Workspace API 用户数据和开发者政策

作为使用 Google Workspace API 的开发者,您经常会收集和管理敏感的用户数据。请牢记以下关键原则:

  • 保护隐私:请勿将 Workspace 用户数据用于禁止的用途。我们禁止第三方出售用户数据或出于广告目的使用用户数据。
  • 公开透明:准确说明并向用户说明您将收集哪些数据、为什么收集这些数据以及将如何使用这些数据。
  • 尊重用户:尊重用户删除其数据的要求。
  • 安全:以安全的方式处理所有用户数据,并证明您遵循特定的安全做法。
  • 明确具体:请勿请求访问不需要的数据。所有数据访问都应仅为了向用户提供能够让您的应用或服务受益的功能。

Workspace API 服务用户数据政策

当您(开发者)请求访问用户数据时,所有 Google API 服务的使用都受 Google API 服务用户数据政策约束。本 Workspace API 服务用户数据和开发者政策包含一些额外信息,约束您在请求访问用户数据时如何使用和访问 Workspace API(包括 Gmail、Chat、云端硬盘、表格和其他 Google Workspace 产品)。

除以下政策外,Google API 服务条款Google Chat 使用限制政策Google Chat 开发者指南Google 云端硬盘 API 服务条款Google 云端硬盘计划政策Google 云端硬盘开发者指南Gmail 计划政策Google Chat 用户政策Gmail 应用服务使用条款Gmail 应用服务使用条款Google Chat API 使用条款您的使用可能还受 Google Workspace Marketplace 开发者协议的约束。我们还要求您遵守所有适用的法律法规。

我们会不时更新相关政策,因此请经常回来查看。 您有责任定期监控和确保自己遵守这些政策。如果您在任何时候无法满足我们的政策要求(或极有可能无法满足这些政策要求),请立即停止使用我们的服务并与我们联系。如果您不遵守本政策,我们保留移除或限制访问 Google 用户数据的权利。

适当访问和使用 Google Gmail API

访问用户数据的请求必须清晰易懂。使用 Google Workspace API 时,必须遵守适用的政策、条款及条件,以及本政策中规定的使用情形。这意味着,只有在应用或服务满足某个已获批准的使用情形时,您才能请求权限。请仅在您的应用或服务满足我们批准的使用情形之一时请求访问 Workspace API。

获准使用 Gmail API 范围权限的用例包括:

  1. 内置 Web 电子邮件客户端,允许用户通过界面撰写、发送、阅读和处理电子邮件。
  2. 自动备份电子邮件的应用
  3. 旨在提升电子邮件体验、提高工作效率的应用(例如,客户关系管理应用、延迟发送电子邮件或邮件合并的应用,或提供生成式 AI 摘要的应用)
  4. 利用电子邮件中的信息提供报告或监控服务,以便为改善电子邮件体验的用户提供报告或监控服务(例如,自动执行旅行行程、跟踪航班或包裹递送状态的应用)

以下应用类型是未获准访问 Gmail API 范围的应用示例。这些内容包括但不限于:

  1. 移动设备键盘。
  2. 一次性或手动导出电子邮件的应用。
  3. 在 Gmail 中存储或备份电子邮件以外的数据的应用。
  4. 应用使用多个帐号来滥用 Google 政策、绕过 Gmail 帐号限制、规避过滤器和垃圾邮件或以其他方式违反限制。
  5. 分发垃圾邮件或未经请求的商业邮件的应用。例如,发送群发商业邮件的应用(例如客户关系管理)只要用户同意接收电子邮件,就会获得批准。

适当访问和使用 Google Drive API

仅当您的应用或服务满足我们批准的使用情形之一时,才请求对 Google Drive API 的访问权限。

获准使用 Google Drive API 范围权限的用例包括:

  1. 可本地同步或自动备份用户云端硬盘文件的内置应用和 Web 应用。
  2. 生产力和教育应用(例如任务管理、记事、工作组通信和课堂协作应用)仅使用受限范围通过应用的界面处理云端硬盘文件(或其元数据或权限)。
  3. 报告和安全应用,让用户或客户深入了解文件的共享或访问方式。

Google Drive API 不可用于某些使用情形,包括:

  1. 将用户或应用内容从开发者的应用或项目备份到云端硬盘。
  2. 加密货币挖矿。
  3. 在未经授权的情况下广泛分发或散播受版权保护的内容。
  4. 使用云端硬盘替代大规模内容分发网络 (CDN)。
  5. 可用于对用户存储空间进行分片和/或规避云端硬盘存储空间限制的文件克隆工具。
  6. 使用多个帐号的应用滥用 Google 政策、绕过 Google 云端硬盘帐号限制或以其他方式突破限制。
  7. 分发垃圾邮件或未经请求的商业邮件的应用。例如,发送批量商业消息的应用(例如客户关系管理)只要用户同意接收消息,就会获得批准。

适当访问和使用 Google Chat API

仅当您的应用或服务满足我们批准的使用情形之一时,才请求对 Google Chat API 的访问权限。

获准使用 Google Chat API 范围权限的用例包括:

  1. 内置应用和 Web 应用,可让用户通过界面撰写、发送、阅读和处理 Chat 消息或类似通信内容。
  2. 用于增强 Chat 体验、提高工作效率的应用(例如,允许您将任务分配给聊天室中的其他成员的任务管理 Google Chat 应用)。
  3. 应用使用 Chat 消息中的信息为用户提供报告或监控服务(例如,通知同事不在办公室的应用)。
  4. 导入消息、成员资格、群组或其他类似 Google Chat 功能的应用。
  5. 此类应用可交换和使用通过 Google Chat API 获取的数据,以便与其他消息传递产品、服务或功能进行互操作。

Google Chat API 不可用于某些用例,包括以下用例:

  1. 使用 Chat 来替代大规模内容分发网络 (CDN)。
  2. 使用多个帐号的应用滥用 Google 政策、绕过 Google Chat 帐号限制或以其他方式突破限制。
  3. 分发垃圾邮件或未经请求的商业邮件的应用。例如,发送批量商业消息的应用(例如客户关系管理)只要用户同意接收消息,就会获得批准。

请求最基本的相关权限

您只能请求对实现应用或服务的功能至关重要的权限。这意味着:

请勿请求访问您不需要的信息。请仅请求实现应用的功能或服务所需的权限。如果您的应用不需要使用特定权限,则您不得请求使用这些权限。请勿为了保障自己对用户数据的访问权限而尝试请求访问可能对尚未实现的服务或功能有益的信息,以确保您日后访问这些数据。

尽可能在上下文中请求权限。请尽可能仅在用户执行相关操作时(通过增量身份验证)请求访问用户数据,以便用户了解您需要这些数据的原因。

透明、准确的通知和控制

您需要提供一份隐私权政策,披露您的应用或网络服务如何收集、使用和分享用户数据。

应用和服务还必须在您需要这些数据以及将如何使用这些数据时(通过增量身份验证)请求访问用户数据。除了适用法律规定的要求之外,您还必须遵守以下要求,这些要求反映了我们的 OAuth 2.0Google API 服务用户数据政策:

  1. 您必须提供披露声明,说明您对数据的访问、收集、使用和分享行为。披露声明:

    1. 必须准确反映请求访问用户数据的应用或服务的身份;
    2. 如果基于应用,则必须在应用本身内;如果基于 Web,则必须位于单独的对话框窗口中;
    3. 如果是基于应用或网站,则必须在用户正常使用应用的情况下显示,并且无需用户打开任何菜单或设置就能查看;
    4. 必须提供清晰准确的信息,说明要访问、请求和/或收集的数据类型;
    5. 必须说明数据的使用和/或共享方式:如果您出于某种原因请求数据,但数据也将用于辅助用途,则必须将这两种使用情形都通知用户;
    6. 不得只列在隐私权政策或服务条款中;并且
    7. 不得包含在其他与个人数据和敏感数据收集无关的披露声明中。

  2. 您的披露声明必须紧跟在征求用户同意的请求之前。您不得在征得用户明确同意之前开始收集数据。征求用户同意:

    1. 征求同意的对话框必须以清楚明确的方式呈现;
    2. 必须要求用户执行明确的确认操作(例如点按接受、勾选复选框、发出语音指令等)来给予授权;
    3. 不得将用户离开披露声明页面的操作(包括点按其他位置离开或者按返回或主屏幕按钮)视为同意;并且
    4. 不得使用会自动关闭或设有期限的消息。

  3. 您必须提供用户帮助文档,说明用户如何从您的应用或服务中管理和删除其数据。

限制使用用户数据

在以适当方式访问 Workspace API 后,您在使用获取的数据时必须遵循以下要求。这些要求适用于从敏感范围和受限范围派生的数据。

  1. 您只能使用数据来提供或改进适当的用例,或使用在发出请求的应用的界面中显而易见且醒目的功能。

  2. 不允许传输数据,以下情况除外:

    1. 为了提供或改进适当的用例或面向用户的功能,这些功能应仅在发出请求的应用的界面中醒目地显示且必须征得用户同意;
    2. 出于安全考虑(例如,调查滥用行为);
    3. 遵守适用的法律和/或法规;或
    4. 事先征得用户明确同意后,作为开发者合并、收购或出售资产的一部分。

  3. 禁止真人读取用户数据,除非:

    1. 您已经获得用户明确同意读取特定数据并记录下来(例如,帮助用户在丢失密码后重新访问产品或服务);
    2. 数据(包括衍生数据)会经过汇总和匿名化处理,并依照适用的隐私权和其他司法管辖区法律要求用于内部运营;
    3. 出于安全考虑(例如调查滥用行为),有必要访问信息;或者
    4. 遵守适用的法律和/或法规。

在任何其他情况下,都完全禁止传输、使用或出售用户数据,包括

  1. 向第三方(例如广告平台、数据代理商或任何信息转销商)传输或出售用户数据。
  2. 传输、出售或使用用户数据来投放广告(包括重访定位、个性化广告或针对用户兴趣投放广告)。
  3. 传输、出售或使用用户数据来确定信誉度或实现贷款目的。
  4. 传输、出售或使用用户数据,以创建、训练或改进该特定用户的个性化模型之外的机器学习或人工智能模型,以用于适当的用例或面向用户的功能。

您必须在应用或您的网络服务或应用所属的网站上披露肯定性声明或其他类似声明,声明您对数据的使用符合“有限使用”限制。例如,首页上指向专属页面的链接,或隐私权政策中注明“使用从 Workspace API 收到的信息时,将遵守 Google 用户数据使用限制政策中的“使用数据限制”部分或类似要求。

维护安全的运营环境

安全地处理所有用户数据(无论是传输中的还是静态的)。采取合理且适当的措施来保护使用 Workspace API 及其衍生的任何数据的所有应用或系统,防止未经授权或非法的访问、使用、销毁、丢失、更改或披露。

访问受限范围的应用必须证明自己遵循特定的安全做法。

建议的安全做法包括实现和维护信息安全管理系统(如 ISO/IEC 27001 中所述),确保您的应用或 Web 服务稳健且没有 OWASP 十大中所列的常见安全问题。

必要的安全措施包括:

  1. 使用行业认可的加密标准来加密符合以下条件的用户数据:

    1. 存储在便携式设备或便携式电子介质中;
    2. 在 Google 或您的系统之外维护;
    3. 通过任何不由您管理的外部网络传输;并且
    4. 静态存储在您的系统中。

  2. 使用安全的现代协议(例如通过 HTTPS)传输数据。

  3. 对用户数据和凭据(特别是 OAuth 访问和刷新令牌等令牌)进行静态加密。

  4. 确保适当地管理密钥和密钥材料,例如将其存储在硬件安全模块或等效强度的密钥管理系统中。

受限范围的必要安全措施还包括遵循 Cloud Application Security Assessment (CASA) 之后。此外,根据要访问的 API 以及用户授权数量或用户数量,我们可能还会要求您的应用或服务接受定期安全评估,并获得 Google 指定的第三方提供的评估函。

您同意在已知或疑似未经授权的情况下,访问存储了 Google 数据的系统、网络、帐号或其他位置(以下简称“安全事件”)立即通知 Google (security@google.com)。您同意与 Google 完全合作以纠正任何已知或疑似安全事件,并且在任何此类事件中,在就任何已知或疑似安全事件发表任何公开声明之前,通过 security@google.com 通知 Google。

受限范围

Workspace 受限范围包括:

  1. 允许应用执行以下操作的任何 Gmail API 范围:

    1. 读取、创建或修改邮件正文(包括附件)、元数据或标头;或
    2. 控制邮箱访问权限、电子邮件转发或管理员设置。

  2. 允许应用执行以下操作的任何 Google Drive API 范围:

    1. 读取、修改或管理用户的云端硬盘文件的内容或元数据,而无需用户逐个授予文件访问权限。

  3. 任何允许应用执行以下操作的 Google Chat API 范围:

    1. 读取、修改或管理用户的 Chat 消息的内容或元数据。

如需了解详情,请参阅受限范围列表