Новые правила конфиденциальности iOS-приложений [декабрь 2020]

Вместе с анонсом iOS 14, iPadOS 14 и tvOS 14 Apple объявила, что с 2021 года правила конфиденциальности платформы изменятся. А совсем недавно компания представила новое требование – «маркировку» приложений по типам собираемых данных.

Давайте разберемся, что разработчику нужно предусмотреть в своем приложении или игре. Какие правила начнут действовать уже скоро, а какие – только в следующем году.

Главные изменения приватности в iOS 14, iPadOS 14 и tvOS 14

IDFA

В начале 2021 года ожидаются изменения, связанные с отслеживанием пользователей. Основным нововведением станет принцип прямого согласия пользователя на использование уникального идентификатора его устройства (IDFA). А также на его отслеживание и передачу другим компаниям. Это касается и рекламных целей при загрузке приложения. Будет действовать принцип opt in – вы не сможете обрабатывать данные пользователя, пока он не дал на это разрешение. Если же вы этого не сделаете, то вам могут отказать в публикации или обновлении.

Тут нужно уточнить, что сейчас схема работает наоборот, то есть opt out. Юзер по-умолчанию дает согласие на использование данных, пока прямо от этого не отказался. Потому, например, всего 30% пользователей iPhone в США пользуются правом запрета на обработку персональных данных.

Видимо это новое правило Apple вводит для себя очень вовремя: в Европе уже начались разбирательства, связанные с соответствием текущего процесса сбора IDFA европейским правилам о приватности (GDPR).

По состоянию на середину ноября по данным AppsFlyer 37% участников рынка не знали о том, что грядут такие изменения. В то же время 74% опрошенных маркетологов ожидают негативные финансовые последствия от изменений в правилах согласия на IDFA. Они предполагают потери идентифицирующей информации о как минимум 50% своих потребителей.

Маркеры приложений

Также недавно Apple представила новые «маркеры». Требование о них вступит в силу 8 декабря 2020 года. С новыми изменениями приложения получат 14 маркировок работы с персональными данными – по типам информации, которая обрабатывается. Что туда входит:

Контактная информация (имя, имейл, номер телефона и тд).
Данные из Health, а также фитнес-приложений.
Платежная информация.
Данные геолокации.
Деликатная информация (раса, сексуальная ориентация, инвалидность, политические взгляды, вероисповедание и тд).
Список контактов.
Пользовательские данные (содержание сообщений, доступ к фотографиям, запись геймплея и тд)
История браузера.
История поиска.
ID личности и устройства.
История покупок.
Данные об использовании приложения (фактически, вся аналитика работы и рекламная аналитика).
Информация о работе приложения (креш-логи, производительность и тд).
Любые другие данные (самая удивительная категория данных – то есть по сути Apple оставляет за собой право толковать термин «пользовательские данные» максимально широко).

Все пункты в списке касаются не только вашей непосредственной работы, но и функционала аналитических и рекламных сервисов, которые встроены в ваше приложение или игру.

Теперь разработчик с помощью App Store Connect должен предоставлять полную информацию о процессе сбора данных. В том числе, там же нужно добавить ссылку на свою политику конфиденциальности. Затем эта информация будет отображаться на странице приложения или игры, чтобы пользователи могли заранее ознакомиться со схемой обработки персональной информации – еще до того, как скачают приложние.

Что важно включить в уведомление?

Цель сбора персональных данных – аналитика, кастомизация рекламы и тому подобное.
Какие данные собирает ваше приложение – из списка выше.
Что вы передаете другим компаниям – рекламным сетям, аналитическим инструментам, сторонним SDK или другим производителям, если в вашем приложении есть их код.
Привязываются ли собранные данные к личности, учетной записи или устройству пользователя.
Следит ли ваше приложение за поведением пользователя.
И наконец, нужно добавить ссылку на вашу Privacy Policy.

Да, и теперь вы обязаны обновлять свои ответы в App Store Connect, если в вашей схеме обработки данных что-то изменилось.

В каких случаях не нужно указывать работу с персональными данными?

По факту, отмечать новые «маркеры» и публиковать политику конфиденциальности придется практически всем мобильным разработчикам. Реклама, встроенные покупки, аналитика, анализ производительности, работа с фото и видео – весь этот функционал потребует маркировки.

В правилах Apple упоминается набор условий, которым должно соответствовать приложение, чтобы не ставить маркировку. Вы не должны собирать информацию с целью «трекинга» пользователя или в рекламных целях. Данные могут собираться нерегулярно, лишь по желанию юзера, и работа с персональной информацией – это не основное назначение приложения. Также пользователю должно быть предельно очевидно, как и какой именно информацией он делится. Притом, ваше приложение должно соответствовать одновременно всем этим условиям.

Соответственно, скорее всего, избежать маркировки может только приложение, которое полностью не работает с данными. Например, однопользовательская игра без рекламы, регистрации и встроенной аналитики.

Словом, ничего кардинально нового делать не нужно. Лишь внимательно отнестись к новым правилам и указать все типы данных, с которыми работает ваше приложение или игра. А вот политику конфиденциальности, если у вас ее нет, стоит подготовить. Подробнее об этом как написать грамотный документ, можно узнать здесь.