敏感信息访问权限和 API

短信和通话记录属于用户的个人敏感数据，相关权限使用行为必须遵循个人信息和敏感信息政策以及下列限制：

受限权限	要求
通话记录权限组（例如 READ_CALL_LOG、WRITE_CALL_LOG、PROCESS_OUTGOING_CALLS）	必须由用户主动将应用注册为设备的默认电话或助理处理程序。
短信权限组（例如 READ_SMS、SEND_SMS、WRITE_SMS、RECEIVE_SMS、RECEIVE_WAP_PUSH、RECEIVE_MMS）	必须由用户主动将应用注册为设备的默认短信或助理处理程序。

 

如果应用不具备默认短信、电话或助理处理程序功能，就不得在清单（包括清单中的占位文本）中声明需要使用上述权限。此外，只有在用户主动将应用注册为默认短信、电话或助理处理程序的情况下，应用才能向用户提出上述任何权限请求；当应用不再是默认处理程序时，则必须立即停止使用相应权限。如需了解允许的使用情形和例外情况，请访问此帮助中心页面。

应用只能将权限（及其衍生数据）用于提供已获批准的核心应用功能。核心功能即应用的主要用途，可能包含一组核心性质的功能，这些功能必须均已在应用说明中醒目地载明并宣传。如果失去核心功能，应用就会“损坏”或无法使用。您只能基于提供应用核心功能或服务的目的，转移、分享或许可使用此类数据，不能将此类数据用于任何其他用途（例如改进其他应用或服务、投放广告或营销）。您不得使用其他方法（包括其他权限、API 或第三方来源）衍生属于通话记录或短信相关权限约束范围内的数据。

设备位置信息属于用户的个人敏感数据，与之相关的操作必须遵守个人信息和敏感信息政策和“后台位置信息”政策以及下列要求：

• 如果应用不再需要利用受位置信息权限（例如 ACCESS_FINE_LOCATION、ACCESS_COARSE_LOCATION、ACCESS_BACKGROUND_LOCATION）保护的数据来提供应用内的现有功能或服务，就不得再使用这些数据。
• 您不得纯粹出于广告投放或数据分析目的而请求用户授予位置信息权限。如果应用在此类数据的许可用途基础上额外将其用于广告投放目的，则必须遵守我们的广告政策。
• 即使是为了提供现有功能或服务而需要使用位置信息，应用也应请求最小范围的必要权限（即请求获取粗略位置信息而非精确位置信息、前台权限而非后台权限），并且为相应功能或服务所请求的位置权限级别应在用户的合理预期范围内。例如，如果应用请求在后台获取位置信息或有此获取行为，但理由缺乏说服力，我们可能会拒绝该应用。
• 在后台获取的位置信息仅可用于提供对用户有益及与应用核心功能相关的功能。

如果应用仅有前台使用权（例如“在使用时”），则可以使用前台服务权限获取位置信息，前提是：

• 使用此权限是为了完成用户在应用内发起的操作的后续操作；并且
• 此权限使用行为会在应用完成与用户所发起操作相对应的预期使用情形后立即终止。

专门为儿童设计的应用必须遵守亲子同乐计划政策。

如需详细了解政策要求，请参阅这篇帮助文章。

用户设备上的文件和目录属性属于用户的个人敏感数据，相关权限使用行为必须遵循个人信息和敏感信息政策以及下列要求：

• 应用应仅请求访问对其运行至关重要的设备存储空间，而不得出于与面向用户提供的关键应用功能无关的目的，代表任何第三方请求访问设备存储空间。
• 搭载 Android R 或更高版本的 Android 设备要求有 MANAGE_EXTERNAL_STORAGE 权限才能管理对共享存储空间的访问权限。如果应用以 Android R 为目标平台并请求获得对共享存储空间的广泛访问权限（“所有文件访问权限”），则必须在发布前成功通过相应的访问权限审核。若应用获准使用此权限，还必须明确提示用户在“特殊应用权限”设置下为其应用启用“所有文件访问权限”。如需详细了解 Android R 版本的要求，请参阅这篇帮助文章。

从设备上查询到的已安装应用目录信息属于用户的个人敏感数据，与之相关的操作必须遵守个人信息和敏感信息政策以及下列要求：

如果应用的核心用途是启动、搜索设备上的其他应用或与其他应用进行互操作，那么它可以针对设备上所安装的其他应用获取适当范围的可见性权限，具体如下所述：

• 广泛的应用可见性：广泛的可见性是指应用对设备上所安装的应用（“软件包”）具有大范围的（“广泛的”）发现权限。
  • 对于以 API 级别 30 或更高级别为目标环境的应用，通过 QUERY_ALL_PACKAGES 权限获得的已安装应用广泛可见性仅可用于如下特定使用情形：应用需要知晓设备上安装的任何应用或所有应用，并且/或者要与之进行互操作，才能正常发挥作用。 
    • 如果您的应用使用范围更具体的软件包可见性权限声明（例如，查询特定软件包并与之互动，而不是请求广泛的可见性权限）即可正常运作，那么您不得使用 QUERY_ALL_PACKAGES。
  • 如果应用通过其他方法获取的权限近似于与 QUERY_ALL_PACKAGES 关联的广泛可见性级别权限，那么这种权限也仅限用于面向用户的核心应用功能以及与通过该方法发现的应用进行的互操作。
  • 如需了解 QUERY_ALL_PACKAGES 权限的允许使用情形，请参阅这篇帮助中心文章。
• 有限的应用可见性：有限的可见性是指应用利用更具针对性的（而不是“广泛的”）方法查询特定应用（例如，查询与您的应用清单声明相符的特定应用），从而最大限度地减少数据访问。如果您的应用能够以符合政策的方式与这类应用互操作或管理它们，您可以利用此方法来查询这些应用。
• 您的应用对设备上所安装应用的目录信息的可见性权限必须与用户在您的应用中要实现的核心目的或使用的核心功能直接相关。

通过 Play 分发的应用所查询的应用目录数据不得出售，也不得分享给他方来用于分析或广告获利目的。

无障碍功能 API 不能用于：

• 在未经用户许可的情况下更改用户设置或是不让用户停用或卸载任何应用或服务，除非家长或监护人通过家长控制应用授权，或者已获授权的管理员通过企业管理软件授权；
• 规避 Android 内置的隐私控制机制和通知；
• 以具有欺骗性或违反 Google Play 开发者政策的方式更改或利用界面。

Accessibility API 不应用于远程通话录音，应用也不得向该 API 发出此类请求。

必须在 Google Play 商品详情中注明无障碍功能 API 的使用情形。

关于 IsAccessibilityTool 的指南

如果应用的核心功能旨在直接为残障人士提供支持，这些应用可以使用 IsAccessibilityTool，从而以适当方式公开宣称自身为无障碍应用。

如果应用不符合 IsAccessibilityTool 的使用条件，则不得使用该标记，且必须满足“用户数据”政策中所述的“关于提供醒目披露声明与征求用户同意的要求”，因为应用中的无障碍相关功能往往不是显而易见的。如需了解详情，请参阅 AccessibilityService API 帮助中心文章。

应用必须尽可能使用范围更小的 API 和权限来替代无障碍功能 API，以实现所需功能。

若应用取得 REQUEST_INSTALL_PACKAGES 权限，则可以请求安装应用软件包。若要使用该权限，应用的核心功能必须包括以下操作：

• 发送或接收应用软件包；
• 启动由用户发起的应用软件包安装流程。

许可的功能包括：

• 浏览或搜索网页
• 支持附件的通信服务
• 文件共享、传输或管理
• 企业设备管理
• 备份和恢复
• 设备间迁移/手机间传输
• 用于将手机同步到穿戴式设备或 IoT 设备（例如智能手表或智能电视）的配套应用

核心功能是指应用的主要用途。您必须在应用说明中醒目地载明并强调核心功能以及构成核心功能的所有核心特性。

REQUEST_INSTALL_PACKAGES 权限不得用于执行自我更新、修改或在资源文件中捆绑其他 APK，除非是出于设备管理目的。所有更新或软件包安装操作都必须遵守 Google Play 的“设备和网络滥用”政策，并且必须由用户发起和推进。

使用“健康数据共享”时必须遵守适用的政策、条款及条件，并且仅限于本政策中规定的已批准使用情形。这意味着，只有当应用或服务符合某一种已获批准的使用情形时，您才能请求使用相关权限。

已获批准的使用情形包括：健身和健康、奖励、健身指导、公司健康计划、医疗护理、健康研究以及游戏。

仅当应用或服务的一项或多项功能的设计目的是帮助用户开展有益的健康与健身活动时，应用或服务才能请求使用“健康数据共享”权限。具体包括：

• 应用或服务允许用户直接记录、报告、监控和/或分析自己的身体活动、睡眠状况、心理健康状况、营养状况、健康测量结果、身体特征说明和/或其他与健康或健身相关的说明和测量结果。
• 应用或服务允许用户在设备上存储自己的身体活动、睡眠状况、心理健康状况、营养状况、健康测量结果、身体特征说明和/或其他与健康或健身相关的说明和测量结果。

不得在违反本政策或者其他适用的“健康数据共享”条款及条件或政策的情况下使用“健康数据共享”权限，包括将其用于以下目的：

• 如果可以合理预见到，在应用、环境或活动中使用“健康数据共享”或相关故障可能会导致人员伤亡、环境破坏或财产损失，则不得将“健康数据共享”用于开发这类应用、环境或活动，也不得将其纳入此类应用、环境或活动中（例如建设或操作核设施、空中交通管制系统、生命支持系统或武器）。
• 不得使用无头应用访问通过“健康数据共享”获取的数据。应用必须在应用托盘、设备应用设置、通知图标等位置显示清晰可辨的图标。
• 不得将“健康数据共享”与在不兼容的设备和平台之间同步数据的应用一起使用。
• 不得将“健康数据共享”用于连接仅面向儿童的应用、服务或功能。
• 采取合理且适当的措施来保护使用“健康数据共享”的所有应用或系统，以免遭到未经授权或非法的访问、使用、损坏、损失、篡改或披露。

此外，您还有责任确保遵守可能适用的任何法规或法律要求（根据您对“健康数据共享”及“健康数据共享”中任何数据的预期用途）。除非 Google 在针对特定 Google 产品或服务提供的标签或信息中明确指明，否则 Google 不为将“健康数据共享”中包含的任何数据用于任何用途或目的（尤其是研究、健康或医疗用途）的行为背书，也不保证这些数据的准确性。对于使用通过“健康数据共享”获取的数据的相关行为，Google 概不承担任何责任。

在使用“健康数据共享”时，数据访问和使用活动必须遵守特定限制条件：

• 数据的使用应仅限于提供或改进适当的用例，或者在相关应用的界面中清晰可见的功能。
• 只有在用户明确同意且满足以下条件的情况下，才能将用户数据传输给第三方：出于安全目的（例如，调查滥用行为）、符合适用的法律或法规，或者因组织合并/收购而需要传输这类数据。
• 除非满足以下条件，否则限制人为访问用户数据的行为：已获得用户的明确同意、出于安全目的、符合适用的法律规定，或者按照法律要求出于内部运营目的而需要进行汇总。
• 禁止任何其他传输、使用或出售“健康数据共享”数据的行为，包括：
  • 向第三方（如广告平台、数据代理商或任何信息转销商）传输或出售用户数据。
  • 以投放广告（包括投放个性化广告或针对用户兴趣投放广告）为目的传输、出售或使用用户数据。
  • 以确定用户的信誉度或进行贷款为目的传输、出售或使用用户数据。
  • 通过可能被认定为医疗设备的任何产品或服务传输、出售或使用用户数据，除非医疗设备应用遵守所有适用的法规，包括已事先获得相关监管机构（比如美国食品和药物监管局）的必要官方许可或批准，表明可以将“健康数据共享”数据用于预期用途，并且用户已明确同意此类用途。
  • 出于任何目的或通过任何方式传输、出售或使用涉及受保护健康信息（如《健康保险流通与责任法案》(HIPAA) 中所定义）的用户数据，除非已事先获得 Google 对此类使用行为的书面批准。

您只能请求获取实现产品功能或服务所必需的权限。此类权限请求应仅针对且仅限于必要的数据。

“健康数据共享”管理的是健康与健身数据（包括敏感信息），所有请求访问这些数据的应用都必须具有全面的隐私权政策。隐私权政策必须以透明的方式披露应用如何收集、使用和分享用户数据。开发者不但要遵守相关法律要求，还必须在隐私权政策中包含以下信息：

• 准确描述应用的身份，概述应用访问过的数据以及这些数据与应用的主要功能或推荐内容之间的联系
• 数据保留和删除做法
• 数据处理流程。例如：使用新型加密技术（例如通过 HTTPS）传输数据

如需详细了解与关联“健康数据共享”的应用相关的要求，请参阅这篇帮助中心文章。

VpnService 是供应用扩展和构建自己的 VPN 解决方案的基类。只有使用 VpnService 并将 VPN 作为其核心功能的应用才能创建指向远程服务器的安全设备级隧道。例外情况包括需要远程服务器来实现核心功能的应用，例如：

• 家长控制和企业管理应用。
• 应用使用情况跟踪。
• 设备安全性应用（例如防病毒、移动设备管理、防火墙）。
• 与网络相关的工具（例如远程访问）。
• 网络浏览应用。
• 需要利用 VPN 功能来提供电话或连接服务的运营商应用。

VpnService 不能用于：

• 在未提供醒目披露声明和未征得用户同意的情况下收集个人数据和敏感用户数据。
• 出于变现目的重定向或操控来自某个设备上其他应用的用户流量（例如，重定向广告流量，使之流经与用户所在国家/地区不同的国家/地区）。

使用 VpnService 的应用必须：

• 在 Google Play 商品详情中注明 VpnService 的使用情形；
• 必须加密从设备到 VPN 隧道端点的数据；
• 遵守所有开发者计划政策，包括广告欺诈、权限和恶意软件政策。 

系统将引入一个新的权限 USE_EXACT_ALARM，用于向以 Android 13（目标 API 级别 33）或更高版本为目标平台的应用授予对精确闹钟功能的访问权限。

USE_EXACT_ALARM 是一项受限权限，应用只有在其核心功能支持精确闹钟需求的情况下才能声明此权限。请求此受限权限的应用需要接受审核；如果应用不符合可接受的用例标准，则不允许在 Google Play 上发布。

使用精确闹钟权限的可接受用例

仅当应用面向用户的核心功能需要精确计时的操作时，应用才必须使用 USE_EXACT_ALARM 功能，例如：

• 应用是闹钟或计时器应用。
• 应用是显示事件通知的日历应用。

如果您有上文未涵盖的精确闹钟功能用例，则应评估能否选择使用 SCHEDULE_EXACT_ALARM 作为替代方案。

如需详细了解精确闹钟功能，请参阅此开发者指南。

对于以 Android 14（API 目标级别 34）及更高版本为目标平台的应用，USE_FULL_SCREEN_INTENT 是一项特殊应用访问权限。只有当应用的核心功能属于以下需要高优先级通知的类别之一时，系统才会自动授权应用使用 USE_FULL_SCREEN_INTENT 权限：

• 设置闹钟
• 接听来电或视频通话

请求此权限的应用需要接受审核；如果应用不符合上述条件，系统将不会自动向其授予此权限。在这种情况下，应用必须向用户请求权限，才能使用 USE_FULL_SCREEN_INTENT。

特此提醒，任何使用 USE_FULL_SCREEN_INTENT 权限的行为均必须遵循所有 Google Play 开发者政策，其中包括我们的移动垃圾软件政策、设备和网络滥用政策以及广告政策。全屏 intent 通知不得干扰、中断、损害或以未经授权的方式访问用户的设备。此外，应用不得妨碍其他应用或设备的易用性。

如需详细了解 USE_FULL_SCREEN_INTENT 权限，请访问我们的帮助中心。