敏感信息访问权限和 API

短信和通话记录属于用户的个人敏感数据，相关权限使用行为必须遵循个人信息和敏感信息政策以及下列限制：

受限权限	要求
通话记录权限组（例如 READ_CALL_LOG、WRITE_CALL_LOG、PROCESS_OUTGOING_CALLS）	必须由用户主动将应用注册为设备的默认电话或助理处理程序。
短信权限组（例如 READ_SMS、SEND_SMS、WRITE_SMS、RECEIVE_SMS、RECEIVE_WAP_PUSH、RECEIVE_MMS）	必须由用户主动将应用注册为设备的默认短信或助理处理程序。

 

如果应用不具备默认短信、电话或助理处理程序功能，就不得在清单（包括清单中的占位文本）中声明需要使用上述权限。此外，只有在用户主动将应用注册为默认短信、电话或助理处理程序的情况下，应用才能向用户提出上述任何权限请求；当应用不再是默认处理程序时，则必须立即停止使用相应权限。如需了解允许的使用情形和例外情况，请访问此帮助中心页面。

应用只能将权限（及其衍生数据）用于提供已获批准的核心应用功能。核心功能即应用的主要用途，可能包含一组核心性质的功能，这些功能必须均已在应用说明中醒目地载明并宣传。如果失去核心功能，应用就会“损坏”或无法使用。您只能基于提供应用核心功能或服务的目的，转移、分享或许可使用此类数据，不能将此类数据用于任何其他用途（例如改进其他应用或服务、投放广告或营销）。您不得使用其他方法（包括其他权限、API 或第三方来源）衍生属于通话记录或短信相关权限约束范围内的数据。

设备位置信息属于用户的个人敏感数据，与之相关的操作必须遵守个人信息和敏感信息政策和“后台位置信息”政策以及下列要求：

• 如果应用不再需要利用受位置信息权限（例如 ACCESS_FINE_LOCATION、ACCESS_COARSE_LOCATION、ACCESS_BACKGROUND_LOCATION）保护的数据来提供应用内的现有功能或服务，就不得再使用这些数据。
• 您不得纯粹出于广告投放或数据分析目的而请求用户授予位置信息权限。如果应用在此类数据的许可用途基础上额外将其用于广告投放目的，则必须遵守我们的广告政策。
• 即使是为了提供现有功能或服务而需要使用位置信息，应用也应请求最小范围的必要权限（即请求获取粗略位置信息而非精确位置信息、前台权限而非后台权限），并且为相应功能或服务所请求的位置权限级别应在用户的合理预期范围内。例如，如果应用请求在后台获取位置信息或有此获取行为，但理由缺乏说服力，我们可能会拒绝该应用。
• 在后台获取的位置信息仅可用于提供对用户有益及与应用核心功能相关的功能。

如果应用仅有前台使用权（例如“在使用时”），则可以使用前台服务权限获取位置信息，前提是：

• 使用此权限是为了完成用户在应用内发起的操作的后续操作；并且
• 此权限使用行为会在应用完成与用户所发起操作相对应的预期使用情形后立即终止。

专门为儿童设计的应用必须遵守亲子同乐计划政策。

如需详细了解政策要求，请参阅这篇帮助文章。

用户设备上的文件和目录属性属于用户的个人敏感数据，相关权限使用行为必须遵循个人信息和敏感信息政策以及下列要求：

• 应用应仅请求访问对其运行至关重要的设备存储空间，而不得出于与面向用户提供的关键应用功能无关的目的，代表任何第三方请求访问设备存储空间。
• 搭载 Android R 或更高版本的 Android 设备要求有 MANAGE_EXTERNAL_STORAGE 权限才能管理对共享存储空间的访问权限。如果应用以 Android R 为目标平台并请求获得对共享存储空间的广泛访问权限（“所有文件访问权限”），则必须在发布前成功通过相应的访问权限审核。若应用获准使用此权限，还必须明确提示用户在“特殊应用权限”设置下为其应用启用“所有文件访问权限”。如需详细了解 Android R 版本的要求，请参阅这篇帮助文章。

从设备上查询到的已安装应用目录信息属于用户的个人敏感数据，与之相关的操作必须遵守个人信息和敏感信息政策以及下列要求：

如果应用的核心用途是启动、搜索设备上的其他应用或与其他应用进行互操作，那么它可以针对设备上所安装的其他应用获取适当范围的可见性权限，具体如下所述：

• 广泛的应用可见性：广泛的可见性是指应用对设备上所安装的应用（“软件包”）具有大范围的（“广泛的”）发现权限。
  • 对于以 API 级别 30 或更高级别为目标环境的应用，通过 QUERY_ALL_PACKAGES 权限获得的已安装应用广泛可见性仅可用于如下特定使用情形：应用需要知晓设备上安装的任何应用或所有应用，并且/或者要与之进行互操作，才能正常发挥作用。 
    • 如果您的应用使用范围更具体的软件包可见性权限声明（例如，查询特定软件包并与之互动，而不是请求广泛的可见性权限）即可正常运作，那么您不得使用 QUERY_ALL_PACKAGES。
  • 如果应用通过其他方法获取的权限近似于与 QUERY_ALL_PACKAGES 关联的广泛可见性级别权限，那么这种权限也仅限用于面向用户的核心应用功能以及与通过该方法发现的应用进行的互操作。
  • 如需了解 QUERY_ALL_PACKAGES 权限的允许使用情形，请参阅这篇帮助中心文章。
• 有限的应用可见性：有限的可见性是指应用利用更具针对性的（而不是“广泛的”）方法查询特定应用（例如，查询与您的应用清单声明相符的特定应用），从而最大限度地减少数据访问。如果您的应用能够以符合政策的方式与这类应用互操作或管理它们，您可以利用此方法来查询这些应用。
• 您的应用对设备上所安装应用的目录信息的可见性权限必须与用户在您的应用中要实现的核心目的或使用的核心功能直接相关。

通过 Play 分发的应用所查询的应用目录数据不得出售，也不得分享给他方来用于分析或广告获利目的。

无障碍功能 API 不能用于：

• 在未经用户许可的情况下更改用户设置或是不让用户停用或卸载任何应用或服务，除非家长或监护人通过家长控制应用授权，或者已获授权的管理员通过企业管理软件授权；
• 规避 Android 内置的隐私控制机制和通知；
• 以具有欺骗性或违反 Google Play 开发者政策的方式更改或利用界面。

Accessibility API 不应用于远程通话录音，应用也不得向该 API 发出此类请求。

必须在 Google Play 商品详情中注明无障碍功能 API 的使用情形。

关于 IsAccessibilityTool 的指南

如果应用的核心功能旨在直接为残障人士提供支持，这些应用可以使用 IsAccessibilityTool，从而以适当方式公开宣称自身为无障碍应用。

如果应用不符合 IsAccessibilityTool 的使用条件，则不得使用该标记，且必须满足“用户数据”政策中所述的“关于提供醒目披露声明与征求用户同意的要求”，因为应用中的无障碍相关功能往往不是显而易见的。如需了解详情，请参阅 AccessibilityService API 帮助中心文章。

应用必须尽可能使用范围更小的 API 和权限来替代无障碍功能 API，以实现所需功能。

若应用取得 REQUEST_INSTALL_PACKAGES 权限，则可以请求安装应用软件包。若要使用该权限，应用的核心功能必须包括以下操作：

• 发送或接收应用软件包；
• 启动由用户发起的应用软件包安装流程。

许可的功能包括：

• 浏览或搜索网页
• 支持附件的通信服务
• 文件共享、传输或管理
• 企业设备管理
• 备份和恢复
• 设备间迁移/手机间传输
• 用于将手机同步到穿戴式设备或 IoT 设备（例如智能手表或智能电视）的配套应用

核心功能是指应用的主要用途。您必须在应用说明中醒目地载明并强调核心功能以及构成核心功能的所有核心特性。

REQUEST_INSTALL_PACKAGES 权限不得用于执行自我更新、修改或在资源文件中捆绑其他 APK，除非是出于设备管理目的。所有更新或软件包安装操作都必须遵守 Google Play 的“设备和网络滥用”政策，并且必须由用户发起和推进。

通过 Health Connect 权限访问的数据属于个人数据及敏感的用户数据，对这些数据的使用必须遵循用户数据政策及以下额外要求：

必须以清晰、易懂的方式请求通过 Health Connect 访问数据。使用 Health Connect 时必须遵守适用的政策、条款及条件，并且只能用于本政策中规定的已获批使用情形。这意味着，只有当应用或服务符合其中一种已获批使用情形时，您才能请求使用相关权限。

可使用 Health Connect 权限的已获批使用情形如下：

• 应用或服务通过界面提供一项或多项有益于用户的健康与健身的功能，允许用户直接记录、报告、监控和/或分析自己的身体活动、睡眠状况、心理健康状况、营养状况、健康测量结果、身体特征说明和/或其他与健康或健身相关的说明和测量结果。
• 应用或服务通过界面提供一项或多项有益于用户的健康与健身的功能，允许用户在手机和/或穿戴式设备上存储自己的身体活动、睡眠状况、心理健康状况、营养状况、健康测量结果、身体特征说明和/或其他与健康或健身相关的说明和测量结果信息，并将数据分享给设备上可满足这些使用情形的其他应用。

Health Connect 是一个通用的数据存储和分享平台，可让用户汇总其 Android 设备上各个来源的健康与健身数据，并与所选第三方分享这些数据。数据来源可能有多种，具体由用户而定。开发者必须评估 Health Connect 是否适用于其预期用途，还必须调查和审核 Health Connect 中用于任何目的（尤其是研究、健康或医疗目的）的任何数据的来源和质量。

• 如果应用使用通过 Health Connect 获取的数据执行与健康相关的人体研究，则必须征求参与者的同意，如果参与者是未成年人，则必须征求其父母或监护人的同意。在征求同意时必须说明以下内容：(a) 研究的性质、目的和持续时间；(b) 参与者将经历的流程、承担的风险以及获得的好处；(c) 与数据的机密性和处理方式（包括与第三方的任何分享行为）有关的信息；(d) 可为参与者解答问题的联系人；以及 (e) 退出研究的流程。如果应用使用通过 Health Connect 获取的数据执行与健康相关的人体研究，则必须获得满足下列条件的独立委员会的批准：1) 以保障参与者的权利、安全和健康为己任；2) 有权审查、修改和批准人体研究。在提出请求时，必须提供此类批准的证明。
• 此外，您还有责任确保遵守可能适用的任何法规或法律要求（根据您对 Health Connect 及 Health Connect 中任何数据的预期用途）。除非 Google 在针对特定 Google 产品或服务提供的标签或信息中明确指明，否则 Google 不为将 Health Connect 中包含的任何数据用于任何用途或目的（尤其是研究、健康或医疗用途）的行为背书，也不保证这些数据的准确性。对于使用通过 Health Connect 获取的数据的相关行为，Google 概不承担任何责任。

在将 Health Connect 用于适当用途时，若要使用通过 Health Connect 访问的数据，还必须遵守以下要求。这些要求适用于从 Health Connect 获取的原始数据，以及通过原始数据得到的汇总数据、去标识化数据或衍生数据。

• 只能将 Health Connect 数据用于实现适当的使用情形，或者提供或改进在发出请求的应用的界面中以醒目方式显示的功能。
• 仅在以下情况下才能向第三方传输用户数据：
  • 为了实现适当的使用情形，或者提供或改进在发出请求的应用的界面中清晰可见的功能（仅在征得用户同意的前提下）；
  • 出于安全考虑（例如调查滥用行为），有必要传输相关数据；
  • 相应行为遵守适用的法律和/或法规；或者
  • 在事先征得用户明确同意的前提下，将用户数据作为开发者资产的一部分进行合并、收购或出售。
• 除以下情形外，禁止真人读取用户数据：
  • 已就读取特定数据的行为征得用户的明确同意；
  • 出于安全考虑（例如调查滥用行为），有必要传输相关数据；
  • 相应行为遵守适用的法律；或者
  • 数据（包括衍生数据）已按照适用的隐私权法律要求和所在管辖区内的其他法律要求进行汇总，并且用于内部运营。

禁止任何其他传输、使用或出售 Health Connect 数据的行为，包括：

• 向第三方（如广告平台、数据代理商或任何信息转销商）传输或出售用户数据。
• 以投放广告（包括投放个性化广告或针对用户兴趣投放广告）为目的传输、出售或使用用户数据。
• 以确定用户的信誉度或进行贷款为目的传输、出售或使用用户数据。
• 向可能被认定为医疗设备（根据《联邦食品、药品和化妆品法案》第 201(h) 节的相关规定）的任何产品或服务传输、出售用户数据或在此类设备上使用用户数据（如果相应医疗设备将使用用户数据执行受监管的功能）。
• 出于任何目的或通过任何方式传输、出售或使用涉及受保护健康信息（根据《健康保险流通与责任法案》(HIPAA) 的定义）的用户数据（除非事先已获得 Google 对于此类使用行为的书面批准）。

不得在违反本政策或者其他适用的 Health Connect 条款及条件或政策的情况下访问 Health Connect，包括将其用于以下目的：

• 如果可以合理预见到，在应用、环境或活动中使用 Health Connect 或相关故障可能会导致人员伤亡、环境破坏或财产损失，则不得将 Health Connect 用于开发这类应用、环境或活动，也不得将其纳入此类应用、环境或活动中（例如建设或操作核设施、空中交通管制系统、生命支持系统或武器）。
• 不得使用无头应用访问通过 Health Connect 获取的数据。应用必须在应用托盘、设备应用设置、通知图标等位置显示清晰可辨的图标。
• 不得将 Health Connect 与在不兼容的设备和平台之间同步数据的应用一起使用。
• Health Connect 不得与仅面向儿童的应用、服务或功能相连接。Health Connect 未获准用于主要面向儿童的服务。

必须在您的应用或属于您的 Web 服务/应用的网站上明确披露，声明您对 Health Connect 数据的使用将遵守“有限使用”限制；例如，在首页提供指向专门页面或隐私权政策的链接，并在其中说明：“使用从 Health Connect 获得的信息时，将遵守“Health Connect 权限”政策，包括‘有限使用’要求”。

您只能请求使用对于实现应用或服务的功能至关重要的权限。

这意味着：

• 不能请求访问您不需要的信息。仅请求使用为实现产品的功能或服务而必须具备的权限。如果您的产品无需使用特定权限，您就不得请求使用这些权限。

Health Connect 会处理健康与健身数据，包括个人信息和敏感信息。所有应用和服务必须包含隐私权政策，其中必须详尽地披露您的应用或服务如何收集、使用和分享用户数据。这包括：会与哪些类型的对象分享任何用户数据、您会如何使用数据、您会如何存储和保护数据，以及当帐号停用并/或删除后会如何处理数据。

除了适用法律的要求之外，您还必须遵守以下要求：

• 您必须提供披露声明，说明您对数据的获取、收集、使用和分享行为。披露声明必须满足以下条件：
  • 必须准确表明要访问用户数据的应用或服务的身份；
  • 必须提供清晰准确的信息，说明要访问、请求和/或收集的数据类型；
  • 必须说明数据的使用和/分享方式：如果您出于某种原因请求数据，但也会将数据用于另一目的，则必须向用户告知这两种使用情形。
• 您必须向用户提供帮助文档，让用户了解应如何在您的应用中管理和删除他们的数据。

您必须以安全无虞的方式处理所有用户数据。采取合理且适当的措施来保护使用 Health Connect 的所有应用或系统，以免遭到未经授权或非法的访问、使用、损坏、丢失、篡改或披露。

建议的安全做法包括，实施并维护信息安全管理系统（如 ISO/IEC 27001 中所述），并确保您的应用或 Web 服务稳定可靠，且不存在“OWASP 十大风险”中所列的常见安全问题。

根据要访问的 API 以及用户授权数量或用户人数，Google 将要求您的应用或服务接受定期安全评估；如果您的产品是从用户自己的设备传输数据，则必须从指定的第三方获取评估文件。

如需详细了解针对连接至 Health Connect 的应用的要求，请参阅这篇帮助文章。

VpnService 是供应用扩展和构建自己的 VPN 解决方案的基类。只有使用 VpnService 并将 VPN 作为其核心功能的应用才能创建指向远程服务器的安全设备级隧道。例外情况包括需要远程服务器来实现核心功能的应用，例如：

• 家长控制和企业管理应用。
• 应用使用情况跟踪。
• 设备安全性应用（例如防病毒、移动设备管理、防火墙）。
• 与网络相关的工具（例如远程访问）。
• 网络浏览应用。
• 需要利用 VPN 功能来提供电话或连接服务的运营商应用。

VpnService 不能用于：

• 在未提供醒目披露声明和未征得用户同意的情况下收集个人数据和敏感用户数据。
• 出于变现目的重定向或操控来自某个设备上其他应用的用户流量（例如，重定向广告流量，使之流经与用户所在国家/地区不同的国家/地区）。

使用 VpnService 的应用必须：

• 在 Google Play 商品详情中注明 VpnService 的使用情形；
• 必须加密从设备到 VPN 隧道端点的数据；
• 遵守所有开发者计划政策，包括广告欺诈、权限和恶意软件政策。 

系统将引入一个新的权限 USE_EXACT_ALARM，用于向以 Android 13（目标 API 级别 33）或更高版本为目标平台的应用授予对精确闹钟功能的访问权限。

USE_EXACT_ALARM 是一项受限权限，应用只有在其核心功能支持精确闹钟需求的情况下才能声明此权限。请求此受限权限的应用需要接受审核；如果应用不符合可接受的用例标准，则不允许在 Google Play 上发布。

使用精确闹钟权限的可接受用例

仅当应用面向用户的核心功能需要精确计时的操作时，应用才必须使用 USE_EXACT_ALARM 功能，例如：

• 应用是闹钟或计时器应用。
• 应用是显示事件通知的日历应用。

如果您有上文未涵盖的精确闹钟功能用例，则应评估能否选择使用 SCHEDULE_EXACT_ALARM 作为替代方案。

如需详细了解精确闹钟功能，请参阅此开发者指南。