應用程式中繼資料套件可讓開發人員以公開透明的方式加入相關資訊 (開發人員)、應用程式,以及是否收集、分享與保護使用者資料,以及收集、分享與保護使用者資料的方式。Google Play 商店要求開發人員為其發布的應用程式提供這類資訊,而搭載 Google Play 服務的 Android 裝置製造商也要求開發人員為其預先載入的應用程式提供這類資訊,但系統服務除外。
其他應用程式商店和安裝程式可以選擇要求其發布的應用程式提供應用程式中繼資料組合。應用程式發行方式會決定開發人員建立及整合應用程式中繼資料套件的做法。Android 會向使用者顯示應用程式中繼資料套件中的資料安全性資訊;舉例來說,如果應用程式宣告會與第三方分享位置,則在執行 Android 14 以上版本的裝置上,位置存取權提示會顯示該項資訊。
總覽
應用程式中繼資料套件可讓您分享自己 (開發人員) 和應用程式的相關資訊,包括應用程式收集或分享的使用者資料,以及應用程式的重要隱私權和安全性做法。這項資訊可協助使用者在授予權限時,做出更明智的選擇,例如授予權限。
應用程式中繼資料套件與任何法律透明度和揭露義務是分開的,且不受這些義務的約束。開發人員在營運所在國家/地區時,可能會受到這些義務的約束。
我們鼓勵所有開發人員聲明自己會如何收集及處理應用程式的使用者資料,並詳細說明應用程式目的、開發人員資訊,以及應用程式如何透過加密等安全性措施保護使用者資料。這包括透過應用程式中使用的任何第三方程式庫或 SDK 收集和處理的資料。開發人員可能需要參閱 SDK 供應商發布的資料安全性資訊,瞭解相關詳細資料。開發人員可以前往 Google Play SDK 索引,查看供應商是否提供指南連結。
應用程式中繼資料套件會以不同的方式傳送至裝置,具體取決於應用程式的發布方式:
- 在系統映像檔中預先載入的應用程式:裝置製造商負責將應用程式中繼資料套件加入系統映像檔的資料安全性 XML 檔案。
- 由安裝程式發行的應用程式:安裝程式負責將應用程式中繼資料套件傳送至裝置。如果您開發的應用程式是透過 Google Play 發行,請參閱 Play 管理中心說明文章的操作說明。安裝程式可以參考應用程式中繼資料套件的結構定義。
預先載入應用程式的開發人員可以使用下列任一方法建立資料安全性 XML 檔案:
- 如果您開發的應用程式已在 Play 商店發布,請前往 Play 管理中心的「應用程式內容」頁面,然後依序點選「政策」>「應用程式內容」,使用 Play 管理中心的資料安全性表單。如果您已填妥這份表單,則無須採取任何其他行動。
- 下載並編輯這個頁面提供的 XML 範本檔案,提供給製造商或安裝人員。
備妥資訊
開發人員開始建立應用程式中繼資料套件前,請先完成下列步驟:
確認已新增隱私權政策。
檢查應用程式收集及分享使用者資料的方式,以及應用程式的安全性做法。特別要注意的是,請檢查應用程式聲明的權限,以及應用程式使用的 API。
除了檢查應用程式收集及分享使用者資料的方式外,開發人員也應查看應用程式中的第三方程式碼 (例如第三方程式庫或 SDK) 收集和分享使用者資料的方式。應用程式中繼資料套件必須反映這類第三方程式碼執行的資料收集或分享行為。
開發人員需要在應用程式和開發人員資訊專區中揭露哪些資訊
本節說明開發人員需要在應用程式中繼資料組合的「應用程式」和「開發人員資訊」部分揭露哪些資訊。如果應用程式是透過 Google Play 商店發行,請使用 Play 管理中心輸入這項資訊。
開發人員需要分享的應用程式相關資訊
建立應用程式中繼資料套件時,開發人員需要揭露下列各節所述的應用程式資訊:
應用程式用途
請在使用者可理解的文字 blob 中說明應用程式的用途 (長度上限為 4000 個字元)。
應用程式類別
從下列清單中選取最符合應用程式用途的類別。
預先載入的應用程式包含以下類別:
- OTA - 負責接收及安裝無線更新 (OTA) 的套件
- Android 開放原始碼計畫 - Android 開放原始碼計畫中提供的套件
- 安全性
- 商店
Google Play 也使用下表所列的類別:
| 類別 | 範例 |
|---|---|
藝術與設計 |
素描簿、繪圖工具、藝術與設計工具、著色本 |
汽車與車輛 |
汽車購物、汽車保險、汽車比價、道路安全、汽車評價和車訊 |
美容 |
化妝教學、裝扮工具、美髮造型、美容用品購物、化妝模擬器 |
圖書與參考資源 |
書籍閱讀器、參考書籍、教科書、字典、辭典、維基 |
商家 |
文件編輯器或讀取器、包裹追蹤、遠端桌面、電子郵件管理、工作搜尋 |
漫畫 |
看漫畫程式、漫畫刊物 |
通訊 |
簡訊、即時通訊或即時訊息、撥號程式、通訊錄、瀏覽器、通話管理 |
約會交友 |
配對媒合、求愛、發展關係、認識新朋友、找尋另一半 |
教育 |
考試準備、學習輔導、單字、教育遊戲、語言學習 |
娛樂 |
串流影片、電影、電視、互動式娛樂 |
活動 |
演唱會門票、體育賽事門票、票券轉售、電影票 |
財經 |
銀行業務、付款、ATM 搜尋工具、財經新聞、保險、稅務、投資組合管理和交易、小費計算機 |
飲食 |
食譜、餐館、美食指南、品酒與美酒探索、調酒配方 |
健康與健身 |
個人塑身、健身記錄、飲食及營養秘訣、健康與安全 |
居家生活 |
住家與公寓搜尋、居家修繕、室內裝潢、貸款、房地產 |
程式庫與試用程式 |
軟體程式庫、技術示範 |
生活品味 |
時尚指南、婚禮與派對規劃、操作指南 |
地圖和導航 |
導航工具、GPS、地圖、運輸工具、大眾運輸 |
醫療 |
醫藥與臨床參考資源、計算機、醫療照護提供者手冊、醫療期刊與新聞 |
音樂與音訊 |
音樂服務、廣播、音樂播放程式 |
新聞與雜誌 |
報紙、新聞彙整工具、雜誌、網誌 |
子女教養 |
懷孕、嬰兒照顧與監控、兒童照顧 |
個人化 |
桌布、動態桌布、主畫面、螢幕鎖定、鈴聲 |
攝影 |
相機、相片編輯工具、相片管理與分享 |
效率提升 |
記事本、待辦事項清單、鍵盤、列印、日曆、備份、計算機、轉換 |
購物 |
線上購物、拍賣、優待券、比價、購物清單、產品評論 |
社交 |
社交網路、簽到/打卡 |
運動 |
運動新聞與評論、比數追蹤、夢幻運動團隊管理、賽事報導 |
工具 |
Android 裝置專用工具 |
旅遊與地方資訊 |
行程預定工具、共乘、計程車、城市導覽、當地商家資訊、行程管理工具、旅程預約 |
影片播放器和編輯器 |
影片播放器、影片編輯器、媒體儲存空間 |
天氣 |
天氣預報 |
應用程式廣告與行銷
指出應用程式是否含有廣告或行銷內容,包括應用程式內促銷活動。
隱私權政策
加入隱私權政策連結,詳細說明開發人員如何處理使用者資料。如果應用程式不含此連結,系統會假設應用程式不會處理使用者資料。
開發人員需要分享的個人資訊
建立應用程式中繼資料套件時,開發人員必須揭露以下各節所述的開發人員資訊:
開發人員名稱
應用程式的開發人員、個人或公司的名稱。可以有多個開發人員名稱。
應用程式儲存庫
如果應用程式已在任何應用程式註冊資料庫中 (包括商店和其他安裝程式) 上架,請在這個欄位中註明。允許多個商店的多個項目。
- 如果是 Android 安裝程式應用程式註冊項目:這個值應為商店的 Android 套件名稱。例如,針對 Google Play 商店使用
com.android.vending。 - 其他應用程式登錄檔:這個值應為登錄檔的網址。
請在下列情況下省略這個欄位:
- 開發人員是 Google Play SDK 索引中列出的 SDK。
- 開發人員尚未在任何應用程式商店或註冊資料庫註冊。
應用程式註冊 ID
如果應用程式在任何應用程式註冊項目中列出 (包括安裝程式和商店),這個值應為開發人員的商店、安裝程式或註冊身分。允許多個商店的多個項目。
- 已向 Google Play 註冊的開發人員:這個值必須是開發人員頁面的網址 (例如,
https://play.google.com/store/apps/dev?id=5700313618786177705是開發人員 Google LLC 的網址)。 - 如果開發人員是 Google Play SDK 索引中列出的 SDK 開發人員:請使用 SDK 的網址 (例如,
https://play.google.com/sdks/details/com-google-android-gms-play-services-ads是 Google Mobile Ads (GMA) SDK 的網址)。 - 如果開發人員在其他商店或註冊資料庫中註冊:您可以提供應用程式商店網址或其他 ID。
如果開發人員未在任何應用程式商店註冊,可以省略這個屬性。
開發人員聯絡資訊
提供下列資訊:
- 電子郵件
- 網站
- 國家/地區
- 實際郵寄地址
開發人員必須在「資料安全性」專區揭露的資訊
本節將說明開發人員必須在應用程式中繼資料套件的資料安全性專區揭露哪些資訊,並列出開發人員可選取的使用者資料類型和用途。如果應用程式是透過 Google Play 商店發行,請使用 Play 管理中心輸入這項資訊。
開發人員需要宣告的資料類型
建立應用程式中繼資料套件時,開發人員需要揭露收集和分享的資料類型,如以下各節所述:
資料收集
在這種情況下,「收集」是指將應用程式資料傳輸到使用者的裝置外部。請注意下列規範:
程式庫和 SDK:包括應用程式使用的程式庫或 SDK 從裝置外部傳輸的使用者資料,不論資料是傳輸給應用程式的開發人員或第三方伺服器皆然。
WebView:包括透過應用程式開啟的 WebView 收集使用者資料的行為,前提是應用程式可以控制透過該 WebView 傳遞的程式碼和行為。
開發人員不需要在使用者透過 WebView 瀏覽開放網路時聲明資料收集行為。
暫時處理:如果使用者資料會暫時處理到裝置外部,且符合下列標準,就無須納入應用程式中繼資料套件:
「暫時」處理資料是指存取和使用只儲存在記憶體中的資料,且這類資料的保留時間不超過即時處理特定要求所需的時間。
舉例來說,天氣應用程式會將使用者位置傳輸到裝置外部,以擷取使用者所在位置的目前天氣,但只會在記憶體中使用位置資料,且執行完要求後就不會儲存該資料,這種暫時使用位置資料的情況即可視為暫時處理。不過,如果使用資料建立廣告設定檔或其他使用者設定檔,就不能視為暫時處理,您必須宣告為基於相關用途收集或分享行為。
匿名資料:您必須揭露以匿名方式收集的使用者資料。舉例來說,如果匿名資料根據合理判斷能與使用者重新建立關聯,您就必須揭露該資料。
不在資料收集揭露事項範圍內
以下用途不必揭露為收集行為:
在裝置上存取或處理資料:如果應用程式只會在使用者裝置上處理所存取的使用者資料,而不會將資料傳輸到裝置外部,則不必揭露這類行為。
端對端加密:如果使用者資料會透過端對端加密傳輸到裝置外部,但只有傳送者和接收者能夠讀取,則不必揭露這類行為。
任何中介實體 (包括開發人員) 皆無法讀取已加密的資料,且只有傳送者和收件者才能擁有必要的金鑰。
資料分享
在此情況下,「分享」是指將應用程式收集的使用者資料轉移給第三方。這包括透過下列方式轉移的使用者資料:
轉移至裝置外部,例如伺服器間轉移:舉例來說,如果開發人員將從應用程式收集到的使用者資料從開發人員的伺服器轉移至第三方伺服器。
轉移至裝置上的其他應用程式:直接在裝置上將使用者資料從一個應用程式轉移至另一個應用程式。在這種情況下,即使應用程式不會將資料傳輸到使用者的裝置外部,開發人員仍須在「資料安全性」專區揭露資料分享行為。
從應用程式程式庫和 SDK:使用應用程式中包含的程式庫或 SDK,將應用程式收集到的資料直接從使用者的裝置傳輸至第三方。
透過應用程式開啟的 WebView 轉移:使用從應用程式開啟的 WebView 將使用者資料轉移給第三方,前提是應用程式可以控制透過該 WebView 傳遞的程式碼和行為。
開發人員不需要在使用者透過 WebView 瀏覽開放網路時聲明資料分享行為。
下列類型的資料轉移不需要揭露為分享:
服務供應商:將使用者資料轉移給服務供應商,由他們代表開發人員進行處理。「服務供應商」係指代表開發人員處理使用者資料的實體,會按照開發人員的指示處理資料。
法律目的:基於特定法律目的轉移使用者資料,例如遵循法律義務或政府要求。
使用者執行的操作或醒目揭露事項和使用者同意聲明:根據使用者執行的特定操作,將使用者資料轉移給第三方 (使用者合理預期資料會與第三方分享,或根據應用程式內醒目揭露事項與同意聲明),將使用者資料轉移給第三方。
匿名資料。轉移完全經過匿名處理的使用者資料,因此該資料不再與個別使用者相關聯。
第一方和第三方:「第一方」是指開發人員,也就是負責處理應用程式所收集資料的主要機構。如果是透過商店發行的應用程式,這通常是在商店中發布應用程式的機構。
第一方有義務向使用者提供清楚說明,讓使用者瞭解應用程式收集的資料主要是由哪個機構負責處理。
「第三方」則是指第一方或其服務供應商以外的任何機構。
資料處理
開發人員也可以揭露應用程式收集的各個資料類型是選用或必要。「選用」代表使用者能決定是否讓應用程式收集資料。舉例來說,開發人員可以宣告某項資料類型為選用,這表示使用者能控管要讓應用程式收集哪些資料,且就算不提供資料也能使用應用程式;而這也可能表示使用者能手動選擇是否提供該資料類型。如果應用程式的主要功能需要特定的資料類型,開發人員應宣告該資料為必要。
開發人員可以聲明,所有使用者不受裝置或所在國家/地區限制,都能選擇是否提供資訊或允許資料收集行為時,應用程式才能選擇收集特定資料。
以下為選擇性資料收集行為的示例:
某個社群媒體應用程式基於行銷傳播目的,要求使用者提供生日資訊,但該資訊為選用,因此未提供該資訊的使用者仍然可以進行註冊。
系統只在使用者登入的情況下收集使用者資料,使用者不必登入也可以與應用程式互動。
其他應用程式和資料揭露事項
您也可以利用「資料安全性」專區向使用者說明應用程式的隱私權和安全性措施。舉例來說,開發人員可以醒目顯示下列資訊:
在傳輸過程加密:應用程式收集或分享的資料是否會在傳輸過程中加密,進而保護使用者資料從使用者裝置傳送到伺服器的流程。
有些應用程式的設計可讓使用者將資料轉移到其他網站或服務。舉例來說,訊息應用程式可能會讓使用者選擇是否要透過行動服務供應商傳送簡訊,並採用不同的加密做法。只要這類應用程式會依照業界最佳標準加密資料,確保在使用者裝置和應用程式伺服器之間傳輸的資料安全無虞,就可以在「資料安全性」專區中聲明資料會透過安全連線轉移。
刪除要求機制:使用者能否要求刪除資料。
獨立安全性審查 (適用於所有應用程式)
開發人員可以選擇在資料安全性專區中聲明應用程式已通過獨立全球安全標準驗證。這是開發人員同意執行的選用審查項目,費用也由開發人員支付。舉例來說,開發人員可透過行動應用程式安全性評估 (MASA) 直接與研究室合作,將應用程式送交開放全球應用程式安全計畫 (OWASP) 的行動應用程式安全性驗證標準 (MASVS) 評估。負責審查的第三方機構會代表開發人員執行相關審查。
資料類型和用途
開發人員必須針對一系列使用者資料類型,提供收集、共用和其他做法的收集、分享及其他做法,以及開發人員使用該資料的目的,如下表所示:
| 類別 | 資料類型 | 說明 |
|---|---|---|
位置 |
大概位置 |
使用者或裝置實際位置,範圍大於或等於 3 平方公里,例如使用者所在的城市,或 Android 的 |
精確位置 |
使用者或裝置實際位置,範圍小於 3 平方公里,例如由 Android |
|
個人資訊 |
名稱 |
使用者稱呼自己的方式,例如名字、姓氏或暱稱。 |
電子郵件地址 |
使用者的電子郵件地址。 |
|
使用者 ID |
與可識別對象相關的 ID,例如帳戶 ID、帳號或帳戶名稱。 |
|
地址 |
使用者的地址,例如郵寄地址或住家地址。 |
|
電話號碼 |
使用者的電話號碼。 |
|
種族和族群 |
使用者的種族或族裔相關資訊。 |
|
政治或宗教信仰 |
使用者的政治或宗教信仰相關資訊。 |
|
性傾向 |
使用者的性傾向相關資訊。 |
|
其他資訊 |
任何其他個人資訊,例如出生日期、性別認同或退除役身分。 |
|
財務資訊 |
使用者付款資訊 |
使用者的財務帳戶相關資訊,例如信用卡號碼。 |
購買記錄 |
使用者的消費或交易相關資訊。 |
|
信用評分 |
使用者的信用評分相關資訊。 |
|
其他財務資訊 |
任何其他財務資訊,例如使用者的薪資或債務。 |
|
健康與健身 |
健康資訊 |
使用者的健康相關資訊,例如病歷或症狀。 |
健身資訊 |
使用者的健身相關資訊,例如運動或其他體能活動。 |
|
訊息 |
電子郵件 |
使用者的電子郵件,包括電子郵件主旨行、寄件者、收件者和電子郵件內容。 |
簡訊或多媒體訊息 |
使用者的簡訊,包括寄件者、收件者和訊息內容。 |
|
其他應用程式內通訊訊息 |
任何其他類型的訊息,例如即時通訊或聊天內容。 |
|
相片和影片 |
相片 |
使用者的相片。 |
影片 |
使用者的影片。 |
|
音訊檔案 |
錄音內容 |
使用者的聲音,例如語音留言或錄音內容。 |
音樂檔案 |
使用者的音樂檔案。 |
|
其他音訊檔案 |
使用者建立或提供的任何其他音訊檔案。 |
|
檔案和文件 |
檔案和文件 |
使用者的檔案或文件,或是檔案或文件的相關資訊,例如檔案名稱。 |
日曆 |
日曆活動 |
使用者日曆中的資訊,例如活動、活動附註和參與者。 |
聯絡人 |
聯絡人 |
使用者的聯絡資訊,例如聯絡人姓名、訊息記錄,以及使用者名稱、近期聯絡資料、聯絡頻率、互動時間長度和通話記錄等社交關係圖資訊。 |
應用程式活動 |
應用程式互動 |
使用者如何與應用程式互動的相關資訊,例如頁面造訪次數,或者使用者輕觸的部分。 |
應用程式內搜尋記錄 |
使用者在應用程式中所搜尋內容的相關資訊。 |
|
已安裝的應用程式 |
使用者裝置上所安裝應用程式的相關資訊。 |
|
其他的使用者自製內容 |
此處或任何其他部分未列出的所有其他使用者自製內容,例如使用者的簡介、記事或開放式的回覆內容。 |
|
其他動作 |
此處未列出的任何其他應用程式內使用者活動或動作,例如遊戲過程資訊、表示喜歡某些內容的操作或對話方塊選項。 |
|
網路瀏覽 |
網路瀏覽記錄 |
使用者所造訪網站的相關資訊。 |
應用程式資訊與效能 |
當機記錄 |
應用程式的當機記錄資料。例如應用程式當機次數、堆疊追蹤或其他直接與當機問題相關的資訊。 |
診斷 |
應用程式效能相關資訊,例如電池續航力、載入時間、延遲時間、影格速率或技術診斷資料。 |
|
其他的應用程式效能資料 |
此處未列出的任何其他應用程式效能資料。 |
|
裝置 ID 或其他 ID |
裝置 ID 或其他 ID |
與個別裝置、瀏覽器或應用程式相關的 ID,例如 IMEI 號碼、MAC 位址、Widevine 裝置 ID、Firebase 安裝 ID 或廣告 ID |
目的
| 資料目的 | 說明 | 範例 |
|---|---|---|
應用程式功能 |
用於應用程式提供的功能 |
例如啟用應用程式功能或驗證使用者。 |
分析 |
用於收集資料,瞭解使用者如何使用應用程式以及應用程式的成效 |
例如查看有多少使用者在使用特定功能、監控應用程式健康狀況、診斷及修復錯誤或當機情形,或者改善之後的效能。 |
開發人員通知 |
用於傳送有關應用程式或開發人員的最新消息或通知。 |
例如傳送推播通知,告知使用者重要的安全性更新資訊或應用程式新功能。 |
廣告或行銷 |
用於顯示或指定廣告/行銷通信內容,或衡量廣告成效。 |
例如在應用程式中顯示廣告、傳送推播通知來宣傳其他產品或服務,或與廣告合作夥伴分享資料。 |
詐欺防範、安全性和法規遵循 |
用於防範詐欺、確保安全性或遵循法律。 |
例如監控嘗試登入失敗次數,藉此識別可能的詐欺活動。 |
個人化 |
用於自訂應用程式,像是顯示推薦內容或建議。 |
例如根據使用者的收聽習慣建議播放清單,或依照使用者的所在位置提供當地新聞。 |
帳戶管理 |
用於讓開發人員設定或管理使用者帳戶。 |
例如允許使用者建立帳戶、在開發人員提供的帳戶中新增資訊,以便在各項服務中使用該帳戶、登入應用程式或驗證自己的憑證。 |
手動建立資料安全性 XML 檔案
以下資料安全性 XML 檔案範例,示範了預先載入的應用程式的檔案結構,此應用程式會分享與使用者的位置相關的資料。根據您需要為應用程式揭露的資訊類型,新增、編輯或移除元素,即可編輯這個結構。
請注意,範例檔案不一定完整。如要進一步瞭解應用程式、開發人員和資料安全性區段的必要 XML 結構,且應用程式可能需要納入這些部分,請參閱應用程式中繼資料組合的結構定義。
<?xml version='1.0' encoding='UTF-8' standalone='yes' ?>
<bundle>
<long name="version" value="2" />
<pbundle_as_map name="safety_labels">
<long name="version" value="1" />
<pbundle_as_map name="data_labels">
<pbundle_as_map name="data_shared">
<pbundle_as_map name="location">
<pbundle_as_map name="approx_location">
<int-array name="purposes" num="4">
<item value="1" />
<item value="2" />
<item value="5" />
<item value="6" />
</int-array>
</pbundle_as_map>
<pbundle_as_map name="precise_location">
<int-array name="purposes" num="2">
<item value="1" />
<item value="6" />
</int-array>
</pbundle_as_map>
</pbundle_as_map>
</pbundle_as_map>
</pbundle_as_map>
</pbundle_as_map>
</bundle>
常見問題
請參閱以下各節,瞭解開發人員常見問題的解答。
一般問題
以下各節將為您解答有關應用程式中繼資料套件的一般問題。
一位開發人員為 iOS 提交了類似資訊。開發人員可重複使用 Android 應用程式中繼資料套件中的多少工作內容?
很高興得知開發人員對應用程式的資料相關做法已有所掌握。為了正確完成應用程式中繼資料套件,開發人員可能需要先前未曾使用的額外資訊,因此他們必須做好額外工作的準備。Android 應用程式中繼資料套件的分類和架構可能與其他應用程式商店有實質差異。
Google 如何確保開發人員分享的是正確資訊?我們發現在業界中開發人員也可能提供不實資訊。
與隱私權政策類似,開發人員同樣必須為應用程式中繼資料套件中揭露的資訊負責。
開發人員需要多久更新一次應用程式中繼資料套件?
當應用程式的資料相關做法發生相關變動時,開發人員應更新應用程式中繼資料組合。
關於填寫資料安全性專區的問題
以下各節將說明如何填寫應用程式中繼資料包的資料安全性專區。
如果應用程式在各個支援的 Android 版本中運作方式不同,該怎麼辦?
應用程式應用程式中繼資料套件應保持準確,不受使用情形、應用程式版本、地區和使用者年齡影響。「資料安全性」專區會說明應用程式 (包含現已發行至 Google Play 的所有版本) 收集及分享資料的整體情況。
開發人員如何證明他們在不同地區的做法可能有所不同?舉例來說,開發人員在歐洲並未使用特定程式庫,但有可能在其他地區採用。
應用程式中繼資料組合會以通用的方式呈現每個應用程式的資料相關做法。「資料安全性」專區會說明應用程式在所有地理位置和使用者類型收集與分享資料的整體情況。
使用者是否需要先提交同意聲明,才能查看「資料安全性」專區。開發人員是否需要採取額外的步驟,建立應用程式內醒目揭露事項?
否,使用者應用程式安裝程序中沒有新的揭露事項,也不必針對這項功能取得新的使用者同意聲明。如果開發人員會收集使用者的個人和機密資料,就必須根據政策規定,提供應用程式內揭露事項並採用同意聲明機制。
如果應用程式內含權限,但實際上不會收集或分享資料,開發人員是否需要聲明資料?
除非應用程式確實收集或分享資料,否則開發人員無須宣告收集或分享行為。在搭載 Google Play 服務的 Android 裝置上,Google Play 應用程式和行動套件應用程式必須遵守所有適用政策。
如果開發人員在收集某類資料時又收集了其他資料,是否須提出兩次聲明?舉例來說,如果開發人員收集的聯絡人包含使用者的電子郵件地址,開發人員是否必須聲明「聯絡人」和「電子郵件地址」這兩種資料類型?
如果開發人員在收集某類資料時,刻意又收集了其他類型的資料,就應該同時揭露這兩項收集行為。舉例來說,如果開發人員收集使用者的相片,並用於判斷使用者的族裔或種族等使用者特徵,則開發人員也應揭露收集種族和種族行為的資料。
開發人員是否需要提供刪除機制?所有使用者資料都必須要有刪除機制嗎?
開發人員可透過「資料安全性」專區說明開發人員是否提供接收使用者資料刪除要求的機制。在完成「資料安全性」專區的過程中,開發人員應表明是否提供這類機制。
開發人員是否必須提供某種特定類型的機制,讓使用者知道可以在應用程式中要求刪除資料?
我們對於這類機制沒有任何規定,但最佳做法是提供使用者能輕易找到並使用的要求機制。開發人員可以利用幾種常見機制為使用者指明要求刪除資料的途徑,包括但不限於在應用程式中推出相關功能,或是提供聯絡表單或專門的電子郵件別名。
開發人員如何在資料安全性專區中註明,他們提供要求刪除機制,可用於刪除或匿名處理資料?
如果開發人員提供下列一或多個選項,即可聲明使用者可以要求刪除自己的資料:
- 要求刪除資料的機制。
自動程序,在收集資料後的 90 天內啟動刪除作業或將收集到的資料去識別化。
即使開發人員基於遵守法規、防範濫用行為等正當理由,需要保留特定資料,仍可宣告使用者可以要求刪除自己的資料。
如果開發人員提供的刪除機制不是全球所有使用者都能使用,開發人員是否仍可註明已提供刪除要求機制?
每個應用程式中繼資料套件只能提供一個通用的「資料安全性」專區。這應涵蓋應用程式在各種用途、區域、使用者年齡層方面的資料相關做法。換句話說,如果應用程式的任何版本 (不論在何處發行) 有任何資料相關做法,開發人員就必須註明這些做法。因此,「資料安全性」專區會說明應用程式收集及分享所有使用者和地理位置的應用程式資料總和。
哪些方法可以將資料去識別化?
有多種方法可將資料去識別化,去除資料與個別使用者的關聯性。開發人員應洽詢隱私權和安全性專家,瞭解自己的情況適用哪些方法。舉例來說,這個網頁說明瞭 Google 採用的一些資料去識別化方式,例如差異化隱私。
開發人員應如何收集及使用 IP 位址資料?
與其他資料類型一樣,開發人員應根據特定用途和做法,揭露 IP 位址資料的收集、使用和分享方式。舉例來說,如果開發人員會使用 IP 位址來判定使用者位置,則應就這個資料類型 (位置) 提出聲明。
如果想收集與使用其他類型的 ID 資料,開發人員應如何揭露這項資訊?
與其他資料類型一樣,開發人員應根據自身的使用情形和做法,揭露收集、使用和分享不同類型的 ID 資料的方式。舉例來說,與可識別使用者相關聯的帳戶名稱集合應宣告為「個人 ID」,而使用者的 Android 廣告 ID 集合應宣告為「裝置或其他 ID」。再舉一例,與特定應用程式內事件相關的 ID,但與個別裝置、瀏覽器或應用程式無關,則不必揭露為「裝置或其他 ID」。
如先前所述,您必須在應用程式中繼資料類型下,揭露應用程式中繼資料包的資料安全性專區。舉例來說,如果開發人員透過裝置 ID 收集診斷資訊,則仍應在資料安全性專區中揭露「診斷資訊」的收集作業。
「服務供應商」可以進行哪些類型的活動?
服務供應商只能代表開發人員處理使用者資料。例如,分析供應商僅代表開發人員或基於開發人員用途,由應用程式代管使用者資料的分析供應商,通常可視為「服務供應商」。另一方面,如果 SDK 供應商根據應用程式資料為多位客戶建立廣告資料,這在資料安全性專區中不會視為「服務供應商」活動,而需要在應用程式中繼資料組合的資料安全性專區中揭露為「分享」。
應用程式會使用外部付款服務來提供金融交易。應用程式是否需要在應用程式中繼資料中揭露財務資訊 (例如信用卡資訊)?
視整合付款服務的性質而定。如果應用程式使用 PayPal、Google Pay、Google Play 結帳系統或類似服務來完成付款交易,開發人員無須宣告付款服務收集的資料,這些資料與付款服務處理金融交易 (例如信用卡號碼) 有關,前提是符合下列所有條件:
應用程式絕不會存取這項資訊。
付款服務會直接向使用者收集這類資訊,且收集事宜遵循該服務的條款規範。
開發人員應仔細檢查納入的付款服務,確保在應用程式中繼資料組合的「資料安全性」專區聲明所有不符合上述條件的相關資料收集與分享行為。此外,開發人員也應考量應用程式是否會收集其他財務資訊 (例如購買記錄),以及是否會藉由付款服務接收任何相關資料,例如出於防範風險與詐欺的目的接收相關資料的行為。
使用者可透過應用程式將資料直接上傳至 Google 雲端硬碟或 Dropbox,以進行備份或儲存;應用程式不會存取任何這類資料。這樣是否仍應揭露為「收集行為」?
視具體導入方式而定。如果使用者選擇將資料直接上傳至自己的外接硬碟或雲端儲存空間帳戶 (例如 Google 雲端硬碟、Dropbox 或類似服務),且這項上傳作業受外接硬碟或雲端儲存空間供應商的服務條款和隱私權政策規範,且應用程式從未收集或存取相關資料,則應用程式不需要宣告收集這類資料。
開發人員該如何加密傳輸中的資料?
開發人員應遵循業界最佳標準,安全地加密傳輸中的應用程式資料。常見的加密通訊協定包括傳輸層安全標準 (TLS) 和超文本傳輸通訊協定安全 (HTTPS)。
應用程式可讓使用者建立帳戶,或在帳戶中新增生日或性別等資訊。開發人員應如何聲明使用者新增至帳戶的資料?
開發人員應聲明應用程式會基於帳戶管理目的收集這些資料,並指明 (如適用) 使用者可以選擇是否同意應用程式收集資料。
此外,就像應用程式收集的任何資料類型一樣,開發人員也應揭露收集的資料性質,以及應用程式使用該資料的目的。舉例來說,如果應用程式允許使用者在帳戶中新增生日資訊,同時會使用這些資料傳送即時推播通知,那麼除了帳戶管理目的之外,也必須聲明這項用途。
帳戶管理可用於涵蓋帳戶資料的一般用途,但不限於特定應用程式。舉例來說,如果開發人員使用帳戶資訊來防範詐欺、放送廣告、進行行銷或與其他服務的開發人員進行通訊,且這項用途不限於特定應用程式或應用程式中的活動,只要將「帳戶管理」宣告為收集這類帳戶資料的目的,就足以涵蓋應用程式中資料安全性部分的一般用途。不過,對於應用程式本身使用該資料的情況,則一律必須聲明所有用途。Google 建議的最佳做法是,在帳戶層級的說明文件和帳戶註冊程序中,揭露應用程式如何處理帳戶服務的使用者資料。
什麼是系統服務?
系統服務指的是裝置上預先安裝的軟體,支援核心系統功能。系統服務應包含 transparency_info 和 system_app_safety_label 套件 (後者提供,而非 safety_labels 套件)。透過 Google Play 發行的系統服務,可以申請填寫 Google Play 資料安全性表單的豁免資格。
如果開發人員會先短暫使用收集的資料,載入頁面與即時處理其他用戶端要求,然後才將資料記錄到開發人員的伺服器上並用於其他用途,該如何聲明這類資料收集行為?
如果這項用途是暫時性,開發人員就不需要在應用程式中繼資料組合的資料安全性專區中納入這項用途。不過,開發人員必須宣告使用者資料在暫時處理範圍之外的使用方式,包括開發人員使用記錄使用者資料的任何目的。