Код

7 дек 2021
0

Создатели Android-приложений раскроют, какие данные они собирают и что с ними делают

Google вводит новый инструмент Data safety, а мы спросили разработчиков, как это скажется на индустрии и пользователях и чего ждать от новых правил.

Иллюстрация: Meery Mary для Skillbox Media

Мария Даровская

Журналист, коммерческий автор и редактор. Пишет про IT, цифровой маркетинг и бизнес.
Сайт: darovska.com.

Теперь создатели мобильных приложений обязаны заполнять специальную форму в консоли разработчика, где указывают, какие данные собирает их приложение, как оно их хранит, куда отправляет и будет ли шифровать.

Информацию из этой формы Google Play будет показывать пользователям ещё до установки приложения — чтобы люди могли выбирать подходящий мобильный софт. Сами пользователи увидят раздел «Безопасность данных» уже в феврале 2022 года, но разработчики смогут потянуть с заполнением формы до апреля 2022 года. Дальше Google начнёт «принимать меры».

Мы поговорили с опытными Android-разработчиками и выяснили, к чему стоит готовиться создателям мобильных приложений и обладателям Android-смартфонов.

Алексей Ершов

Android-разработчик в Whoosh

Администратор Telegram-канала: @Android_Architecture

Google, следуя мировому тренду обеспечения безопасности персональных данных пользователей в интернете, хочет сделать более прозрачной и понятной обработку этих персональных данных мобильными приложениями.

Примеры персональных данных:

геолокация пользователя;
имя;
email;
сообщения;
данные о здоровье и состоянии организма;
фотографии;
контакты;
поведение пользователя в приложении;
логи крашей приложения;
идентификационные данные устройства.

Разработчик приложения теперь обязан внести в форму информацию о том, какие пользовательские данные приложение собирает и отправляет во внешний мир — то есть куда угодно снаружи приложения, установленного на устройстве. Так, получателями этих данных могут быть:

серверы, обеспечивающие работу приложения;
сторонние сервисы, например трекеры аналитики и любые другие сторонние SDK, используемые в приложении;
другие приложения, установленные у пользователя на устройстве.

Интересно, что, если данные передаются с использованием end-to-end-шифрования (то есть никто, кроме отправителя и получателя, не может их прочесть, включая разработчиков приложения), их передачу декларировать не нужно.

В форме можно выбрать, какие типы персональных данных собирает приложение и как оно их обрабатывает:

с какой целью идёт сбор данных;
используется ли защищённое соединение для передачи данных;
может ли пользователь по своему желанию удалить эти данные в любой момент;
обязателен ли сбор этих данных для работы приложения.

Пользователь приложения на странице в Google Play будет видеть user-friendly-версию формы, сможет убедиться перед скачиванием, что оно не собирает никаких лишних сведений, и быть уверенным, что его данные будут в безопасности. В теории звучит красиво, но на практике, как говорится, строгость правил компенсируется необязательностью их соблюдения.

А по поводу контроля за фактической реализацией того, что разработчик написал в форме безопасности, Google говорит следующее: «Если мы увидим, что вы обрабатываете данные не так, как описали в форме, мы сможем предпринять в отношении вашего приложения ряд действий — вплоть до удаления приложения». Будет ли проводиться какой-то автоматизированный или ручной аудит приложений на соответствие форме — вопрос открытый.

Так как форма заполняется вручную разработчиком приложения, её можно заполнить как угодно — совершенно не обращая внимания на то, как приложение работает на самом деле. Конечно, самые простые проверки наверняка будут автоматизированы. Например, в случаях, когда в манифесте приложения разрешён нешифрованный HTTP-трафик, а разработчик указал в форме, что приложение шифрует данные.

«Но у меня есть ощущение, что на самом деле такого контроля практически не будет, разработчики станут заполнять форму на „отвали“ и всего лишь создадут ложное ощущение безопасности у пользователей. А пока продолжим следить за этой темой и останемся честными разработчиками — будем заполнять форму корректно».

Кстати, в Google Play Academy даже сделали урок по заполнению формы.

Евгений Бодунов

Разработчик в Guru Maps

Администратор Telegram-канала: @ndk_ru

Это всё движение вслед за Apple — чтобы было видно, какие данные собирает приложение. Надо, чтобы создатели приложений задумались, что собирать всё-всё-всё, может, и не надо, и как-то ограничили сбор. Заполнить эту форму совсем не сложно. Privacy нынче в тренде :)

Из трёх текстовых редакторов или файловых менеджеров с одинаковыми функциями пользователи выберут те, что меньше следят. Пользователям только в плюс. Разработчики могут написать там правду: «Мы следим за вами очень внимательно» — и всё. Штрафов от Google за это нет.

Рекламному рынку всё равно, пока Google не прикроет слежение в баннерах, как это сделала Apple (и благодаря этому большой объём рекламного трафика ушёл в Apple Ads).

Редакция Skillbox Media благодарит администраторов и участников Telegram-сообщества @Android_Architecture.

Марк Мазуров

Android-разработчик в myshows.me

Twitter

Что это?

Для создателей приложения это новая вкладка в консоли разработчика, которую надо заполнить.
Для пользователя это новые пункты на экране приложения в сторе.

Зачем это нужно?

Это забота о пользователе. Хорошо, если вы, как пользователь, знаете, какие данные о вас собирают создатели приложений и что они с ними делают. Например, я бы не стал устанавливать приложение для погоды, которое отправляет в базу данных номер моего телефона.

Что это даст?

Пользователи поймут, как собираются и обрабатываются их персональные данные. Разработчикам нововведение ничего не даёт.

Насколько это усложнит жизнь?

Зависит от приложения. Многим разработчикам придётся самим понять, какие данные они собирают и как с ними работают. Плюс надо будет определить все библиотеки, которые используются в приложении, — ведь они тоже могут собирать какие-то данные о пользователях, причём разработчики зачастую об этом и не догадываются.

Насколько я понял, если не заполнить информацию до дедлайна, вам запретят публиковать обновления.

Как пользователь, я выступаю за это нововведение.

Виктор Вихров

«Яндекс Go»

В ближайшее время разработчикам будет нужно указывать, как они собирают, передают третьим лицам и защищают данные в приложениях, опубликованных в Google Play. Пользователям станет доступен новый раздел на странице приложения — Data safety.

Именно поэтому в консоли разработчика в разделе App Content появились новые подразделы. Вот что надо будет сделать разработчикам:

Ввести информацию об использовании данных в формате опроса.
Указать, собираются ли данные о пользователя в приложении, остаются ли они в хранилищах приложения и используются ли в сторонних библиотеках.
Указать, для чего собираются данные пользователя (прямые функции приложения, аналитика, реклама и так далее).
Указать, зашифрованы ли пользовательские данные, которые приложение передаёт разработчикам, и предоставляют ли они пользователям возможность удалить их.

Это нововведение позволит пользователям понять, какие данные будет собирать приложение и для чего, — причём ещё до его установки. А для разработчиков это серьёзный повод задуматься об использовании и безопасности данных, конфиденциальности пользователей — ведь эта информация может повлиять на решение людей при выборе приложений в Google Play.

Кирилл Розов

Android GDE, DevRel в Surf

Создатель Telegram-канала: @android_broadcast

Чат: @android_broadcast_talks

Откуда и почему появилась Data safety section? Google в последние годы фокусируется на том, чтобы Android становился всё более защищённой системой. Естественно, их платформа для сторонних приложений тоже должна следить за безопасностью. Поэтому в Google Play появляются различные требования и ограничения: например, в системе появляется какая-то новая функциональность, но вы не можете использовать её по своему усмотрению и опубликовать приложение в Google Play. Нет, для начала вам придётся получить одобрение модераторов Google Play.

Вообще, безопасность данных — это явный тренд и в iOS, и в Android. Обе экосистемы стараются защитить их, потому что пользовательские данные уже неоднократно утекали из приложений и выставлялись на продажу. Например, Apple ограничила возможность получения рекламных трекеров пользователей — из-за чего эффективность рекламных кампаний снизилась и Facebook* долго возмущался.

Секция Data safety вынуждает создателей приложений явно декларировать, какие данные они собирают, как они их защищают, что именно они передают во внешние ресурсы и что вообще происходит с пользовательской информацией.

Новая механика позволит ещё до установки приложения понять, что оно делает и как обрабатывает данные. Например, будет очень странно, если приложение-будильник собирает ваши имя, номер телефона и куда-то их отправляет. Это ненормально.

Фактически Google обязал разработчиков всех приложений заполнить специальную форму и указать, какие данные собираются, каким образом они хранятся и как передаются. Потом компания будет проверять заполненные формы (причём наверняка будет и автоматическая, и ручная проверка).

Конечно, с точки зрения пользователей это отличная функция — недобросовестным разработчикам приложений придётся либо заранее вскрыть всю свою подноготную, либо стать добросовестными и действовать в рамках правил. И самый яркий пример тут, как ни странно, — это мобильные приложения соцсетей: они собирают о нас столько информации, что можно будет ахнуть. И когда тот же Facebook* задекларирует список персональных данных, к которым получает доступ их мобильное приложение, все будут в шоке.

Читайте также:

* Решением суда запрещена «деятельность компании Meta Platforms Inc. по реализации продуктов — социальных сетей Facebook* и Instagram* на территории Российской Федерации по основаниям осуществления экстремистской деятельности».