应用元数据包为开发者提供了一种透明的方式来添加有关他们(开发者)和应用的信息,以及他们是否以及如何收集、分享和保护用户数据。Google Play 商店要求开发者为其分发的应用提供这些信息;搭载 Google Play 服务的 Android 设备的制造商对制造商预加载的应用开发者的要求也与要求相同,但系统服务有少数例外情况。
其他应用商店和安装程序可以选择要求其分发的应用提供应用元数据包。应用分发方法决定了开发者可以创建和集成应用元数据软件包的方式。Android 会向用户显示应用元数据软件包中的数据安全信息;例如,如果应用声明会与第三方共享位置信息,则该信息会显示在搭载 Android 14 或更高版本的设备的位置信息权限提示中。
概览
利用应用元数据包,您可以分享有关您(开发者)和应用的信息,包括应用收集或分享的用户数据,并展示应用的关键隐私保护和安全措施。这些信息可帮助用户做出更明智的选择,例如在授予访问权限时做出选择。
作为开发者,您在运营所在国家/地区可能需要履行的任何法律义务和披露义务与应用元数据包是相互独立的,并且是对这类义务的补充。
我们鼓励所有开发者声明他们如何收集和处理其应用的用户数据,并提供有关应用用途、开发者信息以及应用如何通过加密等安全措施保护用户数据的详细信息。其中包括通过应用所用的任何第三方库或 SDK 收集和处理的数据。如需了解详情,开发者可能需要参阅 SDK 提供方发布的数据安全信息。开发者可以访问 Google Play SDK 索引,查看提供商是否提供了指向其指南的链接。
应用元数据 Bundle 到达设备的方式有所不同,具体取决于应用的分发方式:
- 系统映像中预加载的应用:设备制造商负责将应用元数据软件包添加到系统映像的数据安全 XML 文件中。
- 由安装程序分发的应用:安装程序负责向设备发送应用元数据软件包。如果您要开发通过 Google Play 分发的应用,请参阅 Play 管理中心帮助中的说明。安装程序可以参考应用元数据软件包的架构。
预加载应用的开发者可以使用以下方法之一创建数据安全 XML 文件:
- 如果您开发的应用已在 Play 商店中发布,请在“应用内容”页面上依次转到政策 > 应用内容,使用 Play 管理中心的数据安全表单。如果您已填写此表单,则无需执行任何其他操作。
- 下载并修改本页提供的模板 XML 文件,将其提供给制造商或安装程序。
准备好信息
在开发者开始创建应用元数据软件包之前,请完成以下步骤:
确保他们已添加隐私权政策。
检查应用收集和分享用户数据的方式以及应用的安全做法。尤其要检查应用声明的权限和应用使用的 API。
除了检查应用如何收集和分享用户数据之外,开发者还应检查应用中的任何第三方代码(如第三方库或 SDK)收集和分享此类数据的方式。应用元数据包必须反映此类第三方代码收集或分享数据的行为。
开发者需要在应用部分和开发者信息部分披露哪些信息
本部分介绍了开发者需要在应用元数据软件包的应用和开发者信息部分中披露哪些信息。如果应用是通过 Google Play 商店分发的,请使用 Play 管理中心输入此信息。
开发者需要分享的应用相关信息
创建应用元数据软件包时,开发者需要披露以下各部分中所述的应用信息:
应用用途
以简明易懂的英文文本块描述应用的用途(不得超过 4000 个字符)。
应用类别
请从以下列表中选择最符合应用用途的类别。
以下类别适用于预加载的应用:
- OTA - 负责接收和安装无线下载 (OTA) 更新的软件包
- AOSP - Android 开源项目中的软件包
- 安全性
- 商店
Google Play 也会使用下表中介绍的类别:
| 类别 | 示例 |
|---|---|
艺术与设计 |
速写本、绘画工具、艺术与设计工具、涂色书 |
汽车与交通工具 |
汽车商城、汽车保险、汽车价格对比、道路安全、汽车评论与资讯 |
美容时尚 |
化妆教程、化妆工具、美发、美妆购物、化妆模拟器 |
图书与工具书 |
图书阅读器、工具书、教科书、字典、词典、Wiki |
商业 |
文档编辑器或阅读器、包裹跟踪、远程桌面、电子邮件管理、求职 |
漫画 |
动漫播放器、漫画书 |
通信 |
即时通讯、聊天或即时通讯、拨号器、地址簿、浏览器、通话管理 |
交友 |
红娘服务、求爱、人际关系培养、结交新朋友、寻找真爱 |
教育 |
备考、学习辅导、词汇表、教育游戏、语言学习 |
娱乐 |
流式视频、电影、电视、互动娱乐 |
事件 |
演唱会门票、体育赛事门票、门票转售、电影票 |
财经 |
银行、付款、ATM 查找工具、财经新闻、保险、税务、投资组合管理和交易、小费计算器 |
食品和饮料 |
食谱、餐厅、美食指南、品尝和发现美酒、饮料配方 |
健康与健身 |
个人健身、锻炼跟踪、饮食营养提示、健康与安全 |
家居 |
房屋和公寓搜索、家居装修、室内装饰、房屋贷款、不动产 |
软件库与演示 |
软件库、技术演示 |
生活时尚 |
时尚指南、婚礼及派对策划、操作指南 |
地图和导航 |
导航工具、GPS、地图、交通工具、公共交通 |
医疗 |
药物与临床参考、计算器、医疗保健业者手册、医学期刊和新闻 |
音乐和音频 |
音乐服务、电台、音乐播放器 |
新闻和杂志 |
报纸、新闻汇总、杂志、博客 |
育儿 |
怀孕、婴幼儿护理和看护、托儿服务 |
个性化 |
壁纸、动态壁纸、主屏幕、锁定屏幕、铃声 |
摄影 |
相机、照片编辑工具、照片管理和分享 |
工作效率 |
记事本、待办事项、键盘、打印、日历、备份、计算器、换算 |
带货 |
网购、拍卖、优惠券、比价、购物清单、商品评论 |
社交 |
社交网络、签到 |
体育 |
体育新闻与评论、得分跟踪、梦幻球队管理、赛事报道 |
工具 |
Android 设备工具 |
旅游与本地出行 |
行程预订工具、拼车服务、出租车、城市导游、本地商家信息、行程管理工具、旅行预约 |
视频播放器与编辑器 |
视频播放器、视频编辑器、媒体存储 |
天气 |
天气报告 |
应用广告和营销
指明应用是否包含广告或营销内容(包括应用内宣传广告)。
隐私权政策
添加指向隐私权政策的链接,其中详细说明了开发者如何处理用户数据。如果应用不包含此链接,则系统假定应用不处理用户数据。
开发者需要分享自己的哪些信息
创建应用元数据软件包时,开发者需要披露以下部分中所述的开发者信息:
开发者名称
创建应用的开发者、个人或公司的名称。可以有多个开发者名称。
应用注册表
如果应用已在任何应用注册表(包括商店和其他安装程序)中列出,请在此字段中指明。允许为多个商店提交多个条目。
- 对于属于 Android 安装程序的应用注册表:该值应为商店的 Android 软件包名称。例如,针对 Google Play 商店使用
com.android.vending。 - 对于其他应用注册表:该值应为注册表的网址。
如以下任何一种原因导致的,请忽略此字段:
- 开发者所使用的 SDK 列在 Google Play SDK 索引中。
- 开发者未在任何应用商店或注册表中注册。
应用注册表 ID
对于在任何应用注册表(包括安装程序和商店)上列出的应用,此值应为开发者的商店、安装程序或注册表身份。允许针对多个商店使用多个条目。
- 对于已在 Google Play 注册的开发者:此值必须是开发者页面的网址(例如,
https://play.google.com/store/apps/dev?id=5700313618786177705是开发者 Google LLC 的网址)。 - 如果开发者是 Google Play SDK 索引中列出的 SDK 开发者:请使用 SDK 的网址(例如,
https://play.google.com/sdks/details/com-google-android-gms-play-services-ads是 Google 移动广告 (GMA) SDK 的网址)。 - 如果开发者是在其他商店或注册表中注册的:可以提供应用商店网址或其他标识符。
如果开发者未在任何应用商店中注册,则可省略此属性。
开发者联系信息
请提供以下信息:
- 电子邮件地址
- 网站
- 国家/地区
- 实际邮寄地址
开发者需要在“数据安全”部分中披露哪些信息
本部分介绍了开发者需要在应用元数据软件包的“数据安全”部分中披露哪些信息,并列出了开发者可以选择的用户数据类型和用途。如果应用是通过 Google Play 商店发布的,请使用 Play 管理中心输入此信息。
开发者针对各种数据类型需要声明的信息
创建应用元数据软件包时,开发者需要披露有关他们收集和分享的数据类型的信息,如以下部分所述:
数据收集
在这种情况下,“收集”表示将数据从应用传输到用户设备以外。请注意以下准则:
库和 SDK:包括由应用中使用的库或 SDK 从应用传输到设备以外的用户数据,无论这些数据是传输给应用开发者还是第三方服务器。
网页视图:这包括从应用中打开的网页视图收集的用户数据(如果应用控制通过该网页视图传递的代码和行为)。
如果用户在网页视图中浏览开放网络,那么开发者无需声明通过该网页视图执行的数据收集。
临时处理:对于从设备传输到设备之外进行临时处理的用户数据,如果符合以下标准,则无需将其包含在应用元数据包中:
临时处理数据表示当数据仅存储在内存中时访问和使用数据,并且数据的保留期限不会超过实时处理特定请求所需的时间。
例如,某个天气应用会将用户位置信息从设备传输出去以提取用户所在地点的当前天气信息,但仅在内存中使用位置数据,并且在请求完成后不存储该数据,因此可将其暂时使用位置信息的行为视为临时处理。但是,使用数据构建广告配置文件或其他用户个人资料的操作不能视为临时处理,必须声明为收集或共享数据以实现相关目的。
假名化数据:以假名化方式收集的用户数据必须予以披露。 例如,您必须对能合理识别用户身份的数据进行披露。
不在数据收集披露范围内
以下情况无需披露为数据收集:
设备端访问或处理:如果应用访问的用户数据仅在用户设备本地处理,而不会发送到设备以外,那么无需进行披露。
端到端加密:如果用户数据发送到设备以外,但经过端到端加密后,发送者和接收者以外的任何人均无法读取,也无需进行披露。
必须确保任何中间实体(包括开发者)无法读取加密的数据,且只有发送方和接收方拥有必要的密钥。
数据分享
这里所说的“分享”是指将从应用收集的用户数据传输到第三方。这包括通过以下方式传输的用户数据:
设备外,例如服务器到服务器传输:例如,开发者将从应用收集的用户数据从其服务器传输到第三方服务器。
在设备上传输到其他应用:将用户数据从某个应用直接传输到设备上的其他应用。在这种情况下,即使应用不会将用户设备中的数据传输出去,开发者也必须在“数据安全”部分中披露数据分享情况。
从您的应用库和 SDK:使用应用中包含的库或 SDK 将从用户设备收集的数据直接传输到第三方。
从已通过您的应用打开的网页视图中:使用在应用中打开的网页视图将用户数据传输给第三方(如果应用控制通过该网页视图传递的代码和行为)。
如果用户在网页视图中浏览开放网络,那么开发者无需声明通过该网页视图实现的数据共享。
以下类型的数据传输无需披露为分享:
服务提供商:将用户数据传输给代表开发者处理这些数据的服务提供商。服务提供商是指根据开发者的指示代表开发者处理用户数据的实体。
法律目的:出于特定法律目的传输用户数据,例如为履行法律义务或响应政府要求。
用户发起的操作或醒目披露声明以及用户同意机制:根据用户发起的特定操作(用户已合理预期数据分享情况)或基于醒目的应用内披露声明和征求用户同意机制,将用户数据传输给第三方。
匿名数据。传输用户数据时对其充分进行匿名化处理,使其不再与特定用户的身份识别信息相关联。
第一方和第三方:第一方是指开发者,是负责处理应用所收集数据的主要组织。对于通过商店分发的应用,通常是在商店中发布应用的组织。
第一方有义务通过合理方式向用户明确说明哪个组织主要负责处理应用收集的数据。
第三方是指除第一方或其服务提供商之外的任何组织。
数据处理
开发者还可以披露应用收集的数据类型是“可选”还是“必需”。可选包括选择启用或停用数据收集的功能。例如,开发者可以将某种数据类型声明为“可选”,用户可以控制该数据类型的收集,并且无需提供数据类型即可使用应用;或者,用户可以选择是否手动提供该数据类型。如果应用的主要功能需要某种数据类型,开发者应将这些数据声明为必需类型。
只有在所有用户(无论其使用何种设备或在哪个地区)都可以选择提供信息、选择不收集或收集特定数据的情况下,开发者可以声明应用会收集特定数据。
可选数据收集的示例包括:
某社交媒体应用可能要求用户提供出生日期以用于发送营销资讯,但并不强制要求提供这些信息,用户仍然可以在不提供这些信息的情况下进行注册。
仅在用户登录时收集的用户数据(用户未登录时也可以与应用互动)。
其他应用和数据披露信息
“数据安全”部分也是开发者展示应用的隐私保护和安全措施的好机会。例如,开发者可以突出显示以下信息:
传输加密:应用收集或分享的数据在传输过程中是否使用加密机制来保护用户数据从最终用户的设备传输到服务器。
某些应用旨在允许用户将数据传输到其他网站或服务。例如,即时通讯应用可能会向用户提供通过移动服务提供商发送短信的选项,这采用不同的加密做法。只要这些应用在用户的设备和应用服务器之间传输数据时,按照极高的业界标准对数据进行安全加密,便可以在其“数据安全”部分声明数据会通过安全连接传输。
删除请求机制:应用是否为用户提供了请求删除其数据的方法。
独立安全审核(已面向所有应用推出)
开发者可以选择在“数据安全”部分声明应用已经过独立验证,符合某个全球安全标准。这是一项可选审核,由开发者自愿参与并自担费用。例如,通过移动应用安全性评估 (MASA),开发者可以直接与实验室合作,根据开放全球应用安全项目 (OWASP) 移动应用安全验证标准 (MASVS) 来评估其应用。第三方组织代表开发者开展审核。
数据类型和用途
开发者需要提供有关各种用户数据类型的收集、共享和其他做法,以及开发者使用这些数据的用途,如下表所示:
| 类别 | 数据类型 | 说明 |
|---|---|---|
位置信息 |
大致位置 |
用户或设备的实际位置,范围大于或等于 3 平方公里,例如用户所在的城市或 Android 的 |
确切位置信息 |
用户或设备的实际位置,范围小于 3 平方公里,例如 Android 的 |
|
个人信息 |
名称 |
用户称呼自己的方式,例如用户的名字、姓氏或昵称。 |
电子邮件地址 |
用户的电子邮件地址。 |
|
用户 ID |
与可识别身份的用户相关的标识符,例如账号 ID、账号或账号名称。 |
|
地址 |
用户的地址,例如邮寄地址或家庭住址。 |
|
电话号码 |
用户的电话号码。 |
|
种族和民族 |
有关用户的种族或民族的信息。 |
|
政治信仰或宗教信仰 |
有关用户的政治或宗教信仰的信息。 |
|
性取向 |
有关用户性取向的信息。 |
|
其他信息 |
任何其他个人信息,例如出生日期、性别认同或退伍军人身份。 |
|
财务信息 |
用户付款信息 |
与用户的金融账号相关的信息,如信用卡号。 |
交易记录 |
与用户进行的购买或交易相关的信息。 |
|
信用评分 |
与用户信用评分相关的信息。 |
|
其他财务信息 |
任何其他财务信息,例如用户的薪资或债务。 |
|
健康与健身 |
健康信息 |
与用户健康状况相关的信息,例如医疗记录或症状信息。 |
健身信息 |
与用户的健身情况相关的信息,例如锻炼或其他身体活动。 |
|
信息 |
电子邮件 |
用户的电子邮件,包括电子邮件主题行、发件人、收件人和电子邮件内容。 |
短信或彩信 |
用户的短信,包括发件人、收件人和短信内容。 |
|
其他应用内消息 |
任何其他类型的消息,例如,即时消息或聊天内容。 |
|
照片和视频 |
相册 |
用户的照片。 |
视频 |
用户的视频。 |
|
音频文件 |
语音或声音的录音 |
用户的语音,例如语音信息或录音。 |
音乐文件 |
用户的音乐文件。 |
|
其他音频文件 |
用户创建或用户提供的其他任何音频文件。 |
|
文件和文档 |
文件和文档 |
用户的文件或文档,或者与用户的文件或文档相关的信息(例如文件名)。 |
日历 |
日历活动 |
来自用户日历的信息,例如活动、活动备注和参加者。 |
通讯录 |
通讯录 |
用户联系人信息(例如联系人姓名、消息记录)和社交图谱信息(例如用户名、联系活动的新近度、联系频率、互动时长和通话记录)。 |
应用活动 |
应用互动 |
有关用户如何与应用互动的信息,例如他们对某个页面的访问次数或点按的部分。 |
应用内搜索记录 |
与用户在应用中搜索的内容相关的信息。 |
|
已安装的应用 |
与用户设备上安装的应用相关的信息。 |
|
其他由用户生成的内容 |
此处或任何其他部分未列出的任何其他用户生成的内容,例如用户简介、备注或开放式回复。 |
|
其他操作 |
此处未列出的任何其他用户活动或应用内操作,例如游戏内容、点赞和对话框选项。 |
|
网页浏览 |
网络浏览记录 |
与用户访问过的网站相关的信息。 |
应用信息和性能 |
崩溃日志 |
应用的崩溃日志数据,例如应用的崩溃次数、堆栈轨迹或与崩溃直接相关的其他信息。 |
诊断信息 |
与应用性能相关的信息,例如电池续航时间、加载时间、延迟时间、帧速率或任何技术诊断信息。 |
|
其他应用性能数据 |
此处未列出的任何其他应用性能数据。 |
|
设备 ID 或其他 ID |
设备 ID 或其他 ID |
与单独的设备、浏览器或应用相关的标识符,例如 IMEI 识别码、MAC 地址、Widevine 设备 ID、Firebase 安装 ID 或广告标识符 |
用途
| 数据用途 | 说明 | 示例 |
|---|---|---|
应用功能 |
用于应用内可用的功能 |
例如用于启用应用功能或对用户进行身份验证。 |
分析 |
用于收集与用户如何使用应用以及应用表现如何相关的数据; |
例如,查看有多少用户在使用特定功能、监控应用运行状况、诊断和修复错误或崩溃,或者日后改进性能。 |
开发者通讯 |
用于发送有关应用或开发者的最新消息或通知。 |
例如,发送推送通知来向用户告知重要的安全更新或应用的新功能。 |
广告或营销 |
用于展示或定位广告或营销资讯,或衡量广告效果。 |
例如,在应用中展示广告、发送推送通知以宣传其他产品或服务,或与广告合作伙伴分享数据。 |
欺诈防范、安全和法规遵从 |
用于防欺诈、确保安全或遵守法律。 |
例如,监控失败的登录尝试,以此识别可能的欺诈活动。 |
个性化 |
用于自定义应用,例如显示推荐内容或建议。 |
例如,根据用户的收听习惯推荐播放列表,或者根据用户的位置提供本地新闻。 |
账号管理 |
用于通过开发者设置或管理用户帐号。 |
例如,让用户能够创建帐号或向开发者提供的帐号添加信息以便在其各项服务中使用、登录应用或验证他们的凭据。 |
手动创建数据安全 XML 文件
以下示例数据安全 XML 文件演示了一款预加载应用的文件结构,该应用会分享与用户所在位置相关的数据。您可以根据需要为应用披露的信息类型,通过添加、修改或移除元素来修改此结构。
请注意,示例文件未必完整。如需详细了解您的应用可能需要包含的应用元数据软件包中的应用元数据软件包、开发者部分和数据安全部分所需的 XML 结构,请参阅应用元数据软件包的架构。
<?xml version='1.0' encoding='UTF-8' standalone='yes' ?>
<bundle>
<long name="version" value="2" />
<pbundle_as_map name="safety_labels">
<long name="version" value="1" />
<pbundle_as_map name="data_labels">
<pbundle_as_map name="data_shared">
<pbundle_as_map name="location">
<pbundle_as_map name="approx_location">
<int-array name="purposes" num="4">
<item value="1" />
<item value="2" />
<item value="5" />
<item value="6" />
</int-array>
</pbundle_as_map>
<pbundle_as_map name="precise_location">
<int-array name="purposes" num="2">
<item value="1" />
<item value="6" />
</int-array>
</pbundle_as_map>
</pbundle_as_map>
</pbundle_as_map>
</pbundle_as_map>
</pbundle_as_map>
</bundle>
常见问题解答
如需查看开发者提出的常见问题的解答,请参阅以下部分。
常见问题
以下部分解答了有关应用元数据软件包的常见问题。
开发者针对 iOS 提交了类似信息。该开发者可在 Android 应用元数据包中重复使用其中多少内容?
开发者能够很好地处理应用的数据方面的做法,这太棒了。为了正确填写应用元数据软件包,开发者可能需要额外的信息,而这些信息之前可能没有使用过,因此应该需要执行额外的操作。Android 应用元数据软件包的分类和框架可能与其他应用商店中使用的分类和框架有很大不同。
Google 如何确保开发者分享准确的信息?我们发现这个行业的相关信息有时可能并不准确。
与隐私权政策类似,开发者对其应用元数据软件包中披露的信息负责。
开发者需要多久更新一次应用元数据包?
当应用的数据做法发生相关更改时,开发者应更新应用元数据包。
关于完成“数据安全”部分的问题
以下各部分针对如何填写应用元数据 bundle 的“数据安全”部分提供了一些解答。
如果应用在受支持的不同 Android 版本中的行为有所不同,该怎么办?
应用元数据包应准确无误,以便与使用情况、应用版本、区域和用户年龄无关。“数据安全”部分介绍了应用在所有地理位置和用户类型中的数据收集与分享的总体情况。
该开发者如何才能证明他们在不同地区可能采取了不同的做法?例如,开发者不使用欧洲的某些库,但可能会在其他地方使用。
应用元数据软件包反映了每个应用的数据做法的全局表示形式。“数据安全”部分描述了应用在所有地理位置和用户类型中收集和分享数据的总体情况。
“数据安全”部分是否受用户意见征求机制的控制?开发者是否需要采取任何额外步骤来创建应用内醒目披露声明?
否,用户应用安装流程中没有新的披露声明,也没有与此功能相关的新的用户同意声明。如果 Android 设备上的 Google Play 应用和移动捆绑应用的开发者使用 Google Play 服务来收集个人数据和敏感用户数据,则必须按照政策要求实现应用内披露和征求用户同意。
如果应用包含权限但并未实际收集或分享数据,开发者是否需要声明数据?
除非实际收集或分享了数据,否则开发者无需声明数据的收集或分享。安装有 Google Play 服务的 Android 设备上的 Google Play 应用和移动捆绑应用必须遵守所有适用的政策。
如果收集某种数据类型时会同时收集另一种数据类型,开发者是否应该声明这两种数据类型?例如,如果开发者收集的“联系人”数据类型中包含用户的电子邮件,开发者是否同时声明了“联系人”和“电子邮件地址”数据类型?
如果开发者在收集另一种数据类型的过程中有意收集某种数据类型,则应同时披露两者。例如,如果开发者会收集用户照片并利用其确定用户特征(例如民族或种族),则开发者还应披露民族和种族的收集。
开发者是否需要提供删除机制?此机制是否需要适用于任何及所有用户数据?
“数据安全”部分提供了一个途径,供开发者说明开发者是否提供接收用户数据删除请求的机制。在完成“数据安全”部分的过程中,开发者应指明他们是否提供此类机制。
开发者必须提供某种特定类型的机制来指明应用支持用户数据删除请求吗?
我们没有规定的机制,但最佳做法是,请求机制应该可由用户发现和访问。明确指明了用户可以请求删除数据的路径的常用机制示例包括但不限于:应用功能、联系表单或专用电子邮件别名。
对于自动删除或匿名化处理的数据,开发者应该如何在“数据安全”部分中指明其提供了删除请求机制?
如果开发者提供以下一个或多个选项,则可以声明用户可以请求删除其数据:
- 一种请求删除数据的机制。
在收集数据后的 90 天内自动启动所收集数据或对其进行匿名化的流程。
开发者可以声明用户可以请求删除其数据,即使开发者因合法原因(例如法规遵从或防范滥用行为)需要保留某些数据也是如此。
如果开发者提供的删除机制并非面向全球所有用户,开发者是否仍可指明我提供了删除请求机制?
每个应用元数据包只有一个全局数据安全部分。这应涵盖基于任何使用情况、区域和用户年龄的数据方面的做法。换言之,如果任何版本的应用有任何数据方面的做法,在全球的任何地方,开发者都必须指明这些做法。因此,“数据安全”部分说明了所有用户和地理位置对应用的数据收集与分享的总体情况。
可以使用哪些技术对数据进行匿名化处理?
您可以采用多种方法对数据进行匿名化处理,使其无法与特定用户的身份识别信息相关联。开发者应咨询隐私权和安全专家,以确定适用于其用例的方法。例如,本页面讨论了 Google 使用的一些数据匿名化方法,例如差分隐私。
开发者应如何处理 IP 地址的收集和使用?
与其他数据类型一样,开发者应根据数据的具体用途和相关做法,披露收集、使用和分享 IP 地址的行为。例如,如果开发者使用 IP 地址来确定位置,则应声明相应数据类型(位置)。
开发者应如何披露收集和分享其他类型的标识符的情况?
与其他数据类型一样,开发者应根据其具体用法和做法披露收集、使用和分享不同类型的标识符的行为。例如,应将与可识别身份的用户关联的帐号名称的收集声明为“个人标识符”,而应将用户的 Android 广告 ID 收集声明为“设备或其他标识符”。再例如,如果某个标识符与特定的应用内事件相关,但与个别设备、浏览器或应用不合理,则无需披露为“设备或其他标识符”。
如前所述,应用元数据软件包的“数据安全”部分应在相关数据类型下披露假名化数据收集行为。例如,如果开发者使用设备标识符收集诊断信息,仍应在“数据安全”部分中披露收集“诊断信息”的行为。
“服务提供商”可以执行哪些类型的活动?
服务提供商只能代表开发者处理用户数据。例如,仅代表开发者处理应用中的用户数据的分析服务提供商,或者托管应用中的用户数据供开发者使用的云服务提供商,通常可称为“服务提供商”。另一方面,如果 SDK 提供方根据应用数据为多个客户构建广告配置文件,那么就“数据安全”部分而言,该活动不会被视为“服务提供商”活动,需要在应用元数据软件包的“数据安全”部分中披露为“分享”。
应用使用外部付款服务来实现财务交易。该应用是否需要在其元数据软件包中披露信用卡信息等财务信息?
这取决于与付款服务集成的性质。如果应用使用付款服务(例如 PayPal、Google Pay、Google Play 结算系统或类似服务)来完成付款交易,在满足以下所有条件的情况下,开发者无需声明会收集付款服务与其处理金融交易相关的数据(例如信用卡号):
该应用绝不会访问这些信息。
付款服务会直接向用户收集这些信息,且该收集行为受相应服务条款的约束。
开发者应仔细审核与付款服务的集成,以确保应用元数据软件包的“数据安全”部分声明所有不符合上述条件的相关数据收集和分享行为。开发者还应考虑应用是否会收集交易记录等其他财务信息,以及应用是否会从付款服务接收任何相关数据(例如出于风险和防欺诈目的)。
通过应用,用户可以将数据直接上传到 Google 云端硬盘或 Dropbox,以进行备份或存储。应用不会访问其中的任何数据。是否仍应将其披露为“数据收集”行为?
这取决于具体的实现情况。如果用户选择直接将数据上传到自己的外部云端硬盘或云端存储空间帐号(如 Google 云端硬盘、Dropbox 或类似服务),并且这种上传操作受外部云端硬盘或云端存储空间提供商的服务条款和隐私权政策约束,并且应用从未收集或访问相关数据,则应用无需声明收集此类数据的行为。
开发者应如何加密传输中的数据?
开发者应遵循最佳业界标准,安全地加密传输中的应用数据。常用的加密协议包括传输层安全协议 (TLS) 和安全超文本传输协议 (HTTPS)。
通过应用,用户可以创建帐号或向帐号添加信息,例如生日或性别。开发者应如何声明用户向自己的帐号添加的数据?
开发者应声明收集此类数据的行为是为了进行帐号管理,指明(如果适用)在什么位置对于用户来说是可选项的。
此外,与应用收集的任何数据类型一样,开发者应披露此类数据以及应用使用这些数据的目的或用途。例如,如果应用允许用户在其帐号中添加生日信息,并利用该数据及时发送推送通知,那么除了声明帐号管理用途外,该应用还应声明此用途。
账号管理可用于涵盖并非特定于特定应用的账号数据的常规用途。例如,如果开发者将账号信息用于防欺诈、广告、营销或开发者通信等多种服务,但这种使用并非特定于应用或应用中的活动,则声明“账号管理”的目的仅在于收集此账号数据时才收集此账号数据,从而足以涵盖应用数据软件包中的这些一般用途。不过,应用必须始终声明应用本身将数据用于的所有用途。Google 建议您在帐号级文档和帐号注册流程中披露该应用如何处理帐号服务的用户数据。
什么是系统服务?
系统服务是指支持核心系统功能的预安装软件。
系统服务应包含 transparency_info 和 system_app_safety_label 软件包(提供后者,而不是 safety_labels 软件包)。通过 Google Play 分发的系统服务可以申请免填 Google Play 数据安全表单。
如果系统在将数据记录到开发者的服务器上并将其用于其他用途之前,会为了实时加载页面及处理其他客户端请求而临时使用这类数据,那么开发者该如何声明收集该数据的行为?
如果此使用是临时的,则开发者无需将其包含在应用元数据软件包的“数据安全”部分中。但是,开发者必须声明临时处理之外对用户数据的任何用途,包括开发者使用这些用户数据的所有用途。