سياسة المطوّرين وبيانات مستخدمي Data Portability API

بصفتك مطوِّرًا يستخدِم واجهة برمجة التطبيقات Data Portability API، غالبًا ما تجمع بيانات المستخدمين الحساسة للغاية وتديرها. ضع في اعتبارك المبادئ الرئيسية لمعالجة البيانات هذه:

  • حماية الخصوصية: لا تستخدِم بيانات المستخدم لأغراض محظورة.
  • التحلي بالشفافية: وضِّح للمستخدمين بدقة البيانات التي تجمعها وسبب جمعها وكيفية استخدامها.
  • الاحترام: احرص على الإشراف الجيد على بيانات المستخدمين. إذا أمكن، اسمح للمستخدمين بنقل بياناتهم خارج المنتج والاستجابة لطلبات المستخدمين لحذف بياناتهم.
  • التأكّد من الأمان: تعامل مع جميع بيانات المستخدمين بأمان وأثبِت التزامك بممارسات أمان معيّنة.
  • كن محددًا: لا تطلب الوصول إلى بيانات لا تحتاج إليها. يجب أن يتم توفير جميع ميزات التطبيق أو الخدمة التي تفيد المستخدمين فقط من أجل الوصول إلى البيانات.

تحكم بنود خدمة Google APIs وسياسة بيانات المستخدمين في خدمات Google API وسياسات OAuth 2.0 استخدام جميع خدمات Google API عندما تطلب أنت كمطوّر البرامج الوصول إلى بيانات المستخدم. تحتوي بيانات المستخدمين وسياسة المطوّرين على واجهة برمجة التطبيقات Data Portability API هذه على معلومات إضافية تحكم استخدامك ووصولك إلى Data Portability API. توفّر واجهة برمجة التطبيقات Data Portability API للمستخدمين النهائيين في المنطقة الاقتصادية الأوروبية (EEA) مزيدًا من التحكّم في بياناتهم من خلال تسهيل عملية نقل البيانات خارج Google.

بالإضافة إلى Google Takeout، تضمن واجهة برمجة التطبيقات Data Portability API حصول المستخدمين على إمكانية الوصول إلى بياناتهم بدقة وسرعة وسلاسة. تعرَّف على مزيد من المعلومات حول سياسة الخصوصية وعناصر التحكم في الخصوصية من Google التي تتيح للمستخدمين التحكم في المعلومات.

يُرجى التحقّق من هذه الصفحة بشكل دوري. يتم تعديل هذه السياسات من حين لآخر. ويعد من مسئولية المطور مراقبة وضمان الامتثال لهذه السياسات بشكل منتظم. إذا تعذّر عليك في أي وقت تلبية متطلبات السياسة، أو إذا كانت هناك احتمال كبير بعدم استيفائها، يمكنك التوقف عن استخدام خدماتنا فورًا والتواصل معنا. تحتفظ Google بالحق في إزالة أو حظر الوصول إلى بيانات مستخدم Google ما لم يتم الالتزام بهذه السياسة. وفي حال حدوث تعارض بين هذه السياسة أو أي بنود أخرى في ما يتعلّق بخدمات واجهة برمجة التطبيقات، تكون الأولوية لبيانات المستخدمين في واجهة برمجة التطبيقات Data Portability API وسياسة المطوّرين.

الوصول المناسب إلى بيانات المستخدمين واستخدامها

يجب أن تكون طلبات تصدير بيانات المستخدمين واضحة ومفهومة. لا يجوز استخدام واجهة برمجة التطبيقات Data Portability API إلا بما يتوافق مع السياسات والأحكام والشروط السارية، وفي حالات الاستخدام التي تفيد المستخدمين، على النحو الموضَّح في هذه السياسة. يعني ذلك أنّه لا يجوز للمطوّرين طلب الوصول إلى الأذونات إلا عندما يستوفي تطبيق أو خدمة إحدى حالات الاستخدام التي تمت الموافقة عليها.

في ما يلي حالات الاستخدام التي تمت الموافقة عليها للحصول على الأذونات:

  • التطبيقات أو الخدمات التي تتضمن ميزة واحدة أو أكثر بهدف إفادة المستخدم بشكل أساسي من خلال السماح له بنقل بيانات المستخدم أو نسخها أو نقلها من إحدى خدمات Google إلى منصة أو خدمة أخرى لصالح المستخدم

طلب الحدّ الأدنى من الأذونات ذات الصلة

لا يمكن للمطوّرين طلب الوصول إلى الأذونات إلا إذا كانت ضرورية لتنفيذ الميزات في تطبيق أو خدمة. وهذا يعني ما يلي:

  • لا تطلب الوصول إلى معلومات لا تحتاجها. إذا كان أحد المنتجات لا يتطلب الوصول إلى أذونات محددة، يجب عدم طلب الوصول إلى هذه الأذونات. لا تحاول الوصول "للمستقبل" إلى بيانات المستخدم من خلال طلب الوصول إلى معلومات قد تفيد خدمات أو ميزات لم يتم تنفيذها.

  • اطلب الأذونات في السياق كلما أمكن ذلك. لا تطلب الوصول إلى بيانات المستخدمين إلا في السياق (متى استطعت) باستخدام التفويض المتزايد. يتيح ذلك للمستخدمين فهم سبب حاجتك إلى البيانات.

إشعارات وضوابط دقيقة وشفافة

تتعامل واجهة برمجة التطبيقات Data Portability API مع المعلومات الشخصية والحسّاسة. يجب أن تحتوي جميع التطبيقات والخدمات على سياسة خصوصية يجب أن تفصح بشكل شامل عن الآلية التي يتّبعها تطبيق أو خدمة ويب لجمع بيانات المستخدمين واستخدامها ومشاركتها. ويشمل ذلك أنواع الأطراف التي تتم مشاركة أي بيانات للمستخدمين معها، وكيفية استخدامك للبيانات، وكيفية تخزين البيانات وتأمينها، وما يحدث للبيانات عند إيقاف الحساب أو حذفه.

يجب أن تطلب التطبيقات والخدمات أيضًا الوصول إلى بيانات المستخدمين في السياق المناسب باستخدام التفويض الإضافي حتى يعرف المستخدمون بشكل أفضل البيانات التي يتم تقديمها وسبب حاجتك إليها وكيفية استخدام البيانات. بالإضافة إلى المتطلبات بموجب القانون الساري، عليك أيضًا التقيّد بالمتطلبات التالية التي تعكس سياسات OAuth 2.0 وسياسات بيانات المستخدمين في خدمات Google API:

  1. على المطوّرين الإفصاح عن تصدير البيانات والوصول إليها وجمعها واستخدامها ومشاركتها. الإفصاح:
    1. يجب أن يعبّر بدقة عن هوية التطبيق أو الخدمة التي تطلب الوصول إلى بيانات المستخدمين.
    2. يجب أن يظهر داخل التطبيق إذا كان يستند إلى الويب أو في نافذة مربّع حوار منفصلة.
    3. يجب عرضه أثناء الاستخدام العادي للتطبيق إذا كان يستند إلى تطبيق أو موقع إلكتروني إذا كان يستند إلى الويب، ويجب ألا يتطلب من المستخدم الانتقال إلى قائمة أو إعدادات.
    4. يجب أن يوفر معلومات واضحة ودقيقة توضّح أنواع البيانات التي يتم الوصول إليها أو طلبها أو تصديرها أو جمعها.
    5. يجب أن يوضِّح طريقة استخدام البيانات ومشاركتها. وفي حال طلب تصدير البيانات لسبب واحد، ولكن يتم استخدام البيانات أيضًا لغرض ثانوي، عليك إشعار المستخدمين بكلتا حالات الاستخدام.
    6. لا يمكن الاكتفاء بعرضه ضِمن سياسة الخصوصية أو بنود الخدمة فقط.
    7. لا يمكن تضمينه مع بيانات إفصاح أخرى غير مرتبطة بجمع البيانات الشخصية والحسّاسة.

  2. يجب أن يصاحب بيان الإفصاح من المطوِّر لطلب موافقة المستخدم وأن يسبقه مباشرةً. لا يجوز لك بدء جمع البيانات قبل الحصول على موافقة إيجابية. طلب الموافقة:
    1. يجب أن يظهر مربّع إفادة الموافقة بطريقة واضحة لا لبس فيها.
    2. يجب أن يشترط على المستخدِم اتخاذ إجراء تأكيدي للقبول، مثل الاختيار للقبول أو وضع علامة في مربّع اختيار أو أمر شفهي للموافقة.
    3. يجب ألا تفسّر انتقال المستخدم خارج بيان الإفصاح على أنّه موافقة، ويشمل ذلك النقر في مكان آخر أو الضغط على الزر "رجوع" أو زر الشاشة الرئيسية.
    4. يجب ألا يتم استخدام رسائل يتم إغلاقها أو تنتهي صلاحيتها تلقائيًا.
  3. يجب تقديم مستندات مساعدة المستخدم التي توضّح كيفية إدارة المستخدمين لبياناتهم وحذفها من التطبيق.

استخدام محدود لبيانات المستخدمين

عند الوصول إلى واجهة برمجة تطبيقات Data Portability API للاستخدام المناسب، يجب أن يتوافق استخدام المطوِّر للبيانات التي تم الحصول عليها مع المتطلبات التالية. تسري هذه المتطلبات على "النطاقات الحساسة والمحدودة"، والبيانات الأولية التي يتم الحصول عليها من Data Portability API، والبيانات المجمّعة أو المجهولة المصدر أو بدون تحديد الهوية أو المستمدة من البيانات الأوليّة.

  1. يجب حصر استخدام البيانات بتقديم أو تحسين حالة الاستخدام المناسبة أو الميزات التي تظهر بشكل بارز في واجهة مستخدم التطبيق الذي يقدّم الطلب.
  2. لا يُسمح بعمليات نقل البيانات، باستثناء:
    1. تقديم أو تحسين حالة الاستخدام المناسبة أو الميزات الموجَّهة للمستخدم والتي تكون واضحة من واجهة المستخدم في التطبيق الذي يقدّم الطلب وبموافقة المستخدم فقط
    2. لأغراض تتعلّق بالأمان مثل التحقيق في إساءة الاستخدام
    3. الامتثال للقوانين أو اللوائح السارية
    4. في إطار عملية دمج أو اكتساب أو بيع أصول المطوّر، بعد الحصول على موافقة مسبقة صريحة من المستخدم.

  3. لا تسمح للمستخدمين بقراءة بيانات المستخدم، ما لم:
    1. الحصول على موافقة صريحة من المستخدم لقراءة بيانات معيّنة وتوثيقها، على سبيل المثال، مساعدة المستخدم على استعادة إمكانية الوصول إلى المنتج أو الخدمة بعد فقدان كلمة المرور
    2. يتم تجميع البيانات، بما في ذلك المشتقات، واستخدامها للعمليات الداخلية بما يتوافق مع متطلبات الخصوصية والمتطلبات القانونية الأخرى السارية.
    3. ضرورية لأغراض تتعلّق بالأمان مثل التحقيق في إساءة الاستخدام
    4. من الضروري الالتزام بالقوانين أو اللوائح السارية.

بيان تأكيدي أو أي بيان آخر مشابه يفيد بأنّ استخدام التطبيق أو الخدمة للبيانات يتوافق مع "قيود الاستخدام المحدود" التي يجب الإفصاح عنها في التطبيق أو على موقع إلكتروني ينتمي إلى الخدمة أو التطبيق. على سبيل المثال، رابط على صفحة رئيسية يؤدي إلى صفحة مخصصة أو سياسة خصوصية تلاحظ ما يلي:

"يتقيّد استخدام المعلومات الواردة من واجهة برمجة التطبيقات Data Portability API بما ورد في سياسة بيانات مستخدمي Google، بما في ذلك متطلبات الاستخدام المحدود".

يمكن استخدام جمل مماثلة تتوافق مع قيود مشاركة البيانات في قسم "الاستخدام المحدود".

الحفاظ على بيئة تشغيل آمنة

يجب معالجة جميع بيانات المستخدمين بأمان. اتخاذ خطوات معقولة وملائمة لحماية جميع التطبيقات أو الأنظمة التي تستخدم واجهة برمجة التطبيقات لنقل البيانات من الوصول غير المصرّح به وغير القانوني أو الاستخدام أو التدمير أو الفقدان أو التغيير أو الإفصاح.

ويجب أن تلتزم التطبيقات التي يمكنها الوصول إلى "النطاقات المحظورة" بممارسات أمان معيّنة. تشمل ممارسات الأمان المقترَحة تطبيق نظام لإدارة أمان المعلومات وصيانته على النحو الموضّح في ISO/IEC 27001، والتأكد من أنّ التطبيق أو خدمة الويب فعّالة وخالية من مشاكل الأمان الشائعة كما هو موضّح في أفضل 10 مخاطر أمنية في تطبيقات الويب وفقًا لبرنامج OWASP.

تشمل التدابير الأمنية المطلوبة ما يلي:

  1. استخدام معيار تشفير مقبول في المجال لتشفير بيانات المستخدم ذات الحالات التالية:
    1. التخزين على الأجهزة المحمولة أو الوسائط الإلكترونية المحمولة
    2. أن يتم الاحتفاظ بها خارج أنظمة Google أو أنظمة المطوِّر؛
    3. نقل البيانات إلى أي شبكة خارجية لا تديرها أنت وحدك
    4. عدم النشاط على أنظمة المطوّر.
  2. إرسال البيانات باستخدام بروتوكولات حديثة آمنة مثل HTTPS.
  3. الاحتفاظ ببيانات المستخدمين وبيانات الاعتماد، وخاصةً الرموز المميزة، مثل الوصول عبر OAuth والرموز المميزة لإعادة التحميل، مشفّرة في حال عدم النشاط.
  4. ضمان إدارة المفاتيح والمواد الأساسية بشكل مناسب، مثلاً تخزينها في وحدة أمان للأجهزة أو نظام إدارة مفاتيح مكافئة وفقًا للقوة

تشمل إجراءات الأمان المطلوبة الخاصة بـ "النطاقات المحظورة" اتّباع تقييم أمان تطبيقات السحابة الإلكترونية (CASA). بالإضافة إلى ذلك، قد يُطلب منك السماح للتطبيق أو الخدمة بالخضوع لتقييم أمان دوري والحصول على خطاب تقييم من جهة خارجية تحدّدها Google.

أنت توافق على إبلاغ Google فورًا على security@google.com بأي عملية وصول غير مصرَّح بها معروفة أو مُشتبه إلى الأنظمة أو الشبكات أو الحسابات أو المواقع الأخرى التي يتم فيها تخزين بيانات المستخدمين على Google. وهذا ما يسمى بالانتهاك الأمني. وتوافق على التعاون بشكل كامل مع Google لتصحيح أي حادثة أمنية معروفة أو مشتبه بها، وعلى إبلاغ Google في أي من هذه الحالات على عنوان البريد الإلكتروني security@google.com قبل إصدار أي تصريحات علنية بشأن أي حادثة أمنية معروفة أو مريبة.

نطاقات OAuth 2.0

للحصول على قائمة بجميع نطاقات واجهة برمجة تطبيقات إمكانية نقل البيانات ومجموعات الموارد، يُرجى الاطِّلاع على نطاقات OAuth 2.0 لواجهات Google APIs.

لمزيد من المعلومات عن النطاقات المشروطة، يُرجى الاطّلاع على قائمة النطاقات المشروطة.