מדיניות למפתחים ונתוני משתמשים ב-Data Portability API

כמפתחים שמשתמשים ב-Data Portability API, לעיתים קרובות אתם אוספים ומנהלים נתוני משתמשים רגישים מאוד. חשוב לזכור את העקרונות המרכזיים הבאים של טיפול בנתונים:

  • הגנה על פרטיות: אסור להשתמש בנתוני משתמשים למטרות שימוש אסור.
  • שמירה על שקיפות: חשוב להציג למשתמשים הסבר מדויק, אילו נתונים אתם אוספים, למה אתם אוספים אותם ואיך אתם משתמשים בהם.
  • התנהלות מכבדת: צריך להגן על נתוני המשתמשים. כשהדבר אפשרי, כדאי לאפשר למשתמשים להעביר את הנתונים שלהם ממוצר מסוים ולפעול בהתאם לבקשות של משתמשים למחיקת הנתונים שלהם.
  • שמירה על אבטחה: טיפול בכל נתוני המשתמשים באופן מאובטח והוכחה לכך שאתם פועלים בהתאם לנוהלי אבטחה מסוימים.
  • הקפדה על קונקרטיות: אל תבקשו גישה לנתונים שאתם לא צריכים. הגישה לנתונים צריכה להיות כדי לספק רק את התכונות של האפליקציה או השירות שמועילות למשתמשים.

התנאים וההגבלות של Google APIs, המדיניות בנושא נתוני משתמשים בשירותי Google API ומדיניות OAuth 2.0 מכתיבים את אופן השימוש בכל שירותי Google API כאשר המפתחים מבקשים גישה לנתוני משתמשים. נתוני המשתמש והמדיניות למפתחים ב-Data Portability API כוללים מידע נוסף שמנהל את השימוש ואת הגישה שלכם ל-Data Portability API. Data Portability API מעניק למשתמשי הקצה באזור הכלכלי האירופי (EEA) יותר שליטה בנתונים שלהם, כי הוא מאפשר להעביר נתונים מ-Google בקלות רבה יותר.

בנוסף ל-Google Takeout, גם ב-Data Portability API מובטח למשתמשים גישה פרטנית וישירה, ושליטה בנתונים שלהם. למידע נוסף על מדיניות הפרטיות של Google ועל אמצעי הבקרה על הפרטיות שמעניקים למשתמשים שליטה.

כדאי לבדוק את הדף הזה מדי פעם. המדיניות הזו מתעדכנת מדי פעם. באחריותו של המפתח לעקוב אחר כללי המדיניות האלה ולוודא שהם תואמים למדיניות באופן קבוע. אם לא תוכלו לעמוד בדרישות המדיניות בכל שלב, או אם קיים סיכון משמעותי שלא תוכלו לעמוד בהן, עליכם להפסיק מיד את השימוש בשירותים שלנו וליצור איתנו קשר. Google שומרת לעצמה את הזכות להסיר או להגביל את הגישה לנתוני המשתמשים ב-Google במקרה של אי ציות למדיניות הזו. במקרה של סתירה בין המדיניות הזו או בין תנאים אחרים לשירותי API, המדיניות הזו של Data Portability API מקבלת קדימות.

גישה הולמת לנתוני המשתמשים ושימוש בהם

בקשות לייצוא נתוני משתמשים חייבות להיות ברורות ומובנות. ניתן להשתמש ב-Data Portability API רק בהתאם למדיניות, לתנאים ולהגבלות הרלוונטיים, ולתרחישים לדוגמה שמועילים למשתמשים, כפי שמוגדר במדיניות הזו. כלומר, מפתחים יכולים לבקש גישה להרשאות רק כשאפליקציה או שירות עומדים באחד מהתרחישים לדוגמה שאושרו.

תרחישים לדוגמה שאושרו לגישה להרשאות הם:

  • אפליקציות או שירותים עם תכונה אחת או יותר שהמטרה העיקרית שלהם היא להועיל למשתמש, כי הם מאפשרים להם להעביר, להעתיק או להעביר נתוני משתמשים משירות Google אחד לפלטפורמה או לשירות אחרים לטובת המשתמש.

מבקשים את ההרשאות המינימליות הרלוונטיות

מפתחים יכולים לבקש גישה רק להרשאות שהן קריטיות להטמעת תכונות באפליקציה או בשירות. מה זה אומר?

  • אל תבקשו גישה למידע שאתם לא צריכים. אם למוצר לא נדרשת גישה להרשאות ספציפיות, אסור לבקש גישה להרשאות האלה. אל תנסו "להכין את הגישה לעתיד" לנתוני המשתמשים על ידי בקשת גישה למידע שיכול להועיל לשירותים או לתכונות שלא יושמו.

  • מבקשים הרשאות בהקשר המתאים, כשהדבר אפשרי. צריך לבקש גישה לנתוני המשתמשים בהקשר המתאים (כשאפשר) באמצעות שימוש בהרשאה מצטברת. כך המשתמשים יכולים להבין למה הם צריכים את הנתונים.

הודעה ואמצעי בקרה שקופים ומדויקים

Data Portability API מטפל במידע אישי ורגיש. כל האפליקציות והשירותים חייבים לכלול מדיניות פרטיות, שמפרטת בצורה מקיפה איך האפליקציה או שירות האינטרנט אוספים את נתוני המשתמשים, משתמשים בהם ומשתפים אותם. זה כולל את סוגי הצדדים שאיתם משתפים נתוני משתמש, איך אתם משתמשים בנתונים, איך אתם מאחסנים ומאבטחים אותם, ומה קורה לנתונים כשחשבון מושבת או נמחק.

אפליקציות ושירותים צריכים גם לבקש גישה לנתוני משתמשים בהקשר המתאים, על ידי שימוש בהרשאה מצטברת כדי שהמשתמשים יבינו טוב יותר אילו נתונים מסופקים, למה צריך אותם ואיך נעשה בהם שימוש. בנוסף לדרישות בכפוף לדין החל, עליכם גם לפעול בהתאם לדרישות הבאות שמשקפות את המדיניות בנושא OAuth 2.0 ואת המדיניות בנושא נתוני משתמשים בשירותי Google API:

  1. המפתחים חייבים לספק גילוי נאות לגבי ייצוא הנתונים, גישה, איסוף, שימוש בהם ושיתוף שלהם. הגילוי הנאות:
    1. צריך לייצג במדויק את הזהות של האפליקציה או השירות שמבקשים גישה לנתוני המשתמש.
    2. חייב להופיע בתוך האפליקציה אם היא מבוססת על אפליקציה, או בחלון דו-שיח נפרד אם היא מבוססת אינטרנט.
    3. המודעה צריכה להיות מוצגת בשימוש הרגיל של האפליקציה אם היא מבוססת על אפליקציה או אתר אם היא מבוססת אינטרנט, ואינה צריכה לחייב את המשתמש לנווט בתפריט או בהגדרות;
    4. חובה לספק מידע ברור ומדויק שמסביר את סוגי הנתונים שאליהם מתבצעת גישה, הבקשה, הייצוא או האיסוף.
    5. יש להסביר את אופן השימוש בנתונים והשיתוף שלהם. אם מבקשים לייצא נתונים מסיבה אחת, אבל הנתונים משמשים גם למטרה משנית, צריך ליידע את המשתמשים לגבי שני התרחישים לדוגמה;
    6. לא יכול להופיע רק כחלק ממדיניות הפרטיות או בתנאים ובהגבלות.
    7. לא יכול להיכלל בגילויים נאותים אחרים שלא קשורים לאיסוף מידע אישי ורגיש.

  2. הודעת הגילוי הנאות של המפתח חייבת להופיע בליווי בקשה להסכמת המשתמשים ומיד אחריה. אסור להתחיל באיסוף לפני קבלת הסכמה מאושרת. בקשת ההסכמה:
    1. צריך להציג את תיבת הדו-שיח להבעת הסכמה בצורה ברורה וחד-משמעית,
    2. הן חייבות לדרוש פעולת משתמש יזומה כדי לקבל את התנאים, כמו בחירה לאשר, סימון תיבה או פקודה מילולית כדי לאשר.
    3. אסור לפרש יציאה מהגילוי הנאות בתור הסכמה. זה כולל לחיצה ליציאה או לחיצה על הלחצן 'הקודם' או על לחצן דף הבית.
    4. אסור להשתמש בסגירה אוטומטית או בהודעות שמוצגות למשך זמן קצוב.
  3. חובה לספק תיעוד לעזרה למשתמשים, שמסביר איך משתמשים יכולים לנהל ולמחוק את הנתונים שלהם מהאפליקציה.

שימוש מוגבל בנתוני משתמשים

כשנכנסים ל-Data Portability API לצורך שימוש הולם, השימוש של המפתח בנתונים שהתקבלו חייב לעמוד בדרישות הבאות. הדרישות האלה חלות על היקפים רגישים ומוגבלים, על הנתונים הגולמיים שמתקבלים מ-Data Portability API ועל נתונים נצברים, אנונימיים, ללא פרטי זיהוי או שנגזרו מהנתונים הגולמיים.

  1. צריך להגביל את השימוש בנתונים כדי לספק או לשפר את התרחיש לדוגמה או את התכונות שמוצגים ובולטים בממשק המשתמש של האפליקציה שממנה נשלחה הבקשה.
  2. אין להעביר נתונים, למעט:
    1. כדי לספק או לשפר את התרחיש לדוגמה המתאים או תכונות גלויות למשתמש, שיהיו ברורות מממשק המשתמש של האפליקציה ששלחה בקשה ורק בהסכמת המשתמש;
    2. למטרות אבטחה כמו חקירת ניצול לרעה;
    3. כדי לציית לתקנות או לחוקים החלים; או
    4. כחלק ממיזוג, רכישה או מכירה של הנכסים של המפתח לאחר קבלת הסכמה מפורשת מראש מהמשתמש.

  3. בני אדם לא יכולים לקרוא נתוני משתמשים, אלא אם:
    1. קיבלת ותיעדת את ההסכמה המפורשת של המשתמש לקרוא נתונים ספציפיים. לדוגמה: איך לעזור למשתמש לקבל שוב גישה למוצר או לשירות אחרי שאיבד את הסיסמה;
    2. הנתונים, כולל נגזרות, נצברים ומשמשים לפעולות פנימיות בהתאם לפרטיות הרלוונטית ולדרישות משפטיות אחרות שקשורות לסמכות שיפוט;
    3. זה נחוץ למטרות אבטחה כמו חקירת ניצול לרעה; או
    4. יש לציית לחוקים או לתקנות החלים.

יש להציג באפליקציה או באתר ששייך לשירות או לאפליקציה הצהרה או הצהרה דומה אחרת על כך שהשימוש של האפליקציה או השירות בנתונים עומד בהגבלות השימוש המוגבל. לדוגמה, קישור בדף הבית לדף ייעודי או למדיניות פרטיות שמציין:

"השימוש במידע שמתקבל מ-Data Portability API נעשה בהתאם למדיניות Google בנושא נתוני משתמשים, כולל הדרישות לשימוש מוגבל".

אפשר להשתמש במשפטים דומים בהתאם להגבלות על שיתוף הנתונים בקטע 'שימוש מוגבל'.

שמירה על סביבת תפעול מאובטחת

חובה לטפל באופן מאובטח בכל נתוני המשתמשים. יש לנקוט צעדים סבירים והולם כדי להגן על כל האפליקציות או המערכות שמשתמשות ב-Data Portability API מפני גישה לא מורשית או לא חוקית, שימוש, השמדה, אובדן, שינוי וחשיפה.

אפליקציות שמקבלות גישה להיקפים מוגבלים חייבות לפעול בהתאם לנוהלי אבטחה מסוימים. שיטות האבטחה המומלצות כוללות הטמעה ותחזוקה של מערכת ניהול אבטחת מידע כפי שמתואר ב-ISO/IEC 27001, והקפדה על תקינות האפליקציה או שירות האינטרנט ושמירה על תקינות ועל בעיות אבטחה נפוצות, כפי שהוגדרו ב-10 המובילים של OWASP.

אמצעי האבטחה הנדרשים כוללים:

  1. שימוש בתקן הצפנה מקובל בתחום כדי להצפין נתוני משתמשים, אם הם:
    1. מאוחסנים במכשירים ניידים או במדיה אלקטרונית ניידת.
    2. תחזוקה מחוץ למערכות של Google או של המפתח;
    3. מועברים ברשת חיצונית כלשהי שלא מנוהלת רק על ידך, וגם
    4. במצב מנוחה במערכות של המפתח.
  2. העברת נתונים באמצעות פרוטוקולים מאובטחים ומודרניים כמו HTTPS.
  3. שמירה על הצפנה במנוחה של נתוני המשתמשים ופרטי הכניסה, במיוחד אסימונים כמו גישה ל-OAuth ואסימוני רענון.
  4. חשוב לוודא שהמפתחות וחומרי המפתחות מנוהלים כראוי, למשל כשהם מאוחסנים במודול אבטחה לחומרה או במערכת ניהול מפתחות בעוצמה מקבילה.

אמצעי האבטחה הנדרשים להיקפים מוגבלים כוללים ביצוע של ההנחיות שמפורטות בדף Cloud Application Security Assessment (CASA). בנוסף, יכול להיות שתידרשו גם לאפשר לאפליקציה או לשירות לעבור בדיקת אבטחה תקופתית ולקבל מכתב הערכה מצד שלישי ש-Google הגדירה.

אתם מסכימים להודיע ל-Google באופן מיידי בכתובת security@google.com על כל גישה לא מורשית ידועה או חשודה לגישה בלתי מורשית למערכות, לרשתות, לחשבונות או למיקומים אחרים שבהם מאוחסנים נתוני Google. האירוע הזה נקרא 'אירוע אבטחה'. את/ה מסכים/ה לשתף פעולה באופן מלא עם Google כדי לתקן כל תקרית אבטחה ידועה או חשודה, ובכל מקרה כזה, להודיע ל-Google בכתובת security@google.com לפני פרסום הצהרות ציבוריות בנוגע לאירוע אבטחה ידוע או חשד.

היקפי ההרשאות של OAuth 2.0

לרשימה של כל ההיקפים וקבוצות המשאבים של Data Portability API, קראו את היקפי ההרשאות של OAuth 2.0 ל-Google APIs.

מידע נוסף על היקפים מוגבלים זמין ברשימת ההיקפים המוגבלים.