應用程式開發人員想確保使用者的安全,以及讓應用程式不受所有安全漏洞影響,包括可能由你使用的軟體開發套件 (SDK) 帶來的安全漏洞。
身為 SDK 供應商,您不希望 SDK 導致應用程式或遊戲開發人員違反 Google Play 開發人員政策,而這可能會破壞他們的業務,並讓他們受到 Google Play 的違規處置。
無論您是使用 SDK 或 SDK 開發人員的應用程式開發人員,都能進一步瞭解保障使用者安全的最佳做法。
應用程式開發人員專區
- 在將 SDK 整合至應用程式前,請務必瞭解 SDK 使用的權限、收集的資料類型與原因。請在資料安全性表單中提供這些資訊。請注意,身為應用程式開發人員,您必須對所用 SDK 的資料收集行為負責,即使您並未使用該 SDK 的特定功能也是如此。
- 詳閱所有 Google Play 開發人員政策,瞭解您能夠及無法延長所收集使用者資料的使用時機。舉例來說,使用裝置位置資訊時,您必須按照醒目揭露事項與同意聲明規定,將使用者的任何第三方/SDK 與第三方/SDK 分享資料。
- 及時瞭解 Google Play 政策更新內容,確保您在應用程式中加入的 SDK 不會導致應用程式違反 Play 政策,例如「裝置與網路濫用行為政策」、「廣告政策」和「使用者資料政策與永久 ID 相關的」政策。
- 請勿販售使用者的個人和機密資訊。
- 如果您收到違規處置通知,指出您必須處理 SDK 在應用程式中造成的違規問題,請參閱這份參考資料,瞭解如何解決問題。
- 查看 Google Play SDK 索引,瞭解 Google Play 管理中心已註冊哪些 SDK、這些 SDK 使用的 Android 權限等等。
SDK 供應商
- 瞭解 Google Play 開發人員政策。
- 及時瞭解 Google Play 政策更新內容,確保您的 SDK 不會造成應用程式違反 Play 政策,例如裝置與網路濫用行為政策、廣告政策,以及永久 ID 的使用者資料政策。使用您 SDK 的應用程式可能會違反這些政策,因此 Google Play 可能會採取違規處置。例如:
- 如果您的 SDK 會使用使用者的個人和機密資料,請務必確保已在公開說明文件中明確向使用 SDK 的應用程式說明這一點。
- 如果 SDK 會在執行階段載入 JavaScript、Python、Lua 等解譯語言 (例如未封裝於應用程式中),則不得允許可能違反 Google Play 政策的行為,例如:在沒有適當用途、揭露相關資訊及取得同意聲明的情況下收集已安裝套件。
- 請勿販售使用者的個人和機密資訊。
- 在 SDK 中支援最新的 API 安全性和資料最小化功能 (請參閱這裡的 2022 年 4 月更新)。
- 協助客戶瞭解 SDK 可能會收集哪些使用者資料,以及收集這些資料的原因,讓應用程式開發人員能夠將這項資訊加入對使用者的醒目揭露事項與同意聲明和適用隱私權政策中。
- 您應該實作能讀取應用程式開發人員收集的使用者偏好,並遵循這些偏好的邏輯;或是確保應用程式開發人員可以透過適當機制,根據這類向使用者徵詢同意的事件,將您的 SDK 初始化。
- 以方便公開存取及取用的格式提供資料使用的相關資訊。以下是您可能想使用選用格式來發布資訊,因為許多開發人員都已熟悉這個格式。如需範例,請參閱 Google Firebase SDK 的資料揭露和 Google AdMob SDK 資料揭露事項。