Pré-visualização: Autorizações e APIs com acesso a informações confidenciais

As Autorizações de SMS e de registo de chamadas são consideradas dados pessoais e confidenciais do utilizador sujeitos à Política de Informações Pessoais e Confidenciais e às seguintes restrições:

Autorização restrita	Requisito
Grupo de autorizações do Registo de chamadas (por exemplo, READ_CALL_LOG, WRITE_CALL_LOG, PROCESS_OUTGOING_CALLS)	Tem de estar ativamente registado como o controlador predefinido do Telemóvel ou do Assistente no dispositivo.
Grupo de autorizações de SMS (por exemplo, READ_SMS, SEND_SMS, WRITE_SMS, RECEIVE_SMS, RECEIVE_WAP_PUSH, RECEIVE_MMS)	Tem de estar ativamente registado como o controlador predefinido de SMS ou do Assistente no dispositivo.

 

As apps que não tiverem a capacidade de controlador predefinido de SMS, do Telemóvel ou do Assistente não podem declarar a utilização das autorizações acima no manifesto. Isto inclui o marcador de posição de texto no manifesto. Além disso, as apps têm de estar ativamente registadas como o controlador predefinido de SMS, Telemóvel ou Assistente antes de solicitarem aos utilizadores que aceitem qualquer uma das autorizações acima e têm de parar imediatamente a utilização da autorização quando já não forem o controlador predefinido. As utilizações e as exceções permitidas estão disponíveis nesta página do Centro de Ajuda.

As apps apenas podem utilizar a autorização (e quaisquer dados derivados da autorização) para fornecer a funcionalidade essencial da app aprovada. A funcionalidade essencial é definida como o objetivo principal da app. Isto pode incluir um conjunto de funcionalidades essenciais, que tem de documentar e promover proeminentemente na descrição da app. Sem a funcionalidade essencial, a app é considerada "danificada" ou inutilizável. A transferência, a partilha ou a utilização licenciada destes dados apenas se podem destinar a fornecer funcionalidades ou serviços essenciais na app e a respetiva utilização não pode ser alargada a qualquer outra finalidade (por exemplo, melhorar outras apps ou serviços, publicidade ou marketing). Não pode utilizar métodos alternativos (incluindo outras autorizações, APIs ou origens de terceiros) para derivar os dados atribuídos às autorizações relacionadas com SMS ou registo de chamadas.

A localização do dispositivo é considerada como dados pessoais e confidenciais do utilizador sujeitos à Política de Informações Pessoais e Confidenciais , à Política de Localização em Segundo Plano e aos seguintes requisitos:

• As apps não podem aceder a dados protegidos por autorizações de acesso à localização (por exemplo, ACCESS_FINE_LOCATION, ACCESS_COARSE_LOCATION, ACCESS_BACKGROUND_LOCATION) depois de esse acesso deixar de ser necessário para fornecer as funcionalidades ou os serviços atuais na sua app.
• Nunca deve solicitar aos utilizadores autorizações de acesso à localização com o único objetivo de anunciar ou obter estatísticas. As apps que estendam a utilização autorizada destes dados para publicar anúncios têm de agir em conformidade com a nossa Política de Anúncios.
• As apps devem solicitar o âmbito mínimo necessário (ou seja, grosso em vez de fino e em primeiro plano em vez de em segundo plano) para fornecer a funcionalidade ou o serviço atual que está a solicitar a localização e os utilizadores devem esperar de forma razoável que a funcionalidade ou o serviço precisa do nível de localização solicitado. Por exemplo, podemos rejeitar apps que solicitem ou acedam à localização em segundo plano sem uma justificação fundamentada.
• A localização em segundo plano apenas pode ser utilizada para oferecer funcionalidades benéficas para o utilizador e relevantes para a funcionalidade essencial da app.

As apps podem aceder à localização através da autorização do serviço em primeiro plano (quando a app apenas tem acesso em primeiro plano, por exemplo, "durante a utilização") se a utilização:

• tiver sido iniciada como uma continuação de uma ação iniciada pelo utilizador na app e
• for imediatamente terminada após o caso de utilização previsto da ação iniciada pelo utilizador ter sido concluído pela aplicação.

As apps concebidas especificamente para crianças têm de agir em conformidade com a Política do Programa Concebido para Famílias.

Para mais informações acerca dos requisitos da política, consulte este artigo de ajuda.

Os atributos de ficheiros e diretório no dispositivo de um utilizador são considerados dados pessoais e confidenciais do utilizador sujeitos à Política de Informações Pessoais e Confidenciais e aos seguintes requisitos:

• As apps apenas devem solicitar acesso ao armazenamento do dispositivo que seja fundamental para que a app funcione e não podem solicitar acesso ao armazenamento do dispositivo em nome de terceiros para qualquer finalidade que não esteja relacionada com funcionalidades centradas no utilizador da app.
• Os dispositivos Android com a versão R ou posterior necessitam da autorização MANAGE_EXTERNAL_STORAGE para gerir o acesso no armazenamento partilhado. Todas as apps destinadas à versão R e que solicitem amplo acesso ao armazenamento partilhado ("Acesso a todos os ficheiros") têm de passar com êxito uma revisão de acesso adequada antes da publicação. As apps com autorização para utilizar esta autorização têm de solicitar claramente aos utilizadores que ativem a opção "Acesso a todos os ficheiros" para a respetiva app nas definições de "Acesso especial a apps". Para obter mais informações acerca dos requisitos da versão R, consulte este artigo de ajuda.

As fotos e os vídeos no dispositivo de um utilizador são considerados dados pessoais e confidenciais do utilizador sujeitos à Política de Dados do Utilizador do Google Play. As apps só podem aceder às fotos e aos vídeos para finalidades diretamente relacionadas com a funcionalidade da app e não podem pedir acesso em nome de terceiros para finalidades não relacionadas com a funcionalidade da app orientada para o utilizador. Para uma experiência que preserve melhor a privacidade, recomendamos a utilização de um selecionador do sistema, como o selecionador de fotos.

As apps que peçam amplo acesso aos ficheiros de fotos e vídeos localizados no armazenamento partilhado nos dispositivos têm de ser aprovadas com êxito numa revisão de acesso adequada e demonstrar um exemplo de utilização essencial que requeira o acesso persistente ou frequente a fotos/vídeos de ficheiros localizados no armazenamento partilhado. As apps que tenham uma necessidade única ou pouco frequente de aceder a estes ficheiros têm de usar um selecionador do sistema, como o selecionador de fotos do Android.

O amplo acesso a fotos e vídeos também está sujeito aos seguintes requisitos:

• As apps que segmentam o Android 13 (nível da API 33) ou posterior, requerem a autorização READ_MEDIA_IMAGES ou READ_MEDIA_VIDEO para terem amplo acesso a ficheiros de fotos ou vídeos localizados no armazenamento partilhado no dispositivo. Todas as apps que segmentem o Android 13 e posterior e peçam a autorização READ_MEDIA_IMAGES ou READ_MEDIA_VIDEO têm de ser aprovadas com êxito numa revisão de acesso adequada antes da publicação.
  • As apps que peçam acesso à autorização READ_MEDIA_VIDEO ou READ_MEDIA_IMAGES têm de demonstrar com êxito um exemplo de utilização essencial que requeira uma necessidade persistente ou frequente de aceder a fotos/vídeos localizados no armazenamento partilhado.

Se a sua app não precisar nem for elegível para o amplo acesso às autorizações READ_MEDIA_VIDEO ou READ_MEDIA_IMAGES, tem de o remover do manifesto da sua app para cumprir os requisitos de revisão de políticas com êxito.

De acordo com a Política de Autorizações Restritas, tem de envidar um esforço razoável para integrar os utilizadores que não concederem amplo acesso a ficheiros multimédia no respetivo dispositivo. Isto inclui disponibilizar adequadamente uma experiência favorável na app, na qual os utilizadores possam desfrutar da função ou funcionalidade essencial da sua app.

As apps que tenham um exemplo de utilização de acesso legítimo às fotos ou aos vídeos, mas que não sejam elegíveis para a autorização READ_MEDIA_IMAGES ou READ_MEDIA_VIDEO, podem usar um selecionador do sistema, como o selecionador de fotos. Para informações adicionais, veja este artigo do Centro de Ajuda.

O inventário de apps instaladas consultado a partir de um dispositivo é considerado dados pessoais e confidenciais do utilizador sujeitos à Política de Informações Pessoais e Confidenciais e aos seguintes requisitos:

As apps que têm como finalidade principal iniciar, pesquisar ou interoperar com outras apps no dispositivo podem obter visibilidade adequada ao âmbito às mesmas, conforme descrito abaixo:

• Visibilidade ampla das apps: a visibilidade ampla refere-se à capacidade de uma app ter uma visibilidade abrangente (ou "ampla") das apps instaladas ("pacotes") num dispositivo.
  • Para as apps que segmentam o nível da API 30 ou posterior, a visibilidade ampla das apps instaladas através da autorização QUERY_ALL_PACKAGES está restrita a exemplos de utilização específicos em que o conhecimento de todas as apps instaladas no dispositivo e/ou a interoperabilidade com as mesmas são necessários para que a app funcione.
    • Não pode utilizar QUERY_ALL_PACKAGES se a sua app funcionar com uma declaração de visibilidade de pacotes com âmbito mais segmentado (por exemplo, consultar e interagir com pacotes específicos em vez de solicitar visibilidade ampla).
  • A utilização de métodos alternativos para se aproximar do nível de visibilidade ampla associado à autorização QUERY_ALL_PACKAGES também está restrita à funcionalidade essencial da app para o utilizador e à interoperabilidade com quaisquer apps detetadas através deste método.
  • Consulte este artigo do Centro de Ajuda para obter exemplos de utilização permitidos da autorização QUERY_ALL_PACKAGES.
• Visibilidade limitada das apps: a visibilidade limitada acontece quando uma app minimiza o acesso aos dados ao consultar apps específicas através de métodos mais segmentados (em vez de métodos "amplos"), por exemplo, ao consultar apps específicas que satisfaçam a declaração do manifesto da sua app. Pode utilizar este método para consultar apps em casos em que a sua app tenha interoperabilidade em conformidade com as políticas ou a gestão destas apps.
• A visibilidade do inventário de apps instaladas num dispositivo tem de estar diretamente relacionada com a finalidade principal ou a funcionalidade essencial a que os utilizadores acedem na sua app.

Os dados do inventário de apps consultados a partir de apps distribuídas no Google Play nunca podem ser vendidos nem partilhados para fins de análise ou de rentabilização de anúncios.

Não é possível utilizar a API Accessibility para:

• Alterar as definições dos utilizadores sem a respetiva autorização ou impedir a capacidade de os utilizadores desativarem ou desinstalarem qualquer app ou serviço, a menos que tenha a autorização de um dos pais ou tutor através de uma app de controlo parental ou de administradores autorizados através de um software de gestão empresarial; 
• Contornar notificações e controlos de privacidade integrados no Android; ou
• Alterar ou tirar partido da interface do utilizador de uma forma enganadora ou que viole de qualquer outra forma as Políticas para Programadores do Google Play. 

A API Accessibility não foi concebida e não pode ser pedida para a gravação de áudio de chamadas remotas. 

A utilização da API Accessibility tem de ser documentada na ficha do Google Play.

Diretrizes para o IsAccessibilityTool

As apps cuja funcionalidade principal se destine a apoiar diretamente pessoas com deficiência são elegíveis para utilizar o IsAccessibilityTool de forma a classificarem-se publicamente como apps de acessibilidade.

As apps não elegíveis para utilizar o IsAccessibilityTool podem não utilizar a sinalização e têm de cumprir os requisitos de divulgação proeminente e consentimento, conforme descrito na Política de Dados do Utilizador, uma vez que a funcionalidade relacionada com a acessibilidade não é óbvia para o utilizador. Consulte o artigo do Centro de Ajuda sobre a API AccessibilityService para mais informações.

As apps têm de utilizar APIs e autorizações com um âmbito mais restrito em detrimento da API Accessibility para obter a funcionalidade desejada. 

A autorização REQUEST_INSTALL_PACKAGES permite que uma aplicação peça a instalação de pacotes de apps.​​ Para usar esta autorização, a funcionalidade essencial da sua app tem de incluir:

• O envio ou a receção de pacotes de apps; e
• A permissão de instalação de pacotes de apps por iniciativa do utilizador.

As funcionalidades permitidas incluem:

• Pesquisa ou navegação na Web
• Serviços de comunicação que suportam anexos
• Partilha, transferência ou gestão de ficheiros
• Gestão de dispositivos empresariais
• Cópia de segurança e restauro
• Migração de dispositivo/transferência de telemóvel
• Uma app associada para sincronizar o telemóvel com um dispositivo de vestir ou da IdC (Internet das Coisas), por exemplo, um smartwatch ou uma smart TV

A funcionalidade essencial é definida como o objetivo principal da app. A funcionalidade essencial, bem como outras funcionalidades principais que abrangem esta funcionalidade essencial, têm todas de estar documentadas e promovidas claramente na descrição da app.

A autorização REQUEST_INSTALL_PACKAGES não pode ser usada para realizar atualizações automáticas, modificações ou o agrupamento de outros APKs (Android Application Packages) no ficheiro do recurso, exceto para fins de gestão de dispositivos. Todas as atualizações ou as instalações de pacotes têm de estar em conformidade com a Política de Abuso na Rede e em Dispositivos do Google Play e têm de ser iniciadas e controladas pelo utilizador.

A Saúde Connect é uma plataforma Android que permite que as apps de saúde e fitness armazenem e partilhem os mesmos dados no dispositivo, no âmbito de um ecossistema unificado. Oferece também um lugar único para os utilizadores controlarem as apps que podem ler e escrever dados de saúde e fitness. A Saúde Connect suporta a leitura e a escrita de vários tipos de dados, desde passos à temperatura corporal.

Os dados acedidos através das autorizações da Saúde Connect são considerados dados pessoais e confidenciais do utilizador sujeitos à Política de Dados do Utilizador. Se a sua app se qualificar como uma app de saúde ou tiver funcionalidades relacionadas com a saúde e aceder a dados de saúde, incluindo dos dados da Saúde Connect, também tem de estar em conformidade com a Política de Apps de Saúde.

Consulte este guia do programador Android sobre como começar a usar a Saúde Connect. Para pedir acesso aos tipos de dados da Saúde Connect, aceda aqui.

As apps distribuídas através do Google Play têm de cumprir os seguintes requisitos das políticas para ler e/ou escrever dados na Saúde Connect.

A Saúde Connect só pode ser usada de acordo com as políticas e os Termos de Utilização aplicáveis, e para exemplos de utilização aprovados, conforme estabelecido na presente política. Isto significa que só pode pedir acesso a autorizações quando a sua aplicação ou serviço satisfizer um dos exemplos de utilização aprovados.

Os exemplos de utilização aprovados incluem: fitness e bem-estar, recompensas, orientações de fitness, bem-estar empresarial, cuidados médicos, investigação na área da saúde e jogos. As aplicações com acesso a estas autorizações não podem alargar a respetiva utilização para fins não divulgados ou não autorizados.

Apenas as aplicações ou os serviços com uma ou mais funcionalidades concebidas com o objetivo principal de beneficiar a saúde e o fitness dos utilizadores estão autorizados a pedir acesso às autorizações da Saúde Connect. Por exemplo:

• Aplicações ou serviços que permitem que os utilizadores registem, comuniquem, monitorizem e/ou analisem diretamente a respetiva atividade física, sono, bem-estar mental, nutrição, medições de saúde, descrições físicas e/ou outras descrições e medições relacionadas com a saúde ou o fitness.
• Aplicações ou serviços que permitem que os utilizadores armazenem a respetiva atividade física, sono, bem-estar mental, nutrição, medições de saúde, descrições físicas e/ou outras descrições e medições relacionadas com saúde ou fitness no telemóvel e/ou wearable e partilhem os respetivos dados com outras apps no dispositivo que satisfaçam estes exemplos de utilização.

O acesso à Saúde Connect não pode ser usado em violação da presente política ou de outros Termos de Utilização ou políticas aplicáveis da Saúde Connect, incluindo para as seguintes finalidades:

• Não use a Health Connect para o desenvolvimento de, ou a incorporação em, aplicações, ambientes ou atividades em que a utilização ou falha da Health Connect poderia levar à morte, a lesões pessoais ou a danos ambientais ou materiais (como criação ou operação de instalações nucleares, controlo de tráfego aéreo, sistemas de apoio à vida ou armamento).
• Não aceda aos dados obtidos através da Health Connect através de apps sem interface. As apps têm de apresentar um ícone claramente identificável no tabuleiro de apps, nas definições da app do dispositivo, nos ícones de notificação, etc.
• Não use a Saúde Connect com apps que sincronizam dados entre dispositivos ou plataformas incompatíveis.
• Não use a Saúde Connect para se ligar a aplicações, serviços ou funcionalidades destinadas unicamente a crianças.
• Tome medidas razoáveis e apropriadas para proteger todas as aplicações ou sistemas que usam a Saúde Connect contra acesso, utilização, destruição, perda, alteração ou divulgação não autorizados ou ilegais.

Também é responsável por garantir o cumprimento de quaisquer requisitos regulamentares ou legais que se possam aplicar com base na sua utilização prevista da Saúde Connect e de quaisquer dados da mesma. Exceto conforme explicitamente indicado na etiquetagem ou nas informações fornecidas pela Google relativas a produtos ou serviços Google específicos, a Google não recomenda a utilização nem garante a exatidão de quaisquer dados contidos na Saúde Connect para qualquer utilização ou propósito e, em particular, para utilizações de investigação, saúde ou médicas. A Google renuncia a qualquer responsabilidade associada à utilização de dados obtidos através da Saúde Connect.

Quando usar a Saúde Connect, o acesso e a utilização dos dados têm de respeitar limitações específicas:

• A utilização dos dados deve limitar-se a fornecer ou melhorar o seu exemplo de utilização apropriado ou as funcionalidades visíveis na interface do utilizador da aplicação.
• Os dados do utilizador só podem ser transferidos para terceiros para fins de segurança (por exemplo, para investigar abusos), para estar em conformidade com as leis ou os regulamentos aplicáveis, ou no âmbito de fusões/aquisições. A transferência requer o consentimento explícito do utilizador.
• O acesso humano aos dados do utilizador é restrito, a menos que seja obtido o consentimento explícito do utilizador, para fins de segurança, para estar em conformidade com as leis ou quando agregados para operações internas, de acordo com os requisitos legais.
• Todas as outras transferências, utilizações ou venda de dados da Saúde Connect são proibidas, incluindo:
  • A transferência ou venda de dados do utilizador a terceiros, como plataformas de publicidade, corretores de dados ou quaisquer revendedores de informações.
  • A transferência, venda ou utilização de dados do utilizador para publicar anúncios, incluindo publicidade personalizada ou baseada em interesses.
  • A transferência, venda ou utilização de dados do utilizador para determinar a solvabilidade ou para fins de empréstimo.
  • A transferência, venda ou utilização de dados do utilizador com qualquer produto ou serviço que possa ser qualificado como um dispositivo médico nos termos da Secção 201(h) da Lei Federal de Alimentos, Medicamentos e Cosméticos se os dados do utilizador forem usados pelo dispositivo médico para desempenhar a sua função regulada.
  • A transferência, venda ou utilização de dados do utilizador para qualquer finalidade ou de qualquer forma que envolva Informações de saúde protegidas (conforme definido pela HIPAA), salvo se receber aprovação prévia por escrito da Google para essa utilização.

Só deve pedir acesso às autorizações necessárias para implementar as funcionalidades ou os serviços do seu produto. Esses pedidos de acesso devem ser específicos e limitados aos dados necessários.

A Saúde Connect gere dados de saúde e fitness, incluindo informações confidenciais, e exige que todas as aplicações tenham uma Política de Privacidade abrangente. A Política de Privacidade deve divulgar de forma transparente a forma como a app recolhe, usa e partilha os dados do utilizador. Para além dos requisitos legais, os programadores devem incluir as seguintes informações na Política de Privacidade:

• Descrição que represente com precisão a identidade da app, indicando os dados acedidos e a sua ligação a funcionalidades ou recomendações proeminentes da app
• Práticas de retenção e eliminação de dados
• Procedimentos de tratamento de dados. Por exemplo, a transmissão através de criptografia moderna (como HTTPS).

Para mais informações sobre os requisitos relativos a apps com ligação à Saúde Connect, consulte este artigo do Centro de Ajuda.

O VpnService é uma classe base para aplicações para desenvolver e criar as suas próprias soluções VPN. Apenas as apps que usam o VpnService e têm a VPN como funcionalidade essencial podem criar um túnel seguro ao nível do dispositivo para um servidor remoto. As exceções incluem apps que requerem um servidor remoto para funcionalidades essenciais, como:

• Apps de controlo parental e gestão empresarial.
• Acompanhamento da utilização da app.
• Apps de segurança de dispositivos (por exemplo, antivírus, gestão de dispositivos móveis e firewall).
• Ferramentas relacionadas com redes (por exemplo, acesso remoto).
• Apps de navegação Web.
• Apps de operador que requerem a utilização da funcionalidade de VPN para oferecer serviços de telefonia ou conetividade.

Não é possível usar o VpnService para:

• Recolher dados pessoais e confidenciais do utilizador sem consentimento e divulgação destacada.
• Redirecionar ou manipular o tráfego de utilizadores de outras apps num dispositivo para fins de rentabilização (por exemplo, redirecionar o tráfego de anúncios através de um país diferente do país do utilizador).

As apps que usam o VpnService têm de:

• Documentar a utilização do VpnService na ficha do Google Play, e
• Encriptar os dados do dispositivo para o ponto final do túnel VPN, e
• Cumprir todas as Políticas do Programa para programadores, incluindo as Políticas de Fraude de anúncios, Autorizações e Software malicioso.

Vai ser introduzida uma nova autorização, USE_EXACT_ALARM, que fornece acesso à funcionalidade de alarme exato em apps a partir do Android 13 (nível 33 da API de destino). 

USE_EXACT_ALARM é uma autorização restrita e as apps só têm de declarar esta autorização se a respetiva funcionalidade essencial suportar a necessidade de um alarme exato. As apps que pedem esta autorização restrita estão sujeitas a verificação e as que não cumprem os critérios do exemplo de utilização autorizado estão proibidas de serem publicadas no Google Play.

Exemplos de utilização autorizados para usar a autorização de alarme exato

A sua app tem de usar a funcionalidade USE_EXACT_ALARM apenas quando a funcionalidade essencial orientada para o utilizador da sua app requer ações precisas, tais como:

• A app é uma app de alarme ou temporizador.
• A app é uma app de calendário que mostra notificações dos eventos.

Se tiver um exemplo de utilização para a funcionalidade de alarme exato que não esteja abrangido acima, deve avaliar se o uso da funcionalidade SCHEDULE_EXACT_ALARM como alternativa é uma opção.

Para mais informações sobre a funcionalidade de alarme exato, consulte estas orientações para programadores.

Para as apps que segmentam o Android 14 (nível 34 da API de destino) e superior, USE_FULL_SCREEN_INTENT é uma autorização de acesso a apps especial. A utilização da autorização USE_FULL_SCREEN_INTENT só é concedida às apps automaticamente se a funcionalidade essencial da app se enquadrar numa das categorias abaixo que requerem notificações de elevada prioridade:

• Definir um alarme
• Receber chamadas ou videochamadas

As apps que pedem esta autorização estão sujeitas a revisão e esta autorização não vai ser automaticamente concedida às apps que não cumprirem os critérios acima. Nesse caso, as apps têm de pedir autorização ao utilizador para usar USE_FULL_SCREEN_INTENT.

Lembre-se de que a utilização da autorização USE_FULL_SCREEN_INTENT tem de estar em conformidade com todas as Políticas para Programadores do Google Play, incluindo as nossas Políticas de Software Indesejável para Dispositivos Móveis, Abuso na Rede e em Dispositivos e Anúncios. As notificações de intenções de ecrã inteiro não podem interferir, perturbar, danificar nem aceder ao dispositivo do utilizador de uma forma não autorizada. Além disso, as apps não devem interferir com outras apps nem com a capacidade de utilização do dispositivo.

Saiba mais sobre a autorização USE_FULL_SCREEN_INTENT no nosso Centro de Ajuda.