存取敏感資料的權限和 API

短訊和通話記錄權限列為個人和敏感使用者資料，受《個人和敏感資料政策》及以下限制約束：

受限制的權限	規定
通話記錄權限組別 (例如：READ_CALL_LOG、WRITE_CALL_LOG、PROCESS_OUTGOING_CALLS)	應用程式必須主動註冊為裝置上的預設電話或助理處理常式。
短訊權限組別 (例如：READ_SMS、SEND_SMS、WRITE_SMS、RECEIVE_SMS、RECEIVE_WAP_PUSH、RECEIVE_MMS)	應用程式必須主動註冊為裝置上的預設短訊或助理處理常式。

 

缺少預設短訊、電話或 Google 助理處理常式功能的應用程式不得在資訊清單中宣告使用上述權限，包括在資訊清單中的佔位符文字。此外，應用程式必須先主動註冊為預設短訊、電話或「Google 助理」處理常式，才能提示使用者接受上述任何權限，並必須在不再是預設處理常式時立即停止使用該權限。關於允許的使用和例外情況，請參閱相關說明中心頁面。

應用程式只能使用權限 (及透過權限獲取的任何資料) 提供已核准的核心應用程式功能。核心功能按定義是應用程式的主要用途，這可能包含一組核心功能，全部必須在應用程式說明中重點描述和宣傳。如果沒有核心功能，應用程式已「損壞」或無法使用。這些資料的傳輸、分享或授權使用必須只限於提供應用程式內的核心功能或服務，且其用途不得延伸至任何其他目的 (例如改善其他應用程式或服務、廣告或市場推廣目的)。您不得使用其他方法 (包括其他權限、API 或第三方來源) 獲取短訊和通話記錄相關權限所涵蓋的資料。

裝置位置資訊屬個人和敏感使用者資料，受《個人和敏感資料政策》和《背景位置資訊政策》以及以下規定約束：

• 當應用程式不再需要位置資訊提供現有的功能或服務時，就不得存取受位置權限 (例如 ACCESS_FINE_LOCATION、ACCESS_COARSE_LOCATION、ACCESS_BACKGROUND_LOCATION) 保護的資料。
• 您不得基於廣告或分析的單一目的而要求使用者提供位置存取權。如果應用程式將這類資料的使用權限範圍擴展至廣告放送，則必須遵守我們的《廣告政策》。
• 應用程式若提供需要位置資訊的現有功能或服務，要求存取的位置資訊應是所需的最小範圍 (即粗略而非精細，前景而非背景資訊)，而使用者應合理預期該功能或服務需要所要求級別的位置資訊。舉例來說，如無合理理由，我們可拒絕應用程式要求或存取背景位置資訊。
• 背景位置資訊只可用來提供與應用程式核心功能相關並對使用者有用的功能。

在以下使用情況下，應用程式可憑前景服務的權限 (即應用程式只有前景存取權，例如在「使用時」存取) 存取位置資訊：

• 當使用者在應用程式中執行操作後，應用程式才開始使用資料；以及
• 達到使用者執行操作的目的後，應用程式應立即停止使用資料。

如果您的應用程式專為兒童而設，則必須遵守「合家歡」政策。

請參閱這裡的說明文章，進一步瞭解政策要求。

使用者裝置上的檔案和目錄屬性屬個人和敏感使用者資料，受《個人和敏感資料政策》及以下規定約束：

• 應用程式只能要求存取對應用程式運作至關重要的裝置儲存空間，並且不得出於與面向使用者重要應用程式功能無關之任何目的，代表任何第三方要求存取裝置儲存空間。
• 執行 R 或以上版本的 Android 裝置必須取得 MANAGE_EXTERNAL_STORAGE 權限，才能管理共用儲存空間的存取權。所有針對 R 並要求廣泛存取共用儲存空間 (「所有檔案存取權」) 的應用程式必須在發佈之前成功通過適當的存取權審核。允許使用此權限的應用程式必須明確提示使用者在「特殊應用程式存取權」設定下為其應用程式啟用「所有檔案存取權」。請參閱此說明文章，進一步瞭解 R 要求。

透過裝置查詢的已安裝應用程式清單屬個人和敏感使用者資料，受《個人和敏感資料政策》及以下規定約束：

如果應用程式的核心用途是連同裝置上其他應用程式啟動、搜尋，或與這些應用程式配合使用，您可依照下述權限範圍獲取裝置已安裝的其他應用程式的適用存取權：

• 廣泛應用程式存取權：廣泛存取權可讓應用程式廣泛存取裝置上已安裝的應用程式 (應用程式包)。
  • 如果應用程式以 API 等級 30 或以上版本為目標，「QUERY_ALL_PACKAGES」權限的已安裝應用程式廣泛存取權會受限於使用案例，導致應用程式必須對裝置上的所有其他應用程式有所認知和/或具備互通功能才能如常運作。
    • 如果應用程式只需透過特定範圍的應用程式包存取權聲明 就可運作 (例如，查詢特定應用程式包並與這些應用程式包互動，而不用要求廣泛存取權)，就不得使用「QUERY_ALL_PACKAGES」權限。
  • 使用其他方法提供與「QUERY_ALL_PACKAGES」權限相關的概略廣泛存取權等級，亦僅限於面向使用者的核心應用程式功能，以及透過此方法發現的應用程式互通功能。
  • 請參閱此說明中心文章，瞭解「QUERY_ALL_PACKAGES」權限的可允許使用案例。
• 有限應用程式存取權：有限存取權是指應用程式只查詢特定應用程式，即以更針對性的方式 (而非「廣泛」存取權) 盡量減少資料存取量，(例如只查詢應用程式資訊清單聲明中所需的特定應用程式)。如果您的應用程式依照政策規定可與這些應用程式互通或管理這些應用程式，就可以使用此方法查詢。
• 裝置上已安裝應用程式的存取權，必須與使用者在您應用程式中使用的核心用途或功能有直接關聯。 

從 Play 分發的應用程式查詢得來的應用程式庫存資料，絕對不可銷售或分享作分析或廣告營利目的。

Accessibility API 不得用於下列用途：

• 未經許可變更使用者設定，或不讓使用者停用或解除安裝任何應用程式或服務，除非經家長或監護人透過家長監控設定應用程式授權，或獲認可管理員透過企業管理軟件授權； 
• 繞過 Android 內置私隱權設定和通知；或
• 以涉及欺騙或違反《Google Play 開發人員政策》的方式變更或運用使用者介面。

Accessibility API 並非為遠端通話錄音而設，因而也不能對其發出此類要求。

Accessibility API 的使用情況必須列載於 Google Play 商店資訊中。

IsAccessibilityTool 指引

如應用程式的核心功能是為直接協助殘疾人士，這些應用程式便可使用 IsAccessibilityTool 適當且公開地標示為無障礙應用程式。

如果應用程式不符合 IsAccessibilityTool 使用資格，則不得使用該標記，並必須遵循《使用者資料政策》所述的明確披露聲明與同意書規定，因為其無障礙相關功能對使用者來說並不顯著。詳情請參閱 AccessibilityService API 說明中心文章。

在可能的情況下，應用程式必須採用範圍較小的 API 和權限來提供所需功能，盡量避免使用 Accessibility API。

「REQUEST_INSTALL_PACKAGES」權限允許應用程式要求安裝應用程式套件。​​如要使用此權限，應用程式的核心功能必須包括：

• 傳送或接收應用程式套件；及
• 讓使用者啟動應用程式套件的安裝程序。

允許的功能包括：

• 瀏覽或搜尋網頁
• 支援附件的通訊服務
• 分享、傳輸或管理檔案
• 管理企業裝置
• 備份與還原
• 裝置轉移/手機轉移
• 隨附應用程式同步處理手機與穿戴式裝置或 IoT 裝置 (例如智能手錶或智能電視)

核心功能是指應用程式的主要用途。該核心功能及組成該功能的主要功能元素均必須在應用程式描述的當眼位置顯示和宣傳。

「REQUEST_INSTALL_PACKAGES」權限除了作裝置管理用途外，不得用於執行自我更新、修改或組合資產檔案中其他 APK。所有更新或套件安裝必須符合 Google Play 的《裝置和網絡濫用政策》規定，並必須由使用者執行。

透過 Health Connect 權限存取的資料屬使用者的個人和敏感資料，相關權限使用行為須遵循《使用者資料》政策，並受以下規定約束：

透過 Health Connect 存取資料時必須以清楚明瞭的方式提出要求。使用 Health Connect 時，請務必遵守適用政策、條款及細則，以及符合此政策所列出的核准用例。這代表您的應用程式或服務必須符合其中一項核准用例，才能要求取得相關權限。

Health Connect 權限的核准用例如下：

• 應用程式或服務具有一項或多項在健康和健身方面為使用者帶來好處的功能；在其使用者介面中，使用者可直接記錄、報告、監察和/或分析自己的體能活動、睡眠、心理健康、營養、身體測量數據、身體特徵，和/或其他與健康或健身相關的描述和測量數據。
• 應用程式或服務具有一項或多項在健康和健身方面為使用者帶來好處的功能；在其使用者介面中，使用者將自己的體能活動、睡眠、心理健康、營養、身體測量數據、身體特徵和/或其他與健康或健身相關的描述和測量數據儲存在手機和/或穿戴式裝置上，並與其他符合用例的裝置內置應用程式分享這些資料。

Health Connect 是一個通用的資料儲存及分享平台，讓使用者在 Android 裝置上彙整不同來源的健康和健身資料，並與所選第三方分享這些資料。資料可能來自不同來源，具體由使用者決定。開發人員必須評估 Health Connect 是否適合用於其目的用途，並調查及審視 Health Connect 中用於任何用途 (特別是研究、健康或醫療用途) 的資料來源和品質。

• 如應用程式要使用透過 Health Connect 獲取的資料進行健康相關的人體研究，必須先徵求參與者的同意；如參與者為未成年人，則必須先徵求其家長或監護人同意。同意書必須包括下列各項：(a) 研究性質、目的和持續時間；(b) 參與者將經歷的流程、承擔的風險及獲得的好處；(c) 資料的保密性和處理方式 (包括與第三方的任何分享行為)；(d) 可解答參與者問題的聯絡人；和 (e) 退出研究的流程。如應用程式要使用透過 Health Connect 獲取的資料進行健康相關的人體研究，必須經符合下列條件的獨立委員會核准：1) 職責是保護參與者的權利、安全和健康；及 2) 有權審查、修改及核准人體研究。此類核准證明必須按要求提供。
• 您同樣有責任確保在運用 Health Connect 和來自 Health Connect 的任何資料作目的用途時，確實遵守任何適用的法規或法律規定。除非 Google 為特定 Google 產品或服務提供的標籤或資訊中明確說明，否則針對將 Health Connect 中包含的任何資料用於任何目的，特別是研究、健康或醫療用途，Google 概不負責，亦不保證此類資料的準確性。Google 不會就透過 Health Connect 獲取資料的相關使用行為負有任何法律責任。

運用 Health Connect 作適當用途時，您亦必須按照以下規定使用透過 Health Connect 存取的資料。這些規定適用於透過 Health Connect 獲取的的原始資料，以及原始資料的彙整、去識別化或衍生資料。

• Health Connect 資料只能用於提供或改善適當用例，或提供或改善在要求授權應用程式的使用者介面上明顯而重要的功能。
• 只在以下情況將使用者資料轉移至第三方：
  • 在取得使用者同意的情況下，提供或改善適當用例，或提供或改善在要求授權應用程式的使用者介面上明確提供的功能；
  • 安全目的需要 (例如調查濫用情況)；
  • 遵守適用法律和/或法規；或
  • 在預先獲得使用者明確同意後，作為合併、收購或出售的開發人員資產。
• 禁止任何人士讀取使用者資料，除非：
  • 就讀取特定資料獲得使用者明確同意；
  • 安全目的需要 (例如調查濫用情況)；
  • 遵守適用法律；或
  • 根據適用私隱權和司法管轄區內的其他適用法律要求，將資料 (包括衍生資料) 彙整並用於內部營運。

禁止轉移、使用或出售 Health Connect 資料作任何其他用途，包括：

• 向第三方轉移或出售使用者資料，例如廣告平台、資料中介或任何資訊經銷商。
• 轉移、使用或出售使用者資料來放送廣告，包括個人化或按喜好顯示的廣告。
• 轉移、使用或出售使用者資料以確認使用者的信貸評級和借貸目的。
• 根據《美國聯邦食品、藥品和化妝品法案》第 201(h) 節規定，將使用者資料轉移、出售或以其他方式與任何可能視為醫療裝置的產品或服務配合使用，以供該醫療裝置提供其受規管的功能。
• 以任何目的或方式轉移、出售或使用涉及受保護的健康資訊 (根據 HIPAA 定義) 的使用者資料前，必須事先獲得 Google 書面批准此類用途。

不得以違反本政策或其他適用 Health Connect 條款及細則的方式使用 Health Connect，包括用於以下目的：

• 如在合理預期的情況下，於應用程式、環境或活動中使用 Health Connect 或出現相關故障會造成傷亡、環境或財產毀損，則不得將 Health Connect 用於開發或納入該應用程式、環境或活動 (例如建設或營運核設施、航空交通管制、維生系統或武器)。
• 不得使用沒有使用者介面的應用程式存取透過 Health Connect 獲取的資料。應用程式必須在應用程式匣、裝置應用程式設定、通知圖示等顯示可清楚識別的圖示。
• 不得將 Health Connect 與在不兼容裝置或平台之間同步資料的應用程式一起使用。
• Health Connect 不得連結至只以兒童為目標對象的應用程式、服務或功能。Health Connect 未獲核准用於主要以兒童為目標的服務。

在您的應用程式或屬於您的網絡服務或應用程式的網站上，請務必披露您在使用 Health Connect 資料時會遵循使用限制規定；例如，在首頁連結的專頁或私隱權政策連結中說明：「使用來自 Health Connect 的資訊時，會遵循 Health Connect 權限政策，包括使用限制規定。」

您只可要求存取提供應用程式或服務功能所需的必要權限。

這表示：

• 請勿要求存取您不需要的資料。只可要求存取提供產品功能或服務所需的權限。如果您的產品不需要特定權限，請勿要求這些權限。

Health Connect 會處理健康和健身資料，包括個人和敏感資料。所有應用程式和服務必須包含私隱權政策，並須完整披露您的應用程式或服務如何收集、使用及分享使用者資料。這包括使用者資料的分享對象、如何使用、儲存保護資料，以及在帳戶停用及/或刪除的情況下對資料的處理方式。

除了適用法律規定外，您亦必須遵循以下規定：

• 您必須就資料的存取、收集、使用和分享提供披露聲明。相關披露事項必須符合以下規定：
  • 如實表明要存取使用者資料的應用程式或服務為何；
  • 提供清晰準確的資料，說明應用程式存取、要求及/或收集的資料類型；
  • 說明資料的用途和/或分享方式：如果您出於某個原因要求存取資料，但亦會將資料用於另一目的，則必須告知使用者這兩種用途。
• 提供使用者說明文件，向使用者說明如何在您的應用程式中管理及刪除其資料。

您必須安全地處理所有使用者資料。採取合理、適當的措施來保護所有使用 Health Connect 的應用程式或系統，以免他人未經授權或非法存取、使用、毀損、遺失、變更或披露有關資料。

建議安全措施包括採用及維護資訊安全管理系統 (例如 ISO/IEC 27001 中所述)，並確保您的應用程式或網絡服務穩定可靠，且沒有 OWASP Top 10 所列的常見安全問題。

視乎存取的 API 和使用者授權數量或使用者人數，我們會要求您的應用程式或服務定期接受安全評估；如果您的產品會從使用者的裝置傳輸資料，則必須從指定第三方獲取評估文件。

如需進一步瞭解應用程式連結至 Health Connect 的規定，請參閱此說明文章。

VpnService 是應用程式擴充及建立其專屬 VPN 解決方案的基礎類別。 只有使用 VpnService 並將 VPN 作為核心功能的應用程式，才可建立指向遠端伺服器的安全裝置級通道。例外情況包括核心功能需要遠端伺服器的應用程式，例如：

• 家長監控設定和企業管理應用程式。
• 追蹤應用程式的使用情況。
• 裝置安全應用程式 (例如：防毒、流動裝置管理、防火牆)。
• 網絡相關工具 (例如：遠端存取)。
• 網絡瀏覽應用程式。
• 需要使用 VPN 功能來提供電話或連線服務的流動網絡供應商應用程式。

VpnService 不得用於下列用途：

• 收集個人和敏感的使用者資料，但沒有提供明確披露聲明及徵求同意。
• 重新導向或操控裝置上來自其他應用程式的使用者流量，以作營利用途 (例如透過使用者所在地以外的其他國家/地區重新導向廣告流量)。

使用 VpnService 的應用程式必須：

• 在 Google Play 商店資訊中說明 VpnService 的使用方法；及
• 必須在裝置至 VPN 隧道終點之間加密資料；及
• 遵守所有《開發人員計劃政策》，包括《廣告欺詐政策》、《權限政策》及《惡意軟件政策》。 

從 Android 13 (API 目標級別 33) 起，我們將推出新權限 USE_EXACT_ALARM，可存取應用程式內的準確鬧鐘功能。

USE_EXACT_ALARM 是受限制的權限，應用程式只在核心功能支援準確鬧鐘需要時才能聲明此權限。要求此受限權限的應用程式均須經過審查，不符合可接受用例條件的應用程式不可在 Google Play 發佈。

「準確鬧鐘權限」的可接受用例

您的應用程式只在面向使用者的核心功能需要精準時間操作時才可使用 USE_EXACT_ALARM 功能，例如：

• 應用程式是鬧鐘或計時器應用程式。
• 應用程式是顯示活動通知的日曆應用程式。

如有以上未涵蓋的準確鬧鐘功能用例，應評估可否使用 SCHEDULE_EXACT_ALARM 作為替代選項。

如需進一步瞭解準確鬧鐘功能，請參閱此開發人員指引。