Firefox wymaga od nowych rozszerzeń pełnej jawności zbierania danych. Co się zmienia od 3 listopada 2025?

20 godzin temu

Wprowadzenie do problemu / definicja luki

Mozilla ogłosiła, iż od 3 listopada 2025 r. wszystkie nowe dodatki (extensions) do Firefoksa muszą jednoznacznie zadeklarować praktyki zbierania lub transmisji danych osobowych w pliku manifest.json. Informacja ta będzie widoczna podczas instalacji dodatku, a także na stronie listingu w AMO i w about:addons. W pierwszej połowie 2026 r. nowy wymóg ma objąć wszystkie rozszerzenia.

W skrócie

  • Start: 3 listopada 2025 r. – obowiązkowe deklaracje dla nowo zgłaszanych dodatków.
  • Zakres: klucz browser_specific_settings.gecko.data_collection_permissions w manifest.json określający, czy i jakie dane są zbierane/transmitowane (w tym możliwość zadeklarowania „nie zbieram żadnych danych”).
  • Widoczność dla użytkownika: komunikat przy instalacji, karta dodatku w AMO oraz sekcja „Uprawnienia i dane” w about:addons.
  • Zgodność wstecz: dla Firefox < 140 (desktop) / < 142 (Android) developer musi przez cały czas zapewnić własny, wyraźny mechanizm zgody/kontroli.
  • Eskalacja: od I poł. 2026 r. ramy mają być obowiązkowe dla wszystkich rozszerzeń.

Kontekst / historia / powiązania

Mozilla od lat porządkuje zasady dodatków w duchu „No Surprises” – brak niespodzianek dla użytkownika. Zaktualizowane polityki rozszerzeń precyzują m.in. ograniczenia transmisji danych oraz wymogi zgody użytkownika na ich przetwarzanie. Nowy obowiązek deklaracji w manifeście wzmacnia tę filozofię i przenosi najważniejsze informacje bliżej momentu instalacji.

Równolegle Chrome Web Store już od 2021 r. wymaga od twórców rozszerzeń deklaracji praktyk prywatności (sekcja Privacy practices), co pokazuje, iż transparentność stała się rynkowym standardem.

Analiza techniczna / szczegóły wdrożenia

  • Nowy klucz w manifeście:
    browser_specific_settings.gecko.data_collection_permissions – służy do enumeracji kategorii danych osobowych, które rozszerzenie zbiera lub przesyła na zewnątrz. jeżeli nic nie zbiera, należy to explicite zadeklarować (wartość „none”). Po wprowadzeniu tego klucza dodatek musi go utrzymywać w kolejnych wersjach. Błędne/niepełne ustawienie uniemożliwi publikację (odrzucenie przy podpisywaniu w AMO).
  • Prezentacja użytkownikowi:
    Firefox parsuje manifest i pokazuje zebrane deklaracje w oknie instalacji, obok żądanych uprawnień API; ponadto informacje trafiają na listę w AMO i do about:addons.
  • Zgodność oraz wyjątki:
    Dla wersji Firefoksa < 140 (desktop) i < 142 (Android), o ile dodatek nie korzysta z wbudowanego mechanizmu zgody, twórca musi po instalacji wyświetlić własny, czytelny prompt zgody/zarządzania transmisją danych. Zasady opisują, jak ma wyglądać „unmissable” consent UI oraz kiedy wystarczy zgoda implicytna (single-use, self-evident).

Praktyczne konsekwencje / ryzyko

  • Dla użytkowników: łatwiej odróżnić rozszerzenia wymagające szerokiego dostępu do danych od takich, które nic nie zbierają. Mniejsza szansa na „ciemne wzorce” i ukryte telemetry.
  • Dla twórców: konieczność rzetelnego mapowania przepływów danych i utrzymywania zgodności deklaracji z rzeczywistym działaniem (ryzyko blokady publikacji przy nieścisłościach).
  • Dla zespołów bezpieczeństwa: możliwość tworzenia polityk allow-list opartych o deklaracje w manifeście i weryfikacji zgodności w pipeline’ach CI (np. skan manifest.json pod kątem data_collection_permissions).
  • Ryzyko niewłaściwych deklaracji: podobnie jak w ekosystemie Chrome, gdzie błędne lub mylące deklaracje prowadziły do usunięć z Web Store, niewiarygodne opisy mogą skutkować odrzuceniem dodatku i ryzykiem reputacyjnym.

Rekomendacje operacyjne / co zrobić teraz

Dla użytkowników i administratorów:

  1. Przed instalacją sprawdzaj sekcję zbierania danych w oknie instalatora oraz na stronie dodatku w AMO.
  2. W środowiskach korporacyjnych wymuś politykę dopuszczającą wyłącznie rozszerzenia z deklaracją „none” lub z minimalnym, uzasadnionym zakresem.
  3. Audytuj istniejący zestaw rozszerzeń pod kątem planowanej zmiany w 2026 r. – zaplanuj alternatywy dla dodatków, które zbierają nadmiarowe dane.

Dla deweloperów dodatków:

  1. Zidentyfikuj kategorie danych (zgodnie z taksonomią i politykami AMO) i odzwierciedl je w data_collection_permissions. Zaplanuj wartość „none”, jeżeli nic nie zbierasz.
  2. Dla kompatybilności z wersjami < 140 (desktop) / < 142 (Android) zaimplementuj własny, „unmissable” consent UI zgodnie z wytycznymi (jedna strona, jasne opcje, brak wzorców zwodniczych).
  3. Test CI: dodaj walidator schematu manifestu, który sprawdzi obecność i spójność data_collection_permissions; traktuj niespójność jako build breaker.
  4. Dokumentuj zmiany – każda wersja po wprowadzeniu klucza musi go utrzymywać; brak lub błąd = odrzucenie w AMO.

Różnice / porównania z innymi przypadkami

  • Firefox (2025/2026): deklaracje w manifeście + natywna prezentacja przy instalacji; rygorystyczne wymogi UX zgody dla starszych wersji; etapowe wdrożenie (najpierw nowe dodatki, potem wszystkie).
  • Chrome Web Store (od 2021): deklaracje praktyk w Privacy practices w panelu dewelopera i na stronie listingu, certyfikacja zgodności z polityką Limited Use; egzekwowanie poprzez ostrzeżenia i możliwe usunięcie z katalogu.

Podsumowanie / najważniejsze wnioski

Mozilla przenosi informację o prywatności tam, gdzie ma największy efekt – do okna instalacji i manifestu. Dla użytkowników to szybsza, czytelniejsza ocena ryzyka; dla deweloperów – wymóg inwentaryzacji danych i spójnych deklaracji. Organizacje powinny już teraz kształtować politykę rozszerzeń, bo w I połowie 2026 r. ramy mają objąć cały ekosystem dodatków do Firefoksa.

Źródła / bibliografia

  • Mozilla Add-ons Blog: Announcing data collection consent changes for new Firefox extensions (23 października 2025). (blog.mozilla.org)
  • SecurityWeek: New Firefox Extensions Required to Disclose Data Collection Practices (27 października 2025). (SecurityWeek)
  • BleepingComputer: Mozilla: New Firefox extensions must disclose data collection practices (24 października 2025). (BleepingComputer)
  • Firefox Extension Workshop – Add-on Policies: Data Collection and Transmission Disclosure and Control. (Firefox Extension Workshop)
  • Chromium Blog: Transparent privacy practices for Chrome Extensions (18 listopada 2020). (Chromium Blog)
Idź do oryginalnego materiału
  1. Strona główna
  2. RODO i dane osobowe
  3. Firefox wymaga od nowych rozszerzeń pełnej jawności zbierania danych. Co się zmienia od 3 listopada 2025?

Powiązane

Lepiej uważaj na ZUS. Nowa sztuczka zbiera żniwo

Lepiej uważaj na ZUS. Nowa sztuczka zbiera żniwo

10 godzin temu
Karę za złamanie RODO dostanie medyk, a nie lecznica

Karę za złamanie RODO dostanie medyk, a nie lecznica

19 godzin temu
Podróżowałeś samolotem w sierpniu? Twoje dane mogły wyciec

Podróżowałeś samolotem w sierpniu? Twoje dane mogły wyciec

1 dzień temu
AI Mode w Google – nowy etap wyszukiwania

AI Mode w Google – nowy etap wyszukiwania

1 dzień temu
Aż 3,3 mln Polaków ma w tym roku ten obowiązek. Jego zignorowanie grozi karą do 5 tys. zł

Aż 3,3 mln Polaków ma w tym roku ten obowiązek. Jego zignoro...

1 dzień temu
Czy lekarz opowiada za wyciek danych pacjenta z konta PUE ZUS? Precedensowy wyrok NSA

Czy lekarz opowiada za wyciek danych pacjenta z konta PUE ZU...

1 dzień temu
NSA ostrzega: niezaszyfrowany e-mail z danymi osobowymi to zagrożenie

NSA ostrzega: niezaszyfrowany e-mail z danymi osobowymi to z...

3 dni temu
Kiedy zawiadamiać obywatela o naruszeniu ochrony jego danych? istotny wyrok NSA

Kiedy zawiadamiać obywatela o naruszeniu ochrony jego danych...

4 dni temu