Oprávnění a rozhraní API s přístupem k citlivým údajům

Oprávnění k přístupu k SMS a seznamu hovorů jsou považována za osobní a citlivá data o uživateli a vztahují se na ně zásady uvedené v sekci Osobní a citlivé údaje a následující omezení:

Omezené oprávnění	Požadavek
Skupina oprávnění Seznam hovorů (např. READ_CALL_LOG, WRITE_CALL_LOG, PROCESS_OUTGOING_CALLS)	Musí být v zařízení aktivně zaregistrován jako výchozí obslužný nástroj typu Telefon nebo Asistence.
Skupina oprávnění SMS (např. READ_SMS, SEND_SMS, WRITE_SMS, RECEIVE_SMS, RECEIVE_WAP_PUSH, RECEIVE_MMS)	Musí být v zařízení aktivně zaregistrován jako výchozí obslužný nástroj typu SMS nebo Asistence.

 

Aplikace bez funkce výchozího obslužného nástroje typu SMS, Telefon nebo Asistence toto oprávnění v manifestu deklarovat nesmějí. Týká se to i zástupného textu v manifestu. Aplikace také musí být aktivně zaregistrovány jako výchozí obslužné nástroje typu SMS, Telefon nebo Asistent ještě předtím, než uživatele požádají o výše uvedená oprávnění. Jakmile funkci výchozího obslužného nástroje přestanou vykonávat, musí tato oprávnění neprodleně přestat používat. Povolená použití a výjimky jsou k dispozici na této stránce centra nápovědy.

Aplikace mohou oprávnění (a jakákoli data od oprávnění odvozená) používat pouze k poskytování schválené základní funkčnosti aplikace. Základní funkčnost je hlavním účelem aplikace. Může zahrnovat sadu základních funkcí, které musí být všechny jasně zdokumentovány a propagovány v popisu aplikace. Bez základních funkcí by aplikace byla považována za „rozbitou“ nebo by nebyla použitelná. Přenos, sdílení nebo licencované použití těchto dat je možné pouze za účelem poskytování základních funkcí či služeb v aplikaci a nesmí mít žádný jiný účel (např. vylepšování jiných aplikací či služeb, reklamy nebo marketingové účely). Data, na která se vztahují oprávnění související se seznamem hovorů a zprávami SMS, nesmíte odvozovat alternativními metodami (včetně jiných oprávnění, rozhraní API či externích zdrojů).

Poloha zařízení je považována za osobní a citlivý údaj o uživateli a vztahují se na ni zásady uvedené v sekci Osobní a citlivé údaje, zásady pro používání polohy na pozadí a následující omezení:

• Data chráněná oprávněními pro přístup k poloze (např. ACCESS_FINE_LOCATION, ACCESS_COARSE_LOCATION, ACCESS_BACKGROUND_LOCATION) mohou aplikace využívat, jen dokud jsou nutná k poskytování aktuálních funkcí nebo služeb v aplikaci.
• Oprávnění pro přístup k poloze od uživatelů nikdy nesmíte požadovat pouze pro účely inzerce či analýz. Aplikace, které tato data používají také k zobrazování reklam, musí splňovat naše zásady inzerce.
• Aplikace musí žádat o nejnižší úroveň přístupu (tj. přibližnou polohu namísto přesné a přístup k poloze na popředí namísto přístupu na pozadí), která je nezbytná k poskytování aktuální funkce nebo služby, a uživatelé by měli přiměřeně očekávat, že funkce nebo služba vyžaduje požadovanou úroveň přístupu k poloze. Můžeme například odmítnout aplikace, které požadují nebo používají přístup k poloze na pozadí bez přesvědčivého zdůvodnění.
• Přístup k poloze na pozadí je dovoleno používat pouze k poskytování funkcí, které jsou přínosné pro uživatele a relevantní k hlavní funkci aplikace.

Na získávání údajů o poloze pomocí služby v popředí (když má aplikace povolený pouze přístup na popředí, tj. „během používání“) se vztahují následující podmínky:

• Aplikace tyto údaje smí použít pouze jako pokračování akce v aplikaci iniciované uživatelem.
• Jakmile aplikace akci iniciovanou uživatelem dokončí, musí údaje o poloze přestat používat.

Aplikace navržené speciálně pro děti musí splňovat zásady programu Pro celou rodinu.

Další informace o požadavcích zásad najdete v tomto článku nápovědy.

Soubory a atributy adresáře na uživatelově zařízení jsou považovány za osobní a citlivé údaje, na které se vztahují zásady uvedené v sekci Osobní a citlivé údaje a následující požadavky:

• Aplikace by měly žádat pouze o takový přístup k úložišti zařízení, který je zásadně důležitý pro funkčnost aplikace. Nesmí žádat o přístup k úložišti zařízení jménem třetí strany za účelem, který nesouvisí se zásadní funkčností aplikace vůči uživateli.
• Zařízení Android s verzí R nebo novější budou vyžadovat svolení MANAGE_EXTERNAL_STORAGE, aby mohla spravovat přístup ve sdíleném úložišti. Všechny aplikace, které cílí na R a vyžadují široký přístup ke sdílenému úložišti (přístup ke všem souborům), musí před publikováním úspěšně projít příslušnou kontrolou přístupu. Aplikace, u kterých je toto oprávnění povoleno, musejí v aplikaci uživatele jasně požádat, aby v nastavení Zvláštní přístup aplikací povolili možnost Přístup ke všem souborům. Další informace o požadavcích na R najdete v tomto článku nápovědy.

Inventář nainstalovaných aplikací vyžádaných ze zařízení je považován za osobní a citlivý údaj o uživatelích. Vztahují se na něj zásady uvedené v sekci Osobní a citlivé údaje a také následující požadavky:

Aplikace, jejichž hlavním účelem je spuštění, vyhledávání nebo spolupráce s jinými aplikacemi v zařízení, mohou v náležitém rozsahu zjistit ostatní aplikace nainstalované v zařízení, jak je uvedeno níže:

• Obecná viditelnost aplikací: Obecná viditelnost je schopnost aplikace zjistit nainstalované aplikace („balíčky“) v zařízení v rozsáhlém („obecném“) měřítku.
  • V případě aplikací, které cílí na úroveň rozhraní API 30 nebo novější, je obecná viditelnost nainstalovaných aplikací dosažená prostřednictvím oprávnění QUERY_ALL_PACKAGES omezena na konkrétní případy užití, kdy je k fungování aplikace potřeba, aby aplikace znala všechny ostatní aplikace v zařízení nebo s nimi komunikovala. 
    • Oprávnění QUERY_ALL_PACKAGES nesmíte použít, pokud aplikace může fungovat s více zacílenou deklarací rozsahu viditelnosti balíčku (např. dotazy na konkrétní balíčky a interakce s nimi namísto požadování obecné viditelnosti).
  • Omezení se vztahují také na alternativní metody, kterými je možné přiblížit se k úrovni obecné viditelnosti, kterou poskytuje oprávnění QUERY_ALL_PACKAGES. Tyto metody lze použít výhradně k poskytování základní funkce aplikace pro uživatele a v případě, že bude zajištěna spolupráce s ostatními aplikacemi objevenými touto metodou.
  • Informace o povolených případech užití oprávnění QUERY_ALL_PACKAGES naleznete v tomto článku centra nápovědy.
• Omezená viditelnost aplikací: Omezená viditelnost nastává, když aplikace minimalizuje přístup k datům tím, že odešle dotazy na konkrétní aplikace pomocí více zacílených (tedy ne „obecných“) metod (např. dotazy na konkrétní aplikace, které vyhovují deklaraci manifestu aplikace). Pomocí této metody můžete odesílat dotazy na aplikace v případech, kdy aplikace umožňuje spolupráci s těmito aplikacemi nebo správu těchto aplikací v souladu se zásadami. 
• Viditelnost inventáře aplikací nainstalovaných v zařízení musí přímo souviset s hlavním účelem nebo hlavní funkcí, kterou uživatelé v aplikaci využívají. 

Data o inventáři aplikací získaná z aplikací distribuovaných ve službě Play nesmí být prodávána ani sdílena pro účely analýzy nebo zpeněžování reklam.

Použití rozhraní API pro přístupnost má následující omezení:

• Nesmí bez souhlasu uživatele měnit nastavení ani bránit uživatelům v deaktivování nebo odinstalaci jakékoli aplikace nebo služby, kromě případů, kdy to povolí rodič nebo zákonný zástupce prostřednictvím aplikace rodičovské kontroly nebo administrátor prostřednictvím softwaru na správu podniku. 
• Nesmí obcházet nastavení ochrany soukromí a oznámení systému Android.
• Nesmí měnit ani zneužívat uživatelské rozhraní způsobem, který je klamavý nebo jiným způsobem porušuje zásady pro vývojáře Google Play. 

Rozhraní Accessibility API není určeno ke vzdálenému nahrávání hovorů a nemůže být k tomuto účelu požadováno.

Použití rozhraní API pro přístupnost musí být zdokumentováno v záznamu na Google Play.

Pokyny pro příznak IsAccessibilityTool

Aplikace, jejichž hlavní funkcí je přímá podpora uživatelů s postižením, smí používat příznak IsAccessibilityTool k veřejnému označení, že se jedná o aplikaci k usnadnění přístupu.

Aplikace, které pro příznak IsAccessibilityTool nejsou způsobilé, toto označení používat nesmí a musí splňovat pravidla pro jasné zveřejnění a souhlas popsaná v zásadách nakládání s údaji o uživatelích, protože funkce související s přístupností nejsou pro uživatele zřejmé. Další informace naleznete v článku centra nápovědy o rozhraní AccessibilityService API.

Aplikace musí namísto rozhraní Accessibility API k dosažení požadovaných funkci používat rozhraní API a oprávnění s užším rozsahem. 

Oprávnění REQUEST_INSTALL_PACKAGES umožňuje aplikaci žádat o instalaci balíčků aplikace. Hlavní funkce aplikace, která může toto oprávnění využívat, musí zahrnovat:

• odesílání nebo příjem balíčků aplikace,
• povolení instalace balíčků aplikace iniciované uživatelem.

Povolené funkce zahrnují:

• procházení internetu nebo vyhledávání,
• komunikační služby podporující přílohy,
• sdílení, převádění a stahování souborů,
• podniková správa zařízení,
• zálohování a obnovení,
• migrace zařízení / přenos telefonu,
• doprovodná aplikace k synchronizaci telefonu s nositelným zařízením nebo internetem věcí (např. chytrými hodinkami nebo televizí).

Hlavní funkce je základním účelem aplikace. Hlavní funkce (včetně dílčích funkcí, které jsou součástí základní funkčnosti) je taková, která je nejvýrazněji zdokumentována a propagována v popisu aplikace.

Oprávnění REQUEST_INSTALL_PACKAGES se nesmí používat k aktualizacím, úpravám nebo seskupování jiných balíčků APK v souboru podkladu, pokud se nejedná o akci v rámci správy zařízení. Všechny aktualizace a instalace balíčků musí dodržovat zásady Google Play ohledně zneužívání zařízení a sítě a musí to být uživatel, kdo je zahájí a má pod kontrolou.

Údaje přístupné na základě oprávnění Health Connect jsou považovány za osobní a citlivé údaje o uživateli, na které se vztahují zásady týkající se údajů o uživatelích a následující další požadavky:

Žádosti o přístup k údajům prostřednictvím služby Health Connect musí být jasné a srozumitelné. Službu Health Connect je dovoleno používat pouze v souladu s příslušnými zásadami, podmínkami a pro schválené případy použití, jak je uvedeno v těchto zásadách. To znamená, že o přístup k oprávněním můžete požádat pouze v případě, že vaše aplikace nebo služba splňuje některý ze schválených případů použití.

Schválené případy použití pro přístup k oprávněním služby Health Connect:

• aplikace nebo služby s jednou nebo více funkcemi ke zlepšování zdraví a kondice uživatelů prostřednictvím uživatelského rozhraní, které uživatelům umožňují přímo zaznamenávat, hlásit, sledovat a/nebo analyzovat fyzickou aktivitu, spánek, duševní pohodu, výživu, zdravotní měření, popisy fyzických vlastností a/nebo jiné popisy a měření týkající se zdraví či kondice,
• aplikace nebo služby s jednou nebo více funkcemi ke zlepšování zdraví a fyzické kondice uživatelů prostřednictvím uživatelského rozhraní, které uživatelům umožňují ukládat do telefonu a/nebo nositelného zařízení informace o fyzické aktivitě, spánku, duševní pohodě, výživě či zdravotních měřeních, popisy tělesné kondice a/nebo jiné popisy a měření týkající se zdraví nebo fyzické kondice a sdílet tyto údaje s jinými aplikacemi v zařízení, které splňují tyto případy použití.

Health Connect je univerzální platforma pro ukládání a sdílení dat, která uživatelům umožňuje agregovat na zařízení se systémem Android údaje o zdravotním stavu a kondici z různých zdrojů a podle vlastní volby je sdílet se třetími stranami. Data mohou pocházet z různých zdrojů, které určí sami uživatelé. Vývojáři musí posoudit, zda je služba Health Connect pro zamýšlené použití vhodná, a musí sami prozkoumat a ověřit zdroj a kvalitu všech údajů ze služby Health Connect a jejich vhodnost pro jakýkoliv účel, zejména pro výzkumné, zdravotnické nebo lékařské účely.

• Aplikace, které s využitím údajů získaných prostřednictvím služby Health Connect provádějí výzkum týkající se zdraví lidí, musí získat souhlas účastníků nebo (v případě nezletilých osob) jejich rodičů či zákonných zástupců. Takový souhlas musí zahrnovat a) povahu, účel a dobu trvání výzkumu, b) postupy, rizika a přínosy pro účastníka, c) informace o důvěrnosti a nakládání s údaji (včetně případného sdílení se třetími stranami), d) kontakt pro dotazy účastníků a e) postup odstoupení od smlouvy. Aplikace, které s využitím údajů získaných prostřednictvím služby Health Connect provádějí výzkum týkající se zdraví lidí, musí být schváleny nezávislou komisí, jejímž cílem je 1) chránit práva, bezpečnost a blaho účastníků a 2) která má pravomoc kontrolovat, upravovat a schvalovat výzkum týkající se lidí. Doklad o takovémto schválení musí být na požádání předložen.
• Je také vaší odpovědností zajistit soulad s jakýmikoliv regulačními nebo právními požadavky, které se na vás na základě zamýšleného použití služby Health Connect a jakýchkoliv údajů ze služby Health Connect mohou vztahovat. S výjimkou případů, kdy je to výslovně uvedeno v označení nebo informacích poskytovaných společností Google pro konkrétní produkty nebo služby Google, společnost Google neschvaluje použití ani nezaručuje přesnost jakýchkoliv údajů obsažených v aplikaci Health Connect pro jakékoliv účely, zejména pro výzkumné, zdravotní či lékařské účely. Společnost Google se zříká veškeré odpovědnosti spojené s použitím dat získaných prostřednictvím služby Health Connect.

Při použití služby Health Connect pro náležitý případ použití musí vaše použití údajů, k nimž máte přístup prostřednictvím služby Health Connect, splňovat také níže uvedené požadavky. Tyto požadavky se vztahují na nezpracované údaje získané ze systému Health Connect i na údaje agregované, zbavené identifikátorů nebo odvozené z nezpracovaných údajů.

• Údaje služby Health Connect používejte pouze k poskytování nebo zlepšování příslušných případů použití nebo funkcí, které jsou jasně viditelné v uživatelském rozhraní aplikace, která o ně žádá.
• Třetím stranám údaje o uživatelích poskytujte pouze:
  • k poskytování nebo vylepšování vhodných případů použití nebo funkcí, které jsou zřejmé z uživatelského rozhraní aplikace, jež o ně žádá, a to pouze se souhlasem uživatele,
  • pokud je to nutné z bezpečnostních důvodů (například při vyšetřování zneužití),
  • k dodržení platných právních předpisů,
  • v rámci fúze, akvizice nebo prodeje aktiv vývojáře po získání výslovného předchozího souhlasu od uživatele.
• Lidem můžete umožnit číst údaje o uživatelích pouze v následujících případech:
  • Byl získán výslovný souhlas uživatele ke čtení konkrétních údajů.
  • Je to nezbytné pro bezpečnostní účely (například k vyšetření zneužití).
  • Je to nezbytné k zajištění souladu s platnými právními předpisy.
  • Údaje (včetně odvozených) jsou agregovány a jsou používány pro interní operace v souladu s platnými právními požadavky na ochranu soukromí a dalšími právními podmínkami v dané jurisdikci.

Veškeré jiné přenosy, použití nebo prodeje údajů ze služby Health Connect jsou zakázány, a to včetně těchto:

• přenos nebo prodej údajů o uživatelích třetím stranám, jako jsou reklamní platformy, zprostředkovatelé dat nebo přeprodejci informací,
• přenos, prodej nebo používání údajů o uživatelích k zobrazování reklam, včetně personalizované nebo zájmově orientované reklamy,
• přenos, prodej nebo používání údajů o uživatelích ke zjištění úvěruschopnosti nebo k poskytování úvěrů,
• přenos, prodej nebo používání údajů o uživatelích s jakýmkoli produktem nebo službou, které lze kvalifikovat jako zdravotnické zařízení podle paragrafu 201 (h) federálního zákona o potravinách, léčivech a kosmetických prostředcích (Federal Food, Drug and Cosmetic Act), pokud budou údaje o uživatelích zdravotnickým zařízením použity k plnění jeho regulované funkce,
• přenos, prodej nebo používání údajů o uživatelích k jakémukoliv účelu nebo jakýmkoliv způsobem, který se týká chráněných zdravotních údajů (podle definice HIPAA), pokud k takovému použití nedostanete od společnosti Google předchozí písemný souhlas.

Přístup ke službě Health Connect nesmí být používán v rozporu s těmito zásadami nebo jinými platnými podmínkami nebo zásadami služby Health Connect, a to ani k následujícím účelům:

• Nepoužívejte službu Health Connect při vývoji nebo k začlenění do aplikací, prostředí či aktivit, u nichž lze důvodně očekávat, že by použití nebo selhání služby Health Connect mohlo vést k úmrtí, zranění osob nebo poškození životního prostředí či majetku (například při vytváření nebo provozu jaderných zařízení, řízení letového provozu, systémů podpory života nebo zbraní).
• Nepřistupujte k údajům získaným prostřednictvím služby Health Connect pomocí aplikací bez grafické vrstvy. Aplikace musí mít jasně identifikovatelnou ikonu na liště aplikací, v nastavení aplikací v zařízení, na ikonách oznámení apod.
• Nepoužívejte službu Health Connect s aplikacemi, které synchronizují data mezi nekompatibilními zařízeními nebo platformami.
• Služba Health Connect se nemůže připojit k aplikacím, službám nebo funkcím, které jsou určeny výhradně dětem. Služba Health Connect není schválena k použití ve službách určených primárně dětem.

Ve vaší aplikaci nebo na webu patřícím k vaší webové službě nebo aplikaci musí být zveřejněno prohlášení, že vaše používání údajů služby Health Connect je v souladu s omezeními uvedenými v sekci Omezené použití. Může se jednat například o odkaz na domovské stránce vedoucí na vyhrazenou stránku nebo na zásady ochrany soukromí s textem „Používání informací získaných ze služby Health Connect se řídí zásadami oprávnění služby Health Connect, včetně požadavků v sekci Omezené použití.“

Můžete požádat pouze o přístup k oprávněním, která jsou nezbytná k implementaci funkcí vaší aplikace nebo služby. 

To znamená:

• Nežádejte o přístup k informacím, které nepotřebujete. Žádejte pouze o přístup k oprávněním nezbytným k implementaci funkcí nebo služeb vašeho produktu. Pokud váš produkt přístup k určitým oprávněním nevyžaduje, nesmíte o přístup k těmto oprávněním žádat.

Služba Health Connect zpracovává údaje o zdravotním stavu a kondici, které zahrnují osobní a citlivé informace. Všechny aplikace a služby musí obsahovat zásady ochrany soukromí, které musí komplexně informovat o tom, jak aplikace nebo služba shromažďuje, používá a sdílí údaje o uživatelích. Musíte mimo jiné uvést, s jakými typy stran údaje o uživatelích sdílíte, jak je používáte, ukládáte a zabezpečujete a co se s nimi stane při deaktivaci či odstranění účtu.

Kromě požadavků vyplývajících z platných právních předpisů musíte dodržovat také následující požadavky:

• Musíte poskytnout oznámení o přístupu k údajům, jejich shromažďování, používání a sdílení. Toto oznámení musí splňovat následující náležitosti:
  • Musí přesně reprezentovat identitu aplikace nebo služby, která žádá o přístup k údajům o uživatelích.
  • Musí poskytovat jasné a přesné informace vysvětlující, k jakým typům údajů se přistupuje nebo jsou vyžadovány či shromažďovány.
  • Musí vysvětlovat, jak budou data použita a/nebo sdílena: pokud data požadujete z jednoho důvodu, ale budou použita i k dalšímu účelu, musíte uživatele informovat o obou případech použití.
• Musíte poskytnout dokumentaci nápovědy pro uživatele, která vysvětluje, jak mohou uživatelé data v aplikaci spravovat a jak je mohou odstranit.

Veškeré údaje o uživatelích musíte zpracovávat zabezpečeným způsobem. Přijměte přiměřená a vhodná opatření k ochraně všech aplikací nebo systémů, které využívají službu Health Connect, před neoprávněným nebo nezákonným přístupem, použitím, zničením, ztrátou, změnou nebo zveřejněním.

Mezi doporučené bezpečnostní postupy patří zavedení a udržování systému řízení bezpečnosti informací, jak je uvedeno v normě ISO/IEC 27001, a zajištění, aby aplikace nebo webová služba byla robustní a bez běžných bezpečnostních problémů, jak je uvedeno v seznamu OWASP Top 10.

Pokud váš produkt přenáší data mimo vlastní zařízení uživatele, v závislosti na rozhraní API, ke kterému přistupujete, a počtu oprávnění udělených uživateli nebo počtu uživatelů budeme vyžadovat, aby vaše aplikace nebo služba prošla pravidelným hodnocením zabezpečení a získala písemné posouzení od určené třetí strany.

Další informace o požadavcích na aplikace, které se připojují ke službě Health Connect, naleznete v tomto článku nápovědy.

VpnService je základní třída pro aplikace, které rozšiřují a vytvářejí vlastní řešení VPN. Pouze aplikace, které používají třídu VpnService a ;mají VPN jako svou základní funkci, mohou vytvořit bezpečný tunel na úrovni zařízení ke vzdálenému serveru. Výjimkou jsou aplikace, které vyžadují vzdálený server pro základní funkce, jako jsou:

• aplikace pro rodičovskou kontrolu a podnikovou správu,
• sledování využití aplikace,
• aplikace k zabezpečení zařízení (například antivir, správa mobilních zařízení, firewall),
• nástroje související se sítí (například vzdálený přístup),
• aplikace k procházení webu,
• aplikace operátora, které vyžadují funkce VPN k poskytování služeb telefonu nebo připojení.

Třídu VpnService není dovoleno používat k následujícím účelům:

• shromažďování osobních a citlivých údajů o uživatelích bez oznámení na viditelném místě a souhlasu,
• přesměrování nebo úprava provozu uživatelů z jiných aplikací na zařízení za účelem zpeněžení (například přesměrování reklamního provozu přes jinou zemi, než je země uživatele),

Aplikace, které používají třídu VpnService, musí:

• zdokumentovat použití třídy VpnService v záznamu na Google Play,
• šifrovat data přenášená ze zařízení do koncového bodu tunelu VPN,
• dodržovat všechny programové zásady pro vývojáře, včetně zásad týkajících se reklamních podvodů, oprávnění a malwaru.  

Počínaje Androidem 13 (cílová úroveň API 33) bude zavedeno nové oprávnění USE_EXACT_ALARM, které aplikacím bude umožňovat přístup k funkci přesných budíků. 

USE_EXACT_ALARM je omezené oprávnění a aplikace toto oprávnění smějí deklarovat pouze v případě, že jejich základní funkce vyžaduje přístup k přesným budíkům. Aplikace požadující toto omezené oprávnění podléhají kontrole. Pokud nebudou splňovat kritéria přijatelného použití, nebude je možné na Google Play publikovat.

Přijatelné případy použití oprávnění pro přístup k přesným budíkům

Funkci USE_EXACT_ALARM smí aplikace používat pouze v případě, že její základní funkce pro uživatele vyžaduje přesně načasované akce. Příklady:

• Aplikace je budík nebo časovač.
• Jedná se o kalendářovou aplikaci, která zobrazuje upozornění na události.

Pokud funkci přesných budíků používáte k něčemu, co není popsáno výše, měli byste zvážit, zda by jako alternativu nebylo možné použít oprávnění SCHEDULE_EXACT_ALARM.

Další informace o funkci přesných budíků naleznete v těchto pokynech pro vývojáře.