預覽：存取敏感資料的權限和 API

短訊和通話記錄權限列為個人和敏感使用者資料，受《個人和敏感資料政策》及以下限制約束：

受限制的權限	規定
通話記錄權限組別 (例如：READ_CALL_LOG、WRITE_CALL_LOG、PROCESS_OUTGOING_CALLS)	應用程式必須主動註冊為裝置上的預設電話或助理處理常式。
短訊權限組別 (例如：READ_SMS、SEND_SMS、WRITE_SMS、RECEIVE_SMS、RECEIVE_WAP_PUSH、RECEIVE_MMS)	應用程式必須主動註冊為裝置上的預設短訊或助理處理常式。

 

缺少預設短訊、電話或 Google 助理處理常式功能的應用程式不得在資訊清單中宣告使用上述權限，包括在資訊清單中的佔位符文字。此外，應用程式必須先主動註冊為預設短訊、電話或「Google 助理」處理常式，才能提示使用者接受上述任何權限，並必須在不再是預設處理常式時立即停止使用該權限。關於允許的使用和例外情況，請參閱相關說明中心頁面。

應用程式只能使用權限 (及透過權限獲取的任何資料) 提供已核准的核心應用程式功能。核心功能按定義是應用程式的主要用途，這可能包含一組核心功能，全部必須在應用程式說明中重點描述和宣傳。如果沒有核心功能，應用程式已「損壞」或無法使用。這些資料的傳輸、分享或授權使用必須只限於提供應用程式內的核心功能或服務，且其用途不得延伸至任何其他目的 (例如改善其他應用程式或服務、廣告或市場推廣目的)。您不得使用其他方法 (包括其他權限、API 或第三方來源) 獲取短訊和通話記錄相關權限所涵蓋的資料。

裝置位置資訊屬個人和敏感使用者資料，受《個人和敏感資料政策》和《背景位置資訊政策》以及以下規定約束：

• 當應用程式不再需要位置資訊提供現有的功能或服務時，就不得存取受位置權限 (例如 ACCESS_FINE_LOCATION、ACCESS_COARSE_LOCATION、ACCESS_BACKGROUND_LOCATION) 保護的資料。
• 您不得基於廣告或分析的單一目的而要求使用者提供位置存取權。如果應用程式將這類資料的使用權限範圍擴展至廣告放送，則必須遵守我們的《廣告政策》。
• 應用程式若提供需要位置資訊的現有功能或服務，要求存取的位置資訊應是所需的最小範圍 (即粗略而非精細，前景而非背景資訊)，而使用者應合理預期該功能或服務需要所要求級別的位置資訊。舉例來說，如無合理理由，我們可拒絕應用程式要求或存取背景位置資訊。
• 背景位置資訊只可用來提供與應用程式核心功能相關並對使用者有用的功能。

在以下使用情況下，應用程式可憑前景服務的權限 (即應用程式只有前景存取權，例如在「使用時」存取) 存取位置資訊：

• 當使用者在應用程式中執行操作後，應用程式才開始使用資料；以及
• 達到使用者執行操作的目的後，應用程式應立即停止使用資料。

如果您的應用程式專為兒童而設，則必須遵守「合家歡」政策。

請參閱這裡的說明文章，進一步瞭解政策要求。

使用者裝置上的檔案和目錄屬性屬個人和敏感使用者資料，受《個人和敏感資料政策》及以下規定約束：

• 應用程式只能要求存取對應用程式運作至關重要的裝置儲存空間，並且不得出於與面向使用者重要應用程式功能無關之任何目的，代表任何第三方要求存取裝置儲存空間。
• 執行 R 或以上版本的 Android 裝置必須取得 MANAGE_EXTERNAL_STORAGE 權限，才能管理共用儲存空間的存取權。所有針對 R 並要求廣泛存取共用儲存空間 (「所有檔案存取權」) 的應用程式必須在發佈之前成功通過適當的存取權審核。允許使用此權限的應用程式必須明確提示使用者在「特殊應用程式存取權」設定下為其應用程式啟用「所有檔案存取權」。請參閱此說明文章，進一步瞭解 R 要求。

使用者裝置上的相片和影片屬使用者的個人和敏感資料，受 Google Play 的《使用者資料政策》約束。應用程式只可基於與應用程式功能直接相關的目的存取相片和影片，並且不得出於與面向使用者應用程式功能無關之任何目的，代表任何第三方要求存取權。為了提供更保障私隱的體驗，建議使用相片點選器等系統點選器。

應用程式如需廣泛存取裝置共用儲存空間內的相片和影片檔案，必須成功通過適當的存取權審核，並展示需要持續或經常存取共用儲存空間內相片/影片檔案的核心用例。如應用程式單次或不經常存取這些檔案，可使用 Android 相片點選器等系統點選器。

相片和影片的廣泛存取權亦受下列規定約束：

• 指定 Android 13 (API 級別 33) 或以上版本為目標的應用程式需要取得 READ_MEDIA_IMAGES 或 READ_MEDIA_VIDEO 權限，才能廣泛存取裝置共用儲存空間內的相片或影片檔案。只要應用程式指定 Android 13 或以上版本為目標，並要求 READ_MEDIA_IMAGES 或 READ_MEDIA_VIDEO 權限，就必須在發佈前通過適當的存取權審核。
  • 應用程式如要求 READ_MEDIA_VIDEO 或 READ_MEDIA_IMAGES 存取權限，必須成功展示需要持續或經常存取共用儲存空間內相片/影片的核心用例。

如果應用程式無需 READ_MEDIA_VIDEO 或 READ_MEDIA_IMAGES 的廣泛存取權限或不符合資格，你必須從應用程式資訊清單中移除有關權限，才能符合政策審核要求。

根據《受限制權限政策》，你必須為不授予廣泛存取裝置上媒體檔案權限的使用者提供妥善的處理方法，包括妥善提供符合需求的應用程式體驗，讓使用者仍可享有與該權限相關的功能，或應用程式的核心功能。

如果應用程式需要出於合法用途存取相片或影片，但不符合取得 READ_MEDIA_IMAGES 和 READ_MEDIA_VIDEO 權限的資格，則可使用相片點選器等系統點選器。詳情請參閱這篇說明中心文章。

透過裝置查詢的已安裝應用程式清單屬個人和敏感使用者資料，受《個人和敏感資料政策》及以下規定約束：

如果應用程式的核心用途是連同裝置上其他應用程式啟動、搜尋，或與這些應用程式配合使用，您可依照下述權限範圍獲取裝置已安裝的其他應用程式的適用存取權：

• 廣泛應用程式存取權：廣泛存取權可讓應用程式廣泛存取裝置上已安裝的應用程式 (應用程式包)。
  • 如果應用程式以 API 等級 30 或以上版本為目標，「QUERY_ALL_PACKAGES」權限的已安裝應用程式廣泛存取權會受限於使用案例，導致應用程式必須對裝置上的所有其他應用程式有所認知和/或具備互通功能才能如常運作。
    • 如果應用程式只需透過特定範圍的應用程式包存取權聲明 就可運作 (例如，查詢特定應用程式包並與這些應用程式包互動，而不用要求廣泛存取權)，就不得使用「QUERY_ALL_PACKAGES」權限。
  • 使用其他方法提供與「QUERY_ALL_PACKAGES」權限相關的概略廣泛存取權等級，亦僅限於面向使用者的核心應用程式功能，以及透過此方法發現的應用程式互通功能。
  • 請參閱此說明中心文章，瞭解「QUERY_ALL_PACKAGES」權限的可允許使用案例。
• 有限應用程式存取權：有限存取權是指應用程式只查詢特定應用程式，即以更針對性的方式 (而非「廣泛」存取權) 盡量減少資料存取量，(例如只查詢應用程式資訊清單聲明中所需的特定應用程式)。如果您的應用程式依照政策規定可與這些應用程式互通或管理這些應用程式，就可以使用此方法查詢。
• 裝置上已安裝應用程式的存取權，必須與使用者在您應用程式中使用的核心用途或功能有直接關聯。 

從 Play 分發的應用程式查詢得來的應用程式庫存資料，絕對不可銷售或分享作分析或廣告營利目的。

Accessibility API 不得用於下列用途：

• 未經許可變更使用者設定，或不讓使用者停用或解除安裝任何應用程式或服務，除非經家長或監護人透過家長監控設定應用程式授權，或獲認可管理員透過企業管理軟件授權； 
• 繞過 Android 內置私隱權設定和通知；或
• 以涉及欺騙或違反《Google Play 開發人員政策》的方式變更或運用使用者介面。

Accessibility API 並非為遠端通話錄音而設，因而也不能對其發出此類要求。

Accessibility API 的使用情況必須列載於 Google Play 商店資訊中。

IsAccessibilityTool 指引

如應用程式的核心功能是為直接協助殘疾人士，這些應用程式便可使用 IsAccessibilityTool 適當且公開地標示為無障礙應用程式。

如果應用程式不符合 IsAccessibilityTool 使用資格，則不得使用該標記，並必須遵循《使用者資料政策》所述的明確披露聲明與同意書規定，因為其無障礙相關功能對使用者來說並不顯著。詳情請參閱 AccessibilityService API 說明中心文章。

在可能的情況下，應用程式必須採用範圍較小的 API 和權限來提供所需功能，盡量避免使用 Accessibility API。

「REQUEST_INSTALL_PACKAGES」權限允許應用程式要求安裝應用程式套件。​​如要使用此權限，應用程式的核心功能必須包括：

• 傳送或接收應用程式套件；及
• 讓使用者啟動應用程式套件的安裝程序。

允許的功能包括：

• 瀏覽或搜尋網頁
• 支援附件的通訊服務
• 分享、傳輸或管理檔案
• 管理企業裝置
• 備份與還原
• 裝置轉移/手機轉移
• 隨附應用程式同步處理手機與穿戴式裝置或 IoT 裝置 (例如智能手錶或智能電視)

核心功能是指應用程式的主要用途。該核心功能及組成該功能的主要功能元素均必須在應用程式描述的當眼位置顯示和宣傳。

「REQUEST_INSTALL_PACKAGES」權限除了作裝置管理用途外，不得用於執行自我更新、修改或組合資產檔案中其他 APK。所有更新或套件安裝必須符合 Google Play 的《裝置和網絡濫用政策》規定，並必須由使用者執行。

「健康資料同步」是個 Android 平台，讓健康和健身應用程式可在統一的生態系統內儲存和分享同一套在裝置上的資料，亦讓使用者可在同一個地方，控制哪些應用程式可讀取和寫入健康和健身資料。「健康資料同步」支援讀取和寫入各種資料類型，如步數、體溫等。

透過「健康資料同步」權限存取的資料屬使用者的個人和敏感資料，相關權限使用行為須符合《使用者資料政策》。如果應用程式符合健康應用程式資格，或提供健康相關功能及存取健康資料 (包括「健康資料同步」資料)，亦必須符合《健康應用程式政策》。

請參閱此 Android 開發人員指南，瞭解如何開始使用「健康資料同步」。如需查看「健康資料同步」資料類型，請參閱這裡的文章。

透過 Google Play 發佈的應用程式須符合下列政策規定，才能讀取和/或寫入「健康資料同步」資料。

使用「健康資料同步」時，請務必遵守適用政策、條款及細則，以及符合此政策所列出的核准用例。這代表你的應用程式或服務必須符合其中一項核准用例，才能要求取得相關權限。

核准用例包括健身和身心健康、獎賞、健身教練、企業健康計劃、醫療護理、健康研究和遊戲。獲授此類權限的應用程式，不得將用途延伸至未披露或不允許的目的。

在應用程式或服務的功能中，必須有一項或多項功能的主要用途是在健康和健身方面令使用者得益，該應用程式或服務才可要求存取「健康資料同步」權限，包括：

• 應用程式或服務允許使用者直接記錄、報告、監察和/或分析自己的體能活動、睡眠、心理健康、營養、身體測量數據、身體特徵，和/或其他與健康或健身相關的描述和測量數據。
• 應用程式或服務允許使用者儲存自己的體能活動、睡眠、心理健康、營養、身體測量數據、身體特徵和/或其他與健康或健身相關的描述和測量數據在手機和/或穿戴式裝置上，並與其他符合用例的裝置內置應用程式分享這些資料。

不得以違反本政策或其他適用「健康資料同步」條款及細則的方式使用「健康資料同步」，包括用於以下目的：

• 如在合理預期的情況下，於應用程式、環境或活動中使用「健康資料同步」或出現相關故障會造成傷亡、環境或財產毀損，則不得將「健康資料同步」用於開發或納入該應用程式、環境或活動 (例如建設或營運核設施、航空交通管制、維生系統或武器)。
• 不得使用沒有使用者介面的應用程式存取透過「健康資料同步」獲取的資料。應用程式必須在應用程式匣、裝置應用程式設定、通知圖示等顯示可清楚識別的圖示。
• 不得將「健康資料同步」與在不兼容裝置或平台之間同步資料的應用程式一起使用。
• 不得使用「健康資料同步」連接為兒童而設的應用程式、服務或功能。
• 採取合理、適當的措施來保護所有使用「健康資料同步」的應用程式或系統，以免他人未經授權或非法存取、使用、毀損、遺失、變更或披露有關資料。

你同樣有責任確保在運用「健康資料同步」和來自「健康資料同步」的任何資料作目的用途時，確實遵守任何適用的法規或法律規定。除非 Google 為特定 Google 產品或服務提供的標籤或資訊中明確說明，否則針對將「健康資料同步」中包含的任何資料用於任何目的，特別是研究、健康或醫療用途，Google 概不負責，亦不保證此類資料的準確性。Google 不會就透過「健康資料同步」獲取資料的相關使用行為負有任何法律責任。

使用「健康資料同步」時，存取和使用資料的行為必須符合特定限制：

• 資料應只限用於提供或改善適當的用例，或提供或改善應用程式使用者介面中可見的功能。
• 為符合適用的法律或條例，或作為併購程序的一部分，基於安全理由 (例如調查濫用事件)，只有在獲得使用者明確同意後，才能將使用者資料轉移至第三方。
• 為符合法律或根據法律規定為內部操作彙整資料時，基於安全理由，除非獲得使用者明確同意，限制人員存取使用者資料。
• 禁止轉移、使用或出售「健康資料同步」資料作任何其他用途，包括：
  • 將使用資料轉移或出售予第三方，例如廣告平台、資料中介或任何資訊經銷商。
  • 轉移、使用或出售使用者資料來放送廣告，包括個人化或按喜好顯示的廣告。
  • 轉移、使用或出售使用者資料以確認使用者的信貸評級和借貸目的。
  • 根據《美國聯邦食品、藥品和化妝品法案》第 201(h) 節規定，將使用者資料轉移、出售或以其他方式與任何可能視為醫療裝置的產品或服務配合使用，以供該醫療裝置提供其受規管的功能。
  • 以任何目的或方式轉移、出售或使用涉及受保護健康資訊 (根據 HIPAA 定義) 的使用者資料前，必須事先獲得 Google 書面批准此類用途。

你只可要求存取提供產品功能或服務所需的權限。這類權限要求只應針對所需的特定資料。

「健康資料同步」管理包括敏感資料在內的健康和健身資料，並要求所有應用程式提供全面的私隱權政策。私隱權政策必須公開披露應用程式收集、使用和分享使用者資料的方式。除法律規定外，開發人員必須在私隱權政策中提供下列資料：

• 精確描述應用程式身分、概括列出應用程式存取的資料，以及這些資料與應用程式主要功能或推薦內容之間的關聯
• 保留和刪除資料的做法
• 資料處理程序，例如使用現代加密技術 (例如透過 HTTPS) 傳輸資料

如需進一步瞭解應用程式連結至「健康資料同步」的規定，請參閱此說明中心文章。

VpnService 是應用程式擴充及建立其專屬 VPN 解決方案的基礎類別。 只有使用 VpnService 並將 VPN 作為核心功能的應用程式，才可建立指向遠端伺服器的安全裝置級通道。例外情況包括核心功能需要遠端伺服器的應用程式，例如：

• 家長監控設定和企業管理應用程式。
• 追蹤應用程式的使用情況。
• 裝置安全應用程式 (例如：防毒、流動裝置管理、防火牆)。
• 網絡相關工具 (例如：遠端存取)。
• 網絡瀏覽應用程式。
• 需要使用 VPN 功能來提供電話或連線服務的流動網絡供應商應用程式。

VpnService 不得用於下列用途：

• 收集個人和敏感的使用者資料，但沒有提供明確披露聲明及徵求同意。
• 重新導向或操控裝置上來自其他應用程式的使用者流量，以作營利用途 (例如透過使用者所在地以外的其他國家/地區重新導向廣告流量)。

使用 VpnService 的應用程式必須：

• 在 Google Play 商店資訊中說明 VpnService 的使用方法；及
• 必須在裝置至 VPN 隧道終點之間加密資料；及
• 遵守所有《開發人員計劃政策》，包括《廣告欺詐政策》、《權限政策》及《惡意軟件政策》。 

從 Android 13 (API 目標級別 33) 起，我們將推出新權限 USE_EXACT_ALARM，可存取應用程式內的準確鬧鐘功能。

USE_EXACT_ALARM 是受限制的權限，應用程式只在核心功能支援準確鬧鐘需要時才能聲明此權限。要求此受限權限的應用程式均須經過審查，不符合可接受用例條件的應用程式不可在 Google Play 發佈。

「準確鬧鐘權限」的可接受用例

您的應用程式只在面向使用者的核心功能需要精準時間操作時才可使用 USE_EXACT_ALARM 功能，例如：

• 應用程式是鬧鐘或計時器應用程式。
• 應用程式是顯示活動通知的日曆應用程式。

如有以上未涵蓋的準確鬧鐘功能用例，應評估可否使用 SCHEDULE_EXACT_ALARM 作為替代選項。

如需進一步瞭解準確鬧鐘功能，請參閱此開發人員指引。

如應用程式以 Android 14 (API 目標級別 34) 或以上版本為目標，USE_FULL_SCREEN_INTENT 是特殊應用程式存取權限。只有應用程式核心功能屬於以下要求重要通知的其中一個類別的情況下，應用程式才自動獲得使用 USE_FULL_SCREEN_INTENT 的權限：

• 設定鬧鐘
• 接聽電話或視像通話

要求此權限的應用程式均須經過審查，不符合上述條件者不會自動獲得此權限。在這個情況下，應用程式必須向使用者要求使用 USE_FULL_SCREEN_INTENT 的權限。

再次提醒，使用 USE_FULL_SCREEN_INTENT 權限必須遵守所有 Google Play 開發人員政策，包括《垃圾流動軟件政策》、《裝置和網絡濫用政策》和《廣告政策》。全螢幕 Intent 通知不得干擾、中斷、損害或以未經授權的方式存取使用者的裝置。此外，應用程式不得干擾其他應用程式或裝置的可用性。

請瀏覽我們的說明中心，進一步瞭解 USE_FULL_SCREEN_INTENT 權限。