Permisos i API que accedeixen a informació sensible

Aviat hi haurà canvis en aquest article

Aquest article s'actualitzarà per reflectir-hi els canvis que s'han anunciat recentment.

A fi que els usuaris tinguin una experiència que preservi més la seva privadesa, introduirem la política de permisos de foto i vídeo per reduir el nombre d'aplicacions que poden sol·licitar permisos d'accés ampli a fotos i vídeos (READ_MEDIA_IMAGES i READ_MEDIA_VIDEO). Les aplicacions només poden accedir a fotos i vídeos per a finalitats directament relacionades amb la funcionalitat de l'aplicació. Les aplicacions que tenen una necessitat única o poc freqüent d'accedir a aquests fitxers han d'utilitzar un selector de sistemes, com ara el selector de fotos d'Android. (entrada en vigor el 22 de gener de 2025)

Per previsualitzar la versió actualitzada de l'article "Permisos i API que accedeixen a informació sensible", visita aquesta pàgina.

Les sol·licituds de permisos i d'API que accedeixin a informació sensible han de tenir sentit per als usuaris. Només podeu sol·licitar permisos i API que accedeixin a informació sensible que siguin necessaris per implementar funcions o serveis actuals de l'aplicació que es promocionin a la vostra fitxa de Google Play. No podeu utilitzar permisos o API que accedeixin a informació sensible que doni accés a les dades de l'usuari o del dispositiu per a funcions o finalitats no comunicades, no implementades o no permeses. Les dades personals o sensibles a què es tingui accés mitjançant permisos o API que accedeixin a informació sensible no es poden vendre ni compartir mai amb la finalitat de facilitar la venda.

Sol·liciteu permisos i API per accedir a les dades en context (mitjançant sol·licituds incrementals), de manera que els usuaris entenguin per què la vostra aplicació sol·licita el permís. Utilitzeu les dades només per a les finalitats que l'usuari hagi consentit. Si més tard voleu utilitzar les dades per a altres finalitats, heu de demanar permís als usuaris i assegurar-vos que estan d'acord amb aquests usos addicionals.

Permisos restringits

A més de tot el que s'ha esmentat més amunt, els permisos restringits són permisos designats com a perillosos, especials, de signatura o com es descriu a continuació. Aquests permisos estan subjectes als requisits i a les restriccions addicionals següents:

  • Les dades d'usuari o del dispositiu a què s'accedeixi amb permisos restringits es consideren dades d'usuari personals i sensibles. S'apliquen els requisits de la política de dades d'usuari.
  • Respecteu les decisions dels usuaris si rebutgen una sol·licitud de permís restringit; no podeu manipular ni forçar els usuaris per obtenir el seu consentiment per a un permís no essencial. Heu de fer esforços raonables per adaptar-vos als usuaris que no concedeixen accés a permisos sensibles (per exemple, permetent-los introduir manualment un número de telèfon si han restringit l'accés als registres de trucades).
  • Es prohibeix expressament l'ús de permisos que contravingui les polítiques de programari maliciós de Google Play (inclòs l'ús abusiu dels privilegis elevats).

Pot ser que alguns permisos restringits estiguin subjectes a requisits addicionals, tal com s'indica a sota. L'objectiu d'aquestes restriccions és protegir la privadesa de l'usuari. Podem fer algunes excepcions als requisits següents en casos molt poc freqüents en què les aplicacions proporcionin una funció molt interessant o imprescindible i no hi hagi disponible cap mètode alternatiu per proporcionar-la. Avaluem les excepcions proposades segons l'impacte que puguin tenir en la seguretat o la privadesa dels usuaris.

 

Permisos del servei d'SMS i del registre de trucades

Els permisos del servei d'SMS i del registre de trucades es consideren dades d'usuari personals i sensibles subjectes a la política d'informació personal i sensible i a les restriccions següents:

Permís restringit Requisit
Grup de permisos del registre de trucades (p. ex., READ_CALL_LOG, WRITE_CALL_LOG i PROCESS_OUTGOING_CALLS) Cal que estigui registrat de manera activa com a gestor predeterminat del telèfon o de l'Assistent al dispositiu.
Grup de permisos del servei d'SMS (p. ex., READ_SMS, SEND_SMS, WRITE_SMS, RECEIVE_SMS, RECEIVE_WAP_PUSH i RECEIVE_MMS) Cal que estigui registrat de manera activa com a gestor predeterminat del servei d'SMS o de l'Assistent al dispositiu.

 

Les aplicacions que no tenen funcions de gestor predeterminades del servei d'SMS, del telèfon o de l'Assistent no poden declarar l'ús dels permisos anteriors al manifest. Això inclou el text d'espai reservat al manifest. A més, les aplicacions han d'estar registrades de manera activa com a gestores predeterminades del servei d'SMS, del telèfon o de l'Assistent abans de demanar als usuaris que acceptin cap dels permisos anteriors, i cal que deixin d'utilitzar immediatament el permís quan ja no tinguin la funció de gestores predeterminades. Els usos i les excepcions permesos es poden consultar en aquesta pàgina del Centre d'ajuda.

Les aplicacions només poden utilitzar el permís (i qualsevol dada derivada del permís) per proporcionar la seva funcionalitat bàsica aprovada, que correspon a la finalitat principal de l'aplicació. Pot consistir en un, conjunt de funcions bàsiques, que s'han de promocionar i indicar de manera destacada a la descripció de l'aplicació. Sense les funcions principals, l'aplicació no funciona o queda inservible. Les accions de transferir i compartir aquestes dades, o d'utilitzar-les amb llicència, només es poden dur a terme per proporcionar funcions o serveis bàsics dins de l'aplicació, i aquest ús no es pot fer extensible a cap altra finalitat (p. ex., millorar altres aplicacions o serveis o assolir objectius publicitaris o de màrqueting). No podeu fer servir mètodes alternatius (inclosos altres permisos, API o fonts externes) per derivar les dades atribuïdes als permisos relacionats amb el servei d'SMS o el registre de trucades.

 

Permisos d'ubicació

La ubicació del dispositiu es considera una dada d'usuari personal i sensible subjecta a la política d'informació personal i sensible, a la política d'ubicació en segon pla i als requisits següents:

  • Les aplicacions no poden accedir a dades protegides per permisos d'ubicació (p. ex., ACCESS_FINE_LOCATION, ACCESS_COARSE_LOCATION i ACCESS_BACKGROUND_LOCATION) quan ja no sigui necessari publicar funcions o serveis actuals a l'aplicació.
  • No heu de sol·licitar mai permisos d'ubicació als usuaris amb finalitats únicament publicitàries o d'anàlisi. Les aplicacions que amplien l'ús permès d'aquestes dades per difondre anuncis han de complir la nostra política d'anuncis.
  • Les aplicacions han de sol·licitar el mínim abast que sigui necessari (p. ex., general en comptes de precís i primer pla en comptes de segon pla) per proporcionar la funció o el servei actuals que requereix la ubicació, i els usuaris han d'esperar raonablement que la funció o el servei necessitin el nivell d'ubicació que se sol·licita. Per exemple, podem rebutjar aplicacions que sol·licitin la ubicació en segon pla o hi accedeixin sense una justificació convincent.
  • La ubicació en segon pla només es pot utilitzar per proporcionar funcions útils per a l'usuari i rellevants per a la funcionalitat principal de l'aplicació.

Les aplicacions poden accedir a la ubicació amb el permís de servei en primer pla (quan l'aplicació només té accés en primer pla, per exemple, "mentre estigui en ús") si aquest ús compleix les condicions següents:

  • S'ha iniciat com una continuació d'una acció iniciada per l'usuari des de l'aplicació.
  • Finalitza immediatament després que l'aplicació completi el cas d'ús de l'acció iniciada per l'usuari.

Les aplicacions dissenyades específicament per a nens han de complir la política del programa Dissenyat per a famílies.

Per obtenir més informació sobre els requisits de la política, consulteu aquest article d'ajuda.

 

Permís d'accés a tots els fitxers

Els fitxers i els atributs de directori del dispositiu d'un usuari es consideren dades d'usuari personals i sensibles subjectes a la política d'informació personal i sensible i als requisits següents:

  • Les aplicacions només han de sol·licitar accés a l'emmagatzematge del dispositiu que sigui essencial perquè l'aplicació funcioni, i no hi poden sol·licitar accés en nom de tercers per a cap finalitat que no estigui relacionada amb una funcionalitat essencial de l'aplicació de cara a l'usuari.
  • Els dispositius Android amb la versió R o una versió posterior necessiten el permís MANAGE_EXTERNAL_STORAGE per gestionar l'accés a l'emmagatzematge compartit. Totes les aplicacions orientades a R i que sol·liciten accés ampli a l'emmagatzematge compartit ("Accés a tots els fitxers") han d'aprovar correctament una revisió d'accés adequada abans de publicar-se. Les aplicacions autoritzades a utilitzar aquest permís han de demanar clarament als usuaris que activin l'opció "Accés a tots els fitxers" per a la seva aplicació a la configuració "Accés especial d'aplicacions". Per obtenir més informació sobre els requisits de la versió R, consulteu aquest article d'ajuda.

 

Permís de visibilitat de paquets (aplicacions)

L'inventari d'aplicacions instal·lades consultat des d'un dispositiu es consideren dades d'usuari personals i sensibles subjectes a la política d'informació personal i sensible i als requisits següents:

Les aplicacions que tenen com a objectiu principal iniciar, cercar o interoperar amb altres aplicacions del dispositiu poden obtenir una visibilitat d'altres aplicacions instal·lades al dispositiu, en funció del seu abast, tal com es descriu a continuació:

  • Visibilitat àmplia de l'aplicació: la visibilitat àmplia és la capacitat que té una aplicació d'obtenir una visibilitat elevada ("àmplia") de les aplicacions instal·lades ("paquets") en un dispositiu.
    • En el cas de les aplicacions orientades al nivell d'API 30 o superior, la visibilitat àmplia de les aplicacions instal·lades mitjançant el permís QUERY_ALL_PACKAGES està restringida a casos d'ús concrets en què la notorietat i la interoperabilitat de totes les aplicacions del dispositiu són les necessàries perquè l'aplicació funcioni.
    • L'ús de mètodes alternatius per aproximar-se al nivell de visibilitat àmplia associat al permís QUERY_ALL_PACKAGES també està restringit a la funcionalitat principal de l'aplicació de cara a l'usuari i a la interoperabilitat amb les aplicacions que es descobreixen mitjançant aquest mètode.
    • Consulteu aquest article del Centre d'ajuda per conèixer els casos d'ús permesos per al permís QUERY_ALL_PACKAGES.
  • Visibilitat limitada de l'aplicació: la visibilitat limitada es produeix quan una aplicació minimitza l'accés a les dades consultant aplicacions concretes mitjançant mètodes més segmentats (no "amplis"); per exemple, consultant aplicacions específiques que compleixen la declaració de manifest de l'aplicació. Podeu utilitzar aquest mètode per consultar les aplicacions en casos en què la vostra aplicació ofereix una interoperabilitat que compleix les polítiques o per a la gestió d'aquestes aplicacions.
  • La visibilitat de l'inventari d'aplicacions instal·lades en un dispositiu ha d'estar directament relacionada amb la finalitat o la funcionalitat principals de cara a l'usuari que accedeix a l'aplicació.

Les dades de l'inventari d'aplicacions consultades des d'aplicacions distribuïdes a Play no es poden vendre ni compartir amb finalitats d'anàlisi ni de monetització amb anuncis.

 

API d'accessibilitat

L'API Accessibility no es pot utilitzar per:

  • Canviar la configuració dels usuaris sense el seu permís o impedir la seva capacitat de desactivar o desinstal·lar qualsevol aplicació o servei, tret que el pare, la mare o un tutor ho autoritzi a través d'una aplicació de control parental o que un administrador lícit ho autoritzi a través de programari de gestió empresarial.
  • Eludir notificacions o controls de privadesa integrats a Android.
  • Canviar o utilitzar la interfície d'usuari d'una manera que sigui enganyosa o infringeixi les polítiques per a desenvolupadors de Google Play per un altre motiu.

L'API Accessibility no està dissenyada per gravar àudio de les trucades de manera remota i no es pot sol·licitar amb aquesta finalitat.

L'ús de l'API Accessibility ha d'estar documentat a la fitxa de Google Play.

Directrius per a IsAccessibilityTool

Les aplicacions que tinguin com a funcionalitat principal ajudar directament persones amb discapacitat són aptes per utilitzar IsAccessibilityTool a fi d'indicar de manera pública i adequada que són aplicacions d'accessibilitat.

Les aplicacions que no són aptes per utilitzar IsAccessibilityTool no poden fer servir la marca i han de complir els requisits relacionats amb les comunicacions destacades i el consentiment, tal com es descriu a la política Dades d'usuari, ja que la funcionalitat relacionada amb l'accessibilitat no és evident per a l'usuari. Per obtenir més informació, consulteu l'article del Centre d'ajuda sobre l'API AccessibilityService.

Quan sigui possible, les aplicacions han d'utilitzar API i permisos amb abast més limitat en lloc de l'API Accessibility per aconseguir la funcionalitat desitjada.

 

Permís de sol·licitud d'instal·lació de paquets

El permís REQUEST_INSTALL_PACKAGES permet que una aplicació sol·liciti la instal·lació de paquets de l'aplicació.​​ Per utilitzar aquest permís, la funcionalitat principal de l'aplicació ha d'incloure el següent:

  • Enviar o rebre paquets de l'aplicació.
  • Permetre la instal·lació iniciada per l'usuari de paquets de l'aplicació.

Entre les funcionalitats permeses s'inclouen:

  • La cerca o la navegació web.
  • Els serveis de comunicació que admeten fitxers adjunts.
  • La gestió, transferència o compartició de fitxers.
  • La gestió de dispositius d'empresa.
  • La còpia de seguretat i la restauració.
  • La migració de dispositius i la transferència de telèfons.
  • Una aplicació complementària per sincronitzar el telèfon a un complement connectat o un dispositiu de l'IoT (per exemple, un rellotge intel·ligent o un televisor intel·ligent).

La funcionalitat principal es defineix com la finalitat fonamental de l'aplicació. Tant la funcionalitat principal com totes les funcions principals que l'incloguin s'han de promocionar i documentar de manera destacada a la descripció de l'aplicació.

És possible que el permís REQUEST_INSTALL_PACKAGES no s'utilitzi per dur a terme autoactualitzacions o modificacions ni per crear paquets d'altres APK al fitxer de recursos, tret que sigui amb finalitats de gestió de dispositius. Cal que totes les actualitzacions o instal·lacions de paquets respectin la política d'ús abusiu de dispositius i de xarxes i que les iniciï i controli l'usuari.

 

Permisos de Health Connect by Android

Accés i ús adequats de Health Connect

Salut connectada només es pot fer servir d'acord amb les polítiques i els termes i condicions aplicables, i per als casos d'ús aprovats que s'estableixen en aquesta política. Per tant, només pots sol·licitar accés als permisos quan la teva aplicació o servei s'ajusti a un dels casos d'ús aprovats.

Alguns exemples de casos d'ús aprovats són el fitnes i el benestar, les recompenses, l'entrenament de fitnes, el benestar corporatiu, l'assistència mèdica, la recerca sanitària i els jocs.

Només les aplicacions o serveis amb una o més funcions dissenyades per afavorir la salut i la forma física dels usuaris poden sol·licitar accés als permisos de Salut connectada. Per exemple:

  • Aplicacions o serveis que permeten als usuaris registrar, comunicar, monitorar o analitzar directament l'activitat física, el son, el benestar mental, la nutrició, els mesuraments de salut, les descripcions físiques o altres descripcions i mesuraments relacionats amb la salut o el fitnes.
  • Aplicacions o serveis que permeten als usuaris emmagatzemar l'activitat física, el son, el benestar mental, la nutrició, els mesuraments de salut, les descripcions físiques o altres descripcions i mesuraments relacionats amb la salut i el fitnes al seu dispositiu.

L'accés a Salut connectada no es pot fer servir de manera que infringeixi aquesta política o altres termes i condicions aplicables de Salut connectada, incloses les finalitats següents:

  • No utilitzis Salut connectada per al desenvolupament (ni per a la integració) d'aplicacions, entorns o activitats en què l'ús o una errada de Salut connectada pugui raonablement provocar la mort, lesions personals o danys ambientals o materials (com ara la creació o el funcionament d'instal·lacions nuclears, control del trànsit aeri, equips de manteniment de vida o armes).
  • No accedeixis a les dades obtingudes a través de Salut connectada utilitzant aplicacions sense interfície gràfica. Les aplicacions han de mostrar una icona clarament identificable a la safata d'aplicacions, a la configuració de l'aplicació al dispositiu i a les icones de notificació, etc.
  • No utilitzis Salut connectada amb aplicacions que sincronitzin les dades entre dispositius o plataformes incompatibles.
  • No utilitzis Salut connectada per connectar-te a aplicacions, serveis o funcions que s'adrecin exclusivament al públic infantil.
  • Pren mesures raonables i adequades perquè totes les aplicacions o els sistemes que utilitzin Salut connectada quedin protegits contra l'accés, l'ús, la destrucció, la pèrdua, l'alteració o la comunicació no autoritzats o il·lícits.

També és responsabilitat teva assegurar-te que es compleixin els requisits legals o normatius que es puguin aplicar en funció de l'ús previst de Salut connectada i de les dades de Salut connectada. Tret que s'indiqui explícitament a les etiquetes o a la informació proporcionada per Google per a determinats productes o serveis de Google, Google no recomana l'ús ni garanteix la precisió de les dades incloses a Salut connectada per a cap ús o finalitat i, concretament, per als usos de recerca, salut o medicina. Google renuncia a qualsevol responsabilitat associada amb l'ús de les dades obtingudes a través de Salut connectada.

Ús limitat

Quan s'utilitza Salut connectada, l'accés a les dades i l'ús que se'n fa han de complir limitacions específiques:

  • L'ús de les dades s'ha de limitar a proporcionar o millorar el cas d'ús adequat o les funcions visibles a la interfície d'usuari de l'aplicació.
  • Les dades d'usuari només es poden transferir a tercers amb el consentiment explícit de l'usuari: amb finalitats de seguretat (per exemple, per investigar l'ús abusiu), per complir amb les lleis o normatives aplicables, o com a part de fusions o adquisicions.
  • L'accés humà a les dades d'usuari està restringit, tret que s'obtingui el consentiment explícit de l'usuari, per motius de seguretat, per complir amb les lleis o quan s'agreguin per a operacions internes d'acord amb requisits legals.
  • Es prohibeix qualsevol altra transferència, ús o venda de dades de Salut connectada, incloent-hi:
    • La transferència o venda de dades d'usuari a tercers, com ara plataformes publicitàries, corredors de dades o distribuïdors d'informació.
    • La transferència, venda o ús de dades d'usuari per difondre anuncis, inclosa la publicitat personalitzada o basada en interessos.
    • La transferència, venda o ús de dades d'usuari per determinar la solvència o per a préstecs.
    • La transferència, venda o ús de dades d'usuari amb qualsevol producte o servei que es pugui considerar un dispositiu mèdic, tret que l'aplicació del dispositiu mèdic compleixi tots els reglaments aplicables, com ara obtenir les aprovacions o els permisos necessaris de les autoritats reguladores corresponents (per exemple, l'FDA dels Estats Units) per a l'ús previst de les dades de Salut connectada, i que s'obtingui el consentiment explícit de l'usuari per a aquest ús.
    • La transferència, venda o ús de dades d'usuari amb qualsevol finalitat o d'una manera que comporti informació mèdica protegida (tal com defineix la HIPAA), tret que obtinguis de Google l'aprovació prèvia per escrit d'aquest ús.

Abast mínim

Només has de sol·licitar accés als permisos necessaris per implementar les funcions o els serveis del teu producte. Aquestes sol·licituds d'accés han de ser específiques i limitades a les dades que es necessiten.

Avís i control transparents i precisos

Salut connectada gestiona dades de salut i fitnes, inclosa informació sensible, i requereix que totes les aplicacions tinguin una política de privadesa completa. La política de privadesa ha de comunicar de manera transparent com l'aplicació recull, utilitza i comparteix les dades d'usuari. A més dels requisits legals, els desenvolupadors han d'incloure la informació següent a la política de privadesa:

  • Una representació precisa de la identitat de l'aplicació que descrigui les dades a les quals s'accedeix i la seva connexió amb funcions o recomanacions destacades de l'aplicació.
  • Pràctiques de conservació i supressió de dades.
  • Procediments de tractament de dades, com ara la transmissió mitjançant criptografia moderna (per exemple, a través d'HTTPS).

Per obtenir més informació sobre els requisits de les aplicacions que es connecten a Salut connectada, consulta aquest article del Centre d'ajuda.

 

Servei de VPN

VpnService és una classe base que permet que les aplicacions ampliïn i creïn les seves pròpies solucions de VPN. Només les aplicacions que fan servir VpnService i tenen la VPN com a funcionalitat principal poden crear un túnel segur de nivell de dispositiu cap a un servidor remot. Hi ha excepcions, com ara les aplicacions que necessiten un servidor remot per a la seva funcionalitat principal; per exemple:

  • Aplicacions de control parental i de gestió empresarial
  • Seguiment de l'ús d'aplicacions
  • Aplicacions de seguretat de dispositius (per exemple, antivirus, gestió de dispositius mòbils o tallafoc)
  • Eines relacionades amb la xarxa (per exemple, d'accés remot)
  • Aplicacions de navegació web
  • Aplicacions de l'operador que necessiten utilitzar la funcionalitat de VPN per proporcionar serveis de telefonia o de connectivitat.

VpnService no es pot fer servir per:

  • Recollir dades d'usuari personals i sensibles sense una comunicació destacada i sense consentiment.
  • Redirigir o manipular el trànsit d'usuaris des d'altres aplicacions en un dispositiu per a finalitats de monetització (per exemple, redirigir el trànsit dels anuncis a través d'un país diferent del de l'usuari).

Les aplicacions que fan servir VpnService han de:

 

Permís d'alarma exacta

S'introduirà un nou permís, USE_EXACT_ALARM, que concedirà accés a la funcionalitat d'alarma exacta a les aplicacions a partir d'Android 13 (nivell d'API objectiu 33).

USE_EXACT_ALARM és un permís restringit i les aplicacions només l'han de declarar si la seva funcionalitat principal justifica la necessitat d'una alarma exacta. Les aplicacions que sol·liciten aquest permís restringit estan subjectes a revisió, i no es permetrà que es publiquin a Google Play les aplicacions que no compleixin els criteris dels casos d'ús acceptable.

Casos d'ús acceptable per fer servir el permís d'alarma exacta

La teva aplicació ha de fer servir la funcionalitat USE_EXACT_ALARM només si la funcionalitat principal per als usuaris requereix accions amb precisió temporal, com ara quan:

  • Es tracta d'una aplicació d'alarma o de temporitzador.
  • Es tracta d'una aplicació de calendari que mostra notificacions d'esdeveniments.

Si tens un cas d'ús de la funcionalitat d'alarma exacta que no es menciona més amunt, has de valorar si podries fer servir SCHEDULE_EXACT_ALARM com a alternativa.

Per obtenir més informació sobre la funcionalitat d'alarma exacta, consulta aquestes directrius per a desenvolupadors.

 

Permís d'intent en pantalla completa

USE_FULL_SCREEN_INTENT és un permís especial d'accés a les aplicacions orientades a Android 14 (nivell d'API objectiu 34) o a versions posteriors. Aquest permís només es concedeix automàticament a les aplicacions si la seva funcionalitat principal s'inclou en una de les categories següents que requereixen notificacions d'alta prioritat:

  • Establiment d'una alarma
  • Recepció de trucades telefòniques o videotrucades

Les aplicacions que sol·liciten aquest permís estan subjectes a revisió, i aquest permís no es concedeix automàticament a les aplicacions que no compleixen els criteris esmentats. En aquest cas, les aplicacions hauran de sol·licitar permís de l'usuari per fer servir USE_FULL_SCREEN_INTENT.

Recorda que qualsevol ús que es faci del permís USE_FULL_SCREEN_INTENT ha de complir totes les polítiques per a desenvolupadors de Google Play, incloses les nostres polítiques referents a programari no desitjat per a mòbils, ús abusiu de dispositius i de xarxes i anuncis. Les notificacions d'intent de pantalla completa no poden alterar ni malmetre el dispositiu de l'usuari, ni tampoc interferir-hi o accedir-hi de manera no autoritzada. A més, les aplicacions no haurien d'interferir en altres aplicacions ni en la usabilitat del dispositiu.

Pots obtenir més informació sobre el permís USE_FULL_SCREEN_INTENT al nostre Centre d'ajuda.

Ha estat útil?

Com ho podem millorar?
Cerca
Esborra la cerca
Tanca la cerca
Menú principal
14423271739460531197
true
Cerca al Centre d'ajuda
true
true
true
true
true
92637
false
false