Tillatelser og API-er som bruker sensitiv informasjon

Tillatelser for SMS- og samtalelogg anses som personlige og sensitive brukerdata som er underlagt retningslinjene for personligopplysninger og sensitiv informasjon, samt følgende begrensninger:

Begrenset tillatelse	Krav
Tillatelsesgruppe for samtaleloggen (f.eks. READ_CALL_LOG, WRITE_CALL_LOG, PROCESS_OUTGOING_CALLS)	Den må være aktivt registrert som standard telefon- eller assistentbehandler på enheten.
Tillatelsesgruppe for SMS (f.eks. READ_SMS, SEND_SMS, WRITE_SMS, RECEIVE_SMS, RECEIVE_WAP_PUSH, RECEIVE_MMS)	Den må være aktivt registrert som standard SMS- eller assistentbehandler på enheten.

 

Apper som ikke har funksjonalitet for SMS-, telefon- eller Assistent-behandling, kan ikke deklarere bruk av de ovennevnte tillatelsene i manifestet. Dette inkluderer plassholdertekst i manifestet. Apper må også være aktivt registrert som standardbehandlere for SMS-, telefon- eller Assistent-funksjonen før de ber brukere om å godta noen av de ovennevnte tillatelsene, og de må umiddelbart slutte å bruke tillatelsen når de ikke er standardbehandlere lenger. Tillatte bruksområder og unntak er tilgjengelige på denne brukerstøttesiden.

Apper kan bare bruke tillatelsen (og alle data som er generert på grunnlag av tillatelsen) til å levere godkjent kjerneappfunksjonalitet. Kjernefunksjonalitet er definert som appens hovedformål. Dette kan være et sett med kjernefunksjoner, der alle må være tydelig dokumentert og fremhevet i beskrivelsen av appen. Uten kjernefunksjonene er appen «ødelagt» eller ubrukelig. Overføring, deling eller lisensiert bruk av disse dataene er bare tillatt for å levere kjernefunksjoner eller -tjenester i appen, og bruken av dataene kan aldri utvides til noe annet formål (f.eks. forbedring av andre apper eller tjenester, annonsering eller markedsføringsformål). Du kan ikke bruke alternative metoder (inkludert andre tillatelser, API-er eller tredjepartskilder) til å avlede data tilknyttet tillatelsene for SMS- og samtalelogg.

Enhetsposisjon anses som personlige og sensitive brukerdata som er underlagt retningslinjene om personlig og sensitiv informasjon, retningslinjene for bakgrunnsposisjon og de følgende kravene:

• Apper skal ikke ha tilgang til data som er beskyttet av posisjonstillatelser (f.eks. ACCESS_FINE_LOCATION, ACCESS_COARSE_LOCATION, ACCESS_BACKGROUND_LOCATION) når det ikke lenger er nødvendig for å levere funksjoner eller tjenester i appen.
• Du må aldri be om posisjonstillatelser fra brukere hvis det eneste formålet er annonsering eller analyse. Apper som tillater at disse dataene brukes til å vise annonser, må være i samsvar med annonseretningslinjene våre.
• Apper skal be om det laveste tilgangsnivået (dvs. så generelt og lite detaljert som mulig, og i forgrunnen i stedet for bakgrunnen i den grad det er mulig) som er nødvendig for å levere funksjonen eller tjenesten som trenger posisjonen, og det skal gi mening for brukerne at det forespurte posisjonsnivået er nødvendig for funksjonen eller tjenesten. Vi kan for eksempel avslå apper som ber om eller får tilgang til bakgrunnsposisjon uten god nok begrunnelse.
• Apper skal bare bruke bakgrunnsposisjon for å levere funksjoner som er fordelaktige for brukeren og relevante for appens kjernefunksjonalitet.

Apper kan få tilgang til posisjon ved å bruke forgrunnstjenester (når appen bare har tilgang i forgrunnen, f.eks. «når den er i bruk») hvis bruken

• er startet som en fortsettelse av en brukeraktivert handling i appen
• avsluttes umiddelbart etter at det tiltenkte bruksmønsteret til den brukeraktiverte handlingen fullføres av appen

Apper som er utviklet spesifikt for barn, må overholde For hele familien-retningslinjene.

Du finner mer informasjon om retningslinjekravene i denne hjelpeartikkelen.

Filer og katalogattributter på brukeres enheter regnes som personopplysninger og sensitive brukerdata som er underlagt retningslinjene for personopplysninger og sensitiv informasjon samt følgende krav:

• Apper skal bare be om tilgang til enhetslagring hvis det er avgjørende for at appen skal fungere, og de kan ikke be om tilgang til enhetslagring på vegne av tredjeparter til formål som ikke er relatert til kritisk appfunksjonalitet for brukerne.
• Android-enheter som kjører versjon R eller nyere, krever tillatelsen MANAGE_EXTERNAL_STORAGE for å administrere tilgang til delt lagring. Alle apper som er målrettet mot versjon R og ber om omfattende tilgang til delt lagring («Tilgang til alle filer»), må bestå en passende tilgangsvurdering før publisering. Apper som kan bruke denne tillatelsen, må tydelig be brukerne om å slå på «Tilgang til alle filer» for appene sine under «Spesiell apptilgang»-innstillingene. Du finner mer informasjon om kravene for versjon R i denne hjelpeartikkelen.

Når beholdningen av installerte apper er hentet fra en enhet, anses den for å inneholde personlige og sensitive brukerdata som er underlagt retningslinjene for personlig og sensitiv informasjon samt følgende krav:

Apper som har som hovedformål å starte, søke gjennom eller være interoperable med andre apper på enheten, kan få tilgang til andre installerte apper på enheten i et hensiktsmessig omfang. Dette er beskrevet mer detaljert nedenfor:

• Bred apptilgang: Med bred tilgang kan appen din få omfattende (eller «bred») tilgang til andre installerte apper («pakker») på samme enhet.
  • For apper som er målrettet mot API-nivå 30 eller nyere, er bred tilgang til installerte apper via tillatelsen QUERY_ALL_PACKAGES begrenset til spesifikke bruksmønstre der appen ikke fungerer uten å se og/eller ha interoperabilitet med alle andre installerte apper på enheten. 
    • Du kan ikke bruke QUERY_ALL_PACKAGES hvis appen kan fungere med en mer spesifikt målrettet erklæring om pakketilgang (for eksempel ved å søke etter og samhandle med spesifikke pakker i stedet for å be om bred tilgang).
  • Bruk av alternative metoder for å etterligne det brede tilgangsnivået som gis med tillatelsen QUERY_ALL_PACKAGES, er også begrenset til appens brukerrettede kjernefunksjonalitet og interoperabilitet med andre apper som oppdages via slike metoder.
  • Gå til denne artikkelen i brukerstøtten for å lese om bruksmønstre der tillatelsen QUERY_ALL_PACKAGES godtas.
• Begrenset apptilgang: Begrenset tilgang betyr at appen din minimerer tilgangen til data ved å søke etter spesifikke apper via mer målrettede (i stedet for «brede») metoder, for eksempel ved å søke etter spesifikke apper som samsvarer med manifestdeklarasjonen for appen din. Du kan bruke denne metoden til å søke etter apper hvis appen din har interoperabilitet som samsvarer med retningslinjene, samt til å administrere disse appene. 
• Tilgang til beholdningen av installerte apper på en enhet må være direkte relatert til hovedformålet med appen din eller kjernefunksjonaliteten brukere har tilgang til i den. 

Data om appbeholdning som er hentet fra Play-distribuerte apper, skal aldri selges og heller ikke brukes i analyse eller annonser for å generere inntekter.

Accessibility API kan ikke brukes til

• å endre brukerinnstillinger uten brukernes samtykke eller hindre at brukerne kan deaktivere eller avinstallere apper eller tjenester, med mindre dette er autorisert av en forelder eller verge gjennom en app for foreldrekontroll, eller av autoriserte administratorer gjennom programvare for bedriftsadministrasjon 
• å omgå personverninnstillinger og -varsler som er innebygd i Android
• å endre eller bruke grensesnittet på en villedende måte eller på måter som bryter retningslinjene for utviklere på Google Play 

Accessibility API er ikke laget for og kan ikke forespørres for fjernstyrt opptak av lyd i samtaler. 

Bruk av Accessibility API må dokumenteres i Google Play-oppføringen.

Retningsinjer for IsAccessibilityTool

Apper med kjernefunksjonalitet som er ment som direkte støtte for personer med nedsatte funksjonsevner, kan bruke IsAccessibilityTool til å vise offentlig at de er tilgjengelighetsapper.

Apper som ikke er kvalifisert for bruk av IsAccessibilityTool, kan ikke bruke dette flagget og må oppfylle krav om fremtredende informasjon og samtykke, som beskrevet i retningslinjene for brukerdata, ettersom funksjonene knyttet til tilgjengelighet ikke er tydelige for brukerne. Du finner mer informasjon i brukerstøtteartikkelen om AccessibilityService API.

Der det er mulig, må apper bruke API-er og tillatelser med smalere omfang i stedet for Accessibility API for å oppnå ønsket funksjonalitet. 

Med tillatelsen REQUEST_INSTALL_PACKAGES kan apper be om at det installeres appakker. For å bruke denne tillatelsen må appens kjernefunksjonalitet omfatte

• sending eller mottak av appakker
• støtte for brukerstartet installering av appakker

Tillatt funksjonalitet omfatter

• nettsurfing eller søk
• kommunikasjonstjenester som støtter vedlegg
• fildeling, filoverføring eller filbehandling
• administrering av bedriftsenheter
• sikkerhetskopiering og gjenoppretting
• bytte/overføring av enhet/telefon
• følgeapp for synkronisering av telefon med hapå-teknologi eller IoT-enheter (for eksempel smartklokke eller smart-TV)

Kjernefunksjonalitet defineres som hovedformålet med appen. All kjernefunksjonalitet, samt alle kjernefunksjoner som utgjør kjernefunksjonaliteten, må være tydelig dokumentert og fremhevet i beskrivelsen av appen.

Tillatelsen REQUEST_INSTALL_PACKAGES kan ikke brukes til å utføre selvoppdatering, modifisering eller pakking av andre APK-er i elementfilen, med mindre dette gjøres for enhetsadministrering. All oppdatering og pakkeinstallering må overholde Google Play-retningslinjene om misbruk av enheter og nettverk og må startes og gjennomføres av brukeren.

Data det anskaffes tilgang til via Health Connect-tillatelser, betraktes som personlige og sensitive brukerdata som er underlagt retningslinjene om brukerdata samt de følgende tilleggskravene:

Forespørsler om tilgang til data via Health Connect må være tydelige og lette å forstå. Health Connect kan bare brukes i samsvar med de gjeldende retningslinjene og vilkårene samt i de godkjente bruksmønstrene som er beskrevet i disse retningslinjene. Dette betyr at du bare kan be om tilgang til tillatelser for apper eller tjenester som overholder et av de godkjente bruksmønstrene.

Dette er bruksmønstrene som er godkjent for tilgang til Health Connect-tillatelser:

• Apper eller tjenester som har én eller flere funksjoner brukere kan ha nytte av til helse og trening, og som har et brukergrensesnitt hvor brukerne direkte kan loggføre, rapportere, følge med på og/eller analysere fysisk aktivitet, søvn, mental velvære, ernæring, helsemålinger, fysiske beskrivelser og/eller andre beskrivelser og målinger som er knyttet til helse eller trening.
• Apper eller tjenester som har én eller flere funksjoner brukere kan ha nytte av til helse og trening, og som har et brukergrensesnitt hvor brukerne kan lagre fysisk aktivitet, søvn, mental velvære, ernæring, helsemålinger, fysiske beskrivelser og/eller andre beskrivelser og målinger som er knyttet til helse eller trening, på telefonen og/eller hapå-teknologi samt dele dataene med andre installerte apper som oppfyller disse bruksmønstrene.

Health Connect er en lagrings- og delingsplattform til generell bruk, som brukere kan benytte for å samle helse- og treningsdata fra ulike kilder på Android-enheten sin og dele dem med tredjeparter de selv velger å dele dem med. Dataene kan komme fra ulike kilder, avhengig av brukerne. Utviklere må vurdere om Health Connect er egnet for den tiltenkte bruken samt undersøke og sjekke kilden til og kvaliteten på eventuelle data fra Health Connect i forbindelse med alle slags formål – spesielt ved bruk som har å gjøre med forskning, helse eller medisin.

• Apper som brukes til helserelatert forskning på mennesker med data som er anskaffet via Health Connect, må innhente samtykke fra deltakerne. Hvis deltakerne er mindreårige, må det innhentes samtykke fra foreldre eller foresatte. Slikt samtykke må inneholde (a) forskningens art, formål og varighet, (b) prosedyrene, risikoene og fordelene for deltakerne, (c) informasjon om konfidensialitet og behandling av data (inkludert eventuelt deling med tredjeparter), (d) et kontaktpunkt for spørsmål fra deltakerne og (e) prosessen for bruk av angreretten. Apper som brukes til helserelatert forskning på mennesker med data som er anskaffet via Health Connect, må godkjennes av et uavhengig råd som har 1) som mål å ivareta deltakernes rettigheter, sikkerhet og velvære og 2) autoritet til å gå grundig gjennom, endre og godkjenne forskning på mennesker. Det må fremlegges bevis på slik godkjenning på anmodning.
• Det er også du som har ansvaret for å sikre overholdelse av eventuelle forskriftsmessige eller juridiske krav som kan gjelde for den tiltenkte bruken av Health Connect og eventuelle data fra Health Connect. Med unntak av det som er uttrykkelig spesifisert på etikettene eller informasjonen Google gjør tilgjengelig for bestemte Google-produkter eller -tjenester, verken hevder eller garanterer Google at data i Health Connect er nøyaktige for noen som helst type bruk – spesielt ikke for bruk som er tilknyttet forskning, helse eller medisin. Google fraskriver seg alt ansvar tilknyttet bruk av data som anskaffes via Health Connect.

I tillegg til å bruke Health Connect i et egnet bruksmønster, må bruken din av dataene du får tilgang til via Health Connect, også overholde kravene nedenfor. Disse kravene gjelder for rådataene som anskaffes via Health Connect, samt data som aggregeres eller avledes fra rådataene, eller data fra rådataene hvor identifiserende informasjon er fjernet.

• Du må begrense bruken av Health Connect-data til å levere eller forbedre det egnede bruksmønsteret eller de egnede funksjonene som er synlige og fremtredende i brukergrensesnittet til appen forespørselen om tilgang gjelder.
• Du kan bare overføre brukerdata til tredjeparter
  • for å levere eller forbedre det egnede bruksmønsteret eller de egnede funksjonene som er tydelige i brukergrensesnittet til appen forespørselen om tilgang gjelder, og dette kan bare gjøres med brukerens samtykke
  • der det er nødvendig av sikkerhetsgrunner (for eksempel ved undersøkelser om misbruk)
  • for å overholde gjeldende lov og rett og/eller forskrifter
  • i forbindelse med at utvikleren slås sammen med et annet selskap, kjøpes eller selger aktiva, og kun etter at det er innhentet uttrykkelig, skriftlig samtykke fra brukeren
• Du må ikke tillate at mennesker leser brukerdata, med mindre
  • det er innhentet uttrykkelig samtykke fra brukeren om å lese bestemte data
  • det er nødvendig av sikkerhetsgrunner (for eksempel ved undersøkelser om misbruk)
  • det er nødvendig for å overholde gjeldende lov og rett
  • dataene (deriblant avledede data) aggregeres og brukes internt i samsvar med gjeldende juridiske krav til personvern eller andre krav i den aktuelle virkekretsen

All annen overføring, bruk eller salg av data fra Health Connect er forbudt, deriblant

• overføring eller salg av brukerdata til tredjeparter som annonseringsplattformer, datameglere eller personer/selskaper som videreselger informasjon
• overføring, salg eller bruk av brukerdata til visning av annonser, deriblant personlig tilpasset eller interessebasert annonsering
• overføring, salg eller bruk av brukerdata for å avgjøre om brukeren er kredittverdig, eller til utlånsformål
• overføring, salg eller bruk av brukerdata med produkter eller tjenester som kan klassifiseres som medisinsk utstyr i henhold til paragraf 201(h) av Federal Food Drug & Cosmetic Act, hvis det medisinske utstyret skal bruke brukerdataene for å utføre regulerte funksjoner
• overføring, salg eller bruk av brukerdata til noe formål eller på noen måte som involverer beskyttet helseinformasjon (slik dette er definert av HIPAA), med mindre du på forhånd mottar skriftlig godkjenning til slik bruk fra Google

Tilgangen til Health Connect kan ikke brukes i strid med disse retningslinjene eller andre gjeldende Health Connect-vilkår eller -retningslinjer, deriblant til de følgende formålene:

• Du må ikke bruke Health Connect i utarbeiding av, eller for innlemming i, apper, miljøer eller aktiviteter der bruk av eller svikt i Health Connect i rimelig grad kan ventes å føre til dødsfall, personskader, miljøskader eller materielle skader (for eksempel utarbeiding eller drift av atomanlegg, kontrollsystemer for flytrafikk, livredningssystemer eller våpen).
• Du må ikke bruke data som er anskaffet via Health Connect, sammen med hodeløse apper. Apper må vise et tydelig identifiserbart ikon i appfeltet, appinnstillingene på enheten, varselikonene osv.
• Du må ikke bruke Health Connect med apper som synkroniserer data med enheter eller plattformer som ikke er kompatible.
• Health Connect skal ikke kobles til apper, tjenester eller funksjoner som utelukkende er målrettet mot barn. Health Connect er ikke godkjent for bruk i tjenester som primært er rettet mot barn.

En bekreftelse på at bruken din av Health Connect-data overholder kravene til begrenset bruk, må vises i appen din eller på et nettsted som tilhører nettjenesten eller appen din. Dette kan for eksempel være en link på en startside til en egen side eller personvernregler hvor det står: «Bruken av informasjon fra Health Connect overholder retningslinjene for Health Connect-tillatelser, inkludert kravene til begrenset bruk.»

Du kan bare be om tillatelser som er helt nødvendige for å implementere funksjonaliteten til appen eller tjenesten din. 

Dette betyr følgende:

• Du må ikke be om tilgang til informasjon du ikke trenger. Du må bare be om tillatelsene du trenger for å implementere funksjonene eller tjenestene i produktet ditt. Hvis produktet ditt ikke trenger bestemte tillatelser, må du ikke be om dem.

Health Connect behandler data knyttet til helse og trening, noe som inkluderer personlig og sensitiv informasjon. Alle apper og tjenester må ha personvernregler, som må inneholde omfattende beskrivelser av hvordan appene eller tjenestene samler inn, bruker og deler brukerdata. Dette inkluderer hvilke typer parter eventuelle brukerdata deles med, hvordan du bruker dataene, hvordan du lagrer og sikrer dataene, og hva som skjer med dataene når en konto deaktiveres og/eller slettes.

I tillegg til kravene i henhold til gjeldende lov og rett må du også overholde de følgende kravene:

• Du må opplyse om tilgang til, innsamling av, bruk av og deling av data. Dette må
  • gi en nøyaktig representasjon av hvilken app eller tjeneste som ber om tilgang til brukerdata
  • gi klar og tydelig informasjon som forklarer hva slags data appen eller tjenesten får tilgang til, ber om og/eller samler inn
  • forklare hvordan dataene brukes og/eller deles – hvis du for eksempel ber om data til ett formål, men også bruker dem til et annet formål, må du varsle brukerne om begge bruksmønstrene
• Du må ha tilgjengelig hjelpedokumentasjon for brukere, og denne må beskrive hvordan brukerne kan administrere og slette dataene sine fra appen.

Du må behandle alle brukerdata på en sikker måte. Du må treffe rimelige og egnede tiltak for å beskytte alle apper og systemer som bruker Health Connect, mot uautorisert eller ulovlig tilgang, bruk, ødeleggelse, tap, endring og videreformidling.

Noen anbefalte sikkerhetspraksiser er å implementere og opprettholde et system for administrering av informasjonssikkerhet, som beskrevet i ISO/IEC 27001, og å sikre at appen eller nettjenesten din er robust og uten vanlige sikkerhetsproblemer, som beskrevet av «OWASP Top 10»-oversikten.

Avhengig av antallet brukertillatelser eller brukere samt hvilket API som brukes, krever vi at appen eller tjenesten din gjennomgår en periodisk sikkerhetsvurdering og oppnår en vurderingsattest fra en utpekt tredjepart hvis produktet ditt overfører data ut fra brukerens enhet.

Du finner mer informasjon om kravene til apper som kobles til Health Connect, i denne hjelpeartikkelen.

VpnService er en basisklasse som apper kan bruke til å utvide og bygge sine egne VPN-løsninger. Bare apper som bruker VpnService og har VPN som kjernefunksjonalitet, kan opprette en sikker tunnel på enhetsnivå til eksterne tjenere. Unntak inkluderer apper som må ha en ekstern tjener for kjernefunksjonalitet, for eksempel

• foreldrekontroll og apper for bedriftsadministrasjon
• sporing av appbruk
• apper for enhetssikkerhet (for eksempel antivirus, administrering av mobilenheter, brannmur)
• nettverksrelaterte verktøy (for eksempel fjerntilgang)
• nettleserapper
• operatørapper som trenger VPN-funksjonalitet for å levere telefon- eller nettjenester

VpnService kan ikke brukes til

• innsamling av personlige og sensitive brukerdata uten fremtredende informasjon og samtykke
• viderekobling eller manipulering av brukertrafikk fra andre apper på en enhet for å generere inntekt (for eksempel viderekobling av annonsetrafikk via et annet land enn brukerens land)

Apper som bruker VpnService, må

• dokumentere bruken av VpnService i Google Play-oppføringen
• kryptere dataene fra enheten til VPN-tunnelsluttpunktet
• overholde alle programretningslinjene for utviklere , inkludert retningslinjene for annonsesvindel, tillatelser og skadelig programvare

Vi lanserer en ny tillatelse, USE_EXACT_ALARM, som gir tilgang til funksjoner for presis alarm i apper fra og med Android 13 (API-målnivå 33). 

USE_EXACT_ALARM er en begrenset tillatelse. Apper kan kun deklarere denne tillatelsen hvis kjernefunksjonaliteten trenger presise alarmer. Apper som ber om denne begrensede tillatelsen, blir gjennomgått, og de som ikke oppfyller kravene til akseptabel bruk, kan ikke publiseres på Google Play.

Akseptabel bruk for tillatelsen for presise alarmer

Appen kan kun bruke USE_EXACT_ALARM-funksjonen når appens brukerrettede kjernefunksjon trenger presise, tidsstyrte handlinger, for eksempel

• appen er en alarm- eller tidtakerapp
• appen er en kalenderapp som viser hendelsesvarsler

Hvis du har et bruksmønster for presise alarmer som ikke er nevnt ovenfor, bør du vurdere om du heller kan bruke SCHEDULE_EXACT_ALARM.

Du finner mer informasjon om funksjonen for presise alarmer i veiledningen for utviklere.