Những thay đổi sắp tới đối với bài viết này
Bài viết này sẽ được cập nhật để phản ánh những thay đổi mới thông báo gần đây.
Để mang lại trải nghiệm bảo đảm quyền riêng tư tốt hơn cho người dùng, chúng tôi sẽ đưa ra chính sách về Quyền truy cập ảnh và video nhằm giảm số ứng dụng được phép yêu cầu quyền truy cập rộng rãi vào ảnh/video (READ_MEDIA_IMAGES và READ_MEDIA_VIDEO). Các ứng dụng chỉ có thể truy cập ảnh và video cho mục đích liên quan trực tiếp tới chức năng của ứng dụng. Ứng dụng cần truy cập một lần hoặc không thường xuyên vào các tệp này phải sử dụng một công cụ chọn của hệ thống, chẳng hạn như công cụ chọn ảnh của Android. (có hiệu lực từ ngày 31 tháng 8 năm 2024)
Chúng tôi sẽ cập nhật Chính sách về Health Connect để đơn giản hoá quy trình đăng ký Health Connect và nhất quán với Chính sách về ứng dụng sức khoẻ. Từ giờ cho đến cuối năm nay, quy trình đăng ký qua biểu mẫu như hiện nay sẽ được thay thế bằng một bản khai báo mới trên Play Console. (có hiệu lực từ ngày 31 tháng 8 năm 2024)
Để xem trước phiên bản cập nhật của bài viết về “Các quyền và API truy cập thông tin nhạy cảm”, hãy truy cập trang này.
Yêu cầu về các quyền và API truy cập thông tin nhạy cảm phải hợp lý với người dùng. Bạn chỉ được yêu cầu các quyền và API này khi cần thiết để triển khai các tính năng hay dịch vụ hiện có (mà bạn đã quảng bá trong trang thông tin trên Google Play) trong ứng dụng của mình. Bạn không được sử dụng quyền hoặc API để truy cập vào những thông tin nhạy cảm có thể giúp bạn truy cập vào dữ liệu thiết bị hoặc dữ liệu người dùng nhằm phục vụ các tính năng hay mục đích chưa công bố, chưa triển khai hoặc không được phép. Trong mọi trường hợp, bạn không được bán hoặc chia sẻ nhằm mục đích bán đối với dữ liệu riêng tư hoặc nhạy cảm mà bạn truy cập bằng các quyền hoặc API truy cập thông tin nhạy cảm.
Khi yêu cầu các quyền hoặc API truy cập thông tin nhạy cảm, hãy làm rõ bối cảnh (thông qua các yêu cầu cấp quyền theo mức độ tăng dần) để người dùng nắm được lý do ứng dụng của bạn yêu cầu quyền đó. Chỉ sử dụng dữ liệu cho các mục đích mà người dùng đã đồng ý. Nếu sau này bạn muốn sử dụng dữ liệu cho mục đích khác, bạn phải hỏi người dùng và đảm bảo rằng họ đồng ý với mục đích sử dụng bổ sung này.
Quyền bị hạn chế
Ngoài những nội dung nêu trên, quyền bị hạn chế còn là những quyền được xác định là Nguy hiểm, Đặc biệt, Ký ứng dụng hoặc thuộc những trường hợp được nêu dưới đây. Những quyền này phải tuân thủ các yêu cầu và quy định hạn chế bổ sung sau đây:
- Dữ liệu người dùng hoặc thiết bị được truy cập thông qua Quyền bị hạn chế được xem là dữ liệu riêng tư và nhạy cảm của người dùng. Các yêu cầu của Chính sách dữ liệu người dùng được áp dụng.
- Bạn phải tôn trọng quyết định của người dùng nếu họ từ chối yêu cầu cấp Quyền bị hạn chế. Bạn cũng không được lôi kéo hoặc buộc người dùng phải đồng ý cấp một quyền không thiết yếu. Trong khả năng của mình, bạn phải cố gắng tạo điều kiện cho những người dùng không cấp quyền truy cập vào dữ liệu nhạy cảm (chẳng hạn như cho phép người dùng tự nhập số điện thoại khi họ hạn chế quyền truy cập vào Nhật ký cuộc gọi).
- Chúng tôi nghiêm cấm hành vi sử dụng các quyền vi phạm chính sách của Google Play về phần mềm độc hại (bao gồm cả Hành vi lợi dụng đặc quyền cao cấp).
Một số Quyền bị hạn chế cụ thể có thể phải tuân theo các yêu cầu bổ sung như được nêu chi tiết dưới đây. Mục đích của các hạn chế này là để bảo vệ quyền riêng tư của người dùng. Chúng tôi có thể chấp nhận một số ít trường hợp ngoại lệ đối với những yêu cầu này. Đó cũng là những trường hợp rất hiếm, khi ứng dụng cung cấp tính năng rất hấp dẫn hoặc thiết yếu mà hiện chưa có phương pháp nào khác để cung cấp tính năng đó. Chúng tôi đánh giá những trường hợp ngoại lệ theo đề xuất dựa trên tác động tiềm tàng của những trường hợp đó đối với quyền riêng tư và bảo mật của người dùng.
Quyền đối với SMS và Nhật ký cuộc gọiSMS và Nhật ký cuộc gọi được xem là dữ liệu riêng tư và nhạy cảm của người dùng và quyền liên quan đến các dữ liệu này phải tuân thủ chính sách về Thông tin riêng tư và nhạy cảm cũng như tuân thủ các hạn chế sau:
Những ứng dụng chưa có khả năng trở thành trình xử lý SMS, Điện thoại hoặc Trợ lý mặc định sẽ không được khai báo việc sử dụng các quyền nêu trên trong tệp kê khai. Quy tắc này cũng áp dụng cho văn bản trình giữ chỗ trong tệp kê khai. Ngoài ra, ứng dụng phải được đăng ký là trình xử lý tin nhắn SMS, Điện thoại hoặc Trợ lý mặc định trước khi nhắc người dùng chấp nhận bất kỳ quyền nào nêu trên. Đồng thời, ứng dụng phải ngay lập tức ngừng sử dụng quyền này khi ứng dụng không còn là trình xử lý mặc định nữa. Bạn có thể xem các trường hợp sử dụng được phép và các trường hợp ngoại lệ trên trang này trong Trung tâm trợ giúp. Ứng dụng chỉ được phép sử dụng quyền (và mọi dữ liệu lấy được nhờ quyền này) để cung cấp chức năng cốt lõi của ứng dụng. Chức năng cốt lõi được định nghĩa là mục đích chính của ứng dụng. Chức năng này có thể là một nhóm tính năng cốt lõi được nêu và quảng bá nổi bật trong phần mô tả của ứng dụng. Khi không có (các) tính năng cốt lõi này, ứng dụng sẽ bị "hỏng" hoặc không sử dụng được. Bạn chỉ được chuyển, chia sẻ và nhượng quyền sử dụng dữ liệu này cho mục đích cung cấp các tính năng hoặc dịch vụ cốt lõi trong ứng dụng và không được sử dụng cho mục đích nào khác (ví dụ: cải thiện các ứng dụng hoặc dịch vụ khác, quảng cáo hoặc tiếp thị). Bạn không được sử dụng các phương thức thay thế (bao gồm cả các quyền khác, API hay các nguồn của bên thứ ba) để lấy dữ liệu gắn liền với các quyền liên quan đến SMS hay Nhật ký cuộc gọi. |
Quyền truy cập thông tin vị tríThông tin vị trí của thiết bị được coi là dữ liệu cá nhân và nhạy cảm của người dùng. Việc xử lý loại dữ liệu này phải tuân theo chính sách về Thông tin cá nhân và nhạy cảm, chính sách về Quyền truy cập thông tin vị trí ở chế độ nền và các yêu cầu sau đây:
Ứng dụng được phép truy cập vào thông tin vị trí qua dịch vụ trên nền trước (nếu ứng dụng chỉ có quyền truy cập khi ở nền trước, ví dụ: "trong khi sử dụng") với điều kiện việc sử dụng này:
Ứng dụng được thiết kế riêng cho trẻ em phải tuân thủ chính sách của chương trình Thiết kế cho Gia đình. Để biết thêm thông tin về các yêu cầu của chính sách, vui lòng xem bài viết trợ giúp này. |
Quyền truy cập vào mọi tệpTệp và thuộc tính thư mục trên thiết bị của người dùng được coi là dữ liệu cá nhân và nhạy cảm. Việc sử dụng loại dữ liệu này phải tuân thủ chính sách về Thông tin cá nhân và nhạy cảm cũng như tuân thủ các yêu cầu sau:
|
Quyền xem dữ liệu gói (ứng dụng)Dữ liệu được truy vấn trong những ứng dụng đã được cài đặt trên một thiết bị được xem là dữ liệu cá nhân và nhạy cảm của người dùng. Việc truy cập loại dữ liệu này phải tuân thủ chính sách về Thông tin cá nhân và nhạy cảm cũng như tuân thủ những yêu cầu sau: Những ứng dụng có mục đích chính là mở, tìm kiếm hoặc tương tác với ứng dụng khác trên thiết bị có thể yêu cầu xem dữ liệu của những ứng dụng khác đó trong phạm vi phù hợp. Cụ thể như sau:
Trong mọi trường hợp, bạn không được phép bán hay chia sẻ dữ liệu truy vấn được qua những ứng dụng do Play phân phối để nhằm mục đích phân tích hay kiếm tiền nhờ quảng cáo. |
API hỗ trợ tiếp cậnKhông được dùng API Hỗ trợ tiếp cận cho những mục đích sau:
API Hỗ trợ tiếp cận không được thiết kế để ghi âm cuộc gọi từ xa và không thể yêu cầu API cho mục đích này. Việc sử dụng API Hỗ trợ tiếp cận phải được nêu tại trang thông tin trên Google Play. Nguyên tắc đối với IsAccessibilityToolCác ứng dụng có chức năng cốt lõi là trực tiếp hỗ trợ người khuyết tật được phép dùng IsAccessibilityTool để chỉ định công khai việc ứng dụng đó là ứng dụng hỗ trợ tiếp cận. Các ứng dụng không đủ điều kiện dùng IsAccessibilityTool không được gắn cờ này và phải đáp ứng các yêu cầu về sự đồng ý và việc công bố thông tin một cách nổi bật theo quy định tại chính sách Dữ liệu người dùng. Lý do là người dùng không biết rõ các chức năng liên quan đến dịch vụ hỗ trợ tiếp cận. Vui lòng tham khảo bài viết về API AccessibilityService trên trung tâm trợ giúp để biết thêm thông tin. Nếu có thể, các ứng dụng phải sử dụng các API và quyền có phạm vi hẹp hơn thay cho API Hỗ trợ tiếp cận để đạt được chức năng mong muốn. |
Quyền yêu cầu cài đặt góiQuyền REQUEST_INSTALL_PACKAGES cho phép một ứng dụng yêu cầu cài đặt gói ứng dụng. Để dùng quyền này, ứng dụng phải có chức năng cốt lõi như sau:
Các chức năng được phép:
Chức năng cốt lõi có nghĩa là mục đích chính của ứng dụng. Chức năng cốt lõi (cũng như mọi tính năng cốt lõi tạo nên chức năng cốt lõi này) phải được nêu rõ và quảng bá một cách nổi bật trong phần mô tả của ứng dụng. Không được phép dùng quyền REQUEST_INSTALL_PACKAGES để tiến hành tự cập nhật, sửa đổi hoặc gói các APK khác trong tệp thành phần trừ trường hợp quản lý thiết bị. Mọi hoạt động cập nhật và cài đặt gói đều phải tuân thủ Chính sách của Google Play về hành vi sử dụng sai trái thiết bị và mạng, đồng thời phải do người dùng đưa ra yêu cầu và thực hiện. |
Quyền Health Connect của AndroidDữ liệu truy cập được qua quyền Health Connect được coi là dữ liệu cá nhân và nhạy cảm của người dùng nên phải tuân theo Chính sách dữ liệu người dùng và những yêu cầu bổ sung dưới đây: Quyền truy cập và sử dụng Health Connect hợp lệYêu cầu truy cập dữ liệu qua Health Connect phải rõ ràng và dễ hiểu. Health Connect chỉ được phép sử dụng theo quy định của chính sách và điều khoản và điều kiện hiện hành cũng như theo trường hợp sử dụng được phê duyệt nêu trong chính sách này. Tức là bạn chỉ có thể yêu cầu truy cập quyền nếu ứng dụng hoặc dịch vụ của bạn phù hợp với một trong những trường hợp sử dụng được phê duyệt. Sau đây là các trường hợp sử dụng được phê duyệt để truy cập quyền Health Connect:
Health Connect là một nền tảng lưu trữ và chia sẻ dữ liệu mang mục đích tổng quát, cho phép người dùng tổng hợp dữ liệu sức khoẻ và thể hình qua nhiều nguồn trên thiết bị Android của họ và chia sẻ dữ liệu đó với bên thứ ba do họ quyết định. Dữ liệu được lấy qua nhiều nguồn do người dùng xác định. Nhà phát triển cần phải đánh giá liệu Health Connect có phù hợp với mục đích sử dụng dự kiến hay không, đồng thời cần phải tìm hiểu và xem xét nguồn cũng như chất lượng của dữ liệu qua Health Connect để phục vụ cho mục đích nào đó (cụ thể là sử dụng cho nghiên cứu, sức khoẻ hay y tế).
Giới hạn sử dụngBên cạnh việc sử dụng Health Connect với mục đích phù hợp, bạn cũng phải tuân thủ các yêu cầu sau đây nếu muốn sử dụng dữ liệu thu thập được qua Health Connect. Những yêu cầu này áp dụng với dữ liệu thô thu thập được qua Health Connect, dữ liệu tổng hợp, đã loại bỏ thông tin nhận dạng cá nhân hay dữ liệu bắt nguồn từ dữ liệu thô.
Tất cả hoạt động chuyển, sử dụng hoặc bán dữ liệu Health Connect khác đều bị cấm, trong đó có:
Bạn sẽ không truy cập được Health Connect nếu vi phạm chính sách này hoặc các điều khoản, điều kiện và chính sách hiện hành khác của Health Connect, bao gồm cả cho những mục đích dưới đây:
Trong ứng dụng hay trên trang web thuộc dịch vụ web hoặc ứng dụng của mình, bạn cần cung cấp một tuyên bố khẳng định rằng việc sử dụng dữ liệu Health Connect tuân thủ các hạn chế về giới hạn sử dụng. Ví dụ: đường dẫn trên trang chủ đến một chuyên trang hoặc chính sách quyền riêng tư, với nội dung: "Việc sử dụng thông tin thu thập được qua Health Connect sẽ tuân thủ chính sách đối với quyền Health Connect, bao gồm cả Yêu cầu giới hạn sử dụng.” Phạm vi tối thiểuBạn chỉ có thể yêu cầu quyền truy cập đối với các quyền thiết yếu để triển khai chức năng trong ứng dụng hoặc dịch vụ của bạn. Tức là:
Kiểm soát và thông báo chính xác và minh bạchHealth Connect xử lý dữ liệu sức khoẻ và thể hình, trong đó có cả thông tin cá nhân và nhạy cảm. Tất cả ứng dụng và dịch vụ đều phải có một chính sách quyền riêng tư công bố đầy đủ cách ứng dụng hoặc dịch vụ đó thu thập, sử dụng và chia sẻ dữ liệu người dùng. Nội dung này có cả thông tin về các bên được chia sẻ dữ liệu người dùng, cách bạn sử dụng, lưu trữ và bảo mật dữ liệu cũng như điều xảy ra với dữ liệu khi người dùng tắt và/hoặc xoá tài khoản. Ngoài các yêu cầu của luật hiện hành, bạn cũng phải tuân theo những yêu cầu dưới đây:
Xử lý dữ liệu an toànBạn phải xử lý tất cả dữ liệu người dùng một cách an toàn. Hành động hợp lý và thích hợp để bảo vệ tất cả ứng dụng và hệ thống sử dụng Health Connect nhằm tránh mất mát cũng như ngăn ngừa hành vi truy cập, sử dụng, phá huỷ, thay đổi và tiết lộ thông tin trái phép hoặc bất hợp pháp. Chúng tôi đề xuất một số phương pháp bảo mật như triển khai và duy trì Hệ thống quản lý bảo mật thông tin (mô tả trong ISO/IEC 27001) đồng thời đảm bảo ứng dụng hoặc dịch vụ web hoạt động mạnh mẽ và không gặp phải các vấn đề bảo mật phổ biến theo trình bày trong OWASP Top 10. Tuỳ theo API đang được truy cập và số lượng người dùng hoặc lượt cấp quyền của người dùng, chúng tôi sẽ yêu cầu ứng dụng hoặc dịch vụ của bạn bắt buộc phải thực hiện đánh giá bảo mật định kỳ và nhận Thư đánh giá của một bên thứ ba được chỉ định nếu sản phẩm của bạn chuyển dữ liệu ra khỏi thiết bị của người dùng. Để tìm hiểu thêm về yêu cầu đối với ứng dụng kết nối với Health Connect, vui lòng xem bài viết trợ giúp này. |
Dịch vụ VPNVpnService là loại cơ sở để các ứng dụng mở rộng và xây dựng giải pháp VPN riêng. Chỉ ứng dụng dùng VpnService và có VPN là chức năng cốt lõi mới có thể tạo đường hầm cấp thiết bị an toàn tới máy chủ từ xa. Tuy nhiên, có một số trường hợp ngoại lệ như ứng dụng cần có máy chủ từ xa cho chức năng cốt lõi, chẳng hạn như:
Bạn không được sử dụng VpnService cho mục đích:
Ứng dụng dùng VpnService phải đáp ứng các yêu cầu sau:
|
Quyền thông báo chính xácChúng tôi sẽ giới thiệu một quyền mới, USE_EXACT_ALARM, có tác dụng cấp quyền truy cập vào chức năng thông báo chính xác trong các ứng dụng bắt đầu từ Android 13 (cấp độ API mục tiêu 33). USE_EXACT_ALARM là một quyền hạn chế và các ứng dụng chỉ được khai báo quyền này nếu có chức năng cốt lõi hỗ trợ nhu cầu thông báo chính xác. Chúng tôi sẽ xem xét các ứng dụng yêu cầu quyền hạn chế này và không chấp nhận phát hành những ứng dụng không đáp ứng tiêu chí về trường hợp sử dụng phù hợp trên Google Play. Các trường hợp có thể sử dụng Quyền thông báo chính xác Ứng dụng chỉ được sử dụng chức năng USE_EXACT_ALARM khi chức năng cốt lõi của ứng dụng mà người dùng nhìn thấy được yêu cầu các hành động được tính giờ chính xác, chẳng hạn như:
Nếu có một trường hợp cần sử dụng chức năng thông báo chính xác không được đề cập ở trên, bạn nên đánh giá xem có thể dùng quyền SCHEDULE_EXACT_ALARM thay vào đó hay không. Để biết thêm thông tin về chức năng cảnh báo chính xác, vui lòng xem phần hướng dẫn dành cho nhà phát triển. |
Quyền về ý định toàn màn hìnhĐối với ứng dụng nhắm đến Android 14 (API cấp 34) trở lên, USE_FULL_SCREEN_INTENT là một quyền truy cập đặc biệt cho ứng dụng. Để tự động được cấp quyền USE_FULL_SCREEN_INTENT, ứng dụng phải có chức năng cốt lõi thuộc một trong những danh mục cần đến thông báo có mức độ ưu tiên cao như dưới đây:
Nếu yêu cầu quyền này, ứng dụng sẽ phải trải qua quá trình xem xét. Đồng thời, những ứng dụng không đáp ứng các yêu cầu trên sẽ không tự động được cấp quyền này. Khi đó, ứng dụng phải yêu cầu người dùng cấp quyền để sử dụng USE_FULL_SCREEN_INTENT. Lưu ý: Việc sử dụng quyền USE_FULL_SCREEN_INTENT phải tuân thủ toàn bộ Chính sách dành cho nhà phát triển của Google Play, bao gồm cả các chính sách về Phần mềm không mong muốn trên thiết bị di động, Sử dụng sai trái thiết bị và mạng và Quảng cáo. Thông báo về ý định truy cập chế độ toàn màn hình không được can thiệp, làm gián đoạn, làm hư hỏng hoặc truy cập trái phép vào thiết bị của người dùng. Ứng dụng cũng không được cản trở các ứng dụng khác hoặc cản trở khả năng người dùng sử dụng thiết bị. Tìm hiểu thêm về quyền USE_FULL_SCREEN_INTENT trong Trung tâm trợ giúp. |