作为 **应用开发者**, 您希望确保可以保护用户的安全, 并确保您的应用免受任何漏洞的侵害, 包括可能由您使用的软件开发工具包 (SDK) 引入的漏洞。
作为 **SDK 提供商**, 您不希望您的 SDK 导致应用或游戏开发者违反 Google Play 开发者政策, 这可能会扰乱他们的业务, 并使他们面临 Google Play 的执行措施。
了解有关用户安全的最佳实践, 无论您是使用 SDK 的应用开发者还是 SDK 开发者。
对于应用开发者
- 在将 SDK 集成到您的应用之前, 请确保您了解它使用的权限、收集的数据以及原因。 将此信息包含在您的 数据安全表格 中。 请注意, 即使您不使用 SDK 的特定功能, 您作为应用开发者也应对 SDK 的数据收集行为负责。
- 查看所有与您可以和不能扩展您已收集的用户数据的使用的相关的 Google Play 开发者政策。 例如, 对于设备位置的使用, 您必须通过 醒目的披露和同意要求 让最终用户知道您是否与第三方/SDK 共享此数据。
- 随时关注 Google Play 政策 更新, 以确保您在应用中包含的 SDK 不会导致您的应用违反 Play 政策, 例如对 设备和网络滥用政策、广告政策 和 用户数据政策 (关于持久标识符) 的更新。
- 不要出售个人和敏感的用户资料。
- 如果您收到有关应用中由 SDK 引起的违规行为的执行通知,并且需要解决该问题,请参阅此参考,了解如何解决此问题。
- 查看Google Play SDK 索引,了解哪些 SDK 在 Google Play Console 上注册,这些 SDK 使用哪些 Android 权限等等。
面向 SDK 提供商
- 了解Google Play 开发者政策。
- 及时了解 Google Play 政策更新,确保您的 SDK 不会导致应用违反 Play 政策,例如设备和网络滥用政策、广告政策和用户数据政策(关于持久标识符)。使用您 SDK 的应用可能会违反这些政策,因此 Google Play 可能会对这些应用采取执行措施。例如
- 如果您的 SDK 使用个人和敏感用户数据,则必须确保您在向使用您 SDK 的应用提供的公开文档中明确说明这一点。
- 在运行时加载的解释性语言(JavaScript、Python、Lua 等)SDK(例如,不与应用打包在一起)不得允许可能违反 Google Play 政策的行为(例如,在没有适当目的、披露和同意的情况下收集已安装的软件包)。
- 不要出售个人和敏感的用户资料。
- 在您的 SDK 中支持最新的 API 安全性和数据最小化功能(请参阅 2022 年 4 月的更新此处)。
- 帮助您的客户了解您的 SDK 可能会收集哪些用户数据以及使用原因,以便应用开发者可以在其突出披露和同意中将此信息包含在内,并在适用时将其包含在他们的隐私政策中。
- 您应该实现读取并遵循应用开发者收集的用户偏好的逻辑,或者确保存在一种机制,使应用开发者能够根据此面向用户的同意事件准确地初始化您的 SDK。
- 以易于公开访问和使用的格式提供有关您数据使用的信息。这里有一个可选格式,您可能希望使用它来发布您的信息,因为许多开发者都熟悉这种格式。例如,请参阅Google Firebase SDK 的数据披露和Google AdMob SDK 的数据披露。