此文章即將變更
這篇文章快將更新,以反映最近宣佈的變更。
為提供更優質的使用者體驗,我們將對行使 USE_FULL_SCREEN_INTENT 的權限設定新的限制。對於指定 Android U (API 級別 34) 或以上版本的應用程式,此權限即將改為特殊應用程式存取權限。只有核心功能需要全螢幕通知的應用程式才會根據預設獲授予此權限。所有其他應用程式需向使用者要求授予權限。 (生效日期:2024 年 5 月 31 日)
為向使用者提供更保障私隱的體驗,我們將推出《相片和影片權限政策》,只開放較少應用程式索取廣泛的相片/影片權限 (READ_MEDIA_IMAGES 和 READ_MEDIA_VIDEO)。應用程式只可基於與應用程式功能直接相關的目的存取相片和影片。如應用程式只需單次或偶爾存取這些檔案,可使用 Android 相片點選器等系統點選器。 (2024 年 8 月 31 日 生效)
我們將更新《健康資料同步政策》,以精簡「健康資料同步」應用程式程序並配合《健康應用程式政策》。現時採用表格形式的應用程式將在今年稍後時間由新的「Play 管理中心」聲明取代。 (2024 年 8 月 31 日 生效)
如要預覽更新後的「存取敏感資料的權限和 API」一文,請瀏覽此頁面。
敏感資料存取權限和 API 的要求對使用者來說必須合理。您只可要求應用程式執行在 Google Play 商店資訊中宣傳的現有功能或服務所需的敏感資料存取權限和 API。您不得將可存取使用者或裝置資料的敏感資料存取權限或 API 用於未披露、未提供或不允許的功能或目的。透過敏感資料存取權限或 API 存取的個人或敏感資料永遠不可因促銷目的出售或分享。
要求在相關的內容中存取資料的敏感資料存取權限和 API (透過遞增式授權),讓使用者瞭解應用程式要求權限的原因。限制資料只用於使用者同意的目的。如果您之後想將資料用於其他目的,則必須詢問使用者並確定他們肯定同意資料用於其他用途。
受限制的權限
除上述限制外,受限制的權限是列為危險、特殊、簽名的權限,或如下文所述。這些權限受以下額外規定和限制約束:
- 透過受限制權限存取的使用者或裝置資料會被視為使用者的個人和敏感資料。適用《使用者資料政策》規定。
- 如果使用者拒絕受限制權限請求,請尊重使用者的決定;且不得操縱或強迫使用者同意授予任何非關鍵權限。您必須為不授予敏感權限的使用者提供妥善的處理方法 (例如,如果使用者限制應用程式存取通話記錄,則允許其手動輸入電話號碼)。
- 我們嚴禁以違反 Google Play《惡意軟件政策》(包括《進階權限濫用行為》) 的方式使用權限。
特定的受限制權限可能受下文所述的額外規定約束。這些限制的目的是保障使用者的私隱。如果應用程式提供極為吸引或重要的功能,同時沒有其他方法可以提供該功能,我們可能會視之為下列規定的少數例外情況。我們會針對使用者的任何潛在私隱或安全影響評估建議的例外情況。
短訊和通話記錄權限短訊和通話記錄權限列為個人和敏感使用者資料,受《個人和敏感資料政策》及以下限制約束:
缺少預設短訊、電話或 Google 助理處理常式功能的應用程式不得在資訊清單中宣告使用上述權限,包括在資訊清單中的佔位符文字。此外,應用程式必須先主動註冊為預設短訊、電話或「Google 助理」處理常式,才能提示使用者接受上述任何權限,並必須在不再是預設處理常式時立即停止使用該權限。關於允許的使用和例外情況,請參閱相關說明中心頁面。 應用程式只能使用權限 (及透過權限獲取的任何資料) 提供已核准的核心應用程式功能。核心功能按定義是應用程式的主要用途,這可能包含一組核心功能,全部必須在應用程式說明中重點描述和宣傳。如果沒有核心功能,應用程式已「損壞」或無法使用。這些資料的傳輸、分享或授權使用必須只限於提供應用程式內的核心功能或服務,且其用途不得延伸至任何其他目的 (例如改善其他應用程式或服務、廣告或市場推廣目的)。您不得使用其他方法 (包括其他權限、API 或第三方來源) 獲取短訊和通話記錄相關權限所涵蓋的資料。 |
位置資訊權限裝置位置資訊屬個人和敏感使用者資料,受《個人和敏感資料政策》和《背景位置資訊政策》以及以下規定約束:
在以下使用情況下,應用程式可憑前景服務的權限 (即應用程式只有前景存取權,例如在「使用時」存取) 存取位置資訊:
如果您的應用程式專為兒童而設,則必須遵守「合家歡」政策。 請參閱這裡的說明文章,進一步瞭解政策要求。 |
所有檔案存取權限使用者裝置上的檔案和目錄屬性屬個人和敏感使用者資料,受《個人和敏感資料政策》及以下規定約束:
|
應用程式包 (應用程式) 存取權透過裝置查詢的已安裝應用程式清單屬個人和敏感使用者資料,受《個人和敏感資料政策》及以下規定約束: 如果應用程式的核心用途是連同裝置上其他應用程式啟動、搜尋,或與這些應用程式配合使用,您可依照下述權限範圍獲取裝置已安裝的其他應用程式的適用存取權:
從 Play 分發的應用程式查詢得來的應用程式庫存資料,絕對不可銷售或分享作分析或廣告營利目的。 |
無障礙功能 APIAccessibility API 不得用於下列用途:
Accessibility API 並非為遠端通話錄音而設,因而也不能對其發出此類要求。 Accessibility API 的使用情況必須列載於 Google Play 商店資訊中。 IsAccessibilityTool 指引如應用程式的核心功能是為直接協助殘疾人士,這些應用程式便可使用 IsAccessibilityTool 適當且公開地標示為無障礙應用程式。 如果應用程式不符合 IsAccessibilityTool 使用資格,則不得使用該標記,並必須遵循《使用者資料政策》所述的明確披露聲明與同意書規定,因為其無障礙相關功能對使用者來說並不顯著。詳情請參閱 AccessibilityService API 說明中心文章。 在可能的情況下,應用程式必須採用範圍較小的 API 和權限來提供所需功能,盡量避免使用 Accessibility API。 |
要求安裝套件權限「REQUEST_INSTALL_PACKAGES」權限允許應用程式要求安裝應用程式套件。如要使用此權限,應用程式的核心功能必須包括:
允許的功能包括:
核心功能是指應用程式的主要用途。該核心功能及組成該功能的主要功能元素均必須在應用程式描述的當眼位置顯示和宣傳。 「REQUEST_INSTALL_PACKAGES」權限除了作裝置管理用途外,不得用於執行自我更新、修改或組合資產檔案中其他 APK。所有更新或套件安裝必須符合 Google Play 的《裝置和網絡濫用政策》規定,並必須由使用者執行。 |
Health Connect by Android 權限透過 Health Connect 權限存取的資料屬使用者的個人和敏感資料,相關權限使用行為須遵循《使用者資料》政策,並受以下規定約束: 適當存取及使用 Health Connect透過 Health Connect 存取資料時必須以清楚明瞭的方式提出要求。使用 Health Connect 時,請務必遵守適用政策、條款及細則,以及符合此政策所列出的核准用例。這代表您的應用程式或服務必須符合其中一項核准用例,才能要求取得相關權限。 Health Connect 權限的核准用例如下:
Health Connect 是一個通用的資料儲存及分享平台,讓使用者在 Android 裝置上彙整不同來源的健康和健身資料,並與所選第三方分享這些資料。資料可能來自不同來源,具體由使用者決定。開發人員必須評估 Health Connect 是否適合用於其目的用途,並調查及審視 Health Connect 中用於任何用途 (特別是研究、健康或醫療用途) 的資料來源和品質。
使用限制運用 Health Connect 作適當用途時,您亦必須按照以下規定使用透過 Health Connect 存取的資料。這些規定適用於透過 Health Connect 獲取的的原始資料,以及原始資料的彙整、去識別化或衍生資料。
禁止轉移、使用或出售 Health Connect 資料作任何其他用途,包括:
不得以違反本政策或其他適用 Health Connect 條款及細則的方式使用 Health Connect,包括用於以下目的:
在您的應用程式或屬於您的網絡服務或應用程式的網站上,請務必披露您在使用 Health Connect 資料時會遵循使用限制規定;例如,在首頁連結的專頁或私隱權政策連結中說明:「使用來自 Health Connect 的資訊時,會遵循 Health Connect 權限政策,包括使用限制規定。」 最小範圍您只可要求存取提供應用程式或服務功能所需的必要權限。 這表示:
資訊透明且準確的通知與控制系統Health Connect 會處理健康和健身資料,包括個人和敏感資料。所有應用程式和服務必須包含私隱權政策,並須完整披露您的應用程式或服務如何收集、使用及分享使用者資料。這包括使用者資料的分享對象、如何使用、儲存保護資料,以及在帳戶停用及/或刪除的情況下對資料的處理方式。 除了適用法律規定外,您亦必須遵循以下規定:
安全的資料處理您必須安全地處理所有使用者資料。採取合理、適當的措施來保護所有使用 Health Connect 的應用程式或系統,以免他人未經授權或非法存取、使用、毀損、遺失、變更或披露有關資料。 建議安全措施包括採用及維護資訊安全管理系統 (例如 ISO/IEC 27001 中所述),並確保您的應用程式或網絡服務穩定可靠,且沒有 OWASP Top 10 所列的常見安全問題。 視乎存取的 API 和使用者授權數量或使用者人數,我們會要求您的應用程式或服務定期接受安全評估;如果您的產品會從使用者的裝置傳輸資料,則必須從指定第三方獲取評估文件。 如需進一步瞭解應用程式連結至 Health Connect 的規定,請參閱此說明文章。 |
VPN 服務VpnService 是應用程式擴充及建立其專屬 VPN 解決方案的基礎類別。 只有使用 VpnService 並將 VPN 作為核心功能的應用程式,才可建立指向遠端伺服器的安全裝置級通道。例外情況包括核心功能需要遠端伺服器的應用程式,例如:
VpnService 不得用於下列用途:
使用 VpnService 的應用程式必須: |
準確鬧鐘權限從 Android 13 (API 目標級別 33) 起,我們將推出新權限 USE_EXACT_ALARM,可存取應用程式內的準確鬧鐘功能。 USE_EXACT_ALARM 是受限制的權限,應用程式只在核心功能支援準確鬧鐘需要時才能聲明此權限。要求此受限權限的應用程式均須經過審查,不符合可接受用例條件的應用程式不可在 Google Play 發佈。 「準確鬧鐘權限」的可接受用例 您的應用程式只在面向使用者的核心功能需要精準時間操作時才可使用 USE_EXACT_ALARM 功能,例如:
如有以上未涵蓋的準確鬧鐘功能用例,應評估可否使用 SCHEDULE_EXACT_ALARM 作為替代選項。 如需進一步瞭解準確鬧鐘功能,請參閱此開發人員指引。 |