身為應用程式開發人員,您不僅需要保護使用者安全,也需確保應用程式的運作安全穩定,沒有任何安全漏洞,包括可能經由軟體開發套件 (SDK) 帶來的安全漏洞。
身為 SDK 供應商,您肯定不會希望自己的 SDK 造成應用程式或遊戲開發人員違反 Google Play 開發人員政策規定,因為這可能會導致他們的業務中斷,並讓他們受到 Google Play 的違規處置。
無論您是使用 SDK 的應用程式開發人員,還是 SDK 開發人員,都可以進一步瞭解保障使用者安全的最佳做法。
應用程式開發人員專區
- 在將 SDK 整合至應用程式前,請確實瞭解 SDK 使用的權限、收集的資料類型和原因。請在資料安全性表單中附上這些資訊。請注意,身為應用程式開發人員,您必須對所用 SDK 的資料收集行為負責,即使您並未使用該 SDK 的特定功能亦然。
- 請詳閱所有 Google Play 開發人員政策,瞭解何時可以和何時不可以擴大使用所收集的使用者資料。舉例來說,如果要使用裝置位置,您必須透過顯眼揭露和同意聲明規定,向使用者說明與第三方 / SDK 共用這類資料。
- 請及時瞭解 Google Play 政策更新內容,確保您在應用程式中使用的 SDK 不會造成應用程式違反 Play 政策,例如「裝置與網路濫用行為」政策、「廣告」政策,以及「使用者資料」政策中的永久 ID 相關規定。
- 請勿販售使用者的個人和機密資訊。
- 如果您收到違規處置通知,指出您必須處理 SDK 在應用程式中造成的違規問題,請參閱這篇說明文章,瞭解如何在發現違反政策問題後重新提交應用程式。
- 請參閱 Google Play SDK 索引,瞭解 Google Play 管理中心已註冊哪些 SDK、這些 SDK 使用的 Android 權限,以及其他資訊。
適用於 SDK 供應商
- 瞭解 Google Play 開發人員政策。
請及時瞭解 Google Play 政策更新內容,確保您的 SDK 不會造成應用程式違反 Play 政策,例如裝置與網路濫用行為政策、廣告政策,以及使用者資料政策中的永久 ID 相關規定。如果應用程式使用您的 SDK,就可能違反這些政策,並因此受到 Google Play 的違規處置。例如:
- 如果您的 SDK 會使用使用者的個人和私密資料,您就必須在公開文件中明確向使用該 SDK 的應用程式說明這一點。
- 如果 SDK 會在執行階段載入 JavaScript、Python、Lua 等解譯語言 (例如未封裝於應用程式中),就不得允許可能違反 Google Play 政策規定的行為,例如在沒有正當理由,或未進行適當揭露並徵求使用者同意的情況下,收集已安裝套件的資訊。
- 請勿販售使用者的個人和機密資訊。
讓您的 SDK 支援最新的 API 安全性和資料最小化功能。詳情請參閱2022 年 4 月的網誌文章。
協助客戶瞭解您的 SDK 可能會收集哪些使用者資料,以及為何需要使用這些資料,以便應用程式開發人員將這些資訊加入對使用者顯示的醒目揭露事項和同意聲明中,並視情況將這些資訊加入自身的隱私權政策。
您應該實作一種能讀取應用程式開發人員收集的使用者偏好,並遵循這些偏好的邏輯;或是確保應用程式開發人員可以透過適當機制,根據這類向使用者徵詢同意的事件,將您的 SDK 初始化。
採用方便公眾存取及瀏覽的格式來介紹您的資料用途。以下是您可能想用來發布資訊的選用格式,許多開發人員都熟悉這類格式。如需範例,請參閱 Google Firebase SDK 資料揭露事項和 Google AdMob SDK 資料揭露事項。