Forhåndsvisning: Tilladelser og API'er, som har adgang til følsomme oplysninger

Tilladelser til sms- og opkaldslister anses som personlige og følsomme brugerdata, der er underlagt politikken om personlige og følsomme oplysninger og de følgende begrænsninger:

Begrænset tilladelse	Krav
Tilladelsesgruppen Opkaldsliste (f.eks. READ_CALL_LOG, WRITE_CALL_LOG, PROCESS_OUTGOING_CALLS)	Den skal være aktivt registreret som standardprogram til opkald eller Assistent på enheden.
Tilladelsesgruppen Sms (f.eks. READ_SMS, SEND_SMS, WRITE_SMS, RECEIVE_SMS, RECEIVE_WAP_PUSH, RECEIVE_MMS)	Den skal være aktivt registreret som standardprogram til sms eller Assistent på enheden.

 

Apps, der ikke kan være standardprogram til sms, opkald eller Assistent, må ikke angive brug af ovenstående tilladelser i manifestet. Dette gælder også pladsholdertekst i manifestet. Apps skal desuden være aktivt registreret som standardprogram til sms, opkald eller Assistent, inden de anmoder brugerne om at acceptere nogen af ovenstående tilladelser, og de skal straks stoppe med at anvende tilladelserne, når de ikke længere fungerer som standardprogram. De tilladte anvendelser og undtagelser kan findes på denne side i Hjælp.

Apps må kun bruge tilladelsen (og data, der er afledt af tilladelsen) til at levere godkendt kernefunktionalitet for appen. Kernefunktionalitet defineres som hovedformålet med appen. Dette kan omfatte en række primære funktioner, som alle skal være tydeligt dokumenteret og promoveret i appens beskrivelse. Uden kernefunktionerne er appen "defekt" eller ubrugelig. Overførsel, deling eller licenseret brug af disse data må kun ske med henblik på at levere kernefunktioner eller tjenester i appen, og brugen heraf må ikke udvides til andre formål (f.eks. forbedring af andre apps eller tjenester, reklame eller markedsføring). Du må ikke bruge alternative metoder (herunder andre tilladelser, API'er eller tredjepartskilder) til at udlede data, der er tilskrevet tilladelser, som er relateret til Opkaldsliste eller Sms.

Data om enhedslokation betragtes som personlige og følsomme brugerdata, der er underlagt politikken om personlige og følsomme oplysninger, politikken om lokation i baggrunden og følgende krav:

• Apps må ikke have adgang til data, der beskyttes af adgangstilladelser til lokation (f.eks. ACCESS_FINE_LOCATION, ACCESS_COARSE_LOCATION, ACCESS_BACKGROUND_LOCATION), når de ikke længere er nødvendige for at levere eksisterende funktioner eller tjenester i din app.
• Du må ikke anmode brugerne om adgangstilladelser til lokation udelukkende med henblik på annoncering eller dataanalyse. Apps, der udvider den tilladte brug af disse data til annoncevisning, skal overholde vores annoncepolitik.
• Apps skal anmode om det laveste omfang, der er nødvendigt (dvs. omtrentligt i stedet for nøjagtigt og forgrund i stedet for baggrund) for at levere den aktuelle funktion eller tjeneste, der kræver oplysninger om lokationen, og brugerne kan med rimelighed forvente, at funktionen eller tjenesten har brug for det lokationsniveau, der anmodes om. Vi kan f.eks. afvise apps, der anmoder om eller har adgang til lokation i baggrunden uden overbevisende begrundelse.
• Lokation i baggrunden må kun bruges til at levere funktioner, der er til gavn for brugeren og relevante for appens kernefunktionalitet.

Apps må have adgang til lokation via tilladelsen til tjenesten i forgrunden (når appen kun har adgang i forgrunden, f.eks. "mens den er i brug"), hvis brugen:

• Er påbegyndt som en fortsættelse af en handling, som brugeren har påbegyndt i appen
• Afsluttes, straks efter den tiltænkte brug af den brugerindledte handling er udført af appen.

Apps, der er udviklet specielt til børn, skal overholde politikken For hele familien.

Du kan få flere oplysninger om politikkravene i denne artikel i Hjælp.

Filer og mappeattributter på en brugers enhed betragtes som personlige og følsomme brugerdata, der er underlagt politikken om personlige og følsomme oplysninger og følgende krav:

• Apps må kun anmode om adgang til enhedens lagerplads i det omfang, det er nødvendigt for, at appen kan fungere, og må ikke anmode om adgang til enhedens lager på vegne af tredjeparter til noget formål, der ikke er relateret til vigtige brugerrettede appfunktioner.
• Android-enheder, der kører R eller nyere, kræver tilladelsen MANAGE_EXTERNAL_STORAGE for at administrere adgangen til delt hukommelse. Alle apps, der er målrettet mod R og anmoder om bred adgang til delt hukommelse ("Adgang til alle filer"), skal bestå en passende adgangsgennemgang inden udgivelse. Apps, der må anvende denne tilladelse, skal tydeligt bede brugerne om at aktivere "Adgang til alle filer" for deres app under indstillingerne for "Særlig appadgang". Du kan få flere oplysninger om R-kravene i denne artikel i Hjælp.

Billeder og videoer på en brugers enhed anses som personlige og følsomme brugerdata, der er underlagt Google Plays politik for brugerdata. Apps må kun tilgå billeder og videoer med henblik på formål, der er direkte relateret til appfunktionalitet, og må ikke anmode om adgang på vegne af tredjeparter med henblik på formål, der ikke er relaterede til brugerrettet appfunktionalitet. Vi anbefaler brug af en systemvælger såsom billedvælgeren for at give en mere privatlivssikrende brugeroplevelse.

Apps, der kræver overordnet adgang til billed- og videofiler i den delte lagerplads på enheder, skal gennemgå et tjek, hvor det vurderes, om anmodningen om adgangen er rimelig, og demonstrere en kernefunktion, der kræver vedvarende eller gennemgående adgang til billed- og videofilerne i den delte lagerplads. Apps, der har brug for engangsadgang eller sjælden adgang til disse filer, skal anvende en systemvælger såsom Androids billedvælger.

Overordnet adgang til billeder og videoer er også underlagt følgende krav:

• Apps, der er målrettet mod Android 13 (API-niveau 33) eller nyere, kræver tilladelsen READ_MEDIA_IMAGES eller tilladelsen READ_MEDIA_VIDEO for at få omfattende adgang til billed- eller videofiler, der er placeret i den delte lagerplads på enheden. Alle apps, der er målrettet mod Android 13 eller nyere, og som anmoder om tilladelsen READ_MEDIA_IMAGES eller READ_MEDIA_VIDEO, skal gennemgå et tjek, hvor det vurderes, om anmodningen om adgang er rimelig, inden udgivelse.
  • Apps, der anmoder om adgang til tilladelsen READ_MEDIA_VIDEO eller READ_MEDIA_IMAGES, skal demonstrere en kernefunktion, der kræver vedvarende eller gennemgående adgang til billederne eller videoerne i den delte lagerplads.

Hvis din app ikke kræver eller er kvalificeret til overordnet adgang til tilladelsen READ_MEDIA_VIDEO eller READ_MEDIA_IMAGES, skal du fjerne tilladelsen fra din apps manifest for at opfylde politikkens krav til gennemgang.

I overensstemmelse med politikken om begrænsede tilladelser skal du gøre et rimeligt forsøg på at imødekomme brugere, der ikke giver overordnet adgang til mediefiler på deres enhed. Dette omfatter at stille en appoplevelse til rådighed, som giver brugerne mulighed for stadig at benytte din apps funktioner eller kernefunktionalitet.

Apps, der har en legitim grund til at tilgå billeder eller videoer, men som hverken er kvalificeret til tilladelsen READ_MEDIA_IMAGES eller READ_MEDIA_VIDEO, kan bruge en systemvælger såsom billedvælgeren. Du kan få flere oplysninger i denne artikel i Hjælp.

Beholdningen af installerede apps, der søges efter på en enhed, anses som personlige og følsomme brugerdata, der er underlagt politikken om personlige og følsomme oplysninger og følgende krav:

Apps, der har som hovedformål at åbne, søge efter eller interagere med andre apps på enheden, kan få omfangsrelevant adgang til at se andre installerede apps på enheden som beskrevet nedenfor:

• Bred appsynlighed: Bred synlighed er en apps mulighed for at få omfattende (eller "bred") adgang til at se de installerede apps ("pakker") på en enhed.
  • For apps, der er målrettet mod API-niveau 30 eller nyere, er bred synlighed for installerede apps via tilladelsen QUERY_ALL_PACKAGES begrænset til specifikke eksempler på brug, hvor registrering af og/eller interoperabilitet med enhver app på enheden er påkrævet, før appen kan fungere. 
    • Du må ikke bruge QUERY_ALL_PACKAGES, hvis din app kan fungere sammen med en målrettet erklæring om pakkesynlighed(f.eks. forespørgsler om og interaktion med bestemte pakker i stedet for anmodninger om bred synlighed).
  • Brugen af alternative metoder til at tilnærme dig det brede synlighedsniveau, som er tilknyttet tilladelsen QUERY_ALL_PACKAGES, er også begrænset til brugerorienterede kernefunktioner i appen og interoperabilitet med alle apps, der registreres via denne metode.
  • Gå til denne artikel i Hjælp for at se de tilladte eksempler på brug for tilladelsen QUERY_ALL_PACKAGES.
• Begrænset appsynlighed: Begrænset synlighed er, når en app begrænser adgangen til data ved at søge efter bestemte apps ved hjælp af mere målrettede (i modsætning til "brede") metoder (f.eks. forespørgsler vedrørende bestemte apps, der overholder din apps manifesterklæring). Du kan bruge denne metode til at søge efter apps i tilfælde, hvor din app har kompatibilitet, der overholder politikkerne, eller i forbindelse med administration af disse apps. 
• Adgang til synligheden af beholdningen af installerede apps på en enhed skal være direkte relateret til det hovedformål eller de kernefunktioner, som brugerne får adgang til i din app. 

De data om appbeholdningen, der søges efter via Play-distribuerede apps, må hverken sælges eller deles med henblik på analyse eller indtægtsintegrering fra annoncer.

Accessibility API kan ikke bruges til følgende:

• Ændre brugerindstillinger uden brugerens tilladelse eller fjerne brugernes mulighed for at deaktivere eller afinstallere en app eller tjeneste, medmindre det er blevet godkendt af en forælder eller værge via en app til børnesikring eller af en autoriseret administrator via software til virksomhedsadministration. 
• Omgå indbyggede Android-privatlivsindstillinger og -notifikationer.
• Ændre eller udnytte brugerfladen på en måde, der vildleder eller på anden vis overtræder udviklerpolitikkerne i Google Play. 

Accessibility API er ikke udviklet til og kan ikke anmodes om at understøtte fjernopkald med optagelse af lyd. 

Brug af Accessibility API skal dokumenteres på profilsiden i Google Play.

Retningslinjer for IsAccessibilityTool

Apps, hvis kernefunktioner er direkte beregnet til at hjælpe personer med nedsat funktionsevne, er kvalificeret til at anvende IsAccessibilityTool, så de offentligt og på behørig vis kan betegne sig selv som hjælpefunktionsapps.

Apps, som ikke er kvalificeret til at anvende IsAccessibilityTool, må ikke anvende flaget, og de skal overholde kravene om tydelig erklæring og samtykke, som er beskrevet i politikken vedrørende brugerdata, da det ikke er indlysende for brugeren, at appen har hjælpefunktioner. Du kan få flere oplysninger i artiklen AccessibilityService API i Hjælp.

Apps skal anvende mere afgrænsede API'er og tilladelser i stedet for Accessibility API, når det er muligt for at opnå den ønskede funktion. 

Tilladelsen REQUEST_INSTALL_PACKAGES giver en app mulighed for at anmode om installation af app-pakker.​​ For at anvende denne tilladelse skal appens kernefunktion omfatte:

• Afsendelse eller modtagelse af app-pakker
• Mulighed for brugerindledt installation af app-pakker

Tilladte funktioner omfatter:

• Webbrowsing eller søgning
• Kommunikationstjenester, som understøtter vedhæftede filer
• Deling, overførsel eller administration af filer
• Virksomhedsadministration af enheder
• Sikkerhedskopiering og gendannelse
• Enhedsmigrering/telefonoverførsel
• Medfølgende app til synkronisering af telefon til wearables eller IoT-enheder (f.eks. et smart-ur eller smart-tv)

Kernefunktionen defineres som hovedformålet med appen. Kernefunktionen samt de primære funktioner, der udgør denne kernefunktion, skal alle være dokumenteret og promoveret i beskrivelsen af appen.

Tilladelsen REQUEST_INSTALL_PACKAGES kan muligvis ikke anvendes til selv at foretage opdateringer, ændringer eller pakkesamlinger af andre APK-filer i indholdsfilen, medmindre formålet er relateret til enhedsadministration. Alle opdateringer eller installationer af pakker skal overholde Google Plays politik om enheds- og netværkmisbrug og skal indledes og udføres af brugeren.

Health Connect er en Android-platform, der giver sundheds- og fitnessapps mulighed for at opbevare og dele de samme data på enheder inden for et forenet økosystem. Det er også stedet, hvor brugerne kan styre, hvilke apps der skal have tilladelse til at læse og skrive sundheds- og træningsdata. Health Connect understøtter læsning og skrivning af en række forskellige datatyper, f.eks. antal skridt og kropstemperatur.

Data, der tilgås via Health Connect-tilladelser, betragtes som personlige og følsomme brugerdata i henhold til politikken for brugerdata. Hvis din app er kvalificeret som en sundhedsapp eller har sundhedsrelaterede funktioner og tilgår sundhedsdata, bl.a. Health Connect-data, skal den også overholde politikken for sundhedsapps.

Gå til denne vejledning til Android-udviklere for at se, hvordan du kommer godt i gang med Health Connect. Du kan anmode om adgang til Health Connect-datatyper her.

Apps, der distribueres via Google Play, skal overholde følgende politikkrav for at læse og/eller skrive data til Health Connect.

Health Connect må kun bruges i overensstemmelse med de gældende politikker, vilkår og betingelser samt til godkendte eksempler på brug som anført i denne politik. Dette betyder, at du kun må anmode om adgang til tilladelser, når din app eller tjeneste opfylder et af de godkendte eksempler på brug.

Godkendte eksempler på brug omfatter: fitness og sundhed, bonusser, fitnesscoaching, sundhed på arbejdspladsen, lægehjælp, sundhedsforskning og spil. Apps, der har fået adgang til disse tilladelser, må ikke have andre ikke-angivne eller ugyldige formål.

Det er kun apps eller tjenester med én eller flere funktioner, hvis primære formål er at forbedre brugernes sundhed og fitness, der må anmode om adgang til Health Connect-tilladelser. Disse omfatter:

• Apps eller tjenester, der giver brugerne mulighed for at registrere, rapportere, overvåge og/eller analysere fysisk aktivitet, søvn, mental sundhed, ernæring, sundhedsmålinger, fysiske beskrivelser og/eller andre sundheds- eller fitnessrelaterede beskrivelser og målinger
• Apps eller tjenester, der giver brugerne mulighed for at gemme aktivitet, søvn, mental sundhed, ernæring, sundhedsmålinger, fysiske beskrivelser og/eller andre sundheds- eller fitnessrelaterede beskrivelser og målinger på deres telefon og/eller wearable samt for at dele deres data med andre apps på enheden, som opfylder disse eksempler på brug.

Adgangen til Health Connect må ikke bruges i strid med denne politik eller andre gældende vilkår og betingelser eller politikker for Health Connect, herunder følgende formål:

• Brug ikke Health Connect til udvikling af eller inkorporering i apps, miljøer eller aktiviteter, hvor brugen af eller fejl i Health Connect med rimelig forventning kan føre til dødsfald, personskade, miljømæssig eller materiel skade (såsom oprettelse eller drift af atomkraftværker, flyveledelse, hjerte-lungemaskiner eller våben).
• Tilgå ikke data, som er indhentet via Health Connect, ved hjælp af apps uden grafisk brugerflade. Apps skal vise et tydeligt identificerbart ikon i appoversigten, enhedens appindstillinger, notifikationsikoner osv.
• Brug ikke Health Connect med apps, der synkroniserer data mellem inkompatible enheder eller platforme.
• Brug ikke Health Connect til at tilknytte apps, tjenester eller funktioner, der udelukkende er målrettet mod børn.
• Træf rimelige og passende foranstaltninger for at beskytte alle apps eller systemer, der gør brug af Health Connect, mod uautoriseret eller ulovlig adgang, brug, ødelæggelse, tab, ændring eller offentliggørelse.

Det er også dit ansvar at sikre overholdelse af lovmæssige eller juridiske krav, som kan være gældende afhængigt af din tiltænkte brug af Health Connect og data fra Health Connect. Medmindre andet er udtrykkeligt angivet på etiketten eller i oplysningerne fra Google for bestemte Google-produkter eller -tjenester, anbefaler Google ikke brugen af og garanterer ikke nøjagtigheden af data i Health Connect til nogen brug eller formål og særligt med henblik på forskning, sundhed eller medicinsk brug. Google fraskriver sig ethvert ansvar i forbindelse med brugen af data, der er indhentet via Health Connect.

Ved brug af Health Connect skal adgangen til og brugen af data være underlagt specifikke begrænsninger:

• Brugen af data skal være begrænset til at levere eller forbedre det relevante eksempel på brug eller de funktioner, der er synlige i appens brugerflade.
• Brugerdata må kun overføres til tredjeparter med udtrykkeligt samtykke fra brugeren til følgende formål: sikkerhedshensyn (f.eks. for at undersøge misbrug), overholdelse af gældende love og regler eller som en del af fusioner/opkøb.
• Menneskelig adgang til brugerdata er begrænset, medmindre brugeren har givet udtrykkeligt samtykke til dette, eller det er nødvendigt af hensyn til sikkerheden, med henblik på at overholde loven eller ved sammenlægning til intern drift i henhold til juridiske krav.
• Al anden overførsel, brug og salg af Health Connect-data er forbudt, herunder:
  • Overførsel eller salg af brugerdata til tredjeparter som f.eks. annonceplatforme, dataformidlere eller forhandlere af information.
  • Overførsel, salg eller brug af brugerdata til visning af annoncer, herunder personligt tilpasset eller interessebaseret annoncering.
  • Overførsel, salg eller brug af brugerdata for at fastslå kreditværdighed eller i forbindelse med lån.
  • Overførsel, salg eller brug af brugerdata med et produkt eller en tjeneste, der kan kvalificeres som medicinsk udstyr i henhold til Afsnit 201(h) af Federal Food Drug and Cosmetic Act, hvis brugerdataene anvendes af det medicinske udstyr for at udføre en lovreguleret funktion.
  • Overførsel, salg eller brug af brugerdata med ethvert formål eller på enhver måde, der involverer beskyttede sundhedsoplysninger (PHI, Protected Health Information som defineret af HIPAA), medmindre du modtager forudgående skriftligt samtykke til en sådan brug fra Google.

Du må kun anmode om adgang til de tilladelser, der er nødvendige for at implementere dit produkts funktioner eller tjenester. Sådanne adgangsanmodninger skal være specifikke og begrænset til de data, der er nødvendige.

Health Connect administrerer sundheds- og træningsdata, herunder følsomme oplysninger, og kræver, at alle apps har en omfattende privatlivspolitik. I privatlivspolitikken skal det tydeligt fremgå, hvordan appen indsamler, anvender og deler brugerdata. Foruden at overholde de juridiske krav skal udviklerne angive følgende oplysninger i privatlivspolitikken:

• En nøjagtig skildring af appens identitet, som beskriver, hvilke data der tilgås, og dataenes forbindelse til fremtrædende appfunktioner og anbefalinger.
• En praksis for dataopbevaring og -sletning
• Procedurer for datahåndtering. Eksempelvis overførsel via moderne kryptografi (f.eks. HTTPS)

Du kan få flere oplysninger om krav til apps, der tilknyttes Health Connect, i denne artikel i Hjælp.

VpnService er en grundlæggende klasse, som apps kan bruge til at udvide og udvikle deres egne VPN-løsninger. Det er kun apps, der bruger VpnService og har VPN som kernefunktion, der kan oprette en sikker tunnel på enhedsniveau til en ekstern server. Dette gælder dog bl.a. ikke apps, hvis kernefunktion kræver en ekstern server, f.eks.:

• Apps til børnesikring og virksomhedsadministration.
• Sporing af appbrug.
• Apps til beskyttelse af enheder (f.eks. antivirus, administration af mobilenheder, firewall).
• Netværksrelaterede værktøjer (f.eks. fjernadgang).
• Webbrowserapps.
• Apps fra mobilselskaber, som kræver brugen af VPN-funktioner for at levere telefon- eller forbindelsestjenester.

VpnService kan ikke bruges til følgende:

• Indsamling af personlige og følsomme brugerdata uden tydelig erklæring og samtykke.
• Omdirigering af eller manipulering med brugertrafik fra andre apps på en enhed med henblik på indtægtsgenerering (f.eks. omdirigering af annoncetrafik via et andet land end brugerens).

Apps, der bruger VpnService, skal gøre følgende:

• Dokumentere brugen af VpnService på profilsiden i Google Play.
• Kryptere data fra enheden til VPN-tunnellens slutpunkt.
• Overholde alle programpolitikker for udviklere, herunder politikkerne vedrørende annoncesvindel, tilladelser og malware.

Der introduceres en ny tilladelse ved navn USE_EXACT_ALARM, som giver adgang til en nøjagtig alarmfunktion i apps fra og med Android 13 (API-niveau, der målrettes mod: 33). 

USE_EXACT_ALARM er en begrænset tilladelse, og apps må kun deklarere denne tilladelse, hvis deres kernefunktion understøtter behovet for en nøjagtig alarm. Apps, der anmoder om denne begrænsede tilladelse, er underlagt gennemgang. Apps, som ikke opfylder kriterierne for acceptable eksempler på brug, må ikke udgives i Google Play.

Acceptable eksempler på brug af tilladelsen til nøjagtige alarmer

Din app må kun bruge funktionen USE_EXACT_ALARM, når appens brugerrettede kernefunktion kræver nøjagtigt timede handlinger som f.eks.:

• Appen er en alarm- eller timerapp.
• Appen er en kalenderapp, der viser notifikationer om begivenheder.

Hvis du har et eksempel på brug af den nøjagtige alarmfunktion, som ikke er nævnt ovenfor, bør du evaluere, om det er muligt at bruge SCHEDULE_EXACT_ALARM som alternativ.

Du kan få flere oplysninger om den nøjagtige alarmfunktion i denne vejledning til udviklere.

I forbindelse med apps, der er målrettet mod Android 14 (API-målretningsniveau 34) eller nyere, har USE_FULL_SCREEN_INTENT en særlig appadgang. Apps får kun automatisk tilladelse til at anvende tilladelsen USE_FULL_SCREEN_INTENT, hvis deres kernefunktionalitet tilhører en af nedenstående kategorier, der kræver notifikationer med høj prioritet:

• Oprettelse af en alarm
• Modtagelse af telefon- eller videoopkald

Apps, der kræver denne tilladelse, er underlagt gennemgang, og de apps, der ikke opfylder ovenstående krav, får ikke automatisk denne tilladelse. Hvis dette er tilfældet, skal de pågældende apps anmode brugeren om tilladelse til at anvende USE_FULL_SCREEN_INTENT.

Husk, at al brug af tilladelsen USE_FULL_SCREEN_INTENT skal overholde alle Google Play-udviklerpolitikker, herunder vores politikker vedrørende uønsket software til mobil, enheds- og netværksmisbrug og annoncer. Notifikationer om hensigter i fuld skærm må ikke forstyrre, afbryde, beskadige eller tilgå brugerens enhed på en uautoriseret måde. Apps må derudover ikke forstyrre andre apps eller enhedens anvendelighed.

Få flere oplysninger om tilladelsen USE_FULL_SCREEN_INTENT i Hjælp.