Autorizações e APIs com acesso a informações confidenciais

Vamos implementar alterações a este artigo

Este artigo vai ser atualizado com as alterações anunciadas recentemente.

Para oferecer aos utilizadores uma experiência que preserve melhor a privacidade, estamos a introduzir a Política de Autorizações de Fotos e Vídeos de modo a reduzir o número de apps que podem pedir autorizações de acesso amplo a fotos/vídeos (READ_MEDIA_IMAGES e READ_MEDIA_VIDEO). As apps só podem aceder às fotos e aos vídeos para finalidades diretamente relacionadas com a funcionalidade da app. As apps que tenham uma necessidade única ou pouco frequente de aceder a estes ficheiros têm de usar um selecionador do sistema, como o selecionador de fotos do Android. (em vigor a partir de 22 de janeiro de 2025)

Para pré-visualizar o artigo "Autorizações e APIs com acesso a informações confidenciais" atualizado, visite esta página.

Os pedidos de autorização e APIs (interface de programação de aplicações) com acesso a informações confidenciais devem ser compreensíveis pelos utilizadores. Apenas pode solicitar as autorizações e APIs com acesso a informações confidenciais necessárias para implementar as funcionalidades ou os serviços atuais na sua app que sejam promovidos na sua ficha do Google Play. Não pode usar autorizações ou APIs com acesso a informações confidenciais que dão acesso aos dados do utilizador ou dispositivo para funcionalidades ou finalidades não divulgadas, não implementadas ou não autorizadas. Os dados pessoais ou confidenciais acedidos através de autorizações ou APIs com acesso a informações confidenciais nunca podem ser vendidos nem partilhados numa venda facilitada.

Peça autorizações e APIs com acesso a informações confidenciais para aceder aos dados em contexto (através de pedidos progressivos) de forma que os utilizadores compreendam os motivos pelos quais a sua app está a pedir a autorização. Use os dados apenas para as finalidades autorizadas pelo utilizador. Se mais tarde quiser usar os dados para outras finalidades, tem de perguntar aos utilizadores e assegurar que concordam com as utilizações adicionais.

Autorizações restritas

Para além do exposto acima, as autorizações restritas são autorizações designadas como Perigosas, Especiais, de Assinatura ou conforme documentado abaixo. Estas autorizações estão sujeitas aos seguintes requisitos e restrições adicionais:

  • Os dados do utilizador ou do dispositivo acedidos através de autorizações restritas são considerados dados pessoais e confidenciais do utilizador. São aplicados os requisitos da Política de Dados do Utilizador.
  • Respeite as decisões dos utilizadores caso recusem um pedido de Autorização restrita. Os utilizadores não podem ser manipulados nem forçados a consentir qualquer autorização não crítica. Tem de envidar um esforço razoável para integrar os utilizadores que não concederem acesso a autorizações confidenciais (por exemplo, permitir que um utilizador introduza um número de telefone manualmente caso tenha restringido o acesso aos registos de chamadas).
  • A utilização de autorizações que violem as Políticas de Software Malicioso do Google Play (incluindo o abuso de privilégios elevados) é expressamente proibida.

Determinadas autorizações restritas podem estar sujeitas a requisitos adicionais, conforme detalhado abaixo. O objetivo destas restrições é salvaguardar a privacidade do utilizador. Podemos criar exceções limitadas aos requisitos abaixo em casos muito raros em que as apps forneçam uma funcionalidade altamente apelativa ou essencial e não exista um método alternativo disponível para fornecer a funcionalidade. Avaliamos as exceções propostas relativamente ao potencial impacto nos utilizadores ao nível da privacidade ou segurança.

 

Autorizações de SMS e de registo de chamadas

As Autorizações de SMS e de registo de chamadas são consideradas dados pessoais e confidenciais do utilizador sujeitos à Política de Informações Pessoais e Confidenciais e às seguintes restrições:

Autorização restrita Requisito
Grupo de autorizações do Registo de chamadas (por exemplo, READ_CALL_LOG, WRITE_CALL_LOG, PROCESS_OUTGOING_CALLS) Tem de estar ativamente registado como o controlador predefinido do Telemóvel ou do Assistente no dispositivo.
Grupo de autorizações de SMS (por exemplo, READ_SMS, SEND_SMS, WRITE_SMS, RECEIVE_SMS, RECEIVE_WAP_PUSH, RECEIVE_MMS) Tem de estar ativamente registado como o controlador predefinido de SMS ou do Assistente no dispositivo.

 

As apps que não tiverem a capacidade de controlador predefinido de SMS, do Telemóvel ou do Assistente não podem declarar a utilização das autorizações acima no manifesto. Isto inclui o marcador de posição de texto no manifesto. Além disso, as apps têm de estar ativamente registadas como o controlador predefinido de SMS, Telemóvel ou Assistente antes de solicitarem aos utilizadores que aceitem qualquer uma das autorizações acima e têm de parar imediatamente a utilização da autorização quando já não forem o controlador predefinido. As utilizações e as exceções permitidas estão disponíveis nesta página do Centro de Ajuda.

As apps apenas podem utilizar a autorização (e quaisquer dados derivados da autorização) para fornecer a funcionalidade essencial da app aprovada. A funcionalidade essencial é definida como o objetivo principal da app. Isto pode incluir um conjunto de funcionalidades essenciais, que tem de documentar e promover proeminentemente na descrição da app. Sem a funcionalidade essencial, a app é considerada "danificada" ou inutilizável. A transferência, a partilha ou a utilização licenciada destes dados apenas se podem destinar a fornecer funcionalidades ou serviços essenciais na app e a respetiva utilização não pode ser alargada a qualquer outra finalidade (por exemplo, melhorar outras apps ou serviços, publicidade ou marketing). Não pode utilizar métodos alternativos (incluindo outras autorizações, APIs ou origens de terceiros) para derivar os dados atribuídos às autorizações relacionadas com SMS ou registo de chamadas.

 

Autorizações de acesso à localização

A localização do dispositivo é considerada como dados pessoais e confidenciais do utilizador sujeitos à Política de Informações Pessoais e Confidenciais , à Política de Localização em Segundo Plano e aos seguintes requisitos:

  • As apps não podem aceder a dados protegidos por autorizações de acesso à localização (por exemplo, ACCESS_FINE_LOCATION, ACCESS_COARSE_LOCATION, ACCESS_BACKGROUND_LOCATION) depois de esse acesso deixar de ser necessário para fornecer as funcionalidades ou os serviços atuais na sua app.
  • Nunca deve solicitar aos utilizadores autorizações de acesso à localização com o único objetivo de anunciar ou obter estatísticas. As apps que estendam a utilização autorizada destes dados para publicar anúncios têm de agir em conformidade com a nossa Política de Anúncios.
  • As apps devem solicitar o âmbito mínimo necessário (ou seja, grosso em vez de fino e em primeiro plano em vez de em segundo plano) para fornecer a funcionalidade ou o serviço atual que está a solicitar a localização e os utilizadores devem esperar de forma razoável que a funcionalidade ou o serviço precisa do nível de localização solicitado. Por exemplo, podemos rejeitar apps que solicitem ou acedam à localização em segundo plano sem uma justificação fundamentada.
  • A localização em segundo plano apenas pode ser utilizada para oferecer funcionalidades benéficas para o utilizador e relevantes para a funcionalidade essencial da app.

As apps podem aceder à localização através da autorização do serviço em primeiro plano (quando a app apenas tem acesso em primeiro plano, por exemplo, "durante a utilização") se a utilização:

  • tiver sido iniciada como uma continuação de uma ação iniciada pelo utilizador na app e
  • for imediatamente terminada após o caso de utilização previsto da ação iniciada pelo utilizador ter sido concluído pela aplicação.

As apps concebidas especificamente para crianças têm de agir em conformidade com a Política do Programa Concebido para Famílias.

Para mais informações acerca dos requisitos da política, consulte este artigo de ajuda.

 

Autorização de acesso a todos os ficheiros

Os atributos de ficheiros e diretório no dispositivo de um utilizador são considerados dados pessoais e confidenciais do utilizador sujeitos à Política de Informações Pessoais e Confidenciais e aos seguintes requisitos:

  • As apps apenas devem solicitar acesso ao armazenamento do dispositivo que seja fundamental para que a app funcione e não podem solicitar acesso ao armazenamento do dispositivo em nome de terceiros para qualquer finalidade que não esteja relacionada com funcionalidades centradas no utilizador da app.
  • Os dispositivos Android com a versão R ou posterior necessitam da autorização MANAGE_EXTERNAL_STORAGE para gerir o acesso no armazenamento partilhado. Todas as apps destinadas à versão R e que solicitem amplo acesso ao armazenamento partilhado ("Acesso a todos os ficheiros") têm de passar com êxito uma revisão de acesso adequada antes da publicação. As apps com autorização para utilizar esta autorização têm de solicitar claramente aos utilizadores que ativem a opção "Acesso a todos os ficheiros" para a respetiva app nas definições de "Acesso especial a apps". Para obter mais informações acerca dos requisitos da versão R, consulte este artigo de ajuda.

 

Autorização de visibilidade de pacotes (app)

O inventário de apps instaladas consultado a partir de um dispositivo é considerado dados pessoais e confidenciais do utilizador sujeitos à Política de Informações Pessoais e Confidenciais e aos seguintes requisitos:

As apps que têm como finalidade principal iniciar, pesquisar ou interoperar com outras apps no dispositivo podem obter visibilidade adequada ao âmbito às mesmas, conforme descrito abaixo:

  • Visibilidade ampla das apps: a visibilidade ampla refere-se à capacidade de uma app ter uma visibilidade abrangente (ou "ampla") das apps instaladas ("pacotes") num dispositivo.
    • Para as apps que segmentam o nível da API 30 ou posterior, a visibilidade ampla das apps instaladas através da autorização QUERY_ALL_PACKAGES está restrita a exemplos de utilização específicos em que o conhecimento de todas as apps instaladas no dispositivo e/ou a interoperabilidade com as mesmas são necessários para que a app funcione.
    • A utilização de métodos alternativos para se aproximar do nível de visibilidade ampla associado à autorização QUERY_ALL_PACKAGES também está restrita à funcionalidade essencial da app para o utilizador e à interoperabilidade com quaisquer apps detetadas através deste método.
    • Consulte este artigo do Centro de Ajuda para obter exemplos de utilização permitidos da autorização QUERY_ALL_PACKAGES.
  • Visibilidade limitada das apps: a visibilidade limitada acontece quando uma app minimiza o acesso aos dados ao consultar apps específicas através de métodos mais segmentados (em vez de métodos "amplos"), por exemplo, ao consultar apps específicas que satisfaçam a declaração do manifesto da sua app. Pode utilizar este método para consultar apps em casos em que a sua app tenha interoperabilidade em conformidade com as políticas ou a gestão destas apps.
  • A visibilidade do inventário de apps instaladas num dispositivo tem de estar diretamente relacionada com a finalidade principal ou a funcionalidade essencial a que os utilizadores acedem na sua app.

Os dados do inventário de apps consultados a partir de apps distribuídas no Google Play nunca podem ser vendidos nem partilhados para fins de análise ou de rentabilização de anúncios.

 

API de acessibilidade

Não é possível utilizar a API Accessibility para:

  • Alterar as definições dos utilizadores sem a respetiva autorização ou impedir a capacidade de os utilizadores desativarem ou desinstalarem qualquer app ou serviço, a menos que tenha a autorização de um dos pais ou tutor através de uma app de controlo parental ou de administradores autorizados através de um software de gestão empresarial; 
  • Contornar notificações e controlos de privacidade integrados no Android; ou
  • Alterar ou tirar partido da interface do utilizador de uma forma enganadora ou que viole de qualquer outra forma as Políticas para Programadores do Google Play. 

A API Accessibility não foi concebida e não pode ser pedida para a gravação de áudio de chamadas remotas. 

A utilização da API Accessibility tem de ser documentada na ficha do Google Play.

Diretrizes para o IsAccessibilityTool

As apps cuja funcionalidade principal se destine a apoiar diretamente pessoas com deficiência são elegíveis para utilizar o IsAccessibilityTool de forma a classificarem-se publicamente como apps de acessibilidade.

As apps não elegíveis para utilizar o IsAccessibilityTool podem não utilizar a sinalização e têm de cumprir os requisitos de divulgação proeminente e consentimento, conforme descrito na Política de Dados do Utilizador, uma vez que a funcionalidade relacionada com a acessibilidade não é óbvia para o utilizador. Consulte o artigo do Centro de Ajuda sobre a API AccessibilityService para mais informações.

As apps têm de utilizar APIs e autorizações com um âmbito mais restrito em detrimento da API Accessibility para obter a funcionalidade desejada. 

 

Autorização Solicitar pacotes de instalação

A autorização REQUEST_INSTALL_PACKAGES permite que uma aplicação peça a instalação de pacotes de apps.​​ Para usar esta autorização, a funcionalidade essencial da sua app tem de incluir:

  • O envio ou a receção de pacotes de apps; e
  • A permissão de instalação de pacotes de apps por iniciativa do utilizador.

As funcionalidades permitidas incluem:

  • Pesquisa ou navegação na Web
  • Serviços de comunicação que suportam anexos
  • Partilha, transferência ou gestão de ficheiros
  • Gestão de dispositivos empresariais
  • Cópia de segurança e restauro
  • Migração de dispositivo/transferência de telemóvel
  • Uma app associada para sincronizar o telemóvel com um dispositivo de vestir ou da IdC (Internet das Coisas), por exemplo, um smartwatch ou uma smart TV

A funcionalidade essencial é definida como o objetivo principal da app. A funcionalidade essencial, bem como outras funcionalidades principais que abrangem esta funcionalidade essencial, têm todas de estar documentadas e promovidas claramente na descrição da app.

A autorização REQUEST_INSTALL_PACKAGES não pode ser usada para realizar atualizações automáticas, modificações ou o agrupamento de outros APKs (Android Application Packages) no ficheiro do recurso, exceto para fins de gestão de dispositivos. Todas as atualizações ou as instalações de pacotes têm de estar em conformidade com a Política de Abuso na Rede e em Dispositivos do Google Play e têm de ser iniciadas e controladas pelo utilizador.

 

Autorizações da Health Connect by Android

Acesso e utilização adequados da Health Connect

A Saúde Connect só pode ser usada de acordo com as políticas e os Termos de Utilização aplicáveis, e para exemplos de utilização aprovados, conforme estabelecido na presente política. Isto significa que só pode pedir acesso a autorizações quando a sua aplicação ou serviço satisfizer um dos exemplos de utilização aprovados.

Os exemplos de utilização aprovados incluem: fitness e bem-estar, recompensas, orientações de fitness, bem-estar empresarial, cuidados médicos, investigação na área da saúde e jogos.

Apenas as aplicações ou os serviços com uma ou mais funcionalidades concebidas para beneficiar a saúde e o fitness dos utilizadores estão autorizados a pedir acesso às autorizações da Saúde Connect. Por exemplo:

  • Aplicações ou serviços que permitem que os utilizadores registem, comuniquem, monitorizem e/ou analisem diretamente a respetiva atividade física, sono, bem-estar mental, nutrição, medições de saúde, descrições físicas e/ou outras descrições e medições relacionadas com a saúde ou o fitness.
  • Aplicações ou serviços que permitem que os utilizadores registem a respetiva atividade física, sono, bem-estar mental, nutrição, medições de saúde, descrições físicas e/ou outras descrições e medições relacionadas com a saúde ou o fitness no respetivo dispositivo.

O acesso à Saúde Connect não pode ser usado em violação da presente política ou de outros Termos de Utilização ou políticas aplicáveis da Saúde Connect, incluindo para as seguintes finalidades:

  • Não use a Health Connect para o desenvolvimento de, ou a incorporação em, aplicações, ambientes ou atividades em que a utilização ou falha da Health Connect poderia levar à morte, a lesões pessoais ou a danos ambientais ou materiais (como criação ou operação de instalações nucleares, controlo de tráfego aéreo, sistemas de apoio à vida ou armamento).
  • Não aceda aos dados obtidos através da Health Connect através de apps sem interface. As apps têm de apresentar um ícone claramente identificável no tabuleiro de apps, nas definições da app do dispositivo, nos ícones de notificação, etc.
  • Não use a Saúde Connect com apps que sincronizam dados entre dispositivos ou plataformas incompatíveis.
  • Não use a Saúde Connect para se ligar a aplicações, serviços ou funcionalidades destinadas unicamente a crianças.
  • Tome medidas razoáveis e apropriadas para proteger todas as aplicações ou sistemas que usam a Saúde Connect contra acesso, utilização, destruição, perda, alteração ou divulgação não autorizados ou ilegais.

Também é responsável por garantir o cumprimento de quaisquer requisitos regulamentares ou legais que se possam aplicar com base na sua utilização prevista da Saúde Connect e de quaisquer dados da mesma. Exceto conforme explicitamente indicado na etiquetagem ou nas informações fornecidas pela Google relativas a produtos ou serviços Google específicos, a Google não recomenda a utilização nem garante a exatidão de quaisquer dados contidos na Saúde Connect para qualquer utilização ou propósito e, em particular, para utilizações de investigação, saúde ou médicas. A Google renuncia a qualquer responsabilidade associada à utilização de dados obtidos através da Saúde Connect.

Utilização limitada

Quando utilizar a Saúde Connect, o acesso e a utilização dos dados têm de respeitar limitações específicas:

  • A utilização dos dados deve limitar-se a fornecer ou melhorar o seu exemplo de utilização apropriado ou as funcionalidades visíveis na interface do utilizador da aplicação.
  • Os dados do utilizador só podem ser transferidos para terceiros para fins de segurança (por exemplo, para investigar abusos), para estar em conformidade com as leis ou os regulamentos aplicáveis, ou no âmbito de fusões/aquisições. A transferência requer o consentimento explícito do utilizador.
  • O acesso humano aos dados do utilizador é restrito, a menos que seja obtido o consentimento explícito do utilizador, para fins de segurança, para estar em conformidade com as leis ou quando agregados para operações internas, de acordo com os requisitos legais.
  • Todas as outras transferências, utilizações ou venda de dados da Saúde Connect são proibidas, incluindo:
    • A transferência ou venda de dados do utilizador a terceiros, como plataformas de publicidade, corretores de dados ou quaisquer revendedores de informações.
    • A transferência, venda ou utilização de dados do utilizador para publicar anúncios, incluindo publicidade personalizada ou baseada em interesses.
    • A transferência, a venda ou a utilização de dados do utilizador para determinar a solvabilidade ou para fins de empréstimo.
    • A transferência, a venda ou a utilização de dados do utilizador com qualquer produto ou serviço que possa ser qualificado como um dispositivo médico, a menos que a app de dispositivo médico cumpra todos os regulamentos aplicáveis, incluindo a obtenção das autorizações ou aprovações necessárias dos organismos reguladores relevantes (por exemplo, a FDA dos EUA) para a utilização pretendida dos dados da Saúde Connect, e o utilizador tenha dado o seu consentimento explícito para essa utilização.
    • A transferência, a venda ou a utilização de dados do utilizador para qualquer finalidade ou de qualquer forma que envolva Informações de saúde protegidas (conforme definido pela HIPAA), exceto se receber aprovação prévia por escrito da Google para essa utilização.

Âmbito mínimo

Só deve pedir acesso às autorizações necessárias para implementar as funcionalidades ou os serviços do seu produto. Esses pedidos de acesso devem ser específicos e limitados aos dados necessários.

Controlo e aviso transparente e preciso

A Saúde Connect gere dados de saúde e fitness, incluindo informações confidenciais, e exige que todas as aplicações tenham uma Política de Privacidade abrangente. A Política de Privacidade deve divulgar de forma transparente a forma como a app recolhe, usa e partilha os dados do utilizador. Para além dos requisitos legais, os programadores devem incluir as seguintes informações na Política de Privacidade:

  • Descrição que represente com precisão a identidade da app, indicando os dados acedidos e a sua ligação a funcionalidades ou recomendações proeminentes da app
  • Práticas de retenção e eliminação de dados
  • Procedimentos de tratamento de dados. Por exemplo, a transmissão através de criptografia moderna (como HTTPS).

Para mais informações sobre os requisitos relativos a apps com ligação à Saúde Connect, consulte este artigo do Centro de Ajuda.

 

Serviço VPN

O VpnService é uma classe base para aplicações para desenvolver e criar as suas próprias soluções VPN. Apenas as apps que usam o VpnService e têm a VPN como funcionalidade essencial podem criar um túnel seguro ao nível do dispositivo para um servidor remoto. As exceções incluem apps que requerem um servidor remoto para funcionalidades essenciais, como:

  • Apps de controlo parental e gestão empresarial.
  • Acompanhamento da utilização da app.
  • Apps de segurança de dispositivos (por exemplo, antivírus, gestão de dispositivos móveis e firewall).
  • Ferramentas relacionadas com redes (por exemplo, acesso remoto).
  • Apps de navegação Web.
  • Apps de operador que requerem a utilização da funcionalidade de VPN para oferecer serviços de telefonia ou conetividade.

Não é possível usar o VpnService para:

  • Recolher dados pessoais e confidenciais do utilizador sem consentimento e divulgação destacada.
  • Redirecionar ou manipular o tráfego de utilizadores de outras apps num dispositivo para fins de rentabilização (por exemplo, redirecionar o tráfego de anúncios através de um país diferente do país do utilizador).

As apps que usam o VpnService têm de:

 

Autorização de alarme exato

Vai ser introduzida uma nova autorização, USE_EXACT_ALARM, que fornece acesso à funcionalidade de alarme exato em apps a partir do Android 13 (nível 33 da API de destino). 

USE_EXACT_ALARM é uma autorização restrita e as apps só têm de declarar esta autorização se a respetiva funcionalidade essencial suportar a necessidade de um alarme exato. As apps que pedem esta autorização restrita estão sujeitas a verificação e as que não cumprem os critérios do exemplo de utilização autorizado estão proibidas de serem publicadas no Google Play.

Exemplos de utilização autorizados para usar a autorização de alarme exato

A sua app tem de usar a funcionalidade USE_EXACT_ALARM apenas quando a funcionalidade essencial orientada para o utilizador da sua app requer ações precisas, tais como:

  • A app é uma app de alarme ou temporizador.
  • A app é uma app de calendário que mostra notificações dos eventos.

Se tiver um exemplo de utilização para a funcionalidade de alarme exato que não esteja abrangido acima, deve avaliar se o uso da funcionalidade SCHEDULE_EXACT_ALARM como alternativa é uma opção.

Para mais informações sobre a funcionalidade de alarme exato, consulte estas orientações para programadores.

 

Autorização de intenção de ecrã inteiro

Para as apps que segmentam o Android 14 (nível 34 da API de destino) e superior, USE_FULL_SCREEN_INTENT é uma autorização de acesso a apps especial. A utilização da autorização USE_FULL_SCREEN_INTENT só é concedida às apps automaticamente se a funcionalidade essencial da app se enquadrar numa das categorias abaixo que requerem notificações de elevada prioridade:

  • Definir um alarme
  • Receber chamadas ou videochamadas

As apps que pedem esta autorização estão sujeitas a revisão e esta autorização não vai ser automaticamente concedida às apps que não cumprirem os critérios acima. Nesse caso, as apps têm de pedir autorização ao utilizador para usar USE_FULL_SCREEN_INTENT.

Lembre-se de que a utilização da autorização USE_FULL_SCREEN_INTENT tem de estar em conformidade com todas as Políticas para Programadores do Google Play, incluindo as nossas Políticas de Software Indesejável para Dispositivos Móveis, Abuso na Rede e em Dispositivos e Anúncios. As notificações de intenções de ecrã inteiro não podem interferir, perturbar, danificar nem aceder ao dispositivo do utilizador de uma forma não autorizada. Além disso, as apps não devem interferir com outras apps nem com a capacidade de utilização do dispositivo.

Saiba mais sobre a autorização USE_FULL_SCREEN_INTENT no nosso Centro de Ajuda.

A informação foi útil?

Como podemos melhorá-la?
Pesquisa
Limpar pesquisa
Fechar pesquisa
Menu principal
12264502507650579707
true
Pesquisar no Centro de ajuda
true
true
true
true
true
92637
false
false