預覽：存取私密資訊的權限和 API

簡訊和通話記錄為使用者的個人和私密資料，相關權限適用個人及私密資訊政策規定和下列規範：

受限制權限	規定
通話記錄權限群組 (例如 READ_CALL_LOG、WRITE_CALL_LOG、PROCESS_OUTGOING_CALLS)	應用程式必須由使用者主動註冊為裝置預設的通話或助理處理常式。
簡訊權限群組 (例如 READ_SMS、SEND_SMS、WRITE_SMS、RECEIVE_SMS、RECEIVE_WAP_PUSH、RECEIVE_MMS)	應用程式必須由使用者主動註冊為裝置預設的簡訊或助理處理常式。

 

如果應用程式不具備預設簡訊、通話或助理處理常式的功能，就不得在資訊清單 (包括資訊清單內的預留位置文字) 中宣告要使用上述權限。此外，應用程式必須由使用者主動註冊為預設的簡訊、通話或助理處理常式，才能提示使用者授予這些權限；一旦應用程式不再是預設處理常式，則須立即停止使用該權限。如要瞭解允許的用途和例外狀況，請造訪這個說明中心網頁。

應用程式只能將權限 (及其衍生資料) 用於提供經過核准的應用程式核心功能。核心功能是指應用程式的主要用途，可能不只一種，而且全都必須是應用程式說明中著重介紹及主打的功能。如果沒有核心功能，應用程式就會「毀損」或無法運作。您只能基於提供應用程式核心功能或服務的目的，傳輸、分享或授權使用這類資料，不得將資料用於任何其他用途 (例如改善其他應用程式或服務、放送廣告或是行銷)。您不得透過其他方法 (包括其他權限、API 或第三方來源) 產生資料，卻將來源註明為通話記錄或簡訊相關權限。

裝置位置資訊為使用者的個人和私密資料，適用個人和私密資訊政策、背景位置資訊政策及下列規範：

• 如果應用程式提供現有功能或服務時，不再需要使用受到位置存取權 (例如 ACCESS_FINE_LOCATION、ACCESS_COARSE_LOCATION、ACCESS_BACKGROUND_LOCATION) 保護的資料，就不得存取這類資料。
• 您不得單純為了放送廣告或進行分析，要求使用者提供位置存取權。如果應用程式將這類資料的使用範圍擴及廣告放送，則須遵循我們的廣告政策。
• 應用程式僅可要求最低限度的必要權限 (即概略位置/前景存取權，而非精細位置/背景存取權)，以提供需要使用位置資訊的現有功能或服務，且使用者應合理預期為了享有該功能或服務，應用程式需取得所要求層級的位置資訊。舉例來說，如果應用程式要求或存取背景位置資訊，但理由缺乏說服力，我們可能就會拒絕。
• 背景位置資訊只能用在與應用程式核心功能相關、並有益於使用者的功能。

僅具備前景存取權 (例如「使用時」存取權) 的應用程式可透過前景服務權限存取位置資訊，前提是相關位置資訊使用情形符合下列條件：

• 當使用者在應用程式中執行操作後，應用程式才開始使用位置資訊；以及
• 達到使用者執行操作的目的後，應用程式便立即停止使用位置資訊。

專為兒童設計的應用程式必須遵守闔家適用政策。

如要進一步瞭解相關政策規定，請參閱這篇說明文章。

使用者裝置上的檔案和目錄屬性為使用者的個人和私密資料，適用個人和私密資訊政策規定和下列規範：

• 只有在攸關功能是否得以運作的情況下，應用程式才能要求存取裝置儲存空間，且若非基於重要的使用者導向功能考量，亦不得代表任何第三方要求存取裝置儲存空間。
• 在搭載 R 以上版本的 Android 裝置上，應用程式必須具備 MANAGE_EXTERAL_STORAGE 權限，才能管理共用儲存空間的存取權。如果應用程式以 R 版本為指定目標，並且要求取得共用儲存空間 (「所有檔案存取權」) 的廣泛存取權，則必須在發布前通過適當的存取權審查。假使應用程式獲准使用這項權限，就必須明確提示使用者前往「特殊應用程式存取權」設定，為應用程式啟用「所有檔案存取權」。如要進一步瞭解 R 版本的相關規定，請參閱這篇說明文章。

使用者裝置上的相片和影片為使用者的個人和私密資料，適用 Google Play「使用者資料」政策規定。應用程式只能出於直接與應用程式功能相關的用途存取相片和影片，如果用途與面向使用者的應用程式功能無關，就不得代表任何第三方要求存取這類內容。為了提供更能保護隱私權的體驗，建議使用相片挑選工具等系統選擇器。

如果應用程式需要在裝置上大範圍存取共用儲存空間中的相片和影片檔案，必須通過適當的存取權審查，並展示哪一項核心用途需持續或頻繁存取共用儲存空間中的相片/影片檔案。若應用程式只需存取相片/影片一次，或很少需要存取這些檔案，則須依規定使用 Android 相片挑選工具等系統選擇器。

相片和影片的廣泛存取權亦適用下列規定：

• 目標為 Android 13 (API 級別 33) 以上版本的應用程式需要取得 READ_MEDIA_IMAGES 或 READ_MEDIA_VIDEO 權限，才能大範圍存取裝置共用儲存空間中的相片或影片檔案。只要應用程式以 Android 13 以上版本為目標，並會索取 READ_MEDIA_IMAGES 或 READ_MEDIA_VIDEO 權限，就必須通過適當的存取權審查才能發布。
  • 如果應用程式會索取 READ_MEDIA_VIDEO 或 READ_MEDIA_IMAGES 權限，就必須充分展現其核心用途為何需要持續或頻繁存取共用儲存空間中的相片/影片。

若應用程式不需要 READ_MEDIA_VIDEO 或 READ_MEDIA_IMAGES 權限來大範圍存取相片/影片，或者不符合取得這些權限的資格，您必須從應用程式資訊清單中移除這些權限，才能符合政策審查規定。

根據受限制權限的政策規範，當使用者不授予裝置上媒體檔案的廣泛存取權時，您必須採取合理措施確保他們能正常使用應用程式，包括妥善提供符合需求的體驗，讓使用者仍可享有與該權限相關的功能，或應用程式的核心功能。

如果應用程式有存取相片或影片的正當理由，但不符合取得 READ_MEDIA_IMAGES 和 READ_MEDIA_VIDEO 權限的資格，則可使用相片挑選工具等系統選擇器。詳情請參閱這篇說明中心文章。

從裝置查詢到的已安裝應用程式清單屬於使用者的個人和私密資料，適用個人和私密資訊政策規定與下列規範：

如果應用程式的核心用途是啟動、搜尋裝置上的其他應用程式，或是與這些應用程式交互運作，或許可以取得瀏覽裝置上其他已安裝應用程式的適當權限，如下所示：

• 大範圍的應用程式瀏覽權限：有大範圍的瀏覽權限，代表應用程式能夠查看裝置上已安裝的許多應用程式 (套件)。
  • 如果應用程式是指定 30 以上的 API 級別為目標，那麼只有在應用程式需要知道裝置上的任何或所有應用程式，並且/或是與之互通才能正常運作下，才能透過 QUERY_ALL_PACKAGES 取得大範圍的已安裝應用程式瀏覽權限。
    • 如果應用程式可以基於更有針對性的套件瀏覽權限宣告 (例如查詢特定套件並與其互動，而非索取大範圍瀏覽權限) 運作，就不得使用 QUERY_ALL_PACKAGES 權限。
  • 如果應用程式使用其他方法獲取的權限類似與 QUERY_ALL_PACKAGES 權限相關的大範圍級別瀏覽權限，則該權限同樣僅限用於提供使用者取向的核心功能，以及與透過該方法發現的應用程式交互運作。
  • 請參閱這篇說明中心文章，瞭解 QUERY_ALL_PACKAGES 權限可用於哪些用途。
• 有限的應用程式瀏覽權限：所謂有限的瀏覽權限，是指應用程式利用更有針對性 (而非「大範圍抓取」) 的方法查詢特定應用程式 (例如查詢應用程式資訊清單宣告提及的特定應用程式)，所以只會存取最低限度的資料。如果應用程式是以符合政策規定的方式與所查詢的應用程式互相運作，或是管理這類應用程式，就能使用這個查詢方法。
• 如果應用程式需要裝置上已安裝應用程式清單的瀏覽權限，其目的必須與應用程式為使用者提供的核心用途或核心功能直接相關。

我們一律禁止基於分析或廣告營利目的，出售或分享透過 Play 所發行應用程式查詢到的應用程式清單資料。

Accessibility API 不得用於下列用途：

• 未經使用者同意即變更使用者設定，或是不讓使用者停用或解除安裝任何應用程式/服務，但如果家長或監護人透過家長監護應用程式進行授權，或者獲得授權的管理員透過企業管理軟體進行授權，則不在此限。
• 規避 Android 內建的隱私權控制項和通知功能。
• 以涉及欺騙或違反 Google Play 開發人員政策的方式變更或運用使用者介面。

Accessibility API 不應用於遠端通話錄音，應用程式也不得向該 API 發出此類要求。

Accessibility API 的使用情形必須列載於 Google Play 商店資訊中。

IsAccessibilityTool 規範

如果應用程式的核心功能旨在直接協助身心障礙者，可以使用 IsAccessibilityTool，適當地將應用程式公開標示為無障礙工具應用程式。

如果應用程式不符合 IsAccessibilityTool 使用資格，就不得使用這個標記，且必須遵循使用者資料政策所述的醒目揭露事項與同意聲明規定，因為使用者不易瞭解其中的無障礙相關功能。如需更多資訊，請參閱 AccessibilityService API 的說明中心文章。

應用程式在執行必要功能時，必須盡可能採用範圍較有限的 API 和權限來取代 Accessibility API。

若應用程式取得 REQUEST_INSTALL_PACKAGES 權限，即可要求安裝應用程式套件。如要使用這項權限，應用程式的核心功能必須包括：

• 傳送或接收應用程式套件。
• 讓使用者啟動應用程式套件的安裝程序。

許可的功能包括：

• 瀏覽或搜尋網頁
• 支援附件的通訊服務
• 分享、傳輸或管理檔案
• 管理企業裝置
• 備份與還原
• 裝置間遷移/手機間轉移
• 將手機與穿戴式裝置或 IoT 裝置 (例如智慧手錶或智慧型電視) 保持同步的隨附應用程式

核心功能是指應用程式的主要用途，連同構成這項核心功能的其他功能，全都必須是應用程式說明中著重介紹及主打的功能。

REQUEST_INSTALL_PACKAGES 權限不得用於執行自我更新、修改或與資產檔案中的其他 APK 組合，唯裝置管理用途不在此限。所有更新或套件安裝作業都必須遵循 Google Play「裝置與網路濫用行為」政策規定，並須由使用者執行。

健康資料同步是一個 Android 平台，健康與健身應用程式可以透過此平台在裝置端儲存資料，並在統合的生態系統中共用這些資料。此外，這個平台也方便使用者集中管理設定，控制哪些應用程式能讀取與寫入健康與健身資料。「健康資料同步」支援讀取與寫入各種類型的資料，如步數、體溫等。

透過「健康資料同步」權限存取的資料，屬於使用者的個人和私密資料，適用使用者資料政策規定。如果應用程式符合健康應用程式的資格，或有健康相關功能並會存取健康資料 (包括「健康資料同步」資料)，亦須遵守健康應用程式政策。

請參閱這篇 Android 開發人員指南，瞭解如何開始使用「健康資料同步」。如想要求「健康資料同步」資料類型的存取權，請參閱這個頁面。

透過 Google Play 發行的應用程式須符合下列政策規定，才能讀取及/或寫入「健康資料同步」資料。

「健康資料同步」平台只能依據適用政策、條款及細則使用，僅限用於本政策載明的核准用途。也就是說，您的應用程式或服務必須符合任一核准用途，才能要求取得相應權限。

核准的用途包括健身與保健、獎勵、健身指導、企業健康、醫療照護、健康研究及遊戲。應用程式獲准取得這類權限後，不得將權限使用範圍擴及未揭露或未經許可的用途。

應用程式或服務必須要有一或多項功能的主要用途是有益使用者健康與健身，才能要求取得「健康資料同步」權限。以下是符合規定的功能：

• 應用程式或服務允許使用者直接記錄、回報、監控和/或分析自己的體能活動、睡眠情形、心理健康狀況、營養資訊、健康測量值、體徵描述，以及/或者其他與健康或健身相關的描述和測量值。
• 應用程式或服務允許使用者在手機和/或穿戴式裝置上儲存自己的體能活動、睡眠情形、心理健康狀況、營養資訊、健康測量值、體徵描述，以及/或者其他與健康或健身相關的描述和測量值，並將自身資料分享給符合這些用途的其他裝置端應用程式。

「健康資料同步」平台的使用情形不得違反本政策，或是其他適用的「健康資料同步」政策或條款及細則，相關規定如下：

• 如果可以合理預期在應用程式、環境或活動中使用「健康資料同步」或相關故障可能導致人員傷亡、環境或財物毀損，則不得將「健康資料同步」用於開發或納入這類應用程式、環境或活動 (例如核子設施的建設或營運、飛航控制系統、維生系統或武器)。
• 不得使用無頭應用程式存取透過「健康資料同步」取得的資料。應用程式必須在應用程式匣、裝置應用程式設定、通知圖示等處清楚顯示可辨識的圖示。
• 如果應用程式在不相容裝置或平台之間同步處理資料，就不得與「健康資料同步」一起使用。
• 「健康資料同步」不得連結兒童專用的應用程式、服務或功能。
• 採取合理的適當措施保護所有使用「健康資料同步」的應用程式或系統，以免發生未經授權或非法存取、使用、毀損、遺失、變更或揭露的狀況。

您將「健康資料同步」平台和來自本平台的資料用於預定用途時，同樣有責任確保這些行為遵守任何適用的法規或法律要求。除非 Google 為特定 Google 產品或服務提供的標籤或資訊有所註明，否則針對將「健康資料同步」平台資料用於任何目的 (尤其是研究、健康或醫療用途) 之行為，Google 一概不予背書，亦不保證這類資料的準確性。對於從「健康資料同步」平台取得資料後加以使用的行為，Google 不承擔任何責任。

使用「健康資料同步」時，須依照特定限制存取與使用資料：

• 資料只能用於提供或提升適當用途，或者應用程式使用者介面顯示的適當功能。
• 使用者資料須經使用者明確同意，才能基於下列目的轉移給第三方：維護安全 (例如調查濫用行為)、遵守適用法律或法規，或完成合併/收購事宜。
• 禁止以人為方式存取使用者資料，但若此類行為係已取得使用者明確同意、符合安全目的、基於法規遵循目的，或者是依法律要求匯總資料以供內部營運之用，則不在此限。
• 您不得出於任何其他目的轉移、使用或出售「健康資料同步」資料，包括：
  • 將使用者資料轉移或出售給第三方，例如廣告平台、數據經紀人或任何資訊經銷商。
  • 為廣告放送目的使用、轉移或出售使用者資料，包括放送個人化廣告或按照興趣顯示廣告。
  • 為確認使用者的信用度或貸款目的使用、轉移或出售使用者資料。
  • 將使用者資料轉移、出售，或以其他方式，與《聯邦食品、藥物和化妝品法》第 201(h) 節可能定義為醫療器材的產品或服務搭配使用，供該醫療器材提供受管制的功能。
  • 為任何目的或以任何方式，轉移、出售或使用涉及受保護健康資訊 (根據《健康保險流通與責任法案》定義) 的使用者資料；如果已就此類用途事先取得 Google 書面同意，則不在此限。

您只能索取為實現產品功能或服務的必要權限，這類權限要求應只針對所需的具體資料提出。

「健康資料同步」會管理包含私密資訊在內的健康與健身資料，因此要求所有應用程式提供完善的隱私權政策，清楚揭露應用程式蒐集、使用與分享使用者資料的方式。除符合法律要求外，開發人員亦須在隱私權政策中提供下列資訊：

• 精確描述應用程式識別資訊、概括列出應用程式存取的資料，以及這些資料與應用程式主要功能或推薦內容之間的關聯
• 資料保留與刪除做法
• 資料處理程序，例如採用 HTTPS 等新型密碼編譯機制傳輸資料

如需進一步瞭解應用程式連結至「健康資料同步」的規定，請參閱這篇說明中心文章。

VpnService 是應用程式擴充及建構其專屬 VPN 解決方案的基礎類別。只有使用 VpnService 並將 VPN 做為核心功能的應用程式，可以建立指向遠端伺服器的安全裝置級通道。例外狀況包括核心功能需要遠端伺服器的應用程式，例如：

• 家長監護和企業管理應用程式。
• 追蹤應用程式使用情況。
• 裝置安全性應用程式 (例如防毒、行動裝置管理服務、防火牆)。
• 網路相關工具 (例如遠端存取)。
• 網頁瀏覽應用程式。
• 由電信業者發布，需要利用 VPN 功能來提供電話或連線服務的應用程式。

VpnService 不得用於下列用途：

• 在未提供醒目揭露事項，也未徵得使用者同意的情況下，蒐集使用者的個人和私密資料。
• 基於營利目的重新導向或操控來自裝置上其他應用程式的使用者流量 (例如重新導向廣告流量，使之流經使用者所在國家/地區以外的國家/地區)。

使用 VpnService 的應用程式必須符合下列規定：

• 在 Google Play 商店資訊中註明 VpnService 的使用情形。
• 必須加密從裝置傳送到 VPN 通道端點的資料。
• 遵循所有《開發人員計畫政策》，包括廣告詐欺、權限和惡意軟體政策。 

USE_EXACT_ALARM 是一項即將推出的新權限，作用是針對以 Android 13 (API 級別 33) 以上版本為目標的應用程式，授予精確鬧鐘功能的存取權。

USE_EXACT_ALARM 是一項受限制權限，只有當應用程式的核心功能支援精確鬧鐘需求，應用程式才能宣告這項權限。要求這項受限制權限的應用程式必須接受審查，若是應用程式不符合使用限制條件，就禁止在 Google Play 發布

精確鬧鐘權限的使用限制

只有在應用程式為使用者提供的核心功能需要精確計時的操作時，應用程式才必須使用 USE_EXACT_ALARM 功能，例如：

• 應用程式是鬧鐘或計時器應用程式。
• 應用程式是會顯示活動通知的日曆應用程式。

如果您需要將精確鬧鐘功能用於上述以外的用途，則應評估能否選擇使用 SCHEDULE_EXACT_ALARM 做為替代方案。

如要進一步瞭解精確鬧鐘功能，請參閱這篇開發人員指南。

對指定 Android 14 (目標 API 級別 34) 以上版本為目標的應用程式來說，USE_FULL_SCREEN_INTENT 是一項特殊的應用程式存取權限。只有在應用程式核心功能屬於以下需要高度優先通知的類別時，系統才會自動授予應用程式 USE_FULL_SCREEN_INTENT 的使用權限：

• 設定鬧鐘
• 接聽電話或視訊通話

要求這項權限的應用程式必須接受審查，若是應用程式不符合上述條件，系統就不會自動授予這項權限。在此情況下，應用程式必須要求使用者授予 USE_FULL_SCREEN_INTENT 使用權限。

提醒您，每當使用 USE_FULL_SCREEN_INTENT 權限時，都必須遵守所有 Google Play 開發人員政策，包括行動垃圾軟體、裝置與網路濫用行為，以及廣告政策。全螢幕意圖通知不得干擾、中斷、損害或以未經授權的方式存取使用者的裝置。此外，應用程式亦不得干擾裝置運作或其他應用程式。

如要進一步瞭解 USE_FULL_SCREEN_INTENT 權限，請前往說明中心。