חבילות מטא-נתונים של אפליקציות לאבטחת נתונים

חבילות מטא-נתונים של אפליקציות מספקות למפתחים דרך שקופה לכלול מידע עליהם (המפתח), על האפליקציה, ועל האופן שבו הם אוספים את נתוני המשתמשים, משתפים אותם ומגינים עליהם. חנות Google Play דורשת ממפתחים לספק את המידע הזה לגבי האפליקציות שהיא מפיצה, ויצרני מכשירי Android עם Google Play Services דורשים את אותו הדבר ממפתחים של אפליקציות שהיצרן טוען מראש, עם יוצאים מן הכלל מוגבלים לגבי שירותי מערכת.

חנויות אפליקציות ומנהלי התקנה אחרים יכולים לדרוש חבילה של מטא-נתונים של אפליקציות עבור האפליקציות שהם מפיצים. שיטת הפצת האפליקציה קובעת איך המפתחים יכולים ליצור ולשלב חבילה של מטא-נתונים של אפליקציה. מערכת Android מציגה למשתמשים מידע על אבטחת הנתונים מחבילת המטא-נתונים של האפליקציה. לדוגמה, אם אפליקציה מצהירה שהיא משתפת את המיקום עם צד שלישי, המידע הזה מוצג בבקשה להרשאת מיקום במכשירים עם Android 14 ואילך.

סקירה כללית

חבילת מטא-נתונים של אפליקציה מאפשרת לשתף מידע עליכם (המפתח) ועל האפליקציה שלכם, כולל נתוני המשתמש שהאפליקציה אוספת או משתפת, ולהציג את השיטות העיקריות לשמירה על פרטיות ואבטחה באפליקציה. המידע הזה עוזר למשתמשים לקבל החלטות מושכלות יותר, למשל כשהם מעניקים גישה להרשאות.

חבילות המטא-נתונים של האפליקציות הן בנפרד מכל חובה משפטית של שקיפות וגילוי נאות שאתם כמפתחים עשויים להיות כפופים לה במדינות שבהן אתם פועלים.

אנחנו ממליצים לכל המפתחים להצהיר איך הם אוספים ומטפלים בנתוני המשתמשים באפליקציות שלהם, ולספק פרטים על מטרת האפליקציה, פרטי המפתח ועל האופן שבו האפליקציה מגינה על נתוני המשתמשים באמצעות שיטות אבטחה כמו הצפנה. זה כולל נתונים שנאספים ומטופלים באמצעות ספריות או ערכות SDK של צד שלישי שנמצאות בשימוש באפליקציות. מפתחים יכולים לעיין במידע שפורסם על ידי ספקי ה-SDK בנושא אבטחת נתונים כדי לקבל פרטים נוספים. מפתחים יכולים לבדוק ב-Google Play SDK Index אם ספק מסוים סיפק קישור להנחיות שלו.

חבילות המטא-נתונים של האפליקציה מגיעות למכשיר בדרכים שונות, בהתאם לאופן שבו האפליקציה מופצת:

• אפליקציות שהותקנו מראש בקובץ האימג' של המערכת: יצרן המכשיר אחראי לכלול את חבילת המטא-נתונים של האפליקציה בקובץ XML של אבטחת נתונים בקובץ האימג' של המערכת.
• אפליקציות שמפיצים באמצעות מתקין: המתקין אחראי לשליחת חבילת המטא-נתונים של האפליקציה למכשיר. אם אתם מפתחים אפליקציה שמופצת דרך Google Play, כדאי לעיין בהוראות בעזרה של Play Console. מתקינים יכולים לעיין בסכימת הסכימה לחבילות מטא-נתונים של אפליקציות.

מפתחים של אפליקציות שהותקנו מראש יכולים ליצור קובץ XML של אבטחת נתונים באחת מהשיטות הבאות:

• אם אתם מפתחים אפליקציה שפורסמה ב-Play Store, תוכלו להשתמש בטופס אבטחת הנתונים ב-Play Console בדף App content (תוכן האפליקציה). כדי להגיע אליו, עוברים אל Policy (מדיניות) > App content (תוכן האפליקציה). אם כבר מילאתם את הטופס הזה, אין צורך לבצע פעולה נוספת.
• מורידים ועורכים את קובץ ה-XML של התבנית שזמין בדף הזה כדי לספק ליצרנים או למתקינים.

הכנת המידע

לפני שמפתחים מתחילים ליצור חבילה של מטא-נתונים של אפליקציה, צריך לבצע את השלבים הבאים:

• מוודאים שהם הוסיפו מדיניות פרטיות.

• לבדוק איך האפליקציה אוספת ומשתפת נתוני משתמשים ואת שיטות האבטחה של האפליקציה. חשוב לבדוק את ההרשאות המוצהרות של האפליקציה ואת ממשקי ה-API שבהם היא משתמשת.

  בנוסף לבדיקה של האופן שבו האפליקציה אוספת ומשתפת נתוני משתמשים, המפתחים צריכים לבדוק גם איך קוד של צד שלישי (כמו ספריות או ערכות SDK של צד שלישי) באפליקציה אוסף ומשתף נתונים כאלה. חבילת המטא-נתונים של האפליקציה חייבת לשקף את איסוף הנתונים או שיתוף הנתונים שמתבצעים על ידי קוד צד שלישי כזה.

מה המפתחים צריכים לחשוף בקטעים של פרטי האפליקציה ושל פרטי המפתח

בקטע הזה מוסבר איזה מידע המפתחים צריכים לחשוף בקטעים אפליקציה ופרטי המפתח בחבילת המטא-נתונים של האפליקציה. אם האפליקציה מופצת דרך חנות Google Play, יש להזין את המידע הזה ב-Play Console.

מה המפתחים צריכים לשתף על האפליקציה

כשיוצרים חבילת מטא-נתונים של אפליקציה, המפתחים צריכים לחשוף את פרטי האפליקציה שמפורטים בקטעים הבאים:

מטרת האפליקציה

מתארים את מטרת האפליקציה בבלוק טקסט ב-English שאנשים יכולים לקרוא (מגבלת תווים: 4,000).

קטגוריית אפליקציות

בוחרים את הקטגוריה שמתאימה ביותר למטרה של האפליקציה מהרשימה הבאה.

הקטגוריות הבאות מיועדות לאפליקציות שנטענו מראש:

• OTA – חבילות שאחראיות לקבלה והתקנה של עדכונים אלחוטיים (OTA)
• AOSP – חבילות שזמינות בפרויקט הקוד הפתוח של Android
• אבטחה
• חנות

Google Play משתמש גם בקטגוריות שמפורטות בטבלה הבאה:

פרסום ושיווק של אפליקציות

מציינים אם האפליקציה מכילה פרסום או שיווק, כולל קידומי מכירות באפליקציה.

מדיניות הפרטיות

צריך לכלול קישור למדיניות הפרטיות, שבו מפורט איך המפתח מטפל בנתוני המשתמשים. אם האפליקציה לא מכילה את הקישור הזה, נניח שהיא לא מטפלת בנתוני משתמשים.

מה המפתחים צריכים לשתף על עצמם

כשיוצרים חבילה של מטא-נתונים של אפליקציה, המפתחים צריכים לחשוף את פרטי המפתחים שמפורטים בקטעים הבאים:

שם המפתח

שם המפתח, האדם או החברה שיצרה את האפליקציה. אפשר לציין כמה שמות של מפתחים.

מרשם האפליקציות

אם האפליקציה מופיעה במרשם אפליקציות, כולל חנויות ומנהלי התקנה אחרים, צריך לציין זאת בשדה הזה. מותר להוסיף כמה רשומות לכמה חנויות.

• במאגרי אפליקציות שהם מתקני Android: הערך צריך להיות שם החבילה של החנות ב-Android. לדוגמה, משתמשים ב-com.android.vending לחנות Google Play.
• במאגרי אפליקציות אחרים: הערך צריך להיות כתובת ה-URL של המאגר.

אפשר להשמיט את השדה הזה מהסיבות הבאות:

• המפתח הוא ערכת SDK שמופיעה ב-Google Play SDK Index.
• המפתח לא רשום באף מאגר או חנות אפליקציות.

מזהה מרשם האפליקציה

באפליקציות שמופיעות במרשם אפליקציות כלשהו, כולל מתקינים וחנויות, הערך הזה צריך להיות הזהות של המפתח בחנות, במתקין או במרשם. מותר להוסיף כמה רשומות לכמה חנויות.

• למפתחים שרשומים ב-Google Play: הערך הזה חייב להיות כתובת ה-URL של דף המפתח (לדוגמה, https://play.google.com/store/apps/dev?id=5700313618786177705 היא כתובת ה-URL של המפתח Google LLC).
• אם המפתח הוא מפתח SDK שמופיע ב-Google Play SDK Index: צריך להשתמש בכתובת ה-URL של ה-SDK (לדוגמה, https://play.google.com/sdks/details/com-google-android-gms-play-services-ads היא כתובת ה-URL של Google Mobile Ads (GMA) SDK).
• אם המפתח רשום בחנות או במרשם אחר: אפשר לספק כתובת URL של חנות אפליקציות או מזהה אחר.

אם המפתח לא רשום בחנות אפליקציות כלשהי, אפשר להשמיט את המאפיין הזה.

פרטים ליצירת קשר עם המפתח

יש לספק את הפרטים הבאים:

• אימייל
• אתר
• מדינה או אזור
• כתובת פיזית למשלוח דואר

מה המפתחים צריכים לחשוף בסעיף אבטחת הנתונים

בקטע הזה מוסבר איזה מידע המפתחים צריכים לחשוף בקטע אבטחת הנתונים בחבילת המטא-נתונים של האפליקציה, ומפורטים הסוגים והמטרות של נתוני המשתמשים שהמפתחים יכולים לבחור. אם האפליקציה מופצת דרך חנות Google Play, צריך להזין את המידע הזה ב-Play Console.

מה המפתחים צריכים להצהיר לגבי כל סוגי הנתונים

כשיוצרים חבילת מטא-נתונים של אפליקציה, המפתחים צריכים לחשוף מידע על סוגי הנתונים שהם אוספים ומשתפים, כפי שמתואר בקטעים הבאים:

איסוף נתונים

איסוף במקרה הזה פירושו העברת נתונים מאפליקציה מהמכשיר של המשתמש. שימו לב להנחיות הבאות:

• ספריות וערכות SDK: הנתונים האלה כוללים נתוני משתמשים שנשלחים מהמכשיר של האפליקציה באמצעות ספריות או ערכות SDK שנעשה בהן שימוש באפליקציה, גם אם הנתונים מועברים למפתח האפליקציה וגם אם הם מועברים לשרת של צד שלישי.

• WebView: הנתונים האלה כוללים נתוני משתמשים שנאספים מ-WebView שנפתח מהאפליקציה, אם האפליקציה שולטת בקוד ובהתנהגות שמועברים דרך ה-WebView הזה.

  מפתחים לא צריכים להצהיר על איסוף נתונים מתצוגת אינטרנט שבה המשתמשים מנווטים באינטרנט הפתוח.

• עיבוד זמני: נתוני משתמש שמועברים אל מחוץ למכשיר ועוברים עיבוד זמני לא צריכים להיכלל בחבילת המטא-נתונים של האפליקציה אם הם עומדים בתקן הבא:

  עיבוד נתונים באופן זמני פירושו גישה לנתונים ושימוש בהם רק בזמן שהם מאוחסנים בזיכרון, כשהם נשמרים רק למשך הזמן שנחוץ כדי לשרת את הבקשה הספציפית בזמן אמת.

  לדוגמה, אפליקציית מזג אוויר ששולחת את המיקום של המשתמש אל מחוץ למכשיר כדי לאחזר את מזג האוויר הנוכחי במיקום של המשתמש, אבל משתמשת בנתוני המיקום בזיכרון בלבד ולא מאחסנת את הנתונים האלה אחרי שהבקשה מתמלאת, יכולה להתייחס לשימוש הזמני שלה במיקום כאל שימוש זמני. עם זאת, השימוש בנתונים לבניית פרופילי פרסום או פרופילים אחרים של משתמשים לא יכול להיחשב כזמני, וצריך להצהיר עליהם כאיסוף או כשיתוף למטרות הרלוונטיות.

• נתונים פסאודונימיים: חובה לחשוף נתוני משתמשים שנאספו באופן פסאודונימי. לדוגמה, צריך לחשוף נתונים שאפשר לשייך מחדש למשתמש באופן סביר.

לא נכללים בהיקף הגילוי הנאות לגבי איסוף נתונים

אין צורך לחשוף את הנתונים הבאים שנאספים בתרחישי השימוש הבאים:

• גישה למכשיר או עיבוד שלו: אין גילוי נאות לגבי נתוני משתמשים שאליהם מתבצעת גישה דרך אפליקציה שמעובדת באופן מקומי בלבד במכשיר של המשתמש ולא נשלחו מהמכשיר.

• הצפנה מקצה לקצה: אין צורך לחשוף נתוני משתמשים שנשלחים מהמכשיר, אבל לא ניתן לקרוא אותם על ידכם או על ידי מישהו אחר מלבד השולח והנמען, כתוצאה מהצפנה מקצה לקצה.

  אסור שגורם מתווך כלשהו, כולל המפתח, יוכל לקרוא את הנתונים המוצפנים, ורק השולח והמקבל יכולים לקבל את המפתחות הנדרשים.

שיתוף נתונים

שיתוף במקרה הזה מתייחס להעברה של נתוני משתמשים שנאספו מאפליקציה לצד שלישי. הנתונים האלה כוללים נתוני משתמשים שהועברו בדרכים הבאות:

• מחוץ למכשיר, למשל העברות משרת לשרת: לדוגמה, אם מפתח מעביר נתוני משתמשים שנאספו מאפליקציה מהשרת שלו לשרת של צד שלישי.

• העברה במכשיר לאפליקציה אחרת: העברת נתוני משתמשים מאפליקציה לאפליקציה אחרת ישירות במכשיר. במקרה כזה, המפתח חייב לחשוף את שיתוף הנתונים בסעיף אבטחת הנתונים, גם אם האפליקציה לא מעבירה את הנתונים מהמכשיר של המשתמש.

• מהספריות ומערכות ה-SDK של האפליקציה: העברת נתונים שנאספו מאפליקציה מהמכשיר של המשתמש ישירות לצד שלישי באמצעות ספריות או ערכות SDK שכלולות באפליקציה.

• מ-WebView שנפתח דרך האפליקציה: העברת נתוני משתמשים לצד שלישי באמצעות רכיב WebView שנפתח מהאפליקציה, אם האפליקציה שולטת בקוד ובהתנהגות שמועברים דרך רכיב ה-WebView הזה.

  מפתחים לא צריכים להצהיר על שיתוף נתונים מתצוגת אינטרנט שבה המשתמשים מנווטים באינטרנט הפתוח.

אין צורך לחשוף את סוגי העברות הנתונים הבאים כשיתוף:

• ספקי שירות: העברת נתוני משתמשים לספק שירות שמעבד אותם בשם המפתח. ספק שירות הוא ישות שמעבדת נתוני משתמשים מטעם המפתח ועל סמך ההוראות שלו.

• מטרות משפטיות: העברת נתוני משתמשים למטרות משפטיות ספציפיות, למשל בתגובה לחובה משפטית או לבקשות ממשלתיות.

• פעולה ביוזמת המשתמש או גילוי נאות בולט ובקשת הסכמה מהמשתמש: העברת נתוני משתמשים לצד שלישי על סמך פעולה ספציפית ביוזמת המשתמש, שבמסגרתה סביר להניח שהמשתמש מצפה שהנתונים ישותפו, או על סמך גילוי נאות ובקשת הסכמה בולטת באפליקציה.

• נתונים אנונימיים. העברת נתוני משתמשים שעברו אנונימיזציה מלאה, כך שאי אפשר לשייך אותם יותר למשתמש מסוים.

• צד ראשון וצד שלישי: צד ראשון מתייחס למפתח, הארגון הראשי שאחראי על עיבוד הנתונים שנאספו על ידי האפליקציה. באפליקציות שמופצות דרך חנויות, לרוב מדובר בארגון המפרסם את האפליקציה בחנות.

  הצד הראשון מחויב להבהיר למשתמשים באופן סביר איזה ארגון אחראי בעיקר על עיבוד הנתונים שנאספו על ידי האפליקציה.

  צד שלישי הוא כל ארגון שאינו הצד הראשון או ספקי השירות שלו.

טיפול בנתונים

המפתחים יכולים גם לציין אם כל סוג הנתונים שנאסף על ידי האפליקציה הוא אופציונלי או חובה. אופציונלי כולל את היכולת להביע הסכמה לאיסוף נתונים או לבטל אותה. לדוגמה, מפתחים יכולים להצהיר על סוג נתונים כאופציונלי במקרים שבהם למשתמש יש שליטה על האיסוף שלו והוא יכול להשתמש באפליקציה בלי לספק אותו, או במקרים שבהם המשתמש בוחר אם לספק את סוג הנתונים הזה באופן ידני. אם ליכולות העיקריות של האפליקציה נדרש סוג הנתונים, המפתחים צריכים להצהיר שהנתונים האלה נדרשים.

מפתחים יכולים להצהיר שאפליקציה אוספת נתונים מסוימים באופן אופציונלי רק אם כל המשתמשים – ללא קשר למכשיר או לאזור – יכולים לספק מידע באופן אופציונלי, לבטל את ההסכמה לאיסוף הנתונים או להביע הסכמה לאיסוף הנתונים.

דוגמאות לאיסוף נתונים אופציונלי כוללות את האפשרויות הבאות:

• אפליקציית רשת חברתית שמבקשת את תאריך הלידה של המשתמש לצורך יצירת קשר שיווקית, אבל המידע הזה לא נדרש – המשתמש עדיין יכול להירשם בלי לספק את המידע הזה.

• נתוני משתמשים שנאספים רק כשהמשתמש נכנס לחשבון, כשהמשתמש יכול להשתמש באפליקציה בלי להיכנס לחשבון.

גילוי נאות לגבי האפליקציות ונתונים אחרים

סעיף אבטחת הנתונים הוא גם הזדמנות למפתחים להציג את האמצעים לשמירה על הפרטיות והאבטחה של האפליקציה. לדוגמה, מפתחים יכולים להדגיש את המידע הבא:

• הצפנה במעבר: האם הנתונים שנאספים או משותפים על ידי האפליקציה מוצפנים במעבר כדי להגן על זרימת נתוני המשתמשים מהמכשיר של משתמש הקצה לשרת.

  חלק מהאפליקציות מאפשרות למשתמשים להעביר נתונים לאתר או לשירות אחרים. לדוגמה, אפליקציית הודעות עשויה לאפשר למשתמשים לשלוח הודעת SMS דרך ספק השירות לנייד שלהם, בהתאם לשיטות ההצפנה השונות. מפתחי האפליקציות האלה יכולים לציין בסעיף אבטחת הנתונים שלהם שהנתונים מועברים באמצעות חיבור מאובטח, כל עוד הם משתמשים בתקנים הטובים ביותר שמקובלים בתחום להצפנת הנתונים בזמן המעבר בין המכשיר של המשתמש לבין שרתי האפליקציה.

• מנגנון בקשות למחיקה: האם האפליקציה מספקת למשתמשים דרך לבקש למחוק את הנתונים שלהם.

בדיקת אבטחה עצמאית (זמינה לכל האפליקציות)

מפתחים יכולים לבחור לציין בסעיף אבטחת הנתונים שהאפליקציה אומתה באופן עצמאי בהתאם לתקן אבטחה גלובלי. זוהי בדיקה אופציונלית שמפתחים מבצעים ומשתמשים בתשלום עליה. לדוגמה, באמצעות Mobile Application Security Assessment‏ (MASA), מפתחים יכולים לעבוד ישירות עם מעבדה כדי לבדוק את האפליקציות שלהם בהתאם ל-Mobile Application Security Verification Standard‏ (MASVS) של Open Worldwide Application Security Project‏ (OWASP). ארגוני הצד השלישי שמבצעים את הבדיקה הזו עושים זאת בשם המפתח.

סוגי הנתונים ומטרתם

המפתחים מתבקשים לספק מידע על שיטות האיסוף, השיתוף ושיטות אחרות של מגוון סוגים של נתוני משתמשים, וגם על המטרות שבהן המפתח משתמש בנתונים האלה, כפי שמתואר בטבלאות הבאות:

מטרות

יצירת קובץ XML של אבטחת נתונים באופן ידני

קובץ ה-XML לדוגמה של אבטחת נתונים ממחיש את מבנה הקובץ של אפליקציה שהוטענה מראש וששותפת נתונים שקשורים למיקום של משתמש. אפשר לערוך את המבנה הזה על ידי הוספה, עריכה או הסרה של רכיבים, בהתאם לסוג המידע שצריך לחשוף לגבי האפליקציה.

שימו לב שהקובץ לדוגמה לא בהכרח מלא. מידע נוסף על מבנה ה-XML הנדרש לקטעים של האפליקציה, המפתח ואבטחת הנתונים בחבילת המטא-נתונים של האפליקציה, שיכול להיות שיהיה צורך לכלול באפליקציה, זמין בסכימה לחבילות של מטא-נתונים של אפליקציות.

<?xml version='1.0' encoding='UTF-8' standalone='yes' ?>
<bundle>
<long name="version" value="2" />

  <pbundle_as_map name="safety_labels">
    <long name="version" value="1" />

      <pbundle_as_map name="data_labels">
        <pbundle_as_map name="data_shared">
          <pbundle_as_map name="location">
            <pbundle_as_map name="approx_location">
              <int-array name="purposes" num="4">
                  <item value="1" />
                  <item value="2" />
                  <item value="5" />
                  <item value="6" />
              </int-array>
            </pbundle_as_map>
            <pbundle_as_map name="precise_location">
              <int-array name="purposes" num="2">
                  <item value="1" />
                  <item value="6" />
              </int-array>
            </pbundle_as_map>
          </pbundle_as_map>
        </pbundle_as_map>

    </pbundle_as_map>
</pbundle_as_map>
</bundle>

שאלות נפוצות

בקטעים הבאים מפורטות תשובות לשאלות נפוצות שהמפתחים שאלו.

שאלות כלליות

בקטעים הבאים מפורטות תשובות לשאלות כלליות על חבילות של מטא-נתונים של אפליקציות.

מפתח שלח מידע דומה לגבי iOS. מהו היקף העבודה שהמפתח יכול לעשות בה שימוש חוזר בחבילת המטא-נתונים של אפליקציית Android?

נהדר שהמפתח מבין היטב את שיטות הטיפול בנתונים באפליקציה. כדי להשלים בצורה נכונה את חבילת המטא-נתונים של האפליקציה, יכול להיות שהמפתח יצטרך מידע נוסף שלא השתמש בו בעבר, ולכן הוא צריך לצפות לבצע עבודה נוספת. הטקסונומיה והמסגרת של חבילת המטא-נתונים של האפליקציות ל-Android עשויות להיות שונות באופן מהותי מאלה שנעשה בהן שימוש בחנויות אפליקציות אחרות.

איך Google מוודאת שמפתחים משתפים מידע מדויק? ראינו שהמידע הזה לא תמיד מדויק בתחום.

בדומה למדיניות פרטיות, המפתחים אחראים על המידע שמוצג בחבילת המטא-נתונים של האפליקציה.

באיזו תדירות מפתח צריך לעדכן חבילת מטא-נתונים של אפליקציה?

מפתחים צריכים לעדכן את חבילת המטא-נתונים של האפליקציה כשיש שינויים רלוונטיים בשיטות הטיפול בנתונים של האפליקציה.

שאלות לגבי מילוי סעיף אבטחת הנתונים

בקטעים הבאים מפורטות תשובות לשאלות בנושא מילוי הקטע בנושא בטיחות נתונים בחבילת המטא-נתונים של האפליקציה.

מה קורה אם האפליקציה פועלת בצורה שונה בגרסאות שונות של Android שנתמכות?

חבילת המטא-נתונים של האפליקציה צריכה להיות מדויקת, כך שהיא לא תהיה תלויה בשימוש, בגרסת האפליקציה, באזור ובגיל המשתמש. בסעיף אבטחת הנתונים מתואר סיכום איסוף הנתונים באפליקציה והשיתוף שלהם בכל האזורים הגיאוגרפיים וסוגי המשתמשים.

איך המפתח יכול להראות שיש לו שיטות שונות באזורים שונים? לדוגמה, מפתח לא משתמש בספריות מסוימות באירופה, אבל יכול להשתמש בהן במדינות אחרות.

חבילת המטא-נתונים של האפליקציה משקפת את הייצוג הכללי של נוהלי הטיפול בנתונים לכל אפליקציה. בסעיף אבטחת הנתונים מתואר הסכום של איסוף הנתונים באפליקציה והשיתוף שלהם בכל האזורים הגיאוגרפיים ובכל סוגי המשתמשים.

האם סעיפי אבטחת הנתונים מוצגים רק למשתמשים שהביעו הסכמה? האם המפתח צריך לבצע פעולות נוספות וליצור גילוי נאות במקום בולט באפליקציה?

לא, אין גילוי נאות חדש בתהליך התקנת האפליקציה על ידי המשתמש, ואין הסכמה חדשה של המשתמש שקשורה לתכונה הזו. מפתחים של אפליקציות ב-Google Play ואפליקציות בחבילה לנייד במכשירי Android עם Google Play Services שאוספים נתוני משתמשים אישיים ורגישים חייבים להטמיע גילויים נאותים ובקשות להסכמה מתוך האפליקציה, כנדרש לפי המדיניות.

האם המפתח צריך להצהיר על נתונים אם האפליקציה כוללת הרשאה אבל לא אוספת או משתפת את הנתונים בפועל?

המפתח לא צריך להצהיר על איסוף או שיתוף של נתונים, אלא אם הוא באמת אוסף או משתף אותם. אפליקציות Google Play ואפליקציות בחבילות לנייד במכשירי Android עם Google Play Services חייבות לעמוד בכל כללי המדיניות הרלוונטיים.

אם סוג נתונים אחד נאסף כחלק מסוג אחר, האם המפתח צריך להצהיר על שניהם? לדוגמה, אם המפתח אסף אנשי קשר שכוללים את כתובת האימייל של המשתמש, האם המפתח מכריז גם על סוגי הנתונים 'אנשי קשר' וגם על 'כתובת אימייל'?

אם המפתח אוסף בכוונה נתונים מסוג מסוים במהלך האיסוף של נתונים מסוג אחר, הוא צריך לציין את שניהם. לדוגמה, אם המפתח אוסף תמונות של משתמשים ומשתמש בהן כדי לקבוע את המאפיינים של המשתמשים (כמו מוצא אתני או גזע), המפתח צריך גם לחשוף את האיסוף של המוצא האתני והגזע.

האם המפתח חייב לספק מנגנון מחיקה? האם היא חייבת להיות לכל נתוני המשתמש?

סעיף אבטחת הנתונים מספק למפתח אפשרות לשתף איתו אם המפתח מספק מנגנון לקבלת בקשות למחיקת נתונים ממשתמשים. כחלק מהשלמת סעיף אבטחת הנתונים, המפתח צריך לציין אם הוא מספק מנגנון כזה.

האם יש סוג מסוים של מנגנון שהמפתח צריך לספק כדי לציין שהאפליקציה תומכת בבקשות למחיקת נתוני משתמשים?

אין מנגנון מוגדר מראש, אבל מומלץ שהמשתמשים יוכלו למצוא את מנגנון הבקשה ולגשת אליו. דוגמאות נפוצות למנגנונים שמציינים בבירור את הדרך שבה משתמשים יכולים לבקש מחיקה של נתונים יכולות לכלול, בין היתר: תכונות באפליקציה, טפסים ליצירת קשר או כתובת אימייל חלופית ייעודית.

איך מפתחים צריכים לציין בסעיף אבטחת הנתונים שהם מספקים מנגנון לבקשת מחיקה של נתונים שנמחקים או הופכים לאנונימיים באופן אוטומטי?

המפתח יכול להצהיר שהמשתמשים יכולים לבקש למחוק את הנתונים שלהם אם הוא מספק אחת או יותר מהאפשרויות הבאות:

• מנגנון לבקשת מחיקה של נתונים.

• תהליך אוטומטי להפעלת מחיקה או אנונימיזציה של הנתונים שנאספו תוך 90 יום ממועד האיסוף.

  המפתח יכול להצהיר שהמשתמשים יכולים לבקש למחוק את הנתונים שלהם גם אם הם צריכים לשמור נתונים מסוימים מסיבות לגיטימיות כמו תאימות משפטית או מניעת ניצול לרעה.

מה קורה אם מנגנון המחיקה שהמפתח מספק לא זמין באופן גלובלי לכל המשתמשים – האם המפתח עדיין יכול לציין שאני מספק מנגנון לבקשת מחיקה?

לכל חבילה של מטא-נתונים של אפליקציה זמין רק סעיף אחד של אבטחת נתונים גלובלי. ההנחיות כוללות נוהלי טיפול בנתונים על סמך כל שימוש, אזור וגיל המשתמש. במילים אחרות, אם אחת משיטות השימוש בנתונים קיימת בגרסה כלשהי של האפליקציה, בכל מקום בעולם, המפתח חייב לציין את השיטות האלה. לכן, בסעיף אבטחת הנתונים מתוארים סיכום איסוף הנתונים והשיתוף של האפליקציה בכל המשתמשים והמיקומים הגיאוגרפיים.

באילו שיטות אפשר להשתמש כדי להפוך נתונים לאנונימיים?

יש מגוון שיטות אפשריות לאנונימיזציה של נתונים, כך שלא ניתן יהיה לשייך אותם למשתמש ספציפי. המפתחים צריכים להתייעץ עם מומחים בתחום הפרטיות והאבטחה כדי לזהות את השיטות שרלוונטיות לתרחיש לדוגמה שלהם. לדוגמה, בדף הזה מפורטות כמה מהשיטות של Google להסרת פרטי הזיהוי מהנתונים, כמו פרטיות דיפרנציאלית.

איך המפתח צריך להתייחס לאיסוף כתובות IP ולשימוש בהן?

בדומה לסוגי נתונים אחרים, המפתח צריך לחשוף את האיסוף, השימוש והשיתוף של כתובות IP בהתאם לשיטות ולשימוש הספציפיים שלו. לדוגמה, אם מפתחים משתמשים בכתובות IP כדי לקבוע מיקום, צריך להצהיר על סוג הנתונים הזה (מיקום).

איך המפתחים צריכים לחשוף את האיסוף והשיתוף של סוגי מזהים אחרים?

בדומה לסוגים אחרים של נתונים, המפתח צריך לחשוף את האיסוף, השימוש והשיתוף של סוגים שונים של מזהים, בהתאם לשיטות ולשימוש הספציפיים שלו. לדוגמה, איסוף של שם חשבון שמשויך לאדם שניתן לזהות צריך להצהיר כ'מזהה אישי', ולהצהיר על איסוף מזהה הפרסום ב-Android של המשתמש כ'מכשיר או מזהים אחרים'. דוגמה נוספת: אין צורך להציג מזהה שקשור לאירוע ספציפי בתוך האפליקציה, אבל שלא קשור באופן סביר למכשיר, לדפדפן או לאפליקציה ספציפיים כ'מכשיר או מזהים אחרים'.

כפי שצוין קודם, יש לציין את איסוף הנתונים באופן פסאודונימי בסעיף אבטחת הנתונים של חבילת המטא-נתונים של האפליקציה, בהתאם לסוג הנתונים הרלוונטי. לדוגמה, אם המפתח אוסף מידע אבחוני באמצעות מזהה מכשיר, הוא עדיין צריך לציין את האיסוף של 'אבחון' בסעיף אבטחת הנתונים.

אילו סוגי פעילויות יכולים לבצע 'ספקי שירותים'?

ספק שירות יכול לעבד נתוני משתמשים רק בשם המפתח. לדוגמה, ספק ניתוח נתונים שעובד על נתוני משתמשים מהאפליקציה רק בשם המפתח, או ספק ענן שמארח נתוני משתמשים מהאפליקציה לשימוש המפתח, נחשבים בדרך כלל כ'ספקי שירותים'. לעומת זאת, אם ספק SDK יוצר פרופילים פרסומיים במספר לקוחות על סמך נתוני האפליקציה, הפעילות הזו לא תחשב כפעילות של 'ספק שירות' לצורכי סעיף אבטחת הנתונים, וצריך יהיה לחשוף אותה כ'שיתוף' בסעיף אבטחת הנתונים בחבילת המטא-נתונים של האפליקציה.

אפליקציה שמשתמשת בשירות תשלומים חיצוני כדי לבצע עסקאות פיננסיות. האם האפליקציה צריכה לחשוף מידע פיננסי, כמו פרטי כרטיס אשראי, בחבילת המטא-נתונים שלה?

הדבר תלוי באופי השילוב עם שירות התשלומים. אם האפליקציה משתמשת בשירות תשלומים כמו PayPal,‏ Google Pay, מערכת החיוב של Google Play או שירותים דומים כדי להשלים עסקאות תשלום, המפתח לא צריך להצהיר על איסוף הנתונים ששירות התשלומים אוסף בקשר לעיבוד העסקאות הפיננסיות, כמו מספר כרטיס אשראי, אם מתקיימים כל התנאים הבאים:

• האפליקציה אף פעם לא ניגשת למידע הזה.

• שירות התשלומים אוסף את המידע הזה ישירות מהמשתמש, והאוסף כפוף לתנאים של אותו שירות.

המפתח צריך לבדוק היטב את השילוב עם שירות התשלומים כדי לוודא שבסעיף אבטחת הנתונים של חבילת המטא-נתונים של האפליקציה מפורט כל איסוף נתונים רלוונטי ושיתוף נתונים רלוונטי שלא עומדים בתנאים האלה. המפתחים צריכים גם לבדוק אם האפליקציה אוספת מידע פיננסי אחר, כמו היסטוריית רכישות, ואם האפליקציה מקבלת נתונים רלוונטיים משירות התשלומים, למשל למטרות של זיהוי סיכונים ומניעת הונאות.

אפליקציה שמאפשרת למשתמשים להעלות את הנתונים שלהם ישירות ל-Google Drive או ל-Dropbox לצורך גיבוי או אחסון. לאפליקציה אין גישה לנתונים האלה. האם עדיין צריך לחשוף את זה כ'אוסף'?

זה תלוי בהטמעה הספציפית. אם המשתמש בוחר להעלות את הנתונים שלו ישירות לחשבון אחסון בענן או להתקן אחסון חיצוני (כמו Google Drive, ‏ Dropbox או שירותים דומים), וההעלאה הזו כפופה לתנאים ולהגבלות ולמדיניות הפרטיות של ספק האחסון בענן או של התקן האחסון החיצוני, והאפליקציה אף פעם לא אוספת את הנתונים הרלוונטיים או ניגשת אליהם, אין צורך להצהיר על איסוף הנתונים האלה באפליקציה.

איך המפתחים צריכים להצפין נתונים במעבר?

המפתח צריך לפעול בהתאם לתקנים המומלצים בתחום כדי להצפין בבטחה את נתוני האפליקציה בזמן ההעברה. פרוטוקולי הצפנה נפוצים כוללים את Transport Layer Security ‏ (TLS) ואת Hypertext Transfer Protocol Secure ‏ (HTTPS).

אפליקציה מאפשרת למשתמשים ליצור חשבון או להוסיף מידע לחשבון, כמו תאריך לידה או מגדר. איך המפתח צריך להצהיר על הנתונים שהמשתמש מוסיף לחשבון שלו?

המפתח צריך להצהיר על איסוף הנתונים האלה לצורך ניהול החשבון, ולציין (אם רלוונטי) איפה איסוף הנתונים הוא אופציונלי עבור המשתמש.

בנוסף, כמו בכל סוגי הנתונים שנאספים על ידי האפליקציה, המפתח צריך לחשוף את הנתונים האלה ואת המטרה או המטרות שבהן האפליקציה משתמשת בהם. לדוגמה, אם האפליקציה מאפשרת למשתמש להוסיף תאריך יום הולדת לחשבון שלו, והיא גם משתמשת בנתונים האלה כדי לשלוח התראות דחופות בזמן, האפליקציה צריכה לציין גם את המטרה הזו בנוסף לניהול החשבון.

אפשר להשתמש ב'ניהול חשבון' כדי לכסות שימושים כלליים בנתוני החשבון שלא ספציפיים לאפליקציה הספציפית. לדוגמה, אם המפתח משתמש בפרטי החשבון למניעת הונאות, לפרסום, לשיווק או לתקשורת עם מפתחים בשירותים שונים, והשימוש הזה לא ספציפי לאפליקציה או לפעילויות באפליקציה, הצהרה על 'ניהול חשבון' כמטרת האיסוף של נתוני החשבון האלה מספיקה כדי לכסות את השימושים הכלליים האלה בקטע בנושא בטיחות נתונים בחבילת המטא-נתונים של האפליקציה. עם זאת, תמיד צריך לציין באפליקציה את כל המטרות שעבורן האפליקציה עצמה משתמשת בנתונים. מומלץ לפרסם את אופן הטיפול בנתוני המשתמשים לשירותי החשבון באפליקציה כחלק מהמסמכים ברמת החשבון ומתהליך ההרשמה לחשבון.

מהם שירותי מערכת?

שירותי מערכת הם תוכנות שמותקנות מראש ותומכות בתכונות הליבה של המערכת. שירותי המערכת צריכים לכלול את החבילות transparency_info ו-system_app_safety_label (האחרונה מסופקת במקום החבילה safety_labels). שירותי מערכת שמופצים דרך Google Play יכולים להגיש בקשה לפטור ממלאת טופס אבטחת הנתונים של Google Play.

איך המפתח מצהיר על איסוף נתונים שנעשה בהם שימוש זמני לטעינת דפים ושירות בקשות אחרות בצד הלקוח בזמן אמת, לפני שהנתונים האלה נרשמים בשרתים של המפתח וישמשו למטרות אחרות?

אם השימוש הזה הוא זמני, המפתח לא צריך לכלול אותו בסעיף אבטחת הנתונים בחבילת המטא-נתונים של האפליקציה. עם זאת, המפתח חייב להצהיר על כל שימוש בנתוני המשתמשים האלה מעבר לעיבוד הזמני, כולל כל המטרות שבהן המפתח משתמש בנתוני המשתמשים שמתועדים ביומן.