作为应用开发者,您需要保护用户并确保应用能够安全稳定地运行,防范任何安全漏洞,包括可能由您所用的软件开发套件 (SDK) 引入的安全漏洞。
作为 SDK 提供方,您不希望 SDK 导致应用或游戏开发者违反 Google Play 开发者政策,进而导致业务中断并受到 Google Play 的违规处置。
无论您是使用 SDK 的应用开发者,还是 SDK 开发者,都应该详细了解用户安全方面的最佳实践。
面向应用开发者的说明
- 在将某个 SDK 集成到您的应用中之前,请确保您知道该 SDK 会使用什么权限、收集哪些数据,以及这样做的原因。将这些信息添加到您的数据安全表单中。请注意,作为应用开发者,您必须对该 SDK 的数据收集行为负责,即使您并不使用该 SDK 的特定功能,也仍要负责。
- 请查看所有 Google Play 开发者政策,其中规定了在什么情况下可以和不能延长所收集的用户数据的使用范围。例如,对于设备位置信息的使用,您必须按照关于提供醒目披露声明与征求用户同意的要求,将这类数据与第三方 / SDK 共享给最终用户。
- 及时掌握 Google Play 政策更新,确保您在应用中添加的 SDK 不会导致应用违反 Play 政策,例如对“设备和网络滥用”政策、广告政策以及与永久性标识符相关的用户数据政策进行了更新。
- 不出售个人信息以及敏感的用户信息。
- 如果应用的违规行为是因 SDK 所致,而您也因此收到违规处置通知,请参阅此参考文档,了解如何解决相应问题。
- 如需了解哪些 SDK 已在 Google Play 管理中心注册,这些 SDK 使用哪些 Android 权限等,请访问 Google Play SDK 索引。
对于 SDK 提供方
- 了解 Google Play 开发者政策。
- 及时了解 Google Play 政策的更新,确保您的 SDK 不会导致应用违反 Play 政策,例如“设备和网络滥用”政策、广告政策以及关于永久性标识符的用户数据政策。
使用 SDK 的应用可能违反了这些政策,因此 Google Play 可能会采取违规处置措施。例如:
- 如果您的 SDK 使用个人数据和敏感用户数据,您必须确保在公开文档中向使用您 SDK 的应用明确说明这一点。
- 如果 SDK 会在运行时加载 JavaScript、Python、Lua 等解释型语言(例如,未打包到应用软件包中),则不得允许可能违反 Google Play 政策的行为(例如,在未经适当目的、披露和同意的情况下收集已安装的软件包)。
- 不出售个人信息以及敏感的用户信息。
- 您的 SDK 中支持最新的 API 安全和数据最少化功能(请点击此处查看 2022 年 4 月的更新)。
- 帮助客户了解您的 SDK 可能会收集哪些用户数据以及使用这些数据的原因,以便应用开发者可以在面向最终用户的醒目披露声明与同意书以及隐私权政策(如适用)中附上这些信息。
- 您应实现会读取并遵守应用开发者收集的用户偏好设置的逻辑,或者确保提供一种机制来让应用开发者根据这一面向用户的用户意见征求事件准确初始化您的 SDK。
- 以易于公开访问和使用的格式提供有关数据使用的信息。这里提供了一种可选格式,您可能有兴趣使用它来发布信息,因为许多开发者都熟悉这种格式。如需查看示例,请参阅 Google Firebase SDK 的数据披露声明和 Google AdMob SDK 的数据披露声明。