应用元数据包为开发者提供了一种透明的方式来包含关于他们(开发者)、应用的信息,以及他们如何收集、共享和保护用户数据。Google Play 商店要求开发者为其分发的应用提供此信息,而安装了 Google Play 服务的 Android 设备制造商也要求预装应用的开发者提供相同的信息,系统服务除外。
其他应用商店和安装程序可以选择要求其分发的应用提供应用元数据包。应用分发方式决定了开发者如何创建和集成应用元数据包。Android 会向用户显示应用元数据包中的数据安全信息;例如,如果应用声明它与第三方共享位置,则该信息会显示在运行 Android 14 或更高版本的设备上的位置权限提示中。
概述
应用元数据包允许您共享有关您(开发者)和您的应用的信息,包括您的应用收集或共享哪些用户数据,并展示您的应用的关键隐私和安全实践。例如,此信息可帮助用户在授予访问权限时做出更明智的选择。
应用元数据包与您作为开发者可能在运营所在国家/地区适用的任何法律透明度和披露义务是独立的,并且是其补充。
鼓励所有开发者声明他们如何收集和处理其应用的用户数据,并提供有关应用用途、开发者信息以及应用如何通过加密等安全实践保护用户数据的详细信息。这包括通过应用中使用的任何第三方库或 SDK 收集和处理的数据。开发者可能需要参考 SDK 提供商发布的数据安全信息以了解更多详情。开发者可以查看Google Play SDK 索引,查看提供商是否提供了其指导的链接。
应用元数据包到达设备的方式因应用的分发方式而异
- 预装在系统映像上的应用:设备制造商负责在系统映像中的数据安全 XML 文件中包含应用元数据包。
- 由安装程序分发的应用:安装程序负责将应用元数据包发送到设备。如果您开发的是通过 Google Play 分发的应用,请参考Play 管理中心帮助中的说明。安装程序可以参考应用元数据包架构。
预装应用的开发者可以使用以下方法之一创建数据安全 XML 文件
- 如果您开发的应用已在 Play 商店发布,请使用 Play Console 中“应用内容”页面上的数据安全表格,方法是导航到**政策 > 应用内容**。如果您已完成此表格,则无需执行任何其他操作。
- 下载并编辑此页面上提供的模板 XML 文件,以提供给制造商或安装程序。
准备信息
在开发者开始创建应用元数据包之前,请完成以下步骤:
确保他们已添加隐私权政策。
查看应用如何收集和共享用户数据以及应用的安全措施。尤其要检查应用声明的权限和应用使用的 API。
除了查看应用如何收集和共享用户数据外,开发者还应查看应用中任何第三方代码(例如第三方库或 SDK)如何收集和共享此类数据。应用元数据包必须反映此类第三方代码执行的数据收集或共享。
开发者需要在应用和开发者信息部分披露的内容
本节说明开发者需要在应用元数据包的应用和开发者信息部分披露哪些信息。如果应用通过 Google Play 商店分发,请使用 Play Console 输入此信息。
开发者需要分享的关于应用的信息
创建应用元数据包时,开发者需要披露以下部分中描述的应用信息:
应用用途
用英文以人类可读的文本块描述应用的用途(最多 4000 个字符)。
应用类别
从以下列表中选择最符合应用用途的类别。
以下类别适用于预装应用:
- OTA - 负责接收和安装无线 (OTA) 更新的软件包
- AOSP - Android 开源项目中提供的软件包
- 安全性
- 商店
下表中描述的类别也由 Google Play 使用:
| 类别 | 示例 |
|---|---|
艺术与设计 |
素描本、绘画工具、艺术与设计工具、涂色书 |
汽车与交通工具 |
汽车购物、汽车保险、汽车价格比较、道路安全、汽车评论和新闻 |
美容 |
化妆教程、化妆工具、发型设计、美容购物、化妆模拟器 |
图书与参考 |
书籍阅读器、参考书、教科书、字典、同义词词典、维基 |
商务 |
文档编辑器或阅读器、包裹追踪、远程桌面、电子邮件管理、求职 |
漫画 |
漫画播放器、漫画标题 |
通讯 |
消息、聊天或即时消息、拨号器、通讯录、浏览器、呼叫管理 |
约会 |
配对、求爱、建立关系、结识新朋友、寻找爱情 |
教育 |
考试准备、学习辅助工具、词汇、益智游戏、语言学习 |
娱乐 |
流媒体视频、电影、电视、互动娱乐 |
活动 |
演唱会门票、体育赛事门票、门票转售、电影票 |
金融 |
银行业务、支付、ATM 查找器、财经新闻、保险、税务、投资组合管理和交易、小费计算器 |
食品与饮料 |
食谱、餐厅、美食指南、葡萄酒品鉴与发现、饮料食谱 |
健康与健身 |
个人健身、锻炼追踪、饮食和营养技巧、健康与安全 |
房屋与家居 |
房屋和公寓搜索、家居装修、室内装饰、抵押贷款、房地产 |
库和演示 |
软件库、技术演示 |
生活方式 |
风格指南、婚礼和派对策划、操作指南 |
地图与导航 |
导航工具、GPS、地图、交通工具、公共交通 |
医疗 |
药物和临床参考、计算器、医疗保健提供者手册、医学期刊和新闻 |
音乐与音频 |
音乐服务、广播、音乐播放器 |
新闻与杂志 |
报纸、新闻聚合器、杂志、博客 |
育儿 |
怀孕、婴儿护理和监控、儿童保育 |
个性化 |
壁纸、动态壁纸、主屏幕、锁屏、铃声 |
摄影 |
相机、照片编辑工具、照片管理和分享 |
效率 |
记事本、待办事项清单、键盘、打印、日历、备份、计算器、转换 |
购物 |
网上购物、拍卖、优惠券、价格比较、购物清单、产品评论 |
社交 |
社交网络、签到 |
体育 |
体育新闻和评论、比分追踪、梦幻团队管理、比赛报道 |
工具 |
Android 设备工具 |
旅行与本地 |
行程预订工具、拼车、出租车、城市指南、本地商家信息、行程管理工具、旅游预订 |
视频播放器和编辑器 |
视频播放器、视频编辑器、媒体存储 |
天气 |
天气预报 |
应用广告和营销
指示应用是否包含广告或营销,包括应用内推广。
隐私权政策
包含指向隐私权政策的链接,详细说明开发者如何处理用户数据。如果应用不包含此链接,则假定应用不处理用户数据。
开发者需要分享的关于自身的信息
创建应用元数据包时,开发者需要披露以下部分中描述的开发者信息:
开发者名称
开发者的姓名,创建应用的个人或公司名称。可以有多个开发者名称。
应用注册表
如果应用列在任何应用注册表(包括商店和其他安装程序)中,请在此字段中指示。允许为多个商店输入多个条目。
- 对于作为 Android 安装程序的应用注册表:该值应为商店的 Android 包名称。例如,对于 Google Play 商店,请使用
com.android.vending。 - 对于其他应用注册表:该值应为注册表的网址。
出于以下任何原因,请忽略此字段:
- 开发者是在 Google Play SDK 索引中列出的 SDK。
- 开发者未在任何应用商店或注册表中注册。
应用注册表 ID
对于列在任何应用注册表(包括安装程序和商店)中的应用,此值应为开发者的商店、安装程序或注册表标识。允许为多个商店输入多个条目。
- 对于在 Google Play 注册的开发者:此值**必须**是开发者页面的网址(例如,
https://play.google.com/store/apps/dev?id=5700313618786177705是 Google LLC 开发者的网址)。 - 如果开发者是 Google Play SDK 索引中列出的 SDK 开发者:请使用 SDK 的网址(例如,
https://play.google.com/sdks/details/com-google-android-gms-play-services-ads是 Google 移动广告 (GMA) SDK 的网址)。 - 如果开发者在其他商店或注册表中注册:可以提供应用商店网址或其他标识符。
如果开发者未在任何应用商店注册,则可以忽略此属性。
开发者联系信息
提供以下信息:
- 电子邮件
- 网站
- 国家或地区
- 邮寄地址
开发者需要在数据安全部分披露的内容
本节说明开发者需要在应用元数据包的数据安全部分披露哪些信息,并列出了开发者可以选择的用户数据类型和用途。如果应用通过 Google Play 商店分发,请使用 Play Console 输入此信息。
开发者需要跨数据类型声明的内容
创建应用元数据包时,开发者需要披露以下部分中描述的关于其收集和共享的数据类型的信息:
数据收集
此处“收集”是指将数据从应用从用户的设备上传输出去。请注意以下指南:
库和 SDK:这包括应用中使用的库或 SDK 从设备上传输的用户数据,无论数据是否传输到应用的开发者或第三方服务器。
WebView:如果应用控制通过该 WebView 传递的代码和行为,则这包括从应用中打开的 WebView 收集的用户数据。
对于用户在其中浏览开放网络的 WebView,开发者无需声明数据收集。
短暂处理:如果符合以下标准,则从设备上传输并短暂处理的用户数据无需包含在您的应用元数据包中:
短暂处理数据意味着访问和使用数据时,数据仅存储在内存中,并且保留时间不超过实时服务特定请求所需的时间。
例如,一个天气应用将用户位置从设备上传输出去以获取用户当前位置的天气,但仅在内存中使用位置数据,并且在请求完成之后不再存储该数据,则可以将其位置的短暂使用视为短暂的。但是,使用数据构建广告配置文件或其他用户配置文件不能视为短暂的,必须将其声明为相关用途的数据收集或共享。
匿名数据:必须披露匿名收集的用户数据。例如,可以合理地与用户重新关联的数据必须披露。
数据收集披露范围之外
以下用例无需声明为已收集:
设备上访问或处理:应用访问仅在用户设备上本地处理且未发送到设备以外的数据**无需**披露。
端到端加密:通过端到端加密,发送到设备之外的用户数据无法被您或除发送方和接收方以外的任何人读取,**无需**披露。
加密数据不得被任何中间实体(包括开发者)读取,只有发送方和接收方才能拥有必要的密钥。
数据共享
此处“共享”是指将从应用收集的用户数据传输给第三方。这包括以下几种方式传输的用户数据:
设备外传输,例如服务器到服务器的传输:例如,开发者将从应用收集的用户数据从开发者的服务器传输到第三方的服务器。
设备内传输到另一个应用:将用户数据直接从一个应用传输到设备上的另一个应用。在这种情况下,即使应用没有将数据传输到用户设备之外,开发者也必须在数据安全部分披露数据共享。
来自您的应用库和SDK:使用应用中包含的库或SDK,将从应用收集的数据直接传输到用户设备之外的第三方。
来自通过您的应用打开的webview:如果应用控制着通过该webview传递的代码和行为,则使用从应用打开的webview将用户数据传输给第三方。
如果用户正在开放网络中浏览webview,开发者则**无需**声明来自webview的数据共享。
以下类型的数据传输**无需**作为共享披露:
服务提供商:将用户数据传输给代表开发者处理数据的服务提供商。“服务提供商”是指代表开发者并根据开发者的指示处理用户数据的实体。
合法用途:出于特定合法目的传输用户数据,例如响应法律义务或政府要求。
用户主动操作或显著披露和用户同意:基于用户主动操作传输用户数据给第三方,用户合理预期数据会被共享,或者基于应用内显著的披露和同意。
匿名数据:传输已被完全匿名化的用户数据,使其无法再与单个用户关联。
第一方和第三方:第一方指开发者,即负责处理应用收集数据的首要组织。对于通过应用商店分发的应用,这通常是应用商店发布该应用的组织。
第一方有义务向用户明确说明哪个组织主要负责处理应用收集的数据。
第三方指除第一方及其服务提供商以外的任何组织。
数据处理
开发者还可以披露应用收集的每种数据类型是可选的还是必需的。“可选”包括选择加入或选择退出数据收集的功能。例如,当用户可以控制其收集并无需提供该数据即可使用应用时,或者当用户选择是否手动提供该数据类型时,开发者可以将数据类型声明为可选。如果应用的主要功能需要该数据类型,开发者应将该数据声明为必需。
只有当所有用户(无论设备或地区)都可以选择提供信息、选择退出或选择加入数据收集时,开发者才能声明应用可选地收集某些数据。
可选数据收集的示例包括:
一个社交媒体应用要求用户提供生日用于营销沟通,但这项信息不是必需的——用户无需提供此信息即可注册。
只有在用户登录时才收集的用户数据,用户无需登录即可使用该应用。
其他应用和数据披露
数据安全部分也为开发者提供了一个展示应用隐私和安全实践的机会。例如,开发者可以突出显示以下信息:
传输中的加密:应用收集或共享的数据是否使用传输中的加密来保护用户数据从最终用户设备到服务器的数据流。
一些应用旨在允许用户将数据传输到另一个站点或服务。例如,消息应用可能会让用户选择通过其移动服务提供商发送短信,后者维护不同的加密实践。这些应用可以在其数据安全部分声明数据通过安全连接传输,只要它们使用最佳行业标准来安全地加密数据在用户设备和应用服务器之间传输即可。
删除请求机制:应用是否提供了一种让用户请求删除其数据的方式。
独立安全审查(适用于所有应用)
开发者可以选择在数据安全部分声明该应用已针对全球安全标准进行了独立验证。这是开发者自行承担并付费进行的可选审查。例如,使用移动应用安全评估 (MASA),开发者可以直接与实验室合作,根据开放式全球应用安全项目 (OWASP) 的移动应用安全验证标准 (MASVS) 对其应用进行评估。进行审查的第三方组织是代表开发者进行的。
数据类型和用途
我们要求开发者提供一系列用户数据类型的收集、共享和其他实践,以及开发者使用该数据的用途,如下表所述:
| 类别 | 数据类型 | 描述 |
|---|---|---|
位置 |
大概位置 |
用户或设备的物理位置在一个大于或等于3平方公里的区域内,例如用户所在的城市,或Android的 |
精确位置 |
用户或设备在小于3平方公里区域内的物理位置,例如Android的 |
|
个人信息 |
姓名 |
用户称呼自己的方式,例如他们的名字、姓氏或昵称。 |
电子邮件地址 |
用户的电子邮件地址。 |
|
用户ID |
与可识别个人相关的标识符。例如,帐户ID、帐户号码或帐户名称。 |
|
地址 |
用户的地址,例如邮寄地址或家庭住址。 |
|
电话号码 |
用户的电话号码。 |
|
种族和民族 |
关于用户种族或民族的信息。 |
|
政治或宗教信仰 |
关于用户政治或宗教信仰的信息。 |
|
性取向 |
关于用户性取向的信息。 |
|
其他信息 |
任何其他个人信息,例如出生日期、性别认同或退伍军人身份。 |
|
财务信息 |
用户支付信息 |
关于用户财务帐户的信息,例如信用卡号码。 |
购买历史 |
关于用户进行的购买或交易的信息。 |
|
信用评分 |
关于用户信用评分的信息。 |
|
其他财务信息 |
任何其他财务信息,例如用户的薪水或债务。 |
|
健康和健身 |
健康信息 |
关于用户健康的信息,例如病历或症状。 |
健身信息 |
关于用户健身的信息,例如运动或其他体育活动。 |
|
消息 |
电子邮件 |
用户的电子邮件,包括电子邮件主题行、发件人、收件人和电子邮件内容。 |
短信或彩信 |
用户的短信,包括发件人、收件人和消息内容。 |
|
其他应用内消息 |
任何其他类型的消息。例如,即时消息或聊天内容。 |
|
照片和视频 |
照片 |
用户的照片。 |
视频 |
用户的视频。 |
|
音频文件 |
语音或录音 |
用户的语音,例如语音邮件或录音。 |
音乐文件 |
用户的音乐文件。 |
|
其他音频文件 |
任何其他用户创建或用户提供的音频文件。 |
|
文件和文档 |
文件和文档 |
用户的文件或文档,或关于其文件或文档的信息,例如文件名。 |
日历 |
日历事件 |
来自用户日历的信息,例如事件、事件注释和与会者。 |
联系人 |
联系人 |
关于用户联系人的信息,例如联系人姓名、消息历史记录和社交关系图信息,例如用户名、联系人最近度、联系人频率、互动时长和通话记录。 |
应用活动 |
应用互动 |
关于用户如何与应用互动的信息。例如,他们访问页面的次数或点击的部分。 |
应用内搜索历史记录 |
关于用户在应用中搜索的内容的信息。 |
|
已安装的应用 |
关于用户设备上已安装的应用的信息。 |
|
其他用户生成内容 |
此处或任何其他部分未列出的任何其他用户生成内容。例如,用户简介、笔记或开放式回复。 |
|
其他操作 |
此处未列出的任何其他用户活动或应用内操作,例如游戏玩法、点赞和对话框选项。 |
|
网页浏览 |
网页浏览历史记录 |
关于用户访问的网站的信息。 |
应用信息和性能 |
崩溃日志 |
来自应用的崩溃日志数据。例如,应用崩溃的次数、堆栈跟踪或与崩溃直接相关的其他信息。 |
诊断信息 |
关于应用性能的信息。例如电池寿命、加载时间、延迟、帧率或任何技术诊断信息。 |
|
其他应用性能数据 |
此处未列出的任何其他应用性能数据。 |
|
设备或其他ID |
设备或其他ID |
与单个设备、浏览器或应用相关的标识符。例如,IMEI 号码、MAC 地址、Widevine 设备 ID、Firebase 安装 ID 或广告标识符 |
用途
| 数据用途 | 描述 | 示例 |
|---|---|---|
应用功能 |
用于应用中的可用功能 |
例如,启用应用功能或验证用户身份。 |
分析 |
用于收集有关用户如何使用应用或应用性能的数据 |
例如,查看有多少用户正在使用特定功能,监控应用健康状况,诊断和修复错误或崩溃,或改进未来的性能。 |
开发者沟通 |
用于发送有关应用或开发者的新闻或通知。 |
例如,发送推送通知以告知用户有关重要的安全更新,或告知用户有关应用的新功能。 |
广告或营销 |
用于展示或定向广告或营销沟通,或衡量广告效果 |
例如,在应用中展示广告,发送推送通知以推广其他产品或服务,或与广告合作伙伴共享数据。 |
欺诈预防、安全和合规 |
用于欺诈预防、安全或遵守法律法规。 |
例如,监控登录失败尝试以识别可能的欺诈活动。 |
个性化 |
用于自定义应用,例如显示推荐内容或建议。 |
例如,根据用户的收听习惯推荐播放列表,或根据用户的地理位置提供本地新闻。 |
帐户管理 |
用于设置或管理用户与开发者的帐户。 |
例如,允许用户创建帐户或向开发者提供的帐户中添加信息以在其服务中使用,登录应用或验证其凭据。 |
手动创建数据安全 XML 文件
以下示例数据安全 XML 文件演示了预加载应用共享与用户位置相关的数据的文件结构。根据需要为您的应用披露的信息类型,通过添加、编辑或删除元素来编辑此结构。
请注意,示例文件不一定是完整的。请参阅应用元数据包的架构,以获取有关应用、开发者和数据安全部分的应用元数据包所需 XML 结构的更多信息,您的应用可能需要包含这些信息。
<?xml version='1.0' encoding='UTF-8' standalone='yes' ?>
<bundle>
<long name="version" value="2" />
<pbundle_as_map name="safety_labels">
<long name="version" value="1" />
<pbundle_as_map name="data_labels">
<pbundle_as_map name="data_shared">
<pbundle_as_map name="location">
<pbundle_as_map name="approx_location">
<int-array name="purposes" num="4">
<item value="1" />
<item value="2" />
<item value="5" />
<item value="6" />
</int-array>
</pbundle_as_map>
<pbundle_as_map name="precise_location">
<int-array name="purposes" num="2">
<item value="1" />
<item value="6" />
</int-array>
</pbundle_as_map>
</pbundle_as_map>
</pbundle_as_map>
</pbundle_as_map>
</pbundle_as_map>
</bundle>
常见问题
请参阅以下部分,了解开发者提出的常见问题的答案。
常规问题
以下部分包含有关应用元数据包的常规问题的答案。
一位开发者提交了类似的 iOS 信息。开发者可以重复利用多少工作用于 Android 应用元数据包?
开发者对应用的数据实践有很好的了解,这很好。为了正确完成应用元数据包,开发者可能需要一些以前没有使用过的额外信息,因此他们应该预期需要做额外的工作。Android 应用元数据包的分类和框架可能与其他应用商店中使用的分类和框架存在重大差异。
谷歌如何确保开发者共享准确的信息?我们已经看到,这些信息在业界并不总是准确的。
与隐私政策类似,开发者对其应用元数据包中披露的信息负责。
开发者需要多久更新一次应用元数据包?
当应用的数据实践发生相关更改时,开发者应更新应用元数据包。
关于完成数据安全部分的问题
以下部分包含关于完成应用元数据包数据安全部分的问题的答案。
如果应用在不同的受支持 Android 版本中的行为不同怎么办?
应用的应用元数据包应准确无误,使其独立于使用情况、应用版本、地区和用户年龄。数据安全部分描述了应用在所有地区和用户类型中数据收集和共享的总和。
开发者如何展示他们在不同地区可能有不同的实践?例如,开发者在欧洲不使用某些库,但在其他地区可能会使用。
应用元数据包反映了每个应用的数据实践的全球表示。数据安全部分描述了应用在所有地区和用户类型中数据收集和共享的总和。
数据安全部分是否受用户的同意机制限制?开发者是否需要采取额外步骤并创建应用内醒目的披露?
否,用户应用安装过程中没有新的披露,并且与此功能相关的用户同意也没有新的要求。在 Android 设备上使用 Google Play 服务并收集个人和敏感用户数据的 Google Play 应用和移动捆绑应用的开发者必须根据政策要求实施应用内披露和同意。
如果应用包含权限但实际上并未收集或共享数据,开发者是否需要声明数据?
除非实际收集或共享数据,否则开发者无需声明收集或共享。Android 设备上使用 Google Play 服务的 Google Play 应用和移动捆绑应用必须遵守所有适用的政策。
如果一种数据类型作为另一种数据类型的一部分被收集,开发者是否应该声明两者?例如,如果开发者收集了包含用户电子邮件的联系人,开发者是否应该声明“联系人”和“电子邮件地址”两种数据类型?
如果开发者在收集另一种数据类型时有意收集一种数据类型,则开发者应同时披露两者。例如,如果开发者收集用户照片并用它们来确定用户的特征(例如种族或民族),则开发者还应披露种族和民族的收集。
开发者是否需要提供删除机制?这是否必须适用于所有用户数据?
数据安全部分为开发者提供了一个界面,用于共享开发者是否提供了一种机制来接收用户的删除数据请求。作为完成数据安全部分的一部分,开发者应说明他们是否提供了此类机制。
开发者必须提供哪种类型的机制来表明应用支持用户数据删除请求?
没有规定的机制,但是作为最佳实践,请求机制应该易于用户发现和访问。清晰地表明用户可以通过哪些途径请求数据删除的常用机制示例包括但不限于:应用内功能、联系表单或专用电子邮件别名。
开发者应如何在数据安全部分中表明开发者提供了一种用于自动删除或匿名化数据的删除请求机制?
如果开发者提供以下一个或多个选项,开发者可以声明用户可以请求删除其数据
- 请求数据删除的机制。
在收集后 90 天内启动收集数据的删除或匿名化的自动流程。
即使开发者需要出于合法理由(例如法律合规或滥用预防)保留某些数据,开发者也可以声明用户可以请求删除其数据。
如果开发者提供的删除机制并非在全球范围内对所有用户可用,开发者是否仍可以表明“我提供删除请求机制”?
每个应用元数据包只有一个全局数据安全部分可用。这应涵盖基于任何使用情况、地区和用户年龄的数据实践。换句话说,如果任何数据实践存在于世界任何地方的任何应用版本中,开发者都必须指明这些实践。因此,数据安全部分描述了应用在所有用户和地区中数据收集和共享的总和。
可以使用哪些技术使数据匿名?
有多种潜在方法可以匿名化数据,使其无法与单个用户关联。开发者应咨询隐私和安全专家,以确定适用于其用例的方法。例如,此页面讨论了 Google 使用的一些数据匿名化方法,例如差分隐私。
开发者应如何处理 IP 地址的收集和使用?
与其他数据类型一样,开发者应根据其特定的使用情况和实践披露 IP 地址的收集、使用和共享。例如,当开发者使用 IP 地址作为确定位置的方式时,应声明该数据类型(位置)。
开发者应如何披露其他类型标识符的收集和共享?
与其他数据类型一样,开发者应根据开发者的特定使用情况和实践,披露不同类型标识符的收集、使用和共享。例如,与可识别个人相关的帐户名称的收集应声明为“个人标识符”,而用户 Android 广告 ID 的收集应声明为“设备或其他标识符”。另一个例子是,与特定应用内事件相关的标识符,但与单个设备、浏览器或应用没有合理关联,则无需将其声明为“设备或其他标识符”。
如前所述,应在应用元数据包的数据安全部分的相关数据类型下披露伪名化数据的收集。例如,如果开发者使用设备标识符收集诊断信息,开发者仍应在数据安全部分中披露“诊断”的收集。
“服务提供商”可以执行哪些类型的活动?
服务提供商只能代表开发者处理用户数据。例如,仅代表开发者处理来自应用的用户数据的分析提供商,或为开发者的使用托管来自应用的用户数据的云提供商,通常符合“服务提供商”的资格。另一方面,如果 SDK 提供商正在基于应用数据为多个客户构建广告配置文件,则根据数据安全部分的目的,这将不被视为“服务提供商”活动,并且需要在应用元数据包的数据安全部分中声明为“共享”。
一个应用使用外部支付服务来启用财务交易。该应用是否需要在其应用元数据包中披露信用卡信息等财务信息?
这取决于与支付服务的集成性质。如果应用使用 PayPal、Google Pay、Google Play 的计费系统或类似服务来完成支付交易,则如果满足以下所有条件,则开发者无需声明支付服务在其处理财务交易(例如信用卡号码)时收集的数据的收集:
应用从未访问此信息。
支付服务直接从用户那里收集此信息,并且收集受该服务的条款约束。
开发者应仔细审查与支付服务的集成,以确保应用元数据包的数据安全部分声明任何不符合这些条件的相关数据收集和共享。开发者还应考虑应用是否收集其他财务信息,例如购买历史记录,以及应用是否从支付服务接收任何相关数据,例如用于风险和反欺诈目的。
一款应用允许用户直接将数据上传到 Google Drive 或 Dropbox 进行备份或存储。该应用不会访问任何此类数据。这是否仍应披露为“收集”?
这取决于具体的实现方式。如果用户选择直接将其数据上传到他们自己的外部驱动器或云存储帐户(例如 Google Drive、Dropbox 或类似服务),并且此上传受外部驱动器或云存储提供商的服务条款和隐私政策的约束,并且应用从未收集或访问过相关数据,则该应用无需声明收集此数据。
开发者应如何加密传输中的数据?
开发者应遵循最佳行业标准来安全地加密传输中的应用数据。常见的加密协议包括传输层安全协议 (TLS) 和安全超文本传输协议 (HTTPS)。
一款应用允许用户创建帐户或向其帐户添加信息,例如生日或性别。开发者应如何声明用户添加到其帐户的数据?
开发者应声明为帐户管理而收集此数据,并注明(如果适用)用户可以选择不提供哪些数据。
此外,与应用收集的任何数据类型一样,开发者应披露此数据以及应用使用它的目的。例如,如果应用允许用户向其帐户添加生日,并使用该数据发送及时的推送通知,则应用除了帐户管理外,还应声明此目的。
帐户管理可用于涵盖非特定于特定应用的一般帐户数据用途。例如,如果开发者将帐户信息用于防欺诈、广告、营销或跨服务的开发者沟通,并且此用途并非特定于应用或应用中的活动,则声明“帐户管理”为收集此帐户数据的目的是足以涵盖应用元数据包的数据安全部分中的这些一般用途。但是,应用必须始终声明应用本身使用数据的全部目的。作为最佳实践,Google 建议在帐户级别文档和帐户注册流程中披露应用如何处理帐户服务的用户数据。
系统服务是什么?
系统服务是支持核心系统功能的预安装软件。系统服务应包括transparency_info 和 system_app_safety_label 包(后者替代 safety_labels 包)。通过 Google Play 分发的系统服务可以申请免于填写 Google Play 数据安全表格。
开发者如何声明在将数据记录在开发者的服务器上并用于其他目的之前,以瞬态方式使用的数据来加载页面和实时服务其他客户端请求?
如果此用途是短暂的,则开发者无需将其包含在应用元数据包的数据安全部分中。但是,开发者必须声明对该用户数据的任何用途,超出短暂处理,包括开发者使用所记录的用户数据的任何目的。