作为使用 Google Workspace API 的开发者,您经常需要收集和管理敏感的用户数据。请牢记以下关键原则:
- 保护隐私:不得将 Workspace 用户数据用于禁止的用途。我们禁止第三方出售用户数据或将用户数据用于广告目的。
- 保持透明:准确地向用户说明您将收集哪些数据、收集这些数据的原因以及您将如何使用这些数据。
- 尊重用户:尊重用户提出的删除其数据的请求。
- 安全无虞:以安全无虞的方式处理所有用户数据,并证明您遵循特定的安全实践。
- 具体明确:请勿请求访问您不需要的数据。所有数据访问都应仅用于提供可让用户受益的应用或服务功能。
Workspace API 服务用户数据政策
当您(开发者)请求访问用户数据时,所有 Google API 服务的使用都受 Google API 服务用户数据政策的约束。本《Workspace API 服务用户数据和开发者政策》包含更多信息,用于规范您在请求访问用户数据时对 Workspace API(包括 Gmail、Chat、云端硬盘、Google 表格和其他 Google Workspace 产品)的使用和访问。
除了以下政策之外,《Google API 服务条款》《Google Chat 使用限制政策》《Google Chat 开发者指南》《Google Drive API 服务条款》《Google 云端硬盘计划政策》《Google 云端硬盘开发者指南》《Gmail 计划政策》《Gmail 开发者指南》《Google Meet 使用限制政策》《Google Apps 脚本服务条款》和 OAuth 2.0 政策也适用于您对 Workspace API 和相关用户数据的使用和访问。您的使用行为还可能受《Google Workspace Marketplace 开发者协议》的约束。 我们还要求您遵守所有适用的法律法规。
我们会不时更新这些政策,因此请经常回来查看。 您有责任定期监控并确保自己遵守这些政策。如果您在任何时候都无法满足我们政策的要求(或者您有无法满足这些要求的重大风险),请立即停止使用我们的服务并与我们联系。如果您不遵守本政策,我们保留移除或限制对 Google 用户数据的访问权限的权利。
对 Google Gmail API 的适当访问和使用
必须以清晰、易懂的方式请求访问用户数据。使用 Google Workspace API 时必须遵守适用的政策、条款及条件,并且符合本政策中规定的获批使用情形。也就是说,只有当应用或服务符合其中一种获批使用情形时,您才能请求使用相应权限。只有当应用或服务符合我们的一种获批使用情形时,您才能请求访问 Workspace API。
可使用 Gmail API 范围权限的已获批使用情形如下:
- 内置和 Web 电子邮件客户端,可让用户通过界面撰写、发送、阅读和处理电子邮件。
- 自动备份电子邮件的应用
- 出于提高工作效率的目的而增强电子邮件体验的应用(例如客户关系管理、延迟发送电子邮件或邮件合并应用,或提供生成式 AI 摘要的应用)
- 使用电子邮件中的信息为用户提供报告或监控服务,以改善电子邮件体验的应用(例如,自动生成差旅行程或跟踪航班/包裹递送状态的应用)
Gmail API 范围不允许用于某些使用情形。这包括但不限于:
- 移动键盘。
- 一次性或手动导出电子邮件的应用。
- 在 Gmail 中存储或备份电子邮件以外数据的应用。
- 使用多个账号来滥用 Google 政策、绕过 Gmail 账号限制、避开过滤器和垃圾内容,或以其他方式突破滥用或安全限制的应用。
- 分发垃圾内容或未经请求主动发送的商业邮件的应用。例如,发送商业群发邮件的应用(如客户关系管理应用)只要用户同意接收电子邮件,即可获得批准。
对 Google 云端硬盘 API 的适当访问和使用
只有当应用或服务符合我们的一种获批使用情形时,您才能请求访问 Google 云端硬盘 API。
可使用 Google Drive API 范围权限的已获批使用情形如下:
- 提供本地同步或自动备份用户云端硬盘文件的内置应用和 Web 应用。
- 仅使用受限范围通过应用的用户界面处理云端硬盘文件(或其元数据或权限)的效率类应用和教育类应用(例如任务管理、记笔记、工作群组通信和课堂协作应用)。
- 可让用户或客户深入了解文件共享或访问方式的报告和安全应用。
Google 云端硬盘 API 不允许用于某些使用情形。这包括但不限于:
- 将开发者应用或项目中的用户或应用内容备份到云端硬盘。
- 加密货币挖矿。
- 未经授权广泛分发或传播受版权保护的内容。
- 将云端硬盘用作大规模内容分发网络 (CDN) 的替代方案。
- 可用于对用户存储空间进行分片和/或规避云端硬盘存储空间限制的文件克隆工具。
- 使用多个账号来滥用 Google 政策、绕过 Google 云端硬盘账号限制或以其他方式规避滥用或安全限制的应用。
- 分发垃圾内容或未经请求主动发送的商业消息的应用。例如,发送批量商业消息的应用(如客户关系管理应用)只要用户同意接收消息,即可获得批准。
以适当的方式访问和使用 Google Chat API
只有当应用或服务符合我们的一种获批使用情形时,您才能请求访问 Google Chat API。
可使用 Google Chat API 范围权限的已获批使用情形如下:
- 允许用户通过界面撰写、发送、读取和处理即时通讯消息或类似通信的内置应用和 Web 应用。
- 出于提高工作效率的目的而增强 Chat 体验的应用(例如,可让您向聊天室中的其他成员分配任务的任务管理 Google Chat 应用)。
- 使用 Chat 消息中的信息为用户提供报告或监控服务的应用(例如,向用户通知同事不在办公室的应用)。
- 导入消息、成员资格、群组或其他类似 Google Chat 功能的应用。
- 通过 Google Chat API 交换和使用数据以与其他即时通讯产品、服务或功能进行交互操作的应用。
Google Chat API 不允许用于某些使用情形。这包括但不限于:
- 将 Chat 用作大规模内容分发网络 (CDN) 的替代方案。
- 使用多个账号来滥用 Google 政策、绕过 Google Chat 账号限制或以其他方式规避滥用或安全限制的应用。
- 分发垃圾内容或未经请求主动发送的商业消息的应用。例如,发送批量商业消息的应用(如客户关系管理应用)只要用户同意接收消息,即可获得批准。
以适当的方式访问和使用 Google Meet API
只有当应用或服务符合我们的一种获批使用情形时,您才能请求访问 Google Meet API。
可使用 Google Meet API 范围权限的已获批使用情形如下:
- 内置的 Web 和 Web 应用,可让用户通过用户界面实时处理、流式传输或存储会议参与者的音频和视频,从而为用户带来便利。
- 出于提高工作效率的目的而增强 Meet 体验的应用(例如,可让您在空间中分享图片的屏幕录制应用)。
- 使用 Google Meet 中的信息为用户提供报告或监控服务的应用(例如,提供会议或发言分析的应用)。
- 通过 Google Meet API 交换和使用数据以与其他视频产品、服务或功能进行互操作的应用。
Google Meet API 不允许用于某些使用情形。这包括但不限于:
- 未经法律授权或未经同意即监控或分发 Google Meet 用户数据、内容或元数据的应用。
- 广泛分发视频或未经授权传播非法内容或受版权保护的内容。
- 使用多个账号来滥用 Google 政策、绕过 Meet 账号限制、避开过滤器和垃圾内容,或以其他方式规避滥用或安全限制的应用(例如,出于恶意目的存储或分发他人的数字篡改内容,或使用 API 误导或欺骗用户)。
请求最少的相关权限
您只能请求使用对于实现应用或服务的功能至关重要的权限。这意味着:
不能请求访问您不需要的信息。仅请求使用为实现应用的功能或服务而必须具备的权限。如果您的应用不需要使用特定权限,则不得请求使用这些权限。不得为了保障未来能够访问用户数据,尝试请求可能会给尚未实现的服务或功能带来好处的信息访问权限。
尽可能在上下文中请求权限。尽可能仅在用户执行相关操作时请求访问用户数据(通过渐进式授权),以便用户了解您需要相应数据的原因。
透明且准确的通知和控制措施
您需要制定隐私权政策,其中披露您的应用或 Web 服务如何收集、使用和分享用户数据。
应用和服务还必须在需要用户数据时,通过渐进式授权方式请求访问用户数据,并说明数据的使用方式。除了适用法律的要求之外,您还必须遵守以下要求,这些要求反映了我们的 OAuth 2.0 和 Google API 服务用户数据政策:
您必须提供披露声明,说明您对数据的获取、收集、使用和分享行为。披露声明:
- 必须准确表明要访问用户数据的应用或服务的身份;
- 如果是基于应用,则必须在应用内明示;如果是基于 Web,则必须在单独的对话框窗口中明示;
- 必须在用户正常使用应用(如果是基于应用)或网站(如果是基于网站)的情况下显示,并且无需用户打开任何菜单或设置就能查看;
- 必须提供清晰准确的信息,说明要访问、请求和/或收集的数据类型;
- 必须说明数据的使用和/或分享方式:如果您出于某种原因请求数据,但也会将数据用于另一目的,则必须向用户告知这两种使用情形;
- 不得只列在隐私权政策或服务条款中;并且
- 不得包含在其他与个人数据和敏感数据收集无关的披露声明中。
披露声明后方必须随附征求用户同意的请求。在征得用户明确同意之前,您不得开始收集数据。在征求用户同意时,必须满足以下要求:
- 必须以清楚明确的方式呈现意见征求对话框;
- 必须要求用户执行明确的确认操作(例如点按接受、勾选复选框、发出语音指令等)来给予授权;
- 不得将用户离开披露声明页面的操作(包括点按其他位置离开或者按返回或主屏幕按钮)视为同意;并且
- 不得使用会自动关闭或设有期限的消息。
您必须向用户提供帮助文档,让用户了解应如何在您的应用或服务中管理和删除他们的数据。
用户数据使用限制
在将 Workspace API 用于适当用途时,若要使用获取的数据,还必须遵守以下要求。这些要求适用于从敏感范围和受限范围派生的数据。
- 只能将数据用于实现适当的使用情形,或者提供或改进在发出请求的应用的界面中以醒目方式显示的功能。
不允许转移数据,但以下情况除外:
- 为了实现适当的使用情形,或者提供或改进在发出请求的应用的界面中以醒目方式显示的用户界面功能(仅在征得用户同意的前提下);
- 出于安全考虑(例如调查滥用行为),有必要传输相关数据;
- 相应行为遵守适用的法律和/或法规;或者
- 在事先征得用户明确同意的前提下,将用户数据作为开发者资产的一部分进行合并、收购或出售。
除以下情形外,禁止真人读取用户数据:
- 您已就读取特定数据的行为征得用户的明确同意,并已记录在案(例如,帮助用户在丢失密码后重新访问产品或服务);
- 数据(包括衍生数据)已按照适用的隐私权法律要求和所在管辖区内的其他法律要求进行汇总和匿名化处理,并且用于内部运营;
- 出于安全考虑(例如调查滥用行为),有必要传输相关数据;或者
- 遵守适用的法律和/或法规。
完全禁止任何其他传输、使用或出售用户数据的行为,包括:
- 向第三方(如广告平台、数据代理商或任何信息转销商)传输或出售用户数据。
- 以投放广告(包括再定位广告、个性化广告或针对用户兴趣投放广告)为目的传输、出售或使用用户数据。
- 以确定用户的信誉度或进行贷款为目的传输、出售或使用用户数据。
- 以创建、训练或改进机器学习模型或人工智能模型为目的传输、出售或使用用户数据,但相应模型或功能仅限用于特定用户的个性化模型,且仅限用于适当的应用场景或面向用户的功能。
您必须在应用或属于您的 Web 服务或应用的网站中披露肯定性或其他类似声明,声明您对数据的使用符合“有限使用”限制;例如,在首页上添加指向专用页面或隐私权政策的链接,并注明:“从 Workspace API 收到的信息的使用将遵守 Google 用户数据政策,包括有限使用要求。”
保持安全的操作环境
确保传输中的数据及静态数据的安全性。采取合理且适当的措施来保护使用 Workspace API 的所有应用或系统以及由此派生的所有数据,以免遭到未经授权或非法的访问、使用、损坏、损失、篡改或披露。
访问受限范围的应用必须证明其遵守某些安全实践。
建议的安全做法包括,实施并维护信息安全管理系统(如 ISO/IEC 27001 中所述),并确保您的应用或 Web 服务稳定可靠,且不存在 OWASP 十大风险中所列的常见安全问题。
必需的安全措施包括:
使用行业认可的加密标准来加密以下用户数据:
- 存储在便携式设备或便携式电子媒体上;
- 在 Google 或您的系统之外维护;
- 通过并非完全由您管理的任何外部网络传输;并且
- 静态存储在您的系统上。
使用安全的新型协议(例如通过 HTTPS)传输数据。
确保用户数据和凭据(尤其是 OAuth 访问令牌和刷新令牌等令牌)在静态状态下保持加密。
确保密钥和密钥资料得到妥善管理,例如存储在硬件安全模块或同等强度的密钥管理系统中。
受限范围所需的安全措施还包括遵循云应用安全性评估 (CASA)。此外,根据要访问的 API 以及用户授权数量或用户人数,Google 还可能会要求您的应用或服务接受定期安全评估,并从 Google 指定的第三方获取评估文件。
您同意,如果发现或怀疑系统、网络、账号或 Google 数据存储的其他位置存在未经授权的访问行为(以下简称“安全事件”),应立即通过 security@google.com 通知 Google。您同意与 Google 全面合作,以纠正任何已知或可疑的安全事件,并且在发生任何此类事件时,在就任何已知或可疑的安全事件发表任何公开声明之前,通过 security@google.com 通知 Google。
受限范围
Workspace 受限范围包括:
允许应用执行以下操作的任何 Gmail API 范围:
- 读取、创建或修改邮件正文(包括附件)、元数据或标头;或者
- 控制邮箱访问权限、电子邮件转发或管理员设置。
允许应用执行以下操作的任何 Google Drive API 范围:
- 读取、修改或管理用户云端硬盘文件的内容或元数据,而无需用户逐个授予文件访问权限。
允许应用执行以下操作的任何 Google Chat API 范围:
- 读取、修改或管理用户的 Chat 消息的内容或元数据。
允许应用执行以下操作的任何 Google Meet API 范围:
- 读取、修改或管理会议参与者音频和视频的实时处理。
如需了解详情,请参阅受限范围列表。