Workspace API 用户数据和开发者政策

作为使用 Google Workspace API 的开发者,您经常收集和管理敏感的用户数据。请牢记以下几点主要原则:

  • 保护隐私:请勿将 Workspace 用户数据用于禁止的用途。我们禁止第三方出售用户数据或出于广告目的使用用户数据。
  • 公开透明:向用户准确说明并解释您将收集哪些数据、收集数据的原因以及将如何使用这些数据。
  • 尊重用户:遵从用户要求删除其数据的请求。
  • 安全无虞:以安全无虞的方式处理所有用户数据,并证明您遵循了特定的安全做法。
  • 具体说明:请勿请求访问您不需要的数据。所有数据访问权限都应仅用于提供有益于用户的应用或服务功能。

Workspace API 服务用户数据政策

当您(开发者)请求访问用户数据时,所有 Google API 服务的使用均受 Google API 服务用户数据政策的约束。此 Workspace API 服务用户数据和开发者政策包含更多信息,用于规范您在请求访问用户数据时对 Workspace API(包括 Gmail、Chat、云端硬盘、表格和其他 Google Workspace 产品)的使用和访问权限。

除了以下政策外,《Google API 服务条款》《Google Chat 可接受的使用政策》《Google Chat 开发者指南》《Google 云端硬盘 API 服务条款》《Google 云端硬盘计划政策》《Google 云端硬盘开发者指南》《Gmail 计划政策》《Gmail 开发者指南》《Google Apps Script 服务条款》OAuth 2.0 政策还会约束您对 Workspace API 和关联的用户数据的使用和访问。您在使用该产品时可能还须遵守 《Google Workspace Marketplace 开发者协议》。我们还要求您遵守所有适用的法律法规。

我们会不时更新这些政策,因此请经常回来查看。 您有责任定期监控并确保自己遵守这些政策。如果您在任何时候都无法满足我们政策的要求(或者存在无法满足这些要求的重大风险),请立即停止使用我们的服务并与我们联系。如果您不遵守此政策,我们保留移除或限制您访问 Google 用户数据的权利。

适当访问和使用 Google Gmail API

必须以清晰、易懂的方式请求访问用户数据。使用 Google Workspace API 时必须遵守适用的政策、条款及条件,并且仅限于本政策中规定的已批准使用情形。这意味着,只有当应用或服务符合某一种已获批准的使用情形时,您才能请求使用相关权限。只有当您的应用或服务符合某种已获批准的使用情形时,您才能请求访问 Workspace API。

可使用 Gmail API 权限范围的已获批使用情形如下:

  1. 内置和 Web 电子邮件客户端,可让用户通过界面撰写、发送、阅读和处理电子邮件。
  2. 自动备份电子邮件的应用
  3. 出于提高效率目的而提升电子邮件体验的应用(例如用于客户关系管理、延迟发送电子邮件或邮件合并,或提供生成式 AI 摘要的应用)
  4. 使用电子邮件中的信息提供报告或监控服务的应用,以便用户改善电子邮件体验(例如,自动生成行程或跟踪航班或包裹递送状态的应用)

以下应用类型是未获准访问 Gmail API 权限范围的应用示例。这些内容包括但不限于:

  1. 移动设备键盘。
  2. 一次性或手动导出电子邮件的应用。
  3. 在 Gmail 中存储或备份电子邮件以外的数据的应用。
  4. 使用多个账号滥用 Google 政策、绕过 Gmail 账号限制、规避过滤器和垃圾内容,或以其他方式突破限制的应用。
  5. 发布垃圾内容或未经请求主动发送的商业内容的应用。例如,只要用户同意接收电子邮件,发送大量商业邮件(例如客户关系管理)的应用就会获得批准。

适当访问和使用 Google 云端硬盘 API

只有当您的应用或服务符合我们批准的某种使用情形时,您才能请求使用 Google 云端硬盘 API。

可使用 Google 云端硬盘 API 权限范围的已获批使用情形如下:

  1. 提供本地同步或自动备份用户云端硬盘文件的内置应用和 Web 应用。
  2. 仅使用“受限范围”权限通过应用界面处理云端硬盘文件(或其元数据或权限)的效率应用和教育应用(例如任务管理、记事、工作组通信和课堂协作应用)。
  3. 报告和安全应用,可为用户或客户提供有关文件共享或访问方式的分析洞见。

不允许将 Google 云端硬盘 API 用于某些用例,包括:

  1. 将用户或应用内容从开发者的应用或项目备份到云端硬盘。
  2. 加密货币挖矿。
  3. 未经授权,广泛分发或传播受版权保护的内容。
  4. 使用云端硬盘替代大规模内容分发网络 (CDN)。
  5. 文件克隆工具,可实现用户存储空间分片和/或规避云端硬盘存储空间限制。
  6. 使用多个账号滥用 Google 政策、绕过 Google 云端硬盘账号限制或以其他方式突破限制的应用。
  7. 分发垃圾内容或未经请求主动发送的商业信息的应用。例如,只要用户同意接收消息,发送批量商业消息的应用(例如客户关系管理)就会获得批准。

以适当的方式访问和使用 Google Chat API

只有当您的应用或服务符合我们批准的某种使用情形时,您才能请求使用 Google Chat API。

可使用 Google Chat API 权限范围的已获批使用情形如下:

  1. 内置应用和 Web 应用,可让用户通过界面撰写、发送、阅读和处理 Chat 消息或类似通信内容。
  2. 出于提高工作效率的目的而增强 Chat 体验的应用(例如,可让您向聊天室中的其他成员分配任务的 Google Chat 任务管理应用)。
  3. 使用 Chat 消息中的信息为用户提供报告或监控服务的应用(例如,用于通知用户同事外出办公的应用)。
  4. 导入消息、成员资格、群组或其他类似 Google Chat 功能的应用。
  5. 通过 Google Chat API 交换和使用数据的应用,以便与其他即时通讯产品、服务或功能进行互操作。

不允许将 Google Chat API 用于某些用例,包括:

  1. 将 Chat 用作大型内容分发网络 (CDN) 的替代方案。
  2. 使用多个账号滥用 Google 政策、绕过 Google Chat 账号限制或以其他方式突破限制的应用。
  3. 分发垃圾内容或未经请求主动发送的商业信息的应用。例如,只要用户同意接收消息,发送批量商业消息的应用(例如客户关系管理)就会获得批准。

请求最少的相关权限

您只能请求使用对于实现应用或服务的功能至关重要的权限。这意味着:

请勿请求访问您不需要的信息。仅请求使用为实现应用的功能或服务而必须具备的权限。如果您的应用不需要使用特定权限,您就不得请求使用这些权限。不得为了保障对用户数据的访问权限的未来发展,尝试请求访问可能会给尚未实现的服务或功能带来好处的信息。

尽可能在上下文中请求权限。请尽可能仅在用户执行相关操作时请求访问上下文中用户数据(通过渐进式授权),以便用户了解您需要相应数据的原因。

透明且准确的通知和控制措施

您需要提供隐私权政策,说明您的应用或网站服务如何收集、使用和分享用户数据。

应用和服务还必须在用户执行相关操作时发出数据访问权限请求(通过渐进式授权),说明您需要数据的原因以及将如何使用这些数据。除了适用法律的要求之外,您还必须遵守以下要求,这些要求反映了我们的 OAuth 2.0Google API 服务用户数据政策:

  1. 您必须提供披露声明,说明您对数据的获取、收集、使用和分享行为。披露声明:

    1. 必须准确表明要访问用户数据的应用或服务的身份;
    2. 如果是基于应用的,则必须在应用内;如果是基于网站的,则必须在单独的对话框窗口中;
    3. 如果是基于应用的,则必须在用户正常使用应用的情况下显示;如果是基于网站的,则必须在用户正常使用网站的情况下显示,并且无需用户打开任何菜单或设置就能查看;
    4. 必须提供清晰准确的信息,说明要访问、请求和/或收集的数据类型;
    5. 必须说明数据的使用和/分享方式:如果您出于某种原因请求数据,但也会将数据用于另一目的,则必须向用户告知这两种使用情形;
    6. 不得仅列在隐私权政策或服务条款中;并且
    7. 不得包含在其他与个人数据和敏感数据收集无关的披露声明中。

  2. 在明示披露声明后必须紧接着显示征求用户同意的请求。您必须先征得用户明确同意,然后才能开始收集。征求用户同意时,必须满足以下要求:

    1. 征求同意的对话框必须以清楚明确的方式呈现;
    2. 必须要求用户执行明确的确认操作(例如点按接受、勾选复选框、发出语音指令等)来给予授权;
    3. 不得将用户离开披露声明页面的操作(包括点按其他位置离开或者按返回或主屏幕按钮)视为同意;并且
    4. 不得使用会自动关闭或设有期限的消息。

  3. 您必须向用户提供帮助文档,让用户了解应如何在您的应用或服务中管理和删除他们的数据。

限制使用用户数据

在将 Workspace API 用于适当用途时,若要使用获取的数据,还必须遵守以下要求。这些要求适用于从敏感受限范围派生的数据。

  1. 只能将数据用于实现适当的使用情形,或者提供或改进在发出请求的应用的界面中以醒目方式显示的功能。

  2. 除以下情况外,不允许转移数据:

    1. 为了实现适当的使用情形,或者提供或改进在发出请求的应用的界面中以醒目方式显示的面向用户的功能(仅在征得用户同意的前提下);
    2. 出于安全考虑(例如调查滥用行为);
    3. 相应行为遵守适用的法律和/或法规;或者
    4. 在事先征得用户明确同意的前提下,将用户数据作为开发者资产的一部分进行合并、收购或出售。

  3. 除以下情形外,禁止真人读取用户数据:

    1. 您已就读取特定数据的行为征得用户的明确同意(例如,在用户丢失密码后帮助其重新访问产品或服务),并记录了相关情况;
    2. 数据(包括派生数据)已按照适用的隐私权法律要求和所在管辖区内的其他法律要求进行汇总和匿名化处理,并且用于内部运营;
    3. 出于安全考虑(例如调查滥用行为),有必要传输相关数据;或者
    4. 相应行为遵守适用的法律和/或法规。

完全禁止任何其他传输、使用或出售用户数据的行为,包括

  1. 向第三方(如广告平台、数据代理商或任何信息转销商)传输或出售用户数据。
  2. 以投放广告(包括再营销、个性化广告或针对用户兴趣投放广告)为目的传输、出售或使用用户数据。
  3. 以确定用户的信誉度或进行贷款为目的传输、出售或使用用户数据。
  4. 传输、出售或使用用户数据来创建、训练或改进机器学习或人工智能模型,而不仅仅是针对特定用户的个性化模型,以便用于适当的应用场景或面向用户的功能。

您必须在应用中或您网络服务或应用所属的网站上披露肯定性声明或其他类似声明,声明您在使用数据时会遵守“有限使用”限制;例如,在首页上添加指向专用页面或隐私权政策的链接,其中指出:“使用从 Workspace API 收到的信息将遵守 Google 用户数据政策,包括“有限使用”要求。”

维护安全的操作环境

确保在传输和存储期间妥善处理所有用户数据。采取合理且适当的措施来保护使用 Workspace API 的所有应用或系统,以及从中派生的任何数据,以免遭到未经授权或非法的访问、使用、损坏、损失、篡改或披露。

访问受限范围的应用必须证明其遵循了特定的安全做法。

建议的安全做法包括,实施并维护信息安全管理系统(如 ISO/IEC 27001 中所述),并确保您的应用或 Web 服务稳定可靠,且不存在 OWASP 十大风险中所列的常见安全问题。

必需的安全措施包括:

  1. 使用业界认可的加密标准加密以下用户数据:

    1. 存储在便携式设备或便携式电子媒体中;
    2. 在 Google 或您的系统之外进行维护;
    3. 通过任何不完全由您管理的外部网络传输;并且
    4. 在您的系统上处于休眠状态。

  2. 使用安全的新型协议(例如通过 HTTPS)传输数据。

  3. 将用户数据和凭据(尤其是 OAuth 访问令牌和刷新令牌等令牌)保持在休眠状态下的加密状态。

  4. 确保密钥和密钥材料得到妥善管理,例如存储在硬件安全模块或等效强度的密钥管理系统中。

受限范围的强制性安全措施还包括遵循 Cloud 应用安全性评估 (CASA)。此外,根据要访问的 API 以及用户授权数量或用户人数,Google 可能还会要求您的应用或服务接受定期安全评估,并从 Google 指定的第三方获取评估文件。

您同意,如果发现任何已知或疑似的未经授权访问 Google 数据存储系统、网络、账号或其他位置(以下简称“安全事件”)的情况,应立即发送电子邮件至 security@google.com 通知 Google。您同意与 Google 全面合作,纠正任何已知或疑似的安全事件,并在发生任何此类事件时,先发送电子邮件至 security@google.com 通知 Google,然后再就任何已知或疑似的安全事件发表任何公开声明。

受限范围

Workspace 受限范围包括:

  1. 任何允许应用执行以下操作的 Gmail API 作用域:

    1. 读取、创建或修改邮件正文(包括附件)、元数据或标头;或
    2. 控制邮箱访问权限、电子邮件转发或管理设置。

  2. 允许应用执行以下操作的任何 Google Drive API 范围:

    1. 读取、修改或管理用户云端硬盘文件的内容或元数据,而无需用户逐个授予文件访问权限。

  3. 允许应用执行以下操作的任何 Google Chat API 权限范围:

    1. 读取、修改或管理用户的 Chat 消息的内容或元数据。

如需了解详情,请参阅受限范围列表