Workspace API 用户数据和开发者政策

作为使用 Google Workspace API 的开发者,您经常收集和管理敏感的用户数据。请牢记以下关键原则:

  • 保护隐私:请勿将 Workspace 用户数据用于禁止的用途。我们禁止第三方出售用户数据或出于广告目的使用用户数据。
  • 保持透明:准确声明并向用户说明您将收集哪些数据、为何收集以及如何使用这些数据。
  • 尊重用户:尊重用户删除数据的请求。
  • 确保安全:安全地处理所有用户数据,并证明您遵循某些安全做法。
  • 内容要具体:请勿请求访问您不需要的数据。所有数据访问都应仅出于向用户提供有益于应用或服务的功能的目的。

Workspace API 服务用户数据政策

当您(开发者)请求访问用户数据时,所有 Google API 服务的使用均受 Google API 服务用户数据政策的约束。当您请求访问用户数据时,本 Workspace API 服务用户数据和开发者政策包含一些额外信息,有助于您使用和访问 Workspace API(包括 Gmail、Chat、云端硬盘、表格和其他 Google Workspace 产品)。

除以下政策外,Google API 服务条款Google Chat 使用限制政策Google Chat 开发者指南Google 云端硬盘 API 服务条款Google 云端硬盘计划政策Google 云端硬盘开发者指南Gmail 计划政策Gmail 应用使用政策以及 Gmail 应用对 API 的使用您在使用时还必须遵守 Google Workspace Marketplace 开发者协议。此外,我们还要求您遵守所有适用的法律法规。

我们会不时更新这些政策,因此请经常回来查看。 您有责任定期监控并确保自己遵守这些政策。无论您何时无法满足我们政策的要求(或者极有可能无法满足政策要求),请立即停止使用我们的服务并与我们联系。如果您违反本政策,我们保留移除或限制访问 Google 用户数据的权利。

正确访问和使用 Google Gmail API

用户数据访问权限请求必须清晰易懂。使用 Google Workspace API 时,必须遵守适用的政策、条款及条件,并且仅限于本政策中规定的已批准用例。这意味着,只有当应用或服务符合其中一种已批准的使用情形时,您才能请求使用相关权限。请仅在您的应用或服务符合我们批准的用例之一时请求对 Workspace API 的访问权限。

获准使用 Gmail API 范围权限的用例包括:

  1. 内置 Web 电子邮件客户端,可让用户通过界面撰写、发送、阅读和处理电子邮件。
  2. 自动备份电子邮件的应用
  3. 为提高工作效率而提升电子邮件体验的应用(例如客户关系管理应用、延迟发送电子邮件或邮件合并,或者提供生成式 AI 摘要)
  4. 利用电子邮件中的信息提供报告或监控服务,从而改善电子邮件体验的应用(例如,自动完成旅行行程或跟踪航班或包裹递送状态的应用)

以下应用类型是未获准访问 Gmail API 范围的应用示例。这些内容包括但不限于:

  1. 手机键盘。
  2. 一次性或手动导出电子邮件的应用。
  3. 在 Gmail 中存储或备份电子邮件以外的数据的应用程序。
  4. 使用多个帐号来滥用 Google 政策、绕过 Gmail 帐号限制、规避过滤器和垃圾邮件或以其他方式突破限制的应用。
  5. 散布垃圾邮件或未经请求的商业邮件的应用程序。例如,群发商业邮件(例如客户关系管理)的应用只要同意接收电子邮件,就会获得批准。

适当访问和使用 Google Drive API

请仅在您的应用或服务符合我们批准的用例之一时请求对 Google Drive API 的访问权限。

已获准使用 Google Drive API 范围权限的用例包括:

  1. 内置和 Web 应用,可提供本地同步或自动备份用户的云端硬盘文件。
  2. 仅使用受限范围通过应用界面处理云端硬盘文件(或其元数据或权限)的效率和教育应用(例如任务管理、记事、工作组通信和课堂协作应用)。
  3. 可让用户或客户了解文件的共享或访问方式的报告和安全应用。

某些用例不允许使用 Google Drive API,其中包括:

  1. 将用户或应用内容从开发者的应用或项目备份到云端硬盘。
  2. 加密货币挖矿。
  3. 在未经许可的情况下广泛分发或散播受版权保护的内容。
  4. 使用云端硬盘替代大规模内容分发网络 (CDN)。
  5. 可用于对用户存储空间进行分片和/或规避云端硬盘存储空间限制的文件克隆工具。
  6. 使用多个帐号来滥用 Google 政策、绕过 Google 云端硬盘帐号限制或以其他方式突破限制的应用。
  7. 应用散播垃圾信息或未经请求就发送的商业信息。例如,发送大量商业消息(例如客户关系管理)的应用只要同意接收消息,就会获得批准。

拥有适当的 Google Chat API 访问权限和使用权限

请仅在您的应用或服务符合我们批准的用例之一时请求对 Google Chat API 的访问权限。

已获准访问 Google Chat API 范围权限的用例包括:

  1. 内置应用和 Web 应用,可让用户通过界面撰写、发送、阅读和处理 Chat 消息或类似通信。
  2. 用于提升 Chat 体验以提高工作效率的应用(例如,允许您向聊天室中的其他成员分配任务的任务管理 Google Chat 应用)。
  3. 应用使用 Chat 消息中的信息来提供报告或监控服务,以满足用户的需要(例如,通知用户同事不在办公室的应用)。
  4. 应用导入消息、成员资格、群组或其他类似的 Google Chat 功能。
  5. 用于交换和使用通过 Google Chat API 获取的数据与其他即时通讯产品、服务或功能进行互操作的应用。

某些用例不允许使用 Google Chat API,包括以下用例:

  1. 使用 Chat 替代大规模内容分发网络 (CDN)。
  2. 使用多个帐号滥用 Google 政策、绕过 Google Chat 帐号限制或以其他方式突破限制的应用。
  3. 应用散播垃圾信息或未经请求就发送的商业信息。例如,发送大量商业消息(例如客户关系管理)的应用只要同意接收消息,就会获得批准。

请求最少的相关权限

您只能请求对实现应用或服务的功能至关重要的权限。这意味着:

请勿请求访问您不需要的信息。请仅请求实现应用的功能或服务所需的权限。如果您的应用不需要获取特定权限,则不得请求这些权限。请勿试图通过请求访问可能对尚未实现的服务或功能有益的信息来“保障”您对用户数据的访问。

尽可能在用户执行相关操作时请求权限。请尽可能仅在用户执行相关操作时(通过增量身份验证)请求访问用户数据,让用户了解您需要数据的原因。

透明且准确的通知和控制

您需要提供隐私权政策,披露您的应用或网络服务如何收集、使用和分享用户数据。

应用和服务还必须在您需要数据以及数据使用方式的上下文中(通过增量身份验证)请求对用户数据的访问权限。除了适用法律规定的要求外,您还必须遵循我们的 OAuth 2.0Google API 服务用户数据政策中的以下要求:

  1. 您必须披露您对数据的访问、收集、使用和分享行为。披露声明:

    1. 必须准确表明请求访问用户数据的应用或服务的身份;
    2. 如果基于应用,必须在应用内;如果基于 Web,必须在单独的对话窗口中显示;
    3. 如果基于应用或网站,并且基于 Web,并且无需用户进入菜单或设置,则必须在用户正常使用应用的情况下显示;
    4. 必须提供清晰准确的信息,说明要访问、请求和/或收集的数据类型;
    5. 必须说明数据的使用和/或分享方式:如果您出于某个原因请求数据,但数据也将用于次要用途,则必须将这两种使用情形都告知用户;
    6. 不得只列在隐私权政策或服务条款中;并且
    7. 不得包含在其他与个人数据和敏感数据收集无关的披露声明中。

  2. 您的披露声明必须紧跟在征求用户意见的请求之后显示。在征得用户明确同意之前,不得开始收集数据。用户意见征求:

    1. 意见征求对话框必须以清楚明确的方式呈现;
    2. 必须要求用户执行明确的确认操作(例如点按接受、勾选复选框、发出语音指令等)来给予授权;
    3. 不得将用户离开披露声明页面的操作(包括点按其他位置离开或者按返回或主屏幕按钮)视为同意;并且
    4. 不得使用会自动关闭或设有期限的消息。

  3. 您必须提供用户帮助文档,说明用户可以如何在您的应用或服务中管理和删除其数据。

限制用户数据的使用

出于适当用途访问 Workspace API 后,您对所获取数据的使用必须符合以下要求。这些要求适用于派生自敏感范围和受限范围的数据。

  1. 您应仅将数据用于提供或改进适当的用例,或者在发出请求的应用界面中醒目地显示的功能。

  2. 禁止传输数据,但以下情况除外:

    1. 为了提供或改进适当的用例或面向用户的功能,这些功能应在发出请求的应用界面中以醒目方式显示,并且仅在征得用户同意的情况下;
    2. 出于安全目的(例如调查滥用行为);
    3. 遵守适用的法律和/或法规;或
    4. 在事先征得用户明确同意的情况下,通过合并、收购或出售开发者资产的方式进行交易。

  3. 不允许任何人读取用户数据,除非:

    1. 您已获得用户明确同意读取特定数据(例如,帮助用户在忘记密码后重新访问产品或服务),并记录在案;
    2. 这些数据(包括衍生数据)会经过汇总和匿名化处理,并用于根据适用的隐私权和其他管辖区法律要求进行内部运营;
    3. 出于安全考虑(例如调查滥用行为),有必要使用该文件;或者
    4. 遵守适用的法律和/或法规。

完全禁止任何其他传输、使用或出售用户数据的行为,包括

  1. 向第三方(如广告平台、数据代理商或任何信息转销商)传输或出售用户数据。
  2. 为投放广告(包括重访定位、个性化广告或针对用户兴趣投放广告)而传输、出售或使用用户数据。
  3. 传输、出售或使用用户数据来确定信誉度或放贷目的。
  4. 传输、出售或使用用户数据来创建、训练或改进机器学习或人工智能模型,使其超出特定用户的个性化模型,适合相应用例或面向用户的功能。

必须在您的应用中或属于您的网络服务/应用的网站中披露一条确认或其他类似声明,表明您对数据的使用符合“使用受限”限制;例如,在首页上提供指向专门页面的链接,或提供隐私权政策:“对从 Workspace API 接收的信息的使用将遵守 Google 用户数据政策的要求,包括“使用范围限制”。

维护安全的运行环境

安全地处理所有传输中的用户数据和静态数据。采取合理且适当的措施来保护使用 Workspace API 及其衍生任何数据的所有应用或系统,以防遭到未经授权或非法的访问、使用、销毁、丢失、更改或披露。

访问受限范围的应用必须证明其遵循某些安全做法。

建议的安全做法包括实现和维护 ISO/IEC 27001 中所述的信息安全管理系统,以及确保您的应用或 Web 服务稳健可靠且不受 OWASP 十大风险中列出的常见安全问题的影响。

必需的安全措施包括:

  1. 使用行业接受的加密标准来加密符合以下条件的用户数据:

    1. 存储在便携式设备或便携式电子介质上;
    2. 在 Google 或您的系统之外维护;
    3. 通过任何并非完全由您管理的外部网络传输;以及
    4. 在您的系统上处于静态。

  2. 使用安全的新型协议(例如通过 HTTPS)传输数据。

  3. 保留用户数据和凭据(特别是 OAuth 访问令牌和刷新令牌等令牌)的静态加密状态。

  4. 确保适当地管理密钥和密钥材料,例如存储在硬件安全模块或同等强度的密钥管理系统中。

受限范围所需的安全措施还包括云应用安全评估 (CASA) 之后的安全措施。此外,根据要访问的 API 以及用户授权数量或用户数量,我们可能还会要求您的应用或服务接受定期安全评估,并从 Google 指定的第三方获取评估信函。

您同意,如果 Google 数据存储系统、网络、帐号或其他位置出现任何已知或可疑的未经授权访问行为(以下简称“安全事件”),您将立即通过 security@google.com 通知 Google。您同意全力配合 Google 纠正任何已知或可疑的安全事件,并且在任何此类情况下,在就任何已知或可疑的安全事件发表任何公开声明之前,通过 security@google.com 通知 Google。

受限范围

Workspace 受限范围包括:

  1. 允许应用执行以下操作的任何 Gmail API 范围:

    1. 读取、创建或修改邮件正文(包括附件)、元数据或标头;或者
    2. 控制邮箱访问权限、电子邮件转发或管理员设置。

  2. 任何允许应用执行以下操作的 Google Drive API 范围:

    1. 读取、修改或管理用户的云端硬盘文件的内容或元数据,而无需用户逐一授予对文件的访问权限。

  3. 任何允许应用执行以下操作的 Google Chat API 范围:

    1. 读取、修改或管理用户的 Chat 消息的内容或元数据。

如需了解详情,请参阅受限范围列表