SMS & Call Log Permissions – отримання approve від Google Play на чутливі дозволи

Захист персональних даних, що став red-hot темою після прийняття GDPR, з кожним днем стає все більш актуальним. Причина цьому – практика світових топ-компаній, що почали реалізовувати норми GDPR і роблять навіть більше, ніж того вимагається, щоб захистити приватність своїх клієнтів. Однією із таких найбільш відчутних для розробників змін стало запровадження нової політики Google Play щодо наявності у додатках функцій, які передбачають надання SMS&Call Log Permissions при їх встановленні на пристроях.

SMS & Call Log Permissions – це умовна назва, що об’єднує групу дозволів, які надаються користувачами, для того, щоб додаток мав доступ до їх СМС-повідомлень та Журналу викликів. Щодо конкретного переліку, то Google Play залишає його відкритим, і лише наводить як приклад найбільш популярні із них:  

для SMS це такі як:

WRITE_SMS, SEND_SMS, READ_SMS, RECEIVE_SMS, RECEIVE_MMS, RECEIVE_WAP_PUSH;

а для Журналу викликів, то це такі як:

PROCESS_OUTGOING_CALLS, READ_CALL_LOG, WRITE_CALL_LOG тощо.

Тобто, якщо ваш додаток має у маніфесті і надсилає користувачам такі чи інші запити на доступ до SMS або Call Log, то тепер на нього поширюються не тільки вимоги загального характеру, а й спеціальні вимоги до чутливих дозволів платформи Google Play.

Які є загальні вимоги до дозволів?

            Взагалі, Google Play задекларували свою політику обмеження «непотрібних» дозволів вже давно. Так, загальними вимогами до розробників були і залишаються такі як:

• зрозумілість запиту для користувача;
• необхідність запитуваних дозволів для здійснення основних функцій додатка (core app functionality);
• заборона дозволів для прихованих, непідтримуваних або заборонених функцій чи цілей;

Під впливом норм GDPR ці загальні вимоги тепер також встановлюють, що:

• дозволи мають запитуватись у контексті, тобто через поетапну авторизацію (принцип transparency з GDPR);
• дані мають використовуватись лише для цілей, на які користувач надав згоду (принцип purpose limitation з GDPR); а також
• якщо виникає необхідність використовувати дані для інших цілей, то необхідно отримати додаткову згоду на це (вимога, що необхідна для реалізації принципів lawfulness та purpose limitation з GDPR).

А що змінилось для SMS І CALL LOG дозволів?

Поряд із загальними вимогами, що існують для всіх додатків на платформі, наприкінці 2018 року Google Play запровадив ряд нових вимог, що досить суворо обмежили можливість отримувати доступ до СМС і Журналу викликів, а отже – і збирати відповідні дані користувачів за допомогою додатків.

На платформі було встановлено, що тепер дозволи на доступ до СМС і Журналу викликів можуть мати тільки ті додатки, що встановлені користувачами як default handler, тобто як обробники їхніх повідомлень і дзвінків за замовчуванням. Відповідно, усі додатки, які не встановлювались як обробники за замовчуванням, повинні були видалити ці дозволи із додатків і не запитувати їх у користувачів.

Після 9 березня 2019 року додатки тих розробників, які не виконали вимоги платформи, почали блокувати. Були заблоковані навіть такі популярні додатки як Tasker, що викликало серйозну критику зі сторони користувачів. Адже платформа заблокувала багато додатків, які не були безкоштовними для користувачів, і виконували корисні функції, хоч і не були обробниками за замовчуванням.

Через критику користувачів і апеляції, що подавались розробниками на рішення платформи, у Google Play загальну вимогу вирішили послабити, розробивши цілу систему винятків. Але блокування від цього не стали рідшими, тому що більшість розробників не знає, як довести, що твій додаток підпадає під винятки в розумінні політик Google Play.

Що почав вимагати Google play?

В межах нової політики, розробники вже наявних і нових додатків, що вимагають від користувача надати SMS або Call Log Permissions, зобов’язані були подати Permissions Declaration Form (по простому – Форму), щоб платформа офіційно дозволила їх існування на платформі з таким функціоналом, тобто надала свій approve.

Якщо розробники не усунули з програми використання SMS&Call Log дозолів і

(і) не подали Permissions Declaration Form, або

(іі) подали її з невідповідностями чи неправдивими відомостями, або

(ііі) їх додатки не відповідали новим вимогам,

то платформа почала блокувати і видаляти їхні додатки. Оскільки, як зазначалось, використання дозволів на доступ до SMS і журналу дзвінків спочатку дозволили лише default handler, то перші хвилі блокування були дійсно дуже масовими. 

Після першої хвилі банів було розроблено певні винятки із зазначеного загального правила, за якими платформа почала надавати тимчасові дозволи на використання SMS & Call Log Permissions.  Як зазначає сам Google Play, «ці винятки робляться рідко й поширюються не на всіх розробників». І для того, щоб отримати тимчасовий дозвіл потрібно задовольняти дві основні вимоги:

(а) SMS & Call Log Permissions повинен бути необхідним для здійснення основних функцій додатку (core app functionality).

(b) має бути відсутнім будь-який альтернативний метод для здійснення core app functionality.

Як приклади, в яких ситуаціях надаються тимчасові дозволи наразі Google Play вказує наступні групи:

(і) для додатку потрібне підтвердження облікового запису через телефонний дзвінок

(іі) SMS чи Call Log потрібні для резервного копіювання й відновлення

(ііі) SMS або Call Log необхідні для архіву компанії, системи CRM (Customer Relationship Management) або для керування пристроями

(iv) SMS чи Call Log необхідні для автоматичного визначення абонента, виявлення та блокування спаму

(v) SMS та Call Log необхідні для супутніх додатків для підключених пристроїв, які можуть надсилати й отримувати SMS або дзвінки

(vі) SMS або Call Log необхідний для синхронізації між пристроями або передачі SMS чи викликів

(vіі) додаток здійснює автоматизацію пристрою

(vііі) додаток   здійснює   фінансові   трансакції   через   SMS  і пов’язані дії, зокрема надсилає одноразові паролі для підтвердження облікового запису для трансакцій і виявлення шахрайства;

(ix) додаток здійснює відстеження, бюджет і керування фінансовими трансакціями через SMS і пов’язаними діями для підтвердження облікового запису

(x) SMS або Call Log необхідний для фізичної безпеки чи екстрених сповіщень через SMS

(xі) SMS чи Call Log необхідні для проксі-викликів

(xіі) SMS або Call Log необхідний для SMS-розсилки коротких повідомлень

додаток здійснює запис і відображення історії дзвінків на екрані набору номерів

(xііі) додаток призначений для використання через гарнітуру та дисплей автомобіля

Всі ці групи наведені як приклади не просто так –  вони відображають практику, яка складається у Google Play стосовно надання тимчасових дозволів. Окрім цих груп можна також заявити про нове використання – тобто намагатись довести платформі, що основні функції твого додатку не описані в цих групах, але він також корисний і необхідний користувачам, і йому також дуже потрібно мати доступ до SMS чи Call Log.

Більшість розробників почали намагатись заповнити Permission Declaration Form із зазначенням однієї або декількох цих груп винятків, які хоч якось стосувались їх додатка, але раз за разом вони отримували відмову.

Чому так відбувалось? Як показує практика, не можна просто рандомно обрати групу винятків. Якщо функціонал додатка, який в ній описаний, не є для нього основним, тобто не визначає сутність програми, вам відмовлять в погодженні.

Що це означає? Якщо ваш додаток призначений для відстеження Журналу викликів на пристрої дитини батьками, але додатково при цьому він може і блокувати спам на такому пристрої дитини, то блокування спаму навряд чи буде визнано його core function.

То що просто знайти в списку свої CORE FUNCTIONS та й все?

Насправді все не так просто. Вказати, що твій додаток належить до певної групи – недостатньо. У багатьох випадках, коли розробники подавали декларацію лише відмітивши приналежність до якоїсь групи – їм відмовляли в отриманні дозволу. Адже окрім приналежності до конкретної групи, потрібно висвітлити ще ряд важливих аспектів.

Системний аналіз усіх вимог, що наведені в різноманітних статтях, поясненнях та публікаціях Google Play, дозволяє стверджувати, що при оцінці і прийнятті рішення про надання Permissions Declaration Form враховуються наступні критерії:

1. Додаток не повинен порушувати Permissions Policies та Developer Distribution Agreement.

Це загальне положення, однак важливе. Перед тим як відправляти Форму, потрібно переглянути усі положення відповідних документів і перевірити, чи не змінилось нічого у них так, щоб можна було стверджувати, що ви порушуєте їх положення. Якщо раніше, коли ваш додаток просто існував, то порушення могли і не вгледіти, то зараз його ретельно перевірятимуть.

До основних положень, що відносяться до Permissions Policies, є ті, що ми навели у пункті «Які є загальні вимоги до дозволів?» цієї статті. Щодо Developer Distribution Agreement – то він містить значно більше вимог і побудований по типу Правил використання. Його структуру і основні вимоги можна передивитись на сайті платформи.

Якщо при перевірці буде встановлено, що якісь положення цих документів порушуються – approve на sensitive permissions не буде надано.

 2. Необхідною є відкритість та прозорість додатку.

Такі процеси можна висвітлити, описавши весь процес використання даних і показавши, що користувач повністю попереджений про всі дані, які збираються, про всі цілі збору, має змогу оцінити ризики і свідомо надає згоду на використання його даних і так далі.  

3. Додаток має бути корисним та важливим

Google Play має мати змогу оцінити вигоди для кінцевих користувачів, і те, як їх життя покращується із цим додатком «вже сьогодні».

4. Мінімальний вплив на приватність і безпеку

Треба показати як здійснюється захист даних у додатку, які є превентивні механізми для витоку даних тощо.

5. Дозволи мають бути пов’язані зі здійсненням основних функцій додатку

Про це ми вже говорили, але важливо, що при перевірці це має чітко прослідковуватись. Якщо Google не побачить тих зв’язків, які видно вам як розробнику – не ображайтесь, якщо в approve буде відмовлено.  

Окрім всього вищезазначеного, варто ще раз згадати, що подаватись можна не лише в групах, які визначені в Формі, а і заявити про нове використання. Щоб обґрунтувати надання дозволу у такому випадку – вам точно знадобиться пояснювати, чому ви задовольняєте всі ці пункти, описані вище, і чому ваше використання має стати новою групою винятків в їхній політиці.

Якщо ж ви впевнені, що ви обрали правильну групу, але Вам все-таки відмовили у отриманні погодження на наявність чутливих дозволів – не засмучуйтесь, адже у Google Play є процедура апеляції і ви завжди можете спробувати ще раз.

І ще одне – якщо у вашого додатку немає SMS & Call Log Permissions, але є інші дозволи, що теоретично відповідають ознакам чутливих – починайте вивчати як подавати Форму вже зараз, оскільки все свідчить про те, що спеціальні правила можуть найближчим часом бути створені і для інших груп дозволів, що хоч якимось чином можуть впливати на приватність людей, які користуються Google Play.