SDK-krav

Apputvecklare använder ofta en kod från tredje part (till exempel ett SDK) för att integrera viktiga funktioner och tjänster i sina appar. När du använder ett SDK i din app måste du se till att du håller användarna och appen skyddade från sårbarheter. I det här avsnittet går vi igenom hur några av våra befintliga krav på integritet och säkerhet gäller för användningen av SDK:er. Kraven är framtagna för att hjälpa utvecklare att integrera SDK:er i sina appar på ett säkert sätt.

Om du använder ett SDK i appen ansvarar du för att den tredje partens kod och praxis inte leder till överträdelser av Google Plays programpolicyer för utvecklare i appen. Det är viktigt att du är medveten om hur SDK:erna i appen hanterar användaruppgifter och att du vet vilka behörigheter som används, vilken data som samlas in och varför.  Tänk på att SDK:er måste samla in och hantera användaruppgifter på ett sätt som följer appens användning av uppgifterna i fråga enligt policyn.

Se till att du har läst och förstått de följande policyerna i sin helhet och notera några av de befintliga kraven som gäller för SDK:er nedan så att din användning av SDK:er inte bryter mot policykraven.

Policy för användaruppgifter

Du måste vara tydlig med hur du hanterar användaruppgifter (till exempel uppgifter som har samlats in från eller om en användare, däribland enhetsinformation). Detta innebär att du ska uppge åtkomst till, insamling, användning, hantering och delning av användaruppgifter i appen och begränsa användningen av uppgifterna till de syften du har angett.

Om du använder kod från tredje part (till exempel ett SDK) i appen måste du se till att koden, och den tredje partens hantering av användaruppgifter, följer Google Plays programpolicy för utvecklare, vilket innefattar krav på användning och redogörelse. Du behöver till exempel se till att dina SDK-leverantörer inte säljer personliga eller känsliga användaruppgifter från appen. Detta krav gäller oavsett om användardatan överförs efter att den skickats till en server eller genom att bädda in koden från tredje part i appen.

Personliga och känsliga användaruppgifter

  • Begränsa åtkomsten till, insamlingen, delningen och användningen av personliga och känsliga användaruppgifter som har inhämtats via appen till app- och tjänstfunktioner samt i policyefterlevnadssyften som användaren har rimlig anledning att förvänta sig:
    • Appar som utökar användningen av personliga och känsliga användaruppgifter för att visa annonser måste följa Google Plays annonspolicy.
  • Hantera alla personliga och känsliga användaruppgifter på ett säkert sätt, till exempel genom att överföra dem med moderna krypteringsmetoder (till exempel via HTTPS).
  • Be om körningsbehörigheter om möjligt innan du kommer åt data som skyddas av Android-behörigheter.

Försäljning av personliga och känsliga användaruppgifter

Sälj inte personliga och känsliga användaruppgifter.

  • Med ”försäljning” menas utbytet eller överföringen av personliga eller känsliga användaruppgifter till en tredje part i monetärt syfte.
    • Användarinitierad överföring av personliga och känsliga användaruppgifter (till exempel när användaren använder en funktion i appen för att överföra en fil till tredje part eller när användaren väljer att använda en undersökningsapp med ett dedikerat syfte) anses inte vara försäljning.

Krav på tydlig redogörelse och samtycke

I de fall där appens åtkomst till, insamling, användning eller delning av personliga och känsliga användaruppgifter kanske inte faller inom vad användaren rimligen förväntar sig av produkten eller funktionen i fråga måste du uppfylla kraven om tydlig redogörelse och samtycke i policyn för användaruppgifter.

Om appen använder kod från tredje part (till exempel ett SDK) som är utformad för att samla in personlig och känslig användardata som standard måste du, inom två veckor från att du erhållit en begäran från Google Play (eller om Google Plays begäran tillhandahåller en längre tidsperiod inom den tidsperioden) tillhandahålla tillräckligt bevis på att appen uppfyller kraven på tydlig redogörelse och samtycke enligt denna policy. Detta gäller även med avseende på åtkomst till, insamling, användning eller delning av data via kod från tredje part.

Tänk på att se till att koden från tredje part (till exempel ett SDK) inte leder till att appen bryter mot policyn för användaruppgifter.

Du hittar mer information om kraven på tydlig redogörelse och samtycke i den här artikeln i hjälpcentret.

Exempel på överträdelser orsakade av SDK:er

  • Appar med ett SDK som samlar in personliga och känsliga användaruppgifter och inte behandlar uppgifterna som att de omfattas av denna policy för användaruppgifter och kraven på tydlig redogörelse och samtycke för åtkomst och datahantering (inklusive otillåten försäljning).
  • Appar med ett integrerat SDK som samlar in personliga och känsliga användaruppgifter som standard och bryter mot kraven om användarsamtycke och tydlig redogörelse i den här policyn. 
  • Appar med ett SDK som förespeglas samla in personliga och känsliga användaruppgifter i syfte att förhindra bedrägeri och otillåten användning i appen, men som även delar uppgifterna som samlas in med tredje part i annons- eller analyssyfte. 
  • Appar som använder ett SDK som överför information om användarnas installerade paket utan att uppfylla riktlinjerna om tydlig redogörelse och/eller integritetspolicyn

Ytterligare krav för åtkomst till personliga och känsliga användaruppgifter

I tabellen nedan anges kraven för specifika aktiviteter.

Aktivitet  Krav
Appen samlar in eller länkar till beständiga enhetsidentifierare (t.ex. IMEI-kod, IMSI, serienummer för SIM-kort osv.)

Det är inte tillåtet att länka beständiga enhetsidentifierare till personliga eller känsliga användaruppgifter eller enhetsidentifierare som kan återställas, förutom i följande användningsfall:

  • Telefoni som är kopplad till en identitet för ett SIM-kort (t.ex. wifi-telefoni som är kopplad till ett konto hos en operatör).
  • Appar för enhetshantering för företag som använder enhetsägarläge.

Denna användning måste anges tydligt för användarna i enlighet med specifikationen i policyn om användaruppgifter.

Läs mer om andra unika identifierare i den här resursen.

I annonspolicyn finns ytterligare riktlinjer om Androids reklam-id.
Appen riktar sig till barn Appen kanske bara har SDK:er som är självcertifierade för användning i tjänster som riktar sig till barn. Du kan läsa hela policyn och alla kraven i programmet för självcertifierade annons-SDK:er för familjer

 

Exempel på överträdelser orsakade av SDK:er

  • Appar som använder ett SDK som länkar Android-id till plats 
  • Appar med ett SDK som kopplar AAID till beständiga enhetsidentifierare i annons- eller analyssyfte. 
  • Appar som använder ett SDK som kopplar AAID till e-postadresser i analyssyfte.

Avsnitt om datasäkerhet

Alla utvecklare måste fylla i avsnittet om datasäkerhet för varje app tydligt och korrekt och ange information om insamling, användning och delning av användaruppgifter. Detta inbegriper data som samlas in och hanteras via tredjepartsbibliotek eller SDK:er som används i apparna. Utgivaren är ansvarig för att informationen i märkningen stämmer och hålls uppdaterad. Där det är tillämpligt måste avsnittet om datasäkerhet överensstämma med meddelandena i appens integritetspolicy.

Du hittar mer information om hur du fyller i avsnittet om datasäkerhet i den här artikeln i hjälpcentret.

Läs hela policyn för användaruppgifter.
Policyn för behörigheter och API:er med åtkomst till känsliga uppgifter

Förfrågningar om behörighet och API:er med åtkomst till känsliga uppgifter ska vara begripliga för användarna. Du får endast begära behörigheter och API:er med åtkomst till känsliga uppgifter om de krävs för att befintliga funktioner och tjänster i appen som står med i butiksuppgifterna på Google Play ska kunna implementeras. Du får inte använda behörigheter eller API:er med åtkomst till känsliga uppgifter som ger åtkomst till användaruppgifter eller enhetsinformation för syften som inte har uppgetts, inte har implementerats eller inte är tillåtna. Personliga och känsliga uppgifter som du får åtkomst till via behörigheter eller API:er med åtkomst till känsliga uppgifter får aldrig säljas eller delas i syfte att underlätta försäljning.

Läs hela policyn för behörigheter och API:er med åtkomst till känsliga uppgifter.

Exempel på överträdelser orsakade av SDK:er

  • Appen använder ett SDK som begär åtkomst till plats i bakgrunden för otillåtna eller okända syften. 
  • Appen använder ett SDK som överför IMEI-kod som härrör från Android-behörigheten read_phone_state utan användarens samtycke.
Policy om skadlig programvara
Vår policy om skadlig kod är enkel: ingen skadlig kod ska finnas på Google Play Butik, i användarnas enheter eller resten av Androids ekosystem. Utifrån denna grundläggande princip strävar vi efter att Androids ekosystem ska vara säkert för användarna och deras Android-enheter.

 All kod som kan utgöra en risk för användare, användarnas data eller enheter räknas som skadlig kod. Skadlig kod omfattar men är inte begränsat till potentiellt skadliga appar, binärfiler eller modifiering av ramverk inom kategorier som trojaner, nätfiske och spionprogram. Vi uppdaterar ständigt listan och lägger till nya kategorier.

Kraven i denna policy gäller även för all kod från tredje part (t.ex. ett SDK) som du inkluderar i appen.

Läs hela policyn om skadlig programvara.

Exempel på överträdelser orsakade av SDK:er

  • Appar som använder SDK-bibliotek från leverantörer som distribuerar skadlig mjukvara.
  • Appar som inte följer Androids behörighetsmodell eller stjäl användaruppgifter (till exempel OAuth-token) från andra appar.
  • Appar som utnyttjar funktioner på otillåtna sätt så att det inte går att stoppa eller avinstallera dem.
  • Appar som inaktiverar SELinux.
  • Appar som använder ett SDK som bryter mot Androids behörighetsmodell genom att skaffa sig förhöjda behörigheter med hjälp av åtkomst till enhetsdata i okänt syfte.
  • Appar som använder ett SDK med kod som lurar användarna att prenumerera eller köpa innehåll via telefonräkningen.

Appar som eskalerar behörigheter för att kunna roota enheter utan användarens tillstånd klassificeras som rootningsappar.

Spionprogram

Spionprogram är skadliga appar, skadlig kod eller skadligt beteende som samlar in, stjäl eller delar användaruppgifter eller enhetsdata som inte rör funktioner som är tillåtna enligt policy.

Skadlig kod eller skadligt beteende som kan betraktas som spionage på användaren eller stöld av data utan lämpligt meddelande eller samtycke anses också vara spionprogram.

Läs hela policyn för spionprogram.

Spionprogramsöverträdelser som orsakas av SDK omfattar men är inte begränsade till följande:

  • appar som använder ett SDK som överför data från ljud- eller samtalsinspelningar när det inte har någon koppling till appfunktioner som tillåts enligt policyn
  • appar med skadlig kod från tredje part (t.ex. ett SDK) som överför data från enheten på ett sätt som inte förväntas av användaren och/eller utan lämpligt meddelande eller samtycke.
Policy för oönskad programvara på mobila enheter

Insyn och tydlig redogörelse

All kod ska uppfylla de löften som ges till användaren. Appar ska tillhandahålla alla angivna funktioner. Appar ska inte förvirra användare. 

Exempel på överträdelser:

  • Annonsbedrägeri
  • Social manipulering

Skydda användaruppgifter

Var tydlig med hur du kommer åt, använder, samlar in och delar personliga och känsliga användaruppgifter. Användningen av användaruppgifter måste iaktta alla relevanta policyer om användaruppgifter, om tillämpliga, och vidta alla försiktighetsåtgärder i syfte att skydda sådana uppgifter.

Exempel på överträdelser:

  • Datainsamling (se Spionprogram)
  • Otillåten användning av begränsade behörigheter

Läs hela policyn om oönskad programvara på mobila enheter
Policy för otillåten användning av enheter och nätverk

Vi tillåter inte appar som stör, skadar eller på ett otillåtet sätt får åtkomst till användarens enhet, andra enheter eller datorer, servrar, nätverk, programmeringsgränssnitt (API:er) eller tjänster, inklusive men utan begränsning till andra appar på enheten, Googles tjänster eller en auktoriserad operatörs nätverk.

Appar eller kod från tredje part (t.ex. SDK:er) med interpreterat språk (JavaScript, Python, Lua osv.) som läses in medan de körs (t.ex. om de inte paketerats med appen) får inte möjliggöra eventuella överträdelser av Google Plays policyer.

Vi tillåter inte kod som introducerar eller utnyttjar säkerhetsbrister. Kolla in programmet Förbättring av appsäkerhet om du vill veta mer om de senaste säkerhetsproblemen som har flaggats för utvecklare.

Läs hela policyn för otillåten användning av enheter och nätverk.

Exempel på överträdelser orsakade av SDK:er

  • Appar som underlättar proxytjänster till tredje part får endast göra så om detta är appens primära och grundläggande syfte som visas för användarna.
  • Appen använder ett SDK som laddar ned körbar kod, till exempel dex-filer eller processorkompilerad kod, från en annan källa än Google Play.
  • Appen använder ett SDK som har en WebView med ett JavaScript-gränssnitt som läser in osäkert webbinnehåll (t.ex. webbadresser som börjar på http://) eller overifierade webbadresser från osäkra källor (t.ex webbadresser som tillhandahålls av osäkra intent).
  • Appen använder ett SDK som innehåller kod för att uppdatera sin egen APK-fil.
  • Appen använder ett SDK som utsätter användarna för säkerhetssårbarheter genom att ladda ned filer via osäkra anslutningar.
  • Appen använder ett SDK som innehåller kod för att ladda ned eller installera appar från okända källor utanför Google Play.
  • Appen använder ett SDK som använder förgrundstjänster utan lämpligt användningsfall.
  • Appen använder ett SDK som använder förgrundstjänster i enlighet med policyn, men det har inte deklarerats i appens manifest.
Policy för vilseledande funktioner

Vi tillåter inte appar som försöker vilseleda användare eller möjliggör ohederligt beteende. Detta omfattar men är inte begränsat till appar som bedöms innehålla funktioner som är tekniskt omöjliga. Appar ska ha en korrekt redogörelse, beskrivning och bilder eller video av hur funktionerna fungerar i alla delar av metadatan. Appar får inte imitera funktioner eller varningar från operativsystem eller andra appar. Eventuella ändringar i enhetsinställningar måste göras med användarens vetskap och samtycke och kunna återställas av användaren.

Läs hela policyn om vilseledande funktioner.

Beteendeinsyn

Appens funktion ska vara rimligt tydlig för användarna. Inkludera inga dolda, inaktiva eller odokumenterade funktioner i appen. Tekniker för att undvika appgranskningar tillåts inte. Appar måste kanske tillhandahålla ytterligare uppgifter för att säkerställa användarsäkerhet, systemintegritet och policyefterlevnad.

Exempel på en överträdelse orsakad av ett SDK

  • Appen använder ett SDK som använder tekniker för att undvika appgranskningar.

Vilka av Google Plays utvecklarpolicyer utsätts mest för överträdelser orsakade av SDK:er?

Som en hjälp för dig att säkerställa att all kod från tredje part som används i din app följer Google Plays programpolicy för utvecklare bör du läsa följande policyer i sin helhet:

De här policyerna bryts det mest emot, men det är viktigt att tänka på att dålig SDK-kod kan leda till att din app bryter mot andra policyer som inte nämns ovan. Kom ihåg att läsa och hålla dig uppdaterad om alla policyer i deras helhet. Det är ditt ansvar som apputvecklare att se till att SDK:erna du använder hanterar appdata på ett sätt som efterlever policyerna.

Du kan läsa mer i vårt hjälpcenter.

Var det här till hjälp?

Hur kan vi förbättra den?

Behöver du mer hjälp?

Testa detta härnäst:

Kontakta oss Berätta mer så hjälper vi dig
true
Sök
Rensa sökning
Stäng sökrutan
Googles appar
Huvudmeny
3394547378474712441
true
Sök i hjälpcentret
true
true
true
true
true
92637
false
false
false
false