数据安全的应用元数据捆绑包

应用元数据捆绑包为开发者提供了一种透明的方式,以便他们(开发者)说明其应用如何收集、共享和保护用户数据。Google Play 商店要求开发者为其分发的应用提供此信息,而搭载 Google Play 服务的 Android 设备制造商也要求预加载应用的开发者提供同样的信息,系统服务除外(有限制地豁免)。

其他应用商店和安装器可以选择要求其分发的应用提供应用元数据捆绑包。应用分发方式决定了开发者如何创建和集成应用元数据捆绑包。Android 会将应用元数据捆绑包中的数据安全信息显示给用户;例如,如果某个应用声明其与第三方共享位置信息,则该信息会显示在搭载 Android 14 或更高版本的设备上的位置权限提示中。

概览

应用元数据捆绑包允许您分享关于您(开发者)和您的应用的信息,包括您的应用收集或共享哪些用户数据,以及展示您的应用的关键隐私和安全实践。此信息有助于用户在例如授予权限时做出更明智的选择。

应用元数据捆绑包独立于您作为开发者在您运营所在国家/地区可能需要遵守的任何法律透明度和披露义务,并且是这些义务的补充。

鼓励所有开发者声明其应用如何收集和处理用户数据,并提供有关应用目的、开发者信息以及应用如何通过加密等安全实践保护用户数据的详细信息。这包括通过应用中使用的任何第三方库或 SDK 收集和处理的数据。开发者可能需要参考 SDK 提供商发布的 数据安全信息 以获取详细信息。开发者可以查看 Google Play SDK 索引,以了解提供商是否提供了其指南的链接。

应用元数据捆绑包根据应用分发方式的不同以不同方式到达设备

  • 系统映像中预加载的应用:设备制造商负责将应用元数据捆绑包包含在系统映像中的数据安全 XML 文件中。
  • 安装器分发的应用:安装器负责将应用元数据捆绑包发送到设备。如果您开发的应用通过 Google Play 分发,请参阅 Play 管理中心帮助中的说明。安装器可以参考应用元数据捆绑包的架构

预加载应用的开发者可以使用以下方法之一创建数据安全 XML 文件

  • 如果您开发的应用已在 Play 商店发布,请在 Play 管理中心的应用内容页面上,依次选择 政策 > 应用内容,使用数据安全表单。如果您已完成此表单,则无需采取任何额外操作。
  • 下载并编辑此页面上提供的模板 XML 文件,以提供给制造商或安装器。

准备信息

在开发者开始创建应用元数据捆绑包之前,请完成以下步骤

  • 确保他们已添加隐私政策。

  • 查看应用如何收集和共享用户数据以及应用的安全实践。特别是,检查应用声明的权限以及应用使用的 API。

    除了审查应用如何收集和共享用户数据外,开发者还应审查应用中的任何第三方代码(例如第三方库或 SDK)如何收集和共享此类数据。应用元数据捆绑包必须反映此类第三方代码执行的数据收集或共享。

开发者需要在应用和开发者信息部分披露哪些信息

本部分解释了开发者需要在应用元数据捆绑包的应用开发者信息部分披露哪些信息。如果应用通过 Google Play 商店分发,请使用 Play 管理中心输入此信息

开发者需要分享哪些关于应用的信息

创建应用元数据捆绑包时,开发者需要披露以下部分中描述的应用信息

应用目的

用人类可读的英文文本(4000 字符限制)描述应用的目的。

应用类别

从以下列表中选择最符合应用目的的类别。

以下类别适用于预加载应用

  • OTA - 负责接收和安装无线 (OTA) 更新的软件包
  • AOSP - Android 开放源代码项目中可用的软件包
  • 安全
  • 商店

下表中描述的类别也由 Google Play 使用

类别 示例

艺术与设计

速写本、绘画工具、艺术和设计工具、涂色本

汽车与交通

汽车购物、汽车保险、汽车价格比较、道路安全、汽车评论和新闻

美容时尚

化妆教程、美妆工具、发型设计、美容购物、化妆模拟器

图书与参考

图书阅读器、参考书、教科书、词典、同义词库、维基百科

商务

文档编辑器或阅读器、包裹追踪、远程桌面、电子邮件管理、求职

漫画

漫画阅读器、漫画标题

通讯

消息、聊天或即时通讯、拨号器、通讯录、浏览器、呼叫管理

约会

婚介、求爱、建立关系、结识新朋友、寻找爱情

教育

备考、学习辅助、词汇、教育游戏、语言学习

娱乐

流媒体视频、电影、电视、互动娱乐

活动

音乐会门票、体育赛事门票、门票转售、电影票

金融

银行、支付、ATM 查找器、财经新闻、保险、税务、投资组合管理和交易、小费计算器

美食佳饮

食谱、餐厅、美食指南、葡萄酒品鉴与发现、饮品食谱

健康与健身

个人健身、锻炼追踪、饮食和营养提示、健康与安全

家居

房屋和公寓搜索、家居装修、室内装饰、抵押贷款、房地产

库和演示

软件库、技术演示

生活时尚

风格指南、婚礼和派对策划、操作指南

地图与导航

导航工具、GPS、地图、交通工具、公共交通

医疗

药物和临床参考、计算器、医疗保健提供者手册、医学期刊和新闻

音乐与音频

音乐服务、广播、音乐播放器

新闻与杂志

报纸、新闻聚合器、杂志、博客

亲子

怀孕、婴儿护理和监测、儿童看护

个性化

壁纸、动态壁纸、主屏幕、锁屏、铃声

摄影

相机、照片编辑工具、照片管理和共享

效率

记事本、待办事项列表、键盘、打印、日历、备份、计算器、转换

购物

在线购物、拍卖、优惠券、价格比较、购物清单、产品评论

社交

社交网络、签到

体育

体育新闻和评论、比分追踪、梦幻球队管理、赛事报道

工具

适用于 Android 设备的工具

旅游与本地

旅行预订工具、拼车、出租车、城市指南、本地商家信息、旅行管理工具、旅游预订

视频播放器和编辑器

视频播放器、视频编辑器、媒体存储

天气

天气报告

应用广告和营销

指明应用是否包含广告或营销,包括应用内推广。

隐私政策

包含隐私政策的链接,详细说明开发者如何处理用户数据。如果应用不包含此链接,则假定应用不处理用户数据。

开发者需要分享哪些关于自己的信息

创建应用元数据捆绑包时,开发者需要披露以下部分中描述的开发者信息

开发者名称

创建应用的开发者、个人或公司名称。可以有多个开发者名称。

应用注册

如果应用列在任何应用注册表上,包括商店和其他安装器,请在此字段中指明。允许为多个商店提供多个条目。

  • 对于作为 Android 安装器的应用注册表:该值应为商店的 Android 软件包名称。例如,Google Play 商店使用 com.android.vending
  • 对于其他应用注册表:该值应为注册表的网址。

出于以下任何原因,请省略此字段

  • 开发者是 Google Play SDK 索引中列出的 SDK。
  • 开发者未在任何应用商店或注册表上注册。

应用注册 ID

对于列在任何应用注册表(包括安装器和商店)上的应用,此值应为开发者的商店、安装器或注册表身份。允许为多个商店提供多个条目。

  • 对于在 Google Play 注册的开发者:此值必须是开发者页面的网址(例如,https://play.google.com/store/apps/dev?id=5700313618786177705 是 Google LLC 开发者对应的网址)。
  • 如果开发者是 Google Play SDK 索引中列出的 SDK 开发者:请使用 SDK 的网址(例如,https://play.google.com/sdks/details/com-google-android-gms-play-services-ads 是 Google 移动广告 (GMA) SDK 的网址)。
  • 如果开发者在其他商店或注册表上注册:可以提供应用商店网址或其他标识符。

如果开发者未在任何应用商店注册,则可以省略此属性。

开发者联系信息

提供以下信息

  • 电子邮件
  • 网站
  • 国家或地区
  • 实际邮寄地址

开发者需要在数据安全部分披露哪些信息

本部分解释了开发者需要在应用元数据捆绑包的数据安全部分披露哪些信息,并列出了开发者可以选择的用户数据类型和用途。如果应用通过 Google Play 商店分发,请使用 Play 管理中心输入此信息

开发者需要在各种数据类型中声明哪些信息

创建应用元数据捆绑包时,开发者需要披露有关其收集和共享的数据类型的信息,如下文各节所述

数据收集

在此情况下,收集是指将数据从应用传输到用户的设备之外。请注意以下准则

  • 库和 SDK:这包括应用中使用的库或 SDK 从应用传输到设备之外的用户数据,无论数据是传输到应用开发者还是第三方服务器。

  • WebView:这包括从应用中打开的 WebView 收集的用户数据,前提是应用控制通过该 WebView 提供的代码和行为。

    开发者无需声明从用户正在浏览开放网络的 WebView 收集的数据。

  • 瞬时处理:从设备传输且进行瞬时处理的用户数据,如果符合以下标准,则无需包含在您的应用元数据捆绑包中

    瞬时处理数据意味着在数据仅存储在内存中且保留时间不超过实时处理特定请求所需的时间内访问和使用数据。

    例如,一个天气应用将用户位置传输到设备之外以获取用户当前位置的天气,但只在内存中使用位置数据,并且在请求完成后不存储该数据,可以将其对位置的瞬时使用视为瞬时处理。然而,使用数据来构建广告资料或任何其他用户资料不能被视为瞬时处理,必须声明为出于相关目的的收集或共享。

  • 假名化数据:以假名方式收集的用户数据必须披露。例如,可以合理地重新关联到用户的数据必须披露。

不在数据收集披露范围内

以下用例无需披露为已收集

  • 设备上访问或处理:应用访问的、仅在用户设备本地处理且未发送到设备之外的用户数据无需披露。

  • 端到端加密:因端到端加密而发送到设备之外但您或除发送方和接收方之外的任何人都无法读取的用户数据无需披露。

    加密数据不能被任何中间实体(包括开发者)读取,并且只有发送方和接收方才能拥有必要的密钥。

数据共享

在此情况下,共享是指将从应用收集的用户数据传输给第三方。这包括通过以下方式传输的用户数据

  • 设备之外,例如服务器到服务器传输:例如,如果开发者将从应用收集的用户数据从开发者的服务器传输到第三方服务器。

  • 设备上向另一个应用传输:将用户数据直接从一个应用传输到设备上的另一个应用。在这种情况下,即使应用不将数据传输到用户设备之外,开发者也必须在数据安全部分披露数据共享。

  • 通过您的应用库和 SDK:使用应用中包含的库或 SDK,将从应用收集的数据直接从用户设备传输给第三方。

  • 通过您的应用打开的 WebView:使用从应用中打开的 WebView 将用户数据传输给第三方,前提是应用控制通过该 WebView 提供的代码和行为。

    开发者无需声明从用户正在浏览开放网络的 WebView 共享的数据。

以下类型的数据传输无需披露为共享

  • 服务提供商:将用户数据传输给代表开发者处理数据的服务提供商。服务提供商是指代表开发者并根据开发者的指示处理用户数据的实体。

  • 法律目的:为特定的法律目的传输用户数据,例如响应法律义务或政府请求。

  • 用户主动操作或显著披露并获得用户同意:根据用户特定的主动操作,将用户数据传输给第三方,用户在此情况下合理预期数据会被共享,或根据应用内显著披露并获得用户同意。

  • 匿名数据:传输已完全匿名化,无法再与单个用户关联的用户数据。

  • 第一方和第三方第一方是指开发者,即主要负责处理应用收集的数据的组织。对于通过商店分发的应用,这通常是指在商店发布应用的组织。

    第一方有义务向用户合理清楚地说明哪个组织主要负责处理应用收集的数据。

    第三方是指除第一方或其服务提供商之外的任何组织。

数据处理

开发者还可以披露应用收集的每种数据类型是可选的还是必需的。可选包括选择加入或选择退出数据收集的能力。例如,开发者可以声明某种数据类型是可选的,即用户可以控制其收集并可以在不提供该数据的情况下使用应用;或者用户可以选择是否手动提供该数据类型。如果应用的主要功能需要该数据类型,开发者应声明该数据为必需。

只有在所有用户(无论设备或地区)都可以选择性地提供信息、选择退出或选择加入数据收集时,开发者才能声明应用可选地收集某些数据。

可选数据收集的示例包括以下内容

  • 一个社交媒体应用,要求用户提供生日信息用于营销传播,但该信息不是必需的——用户仍然可以在不提供该信息的情况下注册。

  • 仅当用户登录时才收集的用户数据,但用户可以在不登录的情况下使用应用。

其他应用和数据披露

数据安全部分也是开发者展示应用隐私和安全实践的机会。例如,开发者可以突出显示以下信息

  • 传输中加密:应用收集或共享的数据是否使用传输中加密来保护用户数据从最终用户设备到服务器的流。

    某些应用旨在允许用户将数据传输到其他网站或服务。例如,消息应用可能会为用户提供通过其移动服务提供商发送短信的选项,该提供商维护着不同的加密实践。这些应用可以在其数据安全部分声明数据是通过安全连接传输的,前提是它们使用最佳行业标准在数据从用户设备传输到应用服务器时安全地加密数据。

  • 删除请求机制:应用是否提供了一种方式,让用户可以请求删除其数据。

独立安全审查(适用于所有应用)

开发者可以选择在数据安全部分声明应用已根据全球安全标准进行独立验证。这是一项由开发者自主决定并支付费用的审查。例如,通过移动应用安全评估 (MASA),开发者可以直接与实验室合作,根据开放全球应用安全项目 (OWASP) 的移动应用安全验证标准 (MASVS) 对其应用进行评估。执行审查的第三方组织是代表开发者进行审查的。

数据类型和用途

开发者需要提供各种用户数据类型的收集、共享和其他实践,以及开发者使用该数据的目的,如下表所示

类别 数据类型 描述

位置信息

大概位置

用户或设备的实际位置,范围大于或等于 3 平方公里,例如用户所在的城市,或 Android 的 ACCESS_COARSE_LOCATION 权限提供的位置。

精确位置

用户或设备的实际位置,范围小于 3 平方公里,例如 Android 的 ACCESS_FINE_LOCATION 权限提供的位置。

个人信息

姓名

用户如何称呼自己,例如他们的名字或姓氏,或昵称。

电子邮件地址

用户的电子邮件地址。

用户 ID

与可识别个人相关的标识符。例如,账号 ID、账号或账户名称。

地址

用户的地址,例如邮寄地址或家庭住址。

电话号码

用户的电话号码。

种族和民族

有关用户种族或民族的信息。

政治或宗教信仰

有关用户政治或宗教信仰的信息。

性取向

有关用户性取向的信息。

其他信息

任何其他个人信息,例如出生日期、性别认同或退伍军人身份。

财务信息

用户付款信息

有关用户金融账户的信息,例如信用卡号。

购买历史

有关用户已进行的购买或交易的信息。

信用评分

有关用户信用评分的信息。

其他财务信息

任何其他财务信息,例如用户工资或债务。

健康与健身

健康信息

有关用户健康的信息,例如医疗记录或症状。

健身信息

有关用户健身的信息,例如锻炼或其他体育活动。

消息

电子邮件

用户的电子邮件,包括电子邮件主题行、发件人、收件人和电子邮件内容。

短信或彩信

用户的短信,包括发件人、收件人和消息内容。

其他应用内消息

任何其他类型的消息。例如,即时消息或聊天内容。

照片和视频

照片

用户的照片。

视频

用户的视频。

音频文件

语音或声音录音

用户的声音,例如语音邮件或声音录音。

音乐文件

用户的音乐文件。

其他音频文件

任何其他用户创建或用户提供的音频文件。

文件和文档

文件和文档

用户的文件或文档,或有关其文件或文档的信息,例如文件名。

日历

日历事件

来自用户日历的信息,例如事件、事件备注和参与者。

通讯录

通讯录

有关用户通讯录的信息,例如联系人姓名、消息历史记录和社交关系图信息,如用户名、联系人最近联系时间、联系频率、互动时长和通话历史记录。

应用活动

应用互动

有关用户如何与应用互动的信息。例如,他们访问页面的次数或点击的部分。

应用内搜索历史

有关用户在应用中搜索过什么的信息。

已安装应用

有关用户设备上安装的应用的信息。

其他用户生成内容

此处或任何其他部分未列出的任何其他用户生成内容。例如,用户简介、笔记或开放式回答。

其他操作

此处未列出的任何其他应用内用户活动或操作,例如游戏玩法、点赞和对话选项。

网页浏览

网页浏览历史记录

有关用户访问过的网站的信息。

应用信息和性能

崩溃日志

来自应用的崩溃日志数据。例如,应用崩溃的次数、堆栈跟踪或与崩溃直接相关的其他信息。

诊断

有关应用性能的信息。例如电池续航时间、加载时间、延迟、帧率或任何技术诊断。

其他应用性能数据

此处未列出的任何其他应用性能数据。

设备或其他 ID

设备或其他 ID

与单个设备、浏览器或应用相关的标识符。例如,IMEI 号码、MAC 地址、Widevine 设备 ID、Firebase 安装 ID 或广告标识符

目的

数据目的 描述 示例

应用功能

用于应用中可用的功能

例如,启用应用功能或验证用户身份。

分析

用于收集有关用户如何使用应用或应用性能的数据

例如,查看有多少用户正在使用某个特定功能,监控应用健康状况,诊断和修复错误或崩溃,或进行未来的性能改进。

开发者通讯

用于发送有关应用或开发者的新闻或通知。

例如,发送推送通知以告知用户重要的安全更新,或告知用户应用的新功能。

广告或营销

用于显示或定向广告或营销传播,或衡量广告效果

例如,在应用中显示广告,发送推送通知以推广其他产品或服务,或与广告合作伙伴共享数据。

欺诈防范、安全与合规

用于欺诈防范、安全或遵守法律。

例如,监控登录失败尝试以识别可能的欺诈活动。

个性化

用于自定义应用,例如显示推荐内容或建议。

例如,根据用户的收听习惯推荐播放列表,或根据用户的位置提供本地新闻。

帐号管理

用于设置或管理用户与开发者的帐号。

例如,允许用户创建帐号或向开发者提供的可跨其服务使用的帐号添加信息,登录应用或验证其凭据。

手动创建数据安全 XML 文件

以下示例数据安全 XML 文件演示了共享用户位置相关数据的预加载应用的文件结构。根据您需要为应用披露的信息类型,通过添加、编辑或删除元素来编辑此结构。

请注意,示例文件不一定是完整的。有关您的应用可能需要包含的应用元数据捆绑包中应用、开发者和数据安全部分的所需 XML 结构的更多信息,请参阅应用元数据捆绑包的架构

<?xml version='1.0' encoding='UTF-8' standalone='yes' ?>
<bundle>
<long name="version" value="2" />

  <pbundle_as_map name="safety_labels">
    <long name="version" value="1" />

      <pbundle_as_map name="data_labels">
        <pbundle_as_map name="data_shared">
          <pbundle_as_map name="location">
            <pbundle_as_map name="approx_location">
              <int-array name="purposes" num="4">
                  <item value="1" />
                  <item value="2" />
                  <item value="5" />
                  <item value="6" />
              </int-array>
            </pbundle_as_map>
            <pbundle_as_map name="precise_location">
              <int-array name="purposes" num="2">
                  <item value="1" />
                  <item value="6" />
              </int-array>
            </pbundle_as_map>
          </pbundle_as_map>
        </pbundle_as_map>

    </pbundle_as_map>
</pbundle_as_map>
</bundle>

常见问题解答

请参阅以下部分,了解开发者提出的常见问题解答。

一般问题

以下部分包含有关应用元数据捆绑包的一般问题解答。

开发者已为 iOS 提交了类似信息。开发者可以在 Android 应用元数据捆绑包中重复使用多少工作量?

开发者能够很好地掌握应用的数据实践,这非常好。为了正确地完成应用元数据捆绑包,开发者可能需要以前未曾使用的额外信息,因此他们应该预期会做额外的工作。Android 应用元数据捆绑包的分类和框架可能与其他应用商店中使用的分类和框架存在重大差异。

Google 如何确保开发者分享准确的信息?我们发现行业中此信息并非总是准确的。

与隐私政策类似,开发者对其应用元数据捆绑包中披露的信息负责。

开发者需要多久更新一次应用元数据捆绑包?

当应用的数据实践发生相关变更时,开发者应更新应用元数据捆绑包。

有关完成数据安全部分的问题

以下部分包含有关完成应用元数据捆绑包的数据安全部分的问题解答。

如果应用在不同的受支持 Android 版本中行为不同,怎么办?

应用的元数据捆绑包应准确,使其独立于使用情况、应用版本、区域和用户年龄。数据安全部分描述了应用在所有地理区域和用户类型中的数据收集和共享的总和。

开发者如何表明他们在不同地区可能有不同的实践?例如,开发者在欧洲不使用某些库,但在其他地区可能会使用。

应用元数据捆绑包反映了每个应用的全球数据实践表示。数据安全部分描述了应用在所有地理区域和用户类型中的数据收集和共享的总和。

数据安全部分是否通过用户同意机制进行限制?开发者是否需要采取额外步骤并创建应用内显著披露?

不,用户应用安装过程中没有新的披露,也没有与此功能相关的新的用户同意。在搭载 Google Play 服务的 Android 设备上收集个人和敏感用户数据的 Google Play 应用和移动捆绑应用开发者,必须在政策要求的情况下实施应用内披露和同意。

如果应用包含权限但实际不收集或共享数据,开发者是否需要声明数据?

除非数据实际被收集或共享,否则开发者无需声明收集或共享。搭载 Google Play 服务的 Android 设备上的 Google Play 应用和移动捆绑应用必须遵守所有适用的政策。

如果某种数据类型作为另一种数据类型的一部分被收集,开发者是否需要同时声明两者?例如,如果开发者收集了包含用户电子邮件的“通讯录”数据,那么开发者是否需要同时声明“通讯录”和“电子邮件地址”这两种数据类型?

如果开发者在收集另一种数据类型时有目的地收集某种数据类型,则开发者应同时披露两者。例如,如果开发者收集用户照片并利用这些照片来确定用户的特征(例如民族或种族),则开发者也应披露民族和种族的收集。

开发者是否必须提供删除机制?是否必须针对所有用户数据?

数据安全部分为开发者提供了一个平台,用于分享开发者是否提供了接收用户数据删除请求的机制。作为完成数据安全部分的一部分,开发者应指明他们是否提供此类机制。

开发者是否必须提供特定类型的机制来表明应用支持用户数据删除请求?

没有规定特定的机制,但作为最佳实践,请求机制应易于用户发现和访问。明确指出用户可以请求删除数据的常见机制示例包括但不限于:应用内功能、联系表单或专用电子邮件别名。

开发者应如何在数据安全部分中指明,他们为自动删除或匿名化的数据提供了删除请求机制?

如果开发者提供以下一项或多项选项,则可以声明用户可以请求删除其数据

  • 请求数据删除的机制。
  • 在收集数据后 90 天内启动收集数据删除或匿名化的自动流程。

    即使开发者因合法原因(例如法律合规或滥用防范)需要保留某些数据,开发者也可以声明用户可以请求删除其数据。

如果开发者提供的删除机制并非全球所有用户都可用,开发者是否仍能表明他们提供了删除请求机制?

每个应用元数据捆绑包只提供一个全球数据安全部分。这应涵盖基于任何使用情况、区域和用户年龄的数据实践。换句话说,如果应用的任何版本在全球任何地方存在任何数据实践,开发者都必须指明这些实践。因此,数据安全部分描述了应用在所有用户和地理区域的数据收集和共享的总和。

可以使用哪些技术使数据匿名化?

有多种潜在方法可以匿名化数据,使其无法与单个用户关联。开发者应咨询隐私和安全专家,以确定适用于其用例的方法。例如,本页面讨论了 Google 使用的一些数据匿名化方法,例如差分隐私。

开发者应如何处理 IP 地址的收集和使用?

与处理其他数据类型一样,开发者应根据其特定的使用情况和实践披露 IP 地址的收集、使用和共享。例如,如果开发者使用 IP 地址作为确定位置的方式,则应声明该数据类型(位置)。

开发者应如何披露其他类型标识符的收集和共享?

与处理其他数据类型一样,开发者应根据其特定的使用情况和实践披露不同类型标识符的收集、使用和共享。例如,与可识别个人关联的账户名称的收集应声明为“个人标识符”,而用户 Android 广告 ID 的收集应声明为“设备或其他标识符”。再举一个例子,与特定应用内事件相关的标识符,但其无法合理地关联到单个设备、浏览器或应用,则无需披露为“设备或其他标识符”。

如前所述,以假名方式收集的数据应在应用元数据捆绑包的数据安全部分中,在相关数据类型下披露。例如,如果开发者收集带有设备标识符的诊断信息,开发者仍应在数据安全部分披露“诊断”信息的收集。

“服务提供商”可以执行哪些类型的活动?

服务提供商只能代表开发者处理用户数据。例如,仅代表开发者处理应用中的用户数据的分析提供商,或为开发者使用而托管应用中的用户数据的云提供商,通常符合“服务提供商”的条件。另一方面,如果 SDK 提供商根据应用数据为多个客户构建广告资料,则在数据安全部分的目的下,这不应被视为“服务提供商”活动,而需要作为“共享”在应用元数据捆绑包的数据安全部分中披露。

应用使用外部支付服务进行金融交易。应用是否需要在其应用元数据捆绑包中披露信用卡信息等财务信息?

这取决于与支付服务集成的性质。如果应用使用 PayPal、Google Pay、Google Play 的结算系统或类似服务来完成支付交易,并且满足以下所有条件,则开发者无需声明支付服务在处理金融交易(例如信用卡号)时收集的数据的收集:

  • 应用从不访问此信息。

  • 支付服务直接从用户收集此信息,且收集受该服务条款的约束。

开发者应仔细审查与支付服务的集成,以确保应用元数据捆绑包的数据安全部分声明了任何不符合这些条件的相关数据收集和共享。开发者还应考虑应用是否收集其他财务信息,如购买历史记录,以及应用是否从支付服务接收任何相关数据,例如用于风险和反欺诈目的的数据。

应用允许用户将其数据直接上传到 Google 云端硬盘或 Dropbox 进行备份或存储。应用不访问任何此类数据。这是否仍应披露为“收集”?

这取决于具体的实现方式。如果用户选择将其数据直接上传到自己的外部硬盘或云存储帐户(例如 Google 云端硬盘、Dropbox 或类似服务),并且此上传受外部硬盘或云存储提供商的服务条款和隐私政策的约束,并且应用从不收集或访问相关数据,则应用无需声明此数据的收集。

开发者应如何对传输中的数据进行加密?

开发者应遵循最佳行业标准,对传输中的应用数据进行安全加密。常见的加密协议包括传输层安全协议 (TLS) 和超文本传输协议安全版 (HTTPS)。

应用允许用户创建帐户或向其帐户添加信息,例如生日或性别。开发者应如何声明用户添加到其帐户的数据?

开发者应声明为帐号管理而收集此数据,并注明(如果适用)用户选择是否收集该数据。

此外,与应用收集的任何数据类型一样,开发者应披露此数据以及应用使用它的目的。例如,如果应用允许用户向其帐号添加生日信息,并且还使用该数据发送及时推送通知,则应用除了帐号管理外,还应声明此目的。

帐号管理可用于涵盖不特定于某个应用的帐号数据的通用用途。例如,如果开发者将帐号信息用于跨服务的欺诈防范、广告、营销或开发者通讯,且此用途不特定于应用或应用内的活动,则在应用元数据捆绑包的数据安全部分中将收集此帐号数据的目的声明为“帐号管理”就足以涵盖这些通用用途。但是,应用必须始终声明应用本身使用数据的所有目的。作为一项最佳实践,Google 建议在帐号级别文档和帐号注册流程中披露应用如何处理用于帐号服务的用户数据。

什么是系统服务?

系统服务是支持核心系统功能的预装软件。系统服务应包含transparency_infosystem_app_safety_label 捆绑包(后者取代 safety_labels 捆绑包提供)。通过 Google Play 分发的系统服务可以申请豁免完成 Google Play 数据安全表单。

开发者如何声明收集以瞬时方式用于加载页面和实时处理其他客户端请求的数据,而这些数据尚未记录在开发者的服务器上并用于其他目的?

如果此用途是瞬时的,则开发者无需将其包含在应用元数据捆绑包的数据安全部分中。但是,开发者必须声明超出瞬时处理范围的任何用户数据使用,包括开发者使用已记录的用户数据的任何目的。