Uprawnienia i interfejsy API z dostępem do informacji poufnych

Ten artykuł wkrótce się zmieni

Zaktualizujemy ten artykuł, aby uwzględnić niedawno ogłoszone zmiany.

Aby zapewnić użytkownikom lepsze wrażenia, wprowadzamy nowe ograniczenia dotyczące korzystania z uprawnień USE_FULL_SCREEN_INTENT. W przypadku aplikacji kierowanych na Androida U (poziom API 34) i nowsze wersje zmieniamy te uprawnienia na uprawnienia aplikacji ze specjalnym dostępem. Domyślnie uprawnienia te będą przyznawane tylko tym aplikacjom, których główna funkcjonalność wymaga powiadomień pełnoekranowych. Pozostałe aplikacje będą musiały poprosić użytkownika o wyrażenie zgody. (zmiany obowiązujące od 31 maja 2024 roku)

Aby zapewnić użytkownikom większą prywatność, wprowadzamy zasady dotyczące uprawnień do zdjęć i filmów. Dzięki nim mniej aplikacji będzie mogło prosić o przyznanie szerokich uprawnień do zdjęć i filmów (READ_MEDIA_IMAGES i READ_MEDIA_VIDEO). Aplikacje mogą uzyskiwać dostęp do zdjęć i filmów wyłącznie w celach bezpośrednio związanych ze swoimi funkcjami. W przypadku aplikacji, które mają jednorazową lub rzadką potrzebę dostępu do tych plików, wymagane jest użycie selektora systemowego, takiego jak selektor zdjęć w Androidzie. (obowiązują od 31 sierpnia 2024 r.)

Aktualizujemy zasady dotyczące Health Connect, aby dostosować je do zasad dotyczących aplikacji do dbania o zdrowie i usprawnić proces składania wniosku związanego z Health Connect. Dotychczasowy wniosek oparty na formularzu zostanie w tym roku zastąpiony nową deklaracją w Konsoli Play. (obowiązują od 31 sierpnia 2024 r.)

Podgląd zaktualizowanego artykułu „Uprawnienia i interfejsy API z dostępem do informacji poufnych” znajdziesz na tej stronie.

Prośby dotyczące uprawnień i interfejsów API z dostępem do informacji poufnych powinny być zrozumiałe dla użytkowników. Możesz prosić tylko o uprawnienia i stosowanie interfejsów API, które mają dostęp do danych poufnych, jeśli są konieczne do zaimplementowania bieżących funkcji lub usług wymienionych w informacjach o aplikacji w Google Play. Nie możesz używać uprawnień ani interfejsów API z dostępem do informacji poufnych, które przyznają dostęp do danych użytkownika lub urządzenia, na potrzeby funkcji lub działań, które są nieujawnione, niezaimplementowane albo niedozwolone. Nigdy nie wolno sprzedawać ani udostępniać w celu sprzedaży danych osobowych ani poufnych, do których dostęp jest uzyskiwany po udzieleniu uprawnień lub przez interfejs API z dostępem do informacji poufnych.

Prośby o uprawnienia i dostęp API do danych poufnych wyświetlaj w odpowiednim kontekście (stosując żądania stopniowe). Dzięki temu użytkownicy będą rozumieć, do czego aplikacja potrzebuje konkretnych danych. Dane można wykorzystywać wyłącznie w celach, na które użytkownik wyraził zgodę. Jeśli chcesz użyć danych w innych celach, zapytaj użytkowników, czy zgadzają się na dodatkowe sposoby korzystania z danych, i uzyskaj od nich taką zgodę.

Uprawnienia z ograniczeniami

W uzupełnieniu wymienionych tu zasad – uprawnienia z ograniczeniami to takie, które są określane jako niebezpieczne, szczególne lub wymagające podpisu albo są zgodne z poniższym opisem. Podlegają one tym dodatkowym wymaganiom i ograniczeniom:

  • Dane dotyczące użytkowników lub urządzeń, do których dostęp uzyskuje się na podstawie uprawnień z ograniczeniami, są uznawane za dane osobowe i poufne użytkowników. W takim przypadku obowiązują zasady dotyczące danych użytkownika.
  • Jeśli użytkownik odrzuci prośbę o przyznanie uprawnienia z ograniczeniami, musisz uszanować jego decyzję. Nie wolno fałszywie nakłaniać ani zmuszać użytkowników do przyznawania uprawnień, które nie mają krytycznego znaczenia. Musisz podjąć uzasadnione działania, by dostosować funkcjonowanie aplikacji do użytkowników, którzy nie przyznali dostępu do uprawnień newralgicznych (np. umożliwiając ręczne wpisanie numeru telefonu użytkownikowi, który ograniczył dostęp aplikacji do rejestrów połączeń).
  • Zabronione jest korzystanie z uprawnień w sposób niezgodny z zasadami Google Play dotyczącymi złośliwego oprogramowania (w tym nadużywanie podwyższonych uprawnień).

Niektóre uprawnienia z ograniczeniami są objęte dodatkowymi wymaganiami (szczegóły znajdują się poniżej). Takie ograniczenia mają chronić prywatność użytkownika. W bardzo rzadkich przypadkach możemy zgodzić się na odstępstwa od podanych poniżej wymagań, gdy aplikacja oferuje funkcje, które są bardzo atrakcyjne lub mają znaczenie krytyczne, i nie można ich zapewnić w inny sposób. Takie wyjątki rozważamy, biorąc pod uwagę potencjalne zagrożenia dla prywatności i bezpieczeństwa użytkowników.

 

Uprawnienia dostępu do SMS-ów i rejestru połączeń

Uprawnienia dostępu do SMS-ów i rejestru połączeń są traktowane jako osobowe i poufne dane użytkownika. Podlegają zasadom opisanym w sekcji Dane osobowe i poufne oraz tym ograniczeniom:

Uprawnienia z ograniczeniami Wymaganie
Grupa uprawnień Rejestr połączeń (np. READ_CALL_LOG, WRITE_CALL_LOG, PROCESS_OUTGOING_CALLS) Musi być aktywnie zarejestrowana jako domyślna aplikacja telefonu lub pomocnicza na urządzeniu.
Grupa uprawnień SMS (np. READ_SMS, SEND_SMS, WRITE_SMS, RECEIVE_SMS, RECEIVE_WAP_PUSH, RECEIVE_MMS) Musi być aktywnie zarejestrowana jako domyślna aplikacja do obsługi SMS-ów lub Asystenta na urządzeniu.

 

Aplikacje, których nie można ustawić jako domyślnej aplikacji do obsługi SMS-ów, telefonu lub Asystenta, nie mogą deklarować korzystania z powyższych uprawnień w manifeście. Obejmuje to tekst zastępczy w manifeście. Poza tym, zanim aplikacja wyświetli użytkownikowi prośbę o zaakceptowanie dowolnego z powyższych uprawnień, musi być aktywnie zarejestrowana jako domyślna aplikacja do obsługi SMS-ów, telefonu lub Asystenta. Musi też niezwłocznie przestać korzystać z danego uprawnienia, gdy straci status domyślnej aplikacji do obsługi. Dozwolone przypadki użycia i wyjątki są opisane na tej stronie w Centrum pomocy.

Aplikacja może korzystać z uprawnienia (i dowolnych danych uzyskanych na jego podstawie) wyłącznie do udostępniania swoich zatwierdzonych, kluczowych funkcji. Kluczowa funkcja to podstawowe przeznaczenie aplikacji. Może to być zestaw podstawowych funkcji, z których każda musi być w widoczny sposób udokumentowana i wskazana w opisie aplikacji. Aplikacja bez kluczowych funkcji jest uważana za „zepsutą”, czyli bezużyteczną. Przesyłanie, udostępnianie lub licencjonowane użycie tych danych może odbywać się wyłącznie w związku z zapewnianiem działania kluczowych funkcji i usług aplikacji. Nie wolno używać tych danych do innych celów (np. usprawniania innych aplikacji lub usług bądź w celach marketingowych). Do odczytywania danych uzyskiwanych na podstawie uprawnień dostępu do rejestru połączeń lub SMS-ów nie wolno używać alternatywnych rozwiązań (w tym innych uprawnień, interfejsów API ani zewnętrznych źródeł danych).

 

Dostęp do lokalizacji

Lokalizacja urządzenia uznawana jest za dane osobowe i poufne użytkownika podlegające zasadom dotyczącym danych osobowych i informacji poufnych, zasadom dotyczącym lokalizacji w tle oraz tym wymogom:

  • Aplikacja nie może korzystać z danych wymagających dostępu do lokalizacji (np. ACCESS_FINE_LOCATION, ACCESS_COARSE_LOCATION czy ACCESS_BACKGROUND_LOCATION), które nie są już konieczne do udostępniania bieżących funkcji lub usług aplikacji.
  • Aplikacja nie powinna nigdy prosić użytkowników o dostęp do lokalizacji, jeśli ma to służyć tylko do wyświetlania reklam lub analizy danych. Aplikacje, w których dozwolone użycie tych danych jest poszerzone o wyświetlanie reklam, muszą być zgodne z naszymi zasadami dotyczącymi reklam.
  • Aplikacje powinny prosić o przyznanie dostępu na najniższym poziomie (np. do przybliżonej lokalizacji zamiast dokładnej, na pierwszym planie zamiast w tle) niezbędnym do zapewnienia działania funkcji lub usługi, która wymaga danych o lokalizacji. Użytkownicy powinni spodziewać się, że ta funkcja lub usługa potrzebuje żądanego poziomu dostępu do lokalizacji. Możemy odrzucić aplikacje, które proszą o dostęp do lokalizacji w tle lub z niej korzystają bez wystarczającego uzasadnienia.
  • Lokalizacji w tle można używać wyłącznie do udostępniania użytkownikowi funkcji przynoszących mu korzyści i ściśle związanych z podstawowym przeznaczeniem aplikacji.

Aplikacja może korzystać z dostępu do lokalizacji jako usługa działająca na pierwszym planie (gdy aplikacja ma dostęp tylko na pierwszym planie, np. „podczas używania”), jeśli takie użycie:

  • jest kontynuacją wywołanego przez użytkownika działania w aplikacji,
  • zostaje zakończone natychmiast po prawidłowym wykonaniu przez aplikację działania wywołanego przez użytkownika.

Aplikacje przeznaczone dla dzieci muszą być zgodne z zasadami programu Dla całej rodziny.

Więcej informacji o wymaganiach wynikających z tych zasad znajdziesz w tym artykule pomocy.

 

Uprawnienia dostępu do wszystkich plików

Atrybuty plików i katalogów na urządzeniu użytkownika są traktowane jako osobowe i poufne dane użytkownika. Podlegają zasadom opisanym w sekcji Dane osobowe i poufne oraz tym ograniczeniom:

  • Aplikacje powinny prosić o dostęp do pamięci urządzenia, jeśli jest on niezbędny do działania aplikacji, i nie mogą prosić o dostęp do pamięci urządzenia w imieniu osób trzecich w żadnym celu niezwiązanym z niezbędnymi, widocznymi dla użytkownika funkcjami aplikacji.
  • Urządzenia z Androidem w wersji R lub nowszej wymagają uprawnień MANAGE_EXTERNAL_STORAGE, by zarządzać dostępem w pamięci współdzielonej. Wszystkie aplikacje kierowane na Androida R i żądające szerokiego dostępu do pamięci współdzielonej („Dostęp do wszystkich plików”) muszą przed opublikowaniem pomyślnie przejść odpowiednią kontrolę dostępu. Aplikacje, które mogą korzystać z tych uprawnień, muszą wyraźnie informować użytkowników o włączeniu opcji „Dostęp do wszystkich plików” w ustawieniach „Aplikacje ze specjalnym dostępem”. Więcej informacji o wymaganiach dotyczących Androida R znajdziesz w tym artykule w Centrum pomocy.

 

Uprawnienia do wyświetlania pakietów (aplikacji)

Lista zainstalowanych aplikacji pobierana z urządzenia jest traktowana jako osobowe i poufne dane użytkownika. Podlega ona zasadom dotyczącym danych osobowych i poufnych oraz tym ograniczeniom:

Aplikacje, których podstawowym celem jest uruchamianie innych aplikacji zainstalowanych na urządzeniu, wyszukiwanie ich i współdziałanie z nimi, mogą mieć wgląd w inne aplikacje na tych zasadach:

  • Duża widoczność aplikacji: aplikacja ma szeroki wgląd w zainstalowane aplikacje („pakiety”) na urządzeniu.
    • W przypadku aplikacji używających interfejsu API na poziomie 30 lub nowszym duża widoczność zainstalowanych aplikacji oparta na uprawnieniu QUERY_ALL_PACKAGES jest ograniczona do konkretnych przypadków użycia – gdy aplikacja wymaga do działania informacji o aplikacjach lub współdziałania z niektórymi lub wszystkimi aplikacjami na urządzeniu.
      • Nie możesz używać uprawnienia QUERY_ALL_PACKAGES, jeśli aplikacja może działać z bardziej szczegółową deklaracją widoczności pakietów, np. gdy wyszukuje określone pakiety i wchodzi z nimi w interakcje, zamiast wysyłać prośby o dużą widoczność.
    • Możliwość korzystania z alternatywnych metod szacowania dużej widoczności powiązanej z uprawnieniem QUERY_ALL_PACKAGES również jest ograniczona do podstawowych funkcji aplikacji dostępnych dla użytkowników i współdziałania z aplikacjami wykrytymi za pomocą tej metody.
    • Dozwolone przypadki użycia uprawnienia QUERY_ALL_PACKAGES znajdziesz w tym artykule w Centrum pomocy.
  • Ograniczona widoczność aplikacji: aplikacja maksymalnie ogranicza dostęp do danych, wyszukując określone aplikacje za pomocą bardziej precyzyjnych metod (np. wysyła zapytania dotyczące konkretnych aplikacji, które spełniają wymagania deklaracji w pliku manifestu). Tej metody możesz używać do wysyłania zapytań dotyczących aplikacji, gdy Twoja aplikacja współdziała z tymi aplikacjami lub nimi zarządza zgodnie z zasadami. 
  • Widoczność zasobów reklamowych aplikacji zainstalowanych na urządzeniu musi być bezpośrednio związana z głównym przeznaczeniem lub podstawową funkcją, z której korzystają ich użytkownicy. 

Dane o zasobach aplikacji rozpowszechnianych w Google Play nie mogą być sprzedawane ani udostępniane na potrzeby analityki i zarabiania na reklamach.

 

Accessibility API

Za pomocą interfejsu Accessibility API nie można:

  • zmieniać ustawień użytkownika bez jego zgody ani uniemożliwiać użytkownikowi wyłączenia lub odinstalowania jakiejkolwiek aplikacji bądź usługi, chyba że za zgodą rodzica lub opiekuna wyrażonej w aplikacji do kontroli rodzicielskiej lub za zgodą upoważnionego administratora w ramach oprogramowania do zarządzania w firmach;
  • obchodzić wbudowanych w Androida ustawień prywatności ani powiadomień;
  • zmieniać ani wykorzystywać interfejsu w sposób, który wprowadza w błąd lub narusza zasady dla deweloperów w Google Play.

Interfejs Accessibility API nie służy do zdalnego nagrywania dźwięku połączeń i nie może być do tego używany.

Korzystanie z interfejsu Accessibility API musi być udokumentowane w informacjach o aplikacji w Google Play.

Wytyczne dotyczące atrybutu IsAccessibilityTool

Aplikacje, których podstawowym przeznaczeniem jest bezpośrednie wspieranie osób z niepełnosprawnościami, mogą za pomocą atrybutu IsAccessibilityTool publicznie zaznaczyć, że są aplikacjami ułatwień dostępu.

Aplikacje, które nie kwalifikują się do korzystania z atrybutu IsAccessibilityTool, nie mogą używać tej flagi. Muszą też spełniać wymagania w zakresie wyraźnego informowania i uzyskiwania zgody na gromadzenie informacji, jak opisano w zasadach dotyczących danych użytkownika, ponieważ ich funkcje związane z ułatwieniami dostępu nie są oczywiste dla odbiorcy. Więcej informacji znajdziesz w Centrum pomocy, w artykule dotyczącym interfejsu AccessibilityService API.

Gdy to możliwe, zamiast interfejsu Accessibility API aplikacje muszą korzystać z bardziej ograniczonych uprawnień i interfejsów API, aby zapewnić oczekiwane działanie.

 

Prośba o uprawnienia do instalowania pakietów

Uprawnienie REQUEST_INSTALL_PACKAGES umożliwia aplikacji żądanie zainstalowania jej pakietów. Aby aplikacja mogła z niego skorzystać, jej główna funkcjonalność musi obejmować:

  • wysyłanie lub odbieranie pakietów aplikacji,
  • umożliwianie instalowania przez użytkownika pakietów aplikacji.

Dozwolone funkcje to:

  • przeglądanie stron lub wyszukiwanie w internecie;
  • usługi komunikacyjne, które obsługują załączniki;
  • udostępnianie lub transfer plików albo zarządzanie nimi;
  • zarządzanie urządzeniami firmowymi;
  • tworzenie i przywracanie kopii zapasowej;
  • migracja danych z urządzenia / przenoszenie danych z telefonu;
  • w przypadku aplikacji towarzyszących – synchronizowanie telefonu z urządzeniem do noszenia lub urządzeniem IoT (np. zegarkiem smartwatch lub telewizorem smart TV).

Główna funkcjonalność to ogólne przeznaczenie aplikacji. Główna funkcjonalność, a także wszelkie ważne funkcje, które się na nią składają, muszą być w widoczny sposób udokumentowane i umieszczone w opisie aplikacji.

Uprawnienie REQUEST_INSTALL_PACKAGES nie może być wykorzystywane do przeprowadzania samoaktualizacji, wprowadzania modyfikacji ani do łączenia w pakiety innych plików APK w pliku zasobów w celach innych niż zarządzanie urządzeniem. Wszystkie aktualizacje i instalacje pakietów muszą być zgodne z zasadami Google Play dotyczącymi nadużywania urządzeń lub sieci, a także muszą być inicjowane przez użytkownika.

 

Uprawnienia Health Connect by Android

Dane, do których deweloperzy uzyskują dostęp przy użyciu uprawnień Health Connect, są uznawane za osobowe i poufne dane użytkownika podlegające zasadom dotyczącym danych użytkownika oraz tym dodatkowym wymaganiom:

Uzyskiwanie dostępu do danych Health Connect i korzystanie z nich w odpowiedni sposób

Prośby o dostęp do danych z Health Connect muszą być jasne i zrozumiałe. Z Health Connect można korzystać tylko zgodnie z odpowiednimi zasadami i Warunkami korzystania z usługi oraz tylko w zatwierdzonych przypadkach użycia określonych w tych zasadach. Oznacza to, że można prosić o uprawnienia tylko wtedy, gdy aplikacja lub usługa jest zgodna z jednym z zatwierdzonych przypadków użycia.

Zatwierdzone przypadki użycia pozwalające na dostęp do uprawnień Health Connect:

  • Aplikacje lub usługi z co najmniej 1 funkcją zapewniającą użytkownikom korzyści związane ze zdrowiem i aktywnością fizyczną za pomocą interfejsu, który umożliwia bezpośrednie rejestrowanie, raportowanie, monitorowanie lub analizowanie danych o aktywności fizycznej, śnie, stanie psychicznym lub odżywianiu, pomiarów parametrów zdrowotnych, opisów fizycznych bądź innych opisów i pomiarów związanych ze zdrowiem lub aktywnością fizyczną.
  • Aplikacje lub usługi z co najmniej 1 funkcją zapewniającą użytkownikom korzyści związane ze zdrowiem i aktywnością fizyczną za pomocą interfejsu, który umożliwia przechowywanie na urządzeniu do noszenia lub telefonie danych o aktywności fizycznej, śnie, stanie psychicznym lub odżywianiu, pomiarów parametrów zdrowotnych, opisów fizycznych bądź innych opisów i pomiarów związanych ze zdrowiem lub aktywnością fizyczną, a także udostępnianie tych danych innych aplikacjom na urządzeniu, które spełniają wymogi dopuszczonych przypadków użycia.

Health Connect to platforma ogólnego przeznaczenia do przechowywania i udostępniania danych, która pozwala użytkownikom na agregowanie danych o zdrowiu i kondycji fizycznej z różnych źródeł na posiadanym urządzeniu z Androidem oraz dobrowolne udostępnianie ich osobom trzecim. Dane mogą pochodzić z różnych źródeł określonych przez użytkowników. Deweloperzy muszą ocenić, czy Health Connect jest odpowiednią platformą na ich potrzeby, a także sprawdzić i dokładnie ocenić źródło oraz jakość danych z Health Connect, a także ich przydatność do zamierzonego celu, zwłaszcza w kontekście badań, zdrowia lub medycyny.

  • Aplikacje służące do prowadzenia badań związanych ze zdrowiem osób, korzystające z danych uzyskanych przez Health Connect, muszą uzyskać zgodę od uczestników, a w przypadku osób nieletnich – od ich rodziców lub opiekunów. Taka zgoda musi zawierać te informacje: (a) charakter, cel i czas trwania badania; (b) procedury, ryzyko i korzyści dla uczestnika; (c) informacje na temat poufności danych i postępowania z nimi (w tym udostępniania ich osobom trzecim); (d) dane osoby kontaktowej, do której uczestnicy mogą kierować pytania; (e) proces rezygnacji z udziału w badaniu. Aplikacje służące do prowadzenia badań związanych ze zdrowiem osób, korzystające z danych uzyskanych przez Health Connect, muszą być zatwierdzone przez niezależny organ, który: 1) ma za zadanie chronić prawa, bezpieczeństwo i zdrowie uczestników; 2) ma uprawnienia do kontrolowania, modyfikowania i zatwierdzania badań z udziałem osób. Deweloper musi dysponować potwierdzeniem zgody wydanej przez taki organ i przedstawić go na żądanie.
  • Deweloper odpowiada także za zapewnienie zgodności z wszelkimi przepisami i wymaganiami prawnymi, które mogą obowiązywać w przypadku zamierzonego wykorzystania Health Connect oraz wszelkich danych z tej platformy. Z wyjątkiem informacji jednoznacznie podanych na oznaczeniach lub w opisach konkretnych usług Google, Google nie promuje ani nie gwarantuje poprawności żadnych danych przechowywanych w Health Connect, a także nie gwarantuje ich użyteczności w żadnym celu, zwłaszcza w kontekście badań, zdrowia lub medycyny. Google w pełni wyłącza swoją odpowiedzialność za korzystanie z danych uzyskanych przez Health Connect.

Ograniczone użytkowanie

W ramach dopuszczalnego korzystania z Health Connect deweloperzy muszą zagwarantować, że użycie przez nich danych z Health Connect spełnia także poniższe wymogi. Dotyczą one nieprzetworzonych danych uzyskanych z Health Connect oraz danych zbiorczych, zdeidentyfikowanych lub pozyskanych z nieprzetworzonych danych.

  • Deweloperzy powinni ograniczyć wykorzystanie danych z Health Connect tak, aby używać ich wyłącznie w ramach dopuszczalnego użytkowania lub realizowania funkcji dobrze widocznych w interfejsie aplikacji żądającej dostępu do tych danych.
  • Dane użytkowników można przekazywać osobom trzecim wyłącznie w tych przypadkach:
    • w ramach dopuszczalnego użytkowania lub realizowania funkcji, które są jasno określone w interfejsie aplikacji żądającej dostępu do tych danych, i wyłącznie za zgodą użytkownika;
    • jeśli jest to niezbędne ze względów bezpieczeństwa (na przykład do badania przypadków nadużyć);
    • jeśli jest to konieczne w celu zastosowania się do obowiązujących przepisów;
    • w wyniku fuzji, przejęcia lub sprzedaży aktywów dewelopera, po uzyskaniu wcześniej wyraźnej zgody użytkownika.
  • Zabronione jest odczytywanie danych użytkownika przez inne osoby, z wyjątkiem tych sytuacji:
    • deweloper uzyskał wyraźną zgodę użytkownika na odczytanie określonych danych;
    • jest to niezbędne ze względów bezpieczeństwa (na przykład do badania przypadków nadużyć);
    • jest to konieczne w celu zastosowania się do obowiązujących przepisów;
    • dane (oraz ich pochodne) są agregowane i używane wewnętrznie zgodnie z odpowiednimi zasadami zachowania prywatności oraz innymi wymaganiami prawnymi w danej jurysdykcji.

Wszelkie inne przypadki przekazywania, wykorzystywania lub sprzedawania danych z Health Connect są zabronione. Ten zakaz obejmuje:

  • przekazywanie lub sprzedawanie danych użytkownika osobom trzecim, na przykład platformom reklamowym, brokerom danych czy jakimkolwiek innym podmiotom zajmującym się handlem danymi;
  • przekazywanie, sprzedawanie lub wykorzystywanie danych użytkownika do wyświetlania reklam, w tym reklam spersonalizowanych i opartych na zainteresowaniach;
  • przekazywanie, sprzedawanie lub wykorzystywanie danych użytkownika do określenia zdolności kredytowej lub na inne potrzeby związane z udzielaniem pożyczek;
  • przekazywanie, sprzedawanie lub wykorzystywanie danych użytkownika na potrzeby innego produktu lub usługi, które mogą kwalifikować się jako urządzenie medyczne według definicji w sekcji 201(h) Federalnej ustawy o żywności, lekach i kosmetykach (Federal Food Drug & Cosmetic Act), jeśli dane użytkownika będą używane przez urządzenie medyczne do wykonywania jego przewidzianej prawnie funkcji.
  • przekazywanie, sprzedawanie lub wykorzystywanie danych użytkownika do jakiegokolwiek celu lub w jakikolwiek sposób związany z chronionymi informacjami zdrowotnymi (PHI, zgodnie z definicją HIPAA), chyba że deweloper otrzyma wcześniej od Google pisemną zgodę na takie użycie.

Dostęp do Health Connect nie może być realizowany w sprzeczności z tymi zasadami lub jakimikolwiek innymi obowiązującymi przepisami lub Warunkami korzystania z Health Connect. Obejmuje to te cele:

  • Nie wolno używać Health Connect do tworzenia aplikacji, środowisk lub aktywności (ani jako dodatku do nich), jeśli istnieje uzasadnione ryzyko, że wykorzystanie danych z Health Connect lub wadliwe działanie tej platformy może doprowadzić do śmierci, obrażeń, szkód środowiskowych lub zniszczenia mienia (na przykład na potrzeby konstruowania i eksploatowania zakładów jądrowych, systemów kierowania ruchem lotniczym, systemów podtrzymywania życia czy uzbrojenia).
  • Nie wolno uzyskiwać dostępu do danych zebranych przez Health Connect za pomocą aplikacji bez interfejsu graficznego. Aplikacje muszą wyświetlać łatwo rozpoznawalną ikonę w panelu aplikacji, ustawieniach aplikacji na urządzeniu, ikonach powiadomień itp.
  • Nie wolno używać Health Connect z aplikacjami, które synchronizują dane między niezgodnymi urządzeniami lub platformami.
  • Health Connect nie można łączyć z aplikacjami, usługami ani funkcjami kierowanymi wyłącznie do dzieci. Platforma Health Connect nie została zatwierdzona do używania w usługach skierowanych głównie do dzieci.

W aplikacji lub na stronie internetowej powiązanej z usługą sieciową lub aplikacją deweloper musi zamieścić oświadczenie, że wykorzystywanie przez niego danych z Health Connect jest zgodne z wymogami ograniczonego użycia. Może to być na przykład link na stronie głównej kierujący do odpowiedniej strony lub polityki prywatności z informacją: „Wykorzystanie informacji uzyskanych z Health Connect będzie zgodne z zasadami uprawnień do Health Connect, w tym z wymogami ograniczonego użytkowania”.

Dane w minimalnym zakresie

Można prosić o dostęp tylko do tych uprawnień, które są niezbędne do realizowania funkcji aplikacji lub usługi.

Oznacza to, że:

  • Nie należy prosić o dostęp do informacji, których się nie potrzebuje. Należy prosić o dostęp wyłącznie do uprawnień niezbędnych do zaimplementowania usług lub funkcji produktu. Jeśli produkt nie wymaga dostępu do określonych uprawnień, nie wolno prosić użytkownika o ich przyznanie.

Przejrzyste i precyzyjne metody powiadamiania i kontroli

Health Connect obsługuje dane o zdrowiu i aktywności fizycznej, w tym osobowe i poufne informacje. Wszystkie aplikacje i usługi muszą zawierać politykę prywatności, która musi w pełni opisywać, w jaki sposób dana aplikacja lub usługa zbiera, wykorzystuje i udostępnia dane użytkownika. Obejmuje to informacje o osobach trzecich, którym udostępniane są dane użytkownika, o sposobie wykorzystywania, przechowywania i zabezpieczania danych przez dewelopera, a także o tym, co się dzieje z danymi w przypadku dezaktywacji lub usunięcia konta.

Oprócz wymagań wynikających z obowiązującego prawa, deweloper musi także stosować się do tych wymogów:

  • Należy wyjaśnić proces uzyskiwania dostępu do danych, ich użycia oraz udostępniania. W tym wyjaśnieniu:
    • należy dokładnie wskazać aplikację lub usługę, która wymaga dostępu do danych użytkownika;
    • należy podać jasne i dokładne informacje o typach danych, do których aplikacja lub usługa uzyskuje dostęp, o które prosi lub które zbiera;
    • należy przekazać, jak dane będą używane lub udostępniane: jeśli deweloper wymaga dostępu do danych z jednego powodu, ale będą one wykorzystywane też w innym celu, musi on poinformować użytkowników o obydwu przypadkach użycia.
  • należy zapewnić użytkownikom dostęp do dokumentacji pomocy, w której wyjaśnione będzie, jak mogą oni zarządzać swoimi danymi w aplikacji i jak je usuwać.

Bezpieczna obsługa danych

Postępowanie z danymi użytkownika musi odbywać się w bezpieczny sposób. Deweloper musi podjąć wszelkie odpowiednie kroki w celu zabezpieczenia wszystkich aplikacji lub systemów korzystających z Health Connect przed nieautoryzowanym lub bezprawnym dostępem, użyciem, zniszczeniem, utratą, zmianą lub ujawnieniem danych.

Wśród zalecanych środków bezpieczeństwa jest zaimplementowanie i utrzymywanie systemu zarządzania bezpieczeństwem informacji, tak jak opisano to w normie ISO/IEC 27001, oraz zapewnienie, że aplikacja lub usługa sieciowa nie ma typowych luk w zabezpieczeniach, tak jak opisano to w publikacji OWASP Top 10.

W zależności od wykorzystywanego interfejsu API oraz liczby użytkowników wymagamy od deweloperów, aby ich aplikacje lub usługi poddawane były okresowej ocenie bezpieczeństwa oraz uzyskały list oceniający od wyznaczonej do tego organizacji, jeśli ich produkt wysyła dane poza urządzenie użytkownika.

Więcej informacji na temat wymagań wobec aplikacji łączących się z Health Connect można znaleźć w tym artykule pomocy.

 

Usługa VPN

VpnService to klasa bazowa, która umożliwia Twoim aplikacjom rozszerzanie i tworzenie własnych rozwiązań VPN. Tylko aplikacje używające VpnService i mające VPN jako główną funkcję mogą tworzyć na poziomie urządzenia bezpieczne tunele do serwera zdalnego. Do wyjątków należą aplikacje, które wymagają serwera zdalnego do obsługi swoich głównych funkcji, na przykład:

  • aplikacje do kontroli rodzicielskiej iaplikacje do zarządzania;
  • śledzenie użytkowania aplikacji;
  • aplikacje zabezpieczające urządzenie (np. antywirusy, aplikacje do zarządzania urządzeniami mobilnymi, zapory sieciowe);
  • narzędzia związane z;siecią (na przykład do dostępu zdalnego);
  • aplikacje do przeglądania internetu;
  • aplikacje operatora, które wymagają sieci VPN, aby umożliwić dostęp do usług telefonicznych lub komunikacyjnych.

Klasy VpnService nie można używać do:

  • zbierania danych osobowych i wrażliwych użytkowników bez podania dobrze widocznej informacji i uzyskania zgody;
  • przekierowywania lub modyfikowania ruchu użytkowników z innych aplikacji na urządzeniu na potrzeby generowania przychodu (na przykład przekierowywania ruchu z reklam przez kraj inny niż kraj użytkownika);

Aplikacje używające klasy VpnService muszą:

 

Uprawnienie dostępu do precyzyjnych alarmów

Wprowadzimy nowe uprawnienie USE_EXACT_ALARM, które będzie dawało dostęp do funkcji precyzyjnego alarmu w aplikacjach na Androidzie w wersji od 13 wzwyż (docelowy poziom API 33).

USE_EXACT_ALARM to uprawnienie z ograniczonym dostępem, które aplikacje mogą deklarować wyłącznie wtedy, gdy ich główna funkcja wymaga precyzyjnego alarmu. Aplikacje, które proszą o to uprawnienie, są weryfikowane, a te, które nie spełniają kryteriów dopuszczalnego użytkowania, nie mogą być publikowane w Google Play.

Zasady dopuszczalnego użytkowania uprawnienia dostępu do precyzyjnych alarmów

Aplikacja może używać uprawnienia USE_EXACT_ALARM tylko wtedy, gdy jej główna, widoczna dla użytkowników funkcja wymaga wykonywania działań w precyzyjnym czasie. Na przykład:

  • Aplikacja to budzik lub stoper.
  • Aplikacja to kalendarz, który wyświetla powiadomienia o wydarzeniach.

Jeśli Twój przypadek użycia funkcji precyzyjnego alarmu nie został opisany powyżej, zastanów się, czy nie można w tym przypadku użyć uprawnienia SCHEDULE_EXACT_ALARM.

Więcej informacji o funkcji precyzyjnego alarmu znajdziesz w tym przewodniku dla deweloperów.

Czy to było pomocne?

Jak możemy ją poprawić?

Potrzebujesz dodatkowej pomocy?

Wykonaj te czynności:

Kontakt z nami Przekaż więcej informacji, byśmy mogli Ci pomóc
true
Szukaj
Wyczyść wyszukiwanie
Zamknij wyszukiwanie
Menu główne
7302614013958773150
true
Wyszukaj w Centrum pomocy
true
true
true
true
true
92637
false
false