Behörigheter och API:er med åtkomst till känsliga uppgifter

Den här artikeln kommer att ändras

Den här artikeln uppdateras med nyligen meddelade ändringar.

I syfte att ge användare en mer integritetsskyddande upplevelse inför vi policyn för foto- och videobehörigheter för att minska antalet appar som har tillåtelse att be om breda foto-/videobehörigheter (READ_MEDIA_IMAGES och READ_MEDIA_VIDEO). Appar får bara komma åt foton och videor för syften som har en direkt koppling till appens funktioner. Appar som sällan, eller bara en gång, behöver åtkomst till filerna ska använda en systemväljare, till exempel fotoväljaren på Android. (gäller från och med den 22 januari 2025)

För att förhandsgranska den uppdaterade artikeln om behörigheter och API:er med åtkomst till känsliga uppgifter besöker du den här sidan.

Förfrågningar om behörighet och API:er med åtkomst till känsliga uppgifter ska vara begripliga för användarna. Du får endast begära behörigheter och API:er med åtkomst till känsliga uppgifter om de krävs för att befintliga funktioner och tjänster i appen som står med i butiksuppgifterna på Google Play ska kunna implementeras. Du får inte använda behörigheter eller API:er med åtkomst till känsliga uppgifter som ger åtkomst till användaruppgifter eller enhetsinformation för syften som inte har uppgetts, inte har implementerats eller inte är tillåtna. Personliga och känsliga uppgifter som du får åtkomst till via behörigheter eller API:er med åtkomst till känsliga uppgifter får aldrig säljas eller delas i syfte att underlätta försäljning.

Begär åtkomstbehörighet till uppgifter och till API:er med åtkomst till känsliga uppgifter när de ska användas (med förfrågningar som görs stegvis) så att användarna förstår varför behörigheten begärs i appen. Uppgifterna ska endast användas för de syften som användaren har gett sitt samtycke till. Om du vid ett senare tillfälle vill använda uppgifterna för andra syften måste du fråga användarna och försäkra dig om att du har deras godkännande till att använda uppgifterna för dessa ytterligare syften.

Begränsade behörigheter

I tillägg till ovanstående är de behörigheter som har markerats med Farlig, Särskild, Signatur eller som beskrivs nedan begränsade. För sådana behörigheter gäller ytterligare krav och begränsningar enligt nedan:

  • Användardata eller enhetsinformation som du fått åtkomst till via begränsade behörigheter anses vara personliga och känsliga användaruppgifter. Kraven i policyn för användaruppgifter gäller.
  • Respektera användarnas beslut om de avvisar en begäran om begränsade behörigheter. Användarna får inte manipuleras eller tvingas att samtycka till behörigheter som inte är absolut nödvändiga. Du måste vidta rimliga åtgärder för att tillmötesgå användare som inte ger åtkomst till känsliga behörigheter (till exempel genom att låta användaren själv ange ett telefonnummer om han eller hon har nekat åtkomst till samtalsloggar).
  • Användning av behörigheter som strider mot Google Plays policyer för skadlig programvara (till exempel otillåten användning av förhöjda behörigheter) är uttryckligen förbjudna.

Vissa begränsade behörigheter omfattas av ytterligare krav enligt nedan. Syftet med dessa begränsningar är att skydda användarnas integritet. Vi kan bevilja undantag från kraven nedan i begränsad utsträckning i de sällsynta fall där en app tillhandahåller en mycket användbar eller viktig funktion och det inte finns alternativa metoder för att tillhandahålla funktionen. Vi väger föreslagna undantag mot eventuell integritets- eller säkerhetspåverkan för användarna.

 

Behörigheter för sms och samtalshistorik

Behörigheter för sms och samtalshistorik anses utgöra personliga eller känsliga användaruppgifter och omfattas av policyn om personliga och känsliga uppgifter och följande begränsningar:

Begränsad behörighet Krav
Behörighetsgruppen Samtalshistorik (t.ex. READ_CALL_LOG, WRITE_CALL_LOG, PROCESS_OUTGOING_CALLS) Appen måste medvetet ha registrerats som standardhanteraren för telefon och assistans på enheten.
Behörighetsgruppen Sms (t.ex. READ_SMS, SEND_SMS, WRITE_SMS, RECEIVE_SMS, RECEIVE_WAP_PUSH, RECEIVE_MMS) Den måste medvetet har registrerats som standardhanteraren för sms och assistans på enheten.

 

Appar som saknar funktioner för standardhantering av sms, telefon eller assistentfunktioner får inte ange i manifestfilen att behörigheterna ovan ska användas. Detta omfattar exempeltext i manifestfilen. Appen måste dessutom medvetet ha registrerats som standardhanterare av sms, telefon eller assistentfunktioner innan användarna uppmanas att godkänna någon av ovanstående behörigheter och måste omedelbart sluta använda behörigheten när den inte längre är standardhanterare. Mer information om tillåten användning och undantag finns på den här sidan i hjälpcentret.

Appar får endast använda behörigheten (och eventuella uppgifter som härrör från behörigheten) i syfte att tillhandahålla godkända grundfunktioner i appen. Med appens grundfunktion avses huvudsyftet för appen. Detta kan utgöras av en uppsättning grundfunktioner som alla måste framhävas i dokumenteringen och lyftas fram i appbeskrivningen. Utan huvudfunktionen går appen sönder eller blir obrukbar. Överföring, delning eller licensierad användning av dessa uppgifter får endast ske i syfte att tillhandahålla grundfunktioner eller tjänster i appen och användningen får inte utökas för något annat syfte (t.ex. för att förbättra andra appar eller tjänster eller för annonsering och marknadsföring). Du får inte använda alternativa metoder (inklusive andra behörigheter, API:er eller tredjepartskällor) för att härleda uppgifter som tillskrivs behörigheter med koppling till samtalshistoriken och sms.

 

Platsbehörigheter

Enhetens plats anses utgöra personliga eller känsliga användaruppgifter och omfattas av policyn om personliga och känsliga uppgifter samt av policyn om platsåtkomst i bakgrunden och följande krav:

  • Appar får inte komma åt data som skyddas med platsbehörigheter (till exempel ACCESS_FINE_LOCATION, ACCESS_COARSE_LOCATION, ACCESS_BACKGROUND_LOCATION) när de inte längre krävs för att befintliga funktioner och tjänster i appen ska kunna användas.
  • Du får aldrig begära platsbehörighet av användarna om annonsering eller analyser är det enda syftet. Appar som utökar den tillåtna användningen av sådan data i syfte att visa annonser måste efterleva vår annonspolicy.
  • Den minsta möjliga omfattningen (t.ex. ungefärlig plats i stället för exakt plats och i förgrunden i stället för i bakgrunden) som behövs för att tillhandahålla den befintliga funktionen eller tjänsten som kräver platsåtkomst ska begäras i appen och användare ska rimligen kunna anta att funktionen eller tjänsten behöver avgöra platsen med precisionen för den nivå som har begärts. Vi kan till exempel ge avslag för appar som begär eller kommer åt plats i bakgrunden utan rimligt skäl.
  • Platsåtkomst i bakgrunden får endast användas för att tillhandahålla funktioner som användaren har nytta av och som hänger ihop med appens huvudfunktion.

Platsåtkomst via behörigheten för förgrundstjänster (när appen bara har platsåtkomst i förgrunden, t.ex. medan appen används) är tillåten om användningen

  • har inletts som en direkt följd av en användarinitierad åtgärd i appen
  • avslutas omedelbart när det avsedda användningsfallet för den användarinitierade åtgärden har slutförts i appen.

Appar som särskilt riktar sig till barn måste följa policyn för Avsett för familjer.

Du hittar mer information om policykraven i den här hjälpartikeln.

 

Behörigheten Åtkomst till alla filer

Filer och katalogattribut på användarnas enheter anses utgöra personliga eller känsliga användaruppgifter och omfattas av policyn om personliga och känsliga uppgifter och följande krav:

  • Appar bör endast begära åtkomst till det lagringsutrymme på enheten som är avgörande för att appen ska fungera och får inte begära åtkomst till enhetens lagringsutrymme på uppdrag av tredje part för något ändamål som inte har någon koppling till appfunktioner som visas för användaren.
  • Android-enheter som kör R eller senare måste ha behörigheten MANAGE_EXTERNAL_STORAGE för att hantera åtkomst i delad lagring. Alla appar som är inriktade på R och begär bred åtkomst till delad lagring (Åtkomst till alla filer) måste godkännas i en lämplig åtkomstgranskning innan de publiceras. Appar som tillåts använda denna behörighet måste tydligt uppmana användarna att aktivera Åtkomst till alla filer för appen under inställningarna Särskild appåtkomst. Du hittar mer information om kraven för R i den här hjälpartikeln.

 

Behörighet att se appaket

Information om vilka appar som finns installerade på en enhet anses utgöra personliga eller känsliga användaruppgifter och omfattas av policyn om personliga och känsliga uppgifter och följande krav:

Appar vars huvudsyfte är att starta, söka efter eller användas ihop med andra appar på enheten kan få behörighet att se andra installerade appar på enheten i den utsträckning som är rimlig enligt beskrivningen nedan:

  • Bred appöverblick: Med bred överblick avses att appen kan se ett flertal appar (”paket”) som finns installerade på en enhet.
    • Appar som är inriktade på API-nivå 30 eller högre tillåts bara att fråga efter många installerade appar via behörigheten QUERY_ALL_PACKAGES i vissa användningsfall då appen inte fungerar utan kännedom om och/eller möjlighet att samverka med alla andra appar på enheten. 
    • Alternativa metoder att få fram ungefär samma resultat som med behörigheten QUERY_ALL_PACKAGES får också bara användas för den huvudfunktion som användaren ser, och för interaktion med den, hos alla appar som går att upptäcka med metoden ifråga.
    • Läs den här artikeln i hjälpcentret om vilka användningsfall som behörigheten QUERY_ALL_PACKAGES är tillåten för.
  • Begränsad appöverblick: Med begränsad överblick avses att appen minimerar åtkomsten till data genom att fråga efter ett närmare bestämt urval appar med hjälp av mer preciserade (till skillnad från breda eller ”svepande”) metoder (t.ex. genom att fråga efter enskilda appar som svarar mot deklarationen i appens manifest). Du kan fråga efter appar med den här metoden om din app interagerar med eller hanterar dessa appar på ett sätt som uppfyller policyns krav. 
  • Möjligheten att se vilka appar som finns installerade på en enhet måste vara direkt relaterad till det huvudsyfte eller den huvudfunktion som användarna ser i appen. 

Data om installerade appar som har sökts fram i appar distribuerade via Play får aldrig säljas eller delas i analyssyfte eller för intäktsgenerering via annonser.

 

Accessibility API

Accessibility API får inte användas till att

  • ändra användares inställningar utan tillstånd eller förhindra att användaren inaktiverar eller avinstallerar en app eller tjänst, om inte en förälder eller vårdnadshavare har godkänt det via en föräldrakontrollsapp eller en administratör har godkänt det via programvara för företagshantering 
  • kringgå Androids inbyggda integritetsinställningar och aviseringar
  • ändra eller använda användargränssnittet på ett sätt som är vilseledande eller på något annat sätt strider mot Google Plays utvecklarpolicyer. 

Accessibility API har inte utformats för och kan inte begäras för fjärrinspelning av samtalsljud. 

Det måste stå att Accessibility API används i butiksuppgifterna på Google Play.

Riktlinjer för IsAccessibilityTool

Appar vars huvudsyfte är att stödja personer med funktionsnedsättning får använda beteckningen IsAccessibilityTool för att klassificera sig offentligt som en tillgänglighetsapp.

Appar som inte uppfyller kraven för IsAccessibilityTool får inte använda den markeringen, men måste ändå uppfylla kraven på tydligt yppande och samtycke som beskrivs i policyn om användaruppgifter eftersom tillgänglighetssyftet inte är uppenbart för användaren. Du hittar mer information i hjälpcenterartikeln för AccessibilityService API.

Appar måste använda API:er och behörigheter med snävare omfång i stället för Accessibility API om det går att uppnå den önskade funktionen. 

 

Begär behörighet att installera paket

Behörigheten REQUEST_INSTALL_PACKAGES ger en app tillåtelse att begära installation av appaket.​​ Om du vill använda den här behörigheten måste appens huvudfunktion

  • inkludera att skicka eller ta emot appaket
  • möjliggöra användarinitierade installationer av appaket.

Tillåtna funktioner inkluderar:

  • surfa eller söka på webben
  • kommunikationstjänster med stöd för bilagor
  • delning, överföring eller hantering av filer
  • enhetshantering för företag
  • säkerhetskopiering och återställning
  • enhetsmigrering/överföring mellan telefoner
  • tillhörande appar för att synkronisera telefonen med en smart accessoar eller IoT-enhet (till exempel en smartklocka eller smart-tv).

Med appens huvudfunktion avses det som appen i första hand är till för. Huvudfunktionen och eventuella funktioner som ingår i den måste vara klart och tydligt dokumenterade och angivna i appens beskrivning.

Behörigheten REQUEST_INSTALL_PACKAGES får inte användas för att utföra självuppdateringar, modifieringar eller paketering av andra APK:er i tillgångsfilen förutom i enhetshanteringssyfte. Alla uppdateringar eller installationer av paket måste följa Google Plays policy för otillåten användning av enheter och nätverk och måste initieras och genomföras av användaren.

 

Behörigheter för Health Connect från Android

Lämplig åtkomst till och användning av Health Connect

Health Connect får bara användas i enlighet med tillämpliga policyer, användarvillkor och för godkända användningsfall som har angetts i den här policyn. Det betyder att du bara får begära åtkomst till behörigheter när din app eller tjänst uppfyller villkoren för något av de godkända användningsfallen.

Godkända användningsområden innefattar: träning och hälsa, belöningar, träningscoachning, företagshälsa, sjukvård, hälsoforskning och spel.

Endast appar eller tjänster med en eller flera funktioner vars syfte är att främja användarnas hälsa och träning tillåts begära åtkomst till Health Connect-behörigheter. Det handlar om följande:

  • appar eller tjänster som gör det möjligt för användarna att direkt logga, rapportera, ha koll på och/eller analysera fysisk aktivitet, sömn, psykisk hälsa, näring, hälsovärden, beskrivningar av kroppen och/eller beskrivningar och mätningar relaterade till hälsa eller träning
  • appar eller tjänster som gör det möjligt för användarna att lagra fysisk aktivitet, sömn, psykisk hälsa, näring, hälsovärden, beskrivningar av kroppen och/eller beskrivningar och mätningar relaterade till hälsa eller träning på enheten.

Tillgång till Health Connect får inte användas i strid mot denna policy eller andra tillämpliga användarvillkor eller policyer för Health Connect, inklusive i följande fall:

  • Använd inte Health Connect i utvecklandet av eller integrering i appar, miljöer eller aktiviteter där användningen eller det felaktiga användandet av Health Connect rimligen kan förväntas leda till dödsfall, personskada, miljöskada eller skada på egendom (som vid uppförandet eller driften av kärnkraftsanläggningar, flygledning, livsuppehållande system eller vapenframställning).
  • Begär inte åtkomst till data som erhållits via Health Connect via fönsterlösa appar. Appen måste ha en lätt igenkännlig ikon som visas i appfältet, enhetens appinställningar, aviseringar osv.
  • Använd inte Health Connect med appar som synkroniserar data mellan inkompatibla enheter eller plattformar.
  • Använd inte Health Connect för att ansluta till appar, tjänster eller funktioner som enbart riktar sig till barn.
  • Vidta rimliga och lämpliga åtgärder för att skydda alla appar eller system som använder sig av Health Connect mot obehörig eller olaglig åtkomst, användning, förstörelse, förlust, ändringar eller yppanden.

Det är också ditt ansvar att alla regler och rättsliga krav som gäller följs, baserat på din avsedda användning av Health Connect och all data från Health Connect. Google stöder inte användningen av och kan inte garantera att data som finns i Health Connect för all typ av användning och syfte (i synnerhet gällande användning inom områdena forskning, hälsa och medicin) stämmer, med undantag för när det uttryckligen står på etiketten eller i informationen som Google tillhandahåller för specifika Google-produkter och -tjänster. Google frånsäger sig all ansvarsskyldighet kopplat till data erhållen genom Health Connect.

Begränsad användning

När du använder Health Connect måste åtkomst och användning av data följa vissa begränsningar:

  • Dataanvändningen bör vara begränsad till att tillhandahålla eller förbättra lämpliga användningsfall eller funktioner som är synliga i appens användargränssnitt.
  • Användaruppgifter får endast överföras till tredje part när användaren uttryckligen har gett samtycke: i säkerhetssyfte (t.ex. för att undersöka otillåten användning), för att följa tillämpliga lagar eller regler eller som en del av sammanslagningar/förvärv.
  • Mänsklig åtkomst till användaruppgifter är begränsad såvida användaren inte uttryckligen ger samtycke, i säkerhetssyfte, för att följa lagar eller när de samlas in för intern verksamhet enligt rättsliga krav.
  • All annan överföring, användning eller försäljning av data från Health Connect är förbjuden, till exempel
    • att överföra eller sälja användaruppgifter till tredje part som annonseringsplattformar, datamäklare eller andra återförsäljare av information
    • att överföra, sälja eller använda användaruppgifter i syfte att visa annonser, inklusive anpassade eller intressebaserade annonser
    • att överföra, sälja eller använda användaruppgifter i syfte att besluta om kreditvärdighet eller för lån
    • att överföra, sälja eller använda användaruppgifter med någon produkt eller tjänst som kan kvalificeras som en medicinteknisk produkt, såvida inte appen för den medicintekniska produkten efterlever alla tillämpliga regler, inklusive att få nödvändiga tillstånd eller godkännanden från relevanta tillsynsorgan (t.ex. FDA i USA) för dess avsedda användning av Health Connect-data, och användaren har gett sitt uttryckliga samtycke för sådan användning
    • att överföra, sälja eller använda användaruppgifter i något syfte eller på ett sätt som involverar Protected Health Information (definierat i HIPAA), om du inte får skriftligt godkännande innan från Google för sådan användning.

Minsta möjliga omfattning

Du får bara begära åtkomst till behörigheterna som behövs för att implementera din produkts funktioner eller tjänster. Sådana åtkomstbegäranden bör vara specifika och begränsade till datan som behövs.

Transparent och exakt meddelande och kontroll

I Health Connect hanteras hälso- och träningsdata, inklusive känsliga uppgifter. Därför måste alla appar ha en omfattande integritetspolicy. Integritetspolicyn måste på ett transparent sätt upplysa om hur appen samlar in, använder och delar användaruppgifter. Utöver rättsliga krav måste utvecklare inkludera följande information i integritetspolicyn:

  • en korrekt beskrivning av appens identitet med en sammanfattning av datan som appen har tillgång till och dess koppling till appens viktiga funktioner eller rekommendationer
  • praxis för lagring och radering av data
  • datahanteringsprocesser (till exempel överföring med modern kryptografi (exempelvis över HTTPS)).

Mer information om krav för appar som kopplas till Health Connect hittar du i denna artikel i hjälpcentret.

 

VPN-tjänst

VpnService är en basklass med vilken appar kan utöka och bygga sina egna VPN-lösningar. Det är bara appar som använder VpnService och har VPN som huvudfunktion som kan skapa en säker tunnel till en fjärrserver på enhetsnivå. Till undantagen räknas appar som kräver en fjärrserver för sin huvudfunktion, till exempel

  • föräldrakontroller och appar för företagshantering
  • spårning av appanvändning
  • appar för enhetssäkerhet (till exempel antivirus, hantering av mobila enheter, brandvägg)
  • nätverksrelaterade verktyg (till exempel fjärråtkomst)
  • webbläsarappar
  • operatörsappar som kräver VPN-funktion för att tillhandahålla telefoni- eller anslutningstjänster.

VpnService kan inte användas för att

  • samla in personliga och känsliga användaruppgifter utan tydlig redogörelse och samtycke
  • omdirigera eller manipulera användartrafik från andra appar på en enhet i syfte att generera intäkter (till exempel genom att omdirigera annonstrafik via ett annat land än det som användaren befinner sig i)

Appar som använder VpnService måste

 

Behörighet för exakt alarm

Vi introducerar en ny behörighet, USE_EXACT_ALARM, som ger åtkomst till funktioner för exakta alarm i appar från och med Android 13 (API-inriktningsnivå 33). 

USE_EXACT_ALARM är en begränsad behörighet och appar får endast deklarera den här behörigheten om det finns stöd för behovet av ett exakt alarm i appens huvudfunktion. Appar som begär den här begränsade behörigheten blir granskade och de som inte uppfyller kriterierna för tillåtna användningsfall får inte publiceras på Google Play.

Tillåtna användningsfall för behörighet att använda exakta alarm

Appen får bara använda USE_EXACT_ALARM-funktionen när appens huvudsakliga, användarriktade funktion kräver att åtgärder sker vid en exakt tid, till exempel när

  • appen är en alarm- eller timerapp
  • appen är en kalenderapp som visar händelseaviseringar.

Om du har ett användningsfall för en exakt alarmfunktion som inte täcks in av ovanstående kan du överväga om SCHEDULE_EXACT_ALARM kan vara ett alternativ.

Läs mer om funktionen för exakta alarm i riktlinjerna för utvecklare.

 

Behörighet för helskärmsintent

USE_FULL_SCREEN_INTENT är en behörighet med särskild appåtkomst för appar inriktade på Android 14 (API-inriktningsnivå 34) eller senare. Appar blir bara automatiskt beviljade behörigheten USE_FULL_SCREEN_INTENT om appens huvudfunktion ingår i en av nedanstående kategorier som kräver aviseringar med hög prioritet:

  • Ställer in ett alarm
  • Tar emot telefon- eller videosamtal

Appar som begär den här behörigheten blir granskade och de som inte uppfyller ovanstående kriterier blir inte automatiskt beviljade den här behörigheten. I sådana fall måste apparna begära behörighet av användaren för att använda USE_FULL_SCREEN_INTENT.

Vi påminner om att all användning av behörigheten USE_FULL_SCREEN_INTENT måste efterleva alla utvecklarpolicyer på Google Play, inklusive våra policyer för oönskad mjukvara på mobila enheter, otillåten användning av enheter och nätverk och annonser. Aviseringar med helskärmsintent får inte störa, skada eller på ett otillåtet sätt få åtkomst till användarens enhet. Dessutom ska appar inte störa andra appar eller enhetens användbarhet.

Läs mer om behörigheten USE_FULL_SCREEN_INTENT i vårt hjälpcenter.

Var det här till hjälp?

Hur kan vi förbättra den?

Behöver du mer hjälp?

Testa detta härnäst:

Sök
Rensa sökning
Stäng sökrutan
Huvudmeny
4916302331362668172
true
Sök i hjälpcentret
true
true
true
true
true
92637
false
false