應用程式開發人員通常依賴第三方程式碼 (例如 SDK),為其應用程式整合主要功能和服務。在應用程式中加入 SDK 時,您需要確保使用者安全,亦要防範應用程式因此出現安全漏洞。在此部分中,我們會展示部分現有私隱和安全要求適用於 SDK 內容,旨在協助開發人員將 SDK 安全整合到應用程式中。
如在應用程式中加入 SDK,您有責任確保 SDK 的第三方程式碼和相關做法不會導致應用程式違反《Google Play 開發人員計劃政策》。瞭解應用程式中 SDK 處理使用者資料的方式以及使用的權限、收集的資料及收集原因非常重要。請緊記,SDK 收集和處理使用者資料的方式必須與應用程式依照政策規定使用相同資料的方式一致。
為有助確保使用 SDK 並沒有違反政策要求,請細閱並瞭解以下政策全文,並請注意部分現有的 SDK 相關要求。
使用者資料政策您處理使用者資料 (例如向使用者收集的資料或關於使用者的資料,包括裝置資料) 的方式必須具透明度,即須披露應用程式存取、收集、使用、處理和分享使用者資料的情況,且資料使用範圍僅限已披露且符合政策的用途。
如果應用程式包括第三方程式碼 (例如 SDK),您必須確保應用程式內使用的第三方程式碼及應用程式使用者資料相關的第三方做法遵守《Google Play 開發人員計劃政策》,包括使用和披露規定。舉例來說,您必須確保 SDK 供應商不會銷售來自應用程式的使用者個人和敏感資料。無論使用者資料是在傳送至伺服器後轉移,還是透過在應用程式中嵌入的第三方程式碼轉移,都適用此規定。
使用者的個人和敏感資料
出售使用者的個人和敏感資料不得出售使用者的個人和敏感資料。
明確披露聲明和同意書要求如果應用程式存取、收集、使用或分享使用者的個人和敏感資料時可能未符相關產品或功能使用者的合理預期,您必須符合《使用者資料政策》的明確披露聲明和同意要求。 如果應用程式整合第三方程式碼 (例如 SDK) 並預設以該程式碼收集使用者的個人和敏感資料,請在收到 Google Play 要求後的 2 個星期內 (或 Google Play 指定的更長期限內) 提供充分證明,展示應用程式符合本政策的「明確披露聲明和同意要求」規定,且透過第三方程式碼存取、收集、使用或分享資料的行為亦符合規定。 請緊記,使用第三方程式碼 (例如 SDK) 時,您必須確保這不會導致應用程式違反《使用者資料政策》。 請參閱這篇說明中心文章,進一步瞭解明確披露聲明和同意要求。 個人和敏感資料存取的其他要求下表說明特定活動的要求。
SDK 造成的違規例子
「資料安全」部分所有開發人員必須為每款應用程式提供清晰且準確的「資料安全」部分,詳細說明收集、使用和分享使用者資料的方式,包括透過在應用程式中使用的第三方程式庫或 SDK 收集及處理的資料。開發人員應負責確保標籤準確,並即時更新相關資訊。在適用情況下,「資料安全」部分必須與應用程式私隱權政策中的披露聲明保持一致。 請參閱這篇說明中心文章,進一步瞭解如何完成「資料安全」部分。 請參閲《使用者資料政策》全文。 |
||||||
|
敏感資料存取權限和 API 的要求對使用者來說必須合理。您只可要求應用程式執行在 Google Play 商店資訊中宣傳的現有功能或服務所需的敏感資料存取權限和 API。您不得將可存取使用者或裝置資料的敏感資料存取權限或 API 用於未披露、未提供或不允許的功能或目的。透過敏感資料存取權限或 API 存取的個人或敏感資料永遠不可因促銷目的出售或分享。 請參閲《存取敏感資料的權限和 API 政策》全文。 SDK 造成的違規例子
|
|
我們的惡意軟件政策很簡單:Android 生態系統 (包括「Google Play 商店」和使用者裝置) 應免受任何惡意行為 (即惡意軟件) 侵擾。秉持此基本原則,我們致力為使用者及其 Android 裝置提供安全的 Android 生態系統。 惡意軟件是任何可能為使用者、使用者資料或裝置帶來風險的程式碼。惡意軟件包括但不限於可能有害的應用程式 (PHA)、二進位程式或框架修改,類別有特洛伊木馬程式、仿冒詐騙和間諜軟件應用程式等,我們會不斷更新及加入新的類別。 請參閲《惡意軟件政策》全文。 SDK 造成的違規例子
未經使用者授權即取得裝置 Root 權限的權限提升應用程式,會被歸類為具有 root 權限的應用程式。 |
透明公開的行為和清晰的披露所有程式碼都應兌現對使用者作出的承諾。應用程式應提供所有已說明的功能。應用程式不得混淆使用者。 違規行為例子:
保護使用者資料清晰地公開使用者個人和敏感資料的存取、使用、收集及分享情況。使用者資料的用途必須遵守所有相關的《使用者資料政策》(如適用),並採取一切預防措施來保護有關資料。 違規行為例子:
請參閲《垃圾流動軟件政策》全文。 |
|
我們不允許應用程式未經授權干擾、中斷、損壞或存取使用者的裝置、其他裝置或電腦、伺服器、網絡、應用程式設計介面 (API) 或服務,包括但不限於該裝置上、任何 Google 服務或認可流動網絡供應商網絡的其他應用程式。 如應用程式或第三方程式碼 (例如:SDK) 所使用的解釋語言 (JavaScript、Python、Lua 等) 在執行時間載入 (例如不在應用程式套裝中),不得允許潛在的違反 Google Play 行為。 我們不允許程式碼產生或使用保安漏洞。查看應用程式保安改善計劃,以瞭解我們為開發人員提供的最新保安問題資料。 請參閲《裝置和網絡濫用政策》全文。 SDK 造成的違規例子
|
|
我們不允許應用程式試圖欺騙使用者或促成欺詐行為,包括但不限於我們認為功能無法實現的應用程式。應用程式必須就其功能在元數據各部分中提供準確的披露、說明和圖片/影片。應用程式不得仿冒作業系統或其他應用程式的功能或警告。任何裝置設定的變更必須在使用者知情和同意下作出,並可由使用者還原變更。 請參閲《欺詐行為政策》全文。 行為透明度你應以合理的方式向使用者清楚說明應用程式的功能;請勿在應用程式內包括任何隱藏、閒置或未有記錄的功能。我們並不允許應用程式採用迴避應用程式審核的技術。應用程式可能需要提供額外資料,以確保使用者安全、系統完整性和政策合規。
SDK 造成的違規例子
|
哪些 Google Play 開發人員政策常與 SDK 造成的違規有關?
為有助確保您應用程式使用的第三方程式碼遵守 Google Play 的《開發人員計劃政策》,請參閱下列政策全文:
這些政策較常發生問題,但請緊記不良 SDK 程