Ten artykuł wkrótce się zmieni
Zaktualizujemy ten artykuł, aby uwzględnić niedawno ogłoszone zmiany.
Aby zapewnić użytkownikom lepsze wrażenia, wprowadzamy nowe ograniczenia dotyczące korzystania z uprawnień USE_FULL_SCREEN_INTENT. W przypadku aplikacji kierowanych na Androida U (poziom API 34) i nowsze wersje zmieniamy te uprawnienia na uprawnienia aplikacji ze specjalnym dostępem. Domyślnie uprawnienia te będą przyznawane tylko tym aplikacjom, których główna funkcjonalność wymaga powiadomień pełnoekranowych. Pozostałe aplikacje będą musiały poprosić użytkownika o wyrażenie zgody. (zmiany obowiązujące od 31 maja 2024 roku)
Aby zapewnić użytkownikom większą prywatność, wprowadzamy zasady dotyczące uprawnień do zdjęć i filmów. Dzięki nim mniej aplikacji będzie mogło prosić o przyznanie szerokich uprawnień do zdjęć i filmów (READ_MEDIA_IMAGES i READ_MEDIA_VIDEO). Aplikacje mogą uzyskiwać dostęp do zdjęć i filmów wyłącznie w celach bezpośrednio związanych ze swoimi funkcjami. W przypadku aplikacji, które mają jednorazową lub rzadką potrzebę dostępu do tych plików, wymagane jest użycie selektora systemowego, takiego jak selektor zdjęć w Androidzie. (obowiązują od 31 sierpnia 2024 r.)
Aktualizujemy zasady dotyczące Health Connect, aby dostosować je do zasad dotyczących aplikacji do dbania o zdrowie i usprawnić proces składania wniosku związanego z Health Connect. Dotychczasowy wniosek oparty na formularzu zostanie w tym roku zastąpiony nową deklaracją w Konsoli Play. (obowiązują od 31 sierpnia 2024 r.)
Podgląd zaktualizowanego artykułu „Uprawnienia i interfejsy API z dostępem do informacji poufnych” znajdziesz na tej stronie.
Prośby dotyczące uprawnień i interfejsów API z dostępem do informacji poufnych powinny być zrozumiałe dla użytkowników. Możesz prosić tylko o uprawnienia i stosowanie interfejsów API, które mają dostęp do danych poufnych, jeśli są konieczne do zaimplementowania bieżących funkcji lub usług wymienionych w informacjach o aplikacji w Google Play. Nie możesz używać uprawnień ani interfejsów API z dostępem do informacji poufnych, które przyznają dostęp do danych użytkownika lub urządzenia, na potrzeby funkcji lub działań, które są nieujawnione, niezaimplementowane albo niedozwolone. Nigdy nie wolno sprzedawać ani udostępniać w celu sprzedaży danych osobowych ani poufnych, do których dostęp jest uzyskiwany po udzieleniu uprawnień lub przez interfejs API z dostępem do informacji poufnych.
Prośby o uprawnienia i dostęp API do danych poufnych wyświetlaj w odpowiednim kontekście (stosując żądania stopniowe). Dzięki temu użytkownicy będą rozumieć, do czego aplikacja potrzebuje konkretnych danych. Dane można wykorzystywać wyłącznie w celach, na które użytkownik wyraził zgodę. Jeśli chcesz użyć danych w innych celach, zapytaj użytkowników, czy zgadzają się na dodatkowe sposoby korzystania z danych, i uzyskaj od nich taką zgodę.
Uprawnienia z ograniczeniami
W uzupełnieniu wymienionych tu zasad – uprawnienia z ograniczeniami to takie, które są określane jako niebezpieczne, szczególne lub wymagające podpisu albo są zgodne z poniższym opisem. Podlegają one tym dodatkowym wymaganiom i ograniczeniom:
- Dane dotyczące użytkowników lub urządzeń, do których dostęp uzyskuje się na podstawie uprawnień z ograniczeniami, są uznawane za dane osobowe i poufne użytkowników. W takim przypadku obowiązują zasady dotyczące danych użytkownika.
- Jeśli użytkownik odrzuci prośbę o przyznanie uprawnienia z ograniczeniami, musisz uszanować jego decyzję. Nie wolno fałszywie nakłaniać ani zmuszać użytkowników do przyznawania uprawnień, które nie mają krytycznego znaczenia. Musisz podjąć uzasadnione działania, by dostosować funkcjonowanie aplikacji do użytkowników, którzy nie przyznali dostępu do uprawnień newralgicznych (np. umożliwiając ręczne wpisanie numeru telefonu użytkownikowi, który ograniczył dostęp aplikacji do rejestrów połączeń).
- Zabronione jest korzystanie z uprawnień w sposób niezgodny z zasadami Google Play dotyczącymi złośliwego oprogramowania (w tym nadużywanie podwyższonych uprawnień).
Niektóre uprawnienia z ograniczeniami są objęte dodatkowymi wymaganiami (szczegóły znajdują się poniżej). Takie ograniczenia mają chronić prywatność użytkownika. W bardzo rzadkich przypadkach możemy zgodzić się na odstępstwa od podanych poniżej wymagań, gdy aplikacja oferuje funkcje, które są bardzo atrakcyjne lub mają znaczenie krytyczne, i nie można ich zapewnić w inny sposób. Takie wyjątki rozważamy, biorąc pod uwagę potencjalne zagrożenia dla prywatności i bezpieczeństwa użytkowników.
Uprawnienia dostępu do SMS-ów i rejestru połączeńUprawnienia dostępu do SMS-ów i rejestru połączeń są traktowane jako osobowe i poufne dane użytkownika. Podlegają zasadom opisanym w sekcji Dane osobowe i poufne oraz tym ograniczeniom:
Aplikacje, których nie można ustawić jako domyślnej aplikacji do obsługi SMS-ów, telefonu lub Asystenta, nie mogą deklarować korzystania z powyższych uprawnień w manifeście. Obejmuje to tekst zastępczy w manifeście. Poza tym, zanim aplikacja wyświetli użytkownikowi prośbę o zaakceptowanie dowolnego z powyższych uprawnień, musi być aktywnie zarejestrowana jako domyślna aplikacja do obsługi SMS-ów, telefonu lub Asystenta. Musi też niezwłocznie przestać korzystać z danego uprawnienia, gdy straci status domyślnej aplikacji do obsługi. Dozwolone przypadki użycia i wyjątki są opisane na tej stronie w Centrum pomocy. Aplikacja może korzystać z uprawnienia (i dowolnych danych uzyskanych na jego podstawie) wyłącznie do udostępniania swoich zatwierdzonych, kluczowych funkcji. Kluczowa funkcja to podstawowe przeznaczenie aplikacji. Może to być zestaw podstawowych funkcji, z których każda musi być w widoczny sposób udokumentowana i wskazana w opisie aplikacji. Aplikacja bez kluczowych funkcji jest uważana za „zepsutą”, czyli bezużyteczną. Przesyłanie, udostępnianie lub licencjonowane użycie tych danych może odbywać się wyłącznie w związku z zapewnianiem działania kluczowych funkcji i usług aplikacji. Nie wolno używać tych danych do innych celów (np. usprawniania innych aplikacji lub usług bądź w celach marketingowych). Do odczytywania danych uzyskiwanych na podstawie uprawnień dostępu do rejestru połączeń lub SMS-ów nie wolno używać alternatywnych rozwiązań (w tym innych uprawnień, interfejsów API ani zewnętrznych źródeł danych). |
Dostęp do lokalizacjiLokalizacja urządzenia uznawana jest za dane osobowe i poufne użytkownika podlegające zasadom dotyczącym danych osobowych i informacji poufnych, zasadom dotyczącym lokalizacji w tle oraz tym wymogom:
Aplikacja może korzystać z dostępu do lokalizacji jako usługa działająca na pierwszym planie (gdy aplikacja ma dostęp tylko na pierwszym planie, np. „podczas używania”), jeśli takie użycie:
Aplikacje przeznaczone dla dzieci muszą być zgodne z zasadami programu Dla całej rodziny. Więcej informacji o wymaganiach wynikających z tych zasad znajdziesz w tym artykule pomocy. |
Uprawnienia dostępu do wszystkich plikówAtrybuty plików i katalogów na urządzeniu użytkownika są traktowane jako osobowe i poufne dane użytkownika. Podlegają zasadom opisanym w sekcji Dane osobowe i poufne oraz tym ograniczeniom:
|
Uprawnienia do wyświetlania pakietów (aplikacji)Lista zainstalowanych aplikacji pobierana z urządzenia jest traktowana jako osobowe i poufne dane użytkownika. Podlega ona zasadom dotyczącym danych osobowych i poufnych oraz tym ograniczeniom: Aplikacje, których podstawowym celem jest uruchamianie innych aplikacji zainstalowanych na urządzeniu, wyszukiwanie ich i współdziałanie z nimi, mogą mieć wgląd w inne aplikacje na tych zasadach:
Dane o zasobach aplikacji rozpowszechnianych w Google Play nie mogą być sprzedawane ani udostępniane na potrzeby analityki i zarabiania na reklamach. |
Accessibility APIZa pomocą interfejsu Accessibility API nie można:
Interfejs Accessibility API nie służy do zdalnego nagrywania dźwięku połączeń i nie może być do tego używany. Korzystanie z interfejsu Accessibility API musi być udokumentowane w informacjach o aplikacji w Google Play. Wytyczne dotyczące atrybutu IsAccessibilityToolAplikacje, których podstawowym przeznaczeniem jest bezpośrednie wspieranie osób z niepełnosprawnościami, mogą za pomocą atrybutu IsAccessibilityTool publicznie zaznaczyć, że są aplikacjami ułatwień dostępu. Aplikacje, które nie kwalifikują się do korzystania z atrybutu IsAccessibilityTool, nie mogą używać tej flagi. Muszą też spełniać wymagania w zakresie wyraźnego informowania i uzyskiwania zgody na gromadzenie informacji, jak opisano w zasadach dotyczących danych użytkownika, ponieważ ich funkcje związane z ułatwieniami dostępu nie są oczywiste dla odbiorcy. Więcej informacji znajdziesz w Centrum pomocy, w artykule dotyczącym interfejsu AccessibilityService API. Gdy to możliwe, zamiast interfejsu Accessibility API aplikacje muszą korzystać z bardziej ograniczonych uprawnień i interfejsów API, aby zapewnić oczekiwane działanie. |
Prośba o uprawnienia do instalowania pakietówUprawnienie REQUEST_INSTALL_PACKAGES umożliwia aplikacji żądanie zainstalowania jej pakietów. Aby aplikacja mogła z niego skorzystać, jej główna funkcjonalność musi obejmować:
Dozwolone funkcje to:
Główna funkcjonalność to ogólne przeznaczenie aplikacji. Główna funkcjonalność, a także wszelkie ważne funkcje, które się na nią składają, muszą być w widoczny sposób udokumentowane i umieszczone w opisie aplikacji. Uprawnienie REQUEST_INSTALL_PACKAGES nie może być wykorzystywane do przeprowadzania samoaktualizacji, wprowadzania modyfikacji ani do łączenia w pakiety innych plików APK w pliku zasobów w celach innych niż zarządzanie urządzeniem. Wszystkie aktualizacje i instalacje pakietów muszą być zgodne z zasadami Google Play dotyczącymi nadużywania urządzeń lub sieci, a także muszą być inicjowane przez użytkownika. |
Uprawnienia Health Connect by AndroidDane, do których deweloperzy uzyskują dostęp przy użyciu uprawnień Health Connect, są uznawane za osobowe i poufne dane użytkownika podlegające zasadom dotyczącym danych użytkownika oraz tym dodatkowym wymaganiom: Uzyskiwanie dostępu do danych Health Connect i korzystanie z nich w odpowiedni sposóbProśby o dostęp do danych z Health Connect muszą być jasne i zrozumiałe. Z Health Connect można korzystać tylko zgodnie z odpowiednimi zasadami i Warunkami korzystania z usługi oraz tylko w zatwierdzonych przypadkach użycia określonych w tych zasadach. Oznacza to, że można prosić o uprawnienia tylko wtedy, gdy aplikacja lub usługa jest zgodna z jednym z zatwierdzonych przypadków użycia. Zatwierdzone przypadki użycia pozwalające na dostęp do uprawnień Health Connect:
Health Connect to platforma ogólnego przeznaczenia do przechowywania i udostępniania danych, która pozwala użytkownikom na agregowanie danych o zdrowiu i kondycji fizycznej z różnych źródeł na posiadanym urządzeniu z Androidem oraz dobrowolne udostępnianie ich osobom trzecim. Dane mogą pochodzić z różnych źródeł określonych przez użytkowników. Deweloperzy muszą ocenić, czy Health Connect jest odpowiednią platformą na ich potrzeby, a także sprawdzić i dokładnie ocenić źródło oraz jakość danych z Health Connect, a także ich przydatność do zamierzonego celu, zwłaszcza w kontekście badań, zdrowia lub medycyny.
Ograniczone użytkowanieW ramach dopuszczalnego korzystania z Health Connect deweloperzy muszą zagwarantować, że użycie przez nich danych z Health Connect spełnia także poniższe wymogi. Dotyczą one nieprzetworzonych danych uzyskanych z Health Connect oraz danych zbiorczych, zdeidentyfikowanych lub pozyskanych z nieprzetworzonych danych.
Wszelkie inne przypadki przekazywania, wykorzystywania lub sprzedawania danych z Health Connect są zabronione. Ten zakaz obejmuje:
Dostęp do Health Connect nie może być realizowany w sprzeczności z tymi zasadami lub jakimikolwiek innymi obowiązującymi przepisami lub Warunkami korzystania z Health Connect. Obejmuje to te cele:
W aplikacji lub na stronie internetowej powiązanej z usługą sieciową lub aplikacją deweloper musi zamieścić oświadczenie, że wykorzystywanie przez niego danych z Health Connect jest zgodne z wymogami ograniczonego użycia. Może to być na przykład link na stronie głównej kierujący do odpowiedniej strony lub polityki prywatności z informacją: „Wykorzystanie informacji uzyskanych z Health Connect będzie zgodne z zasadami uprawnień do Health Connect, w tym z wymogami ograniczonego użytkowania”. Dane w minimalnym zakresieMożna prosić o dostęp tylko do tych uprawnień, które są niezbędne do realizowania funkcji aplikacji lub usługi. Oznacza to, że:
Przejrzyste i precyzyjne metody powiadamiania i kontroliHealth Connect obsługuje dane o zdrowiu i aktywności fizycznej, w tym osobowe i poufne informacje. Wszystkie aplikacje i usługi muszą zawierać politykę prywatności, która musi w pełni opisywać, w jaki sposób dana aplikacja lub usługa zbiera, wykorzystuje i udostępnia dane użytkownika. Obejmuje to informacje o osobach trzecich, którym udostępniane są dane użytkownika, o sposobie wykorzystywania, przechowywania i zabezpieczania danych przez dewelopera, a także o tym, co się dzieje z danymi w przypadku dezaktywacji lub usunięcia konta. Oprócz wymagań wynikających z obowiązującego prawa, deweloper musi także stosować się do tych wymogów:
Bezpieczna obsługa danychPostępowanie z danymi użytkownika musi odbywać się w bezpieczny sposób. Deweloper musi podjąć wszelkie odpowiednie kroki w celu zabezpieczenia wszystkich aplikacji lub systemów korzystających z Health Connect przed nieautoryzowanym lub bezprawnym dostępem, użyciem, zniszczeniem, utratą, zmianą lub ujawnieniem danych. Wśród zalecanych środków bezpieczeństwa jest zaimplementowanie i utrzymywanie systemu zarządzania bezpieczeństwem informacji, tak jak opisano to w normie ISO/IEC 27001, oraz zapewnienie, że aplikacja lub usługa sieciowa nie ma typowych luk w zabezpieczeniach, tak jak opisano to w publikacji OWASP Top 10. W zależności od wykorzystywanego interfejsu API oraz liczby użytkowników wymagamy od deweloperów, aby ich aplikacje lub usługi poddawane były okresowej ocenie bezpieczeństwa oraz uzyskały list oceniający od wyznaczonej do tego organizacji, jeśli ich produkt wysyła dane poza urządzenie użytkownika. Więcej informacji na temat wymagań wobec aplikacji łączących się z Health Connect można znaleźć w tym artykule pomocy. |
Usługa VPNVpnService to klasa bazowa, która umożliwia Twoim aplikacjom rozszerzanie i tworzenie własnych rozwiązań VPN. Tylko aplikacje używające VpnService i mające VPN jako główną funkcję mogą tworzyć na poziomie urządzenia bezpieczne tunele do serwera zdalnego. Do wyjątków należą aplikacje, które wymagają serwera zdalnego do obsługi swoich głównych funkcji, na przykład:
Klasy VpnService nie można używać do:
Aplikacje używające klasy VpnService muszą:
|
Uprawnienie dostępu do precyzyjnych alarmówWprowadzimy nowe uprawnienie USE_EXACT_ALARM, które będzie dawało dostęp do funkcji precyzyjnego alarmu w aplikacjach na Androidzie w wersji od 13 wzwyż (docelowy poziom API 33). USE_EXACT_ALARM to uprawnienie z ograniczonym dostępem, które aplikacje mogą deklarować wyłącznie wtedy, gdy ich główna funkcja wymaga precyzyjnego alarmu. Aplikacje, które proszą o to uprawnienie, są weryfikowane, a te, które nie spełniają kryteriów dopuszczalnego użytkowania, nie mogą być publikowane w Google Play. Zasady dopuszczalnego użytkowania uprawnienia dostępu do precyzyjnych alarmów Aplikacja może używać uprawnienia USE_EXACT_ALARM tylko wtedy, gdy jej główna, widoczna dla użytkowników funkcja wymaga wykonywania działań w precyzyjnym czasie. Na przykład:
Jeśli Twój przypadek użycia funkcji precyzyjnego alarmu nie został opisany powyżej, zastanów się, czy nie można w tym przypadku użyć uprawnienia SCHEDULE_EXACT_ALARM. Więcej informacji o funkcji precyzyjnego alarmu znajdziesz w tym przewodniku dla deweloperów. |