Updated Privacy Policy & Secure Handling Requirements(更新隐私政策和安全处理要求)

重要提示:Chrome 将取消对 Windows、Mac 和 Linux 上的 Chrome 应用程序的支持。 Chrome 操作系统将继续支持 Chrome 应用程序。此外,Chrome 和网上应用店将继续支持所有平台上的扩展程序。阅读公告并了解有关迁移应用程序的更多信息。

重要提示:最低权限的新要求和更新的用户数据政策将从 2019 年 10 月 15 日开始实施。

品牌指南 |评级指南 |计划政策 |用户数据常见问题 |开发者协议

# 1. 我如何确定我的产品是否符合用户数据政策或我是否需要进行任何更改?

按顺序(从上到下)阅读这些常见问题,它们将引导您完成一系列步骤,以帮助确定是否需要进行任何更改。

# 2. 用户数据政策中的“处理”是什么意思?产品处理个人或敏感用户数据的常见方式有哪些?

通常,“处理”是指收集、传输、使用或共享用户数据。以下是处理个人或敏感用户数据的一些功能示例:

  • 具有登录功能(即使您使用第三方系统,例如 Google 身份验证)
  • 拥有一个可以收集任何类型的个人身份信息的表格(有关更多信息,请参阅问题 3 的答案)
  • 从用户访问的网站中剪辑或抓取内容,例如从网页中截取屏幕截图或捕获数据
  • 收集从 Web 请求中获取的数据,例如访问联系人、电子邮件、文件或来自用户云服务的其他数据的后台活动
  • 收集网络浏览活动以及有关用户请求或与之交互的网站内容或资源的任何信息,包括浏览器与之交互的域或 URL、HTTP 请求和响应的内容以及网站浏览器存储中的数据(如 cookie)

# 3. 个人或敏感用户数据的示例有哪些?

个人或敏感用户数据可能包括:

  • 个人身份信息(包括姓名、地址、电话号码、电子邮件地址和用户名。它还包括任何类型的身份证号码,例如政府颁发的号码、驾照号码或帐号),
  • 财务和支付信息,
  • 健康信息、身份验证信息(例如登录名、密码和身份验证 cookie),
  • 网站内容和资源,
  • 表格数据,
  • Web 浏览活动(这是有关用户请求或与之交互的网站或其他 Web 资源的任何信息,包括浏览器与之交互的域或 URL)。
  • 个人通讯,以及
  • 用户生成内容。

# 4. 我的产品不处理个人或敏感用户数据。我需要做什么?

根据用户数据政策,您没有特殊或新的义务。请在您的隐私政策中声明您不处理用户数据。

# 5. 我的产品确实会处理个人或敏感的用户数据。我需要做什么?

处理个人或敏感用户数据的产品必须至少:

  • 在 Chrome Web Store Developer Dashboard 中发布隐私政策,以及
  • 安全地处理用户数据,包括通过现代加密技术传输数据。

阅读政策和其他常见问题解答的答案,因为对个人或敏感用户数据的某些使用受到额外要求的约束或被禁止。

# 6. 我的产品的隐私政策需要说明什么?

至少,隐私政策通常会说明开发人员如何收集、使用和披露数据。隐私政策经常涉及其他主题,例如信息安全实践;用户如何访问、更改或删除他们的数据;以及用户数据保留多长时间。虽然我们无法就如何起草隐私政策提供法律建议,但我们已建议以下几点来指导您的思考:

  • 你收集什么信息?

    • 解释您的扩展程序收集的所有信息。这包括您可能会自动收集的信息,例如服务器和 HTTP 日志、扩展程序传输给您的数据以及使用信息。这还包括您从用户那里直接或通过权限 API 获得的信息,包括持久标识符。

  • 你如何使用这些信息?

    • 披露您如何使用您收集的信息。例如,您可以使用这些信息向用户提供某些服务,在他们下次使用您的扩展程序时识别他们,或向他们发送促销电子邮件。

  • 你分享什么信息?

    • 描述您共享信息时的情况。

# 7. 是否所有用户数据都需要加密?

本政策规定了对所有个人或敏感用户数据的传输加密的最低要求:我们强烈建议您对产品所促成的所有传输进行加密(请参阅我们关于 HTTPS Everywhere 的 I/O 2014 演讲)。

# 8. 用户数据政策要求什么类型的加密?

扩展程序必须通过安全连接(例如 HTTPS、WSS)传输“个人和敏感用户数据”,并使用 RSA 或 AES 等强加密方法静态存储。您不应使用任何被 IETF 列入黑名单的密码套件。我们的要求可能会随着时间而改变。

# 9. 我的产品处理个人或敏感用户数据是否需要显着披露和肯定同意?

这些要求仅适用于以下两种情况:

  • 产品处理个人或敏感用户数据并且
  • 该个人或敏感用户数据的处理与产品的 Chrome 网上应用店页面和用户界面中突出描述的功能没有密切关系。

这里有一些例子:

描述 需要显着披露吗?
一种扩展,其唯一营销目的是将用户的浏览器历史记录同步到中央服务。 不需要显着披露 (a) 敏感数据?敏感(网页浏览活动) (b) 与所描述功能的关系?相关(营销目的是同步历史)
扩展程序、应用程序或托管应用程序收集和传输有关用户点击或查看产品的各种用户界面元素的频率的匿名使用信息。 不需要显着披露 (a) 敏感数据?不敏感(这种类型的匿名使用数据不是个人的或敏感的)(b) 与所描述功能的关系?不相关(使用收集统计信息通常不会如此显眼地披露,并且与用户功能没有密切关系)
一个扩展的唯一营销目的是向流行的社交媒体网站添加主题,但也会匿名收集用户拥有的朋友数量,用于销售或研究目的。 需要显着披露 (a) 敏感数据?敏感(网站内容或资源) (b) 与所描述功能的关系?不相关(与描述的功能不密切相关)
一个扩展程序、应用程序或托管应用程序,它处理用于登录目的的电子邮件地址,并出于其他人的营销目的向其他人提供该电子邮件地址。 需要显着披露 (a) 敏感数据?敏感(个人身份信息) (b) 与所描述功能的关系?无关(虽然用于身份验证与用户功能密切相关,但出于营销目的转移给他人则不然)

# 10. 我如何满足突出的披露要求?

您必须描述要收集的个人或敏感用户数据的类型及其使用方式,并获得用户对该收集和使用的同意。您必须以显眼的方式展示披露内容,以便用户在同意之前看到它。但是,披露不能仅位于隐私政策、服务条款或类似文件中。

为获得同意,产品必须以要求用户在收集或使用个人或敏感用户数据之前采取明确同意披露的具体行动的方式要求用户同意显着披露。

显着的披露和同意必须发生在产品的用户界面中。Chrome 网上应用店说明或内嵌安装页面中的披露不满足此要求。

# 11. 我的产品可以公开披露身份验证、付款或财务信息吗?

否。其他要求部分禁止公开披露身份验证、付款或财务信息;因此,该产品将违反我们的政策。

# 12. 我的扩展程序是否可以收集对于面向用户的功能而言不必要的网络浏览活动,例如收集行为广告定位数据或其他货币化目的?

不可以。用户数据的有限使用部分指出,扩展程序只能在 Chrome 网上应用店页面和用户界面中突出描述的面向用户的功能所需的范围内收集和传输网络浏览活动。此数据的广告定位或其他货币化不适用于面向用户的功能。而且,即使面向用户的功能需要收集这些数据,也不允许将其用于广告定位或任何其他数据货币化,因为产品仅被允许将数据用于面向用户的功能。

# 13. 为了限制“其他要求”部分中收集和使用网络浏览活动的目的,“面向用户的功能”有哪些示例?

“面向用户的功能”是指扩展程序通过用户界面元素(包括交互式按钮、文本、表单和图像)提供的功能。符合策略要求扩展程序具有某种类型的用户界面元素,并且该元素提供某种类型的需要 Web 浏览数据的功能。

面向用户的功能示例包括:

  • 一个浏览器操作按钮,其弹出窗口显示当前域的 WHOIS 信息
  • 通过内容脚本添加到网站的对话框,允许用户查看其他人的并将他们自己的注释添加到任何网页
  • 包含最近浏览网站列表的新标签页

非面向用户的功能示例包括:

  • 显示网页浏览历史收集的对话框
  • 一个没有暴露给用户的交互 UI 元素,但在后台收集网页浏览活动用于其他目的的扩展程序,包括向用户提供奖励

# 14. 我的扩展程序或应用程序处理个人或敏感用户数据,但仅在本地存储信息(或仅使用 Chrome Storage Sync API)。我还需要发布隐私政策吗?

是的。该政策要求所有处理敏感用户信息的产品发布隐私政策。用户可能无法轻易分辨哪些应用程序或扩展程序在本地保存信息或将其传输回他们的服务器。但是,您的隐私政策可能不需要冗长或复杂。它只需要描述产品如何收集、使用和共享用户数据。

# 15. 用户数据政策如何应用于客户端应用程序,例如 FTP 或 IRC 客户端?

当产品是具有用户指定服务器的互联网协议的客户端时,如 FTP 或 IRC 客户端,个人或敏感用户数据部分不适用于产品为用户收集数据或与用户传输数据——指定的服务器。

例如,如果 FTP 客户端只连接用户指定的服务器,而不向开发者指定的服务器发送任何数据,则该策略不会要求开发者发布隐私政策或安全传输数据(这对于开发者来说是不可能的)。 FTP,因为它是一个未加密的协议)。

但是,用户数据政策仍然适用于为其他目的处理的用户数据。例如,如果产品要求用户输入电子邮件地址进行注册,则产品需要遵守政策的个人或敏感用户数据部分

# 16. 同一台电脑上的Chrome应用或扩展程序与本机程序之间传输的数据是否需要加密?

不可以。安全处理用户数据的要求(在发布隐私政策和安全传输部分下)不适用于 Chrome 扩展程序或应用程序与同一台计算机上的本机程序之间的传输。

# 最低权限

# 1. 谷歌为什么要为 Chrome 扩展制定“最低权限”政策?

Chrome 网上应用店为用户提供了一个访问各种有用应用程序的平台,我们希望扩展程序用户确信他们的数据是安全的。我们希望支持使用直接使用户受益的扩展权限。过去,我们通过建议扩展程序仅使用必要的最低权限集来尝试确保最终用户的安全,但为了促进安全的数据使用实践,我们现在将该建议作为所有扩展程序的一项要求。

扩展程序必须仅需要提供其现有服务或功能所需的最窄权限集。开发人员可以使用最小范围的可选权限来进一步增强扩展的功能,但不得要求用户同意额外的权限。当更新需要额外权限时,将提示最终用户接受它们或禁用扩展。此提示通知用户某些内容已更改,并让他们控制是否接受此新用途。

# 2.“最低权限”政策是否也适用于可选权限?

是的。该策略适用于必需和可选权限。

# 3. 这里的“最小权限”是什么意思?

扩展程序必须只需要访问实施您产品的现有服务或功能所需的最窄权限集。如果有多个权限可用于实现一项功能,则必须选择访问最少数据的权限。

# 4. “最低许可”政策会影响我的延期吗?

确切的影响将取决于您请求的权限以及它们的使用方式。您应该清点扩展程序的当前权限,并在可能的情况下切换到范围更窄的替代方案。此外,您应该在 Chrome 网上应用店列表或扩展程序的“关于页面”中包含所使用的权限列表以及需要它们的原因。

# 5. 我的扩展程序当前使用的权限比需要的多,因此我可以为我的扩展程序的未来版本提供支持。这在“最低许可”政策下可以吗?

不,无论未来的计划如何,扩展程序可能不需要它们当前功能不需要的权限。扩展程序必须仅需要启用其现有服务或功能的权限。扩展可以通过最小范围的可选权限请求附加功能。如果您扩展扩展程序的功能并需要新权限,则只能在扩展程序的更新版本中请求权限。

# Google 用户和开发者数据政策

# 1. 谷歌如何处理用户数据?

Google 收集和处理的用户数据(包括用户评论和评论)受 Google 隐私政策的约束。除非开发者明确与 Google 共享扩展用户数据,否则 Google 不会保留对此类数据的访问权限。

# 2. Google 如何处理开发者数据?

Google 会收集和处理来自开发者的多种类型的数据,以便向开发者提供 Chrome 网上应用店服务。该数据包括以下内容:

  • 与扩展程序相关的信息和元数据以及在 Chrome 网上应用店上发布这些扩展程序以列出此类扩展程序
  • 开发者注册信息
  • 运营信息,例如开发人员发布/删除扩展程序和收入统计信息的操作
  • 使 CWS 能够与开发人员通信的信息,例如,通过开发人员仪表板和通知

这些数据受 Google 隐私政策的约束。

# 3. 开发者账号终止后开发者数据会怎样?

开发者账号终止后,所有开发者数据都会被删除。继续为现有安装的扩展提供服务所需的某些元数据,例如项目 ID、项目类型和发布日期,将得到维护。

# 数据访问

# 开发人员可以访问哪些信息?

开发人员可以访问以下信息:

  • 有关安装、用户数量和平均评分的汇总数据。
  • 通过开发者所属的发布者组发布的扩展的扩展统计信息。
  • 支持问题和建议。
  • 如果开发者已经发布了付费扩展,则可以通过
  • rchant 中心以及总付款。
  • 开发者所属的组所拥有的信息,例如项目统计信息。

# 个人或敏感用户数据的有限使用

# 1. 我需要在我的项目主页上显示哪些披露?

所有请求个人或敏感用户数据的扩展程序都必须显示 在您的项目主页上或在离主页一键之遥的页面上有限地使用披露;例如,在您的隐私政策中。此限制使用披露应由您(开发者)撰写,并应清楚说明应用程序是否符合 Chrome 网上应用店用户数据政策,包括限制使用要求。

# 2. 有哪些限制使用要求?

限制使用要求有四个要素:

  • 允许使用
  • 允许转移
  • 禁止广告
  • 禁止人际交往

请参阅以下条目,了解每个领域的政策限制。

# 3. 限制使用要求的“允许使用”要素是什么?

开发人员只能使用收集个人或敏感用户数据的权限来提供或改进您的单一目的或面向用户的功能。您的用户应该清楚您为什么以及如何使用他们选择与您共享的个人或敏感用户数据。

# 4. 限制使用要求的“允许转让”要素是什么?

只有在以下情况下,开发者才被允许将用户数据传输给他人:(a) 为提供或改进扩展的单一目的,(b) 遵守适用法律,(c) 出于安全目的(例如,调查滥用行为);(d) 作为合并、收购或出售开发商资产的一部分。完全禁止所有其他个人或敏感用户数据的传输。

# 5. 限制使用要求的“禁止广告”要素是什么?

绝不允许开发者使用或传输用户数据来为用户提供个性化、重新定向或基于兴趣的广告。

# 6. 限制使用要求的“禁止人际互动”要素是什么?

开发人员不能允许人类读取用户数据。例如,有权访问用户数据的开发人员不得让其一名员工通读用户的电子邮件。此规则有四个有限的例外:

  • 开发者获得用户同意阅读特定消息(例如,技术支持)
  • 出于安全目的(例如,调查滥用)是必要的
  • 遵守适用法律
  • 开发人员对数据进行汇总和匿名化,仅将其用于内部操作(例如,在内部仪表板中报告汇总统计数据)

# 为我们的用户简化隐私惯例

# 1. 开发者需要什么才能发布/更新 Chrome 网上应用店项目?

我们更新了开发者仪表板的隐私选项卡,让开发者能够以简单和标准化的方式轻松提供有关其数据收集和数据使用的信息。

每个项目都需要提供这些数据收集披露和限制使用证明才能更新或发布。

120

# 2. 如果我不填写限制使用表格会怎样?

开发人员仪表板上有一个部分,您需要填写该部分以说明您的扩展程序如何使用个人或敏感用户数据。如果您未完成此部分,则您的扩展程序将向用户显示为未提供此信息。

从 2021 年 3 月开始,Chrome 网上应用店团队将与开发人员联系,警告他们完成披露要求。警告发出 30 天后不采取任何行动将导致受影响的项目暂停和现有用户群的停用。

# 3. 如果我的物品的隐私政策、通过开发者仪表板提供的披露以及我的物品的行为之间存在不一致,会发生什么情况?

我们非常重视用户的隐私,Chrome 网上应用店的每个发布商也应该如此。作为发布商,您有责任在处理 Chrome 用户数据时保持透明。开发者仪表板披露、您的隐私政策和您的商品行为之间的任何差异都将违反Chrome 网上应用店开发者计划政策。这可能会导致发布者拥有的所有项目被暂停、现有用户群被停用以及整个发布者实体(包括相关帐户)被禁止。

By.一粒技术服务.

results matching ""

    No results matching ""