Deweloperzy często używają kodu innych firm (np. pakietów SDK) do integracji kluczowych funkcji i usług w swoich aplikacjach. Dodając pakiet SDK do swojej aplikacji, upewnij się, że możesz chronić użytkowników i aplikację przed lukami w zabezpieczeniach. W tej sekcji przedstawiamy niektóre nasze wymagania związane z prywatnością i bezpieczeństwem, które obowiązują w przypadku pakietów SDK. Te zasady mają ułatwić deweloperom bezpieczną integrację pakietów SDK z aplikacjami.
Jeśli Twoja aplikacja zawiera pakiet SDK, Twoim obowiązkiem jest upewnienie się, że kod innej firmy i jego sposób działania nie powodują naruszania zasad programu dla deweloperów w Google Play przez Twoją aplikację. Zwróć uwagę na to, jak pakiety SDK w aplikacji postępują z danymi użytkowników. Dowiedz się też, których uprawnień używają, jakie dane zbierają i dlaczego. Zbieranie i używanie danych użytkowników przez pakiet SDK musi być zgodne z zasadami wykorzystywania tych danych określonymi dla Twojej aplikacji.
Aby się upewnić, że korzystanie z pakietu SDK nie narusza wymagań, przeczytaj dokładnie i w całości opisane poniżej zasady, zwracając uwagę na obowiązujące wymogi dotyczące pakietów SDK:
Zasady dotyczące danych użytkownikaAplikacje muszą w przejrzysty sposób informować o tym, jak są przetwarzane dane użytkownika (np. informacje zbierane od użytkownika, w tym z jego urządzenia). Oznacza to konieczność ujawnienia sposobów uzyskiwania dostępu do danych użytkowników, zbierania ich, wykorzystywania i udostępniania z aplikacji, a także ograniczenia możliwości wykorzystywania ich tylko do ujawnionych celów zgodnych z zasadami.
Jeśli aplikacja zawiera kod innej firmy (na przykład pakiet SDK), musisz upewnić się, że ten kod i postępowanie dewelopera w odniesieniu do danych użytkownika z Twojej aplikacji są zgodne z zasadami programu dla deweloperów w Google Play, które obejmują wymagania dotyczące korzystania z danych i ujawniania informacji. Musisz na przykład zadbać o to, aby dostawcy pakietów SDK nie sprzedawali danych osobowych i poufnych użytkowników, które zostały uzyskane z Twojej aplikacji. Ten wymóg obowiązuje niezależnie od tego, czy dane są przenoszone po wysłaniu na serwer czy przez kod innej firmy umieszczony w aplikacji.
Dane osobowe i poufne użytkownika
Sprzedaż danych osobowych i poufnych użytkownikaNie sprzedawaj danych osobowych ani poufnych użytkowników.
Wymóg zamieszczenia powiadomienia o zbieraniu danych i uzyskania zgody użytkownikówW sytuacjach, w których uzyskiwanie dostępu do osobistych i poufnych danych użytkownika, zbieranie ich, wykorzystywanie lub udostępnianie nie jest działaniem, którego użytkownik może w uzasadniony sposób oczekiwać podczas korzystania z usługi lub funkcji (np. dane są zbierane w tle, gdy użytkownik nie korzysta z aplikacji), musisz spełnić wymóg zamieszczenia powiadomienia o zbieraniu danych i uzyskania zgody użytkowników określony w zasadach dotyczących danych użytkownika. Jeśli Twoja aplikacja zawiera zintegrowany kod innej firmy (np. pakiet SDK), który domyślnie zbiera dane osobowe i poufne użytkownika, musisz w ciągu 2 tygodni od otrzymania prośby od Google Play (lub w dłuższym terminie, jeśli został on podany w prośbie od Google Play) dostarczyć dowody potwierdzające, że aplikacja spełnia wymóg zamieszczenia powiadomienia o zbieraniu danych i uzyskania zgody użytkowników również w odniesieniu do uzyskiwania dostępu do danych, zbierania ich, wykorzystywania i udostępniania za pośrednictwem kodu innej firmy. Używany przez Ciebie kod innej firmy (np. pakiet SDK) nie może powodować niezgodności aplikacji z zasadami dotyczącymi danych użytkownika. Więcej informacji o wymogu zamieszczenia powiadomienia o zbieraniu danych i uzyskania zgody użytkowników znajdziesz w tym artykule w Centrum pomocy. Przykłady naruszeń spowodowanych przez pakiety SDK
Dodatkowe wymagania związane z dostępem do danych osobowych i poufnychTabela poniżej zawiera wymagania związane z określonymi działaniami.
Przykłady naruszeń spowodowanych przez pakiety SDK
Sekcja Bezpieczeństwo danychWszyscy deweloperzy muszą podać w sekcji Bezpieczeństwo danych dokładne i jednoznaczne informacje dotyczące każdej aplikacji, wyszczególniając przypadki zbierania, wykorzystywania i udostępniania danych użytkownika. Obejmuje to dane zbierane i przetwarzane przy użyciu zewnętrznych bibliotek lub pakietów SDK używanych w aplikacjach. Deweloper odpowiada za prawidłowe oznaczenie i aktualizowanie tych danych. Tam, gdzie ma to zastosowanie, ta sekcja musi być spójna z oświadczeniami zamieszczonymi w polityce prywatności aplikacji. Dodatkowe informacje na temat wypełniania sekcji Bezpieczeństwo danych znajdziesz w tym artykule w Centrum pomocy. Zobacz pełne zasady dotyczące danych użytkownika. |
||||||
Prośby dotyczące uprawnień i interfejsów API z dostępem do informacji poufnych powinny być zrozumiałe dla użytkowników. Możesz prosić tylko o uprawnienia i stosowanie interfejsów API z dostępem do informacji poufnych, które są konieczne do zaimplementowania bieżących funkcji lub usług wymienionych w informacjach o aplikacji w Google Play. Nie możesz używać uprawnień ani interfejsów API z dostępem do informacji poufnych, które przyznają dostęp do danych użytkownika lub urządzenia, na potrzeby funkcji lub działań, które są nieujawnione, niezaimplementowane albo niedozwolone. Nigdy nie wolno sprzedawać ani udostępniać w celu sprzedaży danych osobowych ani poufnych, do których dostęp jest uzyskiwany po udzieleniu uprawnień lub przez interfejs API z dostępem do informacji poufnych. Zobacz pełne zasady dotyczące uprawnień i interfejsów API z dostępem do informacji poufnych. Przykłady naruszeń spowodowanych przez pakiety SDK
|
Złośliwe oprogramowanie to każdy kod, który mógłby narazić na ryzyko użytkownika, jego dane lub urządzenie. Do tego typu oprogramowania zaliczamy między innymi potencjalnie szkodliwe aplikacje, pliki binarne i modyfikacje platformy, wśród których wyróżniamy kategorie takie jak konie trojańskie, phishing czy aplikacje szpiegowskie – lista tych kategorii jest cały czas aktualizowana.
Zobacz pełne zasady dotyczące złośliwego oprogramowania.
Przykłady naruszeń spowodowanych przez pakiety SDK
- Aplikacja zawierająca biblioteki SDK od firm rozpowszechniających złośliwe oprogramowanie.
- Aplikacja, która nie jest zgodna z modelem uprawnień Androida lub wykrada dane logowania (na przykład tokeny OAuth) z innych aplikacji.
- Aplikacje, które nadużywają różnych funkcji, by uniemożliwić ich odinstalowanie lub zatrzymanie.
- Aplikacja, która wyłącza SELinux.
- Aplikacja zawierająca pakiet SDK, który działa niezgodnie z modelem uprawnień Androida, uzyskując w nieznanym celu podwyższone uprawnienia przez dostęp do danych na urządzeniu.
- Aplikacja zawierająca pakiet SDK z kodem, który nakłania użytkowników do zakupu subskrypcji lub treści z użyciem płatności w ramach rachunku za telefon.
Aplikacje eskalujące uprawnienia, które umożliwiają dostęp do roota urządzenia bez pytania użytkownika o zgodę, są klasyfikowane jako aplikacje umożliwiające dostęp do roota.
Programy szpiegowskie
Program szpiegowski to szkodliwa aplikacja, kod lub działanie, które gromadzi, pozyskuje lub udostępnia dane urządzenia lub użytkownika w sposób niezgodny z zasadami.
Szkodliwy kod lub działania, które mogą uchodzić za szpiegowanie użytkownika lub pozyskiwanie danych bez odpowiedniego powiadomienia lub zgody, też mogą zostać uznane za programy szpiegowskie.
Zobacz pełne zasady dotyczące programów szpiegowskich.
Przykłady naruszeń spowodowanych przez pakiety SDK uznawanych za programy szpiegowskie to między innymi:
- aplikacje używające pakietu SDK, który przesyła dane z nagrań dźwiękowych lub nagrań rozmów, mimo że nie jest to związane z funkcją aplikacji nienaruszającą zasad;
- aplikacje używające szkodliwego kodu zewnętrznego (np. pakietu SDK) przesyłającego dane z urządzenia w sposób, którego użytkownik się nie spodziewa, lub bez odpowiedniego powiadomienia lub zgody.
Przejrzyste zachowanie i jednoznaczne informacjeCały kod powinien być zgodny z tym, co deweloper obiecał użytkownikom. Aplikacje powinny mieć wszystkie opisywane funkcje. Aplikacje nie mogą wprowadzać użytkowników w błąd. Przykłady naruszenia zasad:
Ochrona danych użytkownikaJasno i zrozumiale informuj użytkowników o dostępie do danych osobowych i poufnych oraz ich używaniu, gromadzeniu i udostępnianiu. Wykorzystując dane użytkownika, musisz przestrzegać wszystkich obowiązujących zasad dotyczących danych użytkownika i podejmować odpowiednie środki, aby chronić te dane. Przykłady naruszenia zasad:
Zobacz pełne zasady dotyczące niechcianego oprogramowania mobilnego. |
Zabraniamy publikowania aplikacji, które zakłócają działanie lub powodują uszkodzenie urządzenia użytkownika, innych urządzeń bądź komputerów, serwerów, sieci, interfejsów programowania aplikacji (API) czy usług albo uzyskują do nich nieautoryzowany dostęp. Dotyczy to m.in. innych aplikacji na urządzeniu, wszelkich usług Google oraz autoryzowanych sieci operatorów komórkowych. Aplikacje lub kod innej firmy (np. SDK) z interpretowanymi językami (JavaScript, Python, Lua itp.) ładowanymi podczas działania (np. niespakowanymi z aplikacją) nie mogą dopuszczać do potencjalnych naruszeń zasad Google Play. Zabraniamy wykorzystywania kodu, który wprowadza lub wykorzystuje luki w zabezpieczeniach. Zapoznaj się z naszym Programem ulepszania zabezpieczeń aplikacji, aby dowiedzieć się, jakie problemy z zabezpieczeniami zostały ostatnio zgłoszone deweloperom. Zobacz pełne zasady dotyczące nadużywania urządzeń lub sieci. Przykłady naruszeń spowodowanych przez pakiety SDK
|
Zabraniamy publikowania aplikacji, które mogą wprowadzać użytkowników w błąd lub umożliwiać nieuczciwe postępowanie, w tym m.in. aplikacji, których działanie uznano za niemożliwe. Aplikacje muszą zawierać, opisywać i prezentować za pomocą zdjęć lub filmów swój sposób działania we wszystkich częściach metadanych. Nie mogą naśladować funkcji ani ostrzeżeń systemu operacyjnego lub innych aplikacji. Wszelkie zmiany w ustawieniach urządzenia muszą być wprowadzane za wiedzą i zgodą użytkownika. Powinny też dać się cofnąć. Zobacz pełne zasady dotyczące nieuczciwych praktyk. Przejrzystość działaniaFunkcja Twojej aplikacji powinna być wystarczająco jasna dla użytkowników. Nie należy stosować np. jakichkolwiek ukrytych, uśpionych ani nieudokumentowanych funkcji. Nie zezwalamy na używanie technik służących uniknięciu sprawdzenia aplikacji. Aby zapewnić bezpieczeństwo użytkowników, integralność systemu i zgodność z zasadami, możemy poprosić deweloperów o dodatkowe informacje.
Przykład naruszenia spowodowanego przez SDK
|
Które zasady dla deweloperów Google Play są najczęściej związane z naruszeniami spowodowanymi przez pakiet SDK?
Aby łatwiej określić, czy oprogramowanie firmy zewnętrznej, z którego korzysta Twoja aplikacja, jest zgodne z Zasadami programu dla deweloperów w Google Play, zapoznaj się w całości z tym zasadami:
- Zasady dotyczące danych użytkownika
- Uprawnienia i interfejsy API z dostępem do informacji poufnych
- Zasady dotyczące nadużywania sieci lub urządzeń
- Zasady dotyczące złośliwego oprogramowania
- Zasady dotyczące niechcianego oprogramowania mobilnego
- Program samodzielnej certyfikacji pakietów SDK do wyświetlania reklam dla rodzin
- Zasady dotyczące reklam
- Nieuczciwe praktyki
- Zasady programu dla deweloperów w Google Play
Choć przypadki niezgodności są częściej związane z wymienionymi powyżej zasadami, trzeba pamiętać, że nieprawidłowy kod SDK może spowodować naruszenie przez aplikację innych zasad, które nie zostały tu opisane. Dbaj o to, aby zawsze i w całości znać aktualne zasady, ponieważ Twoim obowiązkiem jako dewelopera jest zapewnienie używania danych przez pakiet SDK w sposób zgodny z zasadami.
Aby dowiedzieć się więcej, odwiedź nasze Centrum pomocy.