應用程式中繼資料套裝組合可讓開發人員透過公開透明的方式,加入開發人員 (開發人員)、應用程式,以及是否收集、分享及保護使用者資料的方式,以及是否收集、分享和保護這些資料。Google Play 商店要求開發人員為發行的應用程式提供這項資訊;擁有 Google Play 服務的 Android 裝置製造商也要求製造商預先載入應用程式開發人員採用相同資訊,但系統服務只有少數例外。
其他應用程式商店和安裝程式可以選擇為發行的應用程式提供應用程式中繼資料套件。應用程式發布方法會決定開發人員如何建立及整合應用程式中繼資料套件。Android 會向使用者顯示來自應用程式中繼資料套件的資料安全性資訊;舉例來說,如果應用程式宣告與第三方分享位置,則在搭載 Android 14 以上版本的裝置上,這項資訊會顯示在位置存取權提示中。
總覽
應用程式中繼資料套件可讓您分享自己 (開發人員) 和應用程式的相關資訊,包括應用程式收集或分享的使用者資料,以及展示應用程式的重要隱私權和安全性做法。這些資訊可協助使用者做出更明智的選擇,例如授予存取權限。
應用程式中繼資料套件與應用程式中繼資料套件各自獨立,並加上您 (開發人員) 可能施行的國家/地區可能適用的任何法律資訊公開和揭露義務。
我們建議所有開發人員宣告應用程式如何收集及處理使用者資料,並詳細說明應用程式用途、開發人員資訊,以及應用程式如何透過加密等安全性做法保護使用者資料。這包括應用程式中使用的第三方程式庫或 SDK,透過這些第三方程式庫或 SDK 收集和處理的資料。開發人員可以參考 SDK 供應商發布的資料安全性資訊,瞭解詳情。開發人員可以前往 Google Play SDK 索引,查看供應商是否提供了相關規範連結。
應用程式中繼資料套件會根據應用程式的發布方式,以不同方式觸及裝置:
- 在系統映像檔上預先載入的應用程式:裝置製造商負責將應用程式中繼資料套件納入系統映像檔的資料安全性 XML 檔案。
- 安裝者發布的應用程式:安裝程式負責將應用程式中繼資料套件傳送至裝置。如果您是透過 Google Play 開發應用程式,請參閱 Play 管理中心說明的操作說明。安裝程式可參閱應用程式中繼資料套件結構定義。
預先載入應用程式的開發人員可以使用下列任一方法建立資料安全性 XML 檔案:
- 如果您開發的應用程式已在 Play 商店中發布,請依序前往「政策」>「應用程式內容」,使用 Play 管理中心的「應用程式內容」頁面資料安全性表單。如果您已填妥這份表單,就不需要採取其他行動。
- 下載並編輯這個頁面提供的範本 XML 檔案,以便提供給製造商或安裝程式。
準備資訊
在開發人員開始建立應用程式中繼資料套件前,請先完成下列步驟:
請確認對方已新增隱私權政策。
檢查應用程式收集及分享使用者資料的方式,以及應用程式的安全性做法。請特別檢查應用程式宣告的權限和使用的 API。
除了檢查應用程式收集及分享使用者資料的方式外,開發人員也應查看應用程式中的第三方程式碼 (例如第三方程式庫或 SDK) 收集和分享這類資料的方式。應用程式中繼資料組合必須反映這類第三方程式碼執行的資料收集或分享行為。
開發人員必須在「應用程式和開發人員資訊」專區中揭露哪些資訊
本節說明開發人員必須在應用程式中繼資料套件的應用程式和開發人員資訊區段中揭露哪些資訊。如果您是透過 Google Play 商店發布應用程式,請使用 Play 管理中心輸入這項資訊。
開發人員需要分享的應用程式相關資訊
建立應用程式中繼資料套件時,開發人員必須揭露以下各節所述的應用程式資訊:
應用程式用途
以使用者可理解的英文文字 blob 說明應用程式的用途 (4000 個字元限制)。
應用程式類別
請從下列清單中選取最符合應用程式用途的類別。
以下類別適用於預先載入的應用程式:
- OTA - 負責接收及安裝無線更新 (OTA) 更新的套件
- Android 開放原始碼計畫 - Android 開放原始碼計畫中提供的套件
- 安全性
- 商店
下表說明 Google Play 也會使用下表所述的類別:
| 類別 | 範例 |
|---|---|
藝術與設計 |
素描簿、繪圖工具、藝術與設計工具、著色本 |
汽車與車輛 |
汽車購物、汽車保險、汽車比價、道路安全、汽車評價和車訊 |
美容 |
化妝教學、裝扮工具、美髮造型、美容用品購物、化妝模擬器 |
圖書與參考資源 |
書籍閱讀器、參考書籍、教科書、字典、辭典、維基 |
商家 |
文件編輯器或讀取器、包裹追蹤、遠端桌面、電子郵件管理、工作搜尋 |
漫畫 |
看漫畫程式、漫畫刊物 |
通訊 |
簡訊、即時通訊或即時訊息、撥號程式、通訊錄、瀏覽器、通話管理 |
約會交友 |
配對媒合、求愛、發展關係、認識新朋友、找尋另一半 |
教育 |
考試準備、學習輔導、單字、教育遊戲、語言學習 |
娛樂 |
串流影片、電影、電視、互動式娛樂 |
活動 |
演唱會門票、體育賽事門票、票券轉售、電影票 |
財經 |
銀行業務、付款、ATM 搜尋工具、財經新聞、保險、稅務、投資組合管理和貿易、小費計算機 |
飲食 |
食譜、餐館、美食指南、品酒與美酒探索、調酒配方 |
健康與健身 |
個人塑身、健身記錄、飲食及營養秘訣、健康與安全 |
居家生活 |
住家與公寓搜尋、居家修繕、室內裝潢、貸款、房地產 |
程式庫與試用程式 |
軟體程式庫、技術示範 |
生活品味 |
時尚指南、婚禮與派對規劃、操作指南 |
地圖和導航 |
導航工具、GPS、地圖、運輸工具、大眾運輸 |
醫療 |
醫藥與臨床參考資源、計算機、醫療照護提供者手冊、醫療期刊與新聞 |
音樂與音訊 |
音樂服務、廣播、音樂播放程式 |
新聞與雜誌 |
報紙、新聞彙整工具、雜誌、網誌 |
子女教養 |
懷孕、嬰兒照顧與監控、兒童照顧 |
個人化 |
桌布、動態桌布、主畫面、螢幕鎖定、鈴聲 |
攝影 |
相機、相片編輯工具、相片管理與分享 |
效率提升 |
記事本、待辦事項清單、鍵盤、列印、日曆、備份、計算機、轉換 |
購物 |
線上購物、拍賣、優待券、比價、購物清單、產品評論 |
社交 |
社交網路、簽到/打卡 |
體育 |
運動新聞與評論、比數追蹤、夢幻隊伍管理、賽事報導 |
工具 |
Android 裝置專用工具 |
旅遊與地方資訊 |
行程預定工具、共乘、計程車、城市導覽、當地商家資訊、行程管理工具、旅程預約 |
影片播放器和編輯器 |
影片播放器、影片編輯器、媒體儲存空間 |
天氣 |
天氣預報 |
應用程式廣告和行銷
指出應用程式是否含有廣告或行銷,包括應用程式內宣傳。
隱私權政策
請加入隱私權政策連結,詳細說明開發人員處理使用者資料的方式。如果應用程式不含這個連結,系統會假設應用程式不會處理使用者資料。
開發人員需要分享的個人資訊
建立應用程式中繼資料套件時,開發人員必須揭露以下各節所述的開發人員資訊:
開發人員名稱
建立應用程式的開發人員、使用者或公司名稱。可能有多個開發人員名稱。
應用程式登錄檔
如果應用程式列在任何應用程式登錄檔 (包括商店與其他安裝程式) 中,請在這個欄位表示。可以針對多間商店提交多個項目。
- 如果是 Android 安裝程式的應用程式開發人員:這個值應為商店的 Android 套件名稱。例如,針對 Google Play 商店使用
com.android.vending。 - 其他應用程式登錄檔:這個值應為註冊資料庫的網址。
基於下列任何原因,請省略這個欄位:
- 開發人員是 Google Play SDK 索引中列出的 SDK。
- 開發人員未在任何應用程式商店或登錄檔中註冊。
應用程式登錄檔 ID
針對任何應用程式登錄檔 (包括安裝程式和商店) 中列出的應用程式,這個值應為開發人員的商店、安裝程式或註冊資料庫身分。系統允許為多間商店設置多個項目,
- 對於已在 Google Play 註冊的開發人員:這個值「必須」為開發人員網頁網址 (例如
https://play.google.com/store/apps/dev?id=5700313618786177705是開發人員 Google LLC 的網址)。 - 如果開發人員是 Google Play SDK 索引中列出的 SDK 開發人員:請使用 SDK 的網址 (例如
https://play.google.com/sdks/details/com-google-android-gms-play-services-ads是 Google Mobile Ads (GMA) SDK 的網址)。 - 如果開發人員已註冊其他商店或註冊資料庫:可以提供應用程式商店網址或其他 ID。
如果開發人員尚未在任何應用程式商店中註冊,可以省略這項屬性。
開發人員聯絡資訊
提供下列資訊:
- 電子郵件
- 網站
- 國家/地區
- 實際郵寄地址
開發人員必須在「資料安全性」專區揭露哪些資訊
本節說明開發人員必須在應用程式中繼資料套件的資料安全性專區揭露哪些資訊,並列出開發人員可以選取的使用者資料類型和用途。如果您是透過 Google Play 商店發布應用程式,請使用 Play 管理中心輸入這項資訊。
開發人員需要宣告的資料類型
建立應用程式中繼資料套件時,開發人員必須按照以下各節所述,揭露自己收集和分享的資料類型資訊:
資料收集
在這種情況下,「Collect」(收集) 是指透過應用程式將資料傳輸到使用者裝置外部。 請注意下列規範:
程式庫和 SDK:包括應用程式使用的程式庫或 SDK 從裝置傳輸至裝置外的使用者資料,無論資料是傳輸給應用程式開發人員或第三方伺服器都一樣。
WebView:包括透過應用程式開啟的 WebView 收集使用者資料的行為,前提是應用程式可以控制透過該 WebView 傳遞的程式碼和行為。
開發人員不需要在使用者透過 WebView 瀏覽開放網路時聲明資料收集行為。
暫時處理:如果是暫時處理的裝置外部傳輸的使用者資料,如果符合下列標準,就不必納入應用程式中繼資料套件中:
「暫時」處理資料是指存取和使用只儲存在記憶體中的資料,且這類資料的保留時間不超過即時處理特定要求所需的時間。
舉例來說,天氣應用程式會將使用者位置傳輸到裝置外部,以擷取使用者所在位置的目前天氣,但只會在記憶體中使用位置資料,且執行完要求後不會儲存該資料,您可以將應用程式暫時使用位置資訊視為暫時處理。不過,如果使用資料建立廣告設定檔或其他使用者設定檔,就稱不上是暫時處理,開發人員必須宣告收集或分享行為是基於相關用途。
匿名資料:您必須揭露以匿名方式收集的使用者資料。 舉例來說,如果資料根據合理判斷能與使用者重新建立關聯,您就必須揭露該資料。
不在資料收集揭露範圍內
以下用途不必揭露為收集行為:
在裝置上存取或處理:如果應用程式只會在使用者裝置上處理所存取的使用者資料,而不會將資料傳輸到裝置外部,則「不必」揭露這類行為。
端對端加密:如果使用者資料會透過端對端加密傳輸到裝置外部,但只有傳送者和接收者能夠讀取,則不必揭露這類行為。
任何中介實體 (包括開發人員) 皆無法讀取已加密的資料,且只有傳送者和收件者才能擁有必要的金鑰。
資料分享
在此情況下,「分享」是指將應用程式收集的使用者資料轉移給第三方。這包括透過下列方式轉移的使用者資料:
裝置外部,例如伺服器對伺服器轉移:例如,如果開發人員將應用程式收集的使用者資料從開發人員伺服器轉移至第三方伺服器,就會發生這種情形。
轉移至裝置上的其他應用程式:直接在裝置上將使用者資料轉移至其他應用程式。在這種情況下,即使應用程式不會將資料傳輸到使用者的裝置外部,開發人員還是必須在「資料安全性」專區揭露資料分享行為。
從應用程式套件和 SDK:使用應用程式內含的程式庫或 SDK,將應用程式收集的資料直接從使用者裝置外部轉移至第三方。
透過應用程式開啟的 WebView:使用應用程式開啟的 WebView,將使用者資料轉移給第三方,前提是應用程式可以控制透過該 WebView 傳遞的程式碼和行為。
開發人員不需要在使用者透過 WebView 瀏覽開放網路時聲明資料分享行為。
下列類型的資料轉移不需要揭露為分享:
服務供應商:將使用者資料轉移給代表開發人員處理資料的服務供應商。「服務供應商」是指代表開發人員處理使用者資料的實體,會按照開發人員的指示處理資料。
法律目的:基於特定法律目的轉移使用者資料,例如遵循法律義務或政府要求。
使用者執行的操作或醒目揭露事項和使用者同意聲明:按照使用者啟動的特定動作,將使用者資料轉移給第三方,使用者合理預期應用程式會與第三方分享資料,或根據應用程式內醒目揭露事項與同意聲明,將使用者資料轉移給第三方。
匿名資料:轉移完全經過匿名處理的使用者資料,因此該資料不再與個別使用者相關聯。
第一方和第三方:「第一方」是指開發人員,負責處理應用程式所收集資料的主要機構。針對透過商店發布的應用程式,這通常是在商店發布應用程式的機構。
第一方有義務向使用者清楚說明,哪個機構主要負責處理應用程式收集的資料。
第三方係指第一方或其服務供應商以外的任何機構。
資料處理
開發人員也可以揭露應用程式收集的各類資料類型,為「選用」或「必要」。選用包括可自行選擇是否允許資料收集。舉例來說,開發人員可以將資料類型宣告為「選用」,讓使用者能控管資料收集作業,因此不需要提供該資料類型也能使用應用程式;或者使用者也可以選擇手動提供該資料類型。如果應用程式的主要功能需要資料類型,開發人員應宣告該資料為必要功能。
開發人員可以聲明,無論裝置或地區為何,所有使用者都能選擇提供資訊、拒絕或選擇收集資料時,應用程式才能選擇收集特定資料。
以下為幾個選用收集資料的示例:
社群媒體應用程式基於行銷傳播目的,要求使用者提供生日資訊,但使用者可選擇是否提供該資訊,即使不提供也能進行註冊。
系統只在使用者登入的情況下收集使用者資料,使用者不必登入就能與應用程式互動。
其他應用程式和資料揭露事項
開發人員也可以在資料安全性專區展現應用程式的隱私權和安全性做法。舉例來說,開發人員可以醒目顯示下列資訊:
在傳輸過程中加密:應用程式收集或分享的資料是否使用傳輸中資料加密機制,保護使用者資料從使用者裝置傳送到伺服器的過程。
有些應用程式的設計可讓使用者將資料轉移到其他網站或服務。舉例來說,訊息應用程式可能會為使用者提供透過行動服務供應商傳送簡訊的選項,而兩者會維持不同的加密做法。只要這類應用程式會依照最佳業界標準,在使用者裝置和應用程式伺服器之間傳輸的資料安全無虞,就可以在「資料安全性」專區中聲明資料會透過安全連線轉移。
刪除要求機制:應用程式是否為使用者提供要求刪除資料的方法。
獨立安全性審查 (適用於所有應用程式)
開發人員可以選擇在「資料安全性」專區中宣告應用程式已通過獨立全球安全性標準驗證。這是開發人員同意執行的選用審查項目,費用也由開發人員支付。舉例來說,透過行動應用程式安全性評估 (MASA),開發人員可以直接與研究室合作,讓應用程式根據開放世界的應用程式安全性專案 (OWASP) 行動應用程式安全性驗證標準 (MASVS) 進行評估。負責審查的第三方機構會代表開發人員執行相關審查。
資料類型和用途
我們要求開發人員針對一系列使用者資料類型,提供收集、分享方式和其他做法,以及開發人員使用這些資料的目的,如下表所示:
| 類別 | 資料類型 | 說明 |
|---|---|---|
位置 |
概略位置 |
使用者或裝置實際位置,範圍大於或等於 3 平方公里,例如使用者所在的城市,或 Android |
精確位置 |
使用者或裝置實際位置,範圍小於 3 平方公里,例如由 Android |
|
個人資訊 |
名稱 |
使用者稱呼自己的方式,例如名字、姓氏或暱稱。 |
電子郵件地址 |
使用者的電子郵件地址。 |
|
使用者 ID |
與可識別對象相關的 ID,例如帳戶 ID、帳號或帳戶名稱。 |
|
地址 |
使用者的地址,例如郵寄地址或住家地址。 |
|
電話號碼 |
使用者的電話號碼。 |
|
種族和族群 |
使用者的種族或族裔相關資訊。 |
|
政治或宗教信仰 |
使用者的政治或宗教信仰相關資訊。 |
|
性傾向 |
使用者的性傾向相關資訊。 |
|
其他資訊 |
任何其他個人資訊,例如出生日期、性別認同或服役狀態。 |
|
財務資訊 |
使用者付款資訊 |
使用者的財務帳戶相關資訊,例如信用卡號碼。 |
購買記錄 |
使用者的消費或交易相關資訊。 |
|
信用評分 |
使用者的信用評分相關資訊。 |
|
其他財務資訊 |
任何其他財務資訊,例如使用者的薪資或債務。 |
|
健康與健身 |
健康資訊 |
使用者的健康相關資訊,例如病歷或症狀。 |
健身資訊 |
使用者的健身相關資訊,例如運動或其他體能活動。 |
|
訊息 |
電子郵件 |
使用者的電子郵件,包括電子郵件主旨行、寄件者、收件者和電子郵件內容。 |
簡訊或多媒體訊息 |
使用者的簡訊,包括寄件者、收件者和訊息內容。 |
|
其他應用程式內通訊訊息 |
任何其他類型的訊息,例如即時通訊或聊天內容。 |
|
相片和影片 |
相片 |
使用者的相片。 |
影片 |
使用者的影片。 |
|
音訊檔案 |
錄音內容 |
使用者的聲音,例如語音留言或錄音內容。 |
音樂檔案 |
使用者的音樂檔案。 |
|
其他音訊檔案 |
使用者建立或提供的任何其他音訊檔案。 |
|
檔案和文件 |
檔案和文件 |
使用者的檔案或文件,或是其檔案或文件的相關資訊,例如檔案名稱。 |
日曆 |
日曆活動 |
使用者日曆中的資訊,例如活動、活動附註和參與者。 |
聯絡人 |
聯絡人 |
使用者的聯絡人相關資訊,例如聯絡人姓名、訊息記錄,以及使用者名稱、近期聯絡資料、聯絡頻率、互動時間長度和通話記錄等社交圖譜資訊。 |
應用程式活動 |
應用程式互動 |
使用者如何與應用程式互動的相關資訊,例如頁面造訪次數,或者使用者輕觸的部分。 |
應用程式內搜尋記錄 |
使用者在應用程式中所搜尋內容的相關資訊。 |
|
已安裝的應用程式 |
使用者裝置上所安裝應用程式的相關資訊。 |
|
其他的使用者自製內容 |
此處或任何其他部分未列出的所有其他使用者自製內容,例如使用者的簡介、記事或開放式的回覆內容。 |
|
其他動作 |
此處未列出的任何其他應用程式內使用者活動或動作,例如遊戲過程資訊、表示喜歡某些內容的操作或對話方塊選項。 |
|
網路瀏覽 |
網路瀏覽記錄 |
使用者所造訪網站的相關資訊。 |
應用程式資訊與效能 |
當機記錄 |
應用程式的當機記錄資料。例如應用程式當機次數、堆疊追蹤或其他直接與當機問題相關的資訊。 |
診斷 |
應用程式的效能相關資訊,例如電池續航力、載入時間、延遲時間、影格速率或任何技術診斷資料。 |
|
其他的應用程式效能資料 |
此處未列出的任何其他應用程式效能資料。 |
|
裝置 ID 或其他 ID |
裝置 ID 或其他 ID |
與個別裝置、瀏覽器或應用程式相關的 ID,例如 IMEI 號碼、MAC 位址、Widevine 裝置 ID、Firebase 安裝 ID 或廣告 ID |
目的
| 資料目的 | 說明 | 範例 |
|---|---|---|
應用程式功能 |
用於應用程式提供的功能 |
例如啟用應用程式功能或驗證使用者。 |
數據分析 |
用於收集資料,瞭解使用者如何使用應用程式以及應用程式的成效 |
例如查看有多少使用者在使用特定功能、監控應用程式健康狀況、診斷及修復錯誤或當機情形,或者改善之後的效能。 |
開發人員通知 |
用於傳送有關應用程式或開發人員的最新消息或通知。 |
例如傳送推播通知,告知使用者重要的安全性更新資訊或應用程式新功能。 |
廣告或行銷 |
用於顯示或指定廣告/行銷通信內容,或衡量廣告成效。 |
例如在應用程式中顯示廣告、傳送推播通知以宣傳其他產品或服務,或是與廣告合作夥伴分享資料。 |
詐欺防範、安全性和法規遵循 |
用於防範詐欺、確保安全性或遵循法律。 |
例如監控嘗試登入失敗次數,藉此識別可能的詐欺活動。 |
個人化 |
用於自訂應用程式,像是顯示推薦內容或建議。 |
例如,根據使用者的收聽習慣建議播放清單,或依照使用者的所在位置提供當地新聞。 |
帳戶管理 |
用於讓開發人員設定或管理使用者帳戶。 |
舉例來說,允許使用者建立帳戶或新增資訊至開發人員提供的帳戶,以用於各項服務、登入應用程式,或驗證憑證。 |
手動建立資料安全性 XML 檔案
下列資料安全性 XML 檔案範例展示了預先載入應用程式的檔案結構,該應用程式會分享與使用者位置資訊相關的資料。請根據您需要為應用程式揭露的資訊類型來新增、編輯或移除元素。
請注意,範例檔案並不一定完整。如要進一步瞭解應用程式可能需要納入的應用程式中繼資料套件中,應用程式、開發人員和資料安全性區段所需的 XML 結構,請參閱應用程式中繼資料套件結構定義。
<?xml version='1.0' encoding='UTF-8' standalone='yes' ?>
<bundle>
<long name="version" value="2" />
<pbundle_as_map name="safety_labels">
<long name="version" value="1" />
<pbundle_as_map name="data_labels">
<pbundle_as_map name="data_shared">
<pbundle_as_map name="location">
<pbundle_as_map name="approx_location">
<int-array name="purposes" num="4">
<item value="1" />
<item value="2" />
<item value="5" />
<item value="6" />
</int-array>
</pbundle_as_map>
<pbundle_as_map name="precise_location">
<int-array name="purposes" num="2">
<item value="1" />
<item value="6" />
</int-array>
</pbundle_as_map>
</pbundle_as_map>
</pbundle_as_map>
</pbundle_as_map>
</pbundle_as_map>
</bundle>
常見問題
請參閱以下章節,取得開發人員常見問題的解答。
一般問題
下列各節針對應用程式中繼資料套件的一般問題提供解答。
某位開發人員為 iOS 提交了類似資訊。開發人員可以重複運用多少內容來建構 Android 應用程式中繼資料套件?
很高興開發人員能夠充分掌握應用程式的資料相關做法。為了正確完成應用程式中繼資料套件,開發人員可能需要提供他們可能從未使用的額外資訊,因此應預期執行額外工作。Android 應用程式中繼資料套件的分類和架構,可能與其他應用程式商店中所使用的分類和架構有實質差異。
Google 如何確保開發人員分享的是正確資訊?我們發現在業界中開發人員也可能提供不實資訊。
與隱私權政策類似,開發人員須對應用程式中繼資料套件中揭露的資訊負責。
開發人員需要多久更新一次應用程式中繼資料套件?
如果應用程式的資料相關做法有相關異動,開發人員應更新應用程式中繼資料套件。
關於完成「資料安全性」專區設定的問題
下列各節針對完成應用程式中繼資料套件「資料安全性」專區的相關疑問提供解答。
如果應用程式在各個支援的 Android 版本中運作方式不同,該怎麼辦?
應用程式的中繼資料組合應正確無誤,以便區分使用情況、應用程式版本、區域和使用者年齡。「資料安全性」專區說明應用程式在所有地理位置和使用者類型之間,收集及分享資料的整體情況。
開發人員如何證明他們在不同地區可能有不同的做法?舉例來說,開發人員並未在歐洲使用特定程式庫,但可能在其他地區使用。
應用程式中繼資料套件反映了每個應用程式的資料相關做法的全球表示法。資料安全性專區說明應用程式在所有地理位置和使用者類型之間收集與分享的資料總和。
資料安全性專區是否受到使用者同意聲明機制的保護?開發人員是否需要採取額外的步驟,建立應用程式內醒目揭露事項?
否,使用者應用程式安裝程序中沒有新的揭露事項,也沒有與這項功能相關的新使用者同意聲明。如果開發人員在 Android 裝置上使用 Google Play 服務收集使用者個人和機密資料的 Google Play 應用程式和行動應用程式套裝組合應用程式,必須依政策規定導入應用程式內揭露事項和同意聲明。
如果應用程式含有權限,但實際上不會收集或分享資料,開發人員是否需要聲明資料?
除非實際收集或分享資料,否則開發人員不必宣告資料收集或分享行為。只要是搭載 Google Play 服務的 Android 裝置,Google Play 應用程式和行動應用程式包,就必須遵守所有適用的政策。
如果收集的資料類型為另一個類型,開發人員是否應宣告兩者?舉例來說,如果開發人員收集的聯絡人包含使用者的電子郵件地址,那麼開發人員是否會同時聲明「聯絡人」和「電子郵件地址」資料類型?
如果開發人員刻意在收集其他類型的資料時收集資料類型,則開發人員應同時揭露兩者。舉例來說,如果開發人員收集使用者的相片,並利用相片判斷使用者的特徵 (例如族裔或種族),開發人員也應揭露收集種族和種族資訊的行為。
開發人員是否需要提供刪除機制?所有使用者資料都必須要有刪除機制嗎?
開發人員可透過「資料安全性」專區說明開發人員是否提供讓使用者提交資料刪除要求的機制。在填寫「資料安全性」專區時,開發人員應表明自己是否提供這類機制。
開發人員是否必須提供某種特定類型的機制,讓使用者知道應用程式支援使用者資料刪除要求?
我們並未規定任何機制,但最佳做法,應該要能讓使用者找到並存取要求機制。常見的機制範例可明確指出可要求刪除資料的路徑,包括但不限於應用程式功能、聯絡表單或專屬電子郵件別名。
開發人員該如何在「資料安全性」專區說明,要求刪除已自動刪除或匿名處理的資料?
開發人員可以宣告,如果開發人員提供下列一或多個選項,使用者可以要求刪除資料:
- 要求刪除資料的機制。
自動在收集資料後的 90 天內刪除所收集的資料,或將這些資料去識別化的程序。
開發人員可以宣告,即使開發人員需要基於正當理由 (例如遵守法規或防範濫用行為) 保留特定資料,仍可要求刪除自己的資料。
如果開發人員提供的刪除機制不是全球所有使用者都能使用,開發人員還能註明我提供刪除要求機制嗎?
每個應用程式中繼資料套件只能有一個全域的「資料安全性」專區。這應涵蓋基於任何用途、區域和使用者年齡的資料相關做法。換句話說,如果任何應用程式版本中的任何版本存在資料相關做法,開發人員就必須指明這些做法。因此,「資料安全性」專區會說明應用程式在所有使用者和地理位置收集及分享資料的總和。
哪些技巧可將資料去識別化?
將資料去識別化的方法有很多種,使得資料無法與個別使用者建立關聯。開發人員應諮詢隱私權和安全性專家,找出適用於其用途的方法。本頁面將說明 Google 使用的部分資料去識別化方法,例如差異化隱私。
開發人員該如何處理 IP 位址收集和使用行為?
與其他資料類型一樣,開發人員應根據特定用途和做法,揭露 IP 位址的收集、使用和共用行為。舉例來說,如果開發人員會使用 IP 位址來判定位置,則應宣告該資料類型 (位置)。
開發人員應如何揭露收集和分享其他類型的 ID?
與其他資料類型一樣,開發人員應根據開發人員的特定使用方式和做法,揭露各種類型 ID 的收集、使用和分享行為。舉例來說,針對可識別個人身分的帳戶名稱收集行為應宣告為「個人 ID」,收集使用者 Android 廣告 ID 時則應宣告為「裝置或其他 ID」。再舉一例,如果 ID 與特定應用程式內事件有關,但與個別裝置、瀏覽器或應用程式無合理關聯,則不需揭露為「裝置或其他 ID」。
如前文所述,在相關資料類型底下,應用程式中繼資料套件的資料安全性專區,應揭露以匿名方式收集的資料收集行為。舉例來說,如果開發人員透過裝置 ID 收集診斷資訊,開發人員仍應在「資料安全性」專區揭露「診斷」資訊的收集行為。
「服務供應商」可進行哪些類型的活動?
服務供應商只能代表開發人員處理使用者資料。舉例來說,如果分析供應商僅代表開發人員處理應用程式中的使用者資料,或由代管應用程式代管使用者資料的雲端服務供應商,一般稱為「服務供應商」。另外,如果 SDK 供應商根據應用程式資料,為多位客戶建立廣告設定檔,這類設定檔就不會視為「服務供應商」活動,因此不屬於「資料安全性」專區,需要在應用程式中繼資料套件的資料安全性專區中揭露為「分享」。
應用程式會使用外部付款服務來提供金融交易。應用程式是否需要在應用程式中繼資料套件中揭露財務資訊 (例如信用卡資訊)?
視與付款服務的整合性質而定。如果應用程式使用下列付款服務 (例如 PayPal、Google Pay、Google Play 結帳系統或類似服務) 來完成付款交易,則在滿足下列所有條件時,開發人員無須宣告付款服務收集與處理金融交易時產生的資料 (例如信用卡號碼):
應用程式絕對不會存取這項資訊。
付款服務會直接向使用者收集這類資訊,並受該服務的條款規範。
開發人員應仔細檢查付款服務的整合作業,確保應用程式中繼資料套件的資料安全性專區宣告了任何不符合這些條件的資料收集和分享行為。開發人員也應考量應用程式是否會收集其他財務資訊 (例如購買記錄),以及應用程式是否基於風險和反詐欺目的,從付款服務接收任何相關資料。
應用程式可讓使用者將資料直接上傳至 Google 雲端硬碟或 Dropbox,以進行備份或儲存。應用程式不會存取任何這類資料。這樣是否仍應揭露為「收集」?
視具體導入方式而定。如果使用者選擇將資料直接上傳到自己的外部雲端硬碟或雲端儲存空間帳戶 (例如 Google 雲端硬碟、Dropbox 或類似服務),這項上傳作業將受到外部雲端硬碟或雲端儲存空間供應商的服務條款和隱私權政策規範,且應用程式一律不會收集或存取相關資料,則應用程式不需要聲明這項資料的收集作業。
開發人員應如何加密傳輸中的資料?
開發人員應遵循業界最佳標準,安全地加密傳輸中的應用程式資料。常見的加密通訊協定包括傳輸層安全標準 (TLS) 和超文本傳輸通訊協定 (HTTPS)。
應用程式可讓使用者建立帳戶,或在帳戶中新增生日或性別等資訊。開發人員應如何聲明使用者新增至帳戶的資料?
開發人員應宣告收集此資料用於帳戶管理,並聲明 (如果適用) 對使用者而言是選擇性的收集。
此外,就像應用程式收集的任何資料類型一樣,開發人員應揭露這些資料,以及應用程式使用這些資料的目的或用途。舉例來說,如果應用程式允許使用者在帳戶中新增生日,並使用該資料傳送即時推播通知,那麼除了帳戶管理之外,應用程式也應宣告這項用途。
帳戶管理功能可用於涵蓋非特定應用程式專屬的帳戶資料一般用途。舉例來說,如果開發人員將帳戶資訊用於詐欺防範、廣告、行銷或開發人員的通訊服務,但此用途並非針對應用程式或應用程式中的活動,則宣告「帳戶管理」即可納入應用程式資料套件的中繼資料部分,以便涵蓋一般用途。不過,對於應用程式本身使用該資料的情況,應用程式必須宣告所有用途。最佳做法是 Google 建議在帳戶層級的說明文件和帳戶註冊流程中,揭露應用程式處理帳戶服務使用者資料的方式。
什麼是系統服務?
系統服務是指預先安裝的軟體,支援核心系統功能。系統服務應包含 transparency_info 和 system_app_safety_label 套裝組合 (提供後者,而非 safety_labels 軟體包)。透過 Google Play 發布的系統服務可申請免除 Google Play 資料安全性表單的豁免資格。
開發人員如何聲明應用程式會短暫使用資料收集行為,以便即時載入網頁或為其他用戶端要求提供服務,再將資料記錄到開發人員的伺服器並用於其他用途?
如果是「暫時」使用行為,開發人員就不需要將其納入應用程式中繼資料套件的「資料安全性」專區。不過,開發人員必須宣告在暫時處理之外的使用者資料的任何用途,包括開發人員用於記錄使用者資料的任何用途。