應用程式中繼資料套件可讓開發人員以公開透明的方式,加入開發人員的相關資訊 (開發人員)、應用程式,以及是否收集、分享及保護使用者資料。Google Play 商店要求開發人員針對其發行的應用程式提供這項資訊,以及提供 Google Play 服務的 Android 裝置製造商要求開發人員和製造商預先載入的 Android 裝置相同,但系統服務的少數例外狀況。
其他應用程式商店和安裝程式可針對要發行的應用程式選擇需要應用程式中繼資料套件。應用程式發布方法會決定開發人員如何建立及整合應用程式中繼資料套件。Android 會向使用者顯示應用程式中繼資料套件的資料安全性資訊。舉例來說,如果應用程式宣告會與第三方分享位置資訊,則在搭載 Android 14 以上版本的裝置上,這項資訊會顯示在位置存取權提示中。
總覽
應用程式中繼資料套件可讓您分享自己 (開發人員) 和應用程式的相關資訊 (包括應用程式收集或分享的使用者資料),並展示應用程式的重要隱私權和安全性做法。這些資訊可協助使用者在授予權限時做出更明智的選擇,例如授予權限。
應用程式中繼資料套件的作用是和您做為開發人員的任何法律資訊公開及揭露義務,可能適用於您營運國家/地區。
我們建議所有開發人員宣告自己如何收集及處理自家應用程式的使用者資料,並針對應用程式用途、開發人員資訊,以及應用程式如何透過加密等安全性措施保護使用者資料。這包括透過應用程式中使用的任何第三方程式庫或 SDK 蒐集和處理的資料。開發人員可以參考 SDK 供應商發布的資料安全性資訊,瞭解詳細資訊。開發人員可以前往 Google Play SDK 索引,查看供應商是否提供指南連結。
應用程式中繼資料套件會根據應用程式的發行方式,以不同方式觸及裝置:
- 在系統映像檔中預先載入的應用程式:裝置製造商負責將應用程式中繼資料套件加入系統映像檔的資料安全性 XML 檔案。
- 由安裝程式發布的應用程式:安裝程式負責將應用程式中繼資料組合傳送至裝置。如果您開發透過 Google Play 發行的應用程式,請參閱 Play 管理中心說明中心的操作說明。安裝程式可參考應用程式中繼資料組合的結構定義。
預先載入應用程式的開發人員可以使用下列任一方法建立資料安全性 XML 檔案:
- 如果您開發在 Play 商店中發布的應用程式,請依序前往「應用程式內容」頁面的「政策」>「應用程式內容」,使用 Play 管理中心的資料安全性表單。如果您已完成這份表單,則不需要採取其他動作。
- 下載並編輯本頁提供的範本 XML 檔案,以便提供給製造商或安裝程式。
取得資訊
在開發人員開始建立應用程式中繼資料組合之前,請完成下列步驟:
確認對方已新增隱私權政策。
檢查應用程式收集及分享使用者資料的方式與應用程式的安全性做法。請特別留意應用程式宣告的權限和使用的 API。
除了檢查應用程式收集和分享使用者資料的方式外,開發人員也應查看應用程式中的第三方程式碼 (例如第三方程式庫或 SDK) 收集和分享使用者資料的方式。應用程式中繼資料組合必須反映這類第三方程式碼所執行的資料收集或分享作業。
開發人員必須在「應用程式和開發人員資訊」專區中揭露哪些資訊
本節說明開發人員必須在應用程式中繼資料套件的應用程式和開發人員資訊區段中揭露哪些資訊。如果應用程式是透過 Google Play 商店發布,請使用 Play 管理中心輸入這項資訊。
開發人員需要分享這個應用程式的哪些資訊
建立應用程式中繼資料套件時,開發人員需要揭露下列各節所述的應用程式資訊:
應用程式用途
以人類可讀的英文文字 blob 說明應用程式的用途 (長度上限為 4000 個字元)。
應用程式類別
請從下列清單中選取最適合應用程式用途的類別。
以下類別適用於預先載入的應用程式:
- OTA - 負責接收及安裝無線更新 (OTA) 更新的套件
- Android 開放原始碼計畫 - Android 開放原始碼計畫提供的套件
- 安全性
- 商店
下表所列類別也會由 Google Play 使用:
類別 | 範例 |
---|---|
藝術與設計 |
素描簿、繪圖工具、藝術與設計工具、著色本 |
汽車與車輛 |
汽車購物、汽車保險、汽車比價、道路安全、汽車評價和車訊 |
美容 |
化妝教學、裝扮工具、美髮造型、美容用品購物、化妝模擬器 |
圖書與參考資源 |
書籍閱讀器、參考書籍、教科書、字典、辭典、維基 |
商業 |
文件編輯器或閱讀器、包裹追蹤、遠端桌面、電子郵件管理、工作搜尋 |
漫畫 |
看漫畫程式、漫畫刊物 |
通訊 |
簡訊、即時通訊或即時訊息、撥號程式、通訊錄、瀏覽器、通話管理 |
約會交友 |
配對媒合、求愛、發展關係、認識新朋友、找尋另一半 |
教育 |
考試準備、學習輔導、單字、教育遊戲、語言學習 |
娛樂 |
串流影片、電影、電視、互動娛樂 |
活動 |
演唱會門票、體育賽事門票、票券轉售、電影票 |
財經 |
銀行、付款、自動提款機搜尋工具、財經新聞、保險、稅金、投資組合管理和交易、小費計算機 |
飲食 |
食譜、餐館、美食指南、品酒與美酒探索、調酒配方 |
健康與健身 |
個人健身、運動追蹤、飲食及營養秘訣、健康與安全 |
居家生活 |
住家與公寓搜尋、居家修繕、室內裝潢、貸款、房地產 |
程式庫與試用程式 |
軟體程式庫、技術示範 |
生活品味 |
時尚指南、婚禮與派對規劃、操作指南 |
地圖和導航 |
導航工具、GPS、地圖、運輸工具、大眾運輸 |
醫療 |
醫藥與臨床參考資源、計算機、醫療照護提供者手冊、醫療期刊與新聞 |
音樂與音訊 |
音樂服務、廣播、音樂播放程式 |
新聞與雜誌 |
報紙、新聞彙整工具、雜誌、網誌 |
子女教養 |
懷孕、嬰兒照顧與監控、兒童照顧 |
個人化 |
桌布、動態桌布、主畫面、螢幕鎖定、鈴聲 |
攝影 |
相機、相片編輯工具、相片管理與分享 |
效率提升 |
記事本、待辦事項清單、鍵盤、列印、日曆、備份、計算機、轉換 |
購物 |
線上購物、拍賣、優待券、比價、購物清單、產品評論 |
社交 |
社交網路、簽到/打卡 |
體育 |
運動新聞與評論、比數追蹤、夢幻隊伍管理、賽事報導 |
工具 |
Android 裝置專用工具 |
旅遊與地方資訊 |
行程預定工具、共乘、計程車、城市導覽、當地商家資訊、行程管理工具、旅程預約 |
影片播放器和編輯器 |
影片播放器、影片編輯器、媒體儲存空間 |
天氣 |
天氣預報 |
應用程式廣告與行銷
指出應用程式是否含有廣告或行銷內容,包括應用程式內促銷活動。
隱私權政策
加入隱私權政策連結,詳細說明開發人員如何處理使用者資料。如果應用程式不包含這個連結,系統會假設應用程式不會處理使用者資料。
開發人員需要分享哪些資訊
建立應用程式中繼資料套件時,開發人員需要揭露下列各節所述的開發人員資訊:
開發人員名稱
建立應用程式的開發人員、個人或公司的名稱,可以有多個開發人員名稱。
應用程式登錄
如果應用程式列於任何應用程式註冊資料庫 (包括商店和其他安裝程式),請在這個欄位中表示。允許多間商店提交多筆資料。
- 如果是 Android 安裝程式的應用程式註冊資料庫:這個值應為商店的 Android 套件名稱。舉例來說,Google Play 商店請使用
com.android.vending
。 - 其他應用程式註冊資料庫:這個值應為註冊管理機構的網址。
如果符合下列任一情況,請略過這個欄位:
- Google Play SDK 索引中列出的 SDK 的開發人員。
- 開發人員尚未在任何應用程式商店或註冊資料庫中註冊。
應用程式登錄檔 ID
針對任何應用程式註冊資料庫 (包括安裝程式和商店) 中列出的應用程式,這個值應為開發人員的商店、安裝程式或登錄身分。允許多間商店提交多個項目。
- 如果開發人員已在 Google Play 註冊:這個值必須是開發人員頁面的網址 (例如,
https://play.google.com/store/apps/dev?id=5700313618786177705
是開發人員 Google LLC 的網址)。 - 如果開發人員是 Google Play SDK 索引中列出的 SDK 開發人員:請使用 SDK 的網址 (例如,
https://play.google.com/sdks/details/com-google-android-gms-play-services-ads
是 Google Mobile Ads (GMA) SDK 的網址)。 - 如果開發人員已在其他商店或註冊資料庫中註冊:您可以提供應用程式商店網址或其他 ID。
如果開發人員尚未在任何應用程式商店中註冊,可以省略這項屬性。
開發人員聯絡資訊
提供下列資訊:
- 電子郵件地址
- 網站
- 國家/地區
- 實際郵寄地址
開發人員必須在「資料安全性」專區揭露哪些資訊
本節說明開發人員必須在應用程式中繼資料套件的資料安全性專區揭露哪些資訊,並列出開發人員可選取的使用者資料類型和用途。如果應用程式是透過 Google Play 商店發布,請使用 Play 管理中心輸入這項資訊。
開發人員需要宣告的資料類型
建立應用程式中繼資料套件時,開發人員需要如以下各節所述,揭露有關應用程式收集和分享的資料類型:
資料收集
在這種情況下,「收集」是指透過應用程式將資料傳輸到使用者裝置外部。請注意下列規範:
程式庫和 SDK:包括透過應用程式中使用的程式庫或 SDK,從應用程式傳輸到裝置外部的使用者資料 (無論資料是傳輸至應用程式的開發人員或第三方伺服器)。
WebView:包括透過應用程式開啟的 WebView 收集使用者資料的行為,前提是應用程式可以控制透過該 WebView 傳遞的程式碼和行為。
開發人員不需要在使用者透過 WebView 瀏覽開放網路時聲明資料收集行為。
暫時處理:如果使用者資料會暫時處理傳輸到裝置外部,只要符合下列標準,則不需要納入應用程式中繼資料套件中:
「暫時」處理資料是指存取和使用只儲存在記憶體中的資料,且這類資料的保留時間不超過即時處理特定要求所需的時間。
舉例來說,天氣應用程式會將使用者位置傳輸到裝置外部,以擷取使用者所在位置的目前天氣,但只會在記憶體中使用位置資料,且執行完要求後就不會儲存該資料,這種暫時使用位置資訊的方式就會視為暫時。不過,如果使用資料建立廣告設定檔或其他使用者設定檔,就稱不上是暫時處理,開發人員必須宣告收集或分享行為是基於相關用途。
匿名資料:您必須揭露以匿名方式收集的使用者資料。 舉例來說,如果匿名資料根據合理判斷能與使用者重新建立關聯,您就必須揭露該資料。
不在資料收集揭露範圍內
以下用途不必揭露為收集行為:
在裝置上存取或處理資料:如果應用程式只會在使用者裝置上處理所存取的使用者資料,而不會將資料傳輸到裝置外部,則不必揭露這類行為。
端對端加密:如果使用者資料會透過端對端加密傳輸到裝置外部,但只有傳送者和接收者無法讀取,則不必揭露這類行為。
任何中介實體 (包括開發人員) 皆無法讀取已加密的資料,且只有傳送者和接收者能夠擁有必要的金鑰。
資料分享
在這種情況下,分享是指將從應用程式收集的使用者資料轉移至第三方。包括以下列方式轉移的使用者資料:
在裝置外部,例如伺服器對伺服器移轉作業:例如,開發人員將從開發人員伺服器收集到的使用者資料轉移至第三方伺服器。
轉移至裝置端的應用程式:直接在裝置上將使用者資料轉移至其他應用程式。在此情況下,即使應用程式不會將資料傳輸到使用者的裝置外部,開發人員也必須在「資料安全性」專區揭露資料分享行為。
從應用程式程式庫和 SDK:使用應用程式內含的程式庫或 SDK,將應用程式收集到的資料直接從使用者裝置傳輸至第三方。
透過應用程式開啟的 WebView:使用透過應用程式開啟的 WebView 將使用者資料轉移給第三方,前提是應用程式可以控制透過該 WebView 傳遞的程式碼和行為。
開發人員不需要在使用者透過 WebView 瀏覽開放網路時宣告資料收集行為。
下列類型的資料轉移不需要揭露為「分享」:
服務供應商:將使用者資料轉移給代表開發人員處理資料的服務供應商。「服務供應商」是指代表開發人員處理使用者資料的實體,會按照開發人員的指示處理資料。
法律目的:基於特定法律目的轉移使用者資料,例如遵循法律義務或政府要求。
使用者執行的操作或醒目揭露事項和使用者同意聲明:依據使用者執行的特定動作,將使用者資料轉移給第三方;使用者合理預期應用程式會與第三方分享資料;或根據應用程式內醒目揭露事項和同意聲明,將使用者資料轉移給第三方。
匿名資料:轉移完全經過匿名處理的使用者資料,因此該資料不再與個別使用者相關聯。
第一方和第三方:第一方是指開發人員,即負責處理應用程式所收集資料的主要機構。如果是透過商店發布的應用程式,這通常是在商店發布應用程式的機構。
第一方有義務向使用者清楚說明,哪個機構主要負責處理應用程式收集的資料。
第三方是指第一方或其服務供應商以外的任何機構。
資料處理
開發人員也可以揭露應用程式收集的各個資料類型,是「選用」或「必要」。選用的涵義包括選擇加入或退出資料收集。舉例來說,開發人員可以將某個資料類型宣告為選用,讓使用者能控管要讓應用程式收集哪些資料,且不用提供該應用程式也能使用應用程式;或是讓使用者手動選擇是否提供該資料類型。如果應用程式的主要功能需要資料類型,開發人員應宣告該資料為必要。
開發人員可以宣告,只有在所有使用者 (無論裝置或所在區域) 都能選擇是否提供資訊、選擇拒絕或允許收集資料時,應用程式才會選擇收集特定資料。
以下為幾個選用收集資料的示例:
社群媒體應用程式基於行銷傳播目的,要求使用者提供生日資訊,但使用者可選擇是否提供該資訊,即使不提供也能進行註冊。
系統只在使用者登入的情況下收集使用者資料,使用者不登入也可以操作應用程式。
其他應用程式和資料揭露事項
開發人員也可以利用「資料安全性」專區展現應用程式的隱私權和安全性做法。舉例來說,開發人員可以醒目顯示下列資訊:
在傳輸過程中加密:應用程式收集或分享的資料是否會使用傳輸中資料加密技術,保護使用者資料從使用者裝置傳送到伺服器的流程。
有些應用程式的設計可讓使用者將資料轉移到其他網站或服務。舉例來說,訊息應用程式可能會為使用者提供透過行動服務供應商傳送簡訊的選項,這樣便能維持不同的加密做法。資料在使用者裝置和應用程式伺服器之間傳輸時,只要這些應用程式採用了最佳業界標準來進行安全加密,便可在資料安全性專區中聲明資料會透過安全的連線傳輸。
刪除要求機制:應用程式是否提供讓使用者要求刪除資料的方式。
獨立安全性審查 (適用於所有應用程式)
開發人員可以選擇在「資料安全性」專區中宣告應用程式已通過獨立全球安全標準驗證。這是開發人員同意執行的選用審查項目,費用也由開發人員支付。舉例來說,使用行動應用程式安全性評估 (MASA) 時,開發人員可以直接透過研究室合作,根據 Open Worldwide Application Security Project (OWASP) 行動應用程式安全性驗證標準 (MASVS) 評估應用程式。負責審查的第三方機構會代表開發人員執行相關審查。
資料類型和用途
開發人員必須提供一系列使用者資料類型的收集、分享和其他做法,以及開發人員使用該資料的用途,如下表所述:
類別 | 資料類型 | 說明 |
---|---|---|
位置 |
大概位置 |
使用者或裝置實際位置,範圍大於或等於 3 平方公里,例如使用者所在的城市,或 Android 的 |
精確位置 |
使用者或裝置實際位置,範圍小於 3 平方公里,例如由 Android |
|
個人資訊 |
姓名 |
使用者稱呼自己的方式,例如名字、姓氏或暱稱。 |
電子郵件地址 |
使用者的電子郵件地址。 |
|
使用者 ID |
與可識別對象相關的 ID,例如帳戶 ID、帳號或帳戶名稱。 |
|
地址 |
使用者的地址,例如郵寄地址或住家地址。 |
|
電話號碼 |
使用者的電話號碼。 |
|
種族和族群 |
使用者的種族或族裔相關資訊。 |
|
政治或宗教信仰 |
使用者的政治或宗教信仰相關資訊。 |
|
性傾向 |
使用者的性傾向相關資訊。 |
|
其他資訊 |
任何其他個人資訊,例如出生日期、性別認同或服役狀態。 |
|
財務資訊 |
使用者付款資訊 |
使用者的財務帳戶相關資訊,例如信用卡號碼。 |
購買記錄 |
使用者的消費或交易相關資訊。 |
|
信用評分 |
使用者的信用評分相關資訊, |
|
其他財務資訊 |
任何其他財務資訊,例如使用者的薪資或債務。 |
|
健康與健身 |
健康資訊 |
使用者的健康相關資訊,例如病歷或症狀。 |
健身資訊 |
使用者的健身相關資訊,例如運動或其他體能活動。 |
|
訊息 |
電子郵件 |
使用者的電子郵件,包括電子郵件主旨行、寄件者、收件者和電子郵件內容。 |
簡訊或多媒體訊息 |
使用者的簡訊,包括寄件者、收件者和訊息內容。 |
|
其他應用程式內通訊訊息 |
任何其他類型的訊息,例如即時通訊或聊天內容。 |
|
相片和影片 |
相片 |
使用者的相片。 |
影片 |
使用者的影片。 |
|
音訊檔案 |
錄音內容 |
使用者的聲音,例如語音留言或錄音內容。 |
音樂檔案 |
使用者的音樂檔案。 |
|
其他音訊檔案 |
使用者建立或提供的任何其他音訊檔案。 |
|
檔案和文件 |
檔案和文件 |
使用者的檔案或文件,或是檔案或文件的相關資訊,例如檔案名稱。 |
日曆 |
日曆活動 |
使用者日曆中的資訊,例如活動、活動附註和參與者。 |
聯絡人 |
聯絡人 |
使用者的聯絡人相關資訊,例如聯絡人姓名、訊息記錄,以及使用者名稱、近期聯絡資料、聯絡頻率、互動時間長度和通話記錄等社交關係圖資訊。 |
應用程式活動 |
應用程式互動 |
使用者如何與應用程式互動的相關資訊,例如頁面造訪次數,或者使用者輕觸的部分。 |
應用程式內搜尋記錄 |
使用者在應用程式中所搜尋內容的相關資訊。 |
|
已安裝的應用程式 |
使用者裝置上所安裝應用程式的相關資訊。 |
|
其他的使用者自製內容 |
此處或任何其他部分未列出的所有其他使用者自製內容,例如使用者的簡介、記事或開放式的回覆內容。 |
|
其他動作 |
此處未列出的任何其他應用程式內使用者活動或動作,例如遊戲過程資訊、表示喜歡某些內容的操作或對話方塊選項。 |
|
網路瀏覽 |
網路瀏覽記錄 |
使用者所造訪網站的相關資訊。 |
應用程式資訊與效能 |
當機記錄 |
應用程式的當機記錄資料。例如應用程式當機次數、堆疊追蹤或其他直接與當機問題相關的資訊。 |
診斷資料 |
應用程式的效能相關資訊,例如電池續航力、載入時間、延遲時間、影格速率或任何技術診斷資料。 |
|
其他的應用程式效能資料 |
此處未列出的任何其他應用程式效能資料。 |
|
裝置 ID 或其他 ID |
裝置 ID 或其他 ID |
與個別裝置、瀏覽器或應用程式相關的 ID,例如 IMEI 號碼、MAC 位址、Widevine 裝置 ID、Firebase 安裝 ID 或廣告 ID |
目的
資料目的 | 說明 | 範例 |
---|---|---|
應用程式功能 |
用於應用程式提供的功能 |
例如啟用應用程式功能或驗證使用者。 |
數據分析 |
用於收集資料,瞭解使用者如何使用應用程式以及應用程式的成效 |
例如查看有多少使用者在使用特定功能、監控應用程式健康狀況、診斷及修復錯誤或當機情形,或者改善之後的效能。 |
開發人員通知 |
用於傳送有關應用程式或開發人員的最新消息或通知。 |
例如傳送推播通知,告知使用者重要的安全性更新資訊或應用程式新功能。 |
廣告或行銷 |
用於顯示或指定廣告/行銷通信內容,或衡量廣告成效。 |
例如在應用程式中顯示廣告、傳送推播通知來宣傳其他產品或服務,或與廣告合作夥伴分享資料。 |
詐欺防範、安全性和法規遵循 |
用於防範詐欺、確保安全性或遵循法律。 |
例如監控嘗試登入失敗次數,藉此識別可能的詐欺活動。 |
個人化 |
用於自訂應用程式,像是顯示推薦內容或建議。 |
例如根據使用者的收聽習慣建議播放清單,或依照使用者的所在位置提供當地新聞。 |
帳戶管理 |
用於讓開發人員設定或管理使用者帳戶。 |
例如允許使用者建立帳戶、登入應用程式或驗證憑證,藉此建立帳戶或新增資訊至開發人員提供的各項服務。 |
手動建立資料安全性 XML 檔案
以下的資料安全性 XML 檔案範例示範的是預先載入的應用程式檔案結構,該應用程式會分享與使用者位置相關的資料。您可以依據您需要為應用程式揭露的資訊類型新增、編輯或移除元素,藉此編輯這個結構。
請注意,範例檔案不一定會完成。如要進一步瞭解應用程式可能需要納入的應用程式中繼資料套件所需的 XML 結構,以及應用程式、開發人員和資料安全性區段的必要 XML 結構,請參閱應用程式中繼資料套件的結構定義。
<?xml version='1.0' encoding='UTF-8' standalone='yes' ?>
<bundle>
<long name="version" value="2" />
<pbundle_as_map name="safety_labels">
<long name="version" value="1" />
<pbundle_as_map name="data_labels">
<pbundle_as_map name="data_shared">
<pbundle_as_map name="location">
<pbundle_as_map name="approx_location">
<int-array name="purposes" num="4">
<item value="1" />
<item value="2" />
<item value="5" />
<item value="6" />
</int-array>
</pbundle_as_map>
<pbundle_as_map name="precise_location">
<int-array name="purposes" num="2">
<item value="1" />
<item value="6" />
</int-array>
</pbundle_as_map>
</pbundle_as_map>
</pbundle_as_map>
</pbundle_as_map>
</pbundle_as_map>
</bundle>
常見問題
請參閱以下各節,取得開發人員常見問題的解答。
一般問題
以下各節針對應用程式中繼資料套件的一般問題提供解答。
某位開發人員針對 iOS 提交了類似資訊。開發人員可以在 Android 應用程式中繼資料套件中重複使用多少內容?
很高興開發人員對應用程式的資料相關做法有充分的考量。為了正確完成應用程式中繼資料組合,開發人員可能需要取得先前可能未使用的額外資訊,因此應執行額外工作。Android 應用程式中繼資料組合的分類和架構可能與其他應用程式商店使用的方式有極大差異。
Google 如何確保開發人員分享的是正確資訊?我們發現在業界中開發人員也可能提供不實資訊。
與隱私權政策類似,開發人員必須對應用程式中繼資料套件中揭露的資訊負責。
開發人員需要更新應用程式中繼資料套件的頻率為何?
當應用程式的資料相關做法有相關變更時,開發人員應更新應用程式中繼資料套件。
關於填寫「資料安全性」專區的問題
以下各節將回答有關如何填寫應用程式中繼資料套件資料安全性專區的問題。
如果應用程式在各個支援的 Android 版本中運作方式不同,該怎麼辦?
應用程式的中繼資料套件應正確無誤,以便與使用情形、應用程式版本、地區和使用者年齡無關。「資料安全性」專區會說明應用程式在所有地理位置和使用者類型中收集及分享資料的整體情況。
這位開發人員要如何表明他們可能在不同地區採取不同的做法?舉例來說,開發人員在歐洲並未使用特定程式庫,但可能會在其他地區採用。
應用程式中繼資料組合代表每個應用程式的資料相關做法全域表示法。「資料安全性」專區會說明應用程式在所有地理位置和使用者類型收集及分享資料的總和。
「資料安全性」專區是否受到使用者同意聲明機制的保護?開發人員是否需要採取額外的步驟,建立應用程式內醒目揭露事項?
否,使用者應用程式安裝程序中沒有新的揭露事項,且系統也沒有與這項功能相關的新使用者同意聲明。如果 Android 裝置上的 Google Play 應用程式和隨附行動應用程式 (透過 Google Play 服務會收集使用者的個人和機密資料),開發人員必須依政策規定導入應用程式內揭露事項與同意聲明。
如果應用程式含有權限,但實際上並未收集或分享資料,開發人員是否必須宣告資料?
除非確實收集或分享資料,否則開發人員不需要宣告收集或分享資料。在搭載 Google Play 服務的 Android 裝置上,Google Play 應用程式和行動應用程式必須符合所有適用政策。
如果收集到另一種資料類型時,開發人員是否應聲明兩者?舉例來說,如果開發人員收集的聯絡人包含使用者的電子郵件地址,開發人員是否同時宣告「聯絡人」和「電子郵件地址」資料類型?
如果開發人員刻意在收集另一種資料類型時收集特定資料類型,開發人員應揭露這兩項資訊。舉例來說,如果開發人員收集使用者的相片,並利用這些相片來判斷使用者的特徵 (例如族裔或種族),則開發人員也應揭露這類行為的收集行為。
開發人員是否必須提供刪除機制?所有使用者資料都必須要有刪除機制嗎?
開發人員可透過「資料安全性」專區說明,是否提供讓使用者提交資料刪除要求的機制。完成「資料安全性」專區設定時,開發人員應註明是否提供這類機制。
開發人員是否必須提供某種特定類型的機制,讓使用者知道應用程式支援使用者資料刪除要求?
目前沒有規定的機制,但根據最佳做法,要求機制應讓使用者可以找到和存取。常見的例子包括明確指出使用者可以要求刪除資料的路徑,包括但不限於應用程式功能、聯絡表單或專屬電子郵件別名。
開發人員在「資料安全性」專區中,應如何針對已自動刪除或匿名處理的資料提出刪除要求?
如果開發人員提供下列一或多個選項,開發人員可以宣告使用者可以要求刪除資料:
- 用來要求刪除資料的機制。
在收集資料後 90 天內,自動啟動刪除或去識別化資料的程序。
開發人員可以宣告即使開發人員出於遵守法規、防範濫用行為等正當理由,需要保留特定資料,使用者也可以要求刪除資料。
如果開發人員提供的刪除機制不是全球所有使用者都能使用,開發人員仍然會顯示我提供刪除要求機制嗎?
每個應用程式中繼資料套件只有一個全域「資料安全性」專區。當中應涵蓋根據任何使用情形、地區和使用者年齡的資料相關做法。換句話說,如果應用程式的任何版本含有任何資料相關做法,那麼開發人員就必須指示這些做法。因此,「資料安全性」專區會說明應用程式在所有使用者和地理位置收集與分享資料的總和。
哪些技巧可將資料去識別化?
系統有多種可能的方法將資料去識別化,因此無法與個別使用者建立關聯。開發人員應諮詢隱私權和安全性專家,找出其用途所適用的方法。例如,本頁會討論 Google 使用的部分資料去識別化方法,例如差異化隱私。
開發人員應如何處理 IP 位址收集和使用行為?
與其他資料類型一樣,開發人員應根據特定用途和做法,揭露如何收集、使用及分享 IP 位址。舉例來說,如果開發人員會使用 IP 位址來判定位置,則應宣告該資料類型 (位置)。
開發人員應如何揭露收集和分享其他類型的 ID?
與其他資料類型一樣,開發人員應根據開發人員的特定使用方式和做法,揭露收集、使用及分享不同種類的 ID。舉例來說,與可識別使用者相關聯的帳戶名稱集合應宣告為「個人 ID」,且對使用者的 Android 廣告 ID 集合則應宣告為「裝置或其他 ID」。再舉一個例子,如果 ID 與特定應用程式內事件相關,但與個別裝置、瀏覽器或應用程式沒有合理關聯,則不必揭露為「裝置或其他 ID」。
如前文所述,應用程式中繼資料套件的「資料安全性」專區應在相關資料類型底下揭露匿名收集資料的行為。舉例來說,如果開發人員透過裝置 ID 收集診斷資訊,開發人員仍應在「資料安全性」專區中揭露「診斷」資料收集作業。
「服務供應商」可以執行哪些類型的活動?
服務供應商只能代表開發人員處理使用者資料。舉例來說,僅代表開發人員處理應用程式中的使用者資料的分析服務供應商,或是基於開發人員用途,透過應用程式代管使用者資料的雲端服務供應商,通常也能稱為「服務供應商」。另一方面,如果 SDK 供應商根據應用程式資料為多個客戶建構廣告設定檔,那麼就「資料安全性」專區而言,系統不會將其視為「服務供應商」活動,而必須在應用程式中繼資料組合的「資料安全性」專區中揭露為「共用」。
應用程式會使用外部付款服務來提供金融交易。應用程式是否需要在應用程式中繼資料套件中揭露財務資訊 (例如信用卡資訊)?
視與付款服務的整合性質而定。如果應用程式使用 PayPal、Google Pay、Google Play 結帳系統或類似服務完成付款交易,只要符合下列所有條件,開發人員就不必聲明付款服務收集與處理金融交易相關的資料 (例如信用卡號碼):
該應用程式絕不會存取這項資訊。
付款服務會直接向使用者收集這項資訊,而收集作業受該服務的條款規範。
開發人員應仔細審查付款服務的整合情況,確保應用程式中繼資料組合的「資料安全性」專區宣告任何不符合這些條件的相關資料收集和分享行為。此外,開發人員也應考量應用程式是否會收集其他財務資訊 (例如購買記錄),以及應用程式是否透過付款服務接收任何相關資料,例如基於風險與詐欺目的。
應用程式可讓使用者將資料直接上傳至 Google 雲端硬碟或 Dropbox,進行備份或儲存。這個應用程式不會存取任何這類資料。這樣是否仍應揭露為「收集行為」?
視具體導入方式而定。如果使用者選擇將資料直接上傳至自己的外部雲端硬碟或雲端儲存空間帳戶 (例如 Google 雲端硬碟、Dropbox 或類似服務),而且進行上傳時會受外部雲端硬碟或雲端儲存空間供應商的服務條款和隱私權政策規範,且應用程式從未收集或存取相關資料,就不需要宣告這類資料的收集行為。
開發人員應如何加密傳輸中的資料?
開發人員應遵循最佳業界標準,安全地加密傳輸中的應用程式資料。常見的加密通訊協定包括傳輸層安全標準 (TLS) 和超文本傳輸通訊協定 (HTTPS)。
應用程式可讓使用者建立帳戶,或在帳戶中新增生日或性別等資訊。開發人員應如何聲明使用者新增至帳戶的資料?
開發人員應聲明應用程式會收集這項資料,以用於帳戶管理,並說明在適用情況下,使用者也可以視需要決定是否收集這類資料。
此外,與應用程式收集的任何資料類型一樣,開發人員應揭露此資料,以及資料的用途或用途。舉例來說,如果應用程式允許使用者在帳戶中新增生日,並利用這些資料即時傳送推播通知,那麼除了帳戶管理之外,應用程式也應宣告此用途。
帳戶管理則可用來涵蓋非特定應用程式專屬的帳戶資料用途。舉例來說,如果開發人員將帳戶資訊用於詐欺防範、廣告、行銷或開發人員在各項服務之間進行通訊,且此用途不僅適用於應用程式或應用程式中的活動,則宣告「帳戶管理」就足以涵蓋應用程式安全性章節的一般用途。不過,針對應用程式本身使用該資料的情況,應用程式一律必須宣告所有用途。最佳做法包括在帳戶層級的說明文件和帳戶註冊程序中,揭露應用程式如何處理帳戶服務的使用者資料。
什麼是系統服務?
系統服務是指裝置上預先安裝的軟體,支援核心系統功能。系統服務應包含 transparency_info
和 system_app_safety_label
套裝組合 (後者提供,而非 safety_labels
套件)。透過 Google Play 發行的系統服務可申請免除填寫 Google Play 資料安全性表單的資格。
在開發人員伺服器記錄資料並用於其他用途前,開發人員要如何聲明應用程式會暫時用於載入網頁,以及即時為其他用戶端要求提供服務?
如果這是「臨時」用途,開發人員不需要將其加入應用程式中繼資料套件的「資料安全性」專區。不過,如果除了暫時處理之外,開發人員必須聲明使用該使用者資料的任何用途,包括開發人員使用已記錄使用者資料的任何用途。