sensitive dataI tabellen nedenfor finner du beskrivelser av kravene for bestemte aktiviteter.
Eksempler på brudd som skyldes SDK-er
DatasikkerhetsdelAlle utviklere må ha en tydelig og nøyaktig datasikkerhetsdel for alle apper, med detaljert informasjon om innsamling, bruk og deling av brukerdata. Dette omfatter data som samles inn og håndteres via eventuelle tredjepartsbiblioteker eller -SDK-er som brukes i appene. Det er utvikleren som har ansvaret for at etiketten er nøyaktig, samt for å holde denne informasjonen oppdatert. Der det er relevant, skal delen være i tråd med opplysningene i appens personvernregler. I denne brukerstøtteartikkelen finner du mer informasjon om hvordan du fyller ut datasikkerhetsdelen. Se de fullstendige retningslinjene for brukerdata. |
||||||
Forespørsler om tillatelser og API-er med tilgang til sensitiv informasjon skal være forståelige for brukerne. Du kan bare be om tillatelser og API-er med tilgang til sensitiv informasjon som er nødvendige for å implementere funksjoner eller tjenester i appen din, og som er promotert i Google Play-oppføringen din. Du kan ikke bruke tillatelser eller API-er som bruker sensitiv informasjon og gir tilgang til bruker- eller enhetsdata til funksjoner eller formål det ikke opplyses om, som ikke er implementert, eller som ikke er tillatt. Personlige eller sensitive data du får tilgang til via tillatelser eller API-er som bruker sensitiv informasjon, skal aldri selges eller deles for å tilrettelegge for salg. Se de fullstendige retningslinjene for tillatelser og API-er som bruker sensitiv informasjon. Eksempler på brudd som skyldes SDK-er
|
Skadelig programvare er all kode som kan utsette brukere og brukeres data eller enheter for risiko. Skadelig programvare inkluderer, men er ikke begrenset til, potensielt skadelige apper, binærprogrammer eller rammeverkendringer og består av kategorier som trojanske hester, nettfisking og spionprogrammer. Vi oppdaterer og legger til nye kategorier jevnlig.
Se de fullstendige retningslinjene om skadelig programvare.
Eksempler på brudd som skyldes SDK-er
- apper som inkluderer SDK-biblioteker fra leverandører som distribuerer skadelig programvare
- apper som ikke overholder Android-tillatelsesmodellen, eller som stjeler legitimasjon (for eksempel OAuth-tokener) fra andre apper
- apper som misbruker funksjoner for å hindre at de avinstalleres eller stoppes
- apper som slår av SELinux
- apper som har SDK-er som er i strid med Android-tillatelsesmodellen ved at de skaffer seg overordnede rettigheter ved å bruke enhetsdata for formål som ikke er oppgitt
- apper som har SDK-er med kode som lurer brukerne til å abonnere på eller kjøpe innhold via mobilregningen
Apper med overordnede rettigheter som gir enheter rottilgang uten tillatelse fra brukerne, klassifiseres som apper for rottilgang.
Spionprogrammer
Spionprogrammer er skadelige apper, skadelig kode eller skadelig atferd som samler inn, henter ut eller deler bruker- eller enhetsdata som ikke er relatert til funksjonalitet som er i tråd med retningslinjene.
Skadelig kode eller atferd som kan anses som spionasje mot brukeren, eller som henter ut data uten tilstrekkelig varsel eller samtykke, anses også som spionprogrammer.
Se hele retningslinjene om spionprogrammer.
Brudd på retningslinjene om spionprogrammer forårsaket av SDK-er inkluderer, men er ikke begrenset til,
- apper som bruker en SDK som overfører data fra lyd- eller samtaleopptak når de ikke er relatert til appfunksjonalitet som er i tråd med retningslinjene
- apper med skadelig tredjepartskode (for eksempel en SDK) som overfører data bort fra enheten på en måte som er uventet for brukeren, og/eller uten tilstrekkelig brukervarsel eller -samtykke
Åpenhet om funksjonalitet og tydelig informasjonAll kode skal levere lovet funksjonalitet til brukerne. Apper skal ha all funksjonalitet som er lovet. Apper skal ikke forvirre brukerne. Eksempler på brudd på retningslinjene:
Beskytt brukerdataVær tydelig og oversiktlig når det gjelder lesing, bruk, innsamling og deling av personlige og sensitive brukerdata. Bruk av brukerdata må overholde alle relevante retningslinjer for brukerdata, der det er aktuelt, og ta alle forholdsregler for å beskytte dataene. Eksempler på brudd på retningslinjene:
Se de fullstendige retningslinjene om uønsket programvare for mobilenheter |
Vi tillater ikke apper som forstyrrer, avbryter, skader eller skaffer seg uautorisert tilgang til brukerens enhet, andre enheter eller datamaskiner, tjenere, nettverk, programmeringsgrensesnitt (API-er) eller tjenester. Dette inkluderer, men er ikke begrenset til, andre apper på enheten, alle Google-tjenester og autoriserte operatørnettverk. Apper eller kode fra tredjeparter (f.eks. SDK-er) med tolkede språk (JavaScript, Python, Lua osv.) som lastes inn under kjøring (f.eks ikke pakket sammen med appen), skal ikke tillate potensielle brudd på Google Play-retningslinjer. Vi tillater ikke kode som introduserer eller utnytter sikkerhetssvakheter. Ta en titt på programmet for økt sikkerhet i apper for å finne ut mer om de nyeste sikkerhetsproblemene utviklere har fått beskjed om. Se de fullstendige retningslinjene om uriktig bruk av enheter og nettverk. Eksempler på brudd som skyldes SDK-er
|
Vi tillater ikke apper som har som hensikt å villede brukere eller legge til rette for uærlig atferd, inkludert, men ikke begrenset til, apper som regnes som umulige å bruke. Apper må ha nøyaktige opplysninger, beskrivelser og bilder/video tilknyttet appenes funksjonalitet i alle deler av metadataene. Apper skal ikke etterligne funksjonalitet eller advarsler fra operativsystemer eller andre apper. Eventuelle endringer av enhetsinnstillinger skal bare gjennomføres hvis brukeren er klar over og har samtykket i endringene, og hvis de kan reverseres av brukeren. Se de fullstendige retningslinjene om villedende atferd. Åpenhet om funksjonalitetAppens funksjonalitet skal være rimelig tydelig for brukerne – ikke inkluder skjulte, inaktive eller udokumenterte funksjoner i appen. Teknikker for å unngå appanmeldelser er ikke tillatt. For noen apper kan vi be om mer informasjon for å ivareta brukernes sikkerhet, systemintegriteten og overholdelse av retningslinjene.
Eksempel på et brudd forårsaket av en SDK
|
Hvilke Google Play-retningslinjer for utviklere ligger ofte til grunn for brudd som skyldes SDK-er?
For å sikre at eventuell tredjepartskode appen din bruker, overholder programretningslinjene for Google Play-utviklere, bør du lese gjennom disse retningslinjene i sin helhet:
- Retningslinjer for brukerdata
- Tillatelser og API-er som bruker sensitiv informasjon
- Retningslinjer om uriktig bruk av enheter og nettverk
- Skadelig programvare
- Uønsket programvare for mobilenheter
- Programmet for egensertifiserte annonse-SDK-er for familier
- Annonseretningslinjer
- Villedende atferd
- Programretningslinjer for Google Play-utviklere
Selv om det er disse retningslinjene som oftest brytes, er det viktig å huske på at dårlig SDK-kode kan føre til at appen din bryter andre retningslinjer enn de som er ovenfor. Sørg for at du går gjennom og holder deg oppdatert på alle retningslinjer i sin helhet, siden det er du som apputvikler som har ansvaret for å sikre at SDK-ene dine behandler appdata i tråd med retningslinjene.
Du kan finne ut mer om dette i brukerstøtten.