借助应用元数据软件包,开发者可以以透明的方式添加与其(开发者)、应用以及他们是否以及如何收集、分享和保护用户数据相关的信息。Google Play 商店要求开发者为其分发的应用提供这些信息,并且预装了 Google Play 服务的 Android 设备的制造商也要求制造商预加载的应用开发者提供同样的信息(系统服务除外)。
其他应用商店和安装程序可以选择要求其分发的应用提供应用元数据软件包。应用分发方法决定了开发者可以如何创建和集成应用元数据软件包。Android 会向用户显示应用元数据包中的数据安全信息;例如,如果应用声明它会与第三方分享位置信息,则在搭载 Android 14 或更高版本的设备上,系统会在位置信息权限提示中显示该信息。
借助应用元数据软件包,您可以分享与您(开发者)和您的应用相关的信息,包括您的应用会收集或分享哪些用户数据,并展示应用的关键隐私保护和安全措施。这些信息有助于用户做出更明智的选择,例如在授予权限时进行选择。
应用元数据软件包是独立于您作为开发者在运营所在国家/地区可能要遵守的任何法律透明度和披露义务的。
我们建议所有开发者声明其应用如何收集和处理用户数据,并详细说明应用用途、开发者信息以及应用如何通过加密等安全做法保护用户数据。其中包括通过应用所用的任何第三方库或 SDK 收集和处理的数据。开发者可能需要参阅 SDK 提供商发布的数据安全信息,了解详情。开发者可以访问 Google Play SDK 索引,查看提供商是否提供了指向相关指南的链接。
应用元数据软件包到达设备的方式因应用的分发方式而异:
- 在系统映像中预加载的应用:设备制造商负责将应用元数据软件包添加到系统映像的数据安全 XML 文件中。
- 由安装程序分发的应用:安装程序负责将应用元数据软件包发送到设备。如果您开发的应用是通过 Google Play 分发的,请参阅 Play 管理中心帮助中的说明。安装程序可以参阅应用元数据软件包的架构。
预加载应用的开发者可以使用以下任一方法创建数据安全 XML 文件:
- 如果您开发的应用已在 Play 商店中发布,请前往 Play 管理中心的“应用内容”页面(依次选择政策 > 应用内容),使用该页面上的数据安全表单。如果您已填写此表单,则无需执行任何其他操作。
- 下载并修改此页面上提供的模板 XML 文件,以提供给制造商或安装人员。
在开发者开始创建应用元数据软件包之前,请完成以下步骤:
确保他们已添加隐私权政策。
检查应用收集和分享用户数据的方式,以及应用的安全做法。尤其要检查应用声明的权限和应用使用的 API。
除了检查应用收集和分享用户数据的方式以外,开发者还应检查应用中的任何第三方代码(如第三方库或 SDK)收集和分享此类数据的方式。应用元数据软件包必须反映此类第三方代码收集或分享数据的行为。
本部分介绍了开发者需要在应用元数据软件包的应用和开发者信息部分披露哪些信息。如果应用是通过 Google Play 商店分发的,请使用 Play 管理中心输入此类信息。
创建应用元数据 bundle 时,开发者需要披露以下部分中所述的应用信息:
应用用途
以人类可读的文本 blob(英语)形式提供应用用途说明(最多 4,000 个字符)。
应用类别
从以下列表中选择最符合应用用途的类别。
以下类别适用于预加载的应用:
- OTA - 负责接收和安装无线下载 (OTA) 更新的软件包
- AOSP - Android 开源项目中提供的软件包
- 安全
- 商店
Google Play 还使用下表中介绍的类别:
艺术与设计
速写本、绘画工具、艺术与设计工具、涂色书
汽车与交通工具
汽车商城、汽车保险、汽车价格对比、道路安全、汽车评论与资讯
美容时尚
化妆教程、化妆工具、美发、美妆购物、化妆模拟器
图书与工具书
图书阅读器、工具书、教科书、字典、词典、Wiki
商家
文档编辑器或阅读器、包裹跟踪、远程桌面、电子邮件管理、职位搜索
漫画
动漫播放器、漫画书
通信
短信、聊天或即时通讯、拨号器、地址簿、浏览器、通话管理
约会交友
红娘服务、求爱、人际关系培养、结交新朋友、寻找真爱
教育
备考、学习辅导、词汇表、教育游戏、语言学习
娱乐
流式视频、电影、电视、互动娱乐
活动
演唱会门票、体育赛事门票、门票转售、电影票
财务
银行服务、付款、ATM 查找程序、财经新闻、保险、税收、投资组合管理和交易、小费计算器
食品和饮料
食谱、餐厅、美食指南、品尝和发现美酒、饮料配方
健康与健身
个人健身、锻炼跟踪、饮食营养提示、健康与安全
家居
房屋和公寓搜索、家居装修、室内装饰、房屋贷款、不动产
软件库与演示
软件库、技术演示
生活时尚
时尚指南、婚礼及派对策划、操作指南
地图和导航
导航工具、GPS、地图、交通工具、公共交通
医疗
药物与临床参考、计算器、医疗保健业者手册、医学期刊和新闻
音乐和音频
音乐服务、电台、音乐播放器
新闻和杂志
报纸、新闻汇总、杂志、博客
育儿
怀孕、婴幼儿护理和看护、托儿服务
个性化
壁纸、动态壁纸、主屏幕、锁定屏幕、铃声
摄影
相机、照片编辑工具、照片管理和分享
工作效率
记事本、待办事项、键盘、打印、日历、备份、计算器、换算
购物
网购、拍卖、优惠券、比价、购物清单、商品评论
社交
社交网络、签到
体育
体育新闻与评论、得分跟踪、梦幻球队管理、赛事报道
工具
Android 设备工具
旅游与本地出行
行程预订工具、拼车服务、出租车、城市导游、本地商家信息、行程管理工具、旅行预约
视频播放器与编辑器
视频播放器、视频编辑器、媒体存储
天气
天气报告
应用广告和营销
指明应用是否包含广告或营销信息,包括应用内宣传内容。
隐私权政策
添加指向隐私权政策的链接,详细说明开发者如何处理用户数据。如果应用未包含此链接,则假定该应用不会处理用户数据。
创建应用元数据 bundle 时,开发者需要披露以下部分中所述的开发者信息:
开发者名称
创建应用的开发者、个人或公司的名称。开发者名称可以有多个。
应用注册表
如果应用已在任何应用注册库(包括商店和其他安装程序)上架,请在此字段中进行说明。允许为多个商店提供多个条目。
- 对于属于 Android 安装程序的应用注册表:该值应为商店的 Android 软件包名称。例如,对于 Google Play 商店,请使用 。
- 对于其他应用注册库:此值应为相应注册库的网址。
出于以下任一原因,请省略此字段:
- 开发者为 Google Play SDK 索引中列出的 SDK 开发者。
- 开发者未在任何应用商店或注册库中注册。
应用注册表 ID
对于任何应用注册表(包括安装程序和商店)上列出的应用,此值应为开发者的商店、安装程序或注册表身份。允许为多个商店设置多个条目。
- 对于已在 Google Play 注册的开发者:此值必须是开发者页面的网址(例如, 是开发者 Google LLC 的网址)。
- 如果开发者为 Google Play SDK 索引中列出的 SDK 开发者:使用相应 SDK 的网址(例如, 是 Google 移动广告 [GMA] SDK 的网址)。
- 如果开发者已在其他商店或注册库中注册:可以提供相应的应用商店网址或其他标识符。
如果开发者未在任何应用商店中注册,则可忽略此属性。
开发者联系信息
请提供以下信息:
- 电子邮件
- 网站
- 国家/地区
- 实际邮寄地址
本部分介绍了开发者需要在应用元数据软件包的数据安全部分中披露哪些信息,并列出了开发者可以选择的用户数据类型和用途。如果应用是通过 Google Play 商店分发的,请使用 Play 管理中心输入此类信息。
在创建应用元数据 bundle 时,开发者需要披露有关其收集和分享的数据类型的信息,如以下部分所述:
数据收集
在这种情况下,收集是指将数据从应用传输到用户设备以外。请注意以下准则:
库和 SDK:包括通过应用使用的库或 SDK 将用户数据从应用传输到设备以外的情况,无论这些数据是传输给应用的开发者还是第三方服务器。
网页视图:还包括将通过在应用中打开的网页视图收集的用户数据传输出去的情况(如果应用控制着通过该网页视图实现的代码和行为)。
如果用户在网页视图中浏览开放网络,开发者无需声明通过该网页视图执行的数据收集。
临时处理:如果会传输到设备之外进行临时处理的用户数据符合以下标准,则无需包含在应用元数据软件包中:
临时处理数据表示当应用访问和使用数据时,数据仅存储在内存中,并且数据的保留期限不会超过实时处理特定请求所需的时间。
例如,如果一款天气应用为了获取用户所在地的当前天气信息,会将用户的位置信息从设备传输出去,但它仅在内存中使用该位置数据,并且在处理完相应请求后便不再存储该数据,那么这款应用可将其临时使用位置信息的行为视为临时处理。但是,使用数据构建广告配置文件或其他用户个人资料的行为不能视为临时处理,必须声明为出于相关目的收集或共享数据。
假名化数据:以假名化方式收集的用户数据必须予以披露。 例如,您必须对能合理识别用户身份的数据进行披露。
无需披露为数据收集的情形
以下情况无需披露为数据收集:
设备端访问或处理:如果应用访问的用户数据仅在用户设备本地处理而不会发送到设备以外,那么无需进行披露。
端到端加密:如果用户数据发送到设备以外,但经过端到端加密后,发送者和接收者以外的任何人(包括您在内)都无法读取,也无需进行披露。
必须确保任何中间实体(包括开发者)无法读取已加密的数据,仅发送者和接收者拥有所需的密钥。
数据分享
在这种情况下,“分享”是指将从应用收集的用户数据传输给第三方。这包括通过以下方式传输的用户数据:
将用户数据从设备传输出去的情况,例如服务器到服务器的传输:例如,开发者将应用收集的用户数据从开发者服务器传输到第三方服务器。
将用户数据在设备上传输给其他应用的情况:将用户数据从应用直接传输给设备上的其他应用。在这种情况下,即使应用不会将数据传输到用户设备之外,开发者也必须在“数据安全”部分中披露相应数据分享。
通过应用库和 SDK:使用应用中包含的库或 SDK,将应用收集的数据从用户设备直接传输给第三方。
通过在您的应用中打开的网页视图传输用户数据的情况:通过在您的应用中打开的网页视图将用户数据传输给第三方(如果您的应用控制着通过该网页视图传输的代码和行为)。
如果用户在 WebView 中浏览开放网络,那么开发者无需声明通过该 WebView 执行的数据分享。
以下类型的数据传输无需披露为“分享”:
服务提供商:将用户数据传输给代表开发者处理这些数据的服务提供商。服务提供商是指根据开发者的指示代表其处理用户数据的实体。
法律目的:出于特定法律目的传输用户数据,例如为履行法律义务或响应政府要求。
用户发起的操作或醒目披露声明以及用户同意机制:基于用户发起的特定操作(用户已合理预期数据分享情况)或基于醒目的应用内披露声明和征求用户同意,将用户数据传输给第三方。
匿名数据。传输用户数据时对其充分进行匿名化处理,使其不再与特定用户的身份识别信息相关联。
第一方和第三方:第一方是指开发者,即负责处理应用所收集数据的主要组织。对于通过应用商店分发的应用,这通常是指在应用商店中发布应用的组织。
第一方有义务通过合理方式向用户明确说明哪个组织主要负责处理应用收集的数据。
“第三方”是指除第一方或其服务提供商之外的任何组织。
数据处理
开发者还可以披露每个类型的数据对使用应用是可选的还是必需的。可选意味着用户可以同意应用收集相应数据或撤销此类同意。例如,开发者可以将一种数据类型声明为“可选”,用户可以控制此类型的数据收集行为,并且在不提供此类数据时也可以使用应用;或者,用户可以选择是否手动提供相应类型的数据。如果应用的主要功能需要某种类型的数据,开发者应将此数据类型声明为必需。
只有在所有用户(无论其使用何种设备或在哪个地区)都可以选择是否提供某类信息、同意应用收集某类数据或撤销此类同意的情况下,开发者才可将收集的相应数据类型声明为“可选”。
应用收集的可选数据类型的示例包括:
某社交媒体应用可能要求用户提供出生日期以用于发送营销资讯,但并不强制要求提供这些信息,用户仍然可以在不提供这些信息的情况下进行注册。
仅在用户登录时收集的用户数据类型(用户未登录时也可以与应用互动)。
其他应用和数据披露信息
“数据安全”部分也是开发者展示应用隐私保护和安全做法的好机会。例如,开发者可以突出显示以下信息:
传输过程中加密:为确保用户数据从最终用户的设备安全传输到服务器,应用所收集或分享的数据在传输过程中是否会加密。
某些应用旨在允许用户将数据传输到其他网站或服务。例如,即时通讯应用可能会为用户提供通过其移动服务提供商发送短信的选项,这些服务提供商会采用不同的加密做法。对于这类应用,只要它们针对在用户的设备和应用服务器之间传输的数据,按照极高的业界标准对数据进行安全加密,便可以在其“数据安全”部分声明用户的数据会通过安全连接来传输。
删除请求机制:应用是否为用户提供了请求删除其数据的方法。
独立安全审核(已面向所有应用推出)
开发者可以选择在“数据安全”部分声明应用已根据全球安全标准完成独立验证。这是一项可选审核,由开发者自愿参与并自担费用。例如,通过移动应用安全性评估 (MASA),开发者可以直接与实验室合作,让其应用接受开放全球应用安全项目 (OWASP) 的移动应用安全验证标准 (MASVS) 的评估。第三方组织代表开发者开展审核。
开发者需要针对一系列用户数据类型提供收集、分享和其他做法,以及这些数据的用途,具体如下表所述:
用途
以下示例数据安全 XML 文件演示了共享与用户位置信息相关的数据的预加载应用的文件结构。您可以根据需要披露的应用信息类型,添加、修改或移除元素,以修改此结构。
请注意,示例文件不一定完整。如需详细了解应用元数据包的应用、开发者和数据安全部分(您的应用可能需要包含这些部分)的必需 XML 结构,请参阅应用元数据包架构。
如需了解开发者常问的常见问题的解答,请参阅以下部分。
以下部分解答了有关应用元数据软件包的常见问题。
开发者针对 iOS 提交了类似信息。开发者在填写 Android 应用元数据软件包时可以重复使用其中多少信息?
非常棒,开发者对应用的数据做法非常熟悉。为了正确完成应用元数据软件包,开发者可能需要之前可能未使用过的其他信息,因此他们应该预计要执行额外的工作。Android 应用元数据软件包的分类和框架可能与其他应用商店中使用的分类和框架有较大差异。
Google 如何确保开发者分享准确的信息?我们发现这个行业的相关信息有时可能并不准确。
与隐私权政策类似,开发者需要对应用元数据软件包中披露的信息负责。
开发者需要多久更新一次应用元数据软件包?
当应用的数据做法发生相关更改时,开发者应更新应用元数据软件包。
以下部分解答了有关填写应用元数据软件包的“数据安全”部分的问题。
如果应用在受支持的各种 Android 版本中的行为有所不同,该怎么办?
应用的应用元数据软件包应准确无误,不受使用情况、应用版本、地区和用户年龄的影响。“数据安全”部分会说明应用在所有地理位置和用户类型中的数据收集和分享行为的总体情况。
开发者如何证明他们在不同地区可能采取不同的做法?例如,开发者在欧洲不使用某些库,但可能会在其他地区使用这些库。
应用元数据软件包反映了各应用在数据方面的做法的总体情况。数据安全部分会说明应用在所有地理位置和用户类型中的数据收集和分享的总体情况。
“数据安全”部分是否受用户意见征求机制的控制?开发者是否需要采取任何额外步骤来创建应用内醒目披露声明?
否,用户在应用安装流程中不会看到任何新的披露声明,系统也未就此功能设置任何新的用户同意机制。对于在搭载 Google Play 服务的 Android 设备上收集个人数据和敏感用户数据的 Google Play 应用和移动软件包应用,其开发者必须根据政策的要求实现应用内披露声明和用户同意机制。
如果应用请求了某项权限,但并未实际收集或分享相关数据,开发者是否需要作出相应声明?
除非确实收集或分享了数据,否则开发者无需声明数据的收集或分享行为。在搭载 Google Play 服务的 Android 设备上,Google Play 应用和移动软件包应用必须遵守所有适用政策。
如果收集某种数据类型时会同时收集另一种数据类型,开发者是否应声明相关情况?例如,如果开发者收集的“联系人”数据类型中包含用户电子邮件,是否需要同时声明“联系人”和“电子邮件地址”两种数据类型?
如果开发者在收集某种数据类型的同时有意收集另一种数据类型,则应同时披露两者。例如,如果开发者收集用户的照片并利用其确定用户特征(例如民族或种族),那么还应披露民族和种族的收集。
开发者是否必须提供删除机制?此机制是否需要适用于任何及所有用户数据?
“数据安全”部分可让开发者说明其是否提供了一种机制来接收用户的数据删除请求。在填写数据安全部分的过程中,开发者应指明是否提供此类机制。
开发者是否必须提供某种特定类型的机制来指明应用支持用户数据删除请求?
我们没有规定的机制,但最佳做法是,请求机制应当让用户很容易找到和使用。您的机制应清晰指明可供用户提出数据删除请求的路径,常见示例包括但不限于:应用内功能、联系表单或专用电子邮件别名。
对于自动删除或匿名化的数据,开发者应如何在“数据安全”部分中表明其提供了删除请求机制?
如果开发者提供了以下一项或多项选项,则可以声明用户可以请求删除其数据:
- 用于请求删除数据的机制。
在收集数据后 90 天内,自动对所收集的数据启动删除操作或匿名化处理。
即使开发者出于合法原因(例如遵守法规或防止滥用)需要保留某些数据,也可以声明用户可以请求删除自己的数据。
如果开发者提供的删除机制并非面向全球所有用户,开发者是否仍可指明我提供了删除请求机制?
每个应用元数据包只能有一个全球数据安全部分。其中应已涵盖基于使用情况、区域和用户年龄的数据方面做法。换言之,如果应用的任何版本在世界上的任何地方存在任何数据方面的做法,开发者必须指明这些做法。因此,“数据安全”部分会说明应用面向所有用户和地区的数据收集和分享行为的总体情况。
可以使用哪些技术对数据进行匿名化处理?
您可以采用多种方法对数据进行匿名化处理,使其无法与具体用户相关联。开发者应咨询隐私和安全专家,确定适用于其用例的方法。举例来说,本页面讨论了 Google 使用的一些数据匿名化方法,例如差分隐私。
开发者应如何对待 IP 地址的收集和使用?
与其他数据类型一样,开发者应根据数据的具体用途和相关做法,披露收集、使用和分享 IP 地址的情况。例如,如果开发者使用 IP 地址来确定位置,则应声明相应数据类型(位置)。
开发者应如何披露收集和分享其他类型的标识符的情况?
与其他数据类型一样,开发者应根据数据的具体用途和相关做法,披露收集、使用和分享各类标识符的情况。例如,收集与可识别身份的用户相关联的账号名称应声明为“个人身份标识符”,收集用户的 Android 广告标识符应声明为“设备或其他标识符”。再举一个例子,如果某个标识符与特定的应用内事件相关,但与单独的设备、浏览器或应用没有合理关联,则无需披露为“设备或其他标识符”。
如前所述,收集的假名化数据应在应用元数据软件包的数据安全部分中按相关数据类型进行披露。例如,如果开发者使用设备标识符收集诊断信息,仍应在数据安全部分披露收集“诊断信息”的做法。
“服务提供商”可以执行哪些类型的活动?
服务提供商只能代表开发者处理用户数据。例如,全权代表开发者处理应用用户数据的分析服务提供商,或者托管应用用户数据以供应用开发者使用的云服务提供商,通常都可以称为“服务提供商”。另一方面,如果 SDK 提供方根据应用数据为多个客户构建广告配置文件,那么就“数据安全”部分而言,系统不会将其视为“服务提供商”活动,而需要在应用元数据软件包的“数据安全”部分中披露为“分享”。
应用通过外部付款服务支持财务交易。应用是否需要在其应用元数据软件包中披露收集财务信息(例如信用卡信息)的行为?
这取决于应用与付款服务间集成的性质。如果应用使用 PayPal、Google Pay、Google Play 的结算系统或类似服务来完成付款交易,并且满足以下所有条件,则开发者无需声明收集付款服务在处理金融交易时收集的数据(例如信用卡号):
该应用绝不会访问这些信息。
付款服务会直接向用户收集这些信息,且该收集行为受相应服务条款的约束。
开发者应仔细审核与付款服务的集成,以确保应用元数据软件包的“数据安全”部分声明任何不符合这些条件的相关数据收集和分享。此外,开发者还应考虑应用是否会收集交易记录等其他财务信息,以及是否会从付款服务接收任何相关数据,例如出于防范风险和防欺诈目的而接收相关数据的行为。
应用允许用户将数据直接上传到 Google 云端硬盘或 Dropbox,以进行备份或存储。该应用无法访问其中的任何数据。是否仍应将其披露为“数据收集”行为?
这取决于具体的实现情况。如果用户选择将其数据直接上传到自己的外部云端硬盘或云端存储账号(例如 Google 云端硬盘、Dropbox 或类似服务),并且此上传受外部云端硬盘或云端存储服务提供商的服务条款和隐私权政策的约束,并且应用从不收集或访问相关数据,则应用无需声明收集此类数据。
开发者应如何加密传输中的数据?
开发者应遵循最佳业界标准,安全地加密传输中的数据。常用的加密协议包括传输层安全协议 (TLS) 和超文本传输安全协议 (HTTPS)。
应用允许用户创建账号或向其账号添加信息,例如出生日期或性别。开发者应如何声明用户向其账号添加的数据?
开发者应将收集此类数据的行为声明为账号管理,指明(如果适用)在什么位置作为可选项提供给用户。
此外,与应用收集的任何类型数据一样,开发者应披露此类数据以及应用使用此类数据的用途。例如,如果应用允许用户在其账号中添加出生日期,并利用该数据及时发送推送通知,那么除了声明账号管理用途之外,应用还应声明这一用途。
账号管理可用于涵盖账号数据(并非特定于特定应用)的一般用途。例如,如果开发者使用账号信息进行欺诈防范、广告、营销或跨服务开发者通信,并且这种使用并不特定于应用或应用中的活动,则声明“账号管理”作为收集此账号数据的目的便足以涵盖应用数据软件包中的这些常规用途。不过,应用必须始终声明应用本身利用这些数据的所有用途。Google 建议您在账号级文档和账号注册流程中披露您的应用为提供账号服务会如何处理用户数据,这是最佳做法。
什么是系统服务?
系统服务是指支持核心系统功能的预安装软件。系统服务应包含 和 软件包(提供后者,而不是 软件包)。通过 Google Play 分发的系统服务可以申请免填 Google Play 数据安全表单。