appfrilans

2 april 2024

Apple inför nya regler kring integritet

Apple skärper integritetskraven i App Store — nya krav på privacy manifests och detaljerade integritetsetiketter för SDK:er träder i kraft. Vad innebär det i praktiken för dig som äger en app?

Apple inför nya regler kring integritet

Från och med våren 2024 ställer Apple krav på att alla appar som använder ett antal utpekade API:er — och alla tredjepartsbibliotek (SDK:er) som samlar in data — måste inkludera en så kallad privacy manifest. Det är en fil som listar exakt vilken data som samlas in, varför och hur den används.

Det är egentligen en naturlig förlängning av det Apple påbörjat med App Privacy Labels i App Store — men nu gäller det inte bara appen som helhet utan också de bibliotek och ramverk man har med sig. Och det är där det börjar bli knepigt.

Vad är ett privacy manifest?

En privacy manifest är en XML-fil (PrivacyInfo.xcprivacy) som läggs in i appen eller SDK:et och beskriver:

  • Vilka API-kategorier som används (t.ex. diskutrymme, användarstandard, filer och mappar)
  • Skälet till varför de används (t.ex. att förbättra funktionalitet)
  • Om data kopplas till användaren eller inte

Apple har pekat ut ett antal "required reason API:er" — systemanrop som kan missbrukas för fingerprinting och liknande. Om din app eller ett SDK du använder anropar något av dessa måste du deklarera varför.

Vad händer om man inte följer reglerna?

Apple skickar mejl med varningar till berörda appar. Vid inlämning av nya versioner kan appen nekas i App Review om manifesten saknas eller är ofullständig. Det är alltså inte en teoretisk risk utan något som faktiskt stoppar releaser.

Vad behöver du som app-ägare göra?

Det praktiska arbetet består av tre delar:

  1. Granska vilka SDK:er ni använder. De flesta stora bibliotek (Firebase, Sentry, Amplitude m.fl.) har uppdaterat sig och inkluderar numera egna privacy manifests. Se till att ni kör senaste versionen.
  2. Skapa en manifest för er egna kod. Om ni anropar required reason API:er direkt i appen behöver ni lägga till en PrivacyInfo.xcprivacy-fil och förklara varför.
  3. Uppdatera App Store Connect-etiketten. Privacy manifestet och App Store-etiketten bör stämma överens — stämmer de inte kan det skapa problem i review.

Min syn på förändringen

Det är bra att Apple driver på det här, men det är tydligt att många appar och SDK:er inte var förberedda. Reglerna är i grunden vettiga — de synliggör hur data faktiskt flödar i en app och tvingar fram en genomgång som borde ha gjorts ändå.

För dig som app-ägare är den viktigaste lärdomen att hålla beroenden uppdaterade och ha en utvecklare som följer med i Apples ekosystem. Det är den sortens löpande underhåll som hindrar att en uppdatering plötsligt blockeras av krav ni inte kände till.

Hör av dig om du är osäker på om er app är i fas med de nya kraven — det är oftast en snabb genomgång att räta ut.