Požadavky na sady SDK

K integraci klíčových funkcí a služeb do svých aplikací vývojáři často používají kód třetích stran (například sady SDK). Když do své aplikace zahrnete sadu SDK, měli byste se ujistit, že své uživatele a aplikaci dokážete ochránit před všemi chybami zabezpečení. V této části ukazujeme, jak se některé z našich stávajících požadavků na ochranu soukromí a zabezpečení uplatňují v kontextu sad SDK a jak vývojářům pomáhají s bezpečnou integrací sad SDK do aplikací.

Pokud do své aplikace zahrnete sadu SDK, nesete odpovědnost za to, že kód a postupy třetích stran nezpůsobí porušení programových zásad služby Google Play pro vývojáře. Je důležité vědět, jak sady SDK použité v aplikaci zacházejí s údaji o uživatelích, která oprávnění používají a jaká data a proč shromažďují. Mějte na paměti, že shromažďování a zpracování údajů o uživatelích pomocí sady SDK musí odpovídat používání těchto dat ve vaší aplikaci v souladu se zásadami.

Důkladně se seznamte se všemi níže uvedenými zásadami a existujícími požadavky zásad, které se týkají sad SDK, a zajistěte, abyste je neporušovali.

Zásady pro údaje o uživatelích

Musíte být transparentní ohledně toho, jak zacházíte s údaji o uživatelích (například s informacemi, které jste o nich a jeho zařízeních shromáždili). To znamená, že musíte zveřejňovat informace o přístupu, shromažďování, využívání, sdílení údajů o uživatelích z vaší aplikace a nakládání s nimi a také musíte omezit využití údajů na účely, které jsou v souladu se zásadami a o nichž uživatele informujete.

Pokud do aplikace zahrnete kód třetí strany (například sady SDK), musíte zajistit, aby tento kód a postupy této třetí strany ve vztahu k údajům o uživatelích z vaší aplikace neporušovaly programové zásady pro vývojáře Google Play, které zahrnují požadavky na používání a zveřejněné informace. Musíte například zajistit, aby vaši poskytovatelé sad SDK neprodávali osobní a citlivé údaje o uživatelích z vaší aplikace. Tento požadavek platí bez ohledu na to, zda jsou údaje o uživatelích přenášeny po odeslání na server nebo prostřednictvím vložení kódu třetí strany do vaší aplikace.

Osobní a citlivé údaje o uživatelích

  • Shromažďování, využívání a sdílení osobních a citlivých údajů získaných prostřednictvím aplikace musíte omezit pouze na funkce aplikace a služeb a pouze na účely, které jsou v souladu se zásadami a přiměřeným očekáváním uživatelů:
    • Aplikace, které využívají osobní a citlivé údaje o uživatelích k zobrazování reklam, musí splňovat zásady inzerce služby Google Play.
  • Všechny osobní a citlivé údaje o uživatelích musíte zpracovávat zabezpečeným způsobem včetně přenosu šifrovaného moderními metodami (např. pomocí protokolu HTTPS).
  • Pokud je to možné, před přístupem k údajům pomocí oprávnění systému Android používejte žádost o oprávnění za běhu.

Prodej osobních a citlivých údajů o uživatelích

Osobní a citlivé údaje o uživatelích nesmíte prodávat.

  • „Prodej“ znamená výměnu nebo přenos osobních a citlivých údajů o uživatelích třetí straně za peněžní úplatu.
    • Za prodej není považován přenos osobních a citlivých údajů iniciovaný uživatelem (například když uživatel pomocí funkce aplikace přenáší soubor třetí straně nebo když se rozhodne použít speciální aplikaci pro výzkumnou studii).

Požadavky na viditelné oznámení a souhlas

V případě, kdy vaše aplikace využívá přístup k osobním a citlivým údajům uživatelů, shromažďuje je, používá nebo sdílí a kdy tyto aktivity nemusejí být v souladu s rozumným očekáváním uživatelů příslušné služby nebo funkce, musíte splnit požadavky na oznámení na viditelném místě a souhlas uvedené v zásadách pro údaje o uživatelích.

Pokud aplikace obsahuje kód třetí strany (například sady SDK), který je určen k automatickému shromažďování osobních a citlivých údajů o uživatelích, musíte do dvou týdnů od přijetí žádosti od Google Play (nebo v rámci delšího časového období uvedeného v žádosti služby Google Play) poskytnout dostatečný důkaz prokazující, že aplikace splňuje požadavky těchto zásad na viditelné oznámení a souhlas, včetně požadavků na čtení, shromažďování, používání a sdílení údajů prostřednictvím kódu třetí strany.

Zajistěte, aby použití kódu třetí strany (například sady SDK) v aplikaci nevedlo k porušení zásad pro údaje o uživatelích.

Další informace o požadavcích na oznámení na viditelném místě a souhlas najdete v tomto článku centra nápovědy.

Příklady porušení zásad způsobených sadami SDK

  • Aplikace se sadou SDK, která shromažďuje osobní a citlivé údaje o uživatelích a nezachází s těmito údaji jako s údaji podléhajícími těmto zásadám pro údaje o uživatelích, včetně přístupu k údajům, nakládání s údaji (včetně nepovoleného prodeje) a požadavků na oznámení na viditelném místě a souhlas.
  • Aplikace se sadou SDK, která ve výchozím nastavení shromažďuje osobní a citlivé údaje o uživatelích v rozporu s požadavky těchto zásad na souhlas uživatele a oznámení na viditelném místě.
  • Aplikace se sadou SDK, která uvádí, že osobní a citlivé údaje o uživatelích shromažďuje pouze k poskytování ochrany před podvody a zneužitím, ale ve skutečnosti shromážděná data také sdílí se třetími stranami pro účely inzerce nebo analýzy.
  • Aplikace se sadou SDK, která odesílá informace o nainstalovaných balíčcích uživatelů a nesplňuje při tom požadavky na oznámení na viditelném místě a/nebo zásady.

Další požadavky na přístup k osobním a citlivým údajům

Požadavky pro jednotlivé činnosti jsou popsány v tabulce níže.

Aktivita Požadavek
Aplikace shromažďuje nebo vzájemně propojuje trvalé identifikátory zařízení (například IMEI, IMSI, sériové číslo SIM karty apod.)

Trvalé identifikátory zařízení není dovoleno propojovat s jinými osobními a citlivými údaji o uživatelích ani s resetovatelnými identifikátory zařízení. Výjimkou jsou pouze následující případy použití:

  • Telefonické služby spojené s identitou SIM karty (například volání přes Wi-Fi spojené s účtem u operátora).
  • Podnikové aplikace pro správu zařízení, které využívají režim vlastníka zařízení.

Tyto způsoby využití musí být uživatelům viditelně oznámeny, jak je uvedeno v zásadách pro údaje o uživatelích.

Alternativní unikátní identifikátory jsou popsány zde.

Další pokyny týkající se inzertního ID Android najdete v zásadách inzerce.
Aplikace cílí na děti Aplikace může obsahovat pouze sady SDK, které mají vlastní certifikaci k použití ve službách určených pro děti. Úplné znění zásad a požadavky najdete v článku Program sad SDK pro reklamy s vlastní certifikací pro rodiny.

 

Příklady porušení zásad způsobených sadami SDK

  • Aplikace využívající sadu SDK, která spojuje IMEI s polohou.
  • Aplikace se sadou SDK, která spojuje Inzertní ID Android s trvalými identifikátory zařízení pro jakékoli reklamní nebo analytické účely.
    Aplikace využívající sadu SDK, která spojuje AAID s e‑mailovou adresou pro účely analýzy.

Sekce Zabezpečení údajů

Každý vývojář musí u každé své aplikace vyplnit sekci Zabezpečení údajů, ve které popíše shromažďování, využití a předávání údajů o uživatelích. Týká se to i dat shromažďovaných a zpracovávaných prostřednictvím knihoven nebo sad SDK třetích stran, které vývojáři ve svých aplikacích používají. Vývojář ručí za přesnost a aktuálnost štítku a uvedených informací. Pokud je to relevantní, údaje v sekci musí být v souladu s oznámeními v zásadách ochrany soukromí aplikace.

Další informace o vyplnění sekce Zabezpečení údajů naleznete v tomto článku centra nápovědy.

Přečtěte si úplné zásady pro údaje o uživatelích.
Zásady pro oprávnění a rozhraní API s přístupem k citlivým údajům

Žádosti o oprávnění a rozhraní API, která mají přístup k citlivým údajům, musí uživatelům dávat smysl. Můžete žádat pouze o oprávnění a rozhraní API s přístupem k citlivým údajům, která jsou nezbytná k implementaci existujících funkcí nebo služeb v aplikaci, které propagujete v záznamu na Google Play. Nesmíte používat oprávnění nebo rozhraní API s přístupem k citlivým údajům, která umožňují přístup k údajům o uživateli nebo zařízení za účelem využití v neuvedených, neimplementovaných nebo nedovolených funkcích. Osobní a citlivé údaje získané prostřednictvím oprávnění nebo rozhraní API s přístupem k citlivým údajům je zakázáno prodávat nebo sdílet za účelem zprostředkování prodeje.

Viz úplné zásady pro oprávnění a rozhraní API s přístupem k citlivým údajům.

Příklady porušení zásad způsobených sadami SDK

  • Aplikace obsahuje sadu SDK, která na pozadí žádá o informace o poloze k nepovoleným nebo nezveřejněným účelům.
  • Aplikace obsahuje sadu SDK, která bez souhlasu uživatele přenáší číslo IMEI získané pomocí oprávnění read_phone_state systému Android.
Zásady ohledně malwaru
Naše zásady ohledně malwaru jsou jednoduché – v ekosystému Android, včetně Obchodu Google Play a zařízení uživatelů, by se nemělo vyskytovat škodlivé chování (tj. malware). Na základě tohoto základního principu se snažíme poskytovat uživatelům a jejich zařízením Android bezpečný ekosystém.

 Malware je každý kód, který by mohl uživatele, jejich data či zařízení vystavit riziku. Mezi malware patří například potenciálně škodlivé aplikace, binární kódy a úpravy aplikačních rámců a dělí se do různých kategorií, jako jsou trojské koně, phishing a spyware, přičemž kategorie neustále aktualizujeme a přidáváme nové.

Požadavky těchto zásad se vztahují také na jakýkoli kód třetí strany (například na sady SDK), který do své aplikace zahrnete.

Viz úplné zásady ohledně malwaru.

Příklady porušení zásad způsobených sadami SDK

  • aplikace, která obsahuje knihovny SDK od poskytovatelů, kteří distribuují škodlivý software,
  • aplikace, která porušuje model oprávnění systému Android či krade identifikační údaje (například tokeny OAuth) jiných aplikací,
  • aplikace, která zneužívá některé funkce k tomu, aby ji nebylo možné odinstalovat či vypnout,
  • aplikace, která deaktivuje SELinux,
  • aplikace zahrnující sadu SDK, která porušuje model oprávnění systému Android tím, že získává zvýšená oprávnění prostřednictvím přístupu k datům v zařízení k neuvedenému účelu,
  • aplikace zahrnující sadu SDK s kódem, který se uživatele klamavě pokouší přimět k předplacení obsahu přes fakturu za mobilní telefonní služby.

Aplikace ke zvýšení oprávnění, které bez oprávnění uživatele odemykají zařízení, jsou klasifikovány jako rootovací.

Spyware

Spyware je škodlivá aplikace, kód nebo chování, které shromažďuje, exfiltruje nebo předává data uživatelů nebo data ze zařízení, aniž by to souviselo s funkcemi, které jsou v souladu se zásadami.

Škodlivý kód nebo chování, které lze považovat za špehování uživatele nebo exfiltraci dat bez odpovídajícího oznámení nebo souhlasu, jsou také považovány za spyware.

Viz úplné zásady ohledně spywaru.

Příklady porušení zásad ohledně spywaru způsobených sadami SDK:

  • Aplikace, která používá sadu SDK přenášející data ze zvukových nahrávek nebo nahrávek hovorů, i když to nesouvisí s funkcí aplikace v souladu se zásadami.
  • Aplikace se škodlivým kódem třetí strany (například sadou SDK), která přenáší data ze zařízení způsobem, který je pro uživatele neočekávaný a/nebo bez odpovídajícího oznámení uživateli nebo souhlasu od uživatele.
Zásady ohledně nevyžádaného softwaru pro mobilní zařízení

Transparentní chování a jasné údaje o zveřejňování

Veškerý kód by měl plnit sliby, které uživateli dal. Aplikace by měly poskytovat všechny avizované funkce. Aplikace by uživatele neměly klamat.

Příklady porušení zásad:

  • inzertní podvody,
  • sociální inženýrství.

Ochrana údajů o uživatelích

Jasně a transparentně vysvětlete způsob používání, shromažďování a sdílení osobních a citlivých údajů o uživatelích a přístup k nim. Použití údajů o uživatelích musí být pokud možno v souladu se všemi příslušnými zásadami ohledně údajů o uživatelích, a je třeba podniknout veškerá opatření k jejich ochraně.

Příklady porušení zásad:

  • shromažďování dat (srov. Spyware),
  • zneužití omezených oprávnění.

Viz úplné zásady ohledně nevyžádaného softwaru pro mobilní zařízení.
Zásady ohledně zneužívání zařízení a sítí

Nepovolujeme aplikace, které neoprávněně zasahují do zařízení uživatele, jiných zařízení či počítačů, sítí, serverů, rozhraní API nebo služeb (mimo jiné včetně jiných aplikací v zařízení, služeb Google nebo sítě autorizovaného operátora), popř. které je narušují, poškozují nebo v nich získávají neoprávněný přístup.

Aplikace ani kód třetích stran (například sady SDK) s interpretovanými jazyky (JavaScript, Python, Lua apod.) načítanými za běhu (například nepřibalenými k aplikaci) nesmějí umožňovat potenciální porušení zásad Google Play.

Nepovolujeme kód, který vnáší chyby zabezpečení nebo je zneužívá. Další informace o nejnovějších bezpečnostních problémech, které byly vývojářům nahlášeny, naleznete v Programu zvyšování zabezpečení aplikací.

Přečtěte si úplné zásady ohledně zneužívání zařízení a sítí.

Příklady porušení zásad způsobených sadami SDK

  • Aplikace, které zprostředkovávají služby proxy třetím stranám, tak mohou činit pouze v případě, že se jedná o primární a pro uživatele jasně viditelný účel aplikace.
  • Vaše aplikace zahrnuje sadu SDK, která stahuje spustitelný kód, jako jsou soubory dex nebo nativní kód, z jiného zdroje než z Google Play.
  • Vaše aplikace zahrnuje sadu SDK se zobrazeními WebView s rozhraními JavaScriptu, která načítají nedůvěryhodný webový obsah (např. adresy URL se schématem http://) nebo neověřené adresy URL získané z nedůvěryhodných zdrojů (např. z nedůvěryhodných objektů Intent).
  • Vaše aplikace zahrnuje sadu SDK, která obsahuje kód k aktualizaci svého vlastního souboru APK.
  • Vaše aplikace zahrnuje sadu SDK, která uživatele vystavuje ohrožení zabezpečení stahováním souborů přes nezabezpečené připojení.
  • Vaše aplikace používá sadu SDK, která obsahuje kód ke stažení nebo instalaci aplikací z neznámých zdrojů mimo Google Play.
  • Vaše aplikace zahrnuje sadu SDK, která používá služby v popředí k nepovoleným účelům.
  • Vaše aplikace zahrnuje sadu SDK, která používá služby v popředí k účelům, které zásady povolují, ale v manifestu aplikace to není deklarováno.
Zásady pro klamavé chování

Nepovolujeme aplikace, které se pokoušejí klamat uživatele nebo napomáhají nepoctivému chování, včetně aplikací, které funkčně nejsou možné. Aplikace musejí ve všech částech metadat poskytovat pravdivá sdělení, popisy a obrázky/videa funkcí. Aplikace nesmějí napodobovat funkce nebo upozornění operačního systému ani jiných aplikací. Jakékoli změny nastavení zařízení musí být provedeny s vědomím a souhlasem uživatele a uživatel musí mít možnost tyto změny vrátit zpět.

Přečtěte si úplné zásady ohledně klamavého chování.

Transparentnost chování

Funkce aplikace musí být pro uživatele jasně srozumitelná. Nezahrnujte skryté a nezdokumentované funkce ani funkce čekající na aktivaci. Není dovoleno vyhýbat se recenzím. U aplikací může být vyžadováno poskytnutí dalších podrobností k zajištění bezpečnosti uživatelů, integrity systému a dodržování zásad.

Příklad porušení zásad, které způsobila sada SDK

  • Aplikace obsahuje sadu SDK, která slouží k vyhýbání se recenzím.

Které zásady pro vývojáře Google Play jsou v důsledku použití sad SDK nejčastěji porušovány?

Prostudujte si všechny následující zásady. Pomůže vám to zajistit, aby kód třetích stran použitý ve vaší aplikaci splňoval zásady služby Google Play pro vývojáře:

K porušení těchto zásad dochází nejčastěji. Špatný kód sad SDK však u aplikace může vést i k porušení jiných zásad, které výše nejsou uvedeny. Nezapomeňte si prostudovat všechny zásady a sledovat jejich aktuální znění, protože jako vývojář aplikací odpovídáte za to, aby sady SDK ve vaší aplikaci nakládaly s jejími daty v souladu se zásadami.

Další informace najdete v centru nápovědy.

Pomohly vám tyto informace?

Jak bychom článek mohli vylepšit?

Potřebujete další pomoc?

Vyzkoušejte tyto další kroky:

Kontaktujte nás Řekněte nám víc a my vám pomůžeme
true
Vyhledávání
Vymazat vyhledávání
Zavřít vyhledávání
Hlavní nabídka
8240984427786742698
true
Prohledat Centrum nápovědy
true
true
true
true
true
92637
false
false
false
false