Wymagania dotyczące pakietów SDK

Deweloperzy często używają kodu innych firm (np. pakietów SDK) do integracji kluczowych funkcji i usług w swoich aplikacjach. Dodając pakiet SDK do swojej aplikacji, upewnij się, że możesz chronić użytkowników i aplikację przed lukami w zabezpieczeniach. W tej sekcji przedstawiamy niektóre nasze wymagania związane z prywatnością i bezpieczeństwem, które obowiązują w przypadku pakietów SDK. Te zasady mają ułatwić deweloperom bezpieczną integrację pakietów SDK z aplikacjami.

Jeśli Twoja aplikacja zawiera pakiet SDK, Twoim obowiązkiem jest upewnienie się, że kod innej firmy i jego sposób działania nie powodują naruszania zasad programu dla deweloperów w Google Play przez Twoją aplikację. Zwróć uwagę na to, jak pakiety SDK w aplikacji postępują z danymi użytkowników. Dowiedz się też, których uprawnień używają, jakie dane zbierają i dlaczego. Zbieranie i używanie danych użytkowników przez pakiet SDK musi być zgodne z zasadami wykorzystywania tych danych określonymi dla Twojej aplikacji.

Aby się upewnić, że korzystanie z pakietu SDK nie narusza wymagań, przeczytaj dokładnie i w całości opisane poniżej zasady, zwracając uwagę na obowiązujące wymogi dotyczące pakietów SDK:

Zasady dotyczące danych użytkownika

Aplikacje muszą w przejrzysty sposób informować o tym, jak są przetwarzane dane użytkownika (np. informacje zbierane od użytkownika, w tym z jego urządzenia). Oznacza to konieczność ujawnienia sposobów uzyskiwania dostępu do danych użytkowników, zbierania ich, wykorzystywania i udostępniania z aplikacji, a także ograniczenia możliwości wykorzystywania ich tylko do ujawnionych celów zgodnych z zasadami.

Jeśli aplikacja zawiera kod innej firmy (na przykład pakiet SDK), musisz upewnić się, że ten kod i postępowanie dewelopera w odniesieniu do danych użytkownika z Twojej aplikacji są zgodne z zasadami programu dla deweloperów w Google Play, które obejmują wymagania dotyczące korzystania z danych i ujawniania informacji. Musisz na przykład zadbać o to, aby dostawcy pakietów SDK nie sprzedawali danych osobowych i poufnych użytkowników, które zostały uzyskane z Twojej aplikacji. Ten wymóg obowiązuje niezależnie od tego, czy dane są przenoszone po wysłaniu na serwer czy przez kod innej firmy umieszczony w aplikacji.

Dane osobowe i poufne użytkownika

  • Dostęp aplikacji do danych osobowych i poufnych oraz ich zbieranie, używanie i udostępnianie ogranicz do celów związanych z funkcjami aplikacji i usług oraz zastosowaniami zgodnymi z zasadami, których użytkownik może w uzasadniony sposób oczekiwać:
    • Aplikacje, w których korzystanie z danych osobowych i poufnych użytkownika jest poszerzone o wyświetlanie reklam, muszą być zgodne z zasadami dotyczącymi reklam w Google Play.
  • Ze wszystkimi danymi osobowymi i poufnymi użytkownika postępuj w bezpieczny sposób, używając nowoczesnych metod kryptograficznych (np. protokołu HTTPS).
  • Jeśli to możliwe, przed uzyskaniem dostępu do danych objętych uprawnieniami Androida skorzystaj z prośby o uprawnienia w czasie działania aplikacji.

Sprzedaż danych osobowych i poufnych użytkownika

Nie sprzedawaj danych osobowych ani poufnych użytkowników.

  • „Sprzedaż” oznacza wymianę danych osobowych i poufnych użytkowników lub przekazanie ich osobie trzeciej w zamian za korzyść finansową.
    • Przeniesienie danych osobowych lub informacji poufnych, które zostało zainicjowane przez użytkownika (np. gdy korzysta on z funkcji aplikacji do przekazania pliku osobie trzeciej albo ze specjalnej aplikacji do prowadzenia badań), nie jest uznawane za sprzedaż.

Wymóg zamieszczenia powiadomienia o zbieraniu danych i uzyskania zgody użytkowników

W sytuacjach, w których uzyskiwanie dostępu do osobistych i poufnych danych użytkownika, zbieranie ich, wykorzystywanie lub udostępnianie nie jest działaniem, którego użytkownik może w uzasadniony sposób oczekiwać podczas korzystania z usługi lub funkcji (np. dane są zbierane w tle, gdy użytkownik nie korzysta z aplikacji), musisz spełnić wymóg zamieszczenia powiadomienia o zbieraniu danych i uzyskania zgody użytkowników określony w zasadach dotyczących danych użytkownika.

Jeśli Twoja aplikacja zawiera zintegrowany kod innej firmy (np. pakiet SDK), który domyślnie zbiera dane osobowe i poufne użytkownika, musisz w ciągu 2 tygodni od otrzymania prośby od Google Play (lub w dłuższym terminie, jeśli został on podany w prośbie od Google Play) dostarczyć dowody potwierdzające, że aplikacja spełnia wymóg zamieszczenia powiadomienia o zbieraniu danych i uzyskania zgody użytkowników również w odniesieniu do uzyskiwania dostępu do danych, zbierania ich, wykorzystywania i udostępniania za pośrednictwem kodu innej firmy.

Używany przez Ciebie kod innej firmy (np. pakiet SDK) nie może powodować niezgodności aplikacji z zasadami dotyczącymi danych użytkownika.

Więcej informacji o wymogu zamieszczenia powiadomienia o zbieraniu danych i uzyskania zgody użytkowników znajdziesz w tym artykule w Centrum pomocy.

Przykłady naruszeń spowodowanych przez pakiety SDK

  • Aplikacja z pakietem SDK, który zbiera dane osobowe i poufne użytkowników, nie traktuje ich jako podlegających tym zasadom dotyczącym danych użytkownika, wymaganiom związanym z dostępem do danych, postępowaniem z nimi (w tym niedozwoloną sprzedażą), a także wymogom zamieszczenia powiadomienia o zbieraniu danych i uzyskania zgody użytkowników.
  • Aplikacja zintegrowana z pakietem SDK, który domyślnie zbiera dane osobowe i poufne użytkowników w sposób niezgodny z wymogiem zamieszczenia powiadomienia o zbieraniu danych i uzyskania zgody użytkowników.
  • Aplikacja z pakietem SDK, który według deklaracji zbiera dane osobowe i poufne użytkowników tylko w celu zapobiegania oszustwom i nadużyciom, ale w rzeczywistości udostępnia te dane również innym podmiotom na potrzeby reklam i analizy.
  • Aplikacja zawierająca pakiet SDK, który przesyła informacje o pakietach zainstalowanych przez użytkowników w sposób niezgodny z wymogiem zamieszczenia powiadomienia o zbieraniu danych oraz polityką prywatności

Dodatkowe wymagania związane z dostępem do danych osobowych i poufnych

Tabela poniżej zawiera wymagania związane z określonymi działaniami.

Działanie  Wymóg
Aplikacja zbiera lub łączy trwałe identyfikatory urządzenia (np. IMEI, IMSI, numer seryjny karty SIM itp.).

Zabraniamy łączenia trwałych identyfikatorów urządzenia z danymi osobowymi i poufnymi użytkownika oraz resetowalnymi identyfikatorami urządzeń. Wyjątek stanowią te przypadki:

  • świadczenie usług telefonicznych powiązanych z kartą SIM (np. do połączeń przez Wi-Fi przypisanych do konta operatora) lub
  • firmowe aplikacje do zarządzania urządzeniami, które działają w trybie właściciela.

Zgodnie z zasadami dotyczącymi danych użytkowników musisz wyraźnie poinformować użytkowników o tych zastosowaniach.

Informacje o alternatywnych unikalnych identyfikatorach znajdziesz tutaj.

Zapoznaj się z zasadami dotyczącymi reklam, w których znajdują się dodatkowe wytyczne odnośnie do identyfikatora wyświetlania reklam na Androidzie.
Aplikacja jest skierowana do dzieci. Aplikacja może zawierać tylko pakiety SDK, które zostały samodzielnie certyfikowane do użytku w usługach skierowanych do dzieci. Pełną treść zasad i wymagania znajdziesz na stronie Program samodzielnej certyfikacji pakietów SDK do wyświetlania reklam dla rodzin.

 

Przykłady naruszeń spowodowanych przez pakiety SDK

  • Aplikacja używająca pakietu SDK, który łączy identyfikator Androida z lokalizacją.
  • Aplikacja z pakietem SDK, który łączy AAID z trwałymi identyfikatorami urządzeń do jakichkolwiek celów związanych z reklamami lub analizą.
  • Aplikacja używająca pakietu SDK, który łączy AAID z adresami e-mail na potrzeby analizy.

Sekcja Bezpieczeństwo danych

Wszyscy deweloperzy muszą podać w sekcji Bezpieczeństwo danych dokładne i jednoznaczne informacje dotyczące każdej aplikacji, wyszczególniając przypadki zbierania, wykorzystywania i udostępniania danych użytkownika. Obejmuje to dane zbierane i przetwarzane przy użyciu zewnętrznych bibliotek lub pakietów SDK używanych w aplikacjach. Deweloper odpowiada za prawidłowe oznaczenie i aktualizowanie tych danych. Tam, gdzie ma to zastosowanie, ta sekcja musi być spójna z oświadczeniami zamieszczonymi w polityce prywatności aplikacji.

Dodatkowe informacje na temat wypełniania sekcji Bezpieczeństwo danych znajdziesz w tym artykule w Centrum pomocy.

Zobacz pełne zasady dotyczące danych użytkownika.

Zasady dotyczące uprawnień i interfejsów API z dostępem do informacji poufnych

Prośby dotyczące uprawnień i interfejsów API z dostępem do informacji poufnych powinny być zrozumiałe dla użytkowników. Możesz prosić tylko o uprawnienia i stosowanie interfejsów API z dostępem do informacji poufnych, które są konieczne do zaimplementowania bieżących funkcji lub usług wymienionych w informacjach o aplikacji w Google Play. Nie możesz używać uprawnień ani interfejsów API z dostępem do informacji poufnych, które przyznają dostęp do danych użytkownika lub urządzenia, na potrzeby funkcji lub działań, które są nieujawnione, niezaimplementowane albo niedozwolone. Nigdy nie wolno sprzedawać ani udostępniać w celu sprzedaży danych osobowych ani poufnych, do których dostęp jest uzyskiwany po udzieleniu uprawnień lub przez interfejs API z dostępem do informacji poufnych.

Zobacz pełne zasady dotyczące uprawnień i interfejsów API z dostępem do informacji poufnych.

Przykłady naruszeń spowodowanych przez pakiety SDK

  • Aplikacja zawierająca pakiet SDK, który prosi o dostęp do lokalizacji w tle w niedozwolonym lub nieznanym celu.
  • Aplikacja zawierająca pakiet SDK, który bez zgody użytkownika przesyła numer IMEI uzyskany za pomocą uprawnienia read_phone_state na Androidzie.
Zasady dotyczące złośliwego oprogramowania

Nasze zasady dotyczące złośliwego oprogramowania są proste: ekosystem Androida, łącznie ze Sklepem Google Play, oraz urządzenia użytkowników powinny być wolne od złośliwych działań (wykonywanych m.in. przez złośliwe oprogramowanie). Kierując się tą podstawową zasadą, staramy się zapewnić użytkownikom i ich urządzeniom z Androidem bezpieczny ekosystem.

Złośliwe oprogramowanie to każdy kod, który mógłby narazić na ryzyko użytkownika, jego dane lub urządzenie. Do tego typu oprogramowania zaliczamy między innymi potencjalnie szkodliwe aplikacje, pliki binarne i modyfikacje platformy, wśród których wyróżniamy kategorie takie jak konie trojańskie, phishing czy aplikacje szpiegowskie – lista tych kategorii jest cały czas aktualizowana.

Zobacz pełne zasady dotyczące złośliwego oprogramowania.

Przykłady naruszeń spowodowanych przez pakiety SDK

  • Aplikacja, która nie jest zgodna z modelem uprawnień Androida lub wykrada dane logowania (na przykład tokeny OAuth) z innych aplikacji.
  • Aplikacje, które nadużywają różnych funkcji, by uniemożliwić ich odinstalowanie lub zatrzymanie.
  • Aplikacja, która wyłącza SELinux.
  • Aplikacja zawierająca pakiet SDK, który działa niezgodnie z modelem uprawnień Androida, uzyskując w nieznanym celu podwyższone uprawnienia przez dostęp do danych urządzenia.
  • Aplikacja zawierająca pakiet SDK z kodem, który nakłania użytkowników do zakupu subskrypcji lub treści z użyciem płatności przez operatora komórkowego.

Aplikacje eskalujące uprawnienia, które umożliwiają dostęp do roota urządzenia bez pytania użytkownika o zgodę, są klasyfikowane jako aplikacje umożliwiające dostęp do roota.

Zasady dotyczące niechcianego oprogramowania mobilnego

Przejrzyste zachowanie i jednoznaczne informacje

Cały kod powinien być zgodny z tym, co deweloper obiecał użytkownikom. Aplikacje powinny mieć wszystkie opisywane funkcje. Aplikacje nie mogą wprowadzać użytkowników w błąd.

Przykłady naruszenia zasad:

  • oszustwo reklamowe,
  • inżynieria społeczna.

Ochrona danych użytkownika

Jasno i zrozumiale informuj użytkowników o dostępie do danych osobowych i poufnych oraz ich używaniu, gromadzeniu i udostępnianiu. Wykorzystując dane użytkownika, musisz przestrzegać wszystkich obowiązujących zasad dotyczących danych użytkownika i podejmować odpowiednie środki, aby chronić te dane.

Przykłady naruszenia zasad:

  • zbieranie danych (program szpiegowski),
  • nadużycie uprawnień z ograniczeniami.

Zobacz pełne zasady dotyczące niechcianego oprogramowania mobilnego.

Zasady dotyczące nadużywania urządzeń lub sieci

Zabraniamy publikowania aplikacji, które zakłócają działanie lub powodują uszkodzenie urządzenia użytkownika, innych urządzeń bądź komputerów, serwerów, sieci, interfejsów programowania aplikacji (API) czy usług albo uzyskują do nich nieautoryzowany dostęp. Dotyczy to m.in. innych aplikacji na urządzeniu, wszelkich usług Google oraz autoryzowanych sieci operatorów komórkowych.

Aplikacje lub kod innej firmy (np. SDK) z interpretowanymi językami (JavaScript, Python, Lua itp.) ładowanymi podczas działania (np. niespakowanymi z aplikacją) nie mogą dopuszczać do potencjalnych naruszeń zasad Google Play.

Zabraniamy wykorzystywania kodu, który wprowadza lub wykorzystuje luki w zabezpieczeniach. Zapoznaj się z naszym Programem ulepszania zabezpieczeń aplikacji, aby dowiedzieć się, jakie problemy z zabezpieczeniami zostały ostatnio zgłoszone deweloperom.

Zobacz pełne zasady dotyczące nadużywania urządzeń lub sieci.

Przykłady naruszeń spowodowanych przez pakiety SDK

  • Aplikacje umożliwiające osobom trzecim dostęp do usług przez serwery proxy mogą działać w ten sposób tylko wtedy, gdy jest to ich główna funkcja widoczna dla użytkowników.
  • Aplikacja zawierająca pakiet SDK, który pobiera kod wykonywalny (np. pliki .dex lub kod natywny) ze źródeł innych niż Google Play.
  • Aplikacja zawierająca pakiet SDK z komponentem WebView z dodanym interfejsem JavaScript, który wczytuje niezaufane treści internetowe (np. adres URL HTTP) lub niezweryfikowane adresy URL uzyskane z niezaufanych źródeł (np. adresy URL z niezaufanych intencji).
  • Aplikacja z pakietem SDK, który zawiera kod służący do aktualizowania jego pliku APK.
  • Aplikacja zawierająca pakiet SDK, który naraża użytkowników na zagrożenia, pobierając pliki przez niezabezpieczone połączenie.
  • Aplikacja używająca pakietu SDK, który zawiera kod umożliwiający pobieranie lub instalowanie aplikacji z nieznanych źródeł poza Google Play.
Zasady dotyczące działań wprowadzających w błąd

Zabraniamy publikowania aplikacji, które mogą wprowadzać użytkowników w błąd lub umożliwiać nieuczciwe postępowanie, w tym m.in. aplikacji, których działanie uznano za niemożliwe. Aplikacje muszą zawierać, opisywać i prezentować za pomocą zdjęć lub filmów swój sposób działania we wszystkich częściach metadanych. Nie mogą naśladować funkcji ani ostrzeżeń systemu operacyjnego lub innych aplikacji. Wszelkie zmiany w ustawieniach urządzenia muszą być wprowadzane za wiedzą i zgodą użytkownika. Powinny też dać się cofnąć.

Zobacz pełne zasady dotyczące nieuczciwych praktyk.

Przejrzystość działania

Funkcja Twojej aplikacji powinna być wystarczająco jasna dla użytkowników. Nie należy stosować np. jakichkolwiek ukrytych, uśpionych ani nieudokumentowanych funkcji. Nie zezwalamy na używanie technik służących uniknięciu sprawdzenia aplikacji. Aby zapewnić bezpieczeństwo użytkowników, integralność systemu i zgodność z zasadami, możemy poprosić deweloperów o dodatkowe informacje.

Przykład naruszenia spowodowanego przez SDK

  • Twoja aplikacja zawiera pakiet SDK, który używa technik służących uniknięciu sprawdzenia aplikacji.

Które zasady dla deweloperów Google Play są najczęściej związane z naruszeniami spowodowanymi przez pakiet SDK?

Aby łatwiej określić, czy oprogramowanie firmy zewnętrznej, z którego korzysta Twoja aplikacja, jest zgodne z Zasadami programu dla deweloperów w Google Play, zapoznaj się w całości z tym zasadami:

Choć przypadki niezgodności są częściej związane z wymienionymi powyżej zasadami, trzeba pamiętać, że nieprawidłowy kod SDK może spowodować naruszenie przez aplikację innych zasad, które nie zostały tu opisane. Dbaj o to, aby zawsze i w całości znać aktualne zasady, ponieważ Twoim obowiązkiem jako dewelopera jest zapewnienie używania danych przez pakiet SDK w sposób zgodny z zasadami.

Aby dowiedzieć się więcej, odwiedź nasze Centrum pomocy.

Czy to było pomocne?

Jak możemy ją poprawić?

Potrzebujesz dodatkowej pomocy?

Wykonaj te czynności:

Szukaj
Wyczyść wyszukiwanie
Zamknij wyszukiwanie
Aplikacje Google
Menu główne
10320540895784609545
true
Wyszukaj w Centrum pomocy
true
true
true