נתוני המשתמשים והמדיניות למפתחים ב-Workspace API

מפתחים שמשתמשים ב-Google Workspace APIs אוספים ומנהלים לעיתים קרובות נתונים רגישים של משתמשים. חשוב לזכור את עקרונות המפתח הבאים:

  • הגנה על הפרטיות: אל תשתמשו בנתוני משתמשים ב-Workspace לשימושים אסורים. אנחנו אוסרים על צדדים שלישיים למכור נתוני משתמשים או להשתמש בנתוני משתמשים למטרות פרסום.
  • שקיפות: חשוב להציג למשתמשים בצורה מדויקת ולהסביר להם אילו נתונים אתם אוספים, למה אתם אוספים אותם ואיך אתם משתמשים בהם.
  • מכבדים את המשתמשים: נענים לבקשות של משתמשים למחוק את הנתונים שלהם.
  • אבטחה: צריך לטפל בכל נתוני המשתמשים באופן מאובטח ולהוכיח שאתם פועלים בהתאם לשיטות אבטחה מסוימות.
  • היו ספציפיים: אל תבקשו גישה לנתונים שאתם לא צריכים. הגישה לנתונים צריכה להיות רק כדי לספק את התכונות המועילות למשתמש באפליקציה או בשירות שלכם.

המדיניות בנושא נתוני משתמשים בשירותי API של Workspace

המדיניות של Google בנושא נתוני משתמשים בשירותי API חלה על השימוש בכל שירותי Google API כשאתם, המפתחים, מבקשים לגשת לנתוני משתמשים. מדיניות המפתחים ומדיניות השימוש בנתוני משתמשים בשירותי API של Workspace כוללת מידע נוסף שחל על השימוש שלכם בממשקי API של Workspace והגישה שלכם אליהם, כולל Gmail, ‏ Chat, ‏ Drive, ‏ Sheets ומוצרים אחרים של Google Workspace, כשאתם מבקשים לגשת לנתוני משתמשים.

בנוסף למדיניות שבהמשך, השימוש שלכם בממשקי ה-API של Workspace ובנתוני המשתמשים שמשויכים אליהם והגישה שלכם אליהם כפופים גם לתנאים ולהגבלות של ממשקי ה-API של Google, למדיניות השימוש המקובל של Google Chat, למדריך למפתחים של Google Chat, לתנאים ולהגבלות של Google Drive API, למדיניות התוכנית של Google Drive, למדריך למפתחים של Google Drive, למדיניות התוכנית של Gmail, למדריך למפתחים של Gmail, למדיניות השימוש המקובל של Google Meet, לתנאים ולהגבלות של Google Apps Script ולמדיניות OAuth 2.0. השימוש שלכם עשוי להיות כפוף גם להסכם למפתחים ב-Google Workspace Marketplace. אנחנו גם דורשים מכם לציית לכל החוקים והתקנות הרלוונטיים.

אנחנו עשויים לעדכן את המדיניות, לכן מומלץ לחזור ולבדוק אותה מדי פעם. באחריותכם לעקוב אחרי המדיניות הזו ולוודא שאתם עומדים בדרישות שלה על בסיס קבוע. אם בכל שלב לא תעמדו בדרישות המדיניות שלנו (או אם קיים סיכון משמעותי לכך שלא תעמדו בהן), עליכם להפסיק מיד את השימוש בשירותים שלנו ולפנות אלינו. אנחנו שומרים לעצמנו את הזכות להסיר נתונים של משתמשי Google או להגביל את הגישה אליהם אם לא תפעלו בהתאם למדיניות הזו.

גישה ושימוש הולמים בממשקי API של Google Gmail

בקשות לקבלת גישה לנתוני משתמשים צריכות להיות ברורות ומובנות. אפשר להשתמש בממשקי API של Google Workspace רק בהתאם לכללי המדיניות ולתנאים ולהגבלות החלים, ורק בתרחישי השימוש המאושרים כפי שהוגדרו במדיניות הזו. כלומר, אפשר לבקש גישה להרשאות רק אם האפליקציה או השירות עומדים באחד מתרחישי השימוש המאושרים. אפשר לבקש גישה לממשקי Workspace API רק אם האפליקציה או השירות שלכם עומדים באחד מהתרחישים המאושרים לשימוש.

תרחישי שימוש מאושרים לגישה להרשאות של Gmail API scopes:

  1. תוכנות אימייל מובנות ואינטרנטיות שמאפשרות למשתמשים לכתוב, לשלוח, לקרוא ולעבד אימייל דרך ממשק משתמש.
  2. אפליקציות שמגבות אימייל באופן אוטומטי
  3. אפליקציות שמשפרות את חוויית השימוש באימייל למטרות פרודוקטיביות (כמו אפליקציות לניהול קשרי לקוחות, לשליחת אימייל או למיזוג מידע באימייל עם עיכוב, או אפליקציות שמספקות סיכומים מ-AI גנרטיבי)
  4. אפליקציות שמשתמשות במידע מאימיילים כדי לספק שירותי דיווח או ניטור לטובת המשתמשים, במטרה לשפר את חוויית השימוש באימייל (למשל אפליקציות שמבצעות אוטומציה של מסלולי נסיעה או עוקבות אחרי טיסות או סטטוס משלוח של חבילות)

היקפי ההרשאות של Gmail API לא מורשים לשימוש בתרחישים מסוימים. האיסור הזה כולל, בין היתר:

  1. מקלדות בנייד.
  2. אפליקציות שמייצאות אימייל באופן חד-פעמי או ידני.
  3. אפליקציות שמאחסנות או מגבות נתונים שאינם הודעות אימייל ב-Gmail.
  4. אפליקציות שמשתמשות בכמה חשבונות כדי להפר את המדיניות של Google, לעקוף את הגבלות החשבון של Gmail, להערים על מסננים ועל ספאם או להתחמק מהגבלות אחרות שקשורות לניצול לרעה או לבטיחות.
  5. אפליקציות שמפיצות ספאם או אימייל מסחרי לא רצוי. לדוגמה, אפליקציות ששולחות דואר מסחרי לרשימות תפוצה, כמו ניהול קשרי לקוחות, מאושרות בתנאי שהמשתמש הסכים לקבל אימיילים.

גישה מתאימה ל-Google Drive APIs ושימוש בהם

אפשר לבקש גישה ל-Google Drive APIs רק אם האפליקציה או השירות שלכם עומדים באחד מתרחישי השימוש המאושרים שלנו.

תרחישי שימוש מאושרים לגישה להרשאות של היקפי Google Drive API:

  1. אפליקציות מובנות ואפליקציות אינטרנט שמספקות סנכרון מקומי או גיבוי אוטומטי של קבצים ב-Drive של המשתמשים.
  2. אפליקציות לשיפור הפרודוקטיביות ואפליקציות חינוכיות (לדוגמה, אפליקציות לניהול משימות, לסיכום פגישות, לתקשורת בין קבוצות עבודה ולשיתוף פעולה בכיתה) שמשתמשות רק בהיקפי הרשאות מוגבלים כדי לטפל בקבצים ב-Drive (או במטא-נתונים או בהרשאות שלהם) דרך ממשק המשתמש של האפליקציה.
  3. אפליקציות דיווח ואבטחה שמספקות למשתמשים או ללקוחות תובנות לגבי האופן שבו קבצים משותפים או מתבצעת אליהם גישה.

אין אפשרות להשתמש ב-API של Google Drive בתרחישים מסוימים. האיסור הזה כולל, בין היתר:

  1. גיבוי של תוכן משתמשים או תוכן אפליקציה מאפליקציה או מפרויקט של מפתח ל-Drive.
  2. כריית מטבעות וירטואליים.
  3. הפצה רחבה של סרטונים או הפצה של תוכן שמוגן בזכויות יוצרים ללא אישור.
  4. שימוש ב-Drive כתחליף לרשת להעברת תוכן (CDN) בהיקף נרחב.
  5. כלים לשכפול קבצים שמאפשרים חלוקה של אחסון המשתמשים ו/או עקיפה של מגבלות האחסון ב-Drive.
  6. אפליקציות שמשתמשות בכמה חשבונות כדי להפר את המדיניות של Google, לעקוף את ההגבלות על חשבון Google Drive או להתחמק מהגבלות אחרות שקשורות להתנהלות פוגעת או לבטיחות.
  7. אפליקציות שמפיצות ספאם או הודעות מסחריות לא רצויות. לדוגמה, אפליקציות ששולחות כמות גדולה של הודעות מסחריות, כמו אפליקציות לניהול קשרי לקוחות, מאושרות כל עוד המשתמש הסכים לקבל הודעות.

גישה ושימוש הולמים בממשקי Google Chat API

אפשר לבקש גישה לממשקי Google Chat API רק אם האפליקציה או השירות שלכם עומדים באחד מתרחישי השימוש המאושרים שלנו.

תרחישים לדוגמה מאושרים לגישה להרשאות של היקפי Google Chat API:

  1. אפליקציות מובנות ואפליקציות אינטרנט שמאפשרות למשתמשים לכתוב, לשלוח, לקרוא ולעבד הודעות ב-Chat או תקשורת דומה דרך ממשק משתמש.
  2. אפליקציות שמשפרות את חוויית השימוש ב-Chat למטרות פרודוקטיביות (לדוגמה, אפליקציה לניהול משימות ב-Google Chat שמאפשרת להקצות משימות למשתמשים אחרים במרחב).
  3. אפליקציות שמשתמשות במידע מהודעות ב-Chat כדי לספק שירותי דיווח או ניטור לטובת המשתמשים (לדוגמה, אפליקציה שמודיעה למשתמשים שעמית נמצא מחוץ למשרד).
  4. אפליקציות שמייבאות הודעות, חברים, קבוצות או פונקציות דומות אחרות של Google Chat.
  5. אפליקציות שמחליפות נתונים שהתקבלו באמצעות ממשקי API של Google Chat ומשתמשות בהם כדי לפעול באופן הדדי עם מוצרים, שירותים או תכונות אחרים להעברת הודעות.

אסור להשתמש ב-Google Chat API בתרחישים מסוימים. האיסור הזה כולל, בין היתר:

  1. שימוש ב-Chat כתחליף לרשת להעברת תוכן (CDN) בקנה מידה גדול.
  2. אפליקציות שמשתמשות בכמה חשבונות כדי להפר את המדיניות של Google, לעקוף את ההגבלות על חשבונות Google Chat או להתחמק מהגבלות אחרות שקשורות לניצול לרעה או לבטיחות.
  3. אפליקציות שמפיצות ספאם או הודעות מסחריות לא רצויות. לדוגמה, אפליקציות ששולחות כמות גדולה של הודעות מסחריות, כמו אפליקציות לניהול קשרי לקוחות, מאושרות כל עוד המשתמש הסכים לקבל הודעות.

גישה ושימוש הולמים בממשקי ה-API של Google Meet

אפשר לבקש גישה לממשקי Google Meet API רק אם האפליקציה או השירות שלכם עומדים באחד מתרחישי השימוש המאושרים שלנו.

תרחישי שימוש מאושרים לגישה להרשאות של היקפי Google Meet API:

  1. אפליקציות אינטרנט ואפליקציות אינטרנט מוטמעות שמאפשרות עיבוד, סטרימינג או אחסון בזמן אמת של אודיו ווידאו מהמשתתפים בפגישה דרך ממשק משתמש, לטובת המשתמשים.
  2. אפליקציות שמשפרות את חוויית השימוש ב-Meet למטרות פרודוקטיביות (לדוגמה, אפליקציה להקלטת מסך שמאפשרת לשתף תמונות במרחב).
  3. אפליקציות שמשתמשות במידע מ-Google Meet כדי לספק שירותי דיווח או ניטור לטובת המשתמשים (לדוגמה, אפליקציה שמספקת תובנות לגבי פגישות או דיבור).
  4. אפליקציות שמחליפות נתונים ומשתמשות בנתונים שהתקבלו באמצעות ממשקי API של Google Meet כדי לפעול בשילוב עם מוצרים, שירותים או תכונות אחרים של וידאו.

יש תרחישי שימוש מסוימים שאסור להשתמש בהם בממשקי Google Meet API. האיסור הזה כולל, בין היתר:

  1. אפליקציות שעוקבות אחרי נתוני משתמשים, תוכן או מטא-נתונים של Google Meet, או מפיצות אותם, ללא אישור משפטי או הסכמה.
  2. הפצה רחבה של סרטונים או של חומר לא חוקי או תוכן שמוגן בזכויות יוצרים ללא אישור.
  3. אפליקציות שמשתמשות בכמה חשבונות כדי להפר את המדיניות של Google, לעקוף את ההגבלות על חשבונות Meet, להערים על מסננים ועל ספאם או להתחמק מהגבלות אחרות שקשורות להתנהלות פוגעת או לבטיחות (לדוגמה, אחסון או הפצה של שינויים דיגיטליים של אנשים למטרות זדוניות, או שימוש ב-API כדי להציג מצג שווא או להטעות משתמשים).

בקשת ההרשאות הרלוונטיות המינימליות

אפשר לבקש גישה רק להרשאות שחיוניות להטמעת הפונקציונליות של האפליקציה או השירות. כלומר:

אל תבקשו גישה למידע שאתם לא צריכים. צריך לבקש גישה רק להרשאות שנדרשות להטמעת התכונות או השירותים של האפליקציה. אם לאפליקציה שלך לא נדרשת גישה להרשאות ספציפיות, אסור לך לבקש גישה להרשאות האלה. אין לנסות "להכין את הגישה לנתוני המשתמשים לעתיד" באמצעות בקשה לגישה למידע שעשוי להועיל לשירותים או לתכונות שעדיין לא יושמו.

בקשת הרשאות בהקשר, אם אפשר. כדאי לבקש גישה לנתוני משתמשים רק בהקשר (באמצעות אימות מצטבר) בכל הזדמנות שמתאפשרת, כדי שהמשתמשים יבינו למה אתם צריכים את הנתונים.

הודעה שקופה ומדויקת ואמצעי בקרה

אתם צריכים לכלול מדיניות פרטיות שבה מפורט איך האפליקציה או שירות האינטרנט שלכם אוספים את נתוני המשתמשים, משתמשים בהם ומשתפים אותם.

בנוסף, אפליקציות ושירותים צריכים לבקש גישה לנתוני משתמשים בהקשר המתאים (באמצעות אימות מצטבר) שבו הנתונים נדרשים, ולהסביר איך ישתמשו בנתונים. בנוסף לדרישות שמופיעות בחוקים הרלוונטיים, עליכם לפעול בהתאם לדרישות הבאות, שמשקפות את המדיניות שלנו בנושא OAuth 2.0 ונתוני משתמשים בשירותי API של Google:

  1. עליך להציג גילוי נאות לגבי הגישה של האפליקציה לנתוני משתמשים, האיסוף שלהם, השימוש בהם והשיתוף שלהם. הודעת הגילוי הנאות:

    1. צריך לייצג בצורה מדויקת את הזהות של האפליקציה או השירות שמבקשים גישה לנתוני המשתמשים.
    2. צריכה להופיע באפליקציה עצמה אם היא מבוססת על אפליקציה, או בחלון דו-שיח נפרד אם היא מבוססת על אינטרנט.
    3. צריכה להופיע במהלך שימוש רגיל באפליקציה אם היא מבוססת על אפליקציה, או באתר אם היא מבוססת על אינטרנט, בלי שהמשתמש יצטרך לעבור לתפריט מסוים או להגדרות מסוימות כדי לראות אותה.
    4. צריכה לספק מידע ברור ומדויק שמסביר את סוגי הנתונים שיש לאפליקציה גישה אליהם, שהיא מבקשת או שהיא אוספת.
    5. צריך להסביר את אופן השימוש בנתונים או השיתוף שלהם: אם אתם מבקשים נתונים מסיבה מסוימת, אבל הנתונים ישמשו גם למטרה משנית, אתם חייבים להודיע למשתמשים על שני תרחישי השימוש.
    6. לא יכולה להופיע רק כחלק ממדיניות הפרטיות או מהתנאים וההגבלות, וגם
    7. לא יכולה להיכלל בהודעות גילוי נאות אחרות שלא קשורות לאיסוף נתונים אישיים ורגישים.

  2. הגילוי הנאות צריך להופיע ממש לפני בקשת ההסכמה מהמשתמש. אסור להתחיל באיסוף לפני קבלת הסכמה מפורשת. הדרישות לגבי בקשת ההסכמה:

    1. צריך להציג את תיבת הדו-שיח להבעת הסכמה בצורה ברורה וחד-משמעית.
    2. צריך לדרוש פעולה יזומה של המשתמש (לדוגמה: לחיצה לאישור, סימון תיבה, פקודה קולית וכו') כדי לאשר;
    3. אסור לפרש יציאה מהגילוי הנאות בתור הסכמה (כולל לחיצה ליציאה או לחיצה על הכפתור 'הקודם' או על הכפתור הראשי), וגם
    4. אסור להשתמש בהודעות שנסגרות אוטומטית או בהודעות שמוצגות למשך זמן קצוב.

  3. חובה לספק מסמכי עזרה למשתמשים שמסבירים איך המשתמשים יכולים לנהל ולמחוק את הנתונים שלהם מהאפליקציה או מהשירות.

שימוש מוגבל בנתוני משתמשים

כשניגשים לממשקי Workspace API לשימוש מתאים, השימוש בנתונים שמתקבלים חייב לעמוד בדרישות הבאות. הדרישות האלה חלות על נתונים שנגזרים מהיקפי Sensitive ו-Restricted.

  1. השימוש בנתונים צריך להיות מוגבל למקרים שבהם הם נדרשים כדי לספק או לשפר את התכונות או את תרחישי השימוש הרלוונטיים שמוצגים באופן ברור ובולט בממשק המשתמש של האפליקציה ששולחת את הבקשה.

  2. אסור להעביר נתונים, אלא אם:

    1. כדי לספק או לשפר את תרחיש השימוש המתאים או את התכונות שגלויות למשתמשים בממשק המשתמש של האפליקציה ששולחת את הבקשה, ורק בהסכמת המשתמש.
    2. למטרות אבטחה (לדוגמה, חקירת התנהלות פוגעת);
    3. לציית לחוקים ולתקנות הרלוונטיים, או
    4. כחלק ממיזוג, רכישה או מכירת נכסים של המפתח, אחרי קבלת הסכמה מפורשת מראש מהמשתמש.

  3. אסור לאפשר לבני אדם לקרוא נתוני משתמשים, אלא אם:

    1. קיבלתם את ההסכמה המפורשת של המשתמש לקרוא נתונים ספציפיים (לדוגמה, כדי לעזור למשתמש לקבל שוב גישה למוצר או לשירות אחרי שהוא איבד את הסיסמה שלו), ותיעדתם את ההסכמה הזו.
    2. הנתונים (כולל נתונים נגזרים) עוברים צבירה ואנונימיזציה, ומשמשים לפעולות פנימיות בהתאם לדרישות משפטיות רלוונטיות בנושא פרטיות ודרישות משפטיות אחרות שחלות בתחום השיפוט הרלוונטי.
    3. היא נחוצה למטרות אבטחה (לדוגמה, חקירת ניצול לרעה); או
    4. כדי לציית לחוקים ולתקנות הרלוונטיים.

כל העברה, שימוש או מכירה אחרים של נתוני משתמשים אסורים לחלוטין, כולל:

  1. העברה או מכירה של נתוני משתמשים לצדדים שלישיים כמו פלטפורמות פרסום, ברוקרים של נתונים או כל מי שמוכר מידע.
  2. העברה, מכירה או שימוש בנתוני משתמשים לצורך הצגת מודעות, כולל טירגוט מחדש, פרסום מותאם אישית או פרסום מבוסס-עניין.
  3. העברה, מכירה או שימוש בנתוני משתמשים לצורך קביעת מצב אשראי או לצורכי הלוואה.
  4. העברה, מכירה או שימוש בנתוני משתמשים כדי ליצור, לאמן או לשפר מודל של למידת מכונה או בינה מלאכותית מעבר למודל המותאם אישית של אותו משתמש ספציפי, לצורך תרחיש השימוש המתאים או תכונה שפונה למשתמשים.

צריך לכלול באפליקציה או באתר ששייכים לשירות האינטרנט או לאפליקציה שלכם הצהרה חיובית או הצהרה דומה אחרת שלפיה השימוש שלכם בנתונים תואם להגבלות על שימוש מוגבל. לדוגמה, קישור בדף הבית לדף ייעודי או למדיניות הפרטיות עם ההערה הבאה: "השימוש במידע שמתקבל מ-Workspace APIs יתבצע בהתאם למדיניות Google בנושא נתוני משתמשים, כולל הדרישות בנושא שימוש מוגבל".

שמירה על סביבת הפעלה מאובטחת

הקפידו על טיפול מאובטח בכל נתוני המשתמשים בזמן ההעברה ובזמן שהם מאוחסנים. לנקוט צעדים סבירים ומתאימים כדי להגן על כל האפליקציות או המערכות שמשתמשות בממשקי ה-API של Workspace ועל כל הנתונים שנגזרים מהם מפני גישה לא מורשית או לא חוקית, שימוש, הרס, אובדן, שינוי או חשיפה.

אפליקציות שניגשות אל היקפי הרשאות מוגבלים צריכות להוכיח שהן עומדות בדרישות של שיטות אבטחה מסוימות.

שיטות מומלצות לאבטחה כוללות הטמעה ותחזוקה של מערכת לניהול אבטחת מידע (ISMS) כמו זו שמפורטת בתקן ISO/IEC 27001, וכן לוודא שהאפליקציה או שירות האינטרנט שלכם חזקים ואין בהם בעיות אבטחה נפוצות כמו אלה שמפורטות בOWASP Top 10.

אמצעי האבטחה הנדרשים כוללים:

  1. שימוש בתקן הצפנה מקובל בתעשייה להצפנת נתוני משתמשים:

    1. מאוחסנים במכשירים ניידים או במדיה אלקטרונית ניידת;
    2. הם נשמרים מחוץ למערכות של Google או למערכות שלכם.
    3. הועברו ברשת חיצונית כלשהי שלא מנוהלת רק על ידכם; וגם,
    4. במצב מנוחה במערכות שלכם.

  2. העברת נתונים באמצעות פרוטוקולים מודרניים מאובטחים (לדוגמה, באמצעות HTTPS).

  3. שמירה של נתוני משתמשים ופרטי כניסה, במיוחד טוקנים כמו טוקנים של גישה ורענון של OAuth, כשהם מוצפנים במצב מנוחה.

  4. לוודא שהמפתחות וחומר המפתח מנוהלים בצורה מתאימה, למשל מאוחסנים במודול אבטחת חומרה או במערכת לניהול מפתחות בעוצמה שוות ערך.

אמצעי האבטחה הנדרשים עבור היקפי הרשאה מוגבלים כוללים גם את הפעולות הבאות: הערכת אבטחה של אפליקציות בענן (CASA). בנוסף, בהתאם לממשק ה-API שאליו מתבצעת הגישה ולמספר ההרשאות או המשתמשים, יכול להיות שנצטרך גם שהאפליקציה או השירות יעברו הערכת אבטחה תקופתית ויקבלו מכתב הערכה מצד שלישי שמוסמך על ידי Google.

אתם מסכימים להודיע ל-Google בהקדם האפשרי בכתובת security@google.com על כל גישה לא מורשית ידועה או חשודה למערכות, לרשתות, לחשבונות או למיקומים אחרים שבהם מאוחסנים נתונים של Google ("אירוע אבטחה"). אתם מסכימים לשתף פעולה באופן מלא עם Google כדי לתקן כל אירוע אבטחה ידוע או חשוד, ובכל מקרה כזה, להודיע ל-Google בכתובת security@google.com לפני שתפרסמו הצהרות פומביות לגבי אירוע אבטחה ידוע או חשוד.

היקפים מוגבלים

ההיקפים המוגבלים של Workspace כוללים:

  1. כל היקף של Gmail API שמאפשר לאפליקציה:

    1. קריאה, יצירה או שינוי של גוף ההודעה (כולל קבצים מצורפים), מטא-נתונים או כותרות; או
    2. שליטה בגישה לתיבת הדואר, בהעברת אימיילים או בהגדרות האדמין.

  2. כל היקף של Google Drive API שמאפשר לאפליקציה:

    1. לקרוא, לשנות או לנהל את התוכן או המטא-נתונים של קבצים ב-Drive של משתמש, בלי שהמשתמש ייתן גישה לקבצים בנפרד.

  3. כל היקף של Google Chat API שמאפשר לאפליקציה:

    1. לקרוא, לשנות או לנהל את התוכן או המטא-נתונים של הודעות Chat של משתמש.

  4. כל היקף של Google Meet API שמאפשר לאפליקציה:

    1. קריאה, שינוי או ניהול של עיבוד בזמן אמת של אודיו ווידאו מהמשתתפים בפגישה.

פרטים נוספים זמינים ברשימה של היקפי הרשאות מוגבלים.