Permissões e APIs que acessam informações sensíveis

Este artigo vai ser atualizado

Vamos adicionar as mudanças divulgadas recentemente a este artigo.

Para preservar ainda mais a privacidade dos usuários, criamos a Política de permissões de acesso a fotos e vídeos. Com ela, reduzimos o número de apps que podem solicitar permissões de acesso geral a fotos/vídeos (READ_MEDIA_IMAGES e READ_MEDIA_VIDEO). Os apps só podem acessar fotos e vídeos para fins diretamente relacionados à funcionalidade do app. É necessário que os apps que têm uma necessidade única ou pouco frequente de acessar esses arquivos usem um seletor do sistema, como o seletor de fotos do Android. (válido a partir de 22 de janeiro de 2025)

Para conferir a prévia da versão atualizada do artigo "Permissões e APIs que acessam informações sensíveis", acesse esta página.

As solicitações de permissões e de APIs que acessam informações sensíveis precisam fazer sentido para os usuários. O app só pode solicitar permissões e APIs que acessam informações sensíveis necessárias para implementar recursos ou serviços atuais promovidos na página "Detalhes do app". Não use permissões ou APIs que acessam informações sensíveis com acesso a dados do usuário ou do dispositivo para finalidades ou recursos não revelados, não implementados ou não permitidos. Dados pessoais ou sensíveis acessados por permissões ou APIs que acessam informações sensíveis não podem ser vendidos nem compartilhados com a finalidade de facilitar uma venda.

Solicite permissões e APIs que acessam informações sensíveis para acessar dados de acordo com o contexto (via solicitações incrementais). Isso ajuda os usuários a entender por que a permissão é necessária. Use os dados somente para as finalidades consentidas pelo usuário. Posteriormente, se você quiser usar os dados para outros fins, será necessário pedir permissão aos usuários e receber a confirmação deles para os usos adicionais.

Permissões restritas

Além do indicado acima, as permissões restritas são aquelas designadas como perigosas, especiais,  de assinatura ou conforme documentado abaixo. Elas estão sujeitas aos seguintes requisitos e restrições adicionais:

  • Os dados do dispositivo ou do usuário acessados por permissões restritas são considerados dados pessoais e sensíveis do usuário. Os requisitos da política de dados do usuário se aplicam.
  • Respeite a decisão dos usuários se eles recusarem uma solicitação de permissão restrita. Eles não podem ser manipulados nem forçados a consentir com permissões que não sejam essenciais. Faça o possível para atender os usuários que não concedem acesso a permissões confidenciais. Por exemplo, você pode permitir que o usuário insira manualmente um número de telefone, caso ele tenha restringido o acesso aos registros de chamadas.
  • É expressamente proibido usar permissões que violam as políticas de malware do Google Play, o que inclui o abuso de privilégios elevados.

Algumas permissões restritas podem estar sujeitas a requisitos adicionais, conforme detalhado abaixo. O objetivo dessas restrições é proteger a privacidade do usuário. Podemos fazer exceções limitadas aos requisitos abaixo em casos muito raros em que os apps fornecem um recurso de alto interesse ou essencial ao usuário sem que haja algum método alternativo disponível para isso. Avaliamos as exceções propostas em relação aos possíveis efeitos sobre a privacidade ou segurança dos usuários.

 

Permissões de SMS e registro de chamadas

As permissões de SMS e registro de chamadas são consideradas dados pessoais e sensíveis de usuários sujeitos à política de Informações pessoais e sensíveis e às seguintes restrições:

Permissão restrita Requisito
Grupo de permissões "Registro de chamadas". Por exemplo, READ_CALL_LOG, WRITE_CALL_LOG, PROCESS_OUTGOING_CALLS Ele precisa estar registrado ativamente como gerenciador padrão de "Telefone" ou "Assistente" no dispositivo.
Grupo de permissões "SMS". Por exemplo, READ_SMS, SEND_SMS, WRITE_SMS, RECEIVE_SMS, RECEIVE_WAP_PUSH, RECEIVE_MMS Ele precisa estar registrado ativamente como gerenciador padrão de "SMS" ou "Assistente" no dispositivo.

 

Apps sem o recurso de gerenciador padrão de "SMS", "Telefone" ou "Assistente" não podem declarar o uso das permissões acima no manifesto. Isso inclui o uso de texto marcador no manifesto. Os apps também precisam estar ativamente registrados como gerenciador padrão de "SMS", do "Telefone" ou do "Assistente" antes de solicitar que os usuários aceitem uma das permissões acima. Além disso, eles precisarão interromper imediatamente o uso da permissão quando não forem mais o gerenciador padrão. Os usos permitidos e exceções estão disponíveis nesta página da Central de Ajuda.

Os apps só podem usar a permissão e os dados derivados dela para fornecer a funcionalidade principal aprovada do app, que corresponde ao propósito principal dele. Isso pode incluir um conjunto de recursos principais que precisam ser documentados e promovidos com maior destaque na descrição do app. Sem os recursos principais, o app ficará "corrompido" ou não poderá ser usado. A transferência, o compartilhamento ou o uso licenciado desses dados só pode ocorrer para fornecer os recursos principais ou serviços dentro do app. Além disso, o uso dessas informações não pode ser estendido para outras finalidades (por exemplo, melhorar outros apps e serviços ou para fins de marketing e publicidade). Não é permitido usar métodos alternativos (incluindo outras permissões, APIs ou fontes de terceiros) para extrair dados atribuídos às permissões de registro de chamadas ou SMS.

 

Permissões de localização

A localização do dispositivo é considerada um dado pessoal e sensíveis do usuário, sujeita às políticas de Informações pessoais e sensíveis e Localização em segundo plano e aos seguintes requisitos:

  • Os apps não podem acessar dados protegidos por permissões de localização (por exemplo, ACCESS_FINE_LOCATION, ACCESS_COARSE_LOCATION, ACCESS_BACKGROUND_LOCATION) que não sejam mais necessários para fornecer os recursos ou serviços atuais.
  • Nunca solicite permissões de localização do usuário somente para fins de publicidade ou análise. Os apps que aproveitam o uso permitido desses dados para exibir publicidade precisam estar em conformidade com nossa política de Anúncios.
  • Os apps precisam solicitar o escopo mínimo necessário (ou seja, localização aproximada em vez de exata e em primeiro plano em vez de segundo plano) para fornecer o recurso ou serviço atual que exige a localização. Além disso, os usuários devem esperar que o recurso ou serviço precise acessar o nível de localização solicitado. Por exemplo, podemos recusar apps que solicitam ou acessam o local em segundo plano sem uma justificativa convincente.
  • A localização em segundo plano só pode ser usada para oferecer recursos úteis aos usuários e relevantes para a funcionalidade principal do app.

Os apps terão permissão para acessar a localização com o serviço em primeiro plano (quando o app só tem acesso em primeiro plano, por exemplo, "durante o uso") se o uso:

  • tiver sido iniciado para dar continuidade a uma ação do usuário no app; e
  • for finalizado imediatamente após o app concluir o caso de uso pretendido pelo usuário.

Os apps desenvolvidos especificamente para crianças precisam estar em conformidade com a política do Feito para Família.

Para saber mais sobre os requisitos da política, confira este artigo de ajuda.

 

Permissão de acesso a todos os arquivos

Os arquivos e atributos de diretório no dispositivo de um usuário são considerados dados pessoais e sensíveis dele e estão sujeitos à política de informações pessoais e sensíveis e aos seguintes requisitos:

  • Os apps só podem solicitar acesso ao armazenamento dos dispositivos que seja fundamental para o funcionamento. Eles não podem fazer isso em nome de terceiros para fins não relacionados à funcionalidade principal do app para o usuário.
  • Os dispositivos Android com a versão R ou mais recente precisarão da permissão MANAGE_EXTERNAL_STORAGE para gerenciar o acesso no armazenamento compartilhado. Todos os apps direcionados ao R que solicitam acesso amplo ao armazenamento compartilhado ("Acesso a todos os arquivos") precisam passar por uma análise de acesso apropriada antes da publicação. Os apps que podem usar essa permissão precisam solicitar claramente que os usuários ativem a opção "Acesso a todos os arquivos" nas configurações de "Acesso especial ao app". Para saber mais sobre os requisitos do R, confira este artigo de ajuda.

 

Permissão de visibilidade do pacote (app)

O inventário dos apps instalados consultados em um dispositivo são considerados dados pessoais e sensíveis, sujeitos à política de Informações pessoais e sensíveis e aos seguintes requisitos:

Os apps que têm a finalidade principal de lançar, pesquisar ou interoperar com outros apps podem ter visibilidade do escopo apropriado para outros apps instalados no dispositivo, conforme descrito abaixo:

  • Ampla visibilidade do app: é a capacidade de um app de ter uma visibilidade extensa (ou "ampla") dos apps instalados ("pacotes") em um dispositivo.
    • Para apps destinados à API de nível 30 ou mais recente, a visibilidade ampla para apps instalados com a permissão QUERY_ALL_PACKAGES é restrita a casos de uso específicos em que o reconhecimento e/ou interoperabilidade com qualquer um ou todos os apps no dispositivo são necessários para que ele funcione. 
    • O uso de métodos alternativos para aproximar o nível de visibilidade ampla associado à permissão QUERY_ALL_PACKAGES também está restrito à funcionalidade principal do app apresentada para o usuário e à interoperabilidade com todos os apps descobertos por esse método.
    • Consulte este artigo da Central de Ajuda e veja os casos autorizados para o uso da permissão QUERY_ALL_PACKAGES.
  • Visibilidade limitada do app: quando um app minimiza o acesso aos dados, ao consultar apps específicos usando métodos mais segmentados (em vez de "amplos"). Por exemplo, consultar apps específicos que atendam à declaração do manifesto do app. É possível usar esse método para consultas nos casos em que o app tenha interoperabilidade em conformidade com a política ou gerenciamento desses apps.
  • A visibilidade do inventário de apps instalados em um dispositivo precisa estar diretamente relacionada à finalidade ou funcionalidade principal que os usuários acessam no app.

Os dados de inventário de apps consultados nos apps distribuídos no Google Play nunca poderão ser vendidos nem compartilhados para análise ou monetização de anúncios.

 

API de acessibilidade

A API de acessibilidade não pode ser usada para:

  • mudar as configurações do usuário sem permissão ou impedir que ele desative ou desinstale qualquer app ou serviço, a menos que autorizado pela família ou responsável com um app de controle dos pais ou por administradores autorizados com um software de gerenciamento empresarial;
  • evitar os controles e as notificações de privacidade integrados do Android;
  • mudar ou usar a interface do usuário de maneira enganosa ou que viole as Políticas para desenvolvedores do Google Play.

A API de acessibilidade não foi projetada e não pode ser solicitada para gravação de áudio de chamadas remotas.

O uso da API de acessibilidade precisa ser documentado na página "Detalhes do app".

Diretrizes para IsAccessibilityTool

Os apps com funcionalidades básicas destinadas a oferecer apoio direto às pessoas com deficiências estão qualificados para usar o IsAccessibilityTool e, assim, se autodesignar publicamente como "app de acessibilidade".

Os apps sem qualificação para usar o IsAccessibilityTool não podem incorporar o sinalizador e precisam atender aos requisitos de consentimento e divulgação em destaque conforme descrito na política de Dados do usuário já que o recurso relacionado à acessibilidade não é óbvio para o usuário. Consulte o artigo da Central de Ajuda API AccessibilityService para mais informações.

Quando possível, os apps precisam usar APIs e permissões com escopos mais limitados em vez da API de acessibilidade para alcançar a funcionalidade desejada.

 

Permissão "solicitar pacotes de instalação"

Com a permissão REQUEST_INSTALL_PACKAGES, um app pode solicitar a instalação de pacotes de apps.​​ Para usar essa permissão, a funcionalidade principal do app precisa incluir as seguintes funções:

  • Envio ou recebimento de pacotes de apps; e
  • Instalação de pacotes de apps iniciada pelo usuário

As funcionalidades permitidas incluem as seguintes opções:

  • Pesquisa ou navegação na Web
  • Serviços de comunicação compatíveis com anexos
  • Compartilhamento, transferência ou gerenciamento de arquivos
  • Gerenciamento de dispositivos corporativos
  • Backup e restauração
  • Migração do dispositivo/transferência do smartphone
  • App complementar para sincronizar o smartphone com um wearable ou dispositivo de IoT, como um smartwatch ou uma smart TV

A funcionalidade principal é definida como o objetivo principal do app. Essa função e todos os recursos essenciais que a compõem precisam ser documentados e promovidos com destaque na descrição do app.

A permissão REQUEST_INSTALL_PACKAGES não pode ser usada para autoatualizações, modificações ou criação de pacotes de outros APKs no arquivo de recursos, a menos que seja para fins de gerenciamento de dispositivos. Todas as atualizações ou instalação de pacotes precisam obedecer à política contra Abuso de dispositivos e de rede do Google Play e serem iniciadas e conduzidas pelo usuário.

 

Permissões do Health Connect by Android

Acesso e uso adequados do Conexão Saúde

O app Conexão Saúde só pode ser usado de acordo com as políticas, Termos e Condições aplicáveis para casos de uso aprovados, conforme estabelecido nesta política. Portanto, apenas os apps ou serviços que atendam a um dos casos de uso aprovados podem pedir acesso às permissões.

Os casos de uso aprovados incluem: condicionamento físico e bem-estar, recompensas, coaching de condicionamento físico, bem-estar corporativo, cuidados médicos, pesquisa em saúde e jogos.

Somente aplicativos ou serviços com um ou mais recursos projetados para beneficiar a saúde e o condicionamento físico dos usuários podem pedir acesso às permissões do app Conexão Saúde. Eles incluem:

  • Aplicativos ou serviços que permitem aos usuários registrar, gerar relatórios, monitorar e/ou analisar diretamente informações sobre atividades físicas, sono, bem-estar mental, nutrição, medidas de saúde, descrições físicas e/ou outros dados e medições relacionados à saúde ou condicionamento físico.
  • Aplicativos ou serviços que permitem aos usuários armazenar informações sobre atividades físicas, sono, bem-estar mental, nutrição, medidas de saúde, descrições físicas e/ou outros dados e medições relacionados à saúde ou ao condicionamento físico no dispositivo.

O acesso ao app Conexão Saúde não pode ser usado para violar esta política, ou outros Termos e Condições, ou políticas aplicáveis da plataforma, inclusive para as seguintes finalidades:

  • Não use o app Conexão Saúde para desenvolver outro app. Ele tampouco deve ser incorporado em qualquer app, ambiente ou atividade em que seu uso ou falha possa levar à morte, lesões corporais ou danos ambientais ou patrimoniais, como a criação ou operação de instalações nucleares, controle de tráfego aéreo, sistemas de suporte à vida ou armamentos.
  • Não acesse dados coletados pelo app Conexão Saúde usando aplicativos headless. É preciso exibir um ícone claramente identificável na bandeja, nas configurações do app no dispositivo, nos ícones de notificação etc.
  • Não use o app Conexão Saúde com aplicativos que sincronizam dados entre dispositivos ou plataformas incompatíveis.
  • Não use o app Conexão Saúde para se conectar a aplicativos, serviços ou recursos direcionados exclusivamente a crianças.
  • Tome medidas razoáveis e apropriadas para que todos os aplicativos ou sistemas que usam o app Conexão Saúde sejam protegidos contra acesso, uso, destruição, perda, mudança ou divulgação não autorizados ou ilegais.

Também é sua responsabilidade garantir a conformidade com requisitos regulamentares ou legais aplicáveis com base no uso pretendido do app Conexão Saúde e dos dados dessa plataforma. Exceto conforme expressamente indicado na embalagem ou nas informações fornecidas pelo Google referentes a produtos ou serviços específicos, o Google não endossa o uso nem garante a precisão dos dados do app Conexão Saúde para qualquer caso ou finalidade, principalmente para uso médico, de pesquisa ou de saúde. O Google se isenta de qualquer responsabilidade associada ao uso de dados coletados no app Conexão Saúde.

Uso limitado

Ao usar o app Conexão Saúde, o acesso e uso dos dados devem obedecer a limitações específicas:

  • O uso de dados deve ser limitado ao fornecimento ou melhoria do caso de uso apropriado ou dos recursos visíveis na interface do usuário do aplicativo.
  • Os dados do usuário só podem ser transferidos a terceiros com o consentimento explícito do usuário, para fins de segurança (por exemplo, investigação de abusos), para obedecer às leis ou regulamentações aplicáveis, ou como parte de fusões/aquisições.
  • O acesso humano aos dados do usuário é restrito, a menos que haja consentimento explícito do usuário, para fins de segurança, para obedecer às leis ou quando agregados para operações internas de acordo com requisitos legais.
  • Todas as outras transferências, usos ou vendas de dados do app Conexão Saúde são proibidos, incluindo o seguinte:
    • Transferir ou vender dados do usuário para terceiros, como plataformas de publicidade, corretores de dados ou revendedores de informações.
    • Transferir, vender ou usar dados do usuário para veicular anúncios, incluindo publicidade personalizada ou baseada em interesses.
    • Transferir, vender ou usar dados do usuário para determinar classificações de crédito ou para finalidades de empréstimo.
    • Transferir, vender ou usar dados do usuário com qualquer produto ou serviço que possa se qualificar como dispositivo médico, a menos que o app do dispositivo médico obedeça a todas as regulamentações, inclusive obtendo todas as liberações ou aprovações dos órgãos regulamentares relevantes (por exemplo, a FDA, equivalente à ANVISA dos EUA) para o uso pretendido dos dados do app Conexão Saúde, e o usuário tenha dado consentimento explícito para isso.
    • Transferir, vender ou usar dados do usuário para qualquer finalidade ou de qualquer maneira que envolva Informações protegidas de saúde (conforme definido pela HIPAA), a menos que você receba aprovação prévia por escrito do Google para tal uso.

Escopo mínimo

Solicite acesso somente às permissões necessárias para implementar os recursos e serviços do seu produto. Esses pedidos devem ser específicos e se limitar aos dados necessários.

Avisos e controles transparentes e precisos

O Conexão Saúde gerencia dados de saúde e condicionamento físico, inclusive informações sensíveis, e obriga que todos os aplicativos tenham uma Política de Privacidade abrangente. Essa política deve declarar de maneira transparente como o app coleta, usa e compartilha os dados do usuário. Além dos requisitos legais, os desenvolvedores precisam ter as seguintes informações na Política de Privacidade:

  • Descrição exata da identidade do app, esclarecendo os dados acessados e a conexão deles com os recursos e recomendações em destaque do app
  • Práticas de retenção e exclusão de dados
  • Procedimentos de processamento de dados (por exemplo, transmissão por criptografia moderna, como HTTPS)

Para mais informações sobre os requisitos dos apps que se vinculam ao Conexão Saúde, consulte este artigo da Central de Ajuda.

 

Serviço VPN

VpnService é uma classe de base para que os apps ampliem e criem soluções de VPN próprias. Somente os apps que usam VpnService e têm a VPN como recurso principal podem criar um encapsulamento seguro no nível do dispositivo para um servidor remoto. Exceções incluem apps que exigem um servidor remoto para oferecer o recurso principal, por exemplo:

  • Apps de controle da família e gerenciamento empresarial
  • Monitoramento de uso de apps
  • Apps de segurança de dispositivos, como antivírus, gerenciamento de dispositivos móveis e firewall
  • Ferramentas relacionadas à rede, como acesso remoto
  • Apps de navegação na Web
  • Apps de operadoras que precisam de funcionalidade VPN para oferecer serviços de telefonia ou conectividade

O VpnService não pode ser usado para:

  • coletar dados pessoais e confidenciais do usuário sem consentimento e declaração em destaque;
  • redirecionar ou manipular o tráfego de usuários de outros apps em um dispositivo para fins de monetização, por exemplo: redirecionar o tráfego de publicidade para um país que não seja o do usuário;

Os apps que usam o VpnService precisam:

 

Permissão de alarme exato

A nova permissão USE_EXACT_ALARM vai ser introduzida para dar acesso à funcionalidade de alarme exato em apps a partir do Android 13 (nível desejado da API 33).

USE_EXACT_ALARM é uma permissão restrita, e os apps só deverão declará-la se o recurso principal deles for compatível com a necessidade de um alarme exato. Os apps que solicitam essa permissão restrita estão sujeitos a revisão, e aqueles que não atenderem aos critérios de caso de uso aceitável não vão ser publicados no Google Play.

Casos de uso aceitáveis para a permissão de alarme exato

Seu app só deverá usar a funcionalidade USE_EXACT_ALARM quando o recurso principal dele voltado para o usuário exigir ações com tempo preciso, por exemplo:

  • Apps de alarme ou cronômetro
  • Apps de calendário que exibem notificações de eventos

Se seu caso de uso para a funcionalidade de alarme exato não estiver listado acima, avalie a possibilidade de usar SCHEDULE_EXACT_ALARM.

Para mais informações sobre a funcionalidade de alarme exato, consulte estas orientações para desenvolvedores.

 

Permissão de intent para tela cheia

Para apps destinados ao Android 14 (nível desejado da API 34) e versões mais recentes, a USE_FULL_SCREEN_INTENT é uma permissão de acesso especial para apps. A permissão USE_FULL_SCREEN_INTENT só será concedida de modo automático se a funcionalidade principal do app se enquadrar em uma das categorias abaixo que requerem notificações de alta prioridade:

  • definir um alarme
  • receber ligações ou videochamadas

Os apps que solicitam essa permissão estão sujeitos a um processo de análise, e aqueles que não atenderem aos critérios descritos acima não receberão a permissão por padrão. Nesse caso, para usar a USE_FULL_SCREEN_INTENT, os apps precisarão solicitar a permissão do usuário.

O uso da permissão USE_FULL_SCREEN_INTENT precisa obedecer às políticas para desenvolvedores do Google Play, incluindo nossas diretrizes sobre software indesejado para dispositivos móveis, abuso de dispositivos e de rede e anúncios. As notificações de intent para tela cheia não podem interferir, interromper, danificar nem acessar o dispositivo do usuário de maneira não autorizada. Além disso, os apps não podem interferir em outros apps nem na usabilidade do dispositivo.

Saiba mais sobre a permissão USE_FULL_SCREEN_INTENT na nossa Central de Ajuda.

Isso foi útil?

Como podemos melhorá-lo?

Precisa de mais ajuda?

Siga as próximas etapas:

Pesquisa
Limpar pesquisa
Fechar pesquisa
Google Apps
Menu principal
14174437789152986549
true
Pesquisar na Central de Ajuda
true
true
true
true
true
92637
false
false