13 February 2017

เมื่อ Google Play บังคับให้นักพัฒนาต้องใส่ Privacy Policy เมื่อเข้าถึงความเป็นส่วนตัวของผู้ใช้

Updated on

        ช่วงนี้ผู้ที่หลงเข้ามาอ่านหลายๆคนที่อัปเดตแอปฯขึ้น Google Play Store ก็อาจจะสังเกตเห็นบางอย่างที่เปลี่ยนไปบนนั้น นั่นก็คือการที่ Google Play เริ่มบังคับให้นักพัฒนาใส่ Privacy Policy ให้กับแอปฯที่มีการเข้าถึงข้อมูลส่วนตัวของผู้ใช้

Privacy Policy?

        ผู้ที่หลงเข้ามาอ่านต้องเข้าใจว่าความเป็นส่วนตัวของผู้ใช้งานสมาร์ทโฟนในทุกวันนี้ก็มีประเด็นอยู่มากมาย ถ้าผู้ที่หลงเข้ามาอ่านคนใดที่ติดตามข่าวสารอยู่บ่อยๆก็จะพบว่าเคยมีประเด็นเรื่องแอปฯบางตัวแอบไปดึงข้อมูลผู้ใช้งานไปใช้ประโยชน์โดยไม่ได้รับอนุญาต

        ทั้งนี้ Permission ที่ประกาศไว้ในแอปฯก็แสนจะคลุมเคลือ ทำให้ผู้ใช้งานไม่เข้าใจว่า Permission บางอย่างมีไว้เพื่อทำอะไรในแอปฯนั้นๆ

        บางคนอาจจะคิดว่ามันเป็นแค่เรื่องเล็กๆ แต่ในความเป็นจริงปัญหาเหล่านี้ก็กลายเป็นประเด็นที่ใหญ่โตขึ้นมาง่ายๆจนถึงขนาดฟ้องร้องในศาลได้เช่นกัน ดังนั้นแอปฯส่วนใหญ่มักจะมี Privacy Policy หรือที่เรียกว่า "นโยบายความเป็นส่วนตัว" เพื่อชี้แจงเรื่องนี้โดยเฉพาะ (เรื่องพวกนี้เป็นเรื่องของการชี้แจงเหตุผลเพื่อไม่ให้เกิดปัญหาทางด้านกฏหมายในภายหลัง)


        ซึ่งล่าสุดทาง Google Play ได้ออกข้อบังคับว่าแอปฯใดๆก็ตามที่เข้าถึงข้อมูลส่วนตัวของผู้ใช้ (Sensitive User Data) ก็จะต้องมี Privacy Policy ด้วยทุกครั้ง ทั้งในหน้าดาวน์โหลดแอปฯบน Google Play และในแอปฯนั้นๆ โดยอ้างอิงจาก Privacy and Security [Google Developer Policy Center]

        นั่นหมายความว่าแอปฯใดๆก็ตามที่เข้าถึงข้อมูลส่วนตัวของผู้ใช้งานอย่างเช่น SMS, Contact หรือ Phone State ก็จะต้องมี Privacy Policy ด้วย โดยจะสังเกตได้จากคำเตือนตอนที่มีการอัปโหลด APK ที่มี Permission ที่เข้าข่าย


        และขึ้นเตือนในหน้า Store Listing ด้วยเช่นกัน


        เพิ่มเติม - ตรงนี้เจ้าของบล็อกยังไม่แน่ใจว่าต้องใส่ Privacy Policy ตลอดมั้ย เพราะจากที่สังเกตคือถ้ากรณีที่เพิ่งจะอัปโหลด APK ขึ้นไปเป็นครั้งแรก จะไม่ต้องใส่ แต่ถ้าอัปเดตแอปฯครั้งต่อไป จะบังคับให้ใส่

        สำหรับ Permission ที่เข้าข่ายว่าเป็นการเข้าถึงข้อมูลส่วนตัวของผู้ใช้จะมีดังต่อไปนี้

        • android.permission.CAMERA
        • android.permission.READ_PHONE_STATE
        • android.permission.GET_ACCOUNTS

        อาจจะมี Permission อื่นๆอีกด้วย แต่สำหรับ Permission ที่เข้าถึงพวก Internet, SMS, Location Service, External Storage หรือ Bluetooth จะไม่ถือว่าเข้าข่าย

ถ้าจำเป็นต้องใส่ Privacy Policy จะต้องทำยังไง?

       Privacy Policy ควรจะให้ผู้ใช้สามารถเข้าไปอ่านได้ตลอดเวลา รวมไปถึงการเปลี่ยนแปลง Policy เมื่อมีการอัปเดต ดังนั้นจึง Privacy Policy ควรอยู่ในรูปแบบของหน้าเว็ปไซต์ ซึ่งผู้ใช้ควรจะเข้าถึงหน้าเว็ปดังกล่าวได้จาก 2 วิธีดังนี้

        • หน้าดาวน์โหลดแอปฯใน Google Play Store
        • เข้าจากภายในแอปฯโดยตรง

การใส่ Privacy Policy ในหน้าดาวน์โหลดแอปฯ

        สำหรับการแสดง Privacy Policy บนหน้าดาวน์โหลดแอปฯ สามารถเข้าไปเพิ่มใน Google Play Developer Console ที่เมนู Store Listing > Privacy Policy ได้เลย โดยให้ใส่เป็น URL ของหน้าเว็ป


        โดย Privacy Policy บนหน้าดาวน์โหลดนั้นจะแสดงเป็นเมนูอยู่ที่ด้านล่างสุดของหน้านั้นๆ (เชื่อว่าผู้ใช้ส่วนใหญ่ไม่รู้ด้วยซ้ำว่ามีเมนูนี้อยู่)


การใส่ Privacy Policy ในแอปฯ

        การแสดง Privacy Policy ภายในแอปฯนั้นจะทำแบบไหนก็ได้ ถ้าวิธีที่เหมาะสมที่สุดคือการสร้างเป็นเมนูหนึ่งภายในแอปฯไปเลย (อาจจะอยู่ใน Settings ก็ได้) แล้วสั่งให้ไปเปิดหน้าเว็ปอีกทีหนึ่งเหมือนที่หลายๆแอปฯนิยมทำกัน


การสร้างหน้าเว็ปสำหรับ Privacy Policy 

        ต้องบอกว่าเหมือนกับการสร้างหน้าเว็ปทั่วไปนั่นแหละ แต่ในเนื้อหานั้นจะต้องอธิบายนโยบายในการเข้าถึงข้อมูลผู้ใช้งานภายในแอปฯ ดังนั้นสิ่งที่สำคัญจึงไม่ใช่แค่ว่ามีหน้าเว็ป แต่ต้องเป็นเนื้อหาที่อธิบายได้ครอบคลุมและชัดเจนมากที่สุด ซึ่งตรงนี้เจ้าของบล็อกก็ไม่มีคำแนะนำในส่วนของเนื้อหาซักเท่าไร

        โดยผู้ที่หลงเข้ามาอ่านสามารถเข้าไปศึกษาเรื่องนี้เพิ่มเติมเองได้จาก https://s2imon.github.io/pp4pp/ ที่มีการอธิบายเรื่องการสร้างหน้า Privacy Policy และการกำหนดเนื้อหาของนโยบาย  และนอกจากนี้ในบทความดังกล่าวยังแนะนำเครื่องมือที่จะช่วยสร้าง Privacy Policy ให้ง่ายขึ้นอีกด้วย

        ยกตัวอย่างเช่นของ Private Parts ของ Lookout ที่เปิด Opensource ให้นักพัฒนาสามารถนำ Template สำหรับหน้า Privacy Policy ไปใช้งานได้อย่างอิสระ (แต่ก็ต้องกำหนดเนื้อหาของนโยบายเองและมีหน้าแสดงรายละเอียดแบบเต็มๆ)


สรุป

        ถึงแม้ว่าเรื่อง Privacy Policy จะฟังดูเป็นเรื่องไกลตัวสำหรับผู้ที่หลงเข้ามาอ่าน แต่ในความเป็นจริงแล้วกลับเป็นเรื่องที่ใกล้ตัวพอสมควร ซึ่งแอปฯที่เข้าถึงข้อมูลส่วนตัวของผู้ใช้ก็ควรจะมีการชี้แจงนโยบายการเข้าถึงข้อมูลผู้ใช้ให้ชัดเจนเพื่อให้ผู้ใช้สามารถรับรู้และเข้าใจได้ จะได้ไม่ต้องเกิดปัญหาจากความเข้าใจผิดว่าแอปฯจะเอาข้อมูลไปใช้งานอย่างอื่นนอกเหนือจากที่ชี้แจ้งไว้ในนโยบาย (และก็ไม่ควรทำอะไรเกินกว่าที่อธิบายไว้ใน Privacy Policy)

        สำหรับแอปฯที่มาจากบริษัทใหญ่ๆก็คงจะไม่มีปัญหาอะไร เพราะส่วนใหญ่จะมีการประกาศ Privacy Policy ไว้อย่างชัดเจนอยู่แล้ว แต่สำหรับนักพัฒนาแบบ Individual ก็อาจจะต้องยอมเสียเวลาใส่ใจในเรื่องนี้กันบ้างแล้วล่ะ