Разрешения и API с доступом к конфиденциальной информации

SMS и список вызовов считаются личными и конфиденциальными данными. К ним применяются положения раздела Личная и конфиденциальная информация, а также следующие ограничения:

Ограниченное разрешение	Требования
Группа разрешений на доступ к списку вызовов (например, READ_CALL_LOG, WRITE_CALL_LOG, PROCESS_OUTGOING_CALLS)	Приложение должно быть зарегистрировано как помощник или обработчик звонков по умолчанию.
Группа разрешений на доступ к SMS (например, READ_SMS, SEND_SMS, WRITE_SMS, RECEIVE_SMS, RECEIVE_WAP_PUSH, RECEIVE_MMS)	Приложение должно быть зарегистрировано как помощник или обработчик SMS по умолчанию.

 

Приложениям, которые не могут быть назначены помощником или обработчиком SMS или звонков по умолчанию, запрещено запрашивать подобные разрешения. В том числе нельзя указывать соответствующие теги в манифесте. Запрашивать такие разрешения можно только после того, как пользователь сам установит приложение в качестве помощника или обработчика для SMS или звонков по умолчанию. Как только пользователь изменит свой выбор, приложение должно прекратить использовать эти разрешения. Допустимые сценарии использования и исключения описаны в этой статье Справочного центра.

Приложения могут использовать указанные выше разрешения и полученные благодаря им данные только для работы основных функций (например, для обеспечения возможностей, явно указанных в описании приложения). Основными называются функции, без которых приложение невозможно использовать. Передача данных, в том числе для использования по лицензии, а также предоставление доступа к ним допускается только в целях, необходимых для работы основных функций приложения или сервисов в нем. Запрещено использовать данные в любых других целях, включая улучшение сервисов или приложений, рекламу и маркетинг. Нельзя использовать альтернативные способы (включая другие разрешения, API и сторонние источники) для получения данных, связанных с разрешениями на доступ к списку вызовов и SMS.

Данные о местоположении устройства считаются личными и конфиденциальными. К ним применяются положения правил о личной и конфиденциальной информации и доступе к данным о местоположении в фоновом режиме, а также следующие требования:

• Приложения не должны использовать данные, защищенные разрешениями на доступ к местоположению (например, ACCESS_FINE_LOCATION, ACCESS_COARSE_LOCATION, ACCESS_BACKGROUND_LOCATION), если эти сведения не нужны для работы функций и сервисов, которые уже есть в приложении.
• Ни при каких обстоятельствах нельзя запрашивать доступ к данным о местоположении, если они будут использоваться только для рекламы и аналитики. Приложения, в которых эти данные будут использоваться в том числе для показа рекламы (после получения разрешения от пользователя), должны соответствовать правилам размещения рекламы.
• Запрашивать следует минимально необходимый уровень доступа (то есть доступ к приблизительным, а не к точным данным о местоположении и разрешение на использование в активном режиме, а не в фоновом) и только если доступ действительно требуется для работы сервиса или функции, имеющихся в приложении. Пользователи должны ясно понимать, почему для той или иной функции нужен запрашиваемый уровень доступа. Мы можем отказать в публикации приложений, которые запрашивают фоновый доступ к данным о местоположении без веского обоснования.
• Доступ к данным о местоположении в фоновом режиме можно использовать только в том случае, если они нужны для работы функций, которые полезны для пользователя и связаны с основным назначением приложения.

Приложение может получать доступ к сведениям о местоположении в активном режиме (когда с приложением работают), если использование этих данных:

• необходимо для выполнения в приложении действия, инициированного пользователем;
• прекращается сразу после выполнения этого действия.

Приложения, разработанные специально для детей, должны соответствовать требованиям программы Приложения для всей семьи.

Дополнительную информацию можно найти в этой справочной статье.

Информация о файлах и папках на устройстве пользователя считается личной и конфиденциальной информацией и должна соответствовать положениям раздела Личная и конфиденциальная информация, а также следующим требованиям:

• Приложения должны запрашивать доступ к хранилищу устройства только в том случае, если это необходимо для работы приложения. Они не могут запрашивать доступ к хранилищу от имени третьего лица для любых целей, не связанных с ключевыми функциями приложения.
• Устройствам Android с версией R или более поздней для управления доступом к общему хранилищу необходимо разрешение MANAGE_EXTERNAL_STORAGE. Все приложения, предназначенные для этой версии системы и запрашивающие доступ к общему хранилищу ("Доступ ко всем файлам"), проходят соответствующую проверку перед публикацией. Приложения, которые могут использовать это разрешение, должны явно предлагать пользователям включить доступ ко всем файлам в меню настроек "Специальный доступ для приложений". Дополнительную информацию можно найти в этой статье.

Список установленных приложений на устройстве пользователя считается личной и конфиденциальной информацией, которая должна соответствовать положениям раздела Личная и конфиденциальная информация, а также следующим требованиям:

Приложения, основной функцией которых является запуск, поиск других приложений на устройстве или взаимодействие с ними, могут получить соответствующее разрешение на просмотр других установленных приложений следующим образом:

• Широкий доступ к списку пакетов. Это возможность приложения видеть все установленные на устройстве приложения (пакеты).
  • Приложения, предназначенные для ОС с API уровня 30 и выше, могут получить широкий доступ к списку приложений с помощью разрешения QUERY_ALL_PACKAGES лишь в некоторых случаях, а именно когда для корректной работы приложению необходимо получать данные о других приложениях и/или взаимодействовать с ними.
    • Нельзя использовать разрешение QUERY_ALL_PACKAGES, если приложение может работать с более ограниченным набором приложений. Например, вы можете выбрать отдельные пакеты, доступ к которым будет запрашивать ваше приложение.
  • Существуют альтернативные методы, которые позволяют получить практически такой же уровень доступа, как с помощью разрешения QUERY_ALL_PACKAGES. Использовать их допускается только для работы ключевых функций приложения (важных для пользователя) и только для взаимодействия с приложениями, которые были найдены этими альтернативными методами.
  • Чтобы узнать, в каких случаях допускается использование разрешения QUERY_ALL_PACKAGES, ознакомьтесь с этой статьей Справочного центра.
• Ограниченный доступ. Приложение с ограниченным доступом будет запрашивать только информацию об определенных пакетах, используя более узкие методы, например с помощью указанных параметров в файле манифеста. Этот метод можно использовать, когда приложение соответствует правилам и ему требуется доступ к управлению другими приложениями или взаимодействию с ними.
• Доступ к списку пакетов должен быть напрямую связан с основным назначением приложения или его основными функциями (то есть с функциями, ради которых пользователь работает с приложением).

Ни при каких обстоятельствах нельзя продавать данные о списке приложений, установленных из Google Play, а также предоставлять к ним доступ для аналитики и получения дохода от рекламных объявлений.

API для специальных возможностей нельзя использовать:

• для изменения настроек пользователя без его согласия или блокировки отключения или удаления приложений или сервисов, за исключением случаев, когда разрешение было предоставлено родителем или законным представителем через приложение родительского контроля или уполномоченными администраторами через программное обеспечение для управления корпоративными устройствами;
• для работы в обход настроек конфиденциальности, встроенных в операционную систему Android;
• для модификации пользовательского интерфейса или взаимодействия с ним в нарушение правил Google Play для разработчиков (например, с целью обмана пользователей).

API для специальных возможностей не предназначен для удаленной записи звонков и не может запрашиваться для этой цели.

Использование API для специальных возможностей должно быть отмечено на странице приложения в Google Play.

Рекомендации по использованию метода IsAccessibilityTool

Если основным назначением приложения является непосредственная поддержка людей с инвалидностью, вы можете указать, что это ПО для обеспечения специальных возможностей, выполнив метод IsAccessibilityTool.

В противном случае вы не можете использовать этот метод, но приложение все равно должно соответствовать требованиям к раскрытию информации и получению согласия пользователей, описанным в правилах в отношении пользовательских данных, поскольку поддержка специальных возможностей неочевидна. Чтобы узнать больше, прочитайте статью об AccessibilityService API в нашем Справочном центре.

Используйте API и разрешения с более узкой областью действия, чем у API для специальных возможностей, если этого достаточно для желаемой функциональности.

Разрешение REQUEST_INSTALL_PACKAGES позволяет запрашивать установку пакетов приложений. Для его использования требуются следующие основные функции:

• отправка и получение пакетов приложений;
• установка пакетов приложений по команде пользователя.

Допускается наличие следующих функций:

• просмотр веб-страниц или веб-поиск;
• обмен сообщениями с возможностью прикрепления файлов;
• передача и совместное использование файлов, а также управление ими;
• управление корпоративными устройствами;
• резервное копирование и восстановление;
• перенос данных.

Основная функция – это главное назначение приложения. Она должна быть явно обозначена в описании приложения.

Разрешение REQUEST_INSTALL_PACKAGES нельзя использовать для обновления, изменения или объединения других APK в файле объекта. Это можно сделать только в целях управления устройством. Обновление и установка пакетов должны выполняться по инициативе и под контролем пользователя в соответствии с правилами Google Play в отношении злоупотребления ресурсами устройства и сети.

Данные, доступ к которым осуществляется с помощью разрешений для Health Connect, считаются персональной и конфиденциальной пользовательской информацией. К ним применяются правила в отношении пользовательских данных и дополнительные требования, указанные ниже.

Запросы на доступ к данным в Health Connect должны быть четкими и понятными. Использовать Health Connect можно только при соблюдении действующих правил и условий использования и в целях, указанных в этих правилах. То есть запрашивать разрешения можно, если ваше приложение или сервис соответствует одной из одобренных целей применения.

Обращаться за разрешениями для Health Connect могут:

• Приложения и сервисы, в интерфейсе которых есть функции, связанные с физической активностью и здоровьем и позволяющие пользователям напрямую отмечать в журнале, включать в отчеты, отслеживать и анализировать данные о своей физической активности, сне, психическом здоровье, питании, а также медицинские показатели, внешние данные и аналогичные сведения.
• Приложения и сервисы, в интерфейсе которых есть функции, связанные с физической активностью и здоровьем и позволяющие пользователям сохранять данные о своей физической активности, сне, психическом здоровье, питании, а также медицинские показатели, внешние данные и аналогичные сведения на телефоне или носимом устройстве и делиться этой информацией с другими приложениями на устройстве, которые соответствуют разрешенным целям использования.

Health Connect – это платформа общего назначения для хранения данных и обмена ими, которая позволяет собирать информацию о физической активности и здоровье из различных источников на устройстве Android и делиться ею с третьими лицами. Пользователи сами определяют источники, из которых берутся такие данные. Разработчики должны самостоятельно решать, подходит ли Health Connect для их продуктов, а также проверять происхождение и качество данных из Health Connect на предмет их пригодности для исследований, мониторинга здоровья, медицинских задач или иных целей.

• Приложения, в которых полученные из Health Connect данные используются для медицинских исследований с участием людей, должны получать согласие от совершеннолетних участников либо от родителей или опекунов несовершеннолетних. В таком согласии должны указываться: а) характер, цель и продолжительность исследования; б) процедуры, риски и польза для участника; в) информация о конфиденциальности и обработке данных (в том числе об их передаче третьим лицам); г) контактное лицо, которое отвечает на вопросы участников; д) процесс отказа от участия. Приложения, в которых полученные из Health Connect данные используются для медицинских исследований с участием людей, должны получать одобрение от независимого совета, который: 1) защищает права, безопасность и благополучие участников; 2) обладает полномочиями рассматривать, менять и утверждать исследования с участием людей. По запросу необходимо предоставить свидетельство о таком одобрении.
• Вы также должны соблюдать все нормативно-правовые требования, которые могут относиться к вашему предполагаемому использованию Health Connect и любых данных, полученных из этой платформы. Если в предоставленной Google маркировке или сопроводительной информации для конкретных продуктов и услуг Google явно не указано иное, Google не рекомендует использовать какие-либо данные из Health Connect для исследований, мониторинга здоровья, медицинских задач или в иных целях и не гарантирует точности таких данных. Google отказывается от ответственности, связанной с использованием данных Health Connect.

Использование данных Health Connect в разрешенных целях также должно соответствовать указанным ниже требованиям. Они применяются к первичным данным, полученным из Health Connect, а также к данным, которые создаются из первичных данных путем обобщения или деидентификации или являются производными от них.

• Используйте данные Health Connect только в разрешенных целях или для работы функций, четко обозначенных в пользовательском интерфейсе запрашивающего приложения.
• Передавать пользовательские данные третьим лицам можно только в следующих случаях:
  • Это нужно для разрешенных примеров использования или для работы функций, четко обозначенных в интерфейсе запрашивающего приложения, и исключительно с согласия пользователя.
  • Это требуется в целях безопасности (например, для расследования нарушений).
  • Это необходимо для соблюдения действующего законодательства.
  • Это осуществляется в рамках слияния, приобретения или продажи активов разработчика и при наличии явного согласия от пользователя.
• Разрешать ознакомление с пользовательскими данными можно только в следующих случаях:
  • Пользователь дал явное согласие на доступ к определенным данным.
  • Это требуется в целях безопасности (например, для расследования нарушений).
  • Это необходимо для соблюдения применимого законодательства.
  • Данные (в том числе производные) обобщаются и используются для внутренних операций в соответствии с действующими правилами защиты конфиденциальности и другими законодательными требованиями в рассматриваемой юрисдикции.

Запрещается передача, использование или продажа данных Health Connect в любых других целях, в том числе:

• Передача или продажа пользовательских данных третьим лицам, таким как рекламные платформы, брокеры данных и другие продавцы информации.
• Передача, продажа или использование пользовательских данных для показа рекламы, включая персонализированные объявления и рекламу на основе интересов.
• Передача, продажа или использование пользовательских данных для определения платежеспособности или предоставления кредита.
• Передача, продажа или использование пользовательских данных с любым продуктом или услугой, которые могут квалифицироваться как медицинское устройство в соответствии с определением в разделе 201(h) Федерального закона США о пищевых продуктах, лекарственных средствах и косметике, если в медицинском устройстве такие пользовательские данные будут использоваться для выполнения его регулируемой функции.
• Передача, продажа или использование пользовательских данных в любых целях или любым способом, которые связаны с закрытой информацией о состоянии здоровья (см. определение в законе США "О преемственности страхования и отчетности в области здравоохранения" (HIPAA)), если от Google заранее не было получено письменное разрешение на такое использование.

Запрещается получать доступ к данным Health Connect с нарушением этих правил или других действующих условий использования или правил в отношении платформы Health Connect, в том числе:

• Для разработки приложений, сред или операций или интеграции в них таких данных, если использование Health Connect или сбой в работе платформы может с достаточной вероятностью приводить к смерти, травме, ущербу для окружающей среды или собственности (например, для создания или эксплуатации атомных электростанций, в системах управления полетами, системах жизнеобеспечения или вооружениях).
• С использованием приложений без графического интерфейса. У каждого приложения должен быть хорошо заметный значок, который отображается на панели приложений, в настройках приложений на устройстве, в уведомлениях и т. д.
• С помощью приложений, которые синхронизируют данные между несовместимыми устройствами или платформами.
• В приложениях, сервисах или функциях, рассчитанных в основном на детей. Платформа Health Connect не одобрена для таких сервисов.

В приложении или на сайте, который относится к веб-сервису или приложению, должно приводиться заявление о том, что вы применяете данные Health Connect в соответствии с требованиями об ограничении использования. Например, на главной странице можно разместить ссылку на отдельную страницу или политику конфиденциальности, где будет опубликован такой текст: "Информация из Health Connect используется в соответствии с правилами предоставления разрешений для Health Connect, в том числе с требованиями об ограничении использования".

Вы можете запрашивать только те разрешения, которые необходимы для реализации функциональности приложения или сервиса.

Вот что это значит:

• Нельзя пытаться получить не нужную вам информацию. Запрашивайте только те разрешения, которые требуются для работы вашего продукта, и не запрашивайте никакие другие.

В платформе Health Connect хранится информация о физической активности и здоровье, включая персональные и конфиденциальные данные. У всех приложений и сервисов должна быть политика конфиденциальности, в которой подробно описываются способы сбора, использования и передачи пользовательских данных. В ней также должны указываться типы лиц, которым могут передаваться пользовательские данные, способы использования, хранения и защиты данных, а также то, что происходит с данными после деактивации или удаления аккаунта.

Помимо требований действующего законодательства, вы должны:

• Раскрыть способы доступа к данным, их сбора, использования и передачи. В таком раскрытии необходимо:
  • точно указать приложение или сервис, которые обращаются к пользовательским данным;
  • привести понятное и исчерпывающее описание типов данных, которые запрашиваются, собираются или к которым осуществляется доступ;
  • объяснить, как такие данные будут использоваться или передаваться третьим лицам (если вы запрашиваете данные только с одной целью, а они также используются с другой, пользователей требуется уведомить об обеих целях).
• Предоставить справочную документацию, в которой объясняется, как пользователи могут управлять своими данными (в том числе удалять их) в приложении.

Вы должны обеспечивать безопасность пользовательских данных. Принимайте разумные и необходимые меры для защиты данных Health Connect, используемых в приложениях и системах, от несанкционированного и незаконного доступа, использования, уничтожения, потери, изменения или раскрытия.

Рекомендуется внедрить и поддерживать систему управления информационной безопасностью (см. стандарт ISO/IEC 27001), а также проконтролировать отсутствие в приложении или веб-сервисе распространенных проблем безопасности из списка OWASP Top 10.

Если ваш продукт передает данные с устройства пользователя, то, в зависимости от API, к которому открыт доступ, и числа пользовательских разрешений или пользователей, Google требует, чтобы ваше приложение или сервис периодически проходили проверку безопасности и получали Удостоверение о проверке от указанного третьего лица.

Подробнее о требованиях к приложениям, подключающимся к платформе Health Connect…

VpnService – это базовый класс, который позволяет создавать собственные решения VPN в приложениях или расширять их функциональность. Создавать безопасный туннель от устройства к удаленному серверу могут только приложения, которые используют VpnService и основная функция которых связана с организацией VPN-подключения. Это ограничение не распространяется на приложения, для работы основных функций которых требуется удаленный сервер, например:

• приложения для родительского и корпоративного контроля;
• средства мониторинга использования приложений;
• решения для защиты устройств (например, антивирусное ПО, средства управления мобильными устройствами, брандмауэр);
• сетевые инструменты (например, для удаленного доступа);
• приложения для просмотра веб-страниц;
• приложения операторов, которым для предоставления телефонной связи требуется VPN.

Запрещается использовать класс VpnService в следующих целях:

• сбор персональных и конфиденциальных данных пользователей без раскрытия информации об этом и получения согласия;
• перенаправление пользовательского трафика из других приложений на устройстве или манипулирование им с целью монетизации (например, направление рекламного трафика через страну, отличную от страны, где находится пользователь);
• манипулирование объявлениями, которые могут влиять на монетизацию в приложениях.

Приложения, в которых используется VpnService, должны:

• содержать соответствующее упоминание на странице приложения в Google Play;
• шифровать данные, которые передаются с устройства на конечную точку туннеля VPN;
• соответствовать Правилам программы для разработчиков, в том числе правилам в отношении мошенничества с рекламой, разрешений и вредоносного ПО.