Дозволи й інтерфейси API із доступом до чутливої інформації (підготовча версія)

SMS і журнали викликів належать до персональних та конфіденційних даних користувачів, тому дозволи на доступ до них регулюються правилами про особисту й конфіденційну інформацію та вказаними нижче обмеженнями.

Обмежений дозвіл	Вимоги до додатка
Група дозволів на доступ до журналу викликів (наприклад, READ_CALL_LOG, WRITE_CALL_LOG, PROCESS_OUTGOING_CALLS)	Повинен мати дійсну реєстрацію на пристрої як обробник за умовчанням для телефонних викликів або запитів Асистента.
Група дозволів на доступ до SMS (наприклад, READ_SMS, SEND_SMS, WRITE_SMS, RECEIVE_SMS, RECEIVE_WAP_PUSH, RECEIVE_MMS)	Повинен мати дійсну реєстрацію на пристрої як обробник за умовчанням для SMS або запитів Асистента.

 

Додатки, які не мають функцій обробника за умовчанням для SMS, телефонних викликів і запитів Асистента, не можуть заявляти про наведені вище дозволи в маніфесті (зокрема, у тексті заповнювачів). Крім того, перш ніж запитувати вказані дозволи, додаток має бути зареєстрований як обробник SMS, телефонних викликів або запитів Асистента за умовчанням і має негайно припиняти використовувати дозволи, коли перестає бути обробником за умовчанням. Дозволені способи використання та винятки можна переглянути на цій сторінці довідкового центру.

Додатки можуть використовувати дозвіл (і будь-які дані, отримані за його допомогою), лише щоб забезпечувати роботу своїх схвалених основних функцій. Основні функції – це головна мета, з якою розроблено додаток. Таких функцій може бути кілька, і про них має бути чітко заявлено в описі додатка. Без них додаток вважатиметься "зламаним" або непридатним. Дані можна передавати, розповсюджувати й ліцензовано використовувати, лише щоб забезпечувати основні функції й сервіси додатка. Розширити сферу їх застосування не можна (як-от для покращення інших додатків або сервісів, реклами чи маркетингу). Не можна використовувати альтернативні методи, зокрема інші дозволи, API або джерела третіх сторін, щоб отримати дані, пов'язані з дозволами на доступ до журналу викликів чи SMS.

Місцезнаходження пристрою належить до персональних і чутливих даних користувачів, тому дозвіл на доступ до нього регулюється правилами про особисту й конфіденційну інформацію та доступ до геоданих у фоновому режимі, а також вказаними нижче обмеженнями.

• Додатки не можуть отримувати доступ до геоданих, захищених дозволами (як-от ACCESS_FINE_LOCATION, ACCESS_COARSE_LOCATION, ACCESS_BACKGROUND_LOCATION), якщо вони більше не потрібні для забезпечення наявних функцій або сервісів додатка.
• Заборонено запитувати в користувача дозвіл на доступ до геоданих лише для показу реклами або отримання статистики. Додатки, які отримують доступ до цих даних із метою показу реклами, мають відповідати нашим правилам розміщення реклами.
• Додатки мають використовувати геодані в найменшому потрібному обсязі (наприклад, запитувати приблизне місцезнаходження замість точного та не робити цього у фоновому режимі), що дає змогу забезпечувати роботу наявних функцій чи сервісів, яким потрібні дані про місцезнаходження, а користувачі мають знати, що функції або сервісу потрібен такий рівень доступу до геоданих. Наприклад, ми можемо відхиляти додатки, які запитують або отримують доступ до геоданих у фоновому режимі без переконливого обґрунтування.
• Доступ до геоданих у фоновому режимі можна отримувати, лише щоб надавати важливі для користувача функції, пов’язані з основним призначенням додатка.

Додатки можуть отримувати доступ до геоданих за допомогою дозволів активних сервісів (якщо додатку дозволено лише доступ в активному режимі, наприклад "лише під час використання"), якщо таке використання:

• ініційовано як продовження дії, яку розпочав користувач;
• завершиться, щойно додаток виконає таку дію.

Додатки, розроблені спеціально для дітей, мають відповідати правилам програми Для всієї сім’ї.

Щоб дізнатися більше про вимоги правил, прочитайте цю довідкову статтю.

Файли й папки на пристроях користувачів належать до їхніх персональних і конфіденційних даних, тому дозволи на доступ до них регулюються правилами про особисту й конфіденційну інформацію та вказаними нижче обмеженнями.

• Додатки мають запитувати дозвіл на доступ до пам'яті пристрою, лише якщо це необхідно для забезпечення їх основних функцій. Заборонено запитувати такий дозвіл від імені третіх сторін, якщо він потрібен для роботи лише додаткових функцій.
• На пристроях з ОС Android R або пізніших версій потрібен дозвіл MANAGE_EXTERNAL_STORAGE, який забезпечує керування доступом до спільної пам'яті. Перед публікацією всі націлені на версію R додатки, які запитують дозвіл на необмежений доступ до спільного сховища ("Доступ до всіх файлів"), мають пройти відповідну перевірку. У додатку, де можна використовувати цей дозвіл, має з'являтися чітка вказівка вибрати для нього опцію "Доступ до всіх файлів" у розділі налаштувань "Спеціальний доступ для додатка". Щоб дізнатися більше про вимоги у версії R, прочитайте цю довідкову статтю.

Фото й відео на пристроях користувачів належать до їхніх персональних і чутливих даних, доступ до яких регулюється правилами Google Play щодо даних користувачів. Додаток може запитувати дозвіл на доступ до фото й відео, лише якщо це безпосередньо пов’язано з роботою його функцій. Заборонено запитувати такий дозвіл від імені третіх осіб, якщо він не потрібен для виконання функцій додатка, орієнтованих на користувача. Щоб краще дотримуватися вимог до конфіденційності, рекомендовано використовувати системні інструменти, як-от вибір фото.

Додатки, яким потрібен постійний або регулярний доступ до файлів фото й відео в спільному сховищі на пристроях, мають пройти відповідну перевірку, і ви повинні надати типовий приклад використання, для якого потрібен такий доступ. У додатках, які потребують разового чи епізодичного доступу до таких файлів, рекомендовано використовувати системні інструменти (наприклад, вибір фото на пристроях Android).

Крім того, додатки, що запитують дозвіл на необмежений доступ до фото й відео, мають відповідати наведеним нижче вимогам.

• Усі додатки, які націлені на Android 13 (API 33-го рівня) або новішої версії і запитують дозвіл READ_MEDIA_IMAGES чи READ_MEDIA_VIDEO, щоб отримати необмежений доступ до фотографій і відео в спільному сховищі на пристрої, мають пройти відповідну перевірку перед публікацією.
  • Якщо додаток запитує дозвіл READ_MEDIA_VIDEO або READ_MEDIA_IMAGES, його розробник має підтвердити, що основне призначення додатка передбачає постійний або регулярний доступ до фотографій чи відео в спільному сховищі.

Якщо ваш додаток не потребує необмеженого доступу до дозволів READ_MEDIA_VIDEO й READ_MEDIA_IMAGES або не відповідає всім вимогам, вилучіть ці дозволи з його маніфесту, щоб пройти перевірку відповідності правилам.

Відповідно до правил щодо обмежених дозволів слід також вжити обґрунтованих заходів, щоб забезпечити функції і сервіси користувачам, які відмовилися надавати необмежений доступ до медіафайлів на своїх пристроях. Для цього, зокрема, потрібно передбачити альтернативну можливість взаємодіяти з вашим додатком і користуватися його основною функцією.

Якщо ваш додаток обґрунтовано потребує доступу до фотографій чи відео, проте не відповідає вимогам для отримання дозволу READ_MEDIA_IMAGES або READ_MEDIA_VIDEO, використовуйте системні інструменти (наприклад, засіб вибору фото). Щоб дізнатися більше, прочитайте цю статтю Довідкового центру.

Список установлених додатків, який переглядається з пристрою, належить до персональних і конфіденційних даних користувачів, доступ до яких регулюється правилами про особисту й конфіденційну інформацію та вказаними нижче вимогами.

Додатки, основною метою яких є пошук чи запуск інших додатків на пристрої або взаємодія з ними, можуть у відповідних випадках переглядати список додатків, установлених на пристрої, як зазначено нижче.

• Широка видимість додатків: здатність додатка бачити інші додатки ("пакети"), установлені на пристрої.
  • Для додатків, націлених на рівень API 30 або вище, можливість перегляду списку встановлених додатків і взаємодії з ними, що надається за дозволом QUERY_ALL_PACKAGES, обмежено певними прикладами використання, коли без такого дозволу додаток не може працювати.
    • Не слід запитувати дозвіл QUERY_ALL_PACKAGES, якщо додаток може працювати з кількома точно сформульованими заявами про дозвіл на перегляд пакетів. (Наприклад, додаток надсилає запити на доступ і взаємодію лише для певних пакетів.)
  • Використовувати інші способи наближення до рівня широкої видимості, пов'язані з дозволом QUERY_ALL_PACKAGES, також дозволено, лише якщо інакше додаток не зможе виконувати свої основні функції для користувачів і взаємодіяти з будь-якими додатками, виявленими цим способом.
  • Щоб дізнатися про дозволені приклади використання дозволу QUERY_ALL_PACKAGES, прочитайте цю статтю довідкового центру.
• Обмежена видимість додатків: обмежений доступ до даних про конкретні додатки з використанням точніших запитів (замість "широкого" доступу), наприклад надсилання запитів на ті додатки, що відповідають заявленому маніфесту вашого додатка. Цей спосіб можна використовувати, щоб надсилати запити на додатки, якщо ваш додаток може з ними взаємодіяти чи керувати ними відповідно до правил.
• Видимість списку встановлених на пристрої додатків має бути напряму пов'язано з основною метою або функцією вашого додатка для його користувачів.

Дані про список додатків, отримані з додатків, що розповсюджуються в Google Play, заборонено продавати або передавати для потреб аналітики чи монетизації реклами.

Інтерфейс Accessibility API не можна використовувати, щоб:

• змінювати налаштування користувачів без їхнього дозволу або унеможливлювати вимкнення чи видалення додатків і сервісів (лише якщо дозвіл не надали батько або мати чи опікун через додаток для батьківського контролю або вповноважені адміністратори через програмне забезпечення для корпоративного керування); 
• обходити вбудовані налаштування конфіденційності та сповіщення Android;
• змінювати або використовувати інтерфейс так, що це вводить в оману користувачів або інакше порушує правила для розробників Google Play. 

Accessibility API не було створено для віддаленого запису дзвінків, і його не можна викликати для цього. 

Про використання інтерфейсу Accessibility API потрібно вказувати на сторінці додатка в Google Play.

Вказівки щодо використання атрибута IsAccessibilityTool

Додатки, основна функція яких полягає в наданні безпосередньої допомоги людям з інвалідністю, можуть використовувати атрибут IsAccessibilityTool, щоб їх можна було обґрунтовано визначати як додатки зі спеціальними можливостями.

У додатках, які не можуть використовувати атрибут IsAccessibilityTool, наявність спеціальної мітки не обов’язкова, однак вони мають відповідати вимогам до чіткого повідомлення про використання персональних даних і отримання згоди, які наведено в правилах щодо даних користувачів, оскільки таке використання не очевидне. Щоб дізнатися більше, прочитайте статтю Довідкового центру про AccessibilityService API.

Щоб забезпечити роботу потрібних функцій, замість Accessibility API використовуйте в додатках дозволи й інтерфейси API із більшими обмеженнями (якщо можливо). 

Дозвіл REQUEST_INSTALL_PACKAGES дає змогу додатку надсилати запити на встановлення пакетів додатків. Використовувати цей дозвіл можуть лише додатки з такими основними призначеннями:

• надсилання й отримання пакетів додатків;
• встановлення пакетів додатків за командою користувача.

Дозволені функції:

• перегляд веб-сторінок або пошук;
• обмін повідомленнями з можливістю долучати файли;
• передавання й спільне використання файлів, а також керування ними;
• керування корпоративними пристроями;
• резервне копіювання й відновлення;
• перенесення даних між пристроями;
• синхронізація даних між телефоном і пристроєм, який можна носити, або пристроєм із категорії "Інтернет речей" (наприклад, розумним годинником чи телевізором Smart TV) за допомогою супутнього додатка.

Основне призначення додатка, а також усі функції, які забезпечують його виконання, мають бути чітко зазначені в описі додатка.

Дозвіл REQUEST_INSTALL_PACKAGES не можна використовувати для автоматичного оновлення, змінення або об’єднання інших файлів APK у файлі об’єктів, крім випадків із керуванням пристроєм. Оновлення й встановлення пакетів потрібно виконувати відповідно до правил Google Play щодо зловживання пристроєм і мережею та лише з ініціативи й під контролем користувача.

Health Connect – це платформа Android, яка дає змогу додаткам із категорії "Здоров’я і фітнес" зберігати й використовувати спільні дані на пристрої в межах уніфікованої екосистеми. Вона також слугує єдиним центром, де користувачі визначають, які додатки можуть читати й записувати дані про здоров’я і фізичну активність. Health Connect підтримує читання й записування різних типів даних – від кількості кроків до температури тіла.

Оскільки дані, доступні за дозволами для Health Connect, належать до персональних і чутливих, їх використання й обробка регулюються правилами щодо даних користувачів. Якщо додаток належить до категорії "Здоров’я" або містить пов’язані зі здоров’ям функції і отримує доступ до інформації про здоров’я (зокрема даних Health Connect), він також має відповідати правилам щодо додатків із категорії "Здоров’я".

Дізнайтеся, як почати роботу з Health Connect, у цьому посібнику розробника Android. Перш ніж надіслати запит на доступ до даних Health Connect, ознайомтесь із цією статтею.

Щоб читати та/або записувати дані в Health Connect, додатки, які розповсюджуються через Google Play, мають відповідати наведеним нижче вимогам.

Використовувати Health Connect можна лише відповідно до правил і умов, а також для схвалених застосувань, викладених у цих правилах. Це означає, що ваш додаток або сервіс може запитувати доступ до цієї платформи тільки в перелічених нижче випадках.

До схвалених застосувань належать спостереження за фізичною активністю і станом здоров’я, винагороди, тренерська діяльність, оздоровлення працівників, охорона здоров’я, медичні дослідження й ігри. Додатки, яким надано відповідні дозволи, не можуть використовувати їх у незаявлених або заборонених цілях.

Запитувати доступ до даних Health Connect можуть лише додатки або сервіси, що мають одну або кілька функцій, призначених здебільшого сприяти фізичній активності й оздоровленню користувачів. Нижче наведено приклади.

• Додатки й сервіси, за допомогою яких користувачі можуть безпосередньо реєструвати, включати у звіти, відстежувати й аналізувати дані про свою фізичну активність, сон, психічне здоров’я, харчування, а також медичні чи фізіологічні показники й інші аналогічні відомості.
• Додатки й сервіси, за допомогою яких користувачі можуть зберігати дані про свою фізичну активність, сон, психічне здоров’я, харчування, а також медичні чи фізіологічні показники й інші аналогічні відомості на телефоні або пристрої, який можна носити, і в дозволених випадках ділитися цією інформацією з іншими додатками на пристрої.

Забороняється отримувати доступ до даних Health Connect із порушенням цих правил або інших чинних умов чи правил використання платформи Health Connect, зокрема:

• для розробки додатків, середовищ або операцій чи для інтеграції в них таких даних, якщо використання Health Connect або збій у роботі платформи можуть із високою ймовірністю призвести до смерті, травми, шкоди для довкілля або власності (наприклад, для створення або експлуатації атомних електростанцій, у системах керування польотами, системах життєзабезпечення або озброєнні);
• у додатках без графічного інтерфейсу (легко впізнаваний значок додатка має показуватися на панелі додатків, у налаштуваннях додатків на пристрої, на панелі сповіщень тощо);
• у додатках, які синхронізують дані між несумісними пристроями або платформами;
• у додатках, сервісах або функціях, які націлюються лише на дітей.
• Вживайте належних заходів для захисту даних Health Connect, які використовуються в додатках і системах, а також від несанкціонованого й незаконного доступу, використання, знищення, утрати, змінення або розголошення.

Ви також повинні дотримуватися всіх юридичних і нормативних вимог, які можуть стосуватися вашого запланованого використання Health Connect і будь-яких даних із Health Connect. Якщо в наданому Google маркуванні або інформації для конкретних продуктів і сервісів Google чітко не вказано інше, Google не гарантує точності даних Health Connect і не схвалює їх використання для будь-якої мети, зокрема медичного дослідження, моніторингу здоров’я чи виконання інших подібних завдань. Google відмовляється від будь-якої відповідальності, пов’язаної з використанням даних Health Connect.

Під час роботи з Health Connect доступ до даних і їх використання мають відбуватися з урахуванням наведених нижче обмежень.

• Дані можна використовувати лише для забезпечення або покращення роботи функцій і можливостей, наявних в інтерфейсі додатка.
• Дані користувача можна передавати третім особам лише за його чіткої згоди з міркувань безпеки (наприклад, для розслідування порушень), для дотримання чинних законів і нормативних актів або в рамках об’єднання сервісу чи його продажу.
• Доступ людей до даних користувача можливий лише за його чіткої згоди з міркувань безпеки, для дотримання чинних законів або в рамках об’єднання даних для внутрішніх операцій відповідно до юридичних вимог.
• Забороняється передавання, використання або продаж даних Health Connect із будь-якими іншими цілями, зокрема:
  • третім сторонам, наприклад рекламним платформам, брокерам даних і іншим продавцям інформації;
  • для показу реклами, включно з персоналізованими оголошеннями та рекламою на основі інтересів;
  • для визначення платоспроможності чи надання кредиту;
  • для забезпечення роботи будь-якого продукту чи сервісу, що може належати до медичних пристроїв відповідно до визначення в розділі 201(h) Федерального закону США "Про харчові продукти, лікарські засоби й косметику", якщо в медичному пристрої такі дані використовуються для виконання його функції, щодо якої передбачені законодавчі чи нормативні обмеження;
  • у будь-яких цілях або в будь-який спосіб, що передбачає використання захищеної медичної інформації (див. визначення в Законі США "Про звітність і безпеку медичного страхування" (HIPAA)), якщо від Google заздалегідь не було отримано письмовий дозвіл на таке використання.

Надсилайте запити лише на ті дозволи, які необхідні для належної роботи функцій або сервісів у вашому продукті. Такі запити мають бути конкретні й стосуватися лише даних, без доступу до яких не обійтися.

Health Connect керує даними про здоров’я і фізичну активність (включно із чутливою інформацією), тому всі додатки, які отримують доступ до цієї платформи, мають містити вичерпну політику конфіденційності. У цьому документі має бути чітко описано, як додаток збирає, використовує і передає дані користувачів. Крім положень, які продиктовано юридичними вимогами, розробники повинні включити в політику конфіденційності таку інформацію:

• про сутність додатка, зокрема про дані, до яких він отримує доступ, і те, як це пов’язано з основним призначенням додатка або рекомендаціями;
• про зберігання й видалення даних;
• про процедури обробки даних, наприклад передавання за допомогою сучасних способів шифрування (як-от HTTPS).

Щоб дізнатися більше про вимоги до додатків, які підключаються до Health Connect, прочитайте цю статтю Довідкового центру.

VpnService – це основний клас додатків, на основі якого розробники можуть створювати власні VPN-сервіси. Лише додаткам, які використовують клас VpnService і основною функцією яких є доступ до мережі VPN, дозволяється створювати захищене з’єднання з віддаленим сервером на рівні пристроїв. До винятків належать додатки, що потребують зв’язку з віддаленим сервером для виконання основних функцій, наприклад:

• додатки для батьківського контролю та корпоративного керування;
• додатки, призначені відстежувати використання інших додатків;
• додатки для безпеки пристрою (наприклад, антивірус, керування мобільними пристроями, брандмауер);
• мережеві інструменти (наприклад, віддалений доступ);
• додатки для перегляду веб-сторінок;
• додатки мобільних операторів, яким потрібні функції VPN-мережі для надання послуг телефонії або зв’язку.

Клас VpnService не можна використовувати для наведених нижче дій.

• Збирання особистих і чутливих даних користувачів без попередньої згоди й повідомлення про їх використання.
• Переспрямування користувацького трафіку з інших додатків на пристрої або маніпуляції цим трафіком із метою покращення монетизації (наприклад,переспрямування рекламного трафіку через країну, відмінну від країни користувача).

Додатки, у яких застосовано клас VpnService, повинні:

• повідомляти користувачів про використання класу VpnService на своїй сторінці в Google Play;
• шифрувати дані, що передаються з пристрою в кінцеву точку VPN-з’єднання;
• дотримуватись усіх Правил програми для розробників, зокрема щодо рекламного шахрайства, дозволів і зловмисного програмного забезпечення.

Ми впроваджуємо новий дозвіл USE_EXACT_ALARM, який надаватиме доступ до функції точного будильника в додатках, починаючи з Android 13 (цільовий рівень API 33). 

USE_EXACT_ALARM – це обмежений дозвіл, і його декларація вимагається для додатків, яким точний будильник потрібен для виконання основної функції. Додатки, які надсилають запит на отримання цього обмеженого дозволу, підлягають перевірці на відповідність Правилам прийнятного використання. Додатки, що не пройдуть цю перевірку, не буде допущено до публікації в Google Play.

Приклади прийнятного використання дозволу USE_EXACT_ALARM

Ваш додаток має використовувати дозвіл USE_EXACT_ALARM, тільки якщо його основна функція, орієнтована на користувачів, потребує виконання певних дій у точний час, наприклад:

• додаток є будильником або таймером;
• додаток є календарем, який показує сповіщення про події.

Якщо ваш додаток застосовує функцію точного будильника для інших цілей, які не наведено вище, радимо скористатись альтернативним дозволом SCHEDULE_EXACT_ALARM.

Щоб дізнатися більше про функцію точного будильника, ознайомтеся з цими рекомендаціями для розробників.

Для додатків, націлених на Android 14 (API 34-го цільового рівня) і новіших версій, USE_FULL_SCREEN_INTENT – це дозвіл на спеціальний доступ. Дозвіл USE_FULL_SCREEN_INTENT надається автоматично лише додаткам, основне призначення яких належить до однієї з цих категорій, які передбачають високопріоритетні сповіщення:

• налаштування будильника;
• отримання голосових або відеодзвінків.

Додатки, які надсилають запит на отримання цього дозволу, проходять перевірку. Якщо вони не відповідають наведеним вище вимогам, то не отримують дозволу автоматично. У такому разі застосовувати дозвіл USE_FULL_SCREEN_INTENT можна лише за згодою користувача.

Нагадуємо, що будь-яке використання дозволу USE_FULL_SCREEN_INTENT має відповідати всім правилам для розробників Google Play, зокрема щодо небажаного програмного забезпечення для мобільних пристроїв, зловживання пристроєм і мережею та розміщення реклами. Сповіщення за намірами повноекранного показу не повинні перешкоджати роботі пристрою користувача чи переривати її, а також отримувати несанкціонований доступ до пристрою. Крім того, додатки не можуть перешкоджати іншим додаткам чи роботі пристрою.

Дізнайтеся більше про дозвіл USE_FULL_SCREEN_INTENT у нашому Довідковому центрі.