Prévia: Permissões e APIs que acessam informações sensíveis

As permissões de SMS e registro de chamadas são consideradas dados pessoais e sensíveis de usuários sujeitos à política de Informações pessoais e sensíveis e às seguintes restrições:

Permissão restrita	Requisito
Grupo de permissões "Registro de chamadas". Por exemplo, READ_CALL_LOG, WRITE_CALL_LOG, PROCESS_OUTGOING_CALLS	Ele precisa estar registrado ativamente como gerenciador padrão de "Telefone" ou "Assistente" no dispositivo.
Grupo de permissões "SMS". Por exemplo, READ_SMS, SEND_SMS, WRITE_SMS, RECEIVE_SMS, RECEIVE_WAP_PUSH, RECEIVE_MMS	Ele precisa estar registrado ativamente como gerenciador padrão de "SMS" ou "Assistente" no dispositivo.

 

Apps sem o recurso de gerenciador padrão de "SMS", "Telefone" ou "Assistente" não podem declarar o uso das permissões acima no manifesto. Isso inclui o uso de texto marcador no manifesto. Os apps também precisam estar ativamente registrados como gerenciador padrão de "SMS", do "Telefone" ou do "Assistente" antes de solicitar que os usuários aceitem uma das permissões acima. Além disso, eles precisarão interromper imediatamente o uso da permissão quando não forem mais o gerenciador padrão. Os usos permitidos e exceções estão disponíveis nesta página da Central de Ajuda.

Os apps só podem usar a permissão e os dados derivados dela para fornecer a funcionalidade principal aprovada do app, que corresponde ao propósito principal dele. Isso pode incluir um conjunto de recursos principais que precisam ser documentados e promovidos com maior destaque na descrição do app. Sem os recursos principais, o app ficará "corrompido" ou não poderá ser usado. A transferência, o compartilhamento ou o uso licenciado desses dados só pode ocorrer para fornecer os recursos principais ou serviços dentro do app. Além disso, o uso dessas informações não pode ser estendido para outras finalidades (por exemplo, melhorar outros apps e serviços ou para fins de marketing e publicidade). Não é permitido usar métodos alternativos (incluindo outras permissões, APIs ou fontes de terceiros) para extrair dados atribuídos às permissões de registro de chamadas ou SMS.

A localização do dispositivo é considerada um dado pessoal e sensíveis do usuário, sujeita às políticas de Informações pessoais e sensíveis e Localização em segundo plano e aos seguintes requisitos:

• Os apps não podem acessar dados protegidos por permissões de localização (por exemplo, ACCESS_FINE_LOCATION, ACCESS_COARSE_LOCATION, ACCESS_BACKGROUND_LOCATION) que não sejam mais necessários para fornecer os recursos ou serviços atuais.
• Nunca solicite permissões de localização do usuário somente para fins de publicidade ou análise. Os apps que aproveitam o uso permitido desses dados para exibir publicidade precisam estar em conformidade com nossa política de Anúncios.
• Os apps precisam solicitar o escopo mínimo necessário (ou seja, localização aproximada em vez de exata e em primeiro plano em vez de segundo plano) para fornecer o recurso ou serviço atual que exige a localização. Além disso, os usuários devem esperar que o recurso ou serviço precise acessar o nível de localização solicitado. Por exemplo, podemos recusar apps que solicitam ou acessam o local em segundo plano sem uma justificativa convincente.
• A localização em segundo plano só pode ser usada para oferecer recursos úteis aos usuários e relevantes para a funcionalidade principal do app.

Os apps terão permissão para acessar a localização com o serviço em primeiro plano (quando o app só tem acesso em primeiro plano, por exemplo, "durante o uso") se o uso:

• tiver sido iniciado para dar continuidade a uma ação do usuário no app; e
• for finalizado imediatamente após o app concluir o caso de uso pretendido pelo usuário.

Os apps desenvolvidos especificamente para crianças precisam estar em conformidade com a política do Feito para Família.

Para saber mais sobre os requisitos da política, confira este artigo de ajuda.

Os arquivos e atributos de diretório no dispositivo de um usuário são considerados dados pessoais e sensíveis dele e estão sujeitos à política de informações pessoais e sensíveis e aos seguintes requisitos:

• Os apps só podem solicitar acesso ao armazenamento dos dispositivos que seja fundamental para o funcionamento. Eles não podem fazer isso em nome de terceiros para fins não relacionados à funcionalidade principal do app para o usuário.
• Os dispositivos Android com a versão R ou mais recente precisarão da permissão MANAGE_EXTERNAL_STORAGE para gerenciar o acesso no armazenamento compartilhado. Todos os apps direcionados ao R que solicitam acesso amplo ao armazenamento compartilhado ("Acesso a todos os arquivos") precisam passar por uma análise de acesso apropriada antes da publicação. Os apps que podem usar essa permissão precisam solicitar claramente que os usuários ativem a opção "Acesso a todos os arquivos" nas configurações de "Acesso especial ao app". Para saber mais sobre os requisitos do R, confira este artigo de ajuda.

Fotos e vídeos no dispositivo do usuário são considerados dados pessoais e confidenciais dele, sujeitos à política de dados do usuário do Google Play. Os apps só podem acessar fotos e vídeos para fins diretamente relacionados à funcionalidade do app. Eles não podem solicitar acesso em nome de terceiros para fins não relacionados ao objetivo principal do app. Para uma experiência que preserva a privacidade, recomendamos o uso de um seletor do sistema, como o seletor de fotos.

Os apps que exigem acesso amplo aos arquivos de fotos e vídeos localizados no armazenamento compartilhado dos dispositivos precisam passar por uma análise de acesso adequada e demonstrar um caso de uso principal que exige acesso persistente ou frequente às fotos/vídeos de arquivos localizados no armazenamento compartilhado. É necessário que os apps que têm uma necessidade única ou pouco frequente de acessar esses arquivos usem um seletor do sistema, como o seletor de fotos do Android.

O acesso amplo a fotos e vídeos também está sujeito aos seguintes requisitos:

• Apps destinados ao Android 13 (nível 33 da API) ou mais recente precisam da permissão READ_MEDIA_IMAGES ou READ_MEDIA_VIDEO para receber acesso amplo aos arquivos de fotos ou vídeos localizados no armazenamento compartilhado do dispositivo. Todos os apps destinados ao Android 13 ou mais recente que solicitam as permissões READ_MEDIA_IMAGES ou READ_MEDIA_VIDEO precisam passar por uma análise de acesso adequada antes da publicação.
  • Os apps que solicitam acesso à permissão READ_MEDIA_VIDEO ou READ_MEDIA_IMAGES precisam demonstrar um caso de uso principal que exija o acesso persistente ou frequente a fotos/vídeos localizados no armazenamento compartilhado.

Caso o app não exija ou não se qualifique para receber acesso amplo às permissões READ_MEDIA_VIDEO ou READ_MEDIA_IMAGES, remova a permissão do manifesto do app para atender aos requisitos da análise de compliance com a política.

De acordo com a política de permissões restritas, é necessário fazer o possível para atender os usuários que não concedem acesso amplo aos arquivos de mídia nos dispositivos. Isso inclui ajustar a experiência do app para que os usuários ainda possam usar o recurso ou a funcionalidade principal dele.

Os apps que têm um caso de uso legítimo para acessar fotos ou vídeos, mas não se qualificam para as permissões READ_MEDIA_IMAGES ou READ_MEDIA_VIDEO, podem usar um seletor do sistema, como o seletor de fotos. Confira mais informações neste artigo da Central de Ajuda.

O inventário dos apps instalados consultados em um dispositivo são considerados dados pessoais e sensíveis, sujeitos à política de Informações pessoais e sensíveis e aos seguintes requisitos:

Os apps que têm a finalidade principal de lançar, pesquisar ou interoperar com outros apps podem ter visibilidade do escopo apropriado para outros apps instalados no dispositivo, conforme descrito abaixo:

• Ampla visibilidade do app: é a capacidade de um app de ter uma visibilidade extensa (ou "ampla") dos apps instalados ("pacotes") em um dispositivo.
  • Para apps destinados à API de nível 30 ou mais recente, a visibilidade ampla para apps instalados com a permissão QUERY_ALL_PACKAGES é restrita a casos de uso específicos em que o reconhecimento e/ou interoperabilidade com qualquer um ou todos os apps no dispositivo são necessários para que ele funcione. 
    • Não será possível usar QUERY_ALL_PACKAGES se o app puder operar com uma declaração de visibilidade do pacote com escopo segmentado. Por exemplo, consultar e interagir com pacotes específicos em vez de solicitar uma visibilidade ampla.
  • O uso de métodos alternativos para aproximar o nível de visibilidade ampla associado à permissão QUERY_ALL_PACKAGES também está restrito à funcionalidade principal do app apresentada para o usuário e à interoperabilidade com todos os apps descobertos por esse método.
  • Consulte este artigo da Central de Ajuda e veja os casos autorizados para o uso da permissão QUERY_ALL_PACKAGES.
• Visibilidade limitada do app: quando um app minimiza o acesso aos dados, ao consultar apps específicos usando métodos mais segmentados (em vez de "amplos"). Por exemplo, consultar apps específicos que atendam à declaração do manifesto do app. É possível usar esse método para consultas nos casos em que o app tenha interoperabilidade em conformidade com a política ou gerenciamento desses apps.
• A visibilidade do inventário de apps instalados em um dispositivo precisa estar diretamente relacionada à finalidade ou funcionalidade principal que os usuários acessam no app.

Os dados de inventário de apps consultados nos apps distribuídos no Google Play nunca poderão ser vendidos nem compartilhados para análise ou monetização de anúncios.

A API de acessibilidade não pode ser usada para:

• mudar as configurações do usuário sem permissão ou impedir que ele desative ou desinstale qualquer app ou serviço, a menos que autorizado pela família ou responsável com um app de controle dos pais ou por administradores autorizados com um software de gerenciamento empresarial;
• evitar os controles e as notificações de privacidade integrados do Android;
• mudar ou usar a interface do usuário de maneira enganosa ou que viole as Políticas para desenvolvedores do Google Play.

A API de acessibilidade não foi projetada e não pode ser solicitada para gravação de áudio de chamadas remotas.

O uso da API de acessibilidade precisa ser documentado na página "Detalhes do app".

Diretrizes para IsAccessibilityTool

Os apps com funcionalidades básicas destinadas a oferecer apoio direto às pessoas com deficiências estão qualificados para usar o IsAccessibilityTool e, assim, se autodesignar publicamente como "app de acessibilidade".

Os apps sem qualificação para usar o IsAccessibilityTool não podem incorporar o sinalizador e precisam atender aos requisitos de consentimento e divulgação em destaque conforme descrito na política de Dados do usuário já que o recurso relacionado à acessibilidade não é óbvio para o usuário. Consulte o artigo da Central de Ajuda API AccessibilityService para mais informações.

Quando possível, os apps precisam usar APIs e permissões com escopos mais limitados em vez da API de acessibilidade para alcançar a funcionalidade desejada.

Com a permissão REQUEST_INSTALL_PACKAGES, um app pode solicitar a instalação de pacotes de apps.​​ Para usar essa permissão, a funcionalidade principal do app precisa incluir as seguintes funções:

• Envio ou recebimento de pacotes de apps; e
• Instalação de pacotes de apps iniciada pelo usuário

As funcionalidades permitidas incluem as seguintes opções:

• Pesquisa ou navegação na Web
• Serviços de comunicação compatíveis com anexos
• Compartilhamento, transferência ou gerenciamento de arquivos
• Gerenciamento de dispositivos corporativos
• Backup e restauração
• Migração do dispositivo/transferência do smartphone
• App complementar para sincronizar o smartphone com um wearable ou dispositivo de IoT, como um smartwatch ou uma smart TV

A funcionalidade principal é definida como o objetivo principal do app. Essa função e todos os recursos essenciais que a compõem precisam ser documentados e promovidos com destaque na descrição do app.

A permissão REQUEST_INSTALL_PACKAGES não pode ser usada para autoatualizações, modificações ou criação de pacotes de outros APKs no arquivo de recursos, a menos que seja para fins de gerenciamento de dispositivos. Todas as atualizações ou instalação de pacotes precisam obedecer à política contra Abuso de dispositivos e de rede do Google Play e serem iniciadas e conduzidas pelo usuário.

Conexão Saúde é uma plataforma Android que permite que apps de saúde e fitness armazenem e compartilhem os mesmos dados no dispositivo, em um ecossistema unificado. Ela também oferece um local único para os usuários controlarem quais aplicativos podem ler e gravar esses dados. O app Conexão Saúde é compatível com leitura e gravação de vários tipos de dados, de passos à temperatura corporal.

As informações acessadas com as permissões da plataforma são consideradas dados pessoais e sensíveis do usuário. Elas estão sujeitas à política de dados do usuário. Caso seu app seja qualificado como um app de saúde ou tenha funcionalidades relacionadas à saúde e acesse dados dessa natureza, como os do app Conexão Saúde, ele precisará obedecer à Política de apps de saúde.

Consulte este guia para desenvolvedores Android sobre como começar a usar o app Conexão Saúde. Para pedir acesso aos tipos de dados do Conexão Saúde, clique neste link.

Os apps distribuídos pelo Google Play precisam atender aos requisitos da política seguinte para ler e/ou gravar dados no Conexão Saúde.

O Conexão Saúde só pode ser usado de acordo com as políticas, Termos e Condições aplicáveis para casos de uso aprovados, conforme estabelecido nesta política. Portanto, apenas os apps ou serviços que atendam a um dos casos de uso aprovados podem pedir acesso às permissões.

Os casos de uso aprovados incluem: condicionamento físico e bem-estar, recompensas, coaching de condicionamento físico, bem-estar corporativo, cuidados médicos, pesquisa em saúde e jogos. Os aplicativos com acesso a essas permissões não podem estender seu uso a fins não divulgados ou não permitidos.

Somente aplicativos ou serviços com um ou mais recursos projetados com o objetivo principal de beneficiar a saúde e o condicionamento físico dos usuários têm permissão para pedir acesso às permissões do Conexão Saúde. Eles incluem:

• Aplicativos ou serviços que permitem aos usuários registrar, gerar relatórios, monitorar e/ou analisar diretamente informações sobre atividades físicas, sono, bem-estar mental, nutrição, medidas de saúde, descrições físicas e/ou outros dados e medições relacionados à saúde ou condicionamento físico.
• Aplicativos ou serviços que permitem aos usuários armazenar informações sobre atividades físicas, sono, bem-estar mental, nutrição, medidas de saúde, descrições físicas e/ou outros dados e medições relacionados à saúde ou condicionamento físico no smartphone e/ou wearable e compartilhar com outros apps no dispositivo que atendam a esses casos de uso.

O acesso ao Conexão Saúde não pode ser usado para violar esta política, ou outros Termos e Condições, ou políticas aplicáveis da plataforma, inclusive para as seguintes finalidades:

• Não use o Conexão Saúde para desenvolver ou incorporar em apps, ambientes ou atividades em que o uso ou falha do Health Connect possa levar à morte, lesões corporais ou danos ambientais ou patrimoniais, como a criação ou operação de instalações nucleares, controle de tráfego aéreo, sistemas de suporte à vida ou armamentos.
• Não acesse dados coletados pelo Conexão Saúde usando apps headless. É preciso exibir um ícone claramente identificável na bandeja, nas configurações do app no dispositivo, nos ícones de notificação etc.
• Não use o Conexão Saúde com apps que sincronizam dados entre dispositivos ou plataformas incompatíveis.
• Não use o Conexão Saúde para se conectar a aplicativos, serviços ou recursos direcionados exclusivamente a crianças.
• Tome medidas razoáveis e apropriadas para que todos os apps ou sistemas que usam o Conexão Saúde sejam protegidos contra acesso, uso, destruição, perda, mudança ou divulgação não autorizados ou ilegais.

Também é sua responsabilidade garantir a conformidade com requisitos regulamentares ou legais aplicáveis com base no uso pretendido do Conexão Saúde e dos dados dessa plataforma. Exceto conforme expressamente indicado na embalagem ou nas informações fornecidas pelo Google referentes a produtos ou serviços específicos, o Google não endossa o uso nem garante a precisão dos dados do Conexão Saúde para qualquer caso ou finalidade, principalmente para uso médico, de pesquisa ou de saúde. O Google se isenta de qualquer responsabilidade associada ao uso de dados coletados no Conexão Saúde.

Ao usar o Conexão Saúde, o acesso e uso dos dados devem obedecer a limitações específicas:

• O uso de dados deve ser limitado ao fornecimento ou melhoria do caso de uso apropriado ou dos recursos visíveis na interface do usuário do aplicativo.
• Os dados do usuário só podem ser transferidos a terceiros com o consentimento explícito do usuário, para fins de segurança (por exemplo, investigação de abusos), para obedecer às leis ou regulamentações aplicáveis, ou como parte de fusões/aquisições.
• O acesso humano aos dados do usuário é restrito, a menos que tenha consentimento explícito do usuário, para fins de segurança, para obedecer às leis ou quando agregados para operações internas de acordo com requisitos legais.
• Todas as outras transferências, usos ou vendas de dados do Conexão Saúde são proibidos, incluindo o seguinte:
  • Transferir ou vender dados do usuário para terceiros, como plataformas de publicidade, corretores de dados ou revendedores de informações.
  • Transferir, vender ou usar dados do usuário para veicular anúncios, incluindo publicidade personalizada ou baseada em interesses
  • Transferir, vender ou usar dados do usuário para determinar classificações de crédito ou para finalidades de empréstimo.
  • Transferir, vender ou usar dados do usuário com qualquer produto ou serviço que possa se qualificar como dispositivo médico, de acordo com a Seção 201(h) da Lei Federal sobre Medicamentos e Cosméticos dos Estados Unidos, caso esses dados sejam usados para realizar a função regulamentada do dispositivo.
  • Transferir, vender ou usar dados do usuário para qualquer finalidade ou de qualquer maneira que envolva Informações protegidas de saúde (conforme definido pela HIPAA), a menos que você receba aprovação prévia por escrito do Google para tal uso.

Solicite acesso somente às permissões necessárias para implementar os recursos e serviços do seu produto. Esses pedidos devem ser específicos e se limitar aos dados necessários.

O Conexão Saúde gerencia dados de saúde e condicionamento físico, inclusive informações sensíveis, e obriga que todos os aplicativos tenham uma Política de Privacidade abrangente. Essa política deve declarar de maneira transparente como o app coleta, usa e compartilha os dados do usuário. Além dos requisitos legais, os desenvolvedores precisam ter as seguintes informações na Política de Privacidade:

• Descrição exata da identidade do app, esclarecendo os dados acessados e a conexão deles com os recursos e recomendações em destaque do app
• Práticas de retenção e exclusão de dados
• Procedimentos de processamento de dados (por exemplo, transmissão por criptografia moderna, como HTTPS)

Para mais informações sobre os requisitos dos apps que se vinculam ao Conexão Saúde, consulte este artigo da Central de Ajuda.

VpnService é uma classe de base para que os apps ampliem e criem soluções de VPN próprias. Somente os apps que usam VpnService e têm a VPN como recurso principal podem criar um encapsulamento seguro no nível do dispositivo para um servidor remoto. Exceções incluem apps que exigem um servidor remoto para oferecer o recurso principal, por exemplo:

• Apps de controle da família e gerenciamento empresarial
• Monitoramento de uso de apps
• Apps de segurança de dispositivos, como antivírus, gerenciamento de dispositivos móveis e firewall
• Ferramentas relacionadas à rede, como acesso remoto
• Apps de navegação na Web
• Apps de operadoras que precisam de funcionalidade VPN para oferecer serviços de telefonia ou conectividade

O VpnService não pode ser usado para:

• coletar dados pessoais e confidenciais do usuário sem consentimento e declaração em destaque;
• redirecionar ou manipular o tráfego de usuários de outros apps em um dispositivo para fins de monetização, por exemplo: redirecionar o tráfego de publicidade para um país que não seja o do usuário;

Os apps que usam o VpnService precisam:

• documentar o uso dessa classe na página "Detalhes do app";
• criptografar os dados do dispositivo para o endpoint do encapsulamento de VPN;
• obedecer a todas as Políticas do programa para desenvolvedores, incluindo as relacionadas a fraude de anúncio, permissões e malware.

A nova permissão USE_EXACT_ALARM vai ser introduzida para dar acesso à funcionalidade de alarme exato em apps a partir do Android 13 (nível desejado da API 33).

USE_EXACT_ALARM é uma permissão restrita, e os apps só deverão declará-la se o recurso principal deles for compatível com a necessidade de um alarme exato. Os apps que solicitam essa permissão restrita estão sujeitos a revisão, e aqueles que não atenderem aos critérios de caso de uso aceitável não vão ser publicados no Google Play.

Casos de uso aceitáveis para a permissão de alarme exato

Seu app só deverá usar a funcionalidade USE_EXACT_ALARM quando o recurso principal dele voltado para o usuário exigir ações com tempo preciso, por exemplo:

• Apps de alarme ou cronômetro
• Apps de calendário que exibem notificações de eventos

Se seu caso de uso para a funcionalidade de alarme exato não estiver listado acima, avalie a possibilidade de usar SCHEDULE_EXACT_ALARM.

Para mais informações sobre a funcionalidade de alarme exato, consulte estas orientações para desenvolvedores.

Para apps destinados ao Android 14 (nível desejado da API 34) e versões mais recentes, a USE_FULL_SCREEN_INTENT é uma permissão de acesso especial para apps. A permissão USE_FULL_SCREEN_INTENT só será concedida de modo automático se a funcionalidade principal do app se enquadrar em uma das categorias abaixo que requerem notificações de alta prioridade:

• definir um alarme
• receber ligações ou videochamadas

Os apps que solicitam essa permissão estão sujeitos a um processo de análise, e aqueles que não atenderem aos critérios descritos acima não receberão a permissão por padrão. Nesse caso, para usar a USE_FULL_SCREEN_INTENT, os apps precisarão solicitar a permissão do usuário.

O uso da permissão USE_FULL_SCREEN_INTENT precisa obedecer às políticas para desenvolvedores do Google Play, incluindo nossas diretrizes sobre software indesejado para dispositivos móveis, abuso de dispositivos e de rede e anúncios. As notificações de intent para tela cheia não podem interferir, interromper, danificar nem acessar o dispositivo do usuário de maneira não autorizada. Além disso, os apps não podem interferir em outros apps nem na usabilidade do dispositivo.

Saiba mais sobre a permissão USE_FULL_SCREEN_INTENT na nossa Central de Ajuda.