Дозволи й інтерфейси API із доступом до чутливої інформації

SMS і журнали викликів належать до персональних та конфіденційних даних користувачів, тому дозволи на доступ до них регулюються правилами про особисту й конфіденційну інформацію та вказаними нижче обмеженнями.

Обмежений дозвіл	Вимоги до додатка
Група дозволів на доступ до журналу викликів (наприклад, READ_CALL_LOG, WRITE_CALL_LOG, PROCESS_OUTGOING_CALLS)	Повинен мати дійсну реєстрацію на пристрої як обробник за умовчанням для телефонних викликів або запитів Асистента.
Група дозволів на доступ до SMS (наприклад, READ_SMS, SEND_SMS, WRITE_SMS, RECEIVE_SMS, RECEIVE_WAP_PUSH, RECEIVE_MMS)	Повинен мати дійсну реєстрацію на пристрої як обробник за умовчанням для SMS або запитів Асистента.

 

Додатки, які не мають функцій обробника за умовчанням для SMS, телефонних викликів і запитів Асистента, не можуть заявляти про наведені вище дозволи в маніфесті (зокрема, у тексті заповнювачів). Крім того, перш ніж запитувати вказані дозволи, додаток має бути зареєстрований як обробник SMS, телефонних викликів або запитів Асистента за умовчанням і має негайно припиняти використовувати дозволи, коли перестає бути обробником за умовчанням. Дозволені способи використання та винятки можна переглянути на цій сторінці довідкового центру.

Додатки можуть використовувати дозвіл (і будь-які дані, отримані за його допомогою), лише щоб забезпечувати роботу своїх схвалених основних функцій. Основні функції – це головна мета, з якою розроблено додаток. Таких функцій може бути кілька, і про них має бути чітко заявлено в описі додатка. Без них додаток вважатиметься "зламаним" або непридатним. Дані можна передавати, розповсюджувати й ліцензовано використовувати, лише щоб забезпечувати основні функції й сервіси додатка. Розширити сферу їх застосування не можна (як-от для покращення інших додатків або сервісів, реклами чи маркетингу). Не можна використовувати альтернативні методи, зокрема інші дозволи, API або джерела третіх сторін, щоб отримати дані, пов'язані з дозволами на доступ до журналу викликів чи SMS.

Місцезнаходження пристрою належить до персональних і чутливих даних користувачів, тому дозвіл на доступ до нього регулюється правилами про особисту й конфіденційну інформацію та доступ до геоданих у фоновому режимі, а також вказаними нижче обмеженнями.

• Додатки не можуть отримувати доступ до геоданих, захищених дозволами (як-от ACCESS_FINE_LOCATION, ACCESS_COARSE_LOCATION, ACCESS_BACKGROUND_LOCATION), якщо вони більше не потрібні для забезпечення наявних функцій або сервісів додатка.
• Заборонено запитувати в користувача дозвіл на доступ до геоданих лише для показу реклами або отримання статистики. Додатки, які отримують доступ до цих даних із метою показу реклами, мають відповідати нашим правилам розміщення реклами.
• Додатки мають використовувати геодані в найменшому потрібному обсязі (наприклад, запитувати приблизне місцезнаходження замість точного та не робити цього у фоновому режимі), що дає змогу забезпечувати роботу наявних функцій чи сервісів, яким потрібні дані про місцезнаходження, а користувачі мають знати, що функції або сервісу потрібен такий рівень доступу до геоданих. Наприклад, ми можемо відхиляти додатки, які запитують або отримують доступ до геоданих у фоновому режимі без переконливого обґрунтування.
• Доступ до геоданих у фоновому режимі можна отримувати, лише щоб надавати важливі для користувача функції, пов’язані з основним призначенням додатка.

Додатки можуть отримувати доступ до геоданих за допомогою дозволів активних сервісів (якщо додатку дозволено лише доступ в активному режимі, наприклад "лише під час використання"), якщо таке використання:

• ініційовано як продовження дії, яку розпочав користувач;
• завершиться, щойно додаток виконає таку дію.

Додатки, розроблені спеціально для дітей, мають відповідати правилам програми Для всієї сім’ї.

Щоб дізнатися більше про вимоги правил, прочитайте цю довідкову статтю.

Файли й папки на пристроях користувачів належать до їхніх персональних і конфіденційних даних, тому дозволи на доступ до них регулюються правилами про особисту й конфіденційну інформацію та вказаними нижче обмеженнями.

• Додатки мають запитувати дозвіл на доступ до пам'яті пристрою, лише якщо це необхідно для забезпечення їх основних функцій. Заборонено запитувати такий дозвіл від імені третіх сторін, якщо він потрібен для роботи лише додаткових функцій.
• На пристроях з ОС Android R або пізніших версій потрібен дозвіл MANAGE_EXTERNAL_STORAGE, який забезпечує керування доступом до спільної пам'яті. Перед публікацією всі націлені на версію R додатки, які запитують дозвіл на необмежений доступ до спільного сховища ("Доступ до всіх файлів"), мають пройти відповідну перевірку. У додатку, де можна використовувати цей дозвіл, має з'являтися чітка вказівка вибрати для нього опцію "Доступ до всіх файлів" у розділі налаштувань "Спеціальний доступ для додатка". Щоб дізнатися більше про вимоги у версії R, прочитайте цю довідкову статтю.

Список установлених додатків, який переглядається з пристрою, належить до персональних і конфіденційних даних користувачів, доступ до яких регулюється правилами про особисту й конфіденційну інформацію та вказаними нижче вимогами.

Додатки, основною метою яких є пошук чи запуск інших додатків на пристрої або взаємодія з ними, можуть у відповідних випадках переглядати список додатків, установлених на пристрої, як зазначено нижче.

• Широка видимість додатків: здатність додатка бачити інші додатки ("пакети"), установлені на пристрої.
  • Для додатків, націлених на рівень API 30 або вище, можливість перегляду списку встановлених додатків і взаємодії з ними, що надається за дозволом QUERY_ALL_PACKAGES, обмежено певними прикладами використання, коли без такого дозволу додаток не може працювати.
    • Не слід запитувати дозвіл QUERY_ALL_PACKAGES, якщо додаток може працювати з кількома точно сформульованими заявами про дозвіл на перегляд пакетів. (Наприклад, додаток надсилає запити на доступ і взаємодію лише для певних пакетів.)
  • Використовувати інші способи наближення до рівня широкої видимості, пов'язані з дозволом QUERY_ALL_PACKAGES, також дозволено, лише якщо інакше додаток не зможе виконувати свої основні функції для користувачів і взаємодіяти з будь-якими додатками, виявленими цим способом.
  • Щоб дізнатися про дозволені приклади використання дозволу QUERY_ALL_PACKAGES, прочитайте цю статтю довідкового центру.
• Обмежена видимість додатків: обмежений доступ до даних про конкретні додатки з використанням точніших запитів (замість "широкого" доступу), наприклад надсилання запитів на ті додатки, що відповідають заявленому маніфесту вашого додатка. Цей спосіб можна використовувати, щоб надсилати запити на додатки, якщо ваш додаток може з ними взаємодіяти чи керувати ними відповідно до правил.
• Видимість списку встановлених на пристрої додатків має бути напряму пов'язано з основною метою або функцією вашого додатка для його користувачів.

Дані про список додатків, отримані з додатків, що розповсюджуються в Google Play, заборонено продавати або передавати для потреб аналітики чи монетизації реклами.

Інтерфейс Accessibility API не можна використовувати, щоб:

• змінювати налаштування користувачів без їхнього дозволу або унеможливлювати вимкнення чи видалення додатків і сервісів (лише якщо дозвіл не надали батько або мати чи опікун через додаток для батьківського контролю або вповноважені адміністратори через програмне забезпечення для корпоративного керування); 
• обходити вбудовані налаштування конфіденційності та сповіщення Android;
• змінювати або використовувати інтерфейс так, що це вводить в оману користувачів або інакше порушує правила для розробників Google Play. 

Accessibility API не було створено для віддаленого запису дзвінків, і його не можна викликати для цього. 

Про використання інтерфейсу Accessibility API потрібно вказувати на сторінці додатка в Google Play.

Вказівки щодо використання атрибута IsAccessibilityTool

Додатки, основна функція яких полягає в наданні безпосередньої допомоги людям з інвалідністю, можуть використовувати атрибут IsAccessibilityTool, щоб їх можна було обґрунтовано визначати як додатки зі спеціальними можливостями.

У додатках, які не можуть використовувати атрибут IsAccessibilityTool, наявність спеціальної мітки не обов’язкова, однак вони мають відповідати вимогам до чіткого повідомлення про використання персональних даних і отримання згоди, які наведено в правилах щодо даних користувачів, оскільки таке використання не очевидне. Щоб дізнатися більше, прочитайте статтю Довідкового центру про AccessibilityService API.

Щоб забезпечити роботу потрібних функцій, замість Accessibility API використовуйте в додатках дозволи й інтерфейси API із більшими обмеженнями (якщо можливо). 

Дозвіл REQUEST_INSTALL_PACKAGES дає змогу додатку надсилати запити на встановлення пакетів додатків. Використовувати цей дозвіл можуть лише додатки з такими основними призначеннями:

• надсилання й отримання пакетів додатків;
• встановлення пакетів додатків за командою користувача.

Дозволені функції:

• перегляд веб-сторінок або пошук;
• обмін повідомленнями з можливістю долучати файли;
• передавання й спільне використання файлів, а також керування ними;
• керування корпоративними пристроями;
• резервне копіювання й відновлення;
• перенесення даних між пристроями;
• синхронізація даних між телефоном і пристроєм, який можна носити, або пристроєм із категорії "Інтернет речей" (наприклад, розумним годинником чи телевізором Smart TV) за допомогою супутнього додатка.

Основне призначення додатка, а також усі функції, які забезпечують його виконання, мають бути чітко зазначені в описі додатка.

Дозвіл REQUEST_INSTALL_PACKAGES не можна використовувати для автоматичного оновлення, змінення або об’єднання інших файлів APK у файлі об’єктів, крім випадків із керуванням пристроєм. Оновлення й встановлення пакетів потрібно виконувати відповідно до правил Google Play щодо зловживання пристроєм і мережею та лише з ініціативи й під контролем користувача.

Як указано в правилах щодо даних користувачів, дані, доступні за дозволами для Health Connect, належать до персональних і чутливих даних користувачів та на них поширюються наведені нижче додаткові вимоги.

Запити на доступ до даних Health Connect мають бути чіткі й зрозумілі. Використовувати Health Connect можна лише відповідно до правил і умов, а також у дозволених сценаріях, які перелічено в цих правилах. Тобто ваш додаток або сервіс може запитувати доступ до цієї платформи тільки в одному з дозволених сценаріїв використання.

Запитувати дозволи на доступ до Health Connect можуть:

• додатки й сервіси, в інтерфейсах яких є функції, пов’язані з фізичною активністю та здоров’ям, за допомогою яких користувачі можуть реєструвати, включати у звіти, відстежувати й аналізувати дані про свою фізичну активність, сон, психічне здоров’я, харчування, а також медичні чи фізіологічні показники й інші аналогічні відомості;
• додатки й сервіси, в інтерфейсах яких є функції, пов’язані з фізичною активністю та здоров’ям, за допомогою яких користувачі можуть зберігати дані про свою фізичну активність, сон, психічне здоров’я, харчування, а також медичні чи фізіологічні показники й інші аналогічні відомості на телефоні або пристрої, який можна носити, і в дозволених випадках ділитися цією інформацією з іншими додатками на пристрої.

Health Connect – це платформа загального призначення для зберігання даних і обміну ними, яка дає змогу збирати інформацію про фізичну активність і здоров’я з різних джерел на пристрої Android та ділитися нею з третіми особами. Користувачі самі вибирають джерела таких даних. Розробники повинні самостійно вирішувати, чи задовольняє Health Connect їхні потреби та наскільки дані, отримані з Health Connect, будуть корисні для будь-якої мети, зокрема медичного дослідження, моніторингу здоров’я чи виконання інших подібних завдань.

• Додатки, у яких дані з Health Connect використовуються для медичних досліджень за участі людей, повинні отримувати згоду учасників, а у випадку неповнолітніх — їхніх батьків чи опікунів. У такій згоді має бути вказано: (a) характер, ціль і тривалість дослідження; (б) процедури, ризики й користь для учасників; (в) інформацію про конфіденційність і обробку даних (зокрема, про передавання даних третім сторонам); (г) контактну особу, яка відповідає на запитання учасників; (ґ) процедуру відмови від участі. Додатки, у яких дані з Health Connect використовуються для медичних досліджень за участі людей, повинні отримувати схвалення незалежної ради, яка 1) захищає права, безпеку й добробут учасників; 2) має повноваження розглядати, змінювати та схвалювати дослідження за участі людей. Доказ такого схвалення потрібно надавати за запитом.
• Ви також повинні дотримуватися всіх юридичних і нормативних вимог, які можуть стосуватися вашого запланованого використання Health Connect та будь-яких даних із Health Connect. Якщо в наданому Google маркуванні або інформації для конкретних продуктів і сервісів Google чітко не вказано інше, Google не гарантує точності даних Health Connect та не схвалює їх використання для будь-якої мети, зокрема медичного дослідження, моніторингу здоров’я чи виконання інших подібних завдань. Google відмовляється від будь-якої відповідальності, пов’язаної з використанням даних Health Connect.

Використання даних Health Connect у дозволених випадках також має відповідати наведеним нижче вимогам. Ці вимоги застосовуються до вихідних даних, отриманих із Health Connect, а також даних, які створюються з вихідних даних за допомогою узагальнення або деідентифікації чи є похідними від них.

• Використовуйте дані Health Connect, лише щоб забезпечувати або покращувати ваші прийнятні сценарії використання чи функції, чітко позначені в інтерфейсі додатка, що запитує такі дані.
• Передавати дані користувачів третім сторонам можна лише:
  • для забезпечення або покращення ваших прийнятних сценаріїв використання чи функцій, чітко позначених в інтерфейсі додатка, що запитує такі дані, і лише зі згоди користувача;
  • з міркувань безпеки (наприклад, для розслідування порушень);
  • для дотримання відповідних законів і правових норм;
  • у рамках злиття, придбання або продажу активів розробника та за наявності чіткої згоди користувача.
• Дозволяти перегляд даних користувачів можна лише в таких випадках:
  • користувач надав чітку згоду на доступ до певних даних;
  • з міркувань безпеки (наприклад, для розслідування порушень);
  • для дотримання відповідних законів;
  • якщо дані (включно з похідними) узагальнюються та використовуються для внутрішніх операцій згідно з чинними правилами захисту конфіденційності та інших юридичних вимог відповідної юрисдикції.

Забороняється передавання, використання або продаж даних Health Connect у будь-яких інших цілях, зокрема:

• третім сторонам, наприклад рекламним платформам, брокерам даних та іншим продавцям інформації;
• для показу реклами, включно з персоналізованими оголошеннями та рекламою на основі інтересів;
• для визначення платоспроможності чи надання кредиту;
• для забезпечення роботи будь-якого продукту чи сервісу, що може належати до медичних пристроїв відповідно до визначення в розділі 201(h) Федерального закону США "Про харчові продукти, лікарські засоби та косметику", якщо в медичному пристрої такі дані використовуються для виконання його функції, щодо якої передбачені законодавчі чи нормативні обмеження;
• у будь-яких цілях або в будь-який спосіб, що передбачає використання захищеної медичної інформації (див. визначення в Законі США "Про звітність і безпеку медичного страхування" (HIPAA)), якщо від Google заздалегідь не було отримано письмовий дозвіл на таке використання.

Забороняється отримувати доступ до даних Health Connect із порушенням цих правил або інших чинних умов чи правил використання платформи Health Connect, зокрема:

• для розробки додатків, середовищ або операцій чи для інтеграції в них таких даних, якщо використання Health Connect або збій у роботі платформи можуть із високою ймовірністю призвести до смерті, травми, шкоди для довкілля або власності (наприклад, для створення або експлуатації атомних електростанцій, у системах керування польотами, системах життєзабезпечення або озброєнні);
• у додатках без графічного інтерфейсу (легко впізнаваний значок додатка має показуватися на панелі додатків, у налаштуваннях додатків на пристрої, на панелі сповіщень тощо);
• у додатках, які синхронізують дані між несумісними пристроями або платформами;
• у додатках, сервісах або функціях, які націлюються лише на дітей (платформу Health Connect не схвалено для використання в сервісах для дітей).

У додатку або на веб-сайті, який належить веб-сервісу або додатку, має міститися заява про те, що ви використовуєте дані Health Connect відповідно до вимог щодо обмеженого використання. Наприклад, на головній сторінці можна розмістити посилання на окрему сторінку або політику конфіденційності, де буде опубліковано такий текст: "Інформація з Health Connect використовується відповідно до правил надання дозволів для Health Connect, зокрема вимог щодо обмеженого використання".

Ви можете запитувати лише ті дозволи, які потрібні для виконання функції додатка або сервісу. 

Це означає наведене нижче.

• Не можна запитувати доступ до непотрібної вам інформації. Запитуйте лише дозволи, потрібні для роботи вашого продукту. Якщо ваш продукт не потребує певних дозволів, не запитуйте їх.

У Health Connect зберігається інформація про фізичну активність і здоров’я, зокрема персональні й чутливі дані. Усі додатки й сервіси повинні містити політику конфіденційності, де докладно описуються способи збирання, використання та передавання даних користувачів. Зокрема, має бути вказано типи третіх сторін, яким можуть передаватися дані користувачів; способи використання, зберігання й захисту даних; а також те, що відбувається з даними після деактивації та/або видалення облікового запису.

Крім вимог чинного законодавства, ви повинні дотримуватися наведених нижче вимог.

• Надайте повідомлення про отримання, збирання, використання та передавання даних. У такому повідомленні потрібно:
  • точно вказати додаток або сервіс, який звертається до даних користувачів;
  • навести зрозумілий і вичерпний опис типів даних, які запитуються, збираються та/або переглядаються;
  • пояснити, як такі дані використовуватимуться та/або передаватимуться третім сторонам (якщо ви запитуєте дані для однієї цілі, але вони також використовуватимуться для іншої, користувачів потрібно сповістити про обидві цілі);
• Надайте довідкову документацію, де пояснено, як користувачі можуть керувати своїми даними й видаляти їх у додатку.

Ви повинні захищати всі дані користувачів. Вживайте належних заходів для захисту даних Health Connect, які використовуються в додатках та системах, а також від несанкціонованого й незаконного доступу, використання, знищення, утрати, змінення або розголошення.

Рекомендується впровадити й підтримувати систему керування інформаційною безпекою за стандартом ISO/IEC 27001 і стежити, щоб у додатку або веб-сервісі не було вразливостей та поширених проблем із безпекою зі списку OWASP Top 10.

Якщо ваш продукт передає дані з пристрою користувача, то залежно від API, який викликається, і кількості користувацьких дозволів або користувачів, ми вимагаємо, щоб ваш додаток або сервіс періодично проходили перевірку безпеки й отримували Сертифікат про перевірку від указаної третьої сторони.

Щоб дізнатися більше про вимоги до додатків, які підключаються до Health Connect, прочитайте цю довідкову статтю.

VpnService – це основний клас додатків, на основі якого розробники можуть створювати власні VPN-сервіси. Лише додаткам, які використовують клас VpnService і основною функцією яких є доступ до мережі VPN, дозволяється створювати захищене з’єднання з віддаленим сервером на рівні пристроїв. До винятків належать додатки, що потребують зв’язку з віддаленим сервером для виконання основних функцій, наприклад:

• додатки для батьківського контролю та корпоративного керування;
• додатки, призначені відстежувати використання інших додатків;
• додатки для безпеки пристрою (наприклад, антивірус, керування мобільними пристроями, брандмауер);
• мережеві інструменти (наприклад, віддалений доступ);
• додатки для перегляду веб-сторінок;
• додатки мобільних операторів, яким потрібні функції VPN-мережі для надання послуг телефонії або зв’язку.

Клас VpnService не можна використовувати для наведених нижче дій.

• Збирання особистих і чутливих даних користувачів без попередньої згоди й повідомлення про їх використання.
• Переспрямування користувацького трафіку з інших додатків на пристрої або маніпуляції цим трафіком із метою покращення монетизації (наприклад,переспрямування рекламного трафіку через країну, відмінну від країни користувача).

Додатки, у яких застосовано клас VpnService, повинні:

• повідомляти користувачів про використання класу VpnService на своїй сторінці в Google Play;
• шифрувати дані, що передаються з пристрою в кінцеву точку VPN-з’єднання;
• дотримуватись усіх Правил програми для розробників, зокрема щодо рекламного шахрайства, дозволів і зловмисного програмного забезпечення.

Ми впроваджуємо новий дозвіл USE_EXACT_ALARM, який надаватиме доступ до функції точного будильника в додатках, починаючи з Android 13 (цільовий рівень API 33). 

USE_EXACT_ALARM – це обмежений дозвіл, і його декларація вимагається для додатків, яким точний будильник потрібен для виконання основної функції. Додатки, які надсилають запит на отримання цього обмеженого дозволу, підлягають перевірці на відповідність Правилам прийнятного використання. Додатки, що не пройдуть цю перевірку, не буде допущено до публікації в Google Play.

Приклади прийнятного використання дозволу USE_EXACT_ALARM

Ваш додаток має використовувати дозвіл USE_EXACT_ALARM, тільки якщо його основна функція, орієнтована на користувачів, потребує виконання певних дій у точний час, наприклад:

• додаток є будильником або таймером;
• додаток є календарем, який показує сповіщення про події.

Якщо ваш додаток застосовує функцію точного будильника для інших цілей, які не наведено вище, радимо скористатись альтернативним дозволом SCHEDULE_EXACT_ALARM.

Щоб дізнатися більше про функцію точного будильника, ознайомтеся з цими рекомендаціями для розробників.