政策预览
在本文中,您可以预览我们近期公告中的更改。
为向用户提供更注重隐私保护的体验,我们将推出“照片和视频访问权限”政策,以减少获准针对照片/视频请求广泛权限(READ_MEDIA_IMAGES 和 READ_MEDIA_VIDEO)的应用。应用只能出于与应用功能直接相关的目的访问照片和视频。如果应用只需访问此类文件一次,或者很少需要访问此类文件,则必须使用 Android 照片选择器这样的系统文件选择器。 (生效日期:2025 年 1 月 22 日)
如需查看当前的“敏感信息访问权限和 API”一文,请访问此页面。
向用户提出的敏感信息访问权限和 API 请求必须合理。您所提出的敏感信息访问权限和 API 请求必须对于实现您在 Google Play 商品详情中宣传的现有应用功能或服务来说必不可少。您不得将能够获取用户数据或设备数据的敏感信息权限和 API 用于未披露、未实现或未经许可的功能或用途。此外,不得出于推动销售的目的,出售或分享利用敏感信息访问权限或 API 获取的个人数据或敏感数据。
如果您的应用需要获取敏感数据,请在用户执行相关操作时发出敏感信息访问权限和 API 请求(通过渐进式请求方式),让用户了解该应用需要相关权限的原因。仅将数据用于用户同意的用途。如果您日后想将数据用于其他用途,则必须征求用户意见,并确保用户明确同意这些新增用途。
受限权限
除上述内容外,受限权限是被指定为危险权限、特殊权限或签名权限的那些权限或下面记录的权限。这些权限还受以下额外要求和限制的约束:
- 通过受限权限访问的用户或设备数据视为个人数据和敏感用户数据。用户数据政策的相关要求适用于这些数据。
- 如果用户拒绝授予受限权限,请尊重其决定;不得操纵或强迫用户同意授予非关键权限。您必须采取合理措施,尽量让未授予敏感权限的用户也能正常使用应用(例如,如果用户限制访问其通话记录,则允许其手动输入电话号码)。
- 明确禁止以违反 Google Play 恶意软件政策的方式使用权限(包括滥用超出规定的权限的行为)。
某些受限权限还可能受下方所述其他要求的约束。这些限制旨在保护用户隐私。在极少数情况下,如果应用提供的功能极具吸引力或相当重要,而该功能只有在获得受限权限后才能实现,我们可能会允许极少数特例,允许其不必遵守下述要求。我们会审查特例申请,评估其在隐私权或安全性方面可能会对用户造成的影响。
短信和通话记录权限短信和通话记录属于用户的个人敏感数据,相关权限使用行为必须遵循个人信息和敏感信息政策以及下列限制:
如果应用不具备默认短信、电话或助理处理程序功能,就不得在清单(包括清单中的占位文本)中声明需要使用上述权限。此外,只有在用户主动将应用注册为默认短信、电话或助理处理程序的情况下,应用才能向用户提出上述任何权限请求;当应用不再是默认处理程序时,则必须立即停止使用相应权限。如需了解允许的使用情形和例外情况,请访问此帮助中心页面。 应用只能将权限(及其衍生数据)用于提供已获批准的核心应用功能。核心功能即应用的主要用途,可能包含一组核心性质的功能,这些功能必须均已在应用说明中醒目地载明并宣传。如果失去核心功能,应用就会“损坏”或无法使用。您只能基于提供应用核心功能或服务的目的,转移、分享或许可使用此类数据,不能将此类数据用于任何其他用途(例如改进其他应用或服务、投放广告或营销)。您不得使用其他方法(包括其他权限、API 或第三方来源)衍生属于通话记录或短信相关权限约束范围内的数据。 |
位置权限设备位置信息属于用户的个人敏感数据,与之相关的操作必须遵守个人信息和敏感信息政策和“后台位置信息”政策以及下列要求:
如果应用仅有前台使用权(例如“在使用时”),则可以使用前台服务权限获取位置信息,前提是:
专门为儿童设计的应用必须遵守亲子同乐计划政策。 如需详细了解政策要求,请参阅这篇帮助文章。 |
所有文件访问权限用户设备上的文件和目录属性属于用户的个人敏感数据,相关权限使用行为必须遵循个人信息和敏感信息政策以及下列要求:
|
照片和视频访问权限用户设备上的照片和视频属于个人数据和敏感用户数据,应用对这些数据的访问必须遵守 Google Play 用户数据政策。应用只能出于与应用功能直接相关的目的访问照片和视频,且不得出于任何与面向用户的应用功能无关的目的代表任何第三方请求访问此类内容。为提供更有利于保护隐私的体验,我们建议使用照片选择器这样的系统文件选择器。 如果应用需要对设备共享存储空间中的照片和视频文件的广泛访问权限,则必须成功通过相关访问权限审核,并展示需要持续或频繁访问共享存储空间中的照片/视频文件的核心使用情形。如果应用只需访问此类文件一次,或者很少访问此类文件,则需要使用 Android 照片选择器这样的系统文件选择器。 对照片和视频的广泛访问权限还需遵循以下要求:
如果您的应用不需要获取 READ_MEDIA_VIDEO 或 READ_MEDIA_IMAGES 权限/广泛访问权限,或不符合获取相关权限的条件,您必须从应用清单中移除相应权限,才能满足政策审核要求。 根据受限权限政策的规定,您必须采取合理措施,让未授予对设备中媒体文件的广泛访问权限的用户也能正常使用应用。这包括妥善提供可满足需求的应用体验,使用户仍能使用应用的相关功能或核心功能。 如果应用出于正当使用情形需访问照片或视频,但不符合获取 READ_MEDIA_IMAGES 或 READ_MEDIA_VIDEO 权限的条件,则可以使用照片选择器这样的系统文件选择器。如需了解更多信息,请参阅这篇帮助中心文章。 |
软件包(应用)查看权限从设备上查询到的已安装应用目录信息属于用户的个人敏感数据,与之相关的操作必须遵守个人信息和敏感信息政策以及下列要求: 如果应用的核心用途是启动、搜索设备上的其他应用或与其他应用进行互操作,那么它可以针对设备上所安装的其他应用获取适当范围的可见性权限,具体如下所述:
通过 Play 分发的应用所查询的应用目录数据不得出售,也不得分享给他方来用于分析或广告获利目的。 |
无障碍功能 API无障碍功能 API 不能用于:
Accessibility API 不应用于远程通话录音,应用也不得向该 API 发出此类请求。 必须在 Google Play 商品详情中注明无障碍功能 API 的使用情形。 关于 IsAccessibilityTool 的指南如果应用的核心功能旨在直接为残障人士提供支持,这些应用可以使用 IsAccessibilityTool,从而以适当方式公开宣称自身为无障碍应用。 如果应用不符合 IsAccessibilityTool 的使用条件,则不得使用该标记,且必须满足“用户数据”政策中所述的“关于提供醒目披露声明与征求用户同意的要求”,因为应用中的无障碍相关功能往往不是显而易见的。如需了解详情,请参阅 AccessibilityService API 帮助中心文章。 应用必须尽可能使用范围更小的 API 和权限来替代无障碍功能 API,以实现所需功能。 |
请求安装包权限若应用取得 REQUEST_INSTALL_PACKAGES 权限,则可以请求安装应用软件包。若要使用该权限,应用的核心功能必须包括以下操作:
许可的功能包括:
核心功能是指应用的主要用途。您必须在应用说明中醒目地载明并强调核心功能以及构成核心功能的所有核心特性。 REQUEST_INSTALL_PACKAGES 权限不得用于执行自我更新、修改或在资源文件中捆绑其他 APK,除非是出于设备管理目的。所有更新或软件包安装操作都必须遵守 Google Play 的“设备和网络滥用”政策,并且必须由用户发起和推进。 |
Health Connect by Android 权限健康数据共享是一个 Android 平台,可以让健康与健身应用在统一的生态系统内存储和共享相同的设备端数据。此外,用户只需通过这一个平台,即可控制哪些应用能够读取和写入自己的健康和健身数据。“健康数据共享”支持读取和写入多种类型的数据,从步数到体温,均在此列。 通过“健康数据共享”权限访问的数据属于个人数据及敏感的用户数据,对这些数据的使用必须遵循“用户数据”政策。如果您的应用属于健康类应用,或提供健康相关功能并会访问健康数据(包括“健康数据共享”数据),则该应用必须遵守“健康类应用”政策。 请参阅这份 Android 开发者指南,了解如何开始使用“健康数据共享”。如需请求对“健康数据共享”数据类型的访问权限,请参阅此处的内容。 通过 Google Play 分发的应用必须符合以下政策要求,才能在“健康数据共享”中读取和/或写入数据。 以适当的方式访问和使用 Health Connect使用“健康数据共享”时必须遵守适用的政策、条款及条件,并且仅限于本政策中规定的已批准使用情形。这意味着,只有当应用或服务符合其中一种已批准的使用情形时,您才能请求使用相关权限。 已获批准的使用情形包括:健身和健康、奖励、健身指导、企业健康、医疗护理、健康研究和游戏。获准使用相关权限的应用不得将其使用情形扩展至未声明或未经允许的用途。 仅当应用或服务的一项或多项功能的主要设计目的是帮助用户开展有益的健康与健身活动时,应用或服务才能请求使用“健康数据共享”权限。示例包括:
不得在违反本政策或者其他适用的“健康数据共享”条款及条件或政策的情况下使用“健康数据共享”权限,包括将其用于以下目的:
此外,您还有责任确保遵守可能适用的任何法规或法律要求(根据您对“健康数据共享”及“健康数据共享”中任何数据的预期用途)。除非 Google 在针对特定 Google 产品或服务提供的标签或信息中明确指明,否则 Google 不为将“健康数据共享”中包含的任何数据用于任何用途或目的(尤其是研究、健康或医疗用途)的行为背书,也不保证这些数据的准确性。对于使用通过“健康数据共享”获取的数据的相关行为,Google 概不承担任何责任。 有限使用在使用“健康数据共享”时,数据访问和使用活动必须遵守特定限制条件:
请求最小范围的权限您只能请求获取实现产品功能或服务所必需的权限。此类权限请求应仅针对且仅限于必要的数据。 透明且准确的通知和控制措施“健康数据共享”管理的是健康与健身数据(包括敏感信息),所有请求访问这些数据的应用都必须具有全面的隐私权政策。隐私权政策必须以透明的方式披露应用如何收集、使用和分享用户数据。开发者不但要遵守相关法律要求,还必须在隐私权政策中包含以下信息:
如需详细了解与关联“健康数据共享”的应用相关的要求,请参阅这篇帮助中心文章。 |
VPN 服务VpnService 是供应用扩展和构建自己的 VPN 解决方案的基类。只有使用 VpnService 并将 VPN 作为其核心功能的应用才能创建指向远程服务器的安全设备级隧道。例外情况包括需要远程服务器来实现核心功能的应用,例如:
VpnService 不能用于:
使用 VpnService 的应用必须: |
精确闹钟权限系统将引入一个新的权限 USE_EXACT_ALARM,用于向以 Android 13(目标 API 级别 33)或更高版本为目标平台的应用授予对精确闹钟功能的访问权限。 USE_EXACT_ALARM 是一项受限权限,应用只有在其核心功能支持精确闹钟需求的情况下才能声明此权限。请求此受限权限的应用需要接受审核;如果应用不符合可接受的用例标准,则不允许在 Google Play 上发布。 使用精确闹钟权限的可接受用例 仅当应用面向用户的核心功能需要精确计时的操作时,应用才必须使用 USE_EXACT_ALARM 功能,例如:
如果您有上文未涵盖的精确闹钟功能用例,则应评估能否选择使用 SCHEDULE_EXACT_ALARM 作为替代方案。 如需详细了解精确闹钟功能,请参阅此开发者指南。 |
全屏 intent 权限对于以 Android 14(API 目标级别 34)及更高版本为目标平台的应用,USE_FULL_SCREEN_INTENT 是一项特殊应用访问权限。只有当应用的核心功能属于以下需要高优先级通知的类别之一时,系统才会自动授权应用使用 USE_FULL_SCREEN_INTENT 权限:
请求此权限的应用需要接受审核;如果应用不符合上述条件,系统将不会自动向其授予此权限。在这种情况下,应用必须向用户请求权限,才能使用 USE_FULL_SCREEN_INTENT。 特此提醒,任何使用 USE_FULL_SCREEN_INTENT 权限的行为均必须遵循所有 Google Play 开发者政策,其中包括我们的移动垃圾软件政策、设备和网络滥用政策以及广告政策。全屏 intent 通知不得干扰、中断、损害或以未经授权的方式访问用户的设备。此外,应用不得妨碍其他应用或设备的易用性。 如需详细了解 USE_FULL_SCREEN_INTENT 权限,请访问我们的帮助中心。 |