Требования к SDK

Разработчики приложений часто используют сторонний код (например, SDK), чтобы интегрировать важные функции и сервисы в свои продукты. Включая SDK в приложение, важно убедиться, что безопасность пользователей не пострадает и в коде не появятся новые уязвимости. В этом разделе мы объясним, как некоторые из наших актуальных требований к конфиденциальности и безопасности применяются в отношении SDK и каким образом они должны помогать разработчикам безопасно интегрировать SDK в приложения.

Если вы хотите добавить сторонний SDK, то должны убедиться в том, что его код и реализованные в нем процессы не нарушают Правила программы для разработчиков приложений в Google Play. Важно знать, как SDK в приложении обрабатывают пользовательские данные. Кроме того, следует понимать, какие разрешения они используют, какие сведения собирают и почему. Помните о том, что сбор и обработка пользовательских данных со стороны SDK должны соответствовать политике приложения.

Чтобы не допустить нарушений, изучите весь текст следующих правил и обратите внимание на актуальные требования в отношении SDK, которые приведены ниже.

Правила в отношении пользовательских данных

К данным пользователя относятся сведения, предоставленные им, а также полученные в ходе его работы, в том числе информация об устройстве. Обязательно сообщите, как и для чего вы будете собирать, обрабатывать и использовать эти данные, а также получать и предоставлять к ним доступ. Использовать такую информацию в целях, о которых вы не заявили, запрещено.

Если в вашем приложении используется сторонний код (например, SDK), убедитесь, что он сам и реализованные в нем процессы обработки пользовательских данных соответствуют Правилам программы для разработчиков приложений в Google Play, в том числе требованиям об использовании и раскрытии информации. Например, вы должны удостовериться, что поставщик SDK не продает личные и конфиденциальные данные пользователя, полученные из вашего приложения. Это требование применяется вне зависимости от того, как будут переданы пользовательские данные: после отправки на сервер или в результате внедрения стороннего кода в ваше приложение.

Личные и конфиденциальные пользовательские данные

  • Ограничивайте доступ к личным и конфиденциальным пользовательским данным, полученным через приложение, а также их сбор, использование и передачу. Эти действия допускаются только для предоставления функций сервиса или приложения, а также в целях, соответствующих правилам и не нарушающих обоснованные ожидания пользователей.
    • Приложения, использующие личные и конфиденциальные пользовательские данные для показа рекламы, должны соответствовать правилам Google Play по размещению рекламы.
  • Все личные и конфиденциальные данные пользователей должны обрабатываться безопасным образом, в том числе с применением современных методов шифрования, например протокола HTTPS.
  • Прежде чем использовать данные, доступ к которым регулируется разрешениями Android, приложение должно запросить динамическое разрешение (всегда, когда это возможно).

Продажа личных и конфиденциальных пользовательских данных

Не продавайте личные и конфиденциальные пользовательские данные.

  • Продажа подразумевает передачу информации третьим лицам или обмен ею с целью получения денежного дохода.
    • Если свои личные и конфиденциальные данные передает сам пользователь, это не считается продажей. Примеры таких ситуаций: в приложении есть функция для передачи файлов третьим лицам; приложение предназначено для проведения научных исследований, и данные отправляются в этих целях.

Раскрытие информации и разрешение на использование данных

Если ваше приложение собирает, использует, передает личные и конфиденциальные пользовательские данные или получает доступ к ним в целях, которые могут не соответствовать обоснованным ожиданиям пользователей от продукта или функции, необходимо соблюдать требования к раскрытию информации и получению разрешения на использование данных, указанные в правилах в отношении таких данных.

Если в вашем приложении применяется сторонний код (например, SDK), предназначенный для сбора личных и конфиденциальных пользовательских данных, вы должны предоставить достаточные доказательства того, что приложение не нарушает требования из раздела "Раскрытие информации и разрешение на использование данных" настоящих правил. Приложение должно соответствовать, в частности, положениям о доступе к данным, их сборе, использовании и передаче с помощью стороннего кода. Доказательства необходимо отправить в течение двух недель или другого периода (если он указан) после получения запроса от Google Play.

Обязательно удостоверьтесь, что в стороннем коде (например, SDK) не нарушаются правила в отношении пользовательских данных.

С более подробной информацией о требованиях к раскрытию информации и получению согласия пользователей можно ознакомиться в Справочном центре.

Примеры нарушений, вызванных применением SDK

  • Приложение использует SDK, который собирает личные и конфиденциальные пользовательские данные и не обрабатывает их согласно правилам в отношении пользовательских данных, требованиям к раскрытию информации и разрешению на использование данных, а также требованиям в отношении доступа к данным и их обработке (включая запрет на продажу).
  • В приложение интегрирован SDK, который собирает личные и конфиденциальные пользовательские данные по умолчанию, что нарушает требования настоящих правил в отношении получения согласия пользователей и раскрытия информации.
  • Для приложения заявлено, что оно собирает личные и конфиденциальные пользовательские данные только для обеспечения работы функций, защищающих от мошенничества и злоупотреблений, но SDK также передает собранные данные третьим лицам в рекламных целях и для аналитики.
  • Приложение содержит SDK, который передает сведения об установленных пакетах с нарушением рекомендаций по раскрытию информации и/или требований политики конфиденциальности

Дополнительные требования в отношении доступа к личным и конфиденциальным данным

В таблице ниже представлены требования к определенным функциональным особенностям приложений.

Функциональная особенность  Требования
Приложение собирает или связывает постоянные идентификаторы устройств (например, IMEI-коды, номера IMSI, серийные номера SIM-карт и т. д.)

Постоянные идентификаторы устройства не должны быть связаны с личными и конфиденциальными данными пользователя и со сбрасываемыми идентификаторами устройств, за исключением:

  • телефонной связи с помощью SIM-карты (например, для звонков по сети Wi-Fi через оператора связи);
  • корпоративных приложений для управления устройствами, используемых в режиме владельца.

В этих случаях разработчик должен явным образом сообщить пользователям о такой связи в соответствии с правилами в отношении пользовательских данных.

Информацию об альтернативных уникальных идентификаторах можно найти на этой странице.

Дополнительные рекомендации по использованию рекламных идентификаторов Android приведены в правилах размещения рекламы.
Приложение предназначено для детей В приложения разрешено включать только SDK, которые прошли самостоятельную сертификацию для использования в сервисах, предназначенных для детей. Ознакомьтесь с полной версией правил и требований Программы самостоятельной сертификации рекламных SDK в приложениях для всей семьи.

 

Примеры нарушений, вызванных применением SDK

  • Приложение использует SDK, который связывает идентификатор Android и данные о местоположении.
  • Приложение работает с SDK, который связывает рекламный идентификатор Android с постоянными идентификаторами устройства в рекламных целях или для аналитики.
  • В приложение интегрирован SDK, который связывает рекламный идентификатор Android с адресом электронной почты в целях аналитики.

Раздел безопасности данных

Каждое приложение должно содержать раздел безопасности данных, в котором понятно и точно описано, как собираются, используются и передаются пользовательские данные. Это также относится к данным, которые собираются и обрабатываются через сторонние библиотеки или SDK, используемые в приложениях. Разработчик несет ответственность за точность и актуальность такой информации. Сведения в этом разделе должны соответствовать тому, что указано в политике конфиденциальности приложения (если применимо).

Изучите дополнительную информацию о том, как заполнить раздел безопасности данных, в Справочном центре.

Ознакомьтесь также с полной версией правил в отношении пользовательских данных.
Правила использования разрешений и API с доступом к конфиденциальной информации

Запросы на предоставление разрешений и использование API, которые получают доступ к конфиденциальной информации, должны быть понятными для пользователей. Запрашивать разрешения и использовать API, которые получают доступ к конфиденциальной информации, можно только в том случае, если они необходимы для работы уже внедренных функций и сервисов, описанных на странице приложения в Google Play. Нельзя использовать разрешения и API, предоставляющие доступ к данным пользователя или устройства, для функций или целей, которые не отмечены в описании приложения, не реализованы или не разрешены. Личные или конфиденциальные данные, полученные с разрешения пользователя или при помощи таких API, нельзя продавать и передавать с целью последующей продажи ни при каких обстоятельствах.

Ознакомьтесь с полной версией правил использования разрешений и API с доступом к конфиденциальной информации.

Примеры нарушений, вызванных применением SDK

  • В приложение интегрирован SDK, который запрашивает доступ к данным о местоположении в фоновом режиме для запрещенных или незаявленных целей.
  • Приложение использует SDK, который без согласия пользователя передает IMEI-код, полученный с помощью разрешения read_phone_state в Android.
Правила в отношении вредоносного ПО

Основной принцип простой: экосистема Android, включающая Google Play и устройства пользователей, не должна подвергаться воздействию вредоносного ПО. Руководствуясь им, мы стараемся делать экосистему Android безопасной для пользователей и их устройств Android.

Вредоносным ПО считается любой код, который может представлять угрозу для пользователя, а также его данных или устройств. Например, к вредоносному ПО относятся потенциально опасные приложения (ПОП), а также исполняемые файлы и модификации фреймворков, относящиеся к таким категориям, как троянские программы, фишинговое и шпионское ПО. Мы постоянно обновляем этот список и добавляем новые категории.

Ознакомьтесь с полной версией правил в отношении вредоносного ПО.

Примеры нарушений, вызванных применением SDK

  • Приложение нарушает модель разрешений Android или крадет учетные данные (такие, как токены OAuth) из других приложений.
  • Приложение препятствует удалению или остановке функций.
  • Приложение отключает SELinux.
  • Приложение использует SDK, который нарушает модель разрешений Android, получая повышенные привилегии для незаявленной цели благодаря доступу к данным устройства.
  • В приложение интегрирован SDK с кодом, который обманным путем заставляет пользователей приобретать подписки или оплачивать контент через оператора мобильной связи.

Приложения, которые без разрешения пользователя получают root-доступ через повышение привилегий, относятся к категории "Получение root-доступа".
Правила в отношении нежелательного ПО для мобильных устройств

Понятная функциональность и явное раскрытие информации

Любой код должен исполнять всё, что обещано пользователю. Приложения должны выполнять все заявленные функции и не должны вводить пользователей в заблуждение.

Примеры нарушений:

  • мошенничество с рекламой;
  • социальная инженерия.

Защита пользовательских данных

Понятно и подробно расскажите о том, как приложение получает доступ к личным и конфиденциальным данным пользователя, как оно их собирает, использует и передает. При работе с такой информацией необходимо соблюдать все применимые правила в отношении пользовательских данных, а также принимать меры предосторожности для защиты этих сведений.

Примеры нарушений:

  • сбор данных (шпионское ПО);
  • нарушение ограниченных разрешений.

Ознакомьтесь с полной версией правил в отношении нежелательного ПО для мобильных устройств.
Правила в отношении злоупотребления ресурсами устройства и сети

Запрещаются приложения, которые нарушают работу устройства пользователя, других устройств, компьютеров, серверов, сетей, API или сервисов (включая другие приложения на устройстве, сервисы Google и сети операторов связи), а также вмешиваются в их работу, получают несанкционированный доступ к ним или вредят иным образом.

Приложения или сторонний код (например, SDK), использующие интерпретируемые языки (JavaScript, Python, Lua и т. д.), которые загружаются во время работы (а не загружены в приложение изначально), не должны нарушать правила Google Play.

Запрещено использовать код, который создает или использует уязвимости безопасности. Информация о самых актуальных проблемах безопасности содержится в нашей Программе повышения безопасности приложений для разработчиков.

Ознакомьтесь с полной версией правил в отношении злоупотребления ресурсами устройства и сети.

Примеры нарушений, вызванных применением SDK

  • Приложение предоставляет услуги прокси-сервера третьим лицам (кроме случаев, когда это является основной функцией приложения).
  • Приложение использует SDK, который скачивает исполняемый код (например, файлы DEX или нативный код) не из Google Play.
  • В приложение интегрирован SDK, содержащий компонент WebView с интерфейсом JavaScript, который загружает ненадежный веб-контент (например, URL с протоколом HTTP) или непроверенные URL, полученные из сомнительных источников (например, URL из ненадежных объектов Intent).
  • Приложение работает с SDK, который содержит код, используемый для обновления собственного APK.
  • Приложение применяет SDK, который скачивает файлы через незащищенное соединение, чем подвергает риску безопасность пользователя.
  • В приложение интегрирован SDK с кодом, который позволяет скачивать или устанавливать приложения из неизвестных источников вне Google Play.
Правила в отношении введения в заблуждение

Мы запрещаем публиковать приложения, которые пытаются ввести пользователей в заблуждение или способствуют недобросовестной деятельности, включая приложения, заявленные функции которых невозможно реализовать на устройстве. Информация о приложении, его описание, а также фото и видео должны соответствовать его функциональности. Приложения не должны имитировать функции или предупреждения операционной системы и других программ. Любые изменения настроек устройства должны производиться с ведома и согласия пользователя. Кроме того, у пользователя должна быть возможность отменить изменения.

Ознакомьтесь с полной версией правил в отношении введения в заблуждение.

Прозрачность поведения

Пользователям должно быть понятно, что делает ваше приложение. Не используйте в нем скрытые, неактивные или незадокументированные функции. Запрещено пытаться избежать проверки приложений какими-либо способами. Чтобы обеспечить безопасность пользователей, целостность системы и соответствие правилам, может потребоваться дополнительная информация о приложении.

Пример нарушения, связанного с применением SDK

  • В приложение интегрирован SDK, позволяющий избежать проверки приложений.

Какие правила Google Play для разработчиков обычно связаны с нарушениями, вызванными применением SDK?

Удостоверьтесь в том, что весь сторонний код, который использует ваше приложение, соответствует Правилам программы для разработчиков в Google Play. Для этого изучите следующие материалы:

Выше перечислены правила, которые не соблюдаются чаще всего. Однако из-за ненадежного кода SDK ваше приложение может нарушить и другое правило, не вошедшее в этот список. Изучайте правила полностью и следите за их обновлениями. Ведь именно разработчик приложения несет ответственность за то, чтобы SDK обрабатывали данные приложения в соответствии с правилами.

Подробную информацию можно найти в нашем Справочном центре.

Эта информация оказалась полезной?

Как можно улучшить эту статью?

Требуется помощь?

Попробуйте следующее:

Связаться с нами Расскажите о своей проблеме нашим сотрудникам
true
Поиск
Очистить поле поиска
Закрыть поиск
Главное меню
16022739115989211052
true
Поиск по Справочному центру
true
true
true
true
true
92637
false
false