Data Portability API के उपयोगकर्ता का डेटा और डेवलपर से जुड़ी नीति

Data Portability API इस्तेमाल करने वाले डेवलपर के तौर पर, अक्सर उपयोगकर्ता का संवेदनशील डेटा. डेटा मैनेज करने से जुड़े इन मुख्य सिद्धांतों को ध्यान में रखें:

  • निजता की सुरक्षा: उपयोगकर्ता के डेटा का इस्तेमाल उन कामों के लिए न करें जिन पर पाबंदी लगी है.
  • साफ़ तौर पर: उपयोगकर्ताओं को साफ़ तौर पर डेटा दिखाएं और बताएं कि आपके पास कौनसा डेटा है इकट्ठा करें, उसे इकट्ठा करने की वजह, और उसका इस्तेमाल करने का तरीका.
  • सम्मानजनक भाषा का इस्तेमाल करें: उपयोगकर्ता के डेटा का सही तरीके से रखरखाव करें. जब हो सके, तब अनुमति दें किसी प्रॉडक्ट से अपना डेटा ट्रांसफ़र करने और उपयोगकर्ता के अनुरोध पर कार्रवाई करने के लिए वे अपना डेटा मिटा सकें.
  • सुरक्षित रहें: लोगों के सभी डेटा को सुरक्षित तरीके से मैनेज करें और दिखाएं कि आपने इनका पालन किया है सुरक्षा के कुछ खास तरीकों के बारे में बताया है.
  • खास तौर पर बताएं: उस डेटा के ऐक्सेस का अनुरोध न करें जिसकी आपको ज़रूरत नहीं है. सभी डेटा इसका ऐक्सेस सिर्फ़ आपके ऐप्लिकेशन या सेवा की सुविधाएं उपलब्ध कराने के लिए होना चाहिए जिनसे लोगों को फ़ायदा मिलता है.

Google API की सेवा की शर्तें, Google API सेवाओं की उपयोगकर्ता के डेटा से जुड़ी नीति, और OAuth 2.0 की नीतियां, Google API की सभी सेवाओं के इस्तेमाल को तब कंट्रोल करती हैं, जब आप यानी डेवलपर की ओर से, उपयोगकर्ता के डेटा के ऐक्सेस का अनुरोध किया जाए. यह Data Portability API, उपयोगकर्ता का डेटा और डेवलपर नीति में ऐसी अतिरिक्त जानकारी शामिल है जो आपके इस्तेमाल को कंट्रोल करती है और आपके पास Data Portability API का ऐक्सेस होता है. Data Portability API, सिर्फ़ उपयोगकर्ताओं को यूरोपियन इकनॉमिक एरिया (ईईए) के लोग, अपने डेटा पर ज़्यादा कंट्रोल रख सकते हैं. इसके लिए, उन्हें डेटा को Google से बाहर ले जाते हैं.

Google Takeout के साथ-साथ, Data Portability API यह पक्का करता है कि उपयोगकर्ताओं के पास उनके डेटा का आसान ऐक्सेस और कंट्रोल. ज़्यादा जानें Google की निजता नीति और निजता सेटिंग के बारे में बताती हैं, उपयोगकर्ताओं को कंट्रोल दें.

समय-समय पर इस पेज की जांच करते रहें. इन नीतियों को समय-समय पर अपडेट किया जाता है. हां इन चीज़ों की निगरानी करना और इनके अनुपालन को पक्का करना डेवलपर की ज़िम्मेदारी है नीतियों को नियमित रूप से प्रोसेस करते रहें. अगर किसी भी समय आप नीति का पालन नहीं कर पाते हैं ज़रूरतों को पूरा न कर पाने की वजह से कोई बड़ा जोखिम हो, तो हमारी सेवाओं का इस्तेमाल करके तुरंत हमसे संपर्क करें. Google, नीति का पालन न करने पर, Google उपयोगकर्ता के डेटा को ऐक्सेस करने या हटाने का अधिकार इस नीति के बारे में ज़्यादा जानें. इस नीति या किसी दूसरी शर्त के बीच टकराव होने पर अगर एपीआई की सेवाओं को ध्यान में रखना है, तो Data Portability API का उपयोगकर्ता डेटा और डेवलपर नीति देखें को प्राथमिकता मिलती है.

डेटा का सही ऐक्सेस और उपयोगकर्ता के डेटा का इस्तेमाल करना

उपयोगकर्ता का डेटा एक्सपोर्ट करने के अनुरोध साफ़ और समझ में आने चाहिए. कॉन्टेंट बनाने Data Portability API का इस्तेमाल, लागू नीतियों के मुताबिक ही किया जा सकता है. जैसा कि इस की नीति देखें. इसका मतलब है कि डेवलपर अनुमतियों के ऐक्सेस का अनुरोध सिर्फ़ तब कर सकते हैं, जब कोई ऐप्लिकेशन या सेवा, इस्तेमाल के उन मामलों में से किसी एक को पूरा करती हो जिन्हें मंज़ूरी मिली है.

अनुमतियों के ऐक्सेस के लिए, इस्तेमाल के मंज़ूर किए गए उदाहरण:

  • ऐसे ऐप्लिकेशन या सेवाएं जिनमें एक या उससे ज़्यादा ऐसी सुविधाएं हैं जिनमें मुख्य ट्रांसफ़र करने, कॉपी करने या ट्रांसफ़र करने की अनुमति देकर उपयोगकर्ताओं को फ़ायदा पहुंचाने के मकसद से एक Google सेवा से किसी अन्य प्लैटफ़ॉर्म या सेवा पर उपयोगकर्ता डेटा उपयोगकर्ता को कोई फ़ायदा नहीं होगा.

ज़रूरी अनुमतियों का अनुरोध करना

डेवलपर सिर्फ़ उन अनुमतियों के ऐक्सेस का अनुरोध कर सकते हैं जो किसी ऐप्लिकेशन या सेवा के लिए सुविधाओं को लागू करना. इसका मतलब है:

  • उस जानकारी के ऐक्सेस का अनुरोध न करें जिसकी आपको ज़रूरत नहीं है. अगर कोई प्रॉडक्ट को खास अनुमतियों के ऐक्सेस की ज़रूरत नहीं है, तो आपको अनुरोध नहीं करना चाहिए इन अनुमतियों को ऐक्सेस करने की अनुमति दें. "आने वाले समय के लिए तैयार" करने की कोशिश न करें उपयोगकर्ता का ऐक्सेस ऐसी जानकारी का ऐक्सेस पाने का अनुरोध करना जिससे सेवाओं को फ़ायदा हो सकता है या सुविधाएं जिन्हें लागू नहीं किया गया है.

  • जहां भी हो सके, ज़रूरत के हिसाब से अनुमतियों का अनुरोध करें. सिर्फ़ इन्हें ऐक्सेस करने का अनुरोध करें उपयोगकर्ता डेटा को ज़रूरत के हिसाब से (जब भी संभव हो) बढ़ाने की अनुमति का इस्तेमाल करके. इससे उपयोगकर्ता यह समझ पाते हैं कि आपको डेटा की ज़रूरत क्यों है.

साफ़ तौर पर और सटीक सूचना और कंट्रोल

Data Portability API, निजी और संवेदनशील जानकारी को मैनेज करता है. सभी ऐप्लिकेशन और सेवाओं में एक निजता नीति होनी चाहिए, जिसमें पूरी जानकारी होनी चाहिए ऐप्लिकेशन या वेब सेवा किस तरह से उपयोगकर्ता के डेटा को इकट्ठा, इस्तेमाल, और शेयर करती है. यह इसमें उन पक्षों के टाइप शामिल होते हैं जिनके साथ उपयोगकर्ता का डेटा शेयर किया जाता है. साथ ही, डेटा को कैसे स्टोर और सुरक्षित किया जाता है, और डेटा का क्या होता है जब खाता बंद कर दिया गया हो या मिटा दिया गया हो.

ऐप्लिकेशन और सेवाओं को भी उपयोगकर्ता के डेटा को ऐक्सेस करने का अनुरोध करना होगा इंंक्रीमेंटल ऑथराइज़ेशन का इस्तेमाल करके, ताकि उपयोगकर्ता बेहतर तरीके से समझ सकें कि डेटा आपको इसकी ज़रूरत क्यों है, और डेटा का इस्तेमाल कैसे किया जाएगा. इसके अलावा ज़रूरी कानूनों की शर्तों के तहत, आपको इन शर्तों का पालन करना होगा: ऐसी ज़रूरी शर्तें जो हमारी OAuth 2.0 नीतियों और Google API सेवाओं के उपयोगकर्ता के बारे में बताती हैं डेटा से जुड़ी नीतियां:

  1. डेवलपर को यह जानकारी देनी होगी कि शेयर करें. जानकारी:
    1. ऐप्लिकेशन की पहचान सही तरीके से दिखाई जानी चाहिए या ऐसी सेवा जो उपयोगकर्ता के डेटा का ऐक्सेस मांगती है;
    2. ऐप्लिकेशन के अंदर होना चाहिए, अगर यह ऐप्लिकेशन आधारित हो या वेब पर आधारित होने पर, अलग डायलॉग विंडो;
    3. ऐप्लिकेशन के सामान्य उपयोग में प्रदर्शित होना चाहिए अगर यह ऐप्लिकेशन आधारित हो या वेबसाइट हो, तो वह वेब पर आधारित है और उसे नहीं उपयोगकर्ता को किसी मेन्यू या सेटिंग में जाना होगा;
    4. टाइप के बारे में साफ़-साफ़ और सटीक जानकारी दी जानी चाहिए ऐक्सेस, अनुरोध, एक्सपोर्ट या इकट्ठा किए जा रहे डेटा का प्रतिशत;
    5. यह बताया जाना चाहिए कि डेटा को कैसे इस्तेमाल और शेयर किया जाता है; अगर आप अनुरोध करें किसी एक वजह से डेटा एक्सपोर्ट किया जाता है, लेकिन उस डेटा का इस्तेमाल दूसरा मकसद है, आपको उपयोगकर्ताओं को दोनों मामलों के बारे में बताना होगा;
    6. इसे सिर्फ़ किसी निजता नीति या सेवा की शर्तों में नहीं रखा जा सकता; और
    7. इसे ऐसी दूसरी जानकारी के साथ नहीं दिखाया जा सकता जो निजी जानकारी से जुड़ी न हो संवेदनशील जानकारी इकट्ठा करने के लिए किया जाता है.

  2. अनुरोध के साथ डेवलपर की जानकारी दी जानी चाहिए. साथ ही, जानकारी से ठीक पहले इसकी जानकारी भी दी जानी चाहिए उपयोगकर्ता की सहमति के लिए. आपको हासिल करने से पहले डेटा इकट्ठा करना शुरू नहीं करना चाहिए स्वीकार किया गया हो. सहमति के लिए अनुरोध:
    1. सहमति संवाद को साफ़ और साफ़ तौर पर दिखाया जाना चाहिए रास्ता;
    2. पुष्टि की प्रक्रिया को स्वीकार करने के लिए, जैसे कि स्वीकार करें, चेकबॉक्स पर सही का निशान लगाएं या बोलकर निर्देश दें स्वीकार करने के लिए;
    3. अगर उपयोगकर्ता, जहां जानकारी दी गई है वहां से कहीं और जाता है, तो इसे इस तरह नहीं समझना चाहिए: सहमति; इसमें, बाहर जाना या 'वापस जाएँ' बटन या होम बटन; और
    4. अपने-आप खारिज या खत्म होने वाले मैसेज का इस्तेमाल नहीं करना चाहिए.
  3. आपको उपयोगकर्ता सहायता वाला दस्तावेज़ उपलब्ध कराना होगा, जिसमें बताया गया हो कि उपयोगकर्ता कैसे मैनेज कर सकते हैं और ऐप्लिकेशन से उनका डेटा मिटा सकते हैं.

उपयोगकर्ता के डेटा का सीमित इस्तेमाल करना

जब सही इस्तेमाल के लिए, Data Portability API को ऐक्सेस किया जाता है, तो डेटा का इस्तेमाल करने के लिए डेवलपर को इन शर्तों का पालन करना होगा: ज़रूरतें. ये ज़रूरी शर्तें, संवेदनशील और प्रतिबंधित दायरों Data Portability API से रॉ डेटा, और बिना पहचान ज़ाहिर किए एग्रीगेट किया गया डेटा, जिन्हें रॉ डेटा से लिया जाता है या जिनकी पहचान नहीं की जा सकती.

  1. डेटा के इस्तेमाल को सिर्फ़ उचित इस्तेमाल का उदाहरण देने या उसे बेहतर बनाने के लिए सीमित करना या वे सुविधाएं जो अनुरोध करने वाले ऐप्लिकेशन के उपयोगकर्ता को दिखाई देती हैं और मुख्य रूप से दिखती हैं इंटरफ़ेस पर कॉपी करने की सुविधा मिलती है.
  2. इन्हें छोड़कर, डेटा ट्रांसफ़र करने की अनुमति नहीं है:
    1. इस्तेमाल के उदाहरण या लोगों के लिए सुविधाएं उपलब्ध कराने या उन्हें बेहतर बनाने के लिए जो अनुरोध करने वाले ऐप्लिकेशन के यूज़र इंटरफ़ेस से साफ़ हों और उपयोगकर्ता की सहमति से;
    2. सुरक्षा के मकसद से, जैसे कि गलत इस्तेमाल की जांच करना;
    3. लागू होने वाले कानूनों या नियमों का पालन करने के लिए; या
    4. डेवलपर की ऐसेट मर्ज करने, उनकी खरीदारी करने या उनकी बिक्री के दौरान उपयोगकर्ता से साफ़ तौर पर पहले से सहमति लेने के बाद.

  3. लोगों को उपयोगकर्ता का डेटा तब तक पढ़ने की अनुमति न दें, जब तक:
    1. आपने कॉन्टेंट पढ़ने के लिए उपयोगकर्ता की सहमति को साफ़ तौर पर दस्तावेज़ में शामिल कर लिया है खास डेटा; उदाहरण के लिए, कोई उपयोगकर्ता पासवर्ड खो जाने के बाद कोई प्रॉडक्ट या सेवा उपलब्ध कराना;
    2. व्युत्पन्नों के साथ-साथ डेटा को एग्रीगेट किया जाता है और इसका इस्तेमाल आंतरिक कामों के लिए किया जाता है लागू निजता और अन्य नीतियों के अनुसार कार्रवाई करना अधिकार क्षेत्र से जुड़ी कानूनी ज़रूरतें;
    3. ऐसा करना सुरक्षा के लिहाज़ से ज़रूरी है. जैसे, गलत इस्तेमाल की जांच करना; या
    4. ज़रूरी नियमों या कानूनों का पालन करना ज़रूरी है.

स्वीकार करने वाला या इससे मिलता-जुलता कोई दूसरा स्टेटमेंट, जिसे आवेदन या अगर सेवा को सीमित इस्तेमाल की पाबंदियों के मुताबिक डेटा का इस्तेमाल करना हो, तो उसे आवेदन में या सेवा से जुड़ी किसी वेबसाइट पर बताया गया हो या का इस्तेमाल करें. उदाहरण के लिए, होम पेज पर मौजूद किसी खास पेज या निजता के लिंक का लिंक नीति जिसमें इन बातों का ध्यान रखा गया हो:

"Data Portability API से मिली जानकारी का इस्तेमाल, Google के डेटा का Portability API के उपयोगकर्ता का डेटा और डेवलपर की नीति. इसमें, सीमित इस्तेमाल की ज़रूरी शर्तें".

मिलते-जुलते वाक्यों का इस्तेमाल किया जा सकता है. ये वाक्य डेटा शेयर करने की सेटिंग के हिसाब से सही होते हैं 'सीमित इस्तेमाल' सेक्शन में बताई गई पाबंदियों के बारे में बताया गया है.

सुरक्षित ऑपरेटिंग एनवायरमेंट बनाए रखना

आपको उपयोगकर्ता का पूरा डेटा सुरक्षित तरीके से मैनेज करना होगा. अपने समाचार संगठन के खोज नतीजों में, Data Portability API का इस्तेमाल करने वाले सभी ऐप्लिकेशन या सिस्टम को सुरक्षित रखता है बिना अनुमति या गैर-कानूनी ऐक्सेस, इस्तेमाल, खत्म होने, नुकसान, बदलाव या ज़ाहिर करना.

पाबंदी वाले दायरों को ऐक्सेस करने वाले ऐप्लिकेशन को, खास तरह की सुरक्षा का पालन करना होगा करते हैं. सुरक्षा के सुझाए गए तरीकों में, इन्हें लागू करना और उनका रखरखाव करना शामिल है आईएसओ/आईईसी 27001 में बताया गया इन्फ़ॉर्मेशन सिक्योरिटी मैनेजमेंट सिस्टम और यह पक्का करना कि ऐप्लिकेशन या वेब सेवा मज़बूत है और सभी के लिए बिना किसी शुल्क के है सुरक्षा से जुड़ी उन समस्याओं के बारे में बताएं जो OWASP टॉप 10 ने बताई हैं.

ज़रूरी सुरक्षा उपायों में शामिल हैं:

  1. उपयोगकर्ता के ऐसे डेटा को एन्क्रिप्ट करने के लिए, एन्क्रिप्ट (सुरक्षित) करने के लिए इंडस्ट्री के स्वीकार किए गए स्टैंडर्ड का इस्तेमाल करना होता है जो:
    1. पोर्टेबल डिवाइसों या पोर्टेबल इलेक्ट्रॉनिक मीडिया पर स्टोर किया गया;
    2. उसे Google या डेवलपर के सिस्टम से बाहर मैनेज किया जाना चाहिए;
    3. किसी ऐसे बाहरी नेटवर्क पर ट्रांसफ़र किया जाना चाहिए जिसे पूरी तरह से मैनेज नहीं किया जा रहा हो; और
    4. डेवलपर के सिस्टम पर ऐक्टिव नहीं है.
  2. एचटीटीपीएस जैसे सुरक्षित मॉडर्न प्रोटोकॉल का इस्तेमाल करके डेटा ट्रांसफ़र करना.
  3. खास तौर पर, OAuth ऐक्सेस जैसे टोकन के साथ उपयोगकर्ता के डेटा और क्रेडेंशियल को बनाए रखना और रीफ़्रेश टोकन, जो ऐक्टिव नहीं हैं.
  4. यह पक्का करना कि कुंजियों और मुख्य कॉन्टेंट को सही तरीके से मैनेज किया जाता हो, जैसे कि हार्डवेयर सुरक्षा मॉड्यूल या ऐसी ही क्षमता वाली कुंजी का मैनेजमेंट सिस्टम.

पाबंदी वाले दायरों के लिए ज़रूरी सुरक्षा उपायों में ये शामिल हैं: Cloud ऐप्लिकेशन सिक्योरिटी असेस्मेंट (सीएएसए). साथ ही, आपको ऐप्लिकेशन या सेवा को समय-समय पर सुरक्षा से गुज़रना होगा. आकलन और आकलन-पत्र प्राप्त करने के लिए पार्टी.

आप security@google.com पर किसी भी ज्ञात या सिस्टम, नेटवर्क, खातों या अन्य वे जगहें जहां Google डेटा सेव किया जाता है. इसे सिक्योरिटी इंसिडेंट कहा जाता है. आपने लोगों तक पहुंचाया मुफ़्त में किसी भी ज्ञात या संदिग्ध सुरक्षा को ठीक करने के लिए Google के साथ पूरी तरह से सहयोग करने के लिए सहमत हैं घटना और ऐसी किसी भी स्थिति में, Google को security@google.com पर सूचना दें किसी भी ज्ञात या संदिग्ध सुरक्षा के बारे में कोई सार्वजनिक बयान देने से पहले घटना.

OAuth 2.0 के दायरे

Data Portability API के सभी स्कोप और रिसॉर्स ग्रुप की सूची देखने के लिए, यहां जाएं: Google API के लिए OAuth 2.0 का दायरा.

पाबंदी वाले दायरों के बारे में ज़्यादा जानकारी के लिए, यहां देखें: पाबंदी वाले दायरों की सूची.