存取私密資訊的權限和 API

簡訊和通話記錄為使用者的個人和私密資料，相關權限適用個人及私密資訊政策規定和下列規範：

受限制權限	規定
通話記錄權限群組 (例如 READ_CALL_LOG、WRITE_CALL_LOG、PROCESS_OUTGOING_CALLS)	應用程式必須由使用者主動註冊為裝置預設的通話或助理處理常式。
簡訊權限群組 (例如 READ_SMS、SEND_SMS、WRITE_SMS、RECEIVE_SMS、RECEIVE_WAP_PUSH、RECEIVE_MMS)	應用程式必須由使用者主動註冊為裝置預設的簡訊或助理處理常式。

 

如果應用程式不具備預設簡訊、通話或助理處理常式的功能，就不得在資訊清單 (包括資訊清單內的預留位置文字) 中宣告要使用上述權限。此外，應用程式必須由使用者主動註冊為預設的簡訊、通話或助理處理常式，才能提示使用者授予這些權限；一旦應用程式不再是預設處理常式，則須立即停止使用該權限。如要瞭解允許的用途和例外狀況，請造訪這個說明中心網頁。

應用程式只能將權限 (及其衍生資料) 用於提供經過核准的應用程式核心功能。核心功能是指應用程式的主要用途，可能不只一種，而且全都必須是應用程式說明中著重介紹及主打的功能。如果沒有核心功能，應用程式就會「毀損」或無法運作。您只能基於提供應用程式核心功能或服務的目的，傳輸、分享或授權使用這類資料，不得將資料用於任何其他用途 (例如改善其他應用程式或服務、放送廣告或是行銷)。您不得透過其他方法 (包括其他權限、API 或第三方來源) 產生資料，卻將來源註明為通話記錄或簡訊相關權限。

裝置位置資訊為使用者的個人和私密資料，適用個人和私密資訊政策、背景位置資訊政策及下列規範：

• 如果應用程式提供現有功能或服務時，不再需要使用受到位置存取權 (例如 ACCESS_FINE_LOCATION、ACCESS_COARSE_LOCATION、ACCESS_BACKGROUND_LOCATION) 保護的資料，就不得存取這類資料。
• 您不得單純為了放送廣告或進行分析，要求使用者提供位置存取權。如果應用程式將這類資料的使用範圍擴及廣告放送，則須遵循我們的廣告政策。
• 應用程式僅可要求最低限度的必要權限 (即概略位置/前景存取權，而非精細位置/背景存取權)，以提供需要使用位置資訊的現有功能或服務，且使用者應合理預期為了享有該功能或服務，應用程式需取得所要求層級的位置資訊。舉例來說，如果應用程式要求或存取背景位置資訊，但理由缺乏說服力，我們可能就會拒絕。
• 背景位置資訊只能用在與應用程式核心功能相關、並有益於使用者的功能。

僅具備前景存取權 (例如「使用時」存取權) 的應用程式可透過前景服務權限存取位置資訊，前提是相關位置資訊使用情形符合下列條件：

• 當使用者在應用程式中執行操作後，應用程式才開始使用位置資訊；以及
• 達到使用者執行操作的目的後，應用程式便立即停止使用位置資訊。

專為兒童設計的應用程式必須遵守闔家適用政策。

如要進一步瞭解相關政策規定，請參閱這篇說明文章。

使用者裝置上的檔案和目錄屬性為使用者的個人和私密資料，適用個人和私密資訊政策規定和下列規範：

• 只有在攸關功能是否得以運作的情況下，應用程式才能要求存取裝置儲存空間，且若非基於重要的使用者導向功能考量，亦不得代表任何第三方要求存取裝置儲存空間。
• 在搭載 R 以上版本的 Android 裝置上，應用程式必須具備 MANAGE_EXTERAL_STORAGE 權限，才能管理共用儲存空間的存取權。如果應用程式以 R 版本為指定目標，並且要求取得共用儲存空間 (「所有檔案存取權」) 的廣泛存取權，則必須在發布前通過適當的存取權審查。假使應用程式獲准使用這項權限，就必須明確提示使用者前往「特殊應用程式存取權」設定，為應用程式啟用「所有檔案存取權」。如要進一步瞭解 R 版本的相關規定，請參閱這篇說明文章。

從裝置查詢到的已安裝應用程式清單屬於使用者的個人和私密資料，適用個人和私密資訊政策規定與下列規範：

如果應用程式的核心用途是啟動、搜尋裝置上的其他應用程式，或是與這些應用程式交互運作，或許可以取得瀏覽裝置上其他已安裝應用程式的適當權限，如下所示：

• 大範圍的應用程式瀏覽權限：有大範圍的瀏覽權限，代表應用程式能夠查看裝置上已安裝的許多應用程式 (套件)。
  • 如果應用程式是指定 30 以上的 API 級別為目標，那麼只有在應用程式需要知道裝置上的任何或所有應用程式，並且/或是與之互通才能正常運作下，才能透過 QUERY_ALL_PACKAGES 取得大範圍的已安裝應用程式瀏覽權限。
    • 如果應用程式可以基於更有針對性的套件瀏覽權限宣告 (例如查詢特定套件並與其互動，而非索取大範圍瀏覽權限) 運作，就不得使用 QUERY_ALL_PACKAGES 權限。
  • 如果應用程式使用其他方法獲取的權限類似與 QUERY_ALL_PACKAGES 權限相關的大範圍級別瀏覽權限，則該權限同樣僅限用於提供使用者取向的核心功能，以及與透過該方法發現的應用程式交互運作。
  • 請參閱這篇說明中心文章，瞭解 QUERY_ALL_PACKAGES 權限可用於哪些用途。
• 有限的應用程式瀏覽權限：所謂有限的瀏覽權限，是指應用程式利用更有針對性 (而非「大範圍抓取」) 的方法查詢特定應用程式 (例如查詢應用程式資訊清單宣告提及的特定應用程式)，所以只會存取最低限度的資料。如果應用程式是以符合政策規定的方式與所查詢的應用程式互相運作，或是管理這類應用程式，就能使用這個查詢方法。
• 如果應用程式需要裝置上已安裝應用程式清單的瀏覽權限，其目的必須與應用程式為使用者提供的核心用途或核心功能直接相關。

我們一律禁止基於分析或廣告營利目的，出售或分享透過 Play 所發行應用程式查詢到的應用程式清單資料。

Accessibility API 不得用於下列用途：

• 未經使用者同意即變更使用者設定，或是不讓使用者停用或解除安裝任何應用程式/服務，但如果家長或監護人透過家長監護應用程式進行授權，或者獲得授權的管理員透過企業管理軟體進行授權，則不在此限。
• 規避 Android 內建的隱私權控制項和通知功能。
• 以涉及欺騙或違反 Google Play 開發人員政策的方式變更或運用使用者介面。

Accessibility API 不應用於遠端通話錄音，應用程式也不得向該 API 發出此類要求。

Accessibility API 的使用情形必須列載於 Google Play 商店資訊中。

IsAccessibilityTool 規範

如果應用程式的核心功能旨在直接協助身心障礙者，可以使用 IsAccessibilityTool，適當地將應用程式公開標示為無障礙工具應用程式。

如果應用程式不符合 IsAccessibilityTool 使用資格，就不得使用這個標記，且必須遵循使用者資料政策所述的醒目揭露事項與同意聲明規定，因為使用者不易瞭解其中的無障礙相關功能。如需更多資訊，請參閱 AccessibilityService API 的說明中心文章。

應用程式在執行必要功能時，必須盡可能採用範圍較有限的 API 和權限來取代 Accessibility API。

若應用程式取得 REQUEST_INSTALL_PACKAGES 權限，即可要求安裝應用程式套件。如要使用這項權限，應用程式的核心功能必須包括：

• 傳送或接收應用程式套件。
• 讓使用者啟動應用程式套件的安裝程序。

許可的功能包括：

• 瀏覽或搜尋網頁
• 支援附件的通訊服務
• 分享、傳輸或管理檔案
• 管理企業裝置
• 備份與還原
• 裝置間遷移/手機間轉移
• 將手機與穿戴式裝置或 IoT 裝置 (例如智慧手錶或智慧型電視) 保持同步的隨附應用程式

核心功能是指應用程式的主要用途，連同構成這項核心功能的其他功能，全都必須是應用程式說明中著重介紹及主打的功能。

REQUEST_INSTALL_PACKAGES 權限不得用於執行自我更新、修改或與資產檔案中的其他 APK 組合，唯裝置管理用途不在此限。所有更新或套件安裝作業都必須遵循 Google Play「裝置與網路濫用行為」政策規定，並須由使用者執行。

透過「健康資料同步」權限存取的資料屬於使用者的個人和私密資料，相關權限使用行為必須遵循使用者資料政策，亦須遵循下列規定：

如果需要透過「健康資料同步」存取資料，請務必以清楚明瞭的方式提出要求。「健康資料同步」只能依據適用政策、條款及細則使用，用途僅限本政策載明的核准用途。也就是說，只有當您的應用程式或服務符合其中一項核准用途，您才能要求取得相應權限。

「健康資料同步」權限的核准用途如下：

• 應用程式或服務提供一或多項有益於使用者健康與健身的功能；在其使用者介面中，使用者可以直接記錄、回報、監控及/或分析自己的體能活動、睡眠、心理健康、營養、健康測量結果、體徵描述和/或其他與健康或健身相關的描述和測量結果。
• 應用程式或服務提供一或多項有益於使用者健康與健身的功能；在其使用者介面中，使用者可以將自己的體能活動、睡眠、心理健康、營養、健康測量結果、體徵描述和/或其他與健康或健身相關的描述和測量結果儲存在手機和/或穿戴式裝置上，並將這些資料分享給符合這些用途的其他裝置端應用程式。

「健康資料同步」是一個通用的資料儲存與分享平台，可讓使用者在 Android 裝置上彙整各種來源的健康與健身資料，並與所選第三方分享這些資料。資料來源可能有很多種，具體由使用者決定。開發人員必須評估「健康資料同步」是否適用於其預定用途，並對「健康資料同步」中用於任何用途 (尤其是研究、健康或醫療用途) 的資料，調查及檢驗資料的來源和品質。

• 若應用程式會使用透過「健康資料同步」取得的資料進行健康相關的人體研究，必須取得參與者的同意聲明；若參與者是未成年人，則須取得其家長或監護人的同意聲明。在徵詢同意時，必須說明以下內容：(a) 研究性質、目的和持續時間；(b) 參與者將經歷的流程、承擔的風險及獲得的好處；(c) 資料的私密性和處理方式 (包括與第三方的任何分享行為) 相關資訊；(d) 可解答參與者問題的聯絡窗口；和 (e) 退出研究的流程。若應用程式會使用透過「健康資料同步」取得的資料進行健康相關的人體研究，必須經符合下列條件的獨立委員會核准：1) 職責是保護參與者的權利、安全和健康；及 2) 有權審查、修改及核准人體研究。此類核准證明必須依要求提供。
• 您同樣有責任確保在將「健康資料同步」和來自「健康資料同步」的任何資料用於預定用途時，確實遵守任何適用的法規或法律要求。除非 Google 為特定 Google 產品或服務提供的標籤或資訊中明確說明，否則針對將「健康資料同步」中包含的任何資料用於任何目的，尤其是研究、健康或醫療用途，Google 一概不為此類使用行為背書，亦不保證此類資料的準確性。對於與透過「健康資料同步」所獲取資料相關的使用行為，Google 不承擔任何責任。

將「健康資料同步」用於適當用途時，您也必須依照以下規定使用透過「健康資料同步」存取的資料。這些規定適用於透過「健康資料同步」取得的原始資料，以及從原始資料匯總、去識別化或衍生的資料。

• 「健康資料同步」平台資料只能用於提供或改進適當用途，或是提供或改進在要求授權應用程式的使用者介面中醒目顯示的功能。
• 只在下列情況下將使用者資料轉移至第三方：
  • 在取得使用者同意聲明的情況下，提供或改進適當用途，或是提供或改進在要求授權應用程式的使用者介面上明確顯示的功能；
  • 安全目的需要 (例如調查濫用行為)；
  • 遵守適用法律和/或法規；或
  • 在預先獲得使用者明確同意後，做為合併、收購或出售的開發人員資產。
• 禁止人類讀取使用者資料，但以下情況除外：
  • 就讀取特定資料取得使用者明確同意；
  • 安全目的需要 (例如調查濫用行為)；
  • 遵守適用法律；或
  • 根據適用隱私權和所在管轄區內的其他適用法律要求，將資料 (包括衍生資料) 匯總並用於內部營運。

您不得出於任何其他目的轉移、使用或出售「健康資料同步」平台資料，包括：

• 將使用者資料轉移或出售給第三方，例如廣告平台、數據經紀人或任何資訊經銷商。
• 為廣告放送目的轉移、出售或使用使用者資料，包括放送個人化廣告或按照興趣顯示廣告。
• 為確認使用者的信用度或貸款目的轉移、出售或使用使用者資料。
• 根據聯邦食品藥物和化妝品法第 201(h) 節規定，將使用者資料轉移、出售或以其他方式與任何可能視為醫療裝置的產品或服務搭配使用，以供該醫療裝置提供規定的功能。
• 為任何目的或以任何涉及受保護的健康資訊 (根據《健康保險流通與責任法案》定義) 的方式轉移、出售或使用使用者資料；如果已就此類用途事先取得 Google 書面同意，則不在此限。

使用「健康資料同步」時，不得違反本政策或其他適用「健康資料同步」條款及細則，包括用於以下目的：

• 如果可以合理預期在應用程式、環境或活動中對「健康資料同步」的使用或相關故障可能導致人員傷亡、環境或財物毀損，則不得將「健康資料同步」用於開發或納入這類應用程式、環境或活動 (例如核子設施的建設或營運、飛航控制系統、維生系統或武器)。
• 不得使用無頭應用程式存取透過「健康資料同步」取得的資料。應用程式必須在應用程式匣、裝置應用程式設定、通知圖示等處清楚顯示可辨識的圖示。
• 不得將「健康資料同步」與在不相容裝置或平台之間同步處理資料的應用程式一起使用。
• 「健康資料同步」不得連結至兒童專用的應用程式、服務或功能。「健康資料同步」未獲准用於主要針對兒童的服務。

在您的應用程式或屬於您的網路服務或應用程式的網站上，請務必揭露您在使用「健康資料同步」資料時會遵循使用限制規定；比如，在首頁連結的專門頁面或隱私權政策中說明：「使用從『健康資料同步』收到的資訊時，會遵循『健康資料同步』權限政策，包括使用限制規定。」

您只能要求存取對於實作應用程式或服務功能具有必要性的權限。

因此：

• 請勿要求存取您不需要的資訊。只要求取得實作產品功能或服務所需要的權限。如果您的產品不需要特定權限，請勿要求這些權限。

健康資料同步會處理健康與健身資料，包括個人和私密資訊。所有應用程式和服務都必須包含隱私權政策，並在其中完整揭露您的應用程式或服務如何蒐集、使用及分享使用者資料。這包括使用者資料的分享對象類型、您如何使用資料、您儲存及保護資料的方式，以及在帳戶遭到停用和/或刪除的情況下對於資料的處理方式。

除了適用法律規定外，您也必須遵循下列規定：

• 您必須揭露應用程式存取、蒐集、使用及分享資料的行為。相關揭露事項必須符合下列規定：
  • 如實表明要存取使用者資料的應用程式或服務為何；
  • 對於應用程式存取、要求及/或蒐集的資料類型，提供清楚準確的資訊；
  • 說明資料的用途和/或分享方式：如果您出於某個原因要求存取資料，但也會將資料用於另一個目的，則必須向使用者告知這兩種用途。
• 為使用者提供說明文件，讓使用者瞭解該如何在您的應用程式中管理及刪除自身資料。

您必須以安全無虞的方式處理所有使用者資料。採取合理、適當的措施來保護所有使用「健康資料同步」的應用程式或系統，以免發生未經授權或非法存取、使用、毀損、遺失、變更或揭露的情形。

建議的安全性做法包括，實施及維護資訊安全管理系統 (如 ISO/IEC 27001 中所述)，並確保您的應用程式或網路服務穩定可靠，不存在 OWASP Top 10 列出的常見安全性問題。

根據應用程式要存取的 API 和使用者授權數量或使用者人數，Google 會要求您的應用程式或服務接受定期安全性評估；如果您的產品會將資料傳輸到使用者裝置外部，則必須從指定第三方獲取評估文件。

如需進一步瞭解應用程式連結至「健康資料同步」的規定，請參閱這篇說明文章。

VpnService 是應用程式擴充及建構其專屬 VPN 解決方案的基礎類別。只有使用 VpnService 並將 VPN 做為核心功能的應用程式，可以建立指向遠端伺服器的安全裝置級通道。例外狀況包括核心功能需要遠端伺服器的應用程式，例如：

• 家長監護和企業管理應用程式。
• 追蹤應用程式使用情況。
• 裝置安全性應用程式 (例如防毒、行動裝置管理服務、防火牆)。
• 網路相關工具 (例如遠端存取)。
• 網頁瀏覽應用程式。
• 由電信業者發布，需要利用 VPN 功能來提供電話或連線服務的應用程式。

VpnService 不得用於下列用途：

• 在未提供醒目揭露事項，也未徵得使用者同意的情況下，蒐集使用者的個人和私密資料。
• 基於營利目的重新導向或操控來自裝置上其他應用程式的使用者流量 (例如重新導向廣告流量，使之流經使用者所在國家/地區以外的國家/地區)。

使用 VpnService 的應用程式必須符合下列規定：

• 在 Google Play 商店資訊中註明 VpnService 的使用情形。
• 必須加密從裝置傳送到 VPN 通道端點的資料。
• 遵循所有《開發人員計畫政策》，包括廣告詐欺、權限和惡意軟體政策。 

USE_EXACT_ALARM 是一項即將推出的新權限，作用是針對以 Android 13 (API 級別 33) 以上版本為目標的應用程式，授予精確鬧鐘功能的存取權。

USE_EXACT_ALARM 是一項受限制權限，只有當應用程式的核心功能支援精確鬧鐘需求，應用程式才能宣告這項權限。要求這項受限制權限的應用程式必須接受審查，若是應用程式不符合使用限制條件，就禁止在 Google Play 發布

精確鬧鐘權限的使用限制

只有在應用程式為使用者提供的核心功能需要精確計時的操作時，應用程式才必須使用 USE_EXACT_ALARM 功能，例如：

• 應用程式是鬧鐘或計時器應用程式。
• 應用程式是會顯示活動通知的日曆應用程式。

如果您需要將精確鬧鐘功能用於上述以外的用途，則應評估能否選擇使用 SCHEDULE_EXACT_ALARM 做為替代方案。

如要進一步瞭解精確鬧鐘功能，請參閱這篇開發人員指南。