免責事項:政策摘要僅為概述;請一律參閱政策全文以確保遵循法規。如有衝突,應優先適用政策全文
為提升使用者的信任感,Google Play 規定必須要求存取使用者私密資料的權限和 API,應用程式才能夠執行在 Play 商店資訊中所宣傳的核心功能,且只能用於使用者同意的用途。私密資料不得濫用、處於揭露狀態或在非必要情況下存取。循序漸進地要求權限和機密 API,提供各級別的說明。僅依使用者同意的方式使用資料,並就其他用途重新取得使用者同意。請詳閱完整政策內容,確保遵守規定。
如需要求會存取私密資訊的權限和 API,則這類要求應讓使用者覺得合理且有必要。您只能要求使用必要的權限和 API 來存取私密資訊,以便應用程式能夠執行在 Google Play 商店資訊中所宣傳的現有功能或服務。請勿將存取使用者/裝置私密資訊的權限或 API 用於未揭露、未提供或遭禁止的功能或用途。您不得販售透過存取私密資訊的權限或 API 所取得的個人或私密資料,亦不得基於促銷目的分享這類資料。
若要藉由存取私密資訊的權限和 API 取得資料,請在相關情境下透過漸進式要求提出,讓使用者瞭解應用程式要求該權限的原因。這類資料只能用於使用者同意的用途。如果您之後想將資料用於其他用途,則必須徵詢使用者,確認使用者同意用於這些其他用途。
受限制權限
為保護使用者隱私,Google Play 定義了受限制權限,這些權限也受其他規定約束,並要求應用程式須以負責任的方式使用這些權限,且不得操縱使用者授予存取權。若使用者拒絕權限要求,請尊重使用者選擇並提供替代方案。請注意,特定受限制權限可能有其他進一步的規定。請詳閱完整政策內容,確保遵守規定。
受限制權限是指歸為危險、特殊、簽署或如下文所述的權限;除了上述規範外,這類權限也適用下列額外的規定和限制:
- 透過受限制權限存取的使用者或裝置資料,將視為使用者的個人和機密資料,適用「使用者資料」政策規定。
- 如果使用者拒絕授予受限制權限,您必須尊重他們的決定,而且不得操控或強迫使用者同意授予任何非關鍵的權限。對於不授予機密權限的使用者,您必須在合理範圍內提供使用者其他選項。舉例來說,當使用者限制應用程式存取通話記錄時,讓他們能夠手動輸入電話號碼。
- 我們嚴禁以違反 Google Play 「惡意軟體」政策 (包括進階權限濫用行為) 的方式使用權限。
部分受限制權限可能適用下列額外的規定。這些限制旨在保護使用者的隱私權。如果應用程式提供的功能極具吸引力或相當重要,且必須獲得受限制權限後才能運作,並無其他替代方案,那麼我們可能會允許少數特例。我們會審查申請成為特例的案例,評估其在隱私權或安全性方面可能對使用者造成的影響。
考量重點
| 正確做法 | 錯誤做法 |
| 如果使用者拒絕授予受限制權限,應用程式須尊重他們的決定,不得採取操控手段。 | 利用權限來違反 Google Play 的「惡意軟體」政策,包括進階權限濫用行為。 |
| 在使用者拒絕授予權限時,提供其他執行功能的方法,例如允許手動輸入資料。 | 操控或欺騙使用者。請勿逼迫或誘騙使用者授予權限。 |
| 透過這些權限存取的資料均為私密內容,請務必遵守「使用者資料」政策。 | 對於拒絕授予受限制權限的使用者,不提供可維持應用程式正常運作的合理替代方案。 |
需要危險權限 (如 READ_CALENDAR) 時,透過執行階段提出要求,並附上清楚說明。 |
提出授權要求,但無正當理由。只有在極為重要的核心功能需要受限制權限,且無替代方案時,才能提出要求。 |
需要特殊權限 (如 SYSTEM_ALERT_WINDOW) 時,將使用者導向系統設定頁面核准授權 。 |
簡訊和通話記錄權限
Google Play 對存取極度私密簡訊和通話記錄資料的行為設有嚴格限制。您的應用程式必須是簡訊、電話或 Google 助理的指定預設處理常式,才能要求這些權限。用途僅限於列載的核心應用程式功能 (對您應用程式的主要用途有絕對必要)。這些資料永遠不得用於廣告或任何其他未經核准的目的。請詳閱完整政策內容,確保遵守規定。
簡訊和通話記錄為使用者的個人和私密資料,相關權限適用個人及私密資訊政策規定和下列規範:
| 受限制權限 | 規定 |
|---|---|
| 通話記錄權限群組 (例如 READ_CALL_LOG、WRITE_CALL_LOG、PROCESS_OUTGOING_CALLS) | 應用程式必須由使用者主動註冊為裝置預設的通話或助理處理常式。 |
| 簡訊權限群組 (例如 READ_SMS、SEND_SMS、WRITE_SMS、RECEIVE_SMS、RECEIVE_WAP_PUSH、RECEIVE_MMS) | 應用程式必須由使用者主動註冊為裝置預設的簡訊或助理處理常式。 |
如果應用程式不具備預設簡訊、通話或助理處理常式的功能,就不得在資訊清單 (包括資訊清單內的預留位置文字) 中宣告要使用上述權限。此外,應用程式必須由使用者主動註冊為預設的簡訊、通話或助理處理常式,才能提示使用者授予這些權限;一旦應用程式不再是預設處理常式,則須立即停止使用該權限。如要瞭解允許的用途和例外狀況,請造訪這個說明中心網頁。
應用程式只能將權限 (及其衍生資料) 用於提供經過核准的應用程式核心功能。核心功能是指應用程式的主要用途,可能不只一種,而且全都必須是應用程式說明中著重介紹及主打的功能。如果沒有核心功能,應用程式就會「毀損」或無法運作。您只能基於提供應用程式核心功能或服務的目的,傳輸、分享或授權使用這類資料,不得將資料用於任何其他用途 (例如改善其他應用程式或服務、放送廣告或是行銷)。您不得透過其他方法 (包括其他權限、API 或第三方來源) 產生資料,卻將來源註明為通話記錄或簡訊相關權限。
考量重點
| 正確做法 | 錯誤做法 |
| 前往 Play 管理中心提交聲明表單。 | 索取簡訊/通話記錄權限,但沒有核心需求做為正當理由。 |
| 明列需要使用者授予資料存取權的核心功能。 | 將這類資料用於廣告等用途。 |
| 盡可能使用符合政策規定的替代方案,例如 SMS Retriever API。 | 儲存或分享不必要的簡訊/通話記錄資料。 |
| 不再以預設處理常式狀態運作時,立即停止存取資料。 | 企圖以其他方式推導出這類資料。 |
| 查看簡訊/通話記錄權限的許可用途和例外狀況。 |
位置存取權
為保護使用者隱私,背景位置資訊政策規定應用程式必須提供充足理由並取得使用者明確同意,方可獲得存取權。裝置位置資料僅限用於讓使用者直接受益且對應用程式的核心用途至關重要的必要功能,絕不得僅用於廣告或數據分析用途。請盡可能減少要求並選擇私密性較低的權限,例如大概位置和前景存取權。裝置位置的前景服務存取權必須由使用者啟動且為暫時性操作,而背景位置權限僅限用於重要功能。請詳閱完整政策內容,確保遵守規定。
裝置位置資訊為使用者的個人和私密資料,適用個人和私密資訊政策、背景位置資訊政策及下列規範:
- 如果應用程式提供現有功能或服務時,不再需要使用受到位置存取權 (例如
ACCESS_FINE_LOCATION、ACCESS_COARSE_LOCATION、ACCESS_BACKGROUND_LOCATION) 保護的資料,就不得存取這類資料。 - 您不得單純為了放送廣告或進行分析,要求使用者提供位置存取權。如果應用程式將這類資料的使用範圍擴及廣告放送,則須遵循我們的廣告政策。
- 應用程式僅可要求最低限度的必要權限 (即概略位置/前景存取權,而非精細位置/背景存取權),以提供需要使用位置資訊的現有功能或服務,且使用者應合理預期為了享有該功能或服務,應用程式需取得所要求層級的位置資訊。舉例來說,如果應用程式要求或存取背景位置資訊,但理由缺乏說服力,我們可能就會拒絕。
- 背景位置資訊只能用在與應用程式核心功能相關、並有益於使用者的功能。
僅具備前景存取權 (例如「使用時」存取權) 的應用程式可透過前景服務權限存取位置資訊,前提是相關位置資訊使用情形符合下列條件:
- 當使用者在應用程式中執行操作後,應用程式才開始使用位置資訊;以及
- 達到使用者執行操作的目的後,應用程式便立即停止使用位置資訊。
專為兒童設計的應用程式必須遵守闔家適用政策。
如要進一步瞭解相關政策規定,請參閱這篇說明文章。
考量重點
| 正確做法 | 錯誤做法 |
| 如果應用程式以兒童為目標對象,須遵守「闔家適用」政策。 | 使用裝置位置資訊,但用途僅限於廣告或數據分析。 |
| 在提交要發布的應用程式前,先詳閱重要權限規定。 | 存取不再需要的資料。 |
| 填寫管理中心聲明表單,表明會使用背景位置資訊。 | 應用程式以兒童為目標對象,卻要求裝置位置資訊。 |
| 販售裝置位置資訊。 |
「所有檔案存取權」權限
Google Play 政策將存取使用者檔案和目錄視為高風險敏感行為,因此對於在 Android 11 以上版本使用 MANAGE_EXTERNAL_STORAGE 權限設下了限制。應用程式如有必要核心功能需要大範圍存取這項權限,則目的必須與服務使用者有關,而不是第三方。這樣可以避免不必要的資料收集,並保障使用者的隱私。要求這項權限的應用程式必須清楚告知使用者,讓他們在知情的情況下做出隱私權決定;此外,應用程式也必須接受 Play 的應用程式審查來獲得核准。請詳閱完整政策內容,確保遵守規定。
使用者裝置上的檔案和目錄屬性為使用者的個人和私密資料,適用個人和私密資訊政策規定和下列規範:
- 只有在攸關功能是否得以運作的情況下,應用程式才能要求存取裝置儲存空間,且若非基於重要的使用者導向功能考量,亦不得代表任何第三方要求存取裝置儲存空間。
- 在搭載 R 以上版本的 Android 裝置上,應用程式必須具備 MANAGE_EXTERAL_STORAGE 權限,才能管理共用儲存空間的存取權。如果應用程式以 R 版本為指定目標,並且要求取得共用儲存空間 (「所有檔案存取權」) 的廣泛存取權,則必須在發布前通過適當的存取權審查。假使應用程式獲准使用這項權限,就必須明確提示使用者前往「特殊應用程式存取權」設定,為應用程式啟用「所有檔案存取權」。如要進一步瞭解 R 版本的相關規定,請參閱這篇說明文章。
考量重點
| 正確做法 | 錯誤做法 |
| 優先改用能保障隱私權的替代方案,例如儲存空間存取架構或 MediaStore API。 |
要求 |
| 在 Play 管理中心提交聲明表單時,宣告這項權限。 | 不實陳述應用程式的核心功能。 |
| 清楚定義並記載應用程式的核心功能,再將應用程式提交審查。 |
儲存或分享的資料超出必要範圍及揭露規定。 |
| 清楚提示使用者前往「特殊應用程式存取權」設定,啟用「所有檔案存取權」。 | |
| 確認已參閱 Android R 規定瞭解詳情。 |
相片和影片權限
為保護使用者的隱私和安全,Google Play 規定應用程式必須證明索取 READ_MEDIA_IMAGES 或 READ_MEDIA_VIDEO 權限是出於充分且正當的核心需求,才能持續或頻繁存取相片和影片。倘若您的應用程式不符合存取這些資料的資格,請移除相關權限。如果是一次性或非經常性的需求,不妨改用系統選擇器,例如更能保護隱私權的 Android 相片挑選工具。請詳閱完整政策內容,確保遵守規定。
使用者裝置上的相片和影片為使用者的個人和私密資料,適用 Google Play「使用者資料」政策規定。應用程式只能出於直接與應用程式功能相關的用途存取相片和影片,如果用途與面向使用者的應用程式功能無關,就不得代表任何第三方要求存取這類內容。為了提供更能保護隱私權的體驗,建議使用相片挑選工具等系統選擇器。
如果應用程式需要在裝置上大範圍存取共用儲存空間中的相片和影片檔案,必須通過適當的存取權審查,並展示哪一項核心用途需持續或頻繁存取共用儲存空間中的相片/影片檔案。若應用程式只需存取相片/影片一次,或很少需要存取這些檔案,則須依規定使用 Android 相片挑選工具等系統選擇器。
相片和影片的廣泛存取權亦適用下列規定:
- 目標為 Android 13 (API 級別 33) 以上版本的應用程式需要取得
READ_MEDIA_IMAGES或READ_MEDIA_VIDEO權限,才能大範圍存取裝置共用儲存空間中的相片或影片檔案。只要應用程式以 Android 13 以上版本為目標,並會索取READ_MEDIA_IMAGES或READ_MEDIA_VIDEO權限,就必須通過適當的存取權審查才能發布。- 如果應用程式會索取
READ_MEDIA_VIDEO或READ_MEDIA_IMAGES權限,就必須充分展現其核心用途為何需要持續或頻繁存取共用儲存空間中的相片/影片。
- 如果應用程式會索取
若應用程式不需要 READ_MEDIA_VIDEO 或 READ_MEDIA_IMAGES 權限來大範圍存取相片/影片,或者不符合取得這些權限的資格,您必須從應用程式資訊清單中移除這些權限,才能符合政策審查規定。
根據受限制權限的政策規範,當使用者不授予裝置上媒體檔案的廣泛存取權時,您必須採取合理措施確保他們能正常使用應用程式,包括妥善提供符合需求的體驗,讓使用者仍可享有與該權限相關的功能,或應用程式的核心功能。
如果應用程式有存取相片或影片的正當理由,但不符合取得 READ_MEDIA_IMAGES 和 READ_MEDIA_VIDEO 權限的資格,則可使用相片挑選工具等系統選擇器。詳情請參閱這篇說明中心文章。
考量重點
| 正確做法 | 錯誤做法 |
| 前往 Play 管理中心提交聲明表單。 | 蒐集超出必要範圍的相片或影片資料。 |
| 在不需要大範圍存取權時,使用系統選擇器,例如相片挑選工具。 | 企圖略過或操弄使用者同意聲明。 |
| 在應用程式審查期間,提出證據來證明用途合理。 | 在使用者拒絕授予非重要權限後,封鎖相關功能或設限。請改用系統選擇器,妥善處理檔案要求。 |
| 向使用者清楚說明應用程式必須取得這些權限的原因。 | |
| 參閱「詳細瞭解 Google Play 的相片和影片權限政策」一文瞭解詳情。 |
套件 (應用程式) 瀏覽權限
取得使用者的已安裝應用程式清單,涉及敏感資料的存取。Google Play 政策嚴格限制大範圍瀏覽權限 (QUERY_ALL_PACKAGES),只有在應用程式的核心功能需要與使用者裝置上的其他應用程式搭配運作時,才可申請使用。您必須盡可能優先使用有限且目標明確的查詢來存取特定應用程式,以進一步保障隱私權。在任何情況下,均不得基於廣告或數據分析營利目的出售或分享已安裝應用程式清單的資料。請詳閱完整政策內容,確保遵守規定。
從裝置查詢到的已安裝應用程式清單為使用者的個人和機密資料,適用個人和機密資訊政策規定和下列規範:
如果應用程式的核心用途是啟動、搜尋裝置上的其他應用程式,或是與這些應用程式交互運作,或許可以取得瀏覽裝置上其他已安裝應用程式的適當權限,如下所示:
- 大範圍的應用程式瀏覽權限:有大範圍的瀏覽權限,代表應用程式能夠查看裝置上已安裝的許多應用程式 (套件)。
- 如果應用程式是指定 30 以上的 API 級別為目標,那麼只有在應用程式需要知道裝置上的任何或所有應用程式,並且/或是與這些應用程式互通才能正常運作時,才能透過
QUERY_ALL_PACKAGES取得大範圍的安裝版應用程式瀏覽權限。- 如果應用程式可以基於更有針對性的套件瀏覽權限宣告運作 (例如查詢特定套件並進行互動,而非索取大範圍瀏覽權限),就不得使用
QUERY_ALL_PACKAGES。
- 如果應用程式可以基於更有針對性的套件瀏覽權限宣告運作 (例如查詢特定套件並進行互動,而非索取大範圍瀏覽權限),就不得使用
- 如果應用程式使用其他方法獲取的權限,類似於與
QUERY_ALL_PACKAGES權限相關聯的大範圍瀏覽權限,則該權限同樣僅限用於提供面向使用者的核心功能,以及與透過該方法發現的應用程式交互運作。 - 請參閱這篇說明中心文章,瞭解
QUERY_ALL_PACKAGES權限可用於哪些用途。
- 如果應用程式是指定 30 以上的 API 級別為目標,那麼只有在應用程式需要知道裝置上的任何或所有應用程式,並且/或是與這些應用程式互通才能正常運作時,才能透過
- 有限的應用程式瀏覽權限:所謂有限的瀏覽權限,是指應用程式利用更有針對性 (而非「大範圍抓取」) 的方法查詢特定應用程式 (例如查詢應用程式資訊清單宣告提及的特定應用程式),所以只會存取最低限度的資料。如果應用程式是以符合政策規定的方式與所查詢的應用程式互相運作,或是管理這類應用程式,就能使用這個查詢方法。
- 如果應用程式需要裝置上已安裝應用程式清單的瀏覽權限,則目的必須與應用程式為使用者提供的核心用途或核心功能直接相關。
我們一律禁止基於數據分析或廣告營利目的,出售或分享透過 Play 所發行應用程式查詢到的應用程式清單資料。
考量重點
| 正確做法 | 錯誤做法 |
在需要 QUERY_ALL_PACKAGES 和其他高風險權限時,前往 Play 管理中心提交聲明表單。 |
能透過有限且目標明確的查詢滿足需求,卻要求 |
| 將應用程式送審時,清楚說明應用程式需要曝光的原因 (不論範圍廣大還是精細)。 | 以政策未明確允許的方式,擴大應用程式曝光範圍。 |
| 只存取最低限度的資料。 | 謊報應用程式的核心功能或資料需求。 |
| 參閱「QUERY_ALL_PACKAGES 權限的許可用途」一文,瞭解有哪些允許的用途。 | 收集或使用不必要的安裝應用程式資料。 |
Accessibility API
Google Play 允許各式各樣的應用程式使用 AccessibilityService API。不過,服務必須是設計用來協助身心障礙者存取裝置,或是克服失能帶來的挑戰,才能在中繼資料中設定 isAccessibilityTool=true,將應用程式聲明為無障礙工具。這類應用程式在醒目揭露事項和同意聲明規定方面具有豁免權。至於其他用途或應用程式未聲明為無障礙工具的情況,則須在 Play 管理中心完成無障礙工具聲明,並於應用程式內加入清楚的揭露事項來說明資料的存取和使用,且必須明確獲得使用者同意。請詳閱完整政策內容,確保遵守規定。
Accessibility API 不得用於下列用途:
- 未經使用者同意即變更使用者設定,或是不讓使用者停用或解除安裝任何應用程式/服務,但如果家長或監護人透過家長監護應用程式進行授權,或者獲得授權的管理員透過企業管理軟體進行授權,則不在此限。
- 規避 Android 內建的平台安全控制項、隱私控制項及通知;或
- 以涉及欺騙或違反《Google Play 開發人員計畫政策》的方式,變更或利用使用者介面。
Accessibility API 不應用於以下用途,也不接受以下請求:
- 遠端通話錄音
- 由應用程式自主發起、規劃及執行動作或決定
Accessibility API 的使用情形必須列載於 Google Play 商店資訊中。
IsAccessibilityTool 規範
如果應用程式的核心功能旨在直接協助身心障礙者,可以使用 IsAccessibilityTool,以適當方式將應用程式公開標示為無障礙工具應用程式。
如果應用程式不符合 IsAccessibilityTool 使用資格,就不得使用這個標記,且必須遵循「使用者資料」政策中的醒目揭露事項與同意聲明規定,因為使用者對於應用程式中的無障礙相關功能,可能並不知情。
應用程式在執行必要功能時,必須盡可能採用範圍較限縮的 API 和權限來取代 Accessibility API。
如要進一步瞭解違禁用途與 IsAccessibilityTool 使用指南,請參閱這篇 AccessibilityService API 說明中心文章。
考量重點
| 正確做法 | 錯誤做法 |
在服務的中繼資料檔案中如實宣告 isAccessibilityTool=true,表明應用程式的主要用途是協助身心障礙人士。 |
濫用 isAccessibilityTool 標記。如果應用程式並非協助身心障礙者的工具,請勿使用該標記。 |
| 在 Play 管理中心提出清楚聲明,並提供示範影片,表明使用了 AccessibilityService API。 | 逕自變更使用者設定、略過隱私權控制項,或錄下遠端通話音訊。 |
| 在應用程式內加入清楚的揭露聲明,徵求使用者同意 (如果不是指定的無障礙工具)。 | 使用 API 自主發起、規劃及執行動作或決定。 |
| 在 Play 管理中心提交聲明表單時,完成無障礙工具聲明,指出您並未宣告應用程式是無障礙工具,但使用了 AccessibilityService API。 | 欺騙或誤導使用者。API 不得以欺騙使用者的方式變更或利用使用者介面。 |
| 完全依照揭露和宣告的用途蒐集及使用資料。 | 蒐集不必要的資料。蒐集而來的資料僅限用於揭露的用途。 |
| 執行必要功能時,盡可能採用範圍較限縮的 API 和權限來取代 Accessibility API。 | 略過揭露規定。揭露聲明無法取代隱私權政策或其他應用程式說明。 |
「要求安裝套件」權限
REQUEST_INSTALL_PACKAGES 權限可讓應用程式要求安裝其他應用程式套件。這項權限僅限應用程式的核心功能使用,尤其當主要用途直接涉及傳送、接收或啟用讓使用者啟動應用程式套件的安裝程序時。禁止使用這項權限更新您的應用程式、變更其功能或組合其他 APK 以進行無訊息安裝或未經授權安裝 (但企業管理除外)。所有安裝程序必須由使用者直接且主動選擇執行。如果應用程式指定 Android 8 以上版本,就必須取得這項權限才能使用 Intent.ACTION_INSTALL_PACKAGE。請詳閱完整政策內容,確保遵守規定。
若應用程式取得 REQUEST_INSTALL_PACKAGES 權限,即可要求安裝應用程式套件。如要使用這項權限,應用程式的核心功能必須包括:
- 傳送或接收應用程式套件。
- 讓使用者啟動應用程式套件的安裝程序。
許可的功能包括:
- 瀏覽或搜尋網頁
- 支援附件的通訊服務
- 分享、傳輸或管理檔案
- 管理企業裝置
- 備份與還原
- 裝置間遷移/手機間轉移
- 將手機與穿戴式裝置或 IoT 裝置 (例如智慧手錶或智慧型電視) 保持同步的隨附應用程式
核心功能是指應用程式的主要用途,連同構成這項核心功能的其他功能,全都必須是應用程式說明中著重介紹及主打的功能。
REQUEST_INSTALL_PACKAGES 權限不得用於執行自我更新、修改或與資產檔案中的其他 APK 組合,唯裝置管理用途不在此限。所有更新或套件安裝作業都必須遵循 Google Play「裝置與網路濫用行為」政策規定,並須由使用者執行。 考量重點
| 正確做法 | 錯誤做法 |
| 於 Google Play 的應用程式說明中,或是在 Play 管理中心提交聲明表單時,以顯眼的方式清楚記載需要這項權限的核心功能。 | 功能與應用程式的主要用途沒有直接關係,卻索取這項權限,點對點 (P2P) 分享也包含在內。P2P 必須是應用程式的主要用途,才符合這項權限的許可用途。 |
|
嚴格遵守允許的功能範圍,包括網頁瀏覽/搜尋、檔案分享/傳輸/管理、企業裝置管理、備份/還原、裝置遷移/手機移轉、將手機與穿戴式/物聯網裝置同步的隨附應用程式。 |
必要工作可以透過較不具侵入性的方式完成,卻要求這項權限。 |
| 確保應用程式不會意外安裝,或在背景安裝。應用程式套件的所有安裝作業,都必須明確地由使用者啟動。 |
變更應用程式使用這項權限的方式,卻未先修正 Play 管理中心聲明表單,提供最新且正確的資訊。我們禁止以欺騙或未經聲明的方式使用這項權限。 |
人體感應器權限
政策 摘要
為保護使用者隱私,Google Play 規定存取極為私密的人體感應器資料 (例如心率、血氧濃度和皮膚溫度) 時,必須遵守我們的《使用者資料》政策和健康應用程式政策。
自 Android 16 起,應用程式必須從一般的 android.permission.BODY_SENSORS 權限改用精細的新健康權限。舉例來說,您將使用 android.permission.health.READ_HEART_RATE 存取心率資料。這項變更會影響指定各種板型規格的 Android 16 以上版本的所有應用程式,包括 Wear OS。如需完整變更清單,請參閱「行為變更:指定 Android 16 以上版本的應用程式」頁面。我們會審查所有人體感應器權限 (舊版和新版) 要求,確保您應用程式的用途能讓使用者直接受益,並嚴格遵守我們的政策。
感應器測量人體生理徵象 (例如心率、血氧濃度和皮膚溫度) 而取得的資料,將視為使用者個人私密資料。應用程式若要求存取這些資料,必須遵守使用者資料政策和健康應用程式政策所述的規定。手機、平板電腦和 Wear OS 裝置等所有板型規格若要求 android.permission.BODY_SENSORS 和 android.permission.BODY_SENSORS_BACKGROUND 這兩項權限,也適用上述規定。
從 Android 16 開始,特定資料類型將改用精細、更保護隱私的 android.permissions.health.* 權限 (例如 android.permission.health.READ_HEART_RATE、android.permission.health.READ_OXYGEN_SATURATION、android.permission.health.READ_SKIN_TEMPERATURE),取代之前廣泛的 BODY_SENSORS 權限。
應用程式如果鎖定 Android 16 以上版本,對於之前要求 BODY_SENSORS 的 API,現在必須使用上述的特定權限。詳情請參閱「行為變更:指定 Android 16 以上版本的應用程式」這個頁面。
所有對人體感應器權限 (舊版和新版精細權限) 的要求都會經過審查,確保這類個人私密資料的預期用途能讓使用者直接受益,與許可用途一致。許可用途主要涉及健身與保健追蹤功能 (例如即時監控訓練狀況)、病況監控、健康研究 (經適當核准),或增強穿戴式裝置隨附應用程式功能。
如需完整政策指南 (包括違禁用途、合規用途和詳細規定),請參閱「Android Health 權限:指南與常見問題」一文。
| 正確做法 | 錯誤做法 |
使用具體而精細的健康權限 (如 android.permission.health.READ_HEART_RATE),取代廣泛的 BODY_SENSORS 權限。 |
有更具體的健康權限可用,卻宣告 |
| 確保應用程式提供有益於使用者的核心功能 (例如用於健身追蹤或健康監控),且這項功能對相關資料必須確實有需求。 | 需要存取資料,但對使用者沒有明顯且直接的益處。 |
| 遵守「使用者資料」和「健康應用程式」政策。 | 要求或使用人體感應器資料,但用途未經核准,例如一般廣告、數據分析,或根據推論而得的健康狀況建立使用者個人資料。 |
| 只要求最低限度的權限,以及應用程式達成既定用途所需的特定資料。 | 實際或企圖規避基本的「使用者資料」和「健康應用程式」政策。 |
| 如需各項用途和規定的完整清單,請參閱「Android Health 權限:指南與常見問題」一文。 |
「Android 健康資料同步」權限
只有核准的核心用途為健康、健身、醫療照護或健康研究的應用程式,才能存取「健康資料同步」資料。您必須將資料存取權嚴格限縮到這些核准功能所需的最小範圍,且與第三方分享任何健康資料前,必須取得使用者明確同意。資訊公開是關鍵,因此請提供清楚的揭露聲明和詳盡的隱私權政策,說明資料收集、使用、管理和刪除行為。防範他人未經授權存取使用者資料,並遵守所有適用法律和法規 (例如《健康保險流通與責任法案》、GDPR)。請詳閱完整政策內容,確保遵守規定。
「健康資料同步」是一個 Android 平台,可讓健康與健身應用程式在統合的生態系統內儲存和共享相同的裝置資料。此外,這個平台也方便使用者集中管理設定,控制哪些應用程式能讀取及寫入健康與健身資料,例如健康記錄,內容可能包括病史、診斷結果、療程、用藥和檢驗結果等臨床資料,這些資料則是取自醫療服務提供者/機構,或透過支援的第三方保健平台取得。
「健康資料同步」支援讀取及寫入各種類型的資料,如步數、體溫和健康記錄等。
透過「健康資料同步」權限存取的資料,屬於使用者的個人和私密資料,適用使用者資料政策規定。如果應用程式符合健康應用程式的資格,或有健康相關功能並會存取健康資料 (包括「健康資料同步」資料),亦須遵守健康應用程式政策。
請參閱這篇 Android 開發人員指南,瞭解如何開始使用「健康資料同步」。如想要求存取「健康資料同步」資料類型,並查看其他常見問題,請參閱「Android Health 權限:指南與常見問題」一文。
透過 Google Play 發行的應用程式須符合下列政策規定,才能讀取及/或寫入「健康資料同步」資料。
考量重點
| 正確做法 | 錯誤做法 |
| 如果是健康應用程式,或是提供健康相關功能且會存取健康資料 (包括「健康資料同步」平台的資料),就必須遵守健康應用程式政策。 | 在高風險應用程式中使用健康資料同步 (例如航空、控制心律調節器等攸關生命的系統),或是在僅以兒童為對象的應用程式中使用。 |
| 請參閱「Android Health 權限:指南與常見問題」一文,瞭解如何要求存取各類「健康資料同步」平台資料,以及其他常見問題。 | 將使用者資料出售或轉移給數據經紀商,或是用於廣告和信用評等。 |
| 在 Play 管理中心提交聲明表單,並詳細附上正當理由,說明應用程式如何運用這些資料來造福使用者。 | 搭配醫療器材使用,卻未依要求遵守法規或取得授權。 |
| 只索取最低限度的資料類型。 | 基於次要或未經核准的用途,存取「健康資料同步」平台的資料。 |
| 安全處理使用者資料 (例如使用新型密碼編譯法)。 | 索取非應用程式核心功能所需的資料權限。 |
適當存取及使用「健康資料同步」
「健康資料同步」平台只能依據適用政策、條款及細則使用,僅限用於本政策載明的核准用途。也就是說,您的應用程式或服務必須符合任一核准用途,才能要求取得相應權限。
核准的用途包括健身與保健、獎勵、健身指導、企業健康、醫療照護、健康研究及遊戲。應用程式獲准用於上述用途後,不得另外用於未揭露或未經許可的用途。
應用程式或服務必須要有一或多項功能的用途是有益使用者健康與健身,才能要求取得「健康資料同步」權限。以下是符合規定的功能:
- 應用程式或服務允許使用者直接記錄、回報、監控和/或分析自己的體能活動、睡眠情形、心理健康狀況、營養資訊、健康測量值、體徵描述,以及/或者其他與健康或健身相關的描述、健康記錄和測量值。
- 應用程式或服務允許使用者在裝置上儲存自己的體能活動、睡眠情形、心理健康狀況、營養資訊、健康測量值、體徵描述、健康記錄,以及/或者其他與健康或健身相關的描述和測量值,並與符合這些用途的其他裝置端應用程式共用自身資料。
- 應用程式或服務可讓使用者管理慢性疾病、醫療或照護支援狀況。
「健康資料同步」平台的使用情形不得違反本政策,或是其他適用的「健康資料同步」政策或條款及細則,相關規定如下:
- 如果可以合理預期在應用程式、環境或活動中使用「健康資料同步」或相關故障可能導致人員傷亡、環境或財物毀損,則不得將「健康資料同步」用於開發或納入這類應用程式、環境或活動 (例如建造或運行核子設施、飛航控制系統、維生系統或武器)。
- 不得使用無頭應用程式存取透過「健康資料同步」取得的資料。應用程式必須在應用程式匣、裝置應用程式設定、通知圖示等處清楚顯示可辨識的圖示。
- 如果應用程式在不相容裝置或平台之間同步處理資料,就不得與「健康資料同步」一起使用。
- 「健康資料同步」不得連結兒童專用的應用程式、服務或功能。
- 採取合理的適當措施保護所有使用「健康資料同步」的應用程式或系統,以免發生未經授權或非法存取、使用、毀損、遺失、變更或揭露的狀況。
您將「健康資料同步」平台和來自本平台的資料用於預定用途時,同樣有責任確保這些行為遵守任何適用的法規或法律要求。舉例來說,如果您是受到《健康保險流通與責任法案》所規範,且位於涵蓋範圍內的實體或商業夥伴,則當存取及使用來自「健康資料同步」平台的資訊時,就必須遵守適用規定。同理,如果您是受到歐盟使用者《一般資料保護規則》(GDPR) 所規範的開發人員,就必須履行 GDPR 所賦予的義務。這些法律和法規可能會要求您先履行額外協議 (例如業務合作協議或資料處理協議),再與涉及活動處理的相關實體共用資料。此外,應用程式開發人員也必須判斷自己在進行活動時,是否需要履行這類協議。收到要求時,開發人員必須向 Google 提供這類協議或履行協議的證據。
除非 Google 為特定 Google 產品或服務提供的標籤或資訊有所註明,否則針對將「健康資料同步」平台資料用於任何目的 (尤其是研究、健康或醫療用途) 之行為,Google 一概不予背書,亦不保證這類資料的準確性。對於從「健康資料同步」平台取得資料後加以使用的行為,Google 不承擔任何責任。
使用限制
存取和使用「健康資料同步」資料時,須遵守特定限制:
- 資料只能用於提供或提升適當用途,或者應用程式使用者介面顯示的適當功能。
- 使用者資料須經使用者明確同意,才能基於下列目的轉移給第三方:維護安全 (例如調查濫用行為)、遵守適用法律或法規,或完成合併/收購事宜。
- 禁止以人為方式存取使用者資料,但若此類行為係已取得使用者明確同意、符合安全目的、基於法規遵循目的,或者是依法律要求匯總資料以供內部營運之用,則不在此限。
- 您不得出於任何其他目的轉移、使用或出售「健康資料同步」資料,包括:
- 將使用者資料轉移或出售給第三方,例如廣告平台、數據經紀人或任何資訊經銷商。
- 為廣告放送目的使用、轉移或出售使用者資料,包括放送個人化廣告或按照興趣顯示廣告。
- 為確認使用者的信用度或貸款目的使用、轉移或出售使用者資料。
- 將使用者資料轉移、出售,或以其他方式,與可能定義為醫療器材的產品或服務搭配使用;如果該醫療器材應用程式符合所有適用法規,包含取得相關監管機構 (例如美國食品藥物管理局) 的必要授權或核准,可將「健康資料同步」資料用於預定用途,且經過使用者明確同意,則不在此限。
- 為任何目的或以任何方式,轉移、出售或使用涉及受保護健康資訊 (如《健康保險流通與責任法案》所定義) 的使用者資料;如果是由使用者採取上述動作,且符合《健康保險流通與責任法案》規範的情況,則不在此限。
最小範圍
您只能索取為實現產品功能或服務的必要權限,這類權限要求應只針對所需的具體資料提出。
資訊透明且準確的通知與控制系統
「健康資料同步」會處理健康與健身資料,包括個人和私密資訊。開發人員必須透過詳盡的隱私權政策,就資料相關做法提供清楚且容易找到的揭露聲明,內容包括:
- 如實表明要求存取使用者資料的應用程式或服務名稱。
- 提供清楚準確的資訊,說明應用程式存取、要求及/或蒐集的資料類型。這些資料必須與應用程式中提供的面向使用者功能或建議相關。
- 說明資料用途和/或共用方式:如果您基於某原因要求存取資料,但也會將資料用於次要目的,則所有用途都必須揭露。
- 使用者說明文件,讓他們瞭解如何在應用程式中管理及刪除資料,以及停用及/或刪除帳戶會對資料產生哪些影響。
- 說明如何以安全方式處理使用者個人和私密資料,包括使用新型密碼編譯法 (例如 HTTPS) 傳輸資料。
如需進一步瞭解應用程式連結至「健康資料同步」的規定,請參閱這篇說明中心文章。
VPN 服務
VpnService 基礎類別可讓開發人員建立安全的 VPN 解決方案。Google Play 只允許將此基礎類別用於具有核心 VPN 功能,或是必要功能需要遠端伺服器的應用程式,例如家長監護、應用程式使用情況追蹤、裝置安全性、網路工具、網路瀏覽器或電信業者服務等必要功能。至關重要的是,若無醒目揭露事項和明確同意,VpnService 絕對不會用於收集使用者的個人或私密資料。此外,我們嚴格禁止基於營利目的而重新導向或操控來自其他應用程式的使用者流量。所有使用 VpnService 的應用程式都必須在 Google Play 商店資訊中清楚列載這些資訊,並加密從裝置傳送到 VPN 通道端點的資料。請詳閱完整政策內容,確保遵守規定。
VpnService 是應用程式擴充及建構其專屬 VPN 解決方案的基礎類別。只有使用 VpnService 並將 VPN 做為核心功能的應用程式,可以建立指向遠端伺服器的安全裝置級通道。例外狀況包括核心功能需要遠端伺服器的應用程式,例如:
- 家長監護和企業管理應用程式。
- 追蹤應用程式使用情況。
- 裝置安全性應用程式 (例如防毒、行動裝置管理服務、防火牆)。
- 網路相關工具 (例如遠端存取)。
- 網頁瀏覽應用程式。
- 由電信業者發布,需要利用 VPN 功能來提供電話或連線服務的應用程式。
VpnService 不得用於下列用途:
- 在未提供醒目揭露事項,也未徵得使用者同意的情況下,蒐集使用者的個人和私密資料。
- 基於營利目的重新導向或操控來自裝置上其他應用程式的使用者流量 (例如重新導向廣告流量,使之流經使用者所在國家/地區以外的國家/地區)。
使用 VpnService 的應用程式必須符合下列規定:
| 正確做法 | 錯誤做法 |
| 在 Google Play 商店資訊中註明 VpnService 的用途。 | 將 VpnService 用於核心 VPN 或指定例外情況以外的用途。 |
| 必須加密從裝置傳送到 VPN 通道端點的資料。 | 蒐集使用者的個人與私密資料,但未提供醒目揭露事項,也未取得使用者同意。 |
| 確保應用程式核心功能與 VPN 使用情形或許可例外情況相符。 | 基於營利目的,重新導向或操控來自裝置上其他應用程式的使用者流量 (例如利用重新導向手法,將廣告流量轉往非使用者所在的國家/地區)。 |
| 對於任何私密資料蒐集行為,在應用程式內加入顯眼的相關揭露事項,並取得使用者明確同意。 |
精確鬧鐘權限
Android 13 以上版本中的 USE_EXACT_ALARM 權限是受到嚴格限制的權限,只能用於其面向使用者的核心功能真正需要掌握精準時間的應用程式,例如特定用途的鬧鐘、計時器,或設有事件通知的日曆應用程式。如果您的應用程式沒有這項特定核心需求,請考慮改用 SCHEDULE_EXACT_ALARM 權限。此權限提供相同功能,但必須由使用者授予存取權。這項政策可防止影響系統資源的濫用行為。請詳閱完整政策內容,確保遵守規定。
USE_EXACT_ALARM 是一項即將推出的新權限,作用是針對以 Android 13 (API 級別 33) 以上版本為目標的應用程式,授予精確鬧鐘功能的存取權。
USE_EXACT_ALARM 是一項受限制權限,只有當應用程式的核心功能支援精確鬧鐘需求,應用程式才能宣告這項權限。要求這項受限制權限的應用程式必須接受審查,若是應用程式不符合使用限制條件,就禁止在 Google Play 發布
精確鬧鐘權限的使用限制
只有在應用程式為使用者提供的核心功能需要精確計時的操作時,應用程式才必須使用 USE_EXACT_ALARM 功能,例如:
- 應用程式是鬧鐘或計時器應用程式。
- 應用程式是會顯示活動通知的日曆應用程式。
如果您需要將精確鬧鐘功能用於上述以外的用途,則應評估能否選擇使用 SCHEDULE_EXACT_ALARM 做為替代方案。
考量重點
| 正確做法 | 錯誤做法 |
只在應用程式的核心功能屬於鬧鐘或行事曆時,才要求自動授予 USE_EXACT_ALARM 權限。 |
將這項權限用於「未直接涉及應用程式主要用途」的非核心功能。 |
不符合上述條件時改用 SCHEDULE_EXACT_ALARM。 |
|
| 填寫 Play 管理中心聲明表單,指明應用程式功能。 | |
| 查看「新權限:使用精確鬧鐘」一節,進一步瞭解精確鬧鐘功能。 |
全螢幕意圖權限
在 Android 14 以上版本,只會將 USE_FULL_SCREEN_INTENT 權限自動授予核心功能為設定鬧鐘或處理通話的應用程式。至於任何其他用途,您必須取得使用者明確同意,並清楚地說明您的需求。這項政策可防止有人基於非關鍵目的濫用全螢幕意圖,並要求您的使用行為不得干擾或損害使用者的裝置、其他應用程式或整體可用性。請詳閱完整政策內容,確保遵守規定。
對指定 Android 14 (目標 API 級別 34) 以上版本為目標的應用程式來說,USE_FULL_SCREEN_INTENT 是一項特殊的應用程式存取權限。只有在應用程式核心功能屬於以下需要高度優先通知的類別時,系統才會自動授予應用程式 USE_FULL_SCREEN_INTENT 的使用權限:
- 設定鬧鐘
- 接聽電話或視訊通話
要求這項權限的應用程式必須接受審查,若是應用程式不符合上述條件,系統就不會自動授予這項權限。在此情況下,應用程式必須要求使用者授予 USE_FULL_SCREEN_INTENT 使用權限。
提醒您,每當使用 USE_FULL_SCREEN_INTENT 權限時,都必須遵守所有 Google Play 開發人員政策,包括行動垃圾軟體、裝置與網路濫用行為,以及廣告政策。全螢幕意圖通知不得干擾、中斷、損害或以未經授權的方式存取使用者的裝置。此外,應用程式亦不得干擾裝置運作或其他應用程式。
如要進一步瞭解 USE_FULL_SCREEN_INTENT 權限,請前往說明中心。
考量重點
| 正確做法 | 錯誤做法 |
| 要求使用者同意授予這項權限 (若非自動授予),並清楚說明原因。 | 將這項權限用於非核心或低優先順位功能。 |
|
只用於必要的高優先順位通知/快訊。 |
利用這項權限干擾裝置或其他應用程式。 |
| 指定 Android 14 以上版本為目標時,在 Play 管理中心提交聲明表單,確立全螢幕意圖權限的預先授予資格。 | 將這項權限用於干擾性廣告或通知。 |
進一步瞭解 USE_FULL_SCREEN_INTENT 權限和相關規定。 |
Age Signals API 和使用者資料
政策 摘要
為保護使用者資料,您只能使用 Age Signals API 提供的資料,在接收端應用程式中提供適齡體驗。這些規範可確保您完全依照法規使用 API,而非用於追蹤或取得商業利益。
這項政策定義了您使用 Age Signals API 的條件,該 API 可存取使用者的敏感個資,也就是年齡和家長同意聲明。
透過 Age Signals API 存取的資料,只能用於確保應用程式履行適用的法律和監管義務,例如在應用程式內提供適齡體驗。
我們嚴禁將這些資料用於下列用途,包括但不限於:
- 廣告、行銷或個人化用途,例如放送指定廣告
- 資料分析、使用者剖析或商業智慧
- 基於任何理由將資料販售、分享或轉移給任何第三方,但法律嚴格要求的情況除外
考量重點
| 正確做法 | 錯誤做法 |
| 僅在須遵循法規時,才使用本資料。 | 將本資料用於行銷或鎖定廣告用途。 |
| 確認是否需要取得家長同意聲明。 | 使用本資料分析資料或剖析使用者。 |
| 確保使用者體驗符合玩家年齡。 | 在法律未要求的情況下,以任何理由和第三方分享本資料。 |