Permissões e APIs que acessam informações sensíveis

As permissões de SMS e registro de chamadas são consideradas dados pessoais e sensíveis de usuários sujeitos à política de Informações pessoais e sensíveis e às seguintes restrições:

Permissão restrita	Requisito
Grupo de permissões "Registro de chamadas". Por exemplo, READ_CALL_LOG, WRITE_CALL_LOG, PROCESS_OUTGOING_CALLS	Ele precisa estar registrado ativamente como gerenciador padrão de "Telefone" ou "Assistente" no dispositivo.
Grupo de permissões "SMS". Por exemplo, READ_SMS, SEND_SMS, WRITE_SMS, RECEIVE_SMS, RECEIVE_WAP_PUSH, RECEIVE_MMS	Ele precisa estar registrado ativamente como gerenciador padrão de "SMS" ou "Assistente" no dispositivo.

 

Apps sem o recurso de gerenciador padrão de "SMS", "Telefone" ou "Assistente" não podem declarar o uso das permissões acima no manifesto. Isso inclui o uso de texto marcador no manifesto. Os apps também precisam estar ativamente registrados como gerenciador padrão de "SMS", do "Telefone" ou do "Assistente" antes de solicitar que os usuários aceitem uma das permissões acima. Além disso, eles precisarão interromper imediatamente o uso da permissão quando não forem mais o gerenciador padrão. Os usos permitidos e exceções estão disponíveis nesta página da Central de Ajuda.

Os apps só podem usar a permissão e os dados derivados dela para fornecer a funcionalidade principal aprovada do app, que corresponde ao propósito principal dele. Isso pode incluir um conjunto de recursos principais que precisam ser documentados e promovidos com maior destaque na descrição do app. Sem os recursos principais, o app ficará "corrompido" ou não poderá ser usado. A transferência, o compartilhamento ou o uso licenciado desses dados só pode ocorrer para fornecer os recursos principais ou serviços dentro do app. Além disso, o uso dessas informações não pode ser estendido para outras finalidades (por exemplo, melhorar outros apps e serviços ou para fins de marketing e publicidade). Não é permitido usar métodos alternativos (incluindo outras permissões, APIs ou fontes de terceiros) para extrair dados atribuídos às permissões de registro de chamadas ou SMS.

A localização do dispositivo é considerada um dado pessoal e sensíveis do usuário, sujeita às políticas de Informações pessoais e sensíveis e Localização em segundo plano e aos seguintes requisitos:

• Os apps não podem acessar dados protegidos por permissões de localização (por exemplo, ACCESS_FINE_LOCATION, ACCESS_COARSE_LOCATION, ACCESS_BACKGROUND_LOCATION) que não sejam mais necessários para fornecer os recursos ou serviços atuais.
• Nunca solicite permissões de localização do usuário somente para fins de publicidade ou análise. Os apps que aproveitam o uso permitido desses dados para exibir publicidade precisam estar em conformidade com nossa política de Anúncios.
• Os apps precisam solicitar o escopo mínimo necessário (ou seja, localização aproximada em vez de exata e em primeiro plano em vez de segundo plano) para fornecer o recurso ou serviço atual que exige a localização. Além disso, os usuários devem esperar que o recurso ou serviço precise acessar o nível de localização solicitado. Por exemplo, podemos recusar apps que solicitam ou acessam o local em segundo plano sem uma justificativa convincente.
• A localização em segundo plano só pode ser usada para oferecer recursos úteis aos usuários e relevantes para a funcionalidade principal do app.

Os apps terão permissão para acessar a localização com o serviço em primeiro plano (quando o app só tem acesso em primeiro plano, por exemplo, "durante o uso") se o uso:

• tiver sido iniciado para dar continuidade a uma ação do usuário no app; e
• for finalizado imediatamente após o app concluir o caso de uso pretendido pelo usuário.

Os apps desenvolvidos especificamente para crianças precisam estar em conformidade com a política do Feito para Família.

Para saber mais sobre os requisitos da política, confira este artigo de ajuda.

Os arquivos e atributos de diretório no dispositivo de um usuário são considerados dados pessoais e sensíveis dele e estão sujeitos à política de informações pessoais e sensíveis e aos seguintes requisitos:

• Os apps só podem solicitar acesso ao armazenamento dos dispositivos que seja fundamental para o funcionamento. Eles não podem fazer isso em nome de terceiros para fins não relacionados à funcionalidade principal do app para o usuário.
• Os dispositivos Android com a versão R ou mais recente precisarão da permissão MANAGE_EXTERNAL_STORAGE para gerenciar o acesso no armazenamento compartilhado. Todos os apps direcionados ao R que solicitam acesso amplo ao armazenamento compartilhado ("Acesso a todos os arquivos") precisam passar por uma análise de acesso apropriada antes da publicação. Os apps que podem usar essa permissão precisam solicitar claramente que os usuários ativem a opção "Acesso a todos os arquivos" nas configurações de "Acesso especial ao app". Para saber mais sobre os requisitos do R, confira este artigo de ajuda.

O inventário dos apps instalados consultados em um dispositivo são considerados dados pessoais e sensíveis, sujeitos à política de Informações pessoais e sensíveis e aos seguintes requisitos:

Os apps que têm a finalidade principal de lançar, pesquisar ou interoperar com outros apps podem ter visibilidade do escopo apropriado para outros apps instalados no dispositivo, conforme descrito abaixo:

• Ampla visibilidade do app: é a capacidade de um app de ter uma visibilidade extensa (ou "ampla") dos apps instalados ("pacotes") em um dispositivo.
  • Para apps destinados à API de nível 30 ou mais recente, a visibilidade ampla para apps instalados com a permissão QUERY_ALL_PACKAGES é restrita a casos de uso específicos em que o reconhecimento e/ou interoperabilidade com qualquer um ou todos os apps no dispositivo são necessários para que ele funcione. 
    • Não será possível usar QUERY_ALL_PACKAGES se o app puder operar com uma declaração de visibilidade do pacote com escopo segmentado. Por exemplo, consultar e interagir com pacotes específicos em vez de solicitar uma visibilidade ampla.
  • O uso de métodos alternativos para aproximar o nível de visibilidade ampla associado à permissão QUERY_ALL_PACKAGES também está restrito à funcionalidade principal do app apresentada para o usuário e à interoperabilidade com todos os apps descobertos por esse método.
  • Consulte este artigo da Central de Ajuda e veja os casos autorizados para o uso da permissão QUERY_ALL_PACKAGES.
• Visibilidade limitada do app: quando um app minimiza o acesso aos dados, ao consultar apps específicos usando métodos mais segmentados (em vez de "amplos"). Por exemplo, consultar apps específicos que atendam à declaração do manifesto do app. É possível usar esse método para consultas nos casos em que o app tenha interoperabilidade em conformidade com a política ou gerenciamento desses apps.
• A visibilidade do inventário de apps instalados em um dispositivo precisa estar diretamente relacionada à finalidade ou funcionalidade principal que os usuários acessam no app.

Os dados de inventário de apps consultados nos apps distribuídos no Google Play nunca poderão ser vendidos nem compartilhados para análise ou monetização de anúncios.

A API de acessibilidade não pode ser usada para:

• mudar as configurações do usuário sem permissão ou impedir que ele desative ou desinstale qualquer app ou serviço, a menos que autorizado pela família ou responsável com um app de controle dos pais ou por administradores autorizados com um software de gerenciamento empresarial;
• evitar os controles e as notificações de privacidade integrados do Android;
• mudar ou usar a interface do usuário de maneira enganosa ou que viole as Políticas para desenvolvedores do Google Play.

A API de acessibilidade não foi projetada e não pode ser solicitada para gravação de áudio de chamadas remotas.

O uso da API de acessibilidade precisa ser documentado na página "Detalhes do app".

Diretrizes para IsAccessibilityTool

Os apps com funcionalidades básicas destinadas a oferecer apoio direto às pessoas com deficiências estão qualificados para usar o IsAccessibilityTool e, assim, se autodesignar publicamente como "app de acessibilidade".

Os apps sem qualificação para usar o IsAccessibilityTool não podem incorporar o sinalizador e precisam atender aos requisitos de consentimento e divulgação em destaque conforme descrito na política de Dados do usuário já que o recurso relacionado à acessibilidade não é óbvio para o usuário. Consulte o artigo da Central de Ajuda API AccessibilityService para mais informações.

Quando possível, os apps precisam usar APIs e permissões com escopos mais limitados em vez da API de acessibilidade para alcançar a funcionalidade desejada.

Com a permissão REQUEST_INSTALL_PACKAGES, um app pode solicitar a instalação de pacotes de apps.​​ Para usar essa permissão, a funcionalidade principal do app precisa incluir as seguintes funções:

• Envio ou recebimento de pacotes de apps; e
• Instalação de pacotes de apps iniciada pelo usuário

As funcionalidades permitidas incluem as seguintes opções:

• Pesquisa ou navegação na Web
• Serviços de comunicação compatíveis com anexos
• Compartilhamento, transferência ou gerenciamento de arquivos
• Gerenciamento de dispositivos corporativos
• Backup e restauração
• Migração do dispositivo/transferência do smartphone
• App complementar para sincronizar o smartphone com um wearable ou dispositivo de IoT, como um smartwatch ou uma smart TV

A funcionalidade principal é definida como o objetivo principal do app. Essa função e todos os recursos essenciais que a compõem precisam ser documentados e promovidos com destaque na descrição do app.

A permissão REQUEST_INSTALL_PACKAGES não pode ser usada para autoatualizações, modificações ou criação de pacotes de outros APKs no arquivo de recursos, a menos que seja para fins de gerenciamento de dispositivos. Todas as atualizações ou instalação de pacotes precisam obedecer à política contra Abuso de dispositivos e de rede do Google Play e serem iniciadas e conduzidas pelo usuário.

As informações acessadas com as permissões do Health Connect são consideradas dados pessoais e confidenciais do usuário, sujeitas à política de dados do usuário e aos seguintes requisitos adicionais:

As solicitações para acessar dados pelo Health Connect precisam ser claras e compreensíveis. O Health Connect só pode ser usado de acordo com as políticas, termos e condições aplicáveis para casos de uso aprovados, conforme estabelecido nesta política. Portanto, apenas os apps ou serviços que atendam a um dos casos de uso aprovados podem solicitar acesso às permissões.

Os casos de uso aprovados para acesso às permissões do Health Connect são os seguintes:

• Aplicativos ou serviços com um ou mais recursos para promover a saúde e o condicionamento físico dos usuários com uma interface que permita registrar, gerar relatórios, monitorar e/ou analisar diretamente informações sobre atividades físicas, sono, bem-estar mental, nutrição, medidas de saúde, descrições físicas e/ou outros dados e medições relacionados à saúde ou condicionamento físico.
• Aplicativos ou serviços com um ou mais recursos para promover a saúde e o condicionamento físico dos usuários com uma interface que permita armazenar informações sobre atividades físicas, sono, bem-estar mental, nutrição, medidas de saúde, descrições físicas e/ou outros dados e medições relacionados à saúde ou condicionamento físico no smartphone e/ou wearable e compartilhar com outros apps no dispositivo que atendam a esses casos de uso.

O Health Connect é uma plataforma de armazenamento e compartilhamento de dados de uso geral que permite aos usuários agregar dados de saúde e condicionamento físico de várias fontes em um dispositivo Android e compartilhar essas informações com terceiros a critério próprio. Os dados podem ter várias fontes, conforme determinado pelos usuários. Os desenvolvedores precisam avaliar se o Health Connect é adequado para o uso pretendido, além de investigar e examinar a fonte e a qualidade dos dados da plataforma em conexão com qualquer finalidade, principalmente para uso médico, de pesquisa ou de saúde.

• Os apps que fazem pesquisas em seres humanos relacionadas à saúde usando dados coletados pelo Health Connect precisam receber o consentimento dos participantes ou dos pais ou responsáveis, no caso de menores. Esse consentimento precisa incluir: (a) a natureza, o propósito e a duração da pesquisa; (b) os procedimentos, riscos e benefícios ao participante; (c) informações sobre confidencialidade e tratamento de dados, incluindo o possível compartilhamento com terceiros; (d) um ponto de contato para responder a perguntas dos participantes; e (e) o processo de desistência. Os apps que fazem pesquisas em seres humanos relacionadas à saúde usando dados coletados pelo Health Connect precisam receber aprovação de um conselho independente que: 1) vise proteger os direitos, a segurança e o bem-estar dos participantes e 2) tenha autoridade para examinar, modificar e aprovar pesquisas em seres humanos. Um comprovante dessa aprovação precisa ser fornecido mediante solicitação.
• Também é sua responsabilidade garantir a conformidade com requisitos regulamentares ou legais aplicáveis com base no uso pretendido do Health Connect e dos dados dessa plataforma. Exceto conforme expressamente indicado na embalagem ou nas informações fornecidas pelo Google referentes a produtos ou serviços específicos, o Google não apoia o uso nem garante a precisão dos dados do Health Connect para qualquer caso ou finalidade, principalmente para uso médico, de pesquisa ou de saúde. O Google se isenta de qualquer responsabilidade associada ao uso de dados coletados no Health Connect.

Ao utilizar o Health Connect para uma finalidade apropriada, o uso dos dados acessados na plataforma também precisam estar em conformidade com os requisitos abaixo. Esses requisitos se aplicam aos dados brutos coletados do Health Connect e às informações agregadas, desidentificadas ou derivadas dos dados brutos.

• Limite o uso dos dados do Health Connect para fornecer ou melhorar seu caso de uso adequado ou os recursos visíveis e proeminentes na interface do usuário do app solicitante.
• Só transfira dados do usuário a terceiros nos seguintes casos:
  • Para fornecer ou melhorar seu caso de uso apropriado ou os recursos visíveis na interface do usuário do app solicitante e somente com o consentimento do usuário
  • Se necessário para fins de segurança (por exemplo, investigação de abusos)
  • Para obedecer às leis e/ou regulamentos aplicáveis
  • Como parte de uma fusão, aquisição ou venda de recursos do desenvolvedor após o consentimento prévio explícito do usuário
• Não permita que indivíduos leiam dados do usuário, com exceção dos seguintes casos:
  • O consentimento explícito do usuário para leitura de dados específicos foi recebido
  • A leitura é necessária para fins de segurança (por exemplo, investigação de abusos)
  • Para obedecer às leis aplicáveis
  • Os dados (incluindo derivações) são agregados e usados para operações internas, de acordo com as exigências de privacidade aplicáveis e outros requisitos legais jurisdicionais

Todas as outras transferências, usos ou vendas de dados do Health Connect são proibidos, incluindo o seguinte:

• Transferir ou vender dados do usuário para terceiros, como plataformas de publicidade, corretores de dados ou revendedores de informações
• Transferir, vender ou usar dados do usuário para veicular anúncios, incluindo publicidade personalizada ou baseada em interesses
• Transferir, vender ou usar dados do usuário para determinar classificações de crédito ou para finalidades de empréstimo
• Transferir, vender ou usar dados do usuário com qualquer produto ou serviço que possa se qualificar como dispositivo médico, de acordo com a Seção 201(h) da Lei Federal sobre Medicamentos e Cosméticos, caso esses dados sejam usados para realizar a função regulamentada do dispositivo
• Transferir, vender ou usar dados do usuário para qualquer finalidade ou de qualquer maneira que envolva Informações protegidas de saúde (conforme definido pela HIPAA), a menos que você receba aprovação prévia por escrito do Google para tal uso

O acesso ao Health Connect não pode ser usado de modo que viole esta política ou outros Termos e Condições ou políticas aplicáveis da plataforma, inclusive para as seguintes finalidades:

• Não use o Health Connect para desenvolver ou incorporar em apps, ambientes ou atividades em que o uso ou falha do Health Connect possa levar à morte, lesões corporais ou danos ambientais ou patrimoniais, como a criação ou operação de instalações nucleares, controle de tráfego aéreo, sistemas de suporte à vida ou armamentos.
• Não acesse dados coletados pelo Health Connect usando apps headless. É preciso exibir um ícone claramente identificável na bandeja, nas configurações do app no dispositivo, nos ícones de notificação etc.
• Não use o Health Connect com apps que sincronizam dados entre dispositivos ou plataformas incompatíveis.
• O Health Connect não pode se conectar a aplicativos, serviços ou recursos que segmentam somente crianças. O Health Connect não é aprovado para uso em serviços primariamente direcionados a crianças.

Uma declaração afirmativa de que o uso dos dados do Health Connect está em conformidade com as restrições de uso limitado precisa ser divulgada no aplicativo ou em um site que seja parte do serviço da Web ou aplicativo, como um link na página inicial para uma página dedicada ou uma Política de Privacidade, com o seguinte aviso: "O uso de informações recebidas do Health Connect obedece à política de permissões do Health Connect, incluindo os requisitos de uso limitado".

Você só pode solicitar acesso a permissões necessárias para implementar a funcionalidade de app ou serviço. 

O que isso significa:

• Não solicite acesso a informações de que você não precisa. Solicite acesso apenas às permissões necessárias para implementar os recursos ou serviços do seu produto. Se o produto não precisar de acesso a permissões específicas, não solicite acesso a elas.

O Health Connect lida com dados de saúde e condicionamento físico, o que inclui informações pessoais e sensíveis. Todos os apps e serviços precisam ter uma Política de Privacidade que divulgue de maneira abrangente como os dados do usuário são coletados, usados e compartilhados. Isso inclui com quem essas informações são compartilhadas, como você usa, armazena e protege os dados e o que acontece com eles quando uma conta é desativada e/ou excluída.

Além dos requisitos da legislação aplicável, também é preciso atender aos seguintes requisitos:

• É necessário fornecer uma divulgação a respeito da coleta, do uso e do compartilhamento de dados. Essa divulgação precisa:
  • representar com precisão a identidade do aplicativo ou serviço que pretende acessar os dados do usuário;
  • fornecer informações claras e precisas, explicando os tipos de dados acessados, solicitados e/ou coletados;
  • explicar como os dados serão usados e/ou compartilhados: se você solicitar dados por um motivo, mas eles também forem usados para uma finalidade secundária, será preciso notificar os usuários sobre os dois casos de uso.
• É necessário fornecer uma documentação de ajuda aos usuários que explique como eles podem gerenciar e excluir os próprios dados do app.

Todos os dados do usuário precisam ser processados de maneira segura. Tome medidas razoáveis e apropriadas para que todos os apps ou sistemas que usam o Health Connect sejam protegidos contra acesso, uso, destruição, perda, alteração ou divulgação não autorizados ou ilegais.

As práticas de segurança recomendadas incluem a implementação e manutenção de um sistema de gerenciamento de segurança da informação, conforme descrito na ISO/IEC 27001, além de medidas para garantir que o app ou serviço da Web seja robusto e livre de problemas comuns de segurança, como estabelecido pela OWASP Top 10.

Dependendo da API acessada e do número de usuários, exigimos que o aplicativo ou serviço passe por uma avaliação de segurança periódica e receba uma carta de avaliação de um terceiro designado, caso o produto transfira dados do dispositivo do usuário.

Para mais informações sobre os requisitos de apps que se conectam ao Health Connect, consulte este artigo de ajuda.

VpnService é uma classe de base para que os apps ampliem e criem soluções de VPN próprias. Somente os apps que usam VpnService e têm a VPN como recurso principal podem criar um encapsulamento seguro no nível do dispositivo para um servidor remoto. Exceções incluem apps que exigem um servidor remoto para oferecer o recurso principal, por exemplo:

• Apps de controle da família e gerenciamento empresarial
• Monitoramento de uso de apps
• Apps de segurança de dispositivos, como antivírus, gerenciamento de dispositivos móveis e firewall
• Ferramentas relacionadas à rede, como acesso remoto
• Apps de navegação na Web
• Apps de operadoras que precisam de funcionalidade VPN para oferecer serviços de telefonia ou conectividade

O VpnService não pode ser usado para:

• coletar dados pessoais e confidenciais do usuário sem consentimento e declaração em destaque;
• redirecionar ou manipular o tráfego de usuários de outros apps em um dispositivo para fins de monetização, por exemplo: redirecionar o tráfego de publicidade para um país que não seja o do usuário;

Os apps que usam o VpnService precisam:

• documentar o uso dessa classe na página "Detalhes do app";
• criptografar os dados do dispositivo para o endpoint do encapsulamento de VPN;
• obedecer a todas as Políticas do programa para desenvolvedores, incluindo as relacionadas a fraude de anúncio, permissões e malware.

A nova permissão USE_EXACT_ALARM vai ser introduzida para dar acesso à funcionalidade de alarme exato em apps a partir do Android 13 (nível desejado da API 33).

USE_EXACT_ALARM é uma permissão restrita, e os apps só deverão declará-la se o recurso principal deles for compatível com a necessidade de um alarme exato. Os apps que solicitam essa permissão restrita estão sujeitos a revisão, e aqueles que não atenderem aos critérios de caso de uso aceitável não vão ser publicados no Google Play.

Casos de uso aceitáveis para a permissão de alarme exato

Seu app só deverá usar a funcionalidade USE_EXACT_ALARM quando o recurso principal dele voltado para o usuário exigir ações com tempo preciso, por exemplo:

• Apps de alarme ou cronômetro
• Apps de calendário que exibem notificações de eventos

Se seu caso de uso para a funcionalidade de alarme exato não estiver listado acima, avalie a possibilidade de usar SCHEDULE_EXACT_ALARM.

Para mais informações sobre a funcionalidade de alarme exato, consulte estas orientações para desenvolvedores.