作为应用开发者,您需要确保您可以保护用户安全,并确保您的应用免受任何漏洞(包括您使用的软件开发工具包 (SDK) 可能引入的漏洞)的影响,使其安全稳定。
作为SDK 提供商,您不希望您的 SDK 导致应用或游戏开发者违反 Google Play 开发者政策,这可能会扰乱他们的业务,并使他们面临 Google Play 的执法行动。
了解有关用户安全最佳实践的更多信息,无论您是使用 SDK 的应用开发者还是 SDK 开发者。
对于应用开发者
- 在将 SDK 集成到您的应用之前,请确保您了解它使用的权限、收集的数据以及原因。将此信息包含在您的数据安全表单中。请注意,即使您不使用 SDK 的特定功能,您作为应用开发者也应对 SDK 的数据收集行为负责。
- 查看所有与您可以和不可以扩展您已收集的用户数据的使用相关的Google Play 开发者政策。例如,对于设备位置的使用,您必须通过显眼披露和同意要求让最终用户了解您与第三方/SDK 共享此数据的任何情况。
- 随时关注 Google Play 政策更新,以确保您已包含在应用中的 SDK 不会导致您的应用违反 Play 政策,例如对设备和网络滥用政策、广告政策和关于持久性标识符的用户数据政策的更新。
- 不要出售个人和敏感的用户资料。
- 如果您收到关于需要解决的由 SDK 导致的应用违规的执法通知,请参考此参考,了解如何解决此问题。
- 查看Google Play SDK 索引,了解哪些 SDK 在 Google Play Console 上注册,这些 SDK 使用哪些 Android 权限等等。
对于 SDK 提供商
- 了解Google Play 开发者政策。
- 随时关注 Google Play 政策更新,以确保您的 SDK 不会导致应用违反 Play 政策,例如设备和网络滥用政策、广告政策和关于持久性标识符的用户数据政策。使用您的 SDK 的应用可能会违反这些政策,因此可能会面临 Google Play 的执法行动。例如:
- 如果您的 SDK 使用个人和敏感的用户数据,那么您必须确保您已在面向使用您 SDK 的应用的公开文档中明确说明这一点。
- 在运行时加载的具有解释型语言(JavaScript、Python、Lua 等)的 SDK(例如,未与应用一起打包)不得允许潜在的违反 Google Play 政策的行为(例如,未经适当目的、披露和同意而收集已安装的软件包)。
- 不要出售个人和敏感的用户资料。
- 支持您的 SDK 中的最新的 API 安全性和数据最小化功能(请参阅 2022 年 4 月的更新此处)。
- 帮助您的客户了解您的 SDK 可能会收集哪些用户数据以及其使用原因,以便应用开发者可以在其显眼披露和同意中向最终用户说明这一点,并在适用时将其包含在其隐私政策中。
- 您应实现读取并遵守应用开发者收集的用户偏好的逻辑,或者确保存在一种机制,使应用开发者可以根据此面向用户的同意事件准确地初始化您的 SDK。
- 以易于访问和公开使用的格式提供有关您的数据使用情况的信息。这是一个您可能感兴趣的可选格式,用于发布您的信息,因为许多开发者都熟悉此格式。例如,请参阅Google Firebase SDK的数据披露和Google AdMob SDK的数据披露。