Nhà phát triển thường phải sử dụng mã của bên thứ ba (ví dụ: SDK) để tích hợp các chức năng và dịch vụ quan trọng vào ứng dụng. Khi dùng một SDK trong ứng dụng của mình, bạn cần đảm bảo rằng bạn có thể giữ an toàn cho người dùng cũng như bảo vệ ứng dụng khỏi mọi lỗ hổng. Trong mục này, chúng tôi sẽ mô tả cách một số yêu cầu hiện hành về quyền riêng tư và bảo mật áp dụng với SDK và được thiết kế để giúp nhà phát triển tích hợp SDK vào ứng dụng sao cho an toàn và bảo mật.
Khi dùng một SDK trong ứng dụng của mình, bạn có trách nhiệm đảm bảo rằng mã của bên thứ ba và cách thức hoạt động của SDK đó không khiến ứng dụng vi phạm Chính sách chương trình dành cho nhà phát triển của Google Play. Bạn cần phải nắm rõ cách SDK trong ứng dụng của bạn xử lý dữ liệu người dùng. Bạn cũng cần đảm bảo rằng mình biết các SDK đó dùng những quyền gì, thu thập dữ liệu nào và lý do cho việc thu thập. Lưu ý: cách SDK thu thập và xử lý dữ liệu người dùng phải phù hợp với chính sách mà ứng dụng tuân thủ về việc sử dụng những dữ liệu đó.
Để chắc chắn rằng việc sử dụng SDK của bạn không vi phạm yêu cầu của chính sách, hãy đọc kỹ để hiểu rõ toàn bộ những chính sách dưới đây, đồng thời lưu ý một số yêu cầu hiện hành liên quan đến SDK:
Chính sách dữ liệu người dùngBạn phải minh bạch về cách thức xử lý dữ liệu người dùng (ví dụ: thông tin bạn thu thập về người dùng hoặc do người dùng cung cấp, bao gồm cả thông tin thiết bị). Tức là công bố thông tin về quyền truy cập, thu thập, sử dụng, xử lý và chia sẻ dữ liệu người dùng trên ứng dụng của bạn, cũng như giới hạn phạm vi sử dụng dữ liệu đó cho các mục đích tuân thủ chính sách đã công bố.
Nếu dùng mã của bên thứ ba (ví dụ: SDK) trong ứng dụng, thì bạn phải đảm bảo rằng đoạn mã đó và phương pháp xử lý của bên thứ ba liên quan đến dữ liệu người dùng trong ứng dụng của bạn cũng phải tuân thủ Chính sách chương trình dành cho nhà phát triển của Google Play (bao gồm cả các yêu cầu về việc sử dụng và công bố thông tin). Ví dụ: bạn phải đảm bảo rằng các nhà cung cấp SDK của bạn không bán dữ liệu riêng tư và nhạy cảm của người dùng lấy qua ứng dụng của bạn. Yêu cầu này áp dụng bất kể dữ liệu người dùng được chuyển sau khi được gửi đến máy chủ, hay bằng cách nhúng mã của bên thứ ba vào ứng dụng của bạn.
Dữ liệu cá nhân và nhạy cảm của người dùng
Bán dữ liệu riêng tư và nhạy cảm của người dùngKhông được bán dữ liệu riêng tư và nhạy cảm của người dùng.
Yêu cầu về sự đồng ý và thông tin công bố nổi bậtTrong trường hợp hoạt động truy cập, thu thập, sử dụng hoặc chia sẻ dữ liệu riêng tư và nhạy cảm của người dùng trong ứng dụng có thể không như mong đợi chính đáng của người dùng sản phẩm hoặc tính năng liên quan, bạn phải đáp ứng những yêu cầu về sự đồng ý và thông tin công bố nổi bật trong Chính sách dữ liệu người dùng. Nếu ứng dụng của bạn tích hợp đoạn mã của bên thứ ba (ví dụ: SDK) được thiết kế để thu thập dữ liệu riêng tư và nhạy cảm của người dùng theo mặc định, thì trong vòng 2 tuần kể từ khi nhận được yêu cầu của Google Play (hoặc nếu yêu cầu của Google Play đề xuất khoảng thời gian dài hơn, trong khoảng thời gian đó), bạn phải cung cấp đầy đủ bằng chứng chứng minh rằng ứng dụng của bạn đáp ứng các Yêu cầu về sự đồng ý và thông tin công bố nổi bật theo chính sách này, bao gồm cả hoạt động truy cập, thu thập, sử dụng hoặc chia sẻ dữ liệu qua mã của bên thứ ba. Bạn cần phải đảm bảo rằng việc sử dụng đoạn mã của bên thứ ba (ví dụ: SDK) không khiến ứng dụng của bạn vi phạm Chính sách dữ liệu người dùng. Tham khảo bài viết này trong Trung tâm trợ giúp để biết thêm thông tin về Yêu cầu về sự đồng ý và thông tin công bố nổi bật Ví dụ về trường hợp vi phạm do SDK gây ra
Yêu cầu bổ sung về hoạt động Truy cập dữ liệu riêng tư và nhạy cảmBảng dưới đây mô tả yêu cầu đối với một số hoạt động cụ thể.
Ví dụ về trường hợp vi phạm do SDK gây ra
Mục An toàn dữ liệuCác nhà phát triển phải hoàn tất nội dung trong mục An toàn dữ liệu một cách rõ ràng và chính xác cho mọi ứng dụng, trong đó nêu chi tiết việc thu thập, sử dụng và chia sẻ dữ liệu của người dùng. Thông tin này bao gồm cả dữ liệu được thu thập và xử lý thông qua thư viện hoặc SDK của bên thứ ba mà các ứng dụng sử dụng. Nhà phát triển chịu trách nhiệm về tính chính xác của thông tin trong mục An toàn dữ liệu và phải đảm bảo rằng thông tin này luôn được cập nhật kịp thời. Nếu thích hợp, thông tin trong mục này phải nhất quán với thông tin công bố trong chính sách quyền riêng tư của ứng dụng. Vui lòng tham khảo bài viết này trong Trung tâm trợ giúp để biết thêm thông tin về cách hoàn tất nội dung trong Mục An toàn dữ liệu. Xem nội dung toàn bộ Chính sách dữ liệu người dùng. |
||||||
Yêu cầu cấp các quyền và API truy cập thông tin nhạy cảm phải hợp lý đối với người dùng. Bạn chỉ được yêu cầu cấp các quyền và API này khi đó là yêu cầu cần thiết để triển khai các tính năng hay dịch vụ hiện có (mà bạn đã quảng bá trong trang thông tin trên Google Play) trong ứng dụng của mình. Bạn không được sử dụng quyền hoặc API truy cập thông tin nhạy cảm (có thể giúp bạn truy cập vào dữ liệu thiết bị hoặc dữ liệu người dùng) nhằm phục vụ các tính năng hay mục đích chưa công bố, chưa triển khai hoặc không được phép. Trong mọi trường hợp, bạn không được bán hoặc chia sẻ nhằm mục đích bán đối với dữ liệu riêng tư hoặc nhạy cảm mà bạn truy cập được bằng các quyền hoặc API truy cập thông tin nhạy cảm. Xem toàn bộ Chính sách về các quyền và API truy cập thông tin nhạy cảm. Ví dụ về trường hợp vi phạm do SDK gây ra
|
Phần mềm độc hại là các mã có thể gây rủi ro cho người dùng, dữ liệu của người dùng hoặc thiết bị. Phần mềm độc hại bao gồm nhưng không chỉ gồm những ứng dụng có khả năng gây hại (PHA), tệp nhị phân hoặc nội dung chỉnh sửa khung ứng dụng. Có nhiều loại phần mềm độc hại, chẳng hạn như phần mềm trojan, phần mềm lừa đảo và ứng dụng gián điệp. Chúng tôi không ngừng cập nhật và bổ sung danh mục các loại phần mềm độc hại mới.
Xem toàn bộ Chính sách về phần mềm độc hại.
Ví dụ về trường hợp vi phạm do SDK gây ra
- Ứng dụng chứa thư viện SDK của những nhà cung cấp phân phối phần mềm độc hại.
- Ứng dụng vi phạm mô hình quản lý quyền của Android hoặc đánh cắp thông tin xác thực (như mã thông báo OAuth) của các ứng dụng khác.
- Ứng dụng lợi dụng các tính năng để ngăn người dùng gỡ cài đặt hoặc vô hiệu hóa ứng dụng.
- Ứng dụng vô hiệu hoá SELinux.
- Ứng dụng dùng một SDK vi phạm mô hình quản lý quyền của Android bằng cách truy cập vào dữ liệu của thiết bị để chiếm lấy đặc quyền cấp cao cho một mục đích chưa được công bố.
- Ứng dụng dùng một SDK có đoạn mã đánh lừa người dùng đăng ký hoặc mua nội dung qua phương thức thanh toán qua mạng di động của họ.
Nếu sở hữu đặc quyền cấp cao để can thiệp vào hệ thống của thiết bị khi chưa được người dùng cho phép, ứng dụng sẽ được phân loại là ứng dụng can thiệp hệ thống.
Phần mềm gián điệp
Phần mềm gián điệp là một ứng dụng, đoạn mã hoặc hành vi độc hại thu thập, trích xuất hoặc chia sẻ dữ liệu người dùng hoặc dữ liệu thiết bị không liên quan đến chức năng tuân thủ chính sách.
Đoạn mã hoặc hành vi độc hại nào có thể bị coi là có hành vi theo dõi người dùng hoặc trích xuất dữ liệu mà không có thông báo hoặc sự đồng ý đầy đủ cũng sẽ bị xem là phần mềm gián điệp.
Xem toàn bộ Chính sách về phần mềm gián điệp.
Ví dụ: trường hợp vi phạm về phần mềm gián điệp do SDK gây ra bao gồm nhưng không giới hạn ở:
- Ứng dụng dùng một SDK truyền dữ liệu từ bản âm thanh hoặc ghi âm cuộc gọi khi dữ liệu đó không liên quan đến chức năng tuân thủ chính sách của ứng dụng.
- Ứng dụng có đoạn mã độc hại của bên thứ ba (ví dụ: SDK) truyền dữ liệu ra khỏi thiết bị theo cách mà người dùng không ngờ tới và/hoặc không có thông báo hoặc sự đồng ý đầy đủ của người dùng.
Hành vi minh bạch và công bố rõ ràngTất cả các mã phải thực hiện những nội dung đã cam kết với người dùng. Ứng dụng cần cung cấp tất cả chức năng đã quảng cáo. Ứng dụng không được khiến người dùng nhầm lẫn. Ví dụ về trường hợp vi phạm:
Bảo vệ dữ liệu người dùngHãy rõ ràng và minh bạch về việc truy cập, sử dụng, thu thập và chia sẻ dữ liệu cá nhân và nhạy cảm của người dùng. Việc sử dụng dữ liệu của người dùng phải tuân thủ tất cả Chính sách về dữ liệu của người dùng có liên quan (nếu có), đồng thời, bạn phải thực hiện mọi biện pháp phòng ngừa để bảo vệ dữ liệu của người dùng. Ví dụ về trường hợp vi phạm:
Xem toàn bộ Chính sách về phần mềm không mong muốn trên thiết bị di động |
Chúng tôi không cho phép các ứng dụng can thiệp, làm gián đoạn, làm hư hỏng hoặc truy cập trái phép vào thiết bị của người dùng, thiết bị khác hoặc máy tính, máy chủ, mạng, giao diện lập trình ứng dụng (API) hoặc dịch vụ, bao gồm nhưng không chỉ gồm các ứng dụng khác trên thiết bị đó, các dịch vụ của Google, hoặc mạng của nhà cung cấp dịch vụ được uỷ quyền. Nếu dùng ngôn ngữ thông dịch (JavaScript, Python, Lua, v.v.) trong quá trình chạy (ví dụ: không đi kèm với ứng dụng), thì ứng dụng hoặc đoạn mã của bên thứ ba (ví dụ: SDK) không được chấp nhận hành vi có nguy cơ vi phạm chính sách của Google Play. Chúng tôi không chấp nhận các đoạn mã tạo ra hoặc lợi dụng lỗ hổng bảo mật. Hãy tham khảo Chương trình cải thiện độ bảo mật của ứng dụng để tìm hiểu về các vấn đề bảo mật mới nhất được báo cáo tới các nhà phát triển. Xem toàn bộ Chính sách về việc sử dụng sai trái thiết bị và mạng. Ví dụ về trường hợp vi phạm do SDK gây ra
|
Chúng tôi không chấp nhận những ứng dụng tìm cách lừa dối người dùng hoặc tạo điều kiện cho hành vi bất chính, bao gồm nhưng không giới hạn ở những ứng dụng được xác định là có chức năng không khả thi. Ứng dụng phải đưa ra thông báo, các thông tin mô tả và hình ảnh/video chính xác về chức năng của ứng dụng trong tất cả phần mục siêu dữ liệu. Ứng dụng không được tìm cách bắt chước chức năng hoặc cảnh báo của hệ điều hành hoặc của các ứng dụng khác. Ứng dụng phải thông báo cho người dùng biết và có được sự đồng ý của người dùng khi thực hiện thay đổi đối với chế độ cài đặt của thiết bị, đồng thời phải cho phép người dùng khôi phục chế độ cài đặt trước đây. Xem toàn bộ Chính sách về hành vi lừa đảo. Minh bạch về hành viChức năng của ứng dụng phải được thể hiện một cách rõ ràng và hợp lý cho người dùng, trong đó có việc không sử dụng tính năng ẩn, tính năng không hoạt động, hoặc không được mô tả trong ứng dụng. Không được phép sử dụng thủ thuật nhằm né tránh quy trình đánh giá ứng dụng. Ứng dụng có thể được yêu cầu cung cấp thêm thông tin chi tiết để đảm bảo an toàn cho người dùng, tính toàn vẹn của hệ thống cũng như việc tuân thủ chính sách.
Ví dụ về lỗi vi phạm do SDK gây ra
|
Vi phạm do dùng SDK thường liên quan tới những Chính sách nào của Google Play dành cho Nhà phát triển?
Để đảm bảo mọi đoạn mã của bên thứ ba mà ứng dụng của bạn đang sử dụng đều tuân thủ Chính sách chương trình dành cho nhà phát triển của Google Play, vui lòng tham khảo toàn bộ những chính sách dưới đây:
- Chính sách dữ liệu người dùng
- Các quyền và API truy cập thông tin nhạy cảm
- Chính sách về việc sử dụng sai trái thiết bị và mạng
- Phần mềm độc hại
- Phần mềm không mong muốn trên thiết bị di động
- Chương trình SDK quảng cáo tự xác nhận dành cho gia đình
- Chính sách quảng cáo
- Hành vi lừa đảo
- Chính sách chương trình dành cho nhà phát triển của Google Play
Tuy đây là những chính sách thường xuyên gặp vấn đề, bạn cũng cần lưu ý rằng đoạn mã SDK có hại cũng có thể khiến ứng dụng của bạn vi phạm một chính sách khác chưa được liệt kê ở trên. Với trách nhiệm của một nhà phát triển ứng dụng, bạn cần phải liên tục xem lại và nắm bắt toàn bộ nội dung mới nhất của chính sách để đảm bảo rằng tất cả SDK đều tuân thủ chính sách khi xử lý dữ liệu ứng dụng của bạn.
Để tìm hiểu thêm, vui lòng truy cập Trung tâm trợ giúp của chúng tôi.