免责声明:政策摘要和行动要点仅为概览;请务必查看完整政策以确保合规。如果两者有冲突,请以完整政策为准。
政策 摘要
为了提高用户信任度,Google Play 要求,请求获取敏感用户数据访问权限和 API 必须用于实现应用核心功能(即 Play 商店内相应商品详情中宣传的功能),且必须仅限于用户同意的用途。无论何种情况下都不得滥用、未充分披露或非必要地访问敏感数据。务必逐步请求获取敏感数据访问权限和 API,分别对每个阶段做出说明。数据只能用于用户已同意的用途;若要用于其他用途,则需再次征得用户同意。请查看完整政策以确保合规。
向用户提出的敏感信息访问权限和 API 请求必须合理。您所提出的敏感信息访问权限和 API 请求必须对于实现您在 Google Play 商品详情中宣传的现有应用功能或服务来说必不可少。您不得将能够获取用户数据或设备数据的敏感信息权限和 API 用于未披露、未实现或未经许可的功能或用途。此外,不得出于推动销售的目的,出售或分享利用敏感信息访问权限或 API 获取的个人数据或敏感数据。
如果您的应用需要访问敏感数据,请在用户执行相关操作时发出敏感信息访问权限和 API 请求(通过渐进式请求方式),让用户明确理解应用为何需要相关权限。仅将数据用于用户同意的用途。如果您日后想将数据用于其他用途,则必须征求用户意见,并确保用户明确同意这些新增用途。
受限权限
政策 摘要
为了保护用户隐私,Google Play 定义了受限权限,对其施加了额外约束,并要求应用负责任地使用这些权限,严禁应用操控用户进行授权。如果用户拒绝批准权限请求,尊重用户的选择并提供替代方案。切记,某些受限权限可能被施加了额外约束。请查看完整政策以确保合规。
除上述内容外,受限权限是被指定为危险权限、特殊权限或签名权限的那些权限或下面记录的权限。这些权限还受以下额外要求和限制的约束:
- 通过受限权限访问的用户数据或设备数据视为用户个人数据和敏感用户数据。用户数据政策的相关要求适用于这些数据。
- 如果用户拒绝授予受限权限,请尊重其决定;不得操纵或强迫用户同意授予非关键权限。您必须采取合理措施,尽量让未授予敏感权限的用户也能正常使用应用(例如,如果用户限制访问其通话记录,则允许其手动输入电话号码)。
- 明确禁止使用违反 Google Play 恶意软件政策的权限(包括滥用超出规定的权限的行为)。
某些受限权限还可能受下述额外要求的约束。这些限制旨在保护用户隐私。如果应用提供的功能极具吸引力或相当重要,而相应功能只有在获得受限权限后才能实现,我们可能会允许在此类极少数特例中不必遵守下述要求。我们会审查特例申请,评估其在隐私权或安全性方面可能会对用户造成的影响。
主要考量因素
| 正确做法 | 错误做法 |
| 如果用户拒绝了受限权限,您的应用必须尊重用户的选择,不得进行操纵。 | 在使用权限方面违反 Google Play 的恶意软件政策,包括滥用超出规定的权限的行为。 |
| 如果用户拒绝了某项权限,请提供可执行相应功能的其他方式,例如允许手动输入数据。 | 操纵或欺骗用户。强迫或诱导用户授予权限。 |
| 遵守用户数据政策,因为通过这些权限访问的所有数据都属于敏感数据。 | 在用户拒绝了受限权限时,不为用户提供合理的替代方案;不保证应用仍能正常运行。 |
请求危险权限(例如 READ_CALENDAR)时,使用运行时请求并提供清晰的说明。 |
在没有理由的情况下请求权限。未遵循以下原则:仅为富有吸引力且不可替代的关键功能请求受限权限。 |
引导用户前往系统设置页面,以批准特殊权限(例如 SYSTEM_ALERT_WINDOW)。 |
短信和通话记录权限
政策 摘要
Google Play 针对访问高度敏感的短信和通话记录数据施加了严格限制。您的应用必须是指定的短信/电话/助理默认处理程序,才能请求获取这些权限。使用情形仅限于实现已注明的核心应用功能,且该功能为您的应用实现主要用途所必需。无论何种情况下,此类数据都不得用于广告或任何其他未获批准的用途。请查看完整政策以确保合规。
短信和通话记录属于用户的个人敏感数据,相关权限使用行为必须遵循个人信息和敏感信息政策以及下列限制:
| 受限权限 | 要求 |
|---|---|
| 通话记录权限组(例如 READ_CALL_LOG、WRITE_CALL_LOG、PROCESS_OUTGOING_CALLS) | 必须由用户主动将应用注册为设备的默认电话或助理处理程序。 |
| 短信权限组(例如 READ_SMS、SEND_SMS、WRITE_SMS、RECEIVE_SMS、RECEIVE_WAP_PUSH、RECEIVE_MMS) | 必须由用户主动将应用注册为设备的默认短信或助理处理程序。 |
如果应用不具备默认短信、电话或助理处理程序功能,就不得在清单(包括清单中的占位文本)中声明需要使用上述权限。此外,只有在用户主动将应用注册为默认短信、电话或助理处理程序的情况下,应用才能向用户提出上述任何权限请求;当应用不再是默认处理程序时,则必须立即停止使用相应权限。如需了解允许的使用情形和例外情况,请访问此帮助中心页面。
应用只能将权限(及其衍生数据)用于提供已获批准的核心应用功能。核心功能即应用的主要用途,可能包含一组核心性质的功能,这些功能必须均已在应用说明中醒目地载明并宣传。如果失去核心功能,应用就会“损坏”或无法使用。您只能基于提供应用核心功能或服务的目的,转移、分享或许可使用此类数据,不能将此类数据用于任何其他用途(例如改进其他应用或服务、投放广告或营销)。您不得使用其他方法(包括其他权限、API 或第三方来源)衍生属于通话记录或短信相关权限约束范围内的数据。
主要考量因素
| 正确做法 | 错误做法 |
| 在 Play 管理中心内提交声明表单。 | 在没有正当核心需求的情况下,请求短信/通话记录权限。 |
| 清楚说明需要访问用户数据的核心功能。 | 将这些数据用于广告或其他目的。 |
| 尽可能使用符合政策的替代方案,比如 SMS Retriever API。 | 存储或共享不必要的短信或通话记录数据。 |
| 一旦失去默认处理程序状态,便立即停止访问数据。 | 尝试通过其他方式获取这些数据。 |
| 查看允许使用短信和通话记录权限的情形和例外情况。 |
位置权限
政策 摘要
为了保护用户隐私,“后台位置信息”政策要求,应用必须提供非常充足的理由并征得用户的明确同意,才能使用此类信息。设备位置数据只能用于实现可令用户直接受益且对应用核心用途至关重要的基本功能;绝不会获准仅用于广告或分析用途。请最大限度地减少您的请求,尽可能选择不太敏感的选项,比如粗略位置和前台使用权。前台服务对设备位置信息的使用权必须是由用户发起请求的临时访问,而后台的相应使用权则是仅为了实现关键功能。请查看完整政策以确保合规。
设备位置信息属于用户的个人敏感数据,与之相关的操作必须遵守个人信息和敏感信息政策和“后台位置信息”政策以及下列要求:
- 如果应用不再需要利用受位置信息权限(例如
ACCESS_FINE_LOCATION、ACCESS_COARSE_LOCATION、ACCESS_BACKGROUND_LOCATION)保护的数据来提供应用内的现有功能或服务,就不得再使用这些数据。 - 您不得纯粹出于广告投放或数据分析目的而请求用户授予位置信息权限。如果应用在此类数据的许可用途基础上额外将其用于广告投放目的,则必须遵守我们的广告政策。
- 即使是为了提供现有功能或服务而需要使用位置信息,应用也应请求最小范围的必要权限(即请求获取粗略位置信息而非精确位置信息、前台权限而非后台权限),并且为相应功能或服务所请求的位置权限级别应在用户的合理预期范围内。例如,如果应用请求在后台获取位置信息或有此获取行为,但理由缺乏说服力,我们可能会拒绝该应用。
- 在后台获取的位置信息仅可用于提供对用户有益及与应用核心功能相关的功能。
如果应用仅有前台使用权(例如“在使用时”),则可以使用前台服务权限获取位置信息,前提是:
- 使用此权限是为了完成用户在应用内发起的操作的后续操作;并且
- 此权限使用行为会在应用完成与用户所发起操作相对应的预期使用情形后立即终止。
专门为儿童设计的应用必须遵守亲子同乐计划政策。
如需详细了解政策要求,请参阅这篇帮助文章。
主要考量因素
| 正确做法 | 错误做法 |
| 对于以儿童为目标用户的应用,遵守亲子同乐政策。 | 仅出于广告或分析目的使用设备位置信息。 |
| 在提交应用进行发布之前,先查看重要的权限要求。 | 继续访问不再需要数据。 |
| 针对后台位置信息完成管理中心声明。 | 为面向儿童的应用请求设备位置信息。 |
| 出售设备位置信息。 |
所有文件访问权限
政策 摘要
Google Play 政策将用户文件和目录访问权限视为高风险的敏感权限,所以我们对在 Android 11 及更高版本上使用 MANAGE_EXTERNAL_STORAGE 权限施加了限制。只有在应用的基本核心功能确实需要广泛使用该权限,并且用于面向用户的用途(绝不允许用于第三方用途)时,才能使用该权限。这有助于防止非必要的数据收集并保护用户的隐私。请求获取此权限的应用必须给出清楚的提示以便用户做出知情的隐私决策,并通过 Google Play 的应用审核流程获得批准。请查看完整政策以确保合规。
用户设备上的文件和目录属性属于用户的个人敏感数据,相关权限使用行为必须遵循个人信息和敏感信息政策以及下列要求:
- 应用应仅请求访问对其运行至关重要的设备存储空间,而不得出于与面向用户提供的关键应用功能无关的目的,代表任何第三方请求访问设备存储空间。
- 搭载 Android R 或更高版本的 Android 设备要求有
MANAGE_EXTERNAL_STORAGE权限才能管理对共享存储空间的访问权限。如果应用以 Android R 为目标平台并请求获得对共享存储空间的广泛访问权限(“所有文件访问权限”),则必须在发布前成功通过相应的访问权限审核。若应用获准使用此权限,还必须明确提示用户在“特殊应用权限”设置下为其应用启用“所有文件访问权限”。如需详细了解 Android R 版本的要求,请参阅这篇帮助文章。
主要考量因素
| 正确做法 | 错误做法 |
| 优先使用注重隐私保护的替代方案,例如存储访问框架或 MediaStore API。 |
在非允许的使用情形下请求 |
| 当您在 Play 管理中心内提交声明表单时,声明此权限。 | 虚假陈述应用的核心功能。 |
| 在应用审核材料中明确定义并阐述应用的核心功能。 |
存储或共享超出必要和已披露用途的数据。 |
| 明确提示用户在“特殊应用权限”设置下为您的应用启用“所有文件访问权限”。 | |
| 务必查看 Android R 的相关要求以获取更多信息。 |
照片和视频访问权限
政策 摘要
为了保护用户隐私并保障用户安全,Google Play 要求,所有需要请求获取 READ_MEDIA_IMAGES 或 READ_MEDIA_VIDEO 权限的应用都必须提供理由充足的合法核心用途,以表明自身确实需要持续/频繁访问照片和视频。如果您的应用不符合获取上述访问权限的条件,您应移除这些权限,改为使用系统选择器(比如更注重保护隐私的 Android 照片选择器)来满足对照片和视频的一次性或不频繁的需求。请查看完整政策以确保合规。
用户设备上的照片和视频属于个人数据和敏感用户数据,应用对这些数据的访问必须遵守 Google Play 用户数据政策。应用只能出于与应用功能直接相关的目的访问照片和视频,且不得出于任何与面向用户的应用功能无关的目的代表任何第三方请求访问此类内容。为提供更有利于保护隐私的体验,我们建议使用照片选择器这样的系统文件选择器。
如果应用需要对设备共享存储空间中的照片和视频文件的广泛访问权限,则必须成功通过相关访问权限审核,并展示需要持续或频繁访问共享存储空间中的照片/视频文件的核心使用情形。如果应用只需访问此类文件一次,或者很少访问此类文件,则需要使用 Android 照片选择器这样的系统文件选择器。
对照片和视频的广泛访问权限还需遵循以下要求:
- 如果应用以 Android 13(API 级别 33)或更高版本为目标平台,则需要有
READ_MEDIA_IMAGES权限或READ_MEDIA_VIDEO权限,才能获得对设备共享存储空间中的照片或视频文件的广泛访问权限。只要应用以 Android 13 及更高版本为目标平台,且需要请求READ_MEDIA_IMAGES或READ_MEDIA_VIDEO权限,就必须先成功通过相关访问权限审核,才能发布。- 如果应用请求获取
READ_MEDIA_VIDEO或READ_MEDIA_IMAGES权限,则必须成功展示需要持续或频繁访问共享存储空间中的照片/视频的核心使用情形。
- 如果应用请求获取
如果您的应用不需要获取 READ_MEDIA_VIDEO 或 READ_MEDIA_IMAGES 权限/广泛访问权限,或不符合获取相关权限的条件,您必须从应用清单中移除相应权限,才能满足政策审核要求。
根据受限权限政策的规定,您必须采取合理措施,让未授予对设备中媒体文件的广泛访问权限的用户也能正常使用应用。这包括妥善提供可满足需求的应用体验,使用户仍能使用应用的相关功能或核心功能。
如果应用出于正当使用情形需访问照片或视频,但不符合获取 READ_MEDIA_IMAGES 或 READ_MEDIA_VIDEO 权限的条件,则可以使用照片选择器这样的系统文件选择器。如需了解更多信息,请参阅这篇帮助中心文章。
主要考量因素
| 正确做法 | 错误做法 |
| 在 Play 管理中心内提交声明表单。 | 收集超出必要范围的照片或视频数据。 |
| 如果不需要广泛访问权限,则使用照片选择器之类的系统选择器。 | 试图绕过或操纵用户意见征求环节。 |
| 在应用审核期间,提供证据以表明您的使用情形合理。 | 在用户拒绝了非关键权限的情况下,阻止或限制应用功能,而非使用系统选择器来妥善处理文件请求。 |
| 清楚地向用户解释您的应用为何需要这些权限。 | |
| 查看有关 Google Play 照片和视频权限政策的详细信息以获取更多信息。 |
软件包(应用)查看权限
政策 摘要
访问用户所安装应用的目录信息即是访问敏感数据。受 Google Play 政策的严格限制,只有在为实现核心应用功能,且该功能确实需要广泛了解已安装应用信息以实现互操作性的前提下,才可使用广泛可见性权限 (QUERY_ALL_PACKAGES)。您必须尽可能优先使用有限且有针对性的查询来访问特定应用,这样更利于保护隐私。无论何种情况下,都不得出于广告/分析变现的目的出售或分享所安装应用的目录中的数据。请查看完整政策以确保合规。
从设备上查询到的已安装应用目录信息属于个人数据和敏感用户数据,与之相关的操作必须遵守个人信息和敏感信息政策以及下列要求:
如果应用的核心用途是启动、搜索设备上的其他应用或与其他应用进行互操作,则该应用可针对设备上所安装的其他应用获取适当范围的可见性权限,具体如下所述:
- 广泛的应用可见性:广泛的可见性是指应用对设备上所安装的应用(“软件包”)具有大范围的(“广泛的”)发现权限。
- 如果应用以 API 级别 30 或更高级别为目标环境,则该应用通过
QUERY_ALL_PACKAGES权限所获得的针对已安装应用的广泛可见性仅可用于如下特定使用情形:应用需要知晓设备上安装的任何应用或所有应用,并且/或者要与之进行互操作,才能正常发挥作用。- 如果应用使用范围更具体的软件包可见性权限声明(例如,查询特定软件包并与之互动,而不是请求广泛的可见性权限)即可正常运作,那么该应用不得使用
QUERY_ALL_PACKAGES权限。
- 如果应用使用范围更具体的软件包可见性权限声明(例如,查询特定软件包并与之互动,而不是请求广泛的可见性权限)即可正常运作,那么该应用不得使用
- 如果应用通过其他方法获取的权限近似于与
QUERY_ALL_PACKAGES权限关联的广泛可见性级别权限,那么这种权限也仅限用于面向用户的核心应用功能以及与通过该方法发现的应用进行的互操作。 - 如需了解
QUERY_ALL_PACKAGES权限的允许使用情形,请参阅这篇帮助中心文章。
- 如果应用以 API 级别 30 或更高级别为目标环境,则该应用通过
- 有限的应用可见性:有限的可见性是指应用利用更具针对性的(而不是“广泛的”)方法查询特定应用(例如,查询与您的应用清单声明相符的特定应用),从而最大限度地减少数据访问。如果应用能够以符合政策的方式与其他应用进行互操作或管理这些应用,则该应用可以利用此方法来查询这些应用。
- 您的应用对设备上所安装应用的目录信息的可见性权限必须与用户在您的应用中要实现的核心目的或使用的核心功能直接相关。
通过 Play 分发的应用所查询的应用目录数据不得出售,也不得分享给其他方用于分析或广告变现目的。
主要考量因素
| 正确做法 | 错误做法 |
在 Play 管理中心内针对 QUERY_ALL_PACKAGES 以及所有其他高风险权限提交声明表单。 |
在您的需求通过有限且有针对性的查询即可满足的情况下,请求 |
| 明确阐述您的应用为何需要具备应用可见性(无论是广泛可见性还是范围更具体的可见性),以便我们审核您的应用。 | 通过政策未明确允许的方法获得广泛的应用可见性。 |
| 仅访问所需的最少数据。 | 提供与您应用的核心功能或数据需求有关的虚假信息。 |
| 查看 QUERY_ALL_PACKAGES 权限的允许使用情形,了解此权限可用于哪些使用情形。 | 从已安装应用的数据中,收集或使用不必要的数据。 |
无障碍功能 API
Google Play 允许各种应用使用 AccessibilityService API。不过,只有那些旨在帮助残障人士使用其设备或克服残障带来的困难的服务,才有资格在元数据中设置 isAccessibilityTool=true,以将自身声明为无障碍工具。这些应用不受《关于提供醒目披露声明和征求用户同意的要求》约束。对于所有其他用途,或者如果未将您的应用声明为无障碍工具,您必须在 Play 管理中心内完成无障碍声明,并在应用内提供清晰的披露信息来解释会如何访问和使用数据,并征得用户的明确同意。请查看完整政策以确保合规。
Accessibility API 不能用于:
- 在未经用户许可的情况下更改用户设置,或者阻碍用户停用或卸载任何应用或服务,除非家长或监护人通过“家长控制”应用授权,或者已获授权的管理员通过企业管理软件授权;
- 规避 Android 内置的平台安全控制机制、隐私控制机制和通知;或
- 以具有欺骗性或其他违反 Google Play 开发者政策的方式更改或利用界面。
Accessibility API 并非为实现下列用途而设计,应用也不得请求使用该 API 来实现这些用途:
- 远程通话录音
- 能够自主发起、规划和执行操作或决策的应用
必须在 Google Play 商品详情中注明 Accessibility API 的使用情况。
IsAccessibilityTool 使用指南
如果应用的核心功能旨在直接为残障人士提供支持,这些应用可以使用 IsAccessibilityTool,从而以适当方式公开宣称自身为无障碍应用。
如果应用不符合 IsAccessibilityTool 的使用条件,则不得使用该标记。应用还必须满足“用户数据”政策中所述的“关于提供醒目披露声明和征求用户同意的要求”,因为若非如此,用户可能不知道这是无障碍相关功能。
应用必须尽可能使用范围更小的 API 和权限来实现所需功能,而不是在不必要的情况下使用 Accessibility API。
如需详细了解禁止的使用情形以及 IsAccessibilityTool 的使用指南,请参阅 AccessibilityService API 帮助中心文章。
主要考量因素
| 正确做法 | 错误做法 |
如果您的应用的主要目标是为残障人士提供支持,则在服务的元数据文件中准确声明 isAccessibilityTool=true。 |
滥用 isAccessibilityTool 标志。在应用并非为残障人士提供支持的工具时,仍使用该标志。 |
| 如果使用 AccessibilityService API,则在 Play 管理中心内提供明确的声明和演示视频。 | 在未经许可的情况下,更改用户设置、绕过隐私控制或录制远程通话音频。 |
| 如果您的应用不是指定的无障碍工具,则在应用内明确披露相关信息并征得用户同意。 | 使用相应 API 自主发起、计划和执行操作或决策。 |
| 如果您尚未将应用声明为无障碍工具,但使用了 AccessibilityService API,则在 Play 管理中心内提交声明表单时,填写无障碍功能声明。 | 欺骗或误导用户。利用相应 API 以欺骗方式更改或操控界面。 |
| 严格按照所披露和声明的目的来收集和使用数据。 | 收集不必要的数据未严格按照所披露的目的收集数据。 |
| 尽可能使用范围更小的 API 和权限,来替代 Accessibility API 实现所需功能。 | 绕过信息披露要求。用披露的信息替代隐私权政策或其他应用说明。 |
请求安装包权限
政策 摘要
REQUEST_INSTALL_PACKAGES 权限旨在支持应用请求安装其他应用软件包。此权限仅限于应用的核心功能,尤其是当主要用途直接涉及发送、接收或启用由用户发起的应用软件包安装时。使用此权限更新您的应用时,不得更改它的功能或绑定其他 APK 进行静默/擅自安装(与企业管理相关时除外)。所有安装都必须是用户直接做出的主动选择。以 Android 8 及更高级别为目标平台的应用必须拥有此权限以便使用 Intent.ACTION_INSTALL_PACKAGE。请查看完整政策以确保合规。
若应用取得 REQUEST_INSTALL_PACKAGES 权限,则可以请求安装应用软件包。若要使用该权限,应用的核心功能必须包括以下操作:
- 发送或接收应用软件包;
- 启动由用户发起的应用软件包安装流程。
许可的功能包括:
- 浏览或搜索网页
- 支持附件的通信服务
- 文件共享、传输或管理
- 企业设备管理
- 备份和恢复
- 设备间迁移/手机间传输
- 用于将手机同步到穿戴式设备或 IoT 设备(例如智能手表或智能电视)的配套应用
核心功能是指应用的主要用途。您必须在应用说明中醒目地载明并强调核心功能以及构成核心功能的所有核心特性。
REQUEST_INSTALL_PACKAGES 权限不得用于执行自我更新、修改或在资源文件中捆绑其他 APK,除非是出于设备管理目的。所有更新或软件包安装操作都必须遵守 Google Play 的“设备和网络滥用”政策,并且必须由用户发起和推进。 主要考量因素
| 正确做法 | 错误做法 |
| 在应用的 Google Play 说明中以及在 Play 管理中心内提交声明表单时,清楚且醒目地阐述需要此权限的核心功能。 | 为与应用主要用途不直接相关的功能请求此权限。这包括点对点 (P2P) 共享。点对点共享只有在作为应用的主要用途时,才允许请求此权限。 |
|
严格遵守允许的功能,包括网页浏览/搜索、文件共享/传输/管理、企业设备管理、备份/恢复、设备迁移/换机传输,以及作为配套应用将手机信息同步到穿戴式设备或 IoT 设备。 |
当目标任务通过侵扰度较低的方式就能完成时,仍请求此权限。 |
| 确保您的应用能防止在后台或意外情况下进行安装。所有应用软件包的安装都必须由用户明确发起。 |
未先根据更新后的准确信息修改 Play 管理中心内的声明,就更改您的应用对此权限的使用方式。以欺骗性方式或未声明的方式使用此权限。 |
“身体传感器”权限
为了保护用户隐私,Google Play 要求涉及高度敏感的身体传感器数据(例如心率、血氧饱和度以及体表温度)的数据访问行为必须遵守 Google 的用户数据政策和健康类应用政策。
自 Android 16 开始,应用必须从常规的 android.permission.BODY_SENSORS 权限迁移到精细的新版健康相关权限。例如,您需要使用 android.permission.health.READ_HEART_RATE 才能访问心率数据。这项变更会影响所有以 Android 16 或更高版本为目标平台的应用,适用于所有类型的设备(包括 Wear OS 设备)。如需查看完整的变更列表,请前往行为变更:以 Android 16 或更高版本为目标平台的应用页面。我们会审核涉及“身体传感器”相关权限(无论是旧版权限还是新版权限)的所有权限请求,以确保您的应用的数据使用行为会让用户直接受益并会严格遵守我们的政策。
用于衡量身体生理参数的传感器数据(例如心率、血氧饱和度和体表温度)会被视为用户个人数据和敏感用户数据。请求访问此类数据的应用都必须遵守“用户数据”政策和“健康类应用”政策中所述的要求。这适用于所有类型的设备(包括手机、平板电脑和 Wear OS 设备)中对 android.permission. 和 BODY_SENSORS android.permission. _BACKGROUNDBODY_SENSORS
自 Android 16 起,宽泛的 BODY_SENSORS 权限让位于针对具体数据类型且更可保护隐私的精细 android.permissions.health.* 权限(例如 android.permission.health.READ_HEART_RATE 、android.permission.health.READ_OXYGEN_SATURATION 、android.permission.health.READ_SKIN_TEMPERATURE )。
凡是以 Android 16 或更高版本为目标平台的应用,都必须使用这些具体的权限才能访问之前要求应用具有 BODY_SENSORS 权限的 API。如需了解完整详情,请参阅行为变更:以 Android 16 或更高版本为目标平台的应用页面。
所有对“身体传感器”权限(无论是旧版权限还是新版精细权限)的请求都会被审核,以确保此类个人数据和敏感数据的预期用途与会让用户直接受益的获批使用情形一致。获批使用情形主要涉及健身与健康监测功能(例如实时锻炼监控)、医疗或病症监控、健康调研(需获得相应批准)或穿戴式设备配套应用增强功能。
如需获取综合指南,包括禁止的用途、可接受的使用情形和详细的要求,请参阅 Android 健康权限:指南和常见问题解答。
| 正确做法 | 错误做法 |
使用具体、精细的健康权限,例如 android.permission.health.READ_HEART_RATE,而非广泛的 BODY_SENSORS 权限。 |
在有更具体的健康权限可用时,仍声明 |
| 确保您的应用具备确实需要相应数据且对用户有益的核心功能(例如健身追踪或健康监测)。 | 在不能给用户带来明确、直接的益处的情况下,仍访问相应数据。 |
| 遵守用户数据和健康类应用政策。 | 请求或使用身体传感器数据来实现未经批准的用途,比如用于一般广告、数据分析或根据推断的健康状况构建用户画像。 |
| 仅请求必要的最低权限和应用预期用途所需的特定数据。 | 忽略或试图绕过基本的用户数据和健康类应用政策。 |
| 参阅 Android 健康相关权限:指南和常见问题解答,了解所有使用情形和具体要求。 |
Health Connect by Android 权限
政策 摘要
对“健康数据共享”数据的访问权限仅限于下述类型的应用:具有已获批准的健康、健身、医疗或健康调研等核心用途。在与第三方分享任何健康数据之前,您必须严格限制数据访问权限,仅为这些获批功能请求获取所需的最小范围权限,并征得用户的明确同意。让用户知情是关键,因此务必提供清晰的披露信息和详尽全面的隐私权政策,以阐明数据收集、使用、管理和删除方式。保护用户数据免遭未经授权的访问,并遵守所有适用的法律法规(例如 HIPAA、GDPR)。请查看完整政策以确保合规。
健康数据共享是一个 Android 平台,可以让健康与健身应用在统一的生态系统内存储和共享相同的设备端数据。此外,用户只需通过这一个平台,即可控制哪些应用能够读取和写入自己的健康与健身数据,包括健康记录。健康记录可能涵盖病史、诊断信息、治疗方案、用药记录、检验结果以及其他临床数据,这些数据通常由医疗服务提供方或机构提供,或者通过受支持的第三方健康平台获取。
“健康数据共享”支持读取和写入各种类型的数据,从步数到体温,再到健康记录数据,均在此列。
通过“健康数据共享”权限访问的数据属于用户个人数据及敏感用户数据,使用这些数据时必须遵循“用户数据”政策。如果您的应用属于健康类应用,或提供健康相关功能并会访问健康数据(包括“健康数据共享”数据),则该应用必须遵守“健康类应用”政策。
请参阅这份 Android 开发者指南,了解如何开始使用“健康数据共享”。如需获取访问“健康数据共享”相关类型数据的权限或查看其他常见问题解答,请参阅 Android 健康权限:指南和常见问题解答。
通过 Google Play 分发的应用必须符合以下政策要求,才能在“健康数据共享”中读取和/或写入数据。
主要考量因素
| 正确做法 | 错误做法 |
| 如果您的应用符合健康类应用的条件或具备健康相关功能,并且访问健康数据(包括“健康数据共享”数据),则必须遵守“健康类应用”政策。 | 在高风险应用(例如航空应用、控制心脏起搏器等生命攸关系统的应用)或专门针对儿童的应用中使用健康数据共享。 |
| 参阅 Android 健康相关权限:指南和常见问题解答,了解如何请求访问各种类型的“健康数据共享”数据,并查看其他常见问题解答。 | 出于广告推广和信誉度评级目的出售或转让用户数据,或将其出售或转让给数据代理商。 |
| 在 Play 管理中心内提交声明表单,并提供清晰详细的理由,解释您的应用将如何使用这些数据让用户受益。 | 与未达到相关监管机构合规要求/未获得相关监管机构许可的医疗设备一起使用。 |
| 仅请求必要且最少的数据类型。 | 出于次要目的或未经批准的目的访问“健康数据共享”数据。 |
| 安全地处理用户数据(例如使用新型加密技术)。 | 请求与应用核心功能无关的数据权限。 |
以适当的方式访问和使用 Health Connect
使用“健康数据共享”时必须遵守适用的政策、条款及条件,并且符合本政策中规定的获批使用情形。也就是说,只有当应用或服务符合其中一种获批使用情形时,您才能请求使用相应权限。
获批使用情形包括:健身和健康、奖励、健身指导、公司健康计划、医疗护理、健康研究,以及游戏。获准用于这些使用情形的应用不得将其使用情形扩展至未披露或未经允许的用途。
仅当应用或服务的一项或多项功能的设计目的是帮助用户开展有益的健康与健身活动时,应用或服务才能请求使用“健康数据共享”权限。具体包括:
- 应用或服务允许用户直接记录、报告、监控和/或分析自己的身体活动、睡眠状况、心理健康状况、营养状况、健康测量结果、身体特征说明、健康记录和/或其他与健康或健身相关的说明和测量结果。
- 应用或服务允许用户在设备上存储自己的身体活动记录、睡眠状况、心理健康状况、营养状况、健康测量结果、身体特征说明、健康记录和/或其他与健康或健身相关的说明和测量结果,并将数据共享给设备上符合这些使用情形的其他应用。
- 应用或服务允许用户管理慢性疾病、医疗或护理支持。
使用“健康数据共享”权限时不得违反本政策,也不得违反其他适用的“健康数据共享”条款及条件或政策,包括不得将该权限用于实现以下目的:
- 如果可以合理预见到,在应用、环境或活动中使用“健康数据共享”或相关故障可能会导致人员伤亡、个体损害、环境破坏或财产损失,则不得将“健康数据共享”用于开发此类应用、环境或活动,也不得将其纳入此类应用、环境或活动中(例如建设或操作核设施、空中交通管制系统、生命支持系统或武器)。
- 不得使用无头应用访问通过“健康数据共享”获取的数据。应用必须在应用托盘、设备配套应用的设置界面、通知图标等位置显示清晰可辨的图标。
- 如果应用在不兼容的设备和平台之间同步数据,则不得与“健康数据共享”一起使用。
- 不得将“健康数据共享”用于连接仅面向儿童的应用、服务或功能。
- 采取合理且适当的措施来保护使用“健康数据共享”的所有应用或系统,以免遭到未经授权或非法的访问、使用、损坏、损失、篡改或披露。
此外,在将“健康数据共享”及“健康数据共享”中的任何数据用于预期用途时,您还有责任确保遵守可能适用的任何法规或法律要求。例如,如果您是受《健康保险流通与责任法案》(HIPAA) 约束的实体或业务伙伴,就必须恪守与访问和使用“健康数据共享”信息相关的适用要求。同样,如果您是受面向欧盟用户的《一般数据保护条例》(GDPR) 约束的开发者,则必须履行 GDPR 规定的义务。这些法律法规可能会要求您,在将数据共享给参与您的处理活动的相关实体之前签署额外协议,比如《业务伙伴协议》或《数据处理协议》。此外,应用开发者还应负责确定,是否需要签署这类协议才能开展其活动。收到要求后,开发者必须向 Google 提供已签署此类协议或活动合规的证明。
除非 Google 在针对特定 Google 产品或服务提供的标签或信息中明确指明,否则 Google 不为将“健康数据共享”中包含的任何数据用于任何用途或目的(尤其是研究、健康或医疗用途)的行为背书,也不保证这些数据的准确性。对于使用通过“健康数据共享”获取的数据的行为,Google 概不承担任何相关法律责任。
有限使用
访问和使用“健康数据共享”数据时,须遵守特定限制条件:
- 数据只能用于提供或改进适当的使用情形或应用界面中显示的功能。
- 只有在用户明确同意且满足以下条件的情况下,才能将用户数据传输给第三方:出于安全目的(例如,调查滥用行为)、符合适用的法律或法规,或者因组织合并/收购而需要传输这类数据。
- 除非满足以下条件,否则限制人为访问用户数据的行为:已获得用户的明确同意、出于安全目的、符合适用的法律规定,或者按照法律要求汇总数据以供内部运营之用。
- 禁止任何其他传输、使用或出售“健康数据共享”数据的行为,包括:
- 向第三方(如广告平台、数据代理商或任何信息转销商)传输或出售用户数据。
- 以投放广告(包括投放个性化广告或针对用户兴趣投放广告)为目的传输、出售或使用用户数据。
- 以确定用户的信誉度或进行贷款为目的传输、出售或使用用户数据。
- 通过可能被认定为医疗设备的任何产品或服务传输、出售或使用用户数据,除非相应医疗设备应用遵守所有适用的法规,包括已事先获得相关监管机构(如美国食品药品监督管理局)的必要官方许可或批准,表明可以将“健康数据共享”数据用于预期用途,并已就此征得用户的明确同意。
- 出于任何目的或通过任何方式传输、出售或使用涉及受保护健康信息(如《健康保险流通与责任法案》[HIPAA] 中所定义)的用户数据,除非相应行为是由用户发起的且符合 HIPAA 规定。
请求最小范围的权限
您只能请求获取实现产品功能或服务所必需的权限。此类权限请求应仅针对且仅限于必要的数据。
透明且准确的通知和控制措施
“健康数据共享”会处理健康与健身数据,包括个人信息和敏感信息。开发者必须制定详尽全面的隐私权政策,将其在数据方面的做法以清晰且易于获取的方式披露给用户。这类披露必须包括:
- 如实表明请求访问用户数据的应用或服务的身份。
- 清晰、准确地阐述正在访问、请求和/或收集的数据类型。这些数据必须与应用内面向用户提供的功能或建议紧密相关。
- 说明数据的使用和/或共享方式:如果您出于某种原因请求数据,但也会将数据用于另一目的,则必须向用户全面披露所有使用情形。
- 提供用户帮助文档,指导用户如何在应用内管理和删除其数据,并说明在停用和/或删除账号时数据的处理情况。
- 阐明如何以安全的方式处理所有用户个人数据和敏感用户数据,包括使用新型加密技术(例如通过 HTTPS)传输数据。
如需详细了解与关联“健康数据共享”的应用相关的要求,请参阅这篇帮助中心文章。
VPN 服务
政策 摘要
VpnService 基类允许开发者创建安全 VPN 解决方案。Google Play 仅允许下述类型的应用使用 VpnService:具有核心 VPN 功能,或需要使用远程服务器来提供家长控制、应用使用情况跟踪、设备安全性、网络工具、网络浏览器、运营商服务等基本功能。请务必确保,未经醒目披露声明和用户明确同意,绝不使用 VpnService 收集用户个人数据或敏感用户数据。此外,严禁重定向或操控其他应用的用户流量进行变现。所有使用 VpnService 的应用都必须在各自的 Google Play 商品详情中清楚地阐明这一点,并为从设备向 VPN 隧道端点传输的所有数据加密。请查看完整政策以确保合规。
VpnService 是供应用扩展和构建自己的 VPN 解决方案的基类。只有使用 VpnService 并将 VPN 作为其核心功能的应用才能创建指向远程服务器的安全设备级隧道。例外情况包括需要远程服务器来实现核心功能的应用,例如:
- 家长控制和企业管理应用。
- 应用使用情况跟踪。
- 设备安全性应用(例如防病毒、移动设备管理、防火墙)。
- 与网络相关的工具(例如远程访问)。
- 网络浏览应用。
- 需要利用 VPN 功能来提供电话或连接服务的运营商应用。
VpnService 不能用于:
- 在未提供醒目披露声明和未征得用户同意的情况下收集个人数据和敏感用户数据。
- 出于变现目的重定向或操控来自某个设备上其他应用的用户流量(例如,重定向广告流量,使之流经与用户所在国家/地区不同的国家/地区)。
使用 VpnService 的应用必须:
| 正确做法 | 错误做法 |
| 在 Google Play 商品详情中注明 VpnService 使用情形。 | 将 VpnService 用于核心 VPN 或指定例外情况之外的用途。 |
| 对从设备传输到 VPN 隧道端点的数据进行加密。 | 在未提供醒目披露声明并征得用户同意的情况下,收集用户的个人数据或敏感数据。 |
| 确保应用的核心功能符合 VPN 使用情形或允许的例外情况。 | 出于变现目的重定向或操控来自设备上其他应用的用户流量(例如,重定向广告流量,使其流经并非相应用户所在地的国家/地区)。 |
| 无论收集何种敏感数据,都提供醒目的应用内披露声明并征得用户明确同意。 |
精确闹钟权限
政策 摘要
Android 13 及更高版本上的 USE_EXACT_ALARM 权限是一项严格受限权限,仅用于那些确实需要依靠精准时间面向用户提供核心功能的应用,比如专用闹钟、计时器或带有活动通知的日历应用。如果您的应用没有这种特定的核心需求,请考虑改用 SCHEDULE_EXACT_ALARM 权限。该权限提供同样的功能,但必须由用户授权使用。此政策旨在防止会对系统资源产生不良影响的滥用行为。请查看完整政策以确保合规。
系统将引入一个新的权限 USE_EXACT_ALARM,用于向以 Android 13(目标 API 级别 33)或更高版本为目标平台的应用授予对精确闹钟功能的访问权限。
USE_EXACT_ALARM 是一项受限权限,应用只有在其核心功能支持精确闹钟需求的情况下才能声明此权限。请求此受限权限的应用需要接受审核;如果应用不符合可接受的用例标准,则不允许在 Google Play 上发布。
使用精确闹钟权限的可接受用例
仅当应用面向用户的核心功能需要精确计时的操作时,应用才必须使用 USE_EXACT_ALARM 功能,例如:
- 应用是闹钟或计时器应用。
- 应用是显示事件通知的日历应用。
如果您有上文未涵盖的精确闹钟功能用例,则应评估能否选择使用 SCHEDULE_EXACT_ALARM 作为替代方案。
主要考量因素
| 正确做法 | 错误做法 |
仅当应用的核心功能是闹钟或日历时,才请求自动授予的 USE_EXACT_ALARM 权限。 |
将此权限用于与应用主要用途无直接关系的非关键功能。 |
如果不满足上述条件,则改用 SCHEDULE_EXACT_ALARM。 |
|
| 完成 Play 管理中心内的声明,以指明应用功能。 | |
| 查看使用精确闹钟所需的新权限,详细了解精确闹钟功能。 |
全屏 intent 权限
政策 摘要
在 Android 14 及更高版本上,USE_FULL_SCREEN_INTENT 权限只会自动授给以设置闹钟或处理通话为核心功能的应用。对于任何其他用途,您必须征得用户的明确同意并清楚地解释您的需求。此政策旨在防止滥用全屏 intent 实现非关键用途,同时要求您预期的用途不得干扰或中断用户的设备、其他应用或整体易用性。请查看完整政策以确保合规。
对于以 Android 14(API 目标级别 34)及更高版本为目标平台的应用,USE_FULL_SCREEN_INTENT 是一项特殊应用访问权限。只有当应用的核心功能属于以下需要高优先级通知的类别之一时,系统才会自动授权应用使用 USE_FULL_SCREEN_INTENT 权限:
- 设置闹钟
- 接听来电或视频通话
请求此权限的应用需要接受审核;如果应用不符合上述条件,系统将不会自动向其授予此权限。在这种情况下,应用必须向用户请求权限,才能使用 USE_FULL_SCREEN_INTENT。
特此提醒,任何使用 USE_FULL_SCREEN_INTENT 权限的行为均必须遵循所有 Google Play 开发者政策,其中包括我们的移动垃圾软件政策、设备和网络滥用政策以及广告政策。全屏 intent 通知不得干扰、中断、损害或以未经授权的方式访问用户的设备。此外,应用不得妨碍其他应用或设备的易用性。
如需详细了解 USE_FULL_SCREEN_INTENT 权限,请访问我们的帮助中心。
主要考量因素
| 正确做法 | 错误做法 |
| 如果系统未自动授予此权限,则请求用户同意授予此权限,并清楚解释为何提出该请求。 | 将此权限用于非核心功能或低优先级功能。 |
|
仅用于必要的高优先级通知/提醒。 |
利用此权限干扰设备或其他应用。 |
| 如果应用的目标平台是 Android 14 及更高版本,则在 Play 管理中心内提交一份声明表单,以获得被预先授予全屏 intent 权限的资格 | 将此权限用于干扰性广告或干扰性通知。 |
详细了解 USE_FULL_SCREEN_INTENT 权限及其要求。 |
Age Signals API 和用户数据
为了更好地保护用户数据,您只能使用由 Age Signals API 提供的数据,为接收该数据的应用提供符合年龄的体验。这些准则旨在确保您严格按照合规性要求来使用此 API,而不会将其用于商业利益或用户追踪目的。
此政策规定了您使用 Age Signals API 时必须满足的条件;通过该 API,您可获取私密且敏感的用户年龄数据及家长同意情况数据。
您只能将通过 Age Signals API 获取的数据用于履行适用法定和监管义务这一用途,例如在您的应用内提供符合年龄的体验。
我们严禁您将此类数据用于以下用途,包括但不限于:
- 广告、营销或个性化用途,包括投放定位广告
- 数据分析、用户剖析或商业智能
- 出于任何原因向任何第三方出售、共享或传输此类数据(除非法律有严格要求)
主要考量因素
| 正确做法 | 错误做法 |
| 将数据仅用于合规的使用情形。 | 将此类数据用于开展营销或定位广告。 |
| 查看家长同意书要求。 | 将此类数据用于进行数据分析或用户剖析。 |
| 确保用户体验与用户年龄相符。 | 出于任何原因与第三方分享此类数据(法律要求的情况除外)。 |