Krav til SDK-er

Apputviklere bruker ofte kode fra tredjeparter (for eksempel SDK-er) for å integrere funksjoner og tjenester som er viktige for appene deres. Når du inkluderer en SDK i appen din, bør du forsikre deg om at du kan holde brukerne trygge samtidig som appen ikke utsettes for sårbarheter. I denne delen viser vi hvordan noen av de eksisterende personverns- og sikkerhetskravene våre gjelder for SDK-er, samt hvordan de er laget for å hjelpe utviklere med å integrere SDK-er i appene sine på en trygg og sikker måte.

Hvis du inkluderer en SDK i appen din, har du ansvaret for å sikre at koden og praksisene til den aktuelle tredjeparten ikke fører til at appen din bryter programretningslinjene for Google Play-utviklere. Det er viktig at du er klar over hvordan SDK-ene i appen din håndterer brukerdata, og at du forstår hvilke tillatelser de bruker, hva slags data de samler inn, og hvorfor de gjør det.  Husk at SDK-ers innsamling og håndtering av brukerdata må være i tråd med din egen apps bruk av slike data – som må overholde retningslinjene.

Du kan forsikre deg om at bruken av en SDK ikke er i strid med kravene i retningslinjene, ved å lese og passe på at du forstår alle de følgende retningslinjene, og merke deg noen av de eksisterende kravene for SDK-er, som du finner nedenfor.

Retningslinjer for brukerdata

Du må være åpen om hvordan du håndterer brukerdata (for eksempel informasjon du samler inn fra eller om en bruker, inkludert enhetsinformasjon). Dette betyr at du må informere om hvordan du leser, samler inn, behandler og deler brukerdata fra appen din, og at du må begrense bruken av dataene til de oppgitte formålene som er i tråd med retningslinjene.

Hvis du inkluderer tredjepartskode (for eksempel en SDK) i appen din, må du forsikre deg om at både tredjepartskoden du bruker i appen, og tredjepartens praksis i forbindelse med brukerdata fra appen din, overholder programretningslinjene for Google Play-utviklere. Dette inkluderer kravene til bruk og videreformidling. Du må for eksempel forsikre deg om at leverandørene av SDK-ene du bruker, ikke selger personlige og sensitive brukerdata som er hentet fra appen din. Dette kravet gjelder uavhengig av om brukerdataene overføres etter at de er sendt til en tjener, eller via tredjepartskode du bygger inn i appen.

Personopplysninger og sensitive brukerdata

  • Du må begrense lesing, innsamling, bruk og deling av personlige og sensitive brukerdata som innhentes via appen, til app- og tjenestefunksjonalitet og formål som overholder retningslinjene, og som brukeren med rimelighet kan forvente.
    • Apper som utvider bruken av personlige og sensitive brukerdata til å levere annonser, må overholde annonseretningslinjene for Google Play.
  • Du må behandle alle personlige og sensitive brukerdata sikkert, blant annet ved å bruke moderne kryptografi (for eksempel HTTPS) til å overføre dataene.
  • Du må bruke forespørsler om tillatelse under kjøring, så sant det er mulig, før du får tilgang til data som er avgrenset av Android-tillatelser.

Salg av personlige og sensitive brukerdata

Du kan ikke selge personlige og sensitive brukerdata.

  • «Salg» betyr utveksling eller overføring av personlige og sensitive brukerdata til en tredjepart mot betaling i form av penger.
    • Overføringer av personlige og sensitive brukerdata som startes av brukere, regnes ikke som salg. Dette kan for eksempel forekomme når en bruker benytter en appfunksjon til å overføre en fil til en tredjepart, eller når en bruker velger å ta i bruk en app for forskningsstudier med et dedikert formål.

Krav til fremtredende informasjon og samtykke

I tilfeller hvor appen din leser, samler inn, bruker eller deler personlige og sensitive brukerdata på en måte som muligens ikke faller inn under forventningene brukeren av produktet eller funksjonen med rimelighet kan ha, må du overholde kravene til fremtredende informasjon og samtykke i retningslinjene for brukerdata.

Hvis du har integrert tredjepartskode (for eksempel en SDK) i appen din og den er laget for å samle inn personlige og sensitive brukerdata som standard, har du 2 uker (eller tidsperioden som er oppført i forespørselen, hvis den er lengre) på deg fra du mottar en forespørsel fra Google Play, på å fremlegge nok beviser som viser at appen din overholder kravene til fremtredende informasjon og samtykke i disse retningslinjene. Dette gjelder også for lesing, innsamling, bruk eller deling av dataene via tredjepartskoden.

Husk å forsikre deg om at bruken din av tredjepartskode (for eksempel en SDK) ikke fører til at appen din er i strid med retningslinjene for brukerdata.

I denne brukerstøtteartikkelen finner du mer informasjon om kravene til fremtredende informasjon og samtykke.

Eksempler på brudd som skyldes SDK-er

  • apper som har SDK-er som samler inn personlige og sensitive brukerdata uten å behandle disse dataene i henhold til disse retningslinjene for brukerdata og kravene for tilgang, databehandling (inkludert forbudt salg), fremtredende informasjon og samtykke
  • apper som er integrert med SDK-er som samler inn personlige og sensitive brukerdata som standard på en måte som er i strid med kravene i disse retningslinjene når det gjelder brukersamtykke og fremtredende informasjon 
  • apper som har SDK-er som hevder at de bare samler inn personlige og sensitive brukerdata for å gi appene funksjonalitet som motvirker svindel og uriktig bruk, men hvor SDK-ene også deler dataene de samler inn, med tredjeparter for annonserings- eller analyseformål 
  • apper som har SDK-er som overfører informasjon om brukernes installerte pakker uten å overholde retningslinjene for fremtredende informasjon og/eller retningslinjene i personvernreglene 

Andre krav for tilgang til personlige og sensitive data

I tabellen nedenfor finner du beskrivelser av kravene for bestemte aktiviteter.

Aktivitet  Krav
Appen din samler inn eller tilknytter permanente enhetsidentifikatorer (f.eks. IMEI, IMSI, SIM-serienumre osv.)

Permanente enhetsidentifikatorer kan ikke knyttes til andre personlige og sensitive brukerdata eller enhetsidentifikatorer som kan tilbakestilles, med unntak av for

  • telefonitjenester som er tilknyttet en SIM-identitet (f.eks. anrop via wifi som er knyttet til en operatørkonto)
  • apper for administrering av bedriftsenheter, hvor appene bruker modusen for enhetseieren

Du må klart og tydelig opplyse brukerne om slik bruk, som det er spesifisert i retningslinjene om brukerdata.

Gå gjennom denne ressursen for å se alternative unike identifikatorer.

Les gjennom annonseretningslinjene for å se flere retningslinjer om annonserings-ID-er for Android.
Appen din er målrettet mot barn Appen din kan bare inneholde SDK-er som har egensertifisering for bruk i tjenester som er rettet mot barn. Du finner all teksten og alle kravene i retningslinjene i programmet for egensertifiserte annonse-SDK-er for familier

 

Eksempler på brudd som skyldes SDK-er

  • apper som bruker SDK-er som knytter Android-ID-er til posisjoner 
  • apper som har SDK-er som kobler AAID-er til permanente enhetsidentifikatorer for annonserings- eller analyseformål 
  • apper som bruker SDK-er som knytter AAID-er til e-postadresser for analyseformål

Datasikkerhetsdel

Alle utviklere må ha en tydelig og nøyaktig datasikkerhetsdel for alle apper, med detaljert informasjon om innsamling, bruk og deling av brukerdata. Dette omfatter data som samles inn og håndteres via eventuelle tredjepartsbiblioteker eller -SDK-er som brukes i appene. Det er utvikleren som har ansvaret for at etiketten er nøyaktig, samt for å holde denne informasjonen oppdatert. Der det er relevant, skal delen være i tråd med opplysningene i appens personvernregler.

I denne brukerstøtteartikkelen finner du mer informasjon om hvordan du fyller ut datasikkerhetsdelen.

Se de fullstendige retningslinjene for brukerdata.

Tillatelser og API-er som bruker retningslinjene om sensitiv informasjon

Forespørsler om tillatelser og API-er med tilgang til sensitiv informasjon skal være forståelige for brukerne. Du kan bare be om tillatelser og API-er med tilgang til sensitiv informasjon som er nødvendige for å implementere funksjoner eller tjenester i appen din, og som er promotert i Google Play-oppføringen din. Du kan ikke bruke tillatelser eller API-er som bruker sensitiv informasjon og gir tilgang til bruker- eller enhetsdata til funksjoner eller formål det ikke opplyses om, som ikke er implementert, eller som ikke er tillatt. Personlige eller sensitive data du får tilgang til via tillatelser eller API-er som bruker sensitiv informasjon, skal aldri selges eller deles for å tilrettelegge for salg.

Se de fullstendige retningslinjene for tillatelser og API-er som bruker sensitiv informasjon.

Eksempler på brudd som skyldes SDK-er

  • apper som har SDK-er som ber om posisjon i bakgrunnen for formål som ikke er tillatt, eller som ikke er oppgitt 
  • apper som har SDK-er som sender IMEI-koder som er avledet fra Android-tillatelsen read_phone_state, uten samtykke fra brukerne
Retningslinjer om skadelig programvare
Retningslinjene våre om skadelig programvare er enkle: Android-økosystemet, inkludert Google Play-butikken og brukerenheter, skal være fritt for skadelig programvare. Gjennom dette grunnleggende prinsippet jobber vi hardt for å skape et trygt Android-økosystem for brukerne våre og enhetene deres.

 Skadelig programvare er all kode som kan utsette brukere og brukeres data eller enheter for risiko. Skadelig programvare inkluderer, men er ikke begrenset til, potensielt skadelige apper, binærprogrammer eller rammeverkendringer og består av kategorier som trojanske hester, nettfisking og spionprogrammer. Vi oppdaterer og legger til nye kategorier jevnlig.

Kravene i disse retningslinjene gjelder også for tredjepartskode (f.eks. SDK) som du inkluderer i appen.

Se de fullstendige retningslinjene om skadelig programvare.

Eksempler på brudd som skyldes SDK-er

  • apper som inkluderer SDK-biblioteker fra leverandører som distribuerer skadelig programvare
  • apper som ikke overholder Android-tillatelsesmodellen, eller som stjeler legitimasjon (for eksempel OAuth-tokener) fra andre apper
  • apper som misbruker funksjoner for å hindre at de avinstalleres eller stoppes
  • apper som slår av SELinux
  • apper som har SDK-er som er i strid med Android-tillatelsesmodellen ved at de skaffer seg overordnede rettigheter ved å bruke enhetsdata for formål som ikke er oppgitt
  • apper som har SDK-er med kode som lurer brukerne til å abonnere på eller kjøpe innhold via mobilregningen

Apper med overordnede rettigheter som gir enheter rottilgang uten tillatelse fra brukerne, klassifiseres som apper for rottilgang.

Spionprogrammer

Spionprogrammer er skadelige apper, skadelig kode eller skadelig atferd som samler inn, henter ut eller deler bruker- eller enhetsdata som ikke er relatert til funksjonalitet som er i tråd med retningslinjene.

Skadelig kode eller atferd som kan anses som spionasje mot brukeren, eller som henter ut data uten tilstrekkelig varsel eller samtykke, anses også som spionprogrammer.

Se hele retningslinjene om spionprogrammer.

Brudd på retningslinjene om spionprogrammer forårsaket av SDK-er inkluderer, men er ikke begrenset til,

  • apper som bruker en SDK som overfører data fra lyd- eller samtaleopptak når de ikke er relatert til appfunksjonalitet som er i tråd med retningslinjene
  • apper med skadelig tredjepartskode (for eksempel en SDK) som overfører data bort fra enheten på en måte som er uventet for brukeren, og/eller uten tilstrekkelig brukervarsel eller -samtykke
Retningslinjer for uønsket programvare for mobilenheter

Åpenhet om funksjonalitet og tydelig informasjon

All kode skal levere lovet funksjonalitet til brukerne. Apper skal ha all funksjonalitet som er lovet. Apper skal ikke forvirre brukerne. 

Eksempler på brudd på retningslinjene:

  • annonsesvindel
  • sosial manipulering

Beskytt brukerdata

Vær tydelig og oversiktlig når det gjelder lesing, bruk, innsamling og deling av personlige og sensitive brukerdata. Bruk av brukerdata må overholde alle relevante retningslinjer for brukerdata, der det er aktuelt, og ta alle forholdsregler for å beskytte dataene.

Eksempler på brudd på retningslinjene:

  • datainnsamling (f.eks. spionprogrammer)
  • misbruk av begrensede tillatelser

Se de fullstendige retningslinjene om uønsket programvare for mobilenheter

Retningslinjer om uriktig bruk av enheter og nettverk

Vi tillater ikke apper som forstyrrer, avbryter, skader eller skaffer seg uautorisert tilgang til brukerens enhet, andre enheter eller datamaskiner, tjenere, nettverk, programmeringsgrensesnitt (API-er) eller tjenester. Dette inkluderer, men er ikke begrenset til, andre apper på enheten, alle Google-tjenester og autoriserte operatørnettverk.

Apper eller kode fra tredjeparter (f.eks. SDK-er) med tolkede språk (JavaScript, Python, Lua osv.) som lastes inn under kjøring (f.eks ikke pakket sammen med appen), skal ikke tillate potensielle brudd på Google Play-retningslinjer.

Vi tillater ikke kode som introduserer eller utnytter sikkerhetssvakheter. Ta en titt på programmet for økt sikkerhet i apper for å finne ut mer om de nyeste sikkerhetsproblemene utviklere har fått beskjed om.

Se de fullstendige retningslinjene om uriktig bruk av enheter og nettverk.

Eksempler på brudd som skyldes SDK-er

  • apper som tilrettelegger for bruk av proxy-tjenester til tredjeparter, kan bare gjøre dette når det er appens primære brukerrettede hovedformål
  • apper med SDK-er som laster ned kjørbar kode, for eksempel dex-filer eller integrert kode, fra andre kilder enn Google Play
  • apper med SDK-er som inneholder en WebView med et JavaScript-grensesnitt som laster inn upålitelig nettinnhold (for eksempel http://-nettadresser) eller ubekreftede nettadresser fra upålitelige kilder (for eksempel nettadresser hentet med upålitelige intensjoner)
  • apper med SDK-er som inneholder kode for oppdatering av sin egen APK
  • apper med SDK-er som eksponerer brukere for sikkerhetssårbarheter ved å laste ned filer via usikre tilkoblinger
  • apper med SDK-er som har kode for nedlasting eller installering av apper fra ukjente kilder utenfor Google Play
  • apper med SDK-er som bruker forgrunnstjenester uten et egnet bruksmønster
  • apper med SDK-er som bruker forgrunnstjenester for å overholde retningslinjer, men det opplyses ikke om dem i appens manifest
Retningslinjer om villedende atferd

Vi tillater ikke apper som har som hensikt å villede brukere eller legge til rette for uærlig atferd, inkludert, men ikke begrenset til, apper som regnes som umulige å bruke. Apper må ha nøyaktige opplysninger, beskrivelser og bilder/video tilknyttet appenes funksjonalitet i alle deler av metadataene. Apper skal ikke etterligne funksjonalitet eller advarsler fra operativsystemer eller andre apper. Eventuelle endringer av enhetsinnstillinger skal bare gjennomføres hvis brukeren er klar over og har samtykket i endringene, og hvis de kan reverseres av brukeren.

Se de fullstendige retningslinjene om villedende atferd.

Åpenhet om funksjonalitet

Appens funksjonalitet skal være rimelig tydelig for brukerne – ikke inkluder skjulte, inaktive eller udokumenterte funksjoner i appen. Teknikker for å unngå appanmeldelser er ikke tillatt. For noen apper kan vi be om mer informasjon for å ivareta brukernes sikkerhet, systemintegriteten og overholdelse av retningslinjene.

Eksempel på et brudd forårsaket av en SDK

  • Appen din har en SDK som bruker teknikker for å unngå appanmeldelser.

Hvilke Google Play-retningslinjer for utviklere ligger ofte til grunn for brudd som skyldes SDK-er?

For å sikre at eventuell tredjepartskode appen din bruker, overholder programretningslinjene for Google Play-utviklere, bør du lese gjennom disse retningslinjene i sin helhet:

Selv om det er disse retningslinjene som oftest brytes, er det viktig å huske på at dårlig SDK-kode kan føre til at appen din bryter andre retningslinjer enn de som er ovenfor. Sørg for at du går gjennom og holder deg oppdatert på alle retningslinjer i sin helhet, siden det er du som apputvikler som har ansvaret for å sikre at SDK-ene dine behandler appdata i tråd med retningslinjene.

Du kan finne ut mer om dette i brukerstøtten.

Var dette nyttig for deg?

Hvordan kan vi forbedre den?

Trenger du mer hjelp?

Prøv disse trinnene:

Søk
Slett søket
Lukk søkefunksjonen
Google-apper
Hovedmeny