Дозволи й інтерфейси API із доступом до чутливої інформації

Невдовзі цю статтю буде змінено

Цю статтю буде оновлено відповідно до нещодавно оголошених змін.

Ми впроваджуємо правила щодо дозволів на доступ до фото й відео, щоб краще захистити конфіденційні дані користувачів, зменшивши кількість додатків, які можуть запитувати дозвіл на необмежений доступ до фото й відео (READ_MEDIA_IMAGES і READ_MEDIA_VIDEO). Додаток може запитувати дозвіл на доступ до фото й відео, лише якщо це безпосередньо пов’язано з роботою його функцій. У додатках, які потребують разового чи епізодичного доступу до таких файлів, рекомендовано використовувати системні інструменти (наприклад, вибір фото на пристроях Android). (дата набуття чинності: 22 січня 2025 р.)

Щоб переглянути оновлену версію статті "Дозволи й інтерфейси API із доступом до чутливої інформації", відвідайте цю сторінку.

Запити на дозволи й інтерфейси API із доступом до чутливої інформації мають бути зрозумілі користувачам. Можна запитувати лише дозволи й інтерфейси API із доступом до чутливої інформації, які потрібні для забезпечення наявних функцій або сервісів додатка. Такі функції та сервіси має бути вказано на сторінці додатка в Google Play. Не можна запитувати дозволи й інтерфейси API із доступом до чутливої інформації, які надають доступ до даних про користувачів і пристрої, для прихованих, непідтримуваних або заборонених функцій чи цілей. Персональні або чутливі дані, отримані за допомогою дозволів або інтерфейсів API, за жодних обставин не можна продавати або передавати з метою подальшого продажу.

Запитуйте дозволи й інтерфейси API із доступом до чутливої інформації, щоб отримувати дані в контексті (у міру виникнення потреби в них). Так користувачі розумітимуть, навіщо додатку ці дозволи. Використовуйте дані лише для цілей, на які користувач надав згоду. Якщо пізніше ви захочете використовувати дані для інших цілей, ви повинні отримати додаткову згоду на це від користувачів.

Обмежені дозволи

До обмежених належать дозволи з категорії небезпечних, спеціальнихзалежних від підпису сертифіката або як зазначено нижче. Крім уже згаданих вимог, на ці дозволи поширюються вказані нижче додаткові умови й обмеження.

  • Відомості про користувача та пристрій, отримані за допомогою обмежених дозволів, вважаються персональними й чутливими даними користувачів, на які поширюються вимоги правил щодо даних користувачів.
  • Поважайте рішення користувачів відхилити запит на обмежений дозвіл. Заборонено спонукати або змушувати користувачів надати будь-який дозвіл, що не є цілком необхідним. Слід також вжити обґрунтованих заходів, щоб забезпечити функції та сервіси користувачам, які відмовилися надавати дозвіл на доступ до чутливих даних (наприклад, користувачі, які відмовилися надати доступ до журналу викликів, можуть ввести номер телефону вручну).
  • Використовувати дозволи з порушенням правил Google Play щодо зловмисного програмного забезпечення (зокрема, зловживати розширеними повноваженнями) суворо заборонено.

На певні обмежені дозволи можуть поширюватися наведені нижче додаткові вимоги, призначені захищати конфіденційність користувачів. Дуже рідко ми можемо робити винятки щодо цих вимог, якщо додатки мають надзвичайно корисну або важливу функцію, яку не можна забезпечити іншим способом. Ми враховуємо потенційний вплив запропонованих винятків на конфіденційність або безпеку користувачів.

 

Дозволи на доступ до SMS і журналу викликів

SMS і журнали викликів належать до персональних та конфіденційних даних користувачів, тому дозволи на доступ до них регулюються правилами про особисту й конфіденційну інформацію та вказаними нижче обмеженнями.

Обмежений дозвіл Вимоги до додатка
Група дозволів на доступ до журналу викликів (наприклад, READ_CALL_LOG, WRITE_CALL_LOG, PROCESS_OUTGOING_CALLS) Повинен мати дійсну реєстрацію на пристрої як обробник за умовчанням для телефонних викликів або запитів Асистента.
Група дозволів на доступ до SMS (наприклад, READ_SMS, SEND_SMS, WRITE_SMS, RECEIVE_SMS, RECEIVE_WAP_PUSH, RECEIVE_MMS) Повинен мати дійсну реєстрацію на пристрої як обробник за умовчанням для SMS або запитів Асистента.

 

Додатки, які не мають функцій обробника за умовчанням для SMS, телефонних викликів і запитів Асистента, не можуть заявляти про наведені вище дозволи в маніфесті (зокрема, у тексті заповнювачів). Крім того, перш ніж запитувати вказані дозволи, додаток має бути зареєстрований як обробник SMS, телефонних викликів або запитів Асистента за умовчанням і має негайно припиняти використовувати дозволи, коли перестає бути обробником за умовчанням. Дозволені способи використання та винятки можна переглянути на цій сторінці довідкового центру.

Додатки можуть використовувати дозвіл (і будь-які дані, отримані за його допомогою), лише щоб забезпечувати роботу своїх схвалених основних функцій. Основні функції – це головна мета, з якою розроблено додаток. Таких функцій може бути кілька, і про них має бути чітко заявлено в описі додатка. Без них додаток вважатиметься "зламаним" або непридатним. Дані можна передавати, розповсюджувати й ліцензовано використовувати, лише щоб забезпечувати основні функції й сервіси додатка. Розширити сферу їх застосування не можна (як-от для покращення інших додатків або сервісів, реклами чи маркетингу). Не можна використовувати альтернативні методи, зокрема інші дозволи, API або джерела третіх сторін, щоб отримати дані, пов'язані з дозволами на доступ до журналу викликів чи SMS.

 

Дозвіл на доступ до геоданих

Місцезнаходження пристрою належить до персональних і чутливих даних користувачів, тому дозвіл на доступ до нього регулюється правилами про особисту й конфіденційну інформацію та доступ до геоданих у фоновому режимі, а також вказаними нижче обмеженнями.

  • Додатки не можуть отримувати доступ до геоданих, захищених дозволами (як-от ACCESS_FINE_LOCATION, ACCESS_COARSE_LOCATION, ACCESS_BACKGROUND_LOCATION), якщо вони більше не потрібні для забезпечення наявних функцій або сервісів додатка.
  • Заборонено запитувати в користувача дозвіл на доступ до геоданих лише для показу реклами або отримання статистики. Додатки, які отримують доступ до цих даних із метою показу реклами, мають відповідати нашим правилам розміщення реклами.
  • Додатки мають використовувати геодані в найменшому потрібному обсязі (наприклад, запитувати приблизне місцезнаходження замість точного та не робити цього у фоновому режимі), що дає змогу забезпечувати роботу наявних функцій чи сервісів, яким потрібні дані про місцезнаходження, а користувачі мають знати, що функції або сервісу потрібен такий рівень доступу до геоданих. Наприклад, ми можемо відхиляти додатки, які запитують або отримують доступ до геоданих у фоновому режимі без переконливого обґрунтування.
  • Доступ до геоданих у фоновому режимі можна отримувати, лише щоб надавати важливі для користувача функції, пов’язані з основним призначенням додатка.

Додатки можуть отримувати доступ до геоданих за допомогою дозволів активних сервісів (якщо додатку дозволено лише доступ в активному режимі, наприклад "лише під час використання"), якщо таке використання:

  • ініційовано як продовження дії, яку розпочав користувач;
  • завершиться, щойно додаток виконає таку дію.

Додатки, розроблені спеціально для дітей, мають відповідати правилам програми Для всієї сім’ї.

Щоб дізнатися більше про вимоги правил, прочитайте цю довідкову статтю.

 

Дозвіл на доступ до всіх файлів

Файли й папки на пристроях користувачів належать до їхніх персональних і конфіденційних даних, тому дозволи на доступ до них регулюються правилами про особисту й конфіденційну інформацію та вказаними нижче обмеженнями.

  • Додатки мають запитувати дозвіл на доступ до пам'яті пристрою, лише якщо це необхідно для забезпечення їх основних функцій. Заборонено запитувати такий дозвіл від імені третіх сторін, якщо він потрібен для роботи лише додаткових функцій.
  • На пристроях з ОС Android R або пізніших версій потрібен дозвіл MANAGE_EXTERNAL_STORAGE, який забезпечує керування доступом до спільної пам'яті. Перед публікацією всі націлені на версію R додатки, які запитують дозвіл на необмежений доступ до спільного сховища ("Доступ до всіх файлів"), мають пройти відповідну перевірку. У додатку, де можна використовувати цей дозвіл, має з'являтися чітка вказівка вибрати для нього опцію "Доступ до всіх файлів" у розділі налаштувань "Спеціальний доступ для додатка". Щоб дізнатися більше про вимоги у версії R, прочитайте цю довідкову статтю.

 

Дозвіл на перегляд пакетів (додатків)

Список установлених додатків, який переглядається з пристрою, належить до персональних і конфіденційних даних користувачів, доступ до яких регулюється правилами про особисту й конфіденційну інформацію та вказаними нижче вимогами.

Додатки, основною метою яких є пошук чи запуск інших додатків на пристрої або взаємодія з ними, можуть у відповідних випадках переглядати список додатків, установлених на пристрої, як зазначено нижче.

  • Широка видимість додатків: здатність додатка бачити інші додатки ("пакети"), установлені на пристрої.
    • Для додатків, націлених на рівень API 30 або вище, можливість перегляду списку встановлених додатків і взаємодії з ними, що надається за дозволом QUERY_ALL_PACKAGES, обмежено певними прикладами використання, коли без такого дозволу додаток не може працювати.
    • Використовувати інші способи наближення до рівня широкої видимості, пов'язані з дозволом QUERY_ALL_PACKAGES, також дозволено, лише якщо інакше додаток не зможе виконувати свої основні функції для користувачів і взаємодіяти з будь-якими додатками, виявленими цим способом.
    • Щоб дізнатися про дозволені приклади використання дозволу QUERY_ALL_PACKAGES, прочитайте цю статтю довідкового центру.
  • Обмежена видимість додатків: обмежений доступ до даних про конкретні додатки з використанням точніших запитів (замість "широкого" доступу), наприклад надсилання запитів на ті додатки, що відповідають заявленому маніфесту вашого додатка. Цей спосіб можна використовувати, щоб надсилати запити на додатки, якщо ваш додаток може з ними взаємодіяти чи керувати ними відповідно до правил.
  • Видимість списку встановлених на пристрої додатків має бути напряму пов'язано з основною метою або функцією вашого додатка для його користувачів.

Дані про список додатків, отримані з додатків, що розповсюджуються в Google Play, заборонено продавати або передавати для потреб аналітики чи монетизації реклами.

 

Accessibility API

Інтерфейс Accessibility API не можна використовувати, щоб:

  • змінювати налаштування користувачів без їхнього дозволу або унеможливлювати вимкнення чи видалення додатків і сервісів (лише якщо дозвіл не надали батько або мати чи опікун через додаток для батьківського контролю або вповноважені адміністратори через програмне забезпечення для корпоративного керування); 
  • обходити вбудовані налаштування конфіденційності та сповіщення Android;
  • змінювати або використовувати інтерфейс так, що це вводить в оману користувачів або інакше порушує правила для розробників Google Play. 

Accessibility API не було створено для віддаленого запису дзвінків, і його не можна викликати для цього. 

Про використання інтерфейсу Accessibility API потрібно вказувати на сторінці додатка в Google Play.

Вказівки щодо використання атрибута IsAccessibilityTool

Додатки, основна функція яких полягає в наданні безпосередньої допомоги людям з інвалідністю, можуть використовувати атрибут IsAccessibilityTool, щоб їх можна було обґрунтовано визначати як додатки зі спеціальними можливостями.

У додатках, які не можуть використовувати атрибут IsAccessibilityTool, наявність спеціальної мітки не обов’язкова, однак вони мають відповідати вимогам до чіткого повідомлення про використання персональних даних і отримання згоди, які наведено в правилах щодо даних користувачів, оскільки таке використання не очевидне. Щоб дізнатися більше, прочитайте статтю Довідкового центру про AccessibilityService API.

Щоб забезпечити роботу потрібних функцій, замість Accessibility API використовуйте в додатках дозволи й інтерфейси API із більшими обмеженнями (якщо можливо). 

 

Дозвіл REQUEST_INSTALL_PACKAGES

Дозвіл REQUEST_INSTALL_PACKAGES дає змогу додатку надсилати запити на встановлення пакетів додатків. Використовувати цей дозвіл можуть лише додатки з такими основними призначеннями:

  • надсилання й отримання пакетів додатків;
  • встановлення пакетів додатків за командою користувача.

Дозволені функції:

  • перегляд веб-сторінок або пошук;
  • обмін повідомленнями з можливістю долучати файли;
  • передавання й спільне використання файлів, а також керування ними;
  • керування корпоративними пристроями;
  • резервне копіювання й відновлення;
  • перенесення даних між пристроями;
  • синхронізація даних між телефоном і пристроєм, який можна носити, або пристроєм із категорії "Інтернет речей" (наприклад, розумним годинником чи телевізором Smart TV) за допомогою супутнього додатка.

Основне призначення додатка, а також усі функції, які забезпечують його виконання, мають бути чітко зазначені в описі додатка.

Дозвіл REQUEST_INSTALL_PACKAGES не можна використовувати для автоматичного оновлення, змінення або об’єднання інших файлів APK у файлі об’єктів, крім випадків із керуванням пристроєм. Оновлення й встановлення пакетів потрібно виконувати відповідно до правил Google Play щодо зловживання пристроєм і мережею та лише з ініціативи й під контролем користувача.

 

Дозволи Health Connect by Android

Дозволені сценарії отримання доступу до даних Health Connect і їх використання

Використовувати Health Connect можна лише відповідно до правил і умов, а також у схвалених сценаріях, викладених у цих правилах. Це означає, що ваш додаток або сервіс може запитувати доступ до цієї платформи тільки в перелічених нижче випадках.

До схвалених сценаріїв належать спостереження за фізичною активністю й станом здоров’я, винагороди, тренерська діяльність, оздоровлення працівників, охорона здоров’я, медичні дослідження й ігри.

Запитувати доступ до даних Health Connect можуть лише додатки або сервіси, що мають одну або кілька функцій, призначених сприяти фізичній активності й оздоровленню користувачів. Нижче наведено приклади.

  • Додатки й сервіси, за допомогою яких користувачі можуть безпосередньо реєструвати, включати у звіти, відстежувати й аналізувати дані про свою фізичну активність, сон, психічне здоров’я, харчування, а також медичні чи фізіологічні показники й інші аналогічні відомості.
  • Додатки й сервіси, за допомогою яких користувачі можуть зберігати дані про свою фізичну активність, сон, психічне здоров’я, харчування, а також медичні чи фізіологічні показники й інші аналогічні відомості на пристрої.

Забороняється отримувати доступ до даних Health Connect із порушенням цих правил або інших чинних умов чи правил використання платформи Health Connect, зокрема:

  • для розробки додатків, середовищ або операцій чи для інтеграції в них таких даних, якщо використання Health Connect або збій у роботі платформи можуть із високою ймовірністю призвести до смерті, травми, шкоди для довкілля чи майна (наприклад, для створення або експлуатації атомних електростанцій, у системах керування польотами, системах життєзабезпечення або озброєнні);
  • у додатках без графічного інтерфейсу (легко впізнаваний значок додатка має показуватися на панелі додатків, у налаштуваннях додатків на пристрої, на панелі сповіщень тощо);
  • у додатках, які синхронізують дані між несумісними пристроями або платформами;
  • у додатках, сервісах або функціях, які націлюються лише на дітей.
  • Вживайте належних заходів для захисту даних Health Connect, які використовуються в додатках і системах, а також від несанкціонованого й незаконного доступу, використання, знищення, утрати, змінення або розголошення.

Ви також повинні дотримуватися всіх юридичних і нормативних вимог, які можуть стосуватися вашого запланованого використання Health Connect і будь-яких даних із Health Connect. Якщо в наданому Google маркуванні або інформації для конкретних продуктів і сервісів Google чітко не вказано інше, Google не гарантує точності даних Health Connect і не схвалює їх використання для будь-якої мети, зокрема медичного дослідження, моніторингу здоров’я чи виконання інших подібних завдань. Google відмовляється від будь-якої відповідальності, пов’язаної з використанням даних Health Connect.

Обмежене використання

Під час роботи з Health Connect доступ до даних і їх використання мають відбуватися з урахуванням наведених нижче обмежень.

  • Дані можна використовувати лише для забезпечення або покращення роботи функцій і можливостей, наявних в інтерфейсі додатка.
  • Дані користувача можна передавати третім особам лише за його чіткої згоди з міркувань безпеки (наприклад, для розслідування порушень), для дотримання чинних законів і нормативних актів або в рамках об’єднання сервісу чи його продажу.
  • Доступ людей до даних користувача можливий лише за його чіткої згоди з міркувань безпеки, для дотримання чинних законів або в рамках об’єднання даних для внутрішніх операцій відповідно до юридичних вимог.
  • Забороняється передавання, використання або продаж даних Health Connect із будь-якими іншими цілями, зокрема:
    • третім сторонам, наприклад рекламним платформам, брокерам даних і іншим продавцям інформації;
    • для показу реклами, включно з персоналізованими оголошеннями й рекламою на основі інтересів;
    • для визначення платоспроможності чи надання кредиту;
    • для забезпечення роботи будь-якого продукту чи сервісу, що може належати до медичних пристроїв, якщо додаток медичного пристрою не відповідає всім вимогам чинного законодавства, зокрема щодо отримання від відповідних регуляторів (наприклад, Управління із санітарного нагляду за якістю харчових продуктів і медикаментів США (FDA)) необхідних дозволів використовувати дані Health Connect у цьому додатку, і якщо користувач не надав чіткої згоди на таке використання;
    • у будь-яких цілях або в будь-який спосіб, що передбачає використання захищеної медичної інформації (див. визначення в Законі США "Про звітність і безпеку медичного страхування" (HIPAA)), якщо від Google заздалегідь не було отримано письмовий дозвіл на таке використання.

Мінімальний доступ до даних

Надсилайте запити лише на ті дозволи, які необхідні для належної роботи функцій або сервісів у вашому продукті. Такі запити мають бути конкретні й стосуватися лише даних, без доступу до яких не обійтися.

Зрозумілі й точні заява та опис

Health Connect керує даними про здоров’я і фізичну активність (включно із чутливою інформацією), тому всі додатки, які отримують доступ до цієї платформи, мають містити вичерпну політику конфіденційності. У цьому документі має бути чітко описано, як додаток збирає, використовує і передає дані користувачів. Крім положень, які продиктовано юридичними вимогами, розробники повинні включити в політику конфіденційності таку інформацію:

  • про сутність додатка, зокрема про дані, до яких він отримує доступ, і те, як це пов’язано з основним призначенням додатка або рекомендаціями;
  • про зберігання й видалення даних;
  • про процедури обробки даних, наприклад передавання за допомогою сучасних способів шифрування (як-от HTTPS).

Щоб дізнатися більше про вимоги до додатків, які підключаються до Health Connect, прочитайте цю статтю Довідкового центру.

 

Сервіс VPN

VpnService – це основний клас додатків, на основі якого розробники можуть створювати власні VPN-сервіси. Лише додаткам, які використовують клас VpnService і основною функцією яких є доступ до мережі VPN, дозволяється створювати захищене з’єднання з віддаленим сервером на рівні пристроїв. До винятків належать додатки, що потребують зв’язку з віддаленим сервером для виконання основних функцій, наприклад:

  • додатки для батьківського контролю та корпоративного керування;
  • додатки, призначені відстежувати використання інших додатків;
  • додатки для безпеки пристрою (наприклад, антивірус, керування мобільними пристроями, брандмауер);
  • мережеві інструменти (наприклад, віддалений доступ);
  • додатки для перегляду веб-сторінок;
  • додатки мобільних операторів, яким потрібні функції VPN-мережі для надання послуг телефонії або зв’язку.

Клас VpnService не можна використовувати для наведених нижче дій.

  • Збирання особистих і чутливих даних користувачів без попередньої згоди й повідомлення про їх використання.
  • Переспрямування користувацького трафіку з інших додатків на пристрої або маніпуляції цим трафіком із метою покращення монетизації (наприклад,переспрямування рекламного трафіку через країну, відмінну від країни користувача).

Додатки, у яких застосовано клас VpnService, повинні:

 

Дозвіл USE_EXACT_ALARM

Ми впроваджуємо новий дозвіл USE_EXACT_ALARM, який надаватиме доступ до функції точного будильника в додатках, починаючи з Android 13 (цільовий рівень API 33). 

USE_EXACT_ALARM – це обмежений дозвіл, і його декларація вимагається для додатків, яким точний будильник потрібен для виконання основної функції. Додатки, які надсилають запит на отримання цього обмеженого дозволу, підлягають перевірці на відповідність Правилам прийнятного використання. Додатки, що не пройдуть цю перевірку, не буде допущено до публікації в Google Play.

Приклади прийнятного використання дозволу USE_EXACT_ALARM

Ваш додаток має використовувати дозвіл USE_EXACT_ALARM, тільки якщо його основна функція, орієнтована на користувачів, потребує виконання певних дій у точний час, наприклад:

  • додаток є будильником або таймером;
  • додаток є календарем, який показує сповіщення про події.

Якщо ваш додаток застосовує функцію точного будильника для інших цілей, які не наведено вище, радимо скористатись альтернативним дозволом SCHEDULE_EXACT_ALARM.

Щоб дізнатися більше про функцію точного будильника, ознайомтеся з цими рекомендаціями для розробників.

 

Дозвіл на використання намірів для показу повноекранних сповіщень

Для додатків, націлених на Android 14 (API 34-го цільового рівня) і новіших версій, USE_FULL_SCREEN_INTENT – це дозвіл на спеціальний доступ. Дозвіл USE_FULL_SCREEN_INTENT надається автоматично лише додаткам, основне призначення яких належить до однієї з цих категорій, які передбачають високопріоритетні сповіщення:

  • налаштування будильника;
  • отримання голосових або відеодзвінків.

Додатки, які надсилають запит на отримання цього дозволу, проходять перевірку. Якщо вони не відповідають наведеним вище вимогам, то не отримують дозволу автоматично. У такому разі застосовувати дозвіл USE_FULL_SCREEN_INTENT можна лише за згодою користувача.

Нагадуємо, що будь-яке використання дозволу USE_FULL_SCREEN_INTENT має відповідати всім правилам для розробників Google Play, зокрема щодо небажаного програмного забезпечення для мобільних пристроїв, зловживання пристроєм і мережею та розміщення реклами. Сповіщення за намірами повноекранного показу не повинні перешкоджати роботі пристрою користувача чи переривати її, а також отримувати несанкціонований доступ до пристрою. Крім того, додатки не можуть перешкоджати іншим додаткам чи роботі пристрою.

Дізнайтеся більше про дозвіл USE_FULL_SCREEN_INTENT у нашому Довідковому центрі.

Чи корисна ця інформація?

Як можна її покращити?

Потрібна додаткова допомога?

Спробуйте дії нижче.

Пошук
Очистити пошук
Закрити пошук
Головне меню
8613809119433789115
true
Пошук у довідковому центрі
true
true
true
true
true
92637
false
false