Forhåndsversjon: Tillatelser og API-er som bruker sensitiv informasjon

Tillatelser for SMS- og samtalelogg anses som personlige og sensitive brukerdata som er underlagt retningslinjene for personligopplysninger og sensitiv informasjon, samt følgende begrensninger:

Begrenset tillatelse	Krav
Tillatelsesgruppe for samtaleloggen (f.eks. READ_CALL_LOG, WRITE_CALL_LOG, PROCESS_OUTGOING_CALLS)	Den må være aktivt registrert som standard telefon- eller assistentbehandler på enheten.
Tillatelsesgruppe for SMS (f.eks. READ_SMS, SEND_SMS, WRITE_SMS, RECEIVE_SMS, RECEIVE_WAP_PUSH, RECEIVE_MMS)	Den må være aktivt registrert som standard SMS- eller assistentbehandler på enheten.

 

Apper som ikke har funksjonalitet for SMS-, telefon- eller Assistent-behandling, kan ikke deklarere bruk av de ovennevnte tillatelsene i manifestet. Dette inkluderer plassholdertekst i manifestet. Apper må også være aktivt registrert som standardbehandlere for SMS-, telefon- eller Assistent-funksjonen før de ber brukere om å godta noen av de ovennevnte tillatelsene, og de må umiddelbart slutte å bruke tillatelsen når de ikke er standardbehandlere lenger. Tillatte bruksområder og unntak er tilgjengelige på denne brukerstøttesiden.

Apper kan bare bruke tillatelsen (og alle data som er generert på grunnlag av tillatelsen) til å levere godkjent kjerneappfunksjonalitet. Kjernefunksjonalitet er definert som appens hovedformål. Dette kan være et sett med kjernefunksjoner, der alle må være tydelig dokumentert og fremhevet i beskrivelsen av appen. Uten kjernefunksjonene er appen «ødelagt» eller ubrukelig. Overføring, deling eller lisensiert bruk av disse dataene er bare tillatt for å levere kjernefunksjoner eller -tjenester i appen, og bruken av dataene kan aldri utvides til noe annet formål (f.eks. forbedring av andre apper eller tjenester, annonsering eller markedsføringsformål). Du kan ikke bruke alternative metoder (inkludert andre tillatelser, API-er eller tredjepartskilder) til å avlede data tilknyttet tillatelsene for SMS- og samtalelogg.

Enhetsposisjon anses som personlige og sensitive brukerdata som er underlagt retningslinjene om personlig og sensitiv informasjon, retningslinjene for bakgrunnsposisjon og de følgende kravene:

• Apper skal ikke ha tilgang til data som er beskyttet av posisjonstillatelser (f.eks. ACCESS_FINE_LOCATION, ACCESS_COARSE_LOCATION, ACCESS_BACKGROUND_LOCATION) når det ikke lenger er nødvendig for å levere funksjoner eller tjenester i appen.
• Du må aldri be om posisjonstillatelser fra brukere hvis det eneste formålet er annonsering eller analyse. Apper som tillater at disse dataene brukes til å vise annonser, må være i samsvar med annonseretningslinjene våre.
• Apper skal be om det laveste tilgangsnivået (dvs. så generelt og lite detaljert som mulig, og i forgrunnen i stedet for bakgrunnen i den grad det er mulig) som er nødvendig for å levere funksjonen eller tjenesten som trenger posisjonen, og det skal gi mening for brukerne at det forespurte posisjonsnivået er nødvendig for funksjonen eller tjenesten. Vi kan for eksempel avslå apper som ber om eller får tilgang til bakgrunnsposisjon uten god nok begrunnelse.
• Apper skal bare bruke bakgrunnsposisjon for å levere funksjoner som er fordelaktige for brukeren og relevante for appens kjernefunksjonalitet.

Apper kan få tilgang til posisjon ved å bruke forgrunnstjenester (når appen bare har tilgang i forgrunnen, f.eks. «når den er i bruk») hvis bruken

• er startet som en fortsettelse av en brukeraktivert handling i appen
• avsluttes umiddelbart etter at det tiltenkte bruksmønsteret til den brukeraktiverte handlingen fullføres av appen

Apper som er utviklet spesifikt for barn, må overholde For hele familien-retningslinjene.

Du finner mer informasjon om retningslinjekravene i denne hjelpeartikkelen.

Filer og katalogattributter på brukeres enheter regnes som personopplysninger og sensitive brukerdata som er underlagt retningslinjene for personopplysninger og sensitiv informasjon samt følgende krav:

• Apper skal bare be om tilgang til enhetslagring hvis det er avgjørende for at appen skal fungere, og de kan ikke be om tilgang til enhetslagring på vegne av tredjeparter til formål som ikke er relatert til kritisk appfunksjonalitet for brukerne.
• Android-enheter som kjører versjon R eller nyere, krever tillatelsen MANAGE_EXTERNAL_STORAGE for å administrere tilgang til delt lagring. Alle apper som er målrettet mot versjon R og ber om omfattende tilgang til delt lagring («Tilgang til alle filer»), må bestå en passende tilgangsvurdering før publisering. Apper som kan bruke denne tillatelsen, må tydelig be brukerne om å slå på «Tilgang til alle filer» for appene sine under «Spesiell apptilgang»-innstillingene. Du finner mer informasjon om kravene for versjon R i denne hjelpeartikkelen.

Bilder og videoer på brukeres enheter regnes som personopplysninger og sensitive brukerdata som er underlagt retningslinjene for brukerdata for Google Play. Apper har bare tilgang til bilder og videoer for formål direkte knyttet til appfunksjonalitet og kan ikke be om tilgang på vegne av tredjeparter for formål som ikke er knyttet til brukerrettet appfunksjonalitet. For en opplevelse som ivaretar personvernet bedre, anbefaler vi bruken av en systemvelger, for eksempel bildevelgeren.

Apper som ber om omfattende tilgang til bilder og videofiler i delt lagring på enheter, må bestå en passende tilgangsvurdering og demonstrere et kjernebruksmønster som krever vedvarende eller hyppig bilde-/videotilgang til filer i delt lagring. Apper som har engangsbehov eller sjeldent behov for å bruke disse filene, blir bedt om å bruke en systemvelger, for eksempel bildevelgeren for Android.

Omfattende tilgang til bilder og videoer er også underlagt de følgende kravene:

• Apper som er målrettet mot Android 13 (API-nivå 33) eller nyere, må ha READ_MEDIA_IMAGES- eller READ_MEDIA_VIDEO-tillatelsen for å få generell tilgang til bilder eller videofiler i delt lagring på enheten. Alle apper som er målrettet mot Android 13 eller nyere og ber om READ_MEDIA_IMAGES- eller READ_MEDIA_VIDEO-tillatelsen, må bestå en passende tilgangsvurdering før publisering.
  • Apper som ber om tilgang til READ_MEDIA_VIDEO- eller READ_MEDIA_IMAGES-tillatelsen, må kunne demonstrere et kjernebruksmønster som krever vedvarende eller hyppig behov for bilde-/videotilgang til filer i delt lagring.

Hvis appen ikke krever eller kvalifiserer for omfattende tilgang til READ_MEDIA_VIDEO- eller READ_MEDIA_IMAGES-tillatelsen, må du fjerne den fra appens manifest for å overholde kravene for gjennomgang i henhold til retningslinjene.

I henhold til retningslinjene for begrensede tillatelser må du legge rimelig innsats i å tilrettelegge for brukere som ikke gir omfattende tilgang til mediefiler på enheten sin. Dette inkluderer å tilrettelegge for en tilpasset appopplevelse der brukere fremdeles kan bruke funksjonen eller kjernefunksjonaliteten til appen.

Apper som har et legitimt bruksmønster for bilder eller videoer, men ikke kvalifiserer for READ_MEDIA_IMAGES- eller READ_MEDIA_VIDEO-tillatelsen, kan bruke en systemvelger, for eksempel bildevelgeren. Du finner mer informasjon i denne brukerstøtteartikkelen.

Når beholdningen av installerte apper er hentet fra en enhet, anses den for å inneholde personlige og sensitive brukerdata som er underlagt retningslinjene for personlig og sensitiv informasjon samt følgende krav:

Apper som har som hovedformål å starte, søke gjennom eller være interoperable med andre apper på enheten, kan få tilgang til andre installerte apper på enheten i et hensiktsmessig omfang. Dette er beskrevet mer detaljert nedenfor:

• Bred apptilgang: Med bred tilgang kan appen din få omfattende (eller «bred») tilgang til andre installerte apper («pakker») på samme enhet.
  • For apper som er målrettet mot API-nivå 30 eller nyere, er bred tilgang til installerte apper via tillatelsen QUERY_ALL_PACKAGES begrenset til spesifikke bruksmønstre der appen ikke fungerer uten å se og/eller ha interoperabilitet med alle andre installerte apper på enheten. 
    • Du kan ikke bruke QUERY_ALL_PACKAGES hvis appen kan fungere med en mer spesifikt målrettet erklæring om pakketilgang (for eksempel ved å søke etter og samhandle med spesifikke pakker i stedet for å be om bred tilgang).
  • Bruk av alternative metoder for å etterligne det brede tilgangsnivået som gis med tillatelsen QUERY_ALL_PACKAGES, er også begrenset til appens brukerrettede kjernefunksjonalitet og interoperabilitet med andre apper som oppdages via slike metoder.
  • Gå til denne artikkelen i brukerstøtten for å lese om bruksmønstre der tillatelsen QUERY_ALL_PACKAGES godtas.
• Begrenset apptilgang: Begrenset tilgang betyr at appen din minimerer tilgangen til data ved å søke etter spesifikke apper via mer målrettede (i stedet for «brede») metoder, for eksempel ved å søke etter spesifikke apper som samsvarer med manifestdeklarasjonen for appen din. Du kan bruke denne metoden til å søke etter apper hvis appen din har interoperabilitet som samsvarer med retningslinjene, samt til å administrere disse appene. 
• Tilgang til beholdningen av installerte apper på en enhet må være direkte relatert til hovedformålet med appen din eller kjernefunksjonaliteten brukere har tilgang til i den. 

Data om appbeholdning som er hentet fra Play-distribuerte apper, skal aldri selges og heller ikke brukes i analyse eller annonser for å generere inntekter.

Accessibility API kan ikke brukes til

• å endre brukerinnstillinger uten brukernes samtykke eller hindre at brukerne kan deaktivere eller avinstallere apper eller tjenester, med mindre dette er autorisert av en forelder eller verge gjennom en app for foreldrekontroll, eller av autoriserte administratorer gjennom programvare for bedriftsadministrasjon 
• å omgå personverninnstillinger og -varsler som er innebygd i Android
• å endre eller bruke grensesnittet på en villedende måte eller på måter som bryter retningslinjene for utviklere på Google Play 

Accessibility API er ikke laget for og kan ikke forespørres for fjernstyrt opptak av lyd i samtaler. 

Bruk av Accessibility API må dokumenteres i Google Play-oppføringen.

Retningsinjer for IsAccessibilityTool

Apper med kjernefunksjonalitet som er ment som direkte støtte for personer med nedsatte funksjonsevner, kan bruke IsAccessibilityTool til å vise offentlig at de er tilgjengelighetsapper.

Apper som ikke er kvalifisert for bruk av IsAccessibilityTool, kan ikke bruke dette flagget og må oppfylle krav om fremtredende informasjon og samtykke, som beskrevet i retningslinjene for brukerdata, ettersom funksjonene knyttet til tilgjengelighet ikke er tydelige for brukerne. Du finner mer informasjon i brukerstøtteartikkelen om AccessibilityService API.

Der det er mulig, må apper bruke API-er og tillatelser med smalere omfang i stedet for Accessibility API for å oppnå ønsket funksjonalitet. 

Med tillatelsen REQUEST_INSTALL_PACKAGES kan apper be om at det installeres appakker. For å bruke denne tillatelsen må appens kjernefunksjonalitet omfatte

• sending eller mottak av appakker
• støtte for brukerstartet installering av appakker

Tillatt funksjonalitet omfatter

• nettsurfing eller søk
• kommunikasjonstjenester som støtter vedlegg
• fildeling, filoverføring eller filbehandling
• administrering av bedriftsenheter
• sikkerhetskopiering og gjenoppretting
• bytte/overføring av enhet/telefon
• følgeapp for synkronisering av telefon med hapå-teknologi eller IoT-enheter (for eksempel smartklokke eller smart-TV)

Kjernefunksjonalitet defineres som hovedformålet med appen. All kjernefunksjonalitet, samt alle kjernefunksjoner som utgjør kjernefunksjonaliteten, må være tydelig dokumentert og fremhevet i beskrivelsen av appen.

Tillatelsen REQUEST_INSTALL_PACKAGES kan ikke brukes til å utføre selvoppdatering, modifisering eller pakking av andre APK-er i elementfilen, med mindre dette gjøres for enhetsadministrering. All oppdatering og pakkeinstallering må overholde Google Play-retningslinjene om misbruk av enheter og nettverk og må startes og gjennomføres av brukeren.

Health Connect er en Android-plattform som helse- og treningsapper kan bruke til å lagre og dele samme data på enheten i et forent økosystem. Her får brukere også ett enkelt sted hvor de kan kontrollere hvilke apper som leser og skriver helse- og treningsdata. Health Connect har støtte for lesing og skriving av en rekke datatyper – fra skritt til kroppstemperatur.

Data som åpnes via Health Connect-tillatelser, betraktes som personlige og sensitive brukerdata og er underlagt retningslinjene for brukerdata. Hvis appen din er kvalifisert som en helseapp eller har helserelaterte funksjoner og bruker helsedata, deriblant Health Connect-data, må den også overholde retningslinjene for helseapper.

Ta en titt på denne veiledningen for Android-utviklere for å se hvordan du kommer i gang med Health Connect. For å be om tilgang til Health Connect-datatyper, gå hit.

Apper som distribueres via Google Play, må oppfylle følgende retningslinjekrav for å lese fra og/eller skrive til Health Connect.

Health Connect kan bare brukes i samsvar med de gjeldende retningslinjene og vilkårene samt i de godkjente bruksmønstrene som er beskrevet i disse retningslinjene. Dette betyr at du bare kan be om tilgang til tillatelser når appen eller tjenesten din overholder et av de godkjente bruksmønstrene.

Godkjente bruksmønstre omfatter trening og velvære, belønninger, treningscoaching, trening på jobb, medisinsk behandling, helserelatert forskning og spill. Apper som får tilgang til disse tillatelsene, kan ikke utvide bruken til formål som ikke er oppgitt eller tillatt.

Bare apper eller tjenester som har én eller flere funksjoner som er laget med hovedfokus på å være til gagn for brukernes helse og trening, kan be om tilgang til Health Connect-tillatelsene. Dette omfatter

• apper eller tjenester hvor brukerne direkte kan loggføre, rapportere, følge med på og/eller analysere fysisk aktivitet, søvn, mentalt velvære, ernæring, helsemålinger, fysiske beskrivelser og/eller andre beskrivelser og målinger som er knyttet til helse eller trening
• Apper eller tjenester hvor brukerne kan lagre fysisk aktivitet, søvn, mentalt velvære, ernæring, helsemålinger, fysiske beskrivelser og/eller andre beskrivelser og målinger som er knyttet til helse eller trening, på telefonen og/eller hapå-teknologi samt dele dataene med andre installerte apper som oppfyller disse bruksmønstrene

Tilgangen til Health Connect kan ikke brukes i strid med disse retningslinjene eller andre gjeldende Health Connect-vilkår eller -retningslinjer, deriblant til de følgende formålene:

• Du må ikke bruke Health Connect i utarbeiding av, eller for innlemming i, apper, miljøer eller aktiviteter der bruk av eller svikt i Health Connect i rimelig grad kan ventes å føre til dødsfall, personskader, miljøskader eller materielle skader (for eksempel utarbeiding eller drift av atomanlegg, kontrollsystemer for flytrafikk, livredningssystemer eller våpen).
• Du må ikke bruke data som er anskaffet via Health Connect, sammen med hodeløse apper. Apper må vise et tydelig identifiserbart ikon i appfeltet, appinnstillingene på enheten, varselikonene osv.
• Du må ikke bruke Health Connect med apper som synkroniserer data med enheter eller plattformer som ikke er kompatible.
• Du må ikke bruke Health Connect for å koble til apper, tjenester eller funksjoner som er utelukkende målrettet mot barn.
• Du må treffe rimelige og egnede tiltak for å beskytte alle apper og systemer som bruker Health Connect, mot uautorisert eller ulovlig tilgang, bruk, ødeleggelse, tap, endring og videreformidling.

Det er også du som har ansvaret for å sikre overholdelse av eventuelle forskriftsmessige eller juridiske krav som kan gjelde for den tiltenkte bruken av Health Connect og eventuelle data fra Health Connect. Med unntak av det som er uttrykkelig spesifisert på etikettene eller informasjonen Google gjør tilgjengelig for bestemte Google-produkter eller -tjenester, verken hevder eller garanterer Google at data i Health Connect er nøyaktige for noen som helst type bruk – spesielt ikke for bruk som er tilknyttet forskning, helse eller medisin. Google fraskriver seg alt ansvar tilknyttet bruk av data som anskaffes via Health Connect.

Når du bruker Health Connect, må datatilgangen og -bruken overholde bestemte begrensninger:

• Databruken skal være begrenset til å levere eller forbedre det egnede bruksmønsteret eller funksjonene som er synlige i appens brukergrensesnitt.
• Brukerdata kan bare overføres til tredjeparter hvis det innhentes eksplisitt samtykke fra brukerne, for sikkerhetsformål (for eksempel for å undersøke uriktig bruk), for å overholde gjeldende lov og rett eller forordninger eller som en del av sammenslåinger/oppkjøp.
• Menneskers tilgang til brukerdata er begrenset med mindre det innhentes eksplisitt samtykke fra brukerne, for sikkerhetsformål, for å overholde lov og rett eller i samlet form for intern bruk i henhold til juridiske krav.
• All annen overføring, bruk eller salg av data fra Health Connect er forbudt, deriblant
  • overføring eller salg av brukerdata til tredjeparter som annonseringsplattformer, datameglere eller personer/bedrifter som videreselger informasjon
  • overføring, salg eller bruk av brukerdata til visning av annonser, deriblant personlig tilpasset eller interessebasert annonsering
  • overføring, salg eller bruk av brukerdata for å avgjøre om brukeren er kredittverdig, eller til utlånsformål
  • overføring, salg eller bruk av brukerdata med produkter eller tjenester som kan klassifiseres som medisinsk utstyr i henhold til paragraf 201(h) av Federal Food Drug and Cosmetic Act, hvis det medisinske utstyret skal bruke brukerdataene for å utføre regulerte funksjoner
  • overføring, salg eller bruk av brukerdata til noe formål eller på noen måte som involverer beskyttet helseinformasjon (slik dette er definert av HIPAA), med mindre du på forhånd mottar skriftlig godkjenning til slik bruk fra Google

Du må bare be om tilgang til tillatelsene du trenger for å implementere produktets funksjoner eller tjenester. Slike tilgangsforespørsler skal være spesifikke og begrenset til dataene som trengs.

Health Connect administrerer helse- og treningsdata, inkludert sensitiv informasjon, og krever at alle apper har omfattende personvernregler. Personvernreglene må være åpne om hvordan appen samler inn, bruker og deler brukerdata. I tillegg til det som må oppgis i henhold til juridiske krav, må utviklere ha følgende informasjon i personvernreglene:

• en nøyaktig gjenspeiling av appens identitet med informasjon om dataene som leses og disses tilknytning til prominente appfunksjoner eller anbefalinger
• praksiser for sletting og oppbevaring av data
• prosedyrer for håndtering av data, for eksempel at de sendes ved hjelp av moderne kryptografi (eksempelvis via HTTPS)

Du finner mer informasjon om kravene til apper som kobles til Health Connect, i denne artikkelen i brukerstøtten.

VpnService er en basisklasse som apper kan bruke til å utvide og bygge sine egne VPN-løsninger. Bare apper som bruker VpnService og har VPN som kjernefunksjonalitet, kan opprette en sikker tunnel på enhetsnivå til eksterne tjenere. Unntak inkluderer apper som må ha en ekstern tjener for kjernefunksjonalitet, for eksempel

• foreldrekontroll og apper for bedriftsadministrasjon
• sporing av appbruk
• apper for enhetssikkerhet (for eksempel antivirus, administrering av mobilenheter, brannmur)
• nettverksrelaterte verktøy (for eksempel fjerntilgang)
• nettleserapper
• operatørapper som trenger VPN-funksjonalitet for å levere telefon- eller nettjenester

VpnService kan ikke brukes til

• innsamling av personlige og sensitive brukerdata uten fremtredende informasjon og samtykke
• viderekobling eller manipulering av brukertrafikk fra andre apper på en enhet for å generere inntekt (for eksempel viderekobling av annonsetrafikk via et annet land enn brukerens land)

Apper som bruker VpnService, må

• dokumentere bruken av VpnService i Google Play-oppføringen
• kryptere dataene fra enheten til VPN-tunnelsluttpunktet
• overholde alle programretningslinjene for utviklere , inkludert retningslinjene for annonsesvindel, tillatelser og skadelig programvare

Vi lanserer en ny tillatelse, USE_EXACT_ALARM, som gir tilgang til funksjoner for presis alarm i apper fra og med Android 13 (API-målnivå 33). 

USE_EXACT_ALARM er en begrenset tillatelse. Apper kan kun deklarere denne tillatelsen hvis kjernefunksjonaliteten trenger presise alarmer. Apper som ber om denne begrensede tillatelsen, blir gjennomgått, og de som ikke oppfyller kravene til akseptabel bruk, kan ikke publiseres på Google Play.

Akseptabel bruk for tillatelsen for presise alarmer

Appen kan kun bruke USE_EXACT_ALARM-funksjonen når appens brukerrettede kjernefunksjon trenger presise, tidsstyrte handlinger, for eksempel

• appen er en alarm- eller tidtakerapp
• appen er en kalenderapp som viser hendelsesvarsler

Hvis du har et bruksmønster for presise alarmer som ikke er nevnt ovenfor, bør du vurdere om du heller kan bruke SCHEDULE_EXACT_ALARM.

Du finner mer informasjon om funksjonen for presise alarmer i veiledningen for utviklere.

For apper som målrettes mot Android 14 (API-målnivå 34) eller nyere, er USE_FULL_SCREEN_INTENT en spesialtillatelse for apptilgang. Apper kan automatisk bruke tillatelsen USE_FULL_SCREEN_INTENT kun hvis kjernefunksjonaliteten i appen faller under en av kategoriene nedenfor, som krever varsler med høy prioritet:

• innstilling av alarmer
• innkommende tale- eller videoanrop

Apper som ber om denne tillatelsen, blir gjennomgått, og de som ikke oppfyller kriteriene ovenfor, blir ikke automatisk gitt denne tillatelsen. I slike tilfeller må apper be om tillatelse fra brukerne til å bruke USE_FULL_SCREEN_INTENT.

Husk at all bruk av tillatelsen USE_FULL_SCREEN_INTENT må overholde alle retningslinjer for utviklere på Google Play, inkludert retningslinjene om uønsket programvare for mobilenheter, misbruk av enheter og nettverk og annonser. Intensjonsvarsler som dekker hele skjermen, skal ikke forstyrre, skade eller bruke brukernes enheter på en uautorisert måte. Apper skal heller ikke forstyrre andre apper eller påvirke enhetens brukervennlighet.

Finn ut mer om tillatelsen USE_FULL_SCREEN_INTENT i brukerstøtten.