作为使用 Data Portability API 的开发者,您经常收集和管理高度敏感的用户数据。请牢记以下关键数据处理原则:
- 保护隐私:请勿将用户数据用于禁止的用途。
- 公开透明:向用户准确说明并解释您收集哪些数据、收集数据的原因以及使用数据的方式。
- 尊重用户:妥善管理用户数据。请尽可能允许用户将其数据从产品中导出,并遵从用户删除其数据的请求。
- 安全无虞:以安全的方式处理所有用户数据,并证明您遵循特定安全做法。
- 具体说明:请勿请求访问您不需要的数据。所有数据访问权限都应仅用于提供对用户有益的应用或服务功能。
当您(开发者)请求访问用户数据时,所有 Google API 服务的使用均受 Google API 服务条款、Google API 服务用户数据政策和 OAuth 2.0 政策的约束。此 Data Portability API 用户数据和开发者政策包含有关您使用和访问 Data Portability API 的其他信息。如果本《数据可移植性 API 用户数据和开发者政策》与 Google API 服务的任何其他条款(包括“适当的数据访问和用户数据使用”和“有限使用”条款存在差异)之间存在冲突,则本《数据可移植性 API 用户数据和开发者政策》优先。
借助数据可移植性 API,欧洲经济区 (EEA) 境内的最终用户可以更轻松地将数据从 Google 中移出,从而更好地控制其数据。与 Google 导出一起,Data Portability API 可确保用户能够轻松访问和控制其数据,并对其进行精细管理。详细了解 Google 的隐私权政策以及可让用户掌控一切的隐私控制设置。
请定期查看此页面。这些政策会不时更新。开发者有责任定期监控并确保遵守这些政策。如果您在任何时候都无法满足政策要求,或者存在无法满足政策要求的重大风险,请立即停止使用我们的服务,并与我们联系。如果您违反此政策,Google 保留移除或限制您访问 Google 用户数据的权利。
以适当的方式访问和使用用户数据
必须以清晰、易懂的方式请求导出用户数据。使用 Data Portability API 时必须遵守适用的政策、条款及条件,并且仅限于本政策中规定的对用户有益的使用情形。这意味着,只有当应用或服务符合某一种已获批准的使用情形时,开发者才能请求使用相关权限。
可使用权限的已获批使用情形如下:
- 应用或服务的一项或多项功能的主要目的是为用户提供便利,让用户能够将用户数据从一项 Google 服务移至另一项平台或服务,
请求最少的相关权限
开发者只能请求获得对实现应用或服务的功能至关重要的权限。这意味着:
请勿请求访问您不需要的信息。如果产品无需使用特定权限,您就不得请求使用这些权限。请勿为了“保障”自己日后能额外存取用户数据,而试图请求存取尚未推出的服务或功能可能会用到的信息。
尽可能在用户实际使用过程中请求权限。请尽量使用增量授权,仅在用户执行相关操作时请求访问用户数据。这样,用户就能了解您需要相应数据的原因。
透明且准确的通知和控制措施
Data Portability API 会处理个人信息和敏感信息。所有应用和服务必须包含隐私权政策,其中必须详尽地披露应用或网络服务如何收集、使用和分享用户数据。这包括:会与哪些类型的对象分享任何用户数据、您会如何使用数据、您会如何存储和保护数据,以及当账号停用或删除后会如何处理数据。
应用和服务还必须使用增量授权来请求访问上下文中的用户数据,以便用户更好地了解提供哪些数据、您需要这些数据的原因以及这些数据的使用方式。除了适用法律的要求之外,您还必须遵守以下反映我们 OAuth 2.0 政策和 Google API 服务用户数据政策的要求:
- 开发者必须提供数据导出、访问、收集、使用和分享的披露声明。披露声明:
- 必须准确表明要访问用户数据的应用或服务的身份;
- 如果是基于应用的,则必须在应用内;如果是基于网络的,则必须在单独的对话框窗口中;
- 如果是应用,则必须在用户正常使用应用的情况下显示;如果是网站,则必须在用户正常使用网站的情况下显示,并且无需用户打开任何菜单或设置就能查看;
- 必须提供清晰准确的信息,说明要访问、请求、导出或收集的数据类型;
- 必须说明数据的使用和分享方式;如果您出于某种原因请求导出数据,但也会将数据用于另一目的,则必须向用户告知这两种使用情形;
- 不得仅列在隐私权政策或服务条款中;并且
- 不得包含在其他与个人数据和敏感数据收集无关的披露声明中。
- 开发者的披露声明必须与征求用户同意的请求一同显示,且必须紧接着显示征求用户同意的请求。您不得在征得用户明确同意之前开始收集。征求用户同意时,必须满足以下要求:
- 征求同意的对话框必须以清楚明确的方式呈现;
- 必须要求用户执行明确的确认操作(例如选择接受、勾选复选框或发出语音指令)来表示同意;
- 不得将用户离开披露声明页面的操作视为同意;这包括点击其他位置离开或者按返回或主屏幕按钮;并且
- 不得使用会自动关闭或设有期限的消息。
- 您必须向用户提供帮助文档,让用户了解如何在应用中管理和删除其数据。
限制使用用户数据
当您出于适当用途访问 Data Portability API 时,开发者对所获取数据的使用必须符合以下要求。这些要求适用于敏感范围和受限范围、从数据可移植性 API 获取的原始数据,以及通过原始数据得到的汇总数据、匿名化数据、去标识化数据或衍生数据。
- 只能将数据用于实现适当的使用情形,或者提供或改进在发出请求的应用的界面中以醒目方式显示的功能。
- 除以下情况外,不允许转移数据:
- 为了实现适当的使用情形,或者提供或改进在发出请求的应用的界面中清晰可见的面向用户的功能(仅在征得用户同意的前提下);
- 出于安全考虑(例如调查滥用行为);
- 相应行为遵守适用的法律或法规;或者
- 在事先征得用户明确同意的前提下,将用户数据作为开发者资产的一部分进行合并、收购或出售。
- 除以下情形外,禁止真人读取用户数据:
- 您已就读取特定数据的行为征得用户的明确同意并记录在案;例如,在用户丢失密码后帮助其重新获得对产品或服务的访问权限;
- 数据(包括派生数据)已按照适用的隐私权法律要求和所在管辖区内的其他法律要求进行汇总,并且用于内部运营;
- 出于安全考虑(例如调查滥用行为),有必要传输相关数据;或者
- 必须遵守适用的法律或法规。
必须在应用中或服务或应用所属的网站上披露肯定性声明或其他类似声明,表明应用或服务对数据的使用符合“受限使用”限制。例如,在首页上提供指向专用页面或隐私权政策的链接,其中说明:
“使用从 Data Portability API 收到的信息时,必须遵守 Data Portability API 用户数据和开发者政策,包括受限使用要求。”
您可以使用与“使用范围受限”部分中的数据分享限制相符的类似表述。
维护安全的操作环境
您必须以安全无虞的方式处理所有用户数据。采取合理且适当的措施来保护使用数据可移植性 API 的所有应用或系统,以免遭到未经授权或非法的访问、使用、损坏、损失、篡改或披露。
访问受限范围的应用必须遵循特定的安全做法。建议的安全做法包括,实施并维护信息安全管理系统(如 ISO/IEC 27001 中所述),并确保应用或 Web 服务稳定可靠,且不存在 OWASP 十大风险中所列的常见安全问题。
必需的安全措施包括:
- 使用业界认可的加密标准加密以下用户数据:
- 存储在便携式设备或便携式电子媒体中;
- 在 Google 或开发者的系统之外进行维护;
- 通过任何不完全由您管理的外部网络传输;以及
- 在开发者的系统上处于休眠状态。
- 使用 HTTPS 等安全的新型协议传输数据。
- 将用户数据和凭据(尤其是 OAuth 访问令牌和刷新令牌等令牌)保持在休眠状态下的加密状态。
- 确保密钥和密钥材料得到妥善管理,例如存储在硬件安全模块或等效强度的密钥管理系统中。
受限范围的必需安全措施包括遵循 Cloud 应用安全性评估 (CASA)。此外,您可能还需要允许该应用或服务接受定期安全评估,并从 Google 指定的第三方处获取评估信函。
您同意,如果发现任何已知或疑似的未经授权访问 Google 数据存储系统、网络、账号或其他位置的行为,应立即发送电子邮件至 security@google.com 通知 Google。这称为安全突发事件。您同意与 Google 全面合作,以纠正任何已知或疑似的安全事件,并在发生任何此类事件时,先发送电子邮件至 security@google.com 通知 Google,然后再就任何已知或疑似的安全事件发表任何公开声明。
OAuth 2.0 范围
如需查看所有 Data Portability API 权限范围和资源组的列表,请参阅数据可移植性权限范围。
如需详细了解其他受限范围,请参阅受限范围列表。