Google Workspace 用户数据和开发者政策

作为使用 Google Workspace API 以及我们的开发者产品和服务的开发者,您通常会收集和管理敏感用户数据。请谨记以下关键原则:

  • 保护隐私:请勿将 Google Workspace 用户数据用于 禁止的用途。我们禁止第三方出售用户数据或将用户数据用于广告目的。
  • 保持透明:您应向用户准确说明并解释将收集的数据类型、收集目的,以及数据的使用方式;
  • 尊重用户意愿:您应遵循用户提出的数据删除请求;
  • 保障数据安全:您应以安全方式处理所有用户数据,并能够证明您已遵循 相应的安全实践;
  • 明确具体:请勿请求访问您不需要的数据。所有数据访问都应仅用于提供应用或服务的用户受益功能。

Google 用户数据和开发者政策

当您(开发者)请求访问用户数据时,必须遵守 《Google API 服务用户数据政策》 。本《Google Workspace 用户数据和开发者政策》包含更多信息,用于规范您对请求用户数据的 Google Workspace 开发者产品和服务的使用和访问行为,这些产品和服务包括 Gmail、Google Chat、Google 云端硬盘、Google 表格和其他 Google Workspace API、MCP 和其他请求访问用户数据的开发者工具。

除了以下政策外, 《Google API 服务条款》《Google Chat 可接受使用政策》《Google Chat 开发者指南》《Google 云端硬盘 API 服务条款》《Google 云端硬盘计划政策》《Google 云端硬盘开发者指南》《Gmail 计划政策》《Gmail 开发者指南》《Google Meet 可接受使用政策》《Google Apps 脚本服务条款》《OAuth 2.0 政策》 也规范了您对 Google Workspace 开发者产品和服务及 相关用户数据的使用和访问行为。您的使用行为还可能受 《Google Workspace Marketplace 开发者协议》的约束。 我们要求您遵守所有适用的法律法规。

上述政策可能不时更新,请您定期查阅。 您有责任定期核查并确保自身符合上述政策。如在任何时间无法满足政策要求(或存在重大无法满足的风险),请停止使用我们的服务并与我们联系。如果您不遵守本政策,我们保留移除或限制您访问 Google 用户数据的权利。

以适当的方式访问和使用 Gmail 范围

您在请求访问用户数据时,应确保请求内容清晰、易于理解。 Google Workspace 开发者产品和服务仅可依据适用政策、条款及条件,以及本政策和开发者文档中所列明的获准使用情形予以使用。也就是说,只有当应用或服务符合其中一种获准使用情形时,您才能请求使用相应权限。只有当应用或服务符合我们的一种获准使用情形时,您才能请求访问 Google Workspace 开发者产品和服务。

获准的 Gmail 范围 权限访问使用情形包括:

  1. 内置和 Web 电子邮件客户端,允许用户通过界面撰写、发送、读取和处理电子邮件。
  2. 自动备份电子邮件的应用
  3. 出于提高工作效率的目的而增强电子邮件体验的应用(例如,客户关系管理、延迟发送电子邮件或邮件合并,或提供生成式 AI 摘要的应用)
  4. 使用电子邮件中的信息来提供报告或监控服务,以使用户受益并改善电子邮件体验的应用(例如,自动生成旅行路线或跟踪航班或包裹递送状态的应用)

某些使用情形不允许使用 Gmail 范围。这包括但不限于:

  1. 移动键盘。
  2. 一次性或手动导出电子邮件的应用。
  3. 在 Gmail 中存储或备份电子邮件以外数据的应用。
  4. 使用多个账号来滥用 Google 政策、绕过 Gmail 账号限制、避开过滤器和垃圾邮件,或以其他方式突破滥用或安全限制的应用。
  5. 分发垃圾邮件或未经请求就主动发送的商业邮件的应用。例如,发送批量商业邮件的应用(如客户关系管理应用)只要用户同意接收电子邮件,即可获批。

以适当的方式访问和使用 Google 云端硬盘范围

只有当应用或服务符合我们的一种获准使用情形时,您才能请求访问云端硬盘范围。

获准的云端硬盘范围访问使用情形包括:

  1. 内置和 Web 应用,可提供本地同步或自动备份用户云端硬盘文件的功能。
  2. 工作效率和教育类应用(例如,任务管理、记笔记、工作群组沟通和课堂协作应用),仅使用受限范围通过应用界面处理云端硬盘文件(或其元数据或权限)。
  3. 报告和安全应用,可让用户或客户了解文件的共享或访问方式。

某些使用情形不允许使用云端硬盘范围。这包括但不限于:

  1. 将开发者应用或项目中的用户或应用内容备份到云端硬盘。
  2. 加密货币挖矿。
  3. 未经授权广泛分发视频或传播受版权保护的内容。
  4. 将云端硬盘用作大规模内容分发网络 (CDN) 的替代方案。
  5. 文件克隆工具,可实现用户存储分片和/或规避云端硬盘存储空间限制。
  6. 使用多个账号来滥用 Google 政策、绕过云端硬盘账号限制,或以其他方式突破滥用或安全限制的应用。
  7. 分发垃圾邮件或未经请求就主动发送的商业消息的应用。例如,发送批量商业消息的应用(如客户关系管理应用)只要用户同意接收消息,即可获批。

以适当的方式访问和使用 Google Chat 范围

只有当应用或服务符合我们的一种获准使用情形时,您才能请求访问 Chat 范围。

获准的 Chat 范围访问使用情形包括:

  1. 内置和 Web 应用,允许用户通过界面撰写、发送、读取和处理 Chat 消息或类似通信。
  2. 出于提高工作效率的目的而增强 Chat 体验的应用(例如,任务管理 Chat 应用,允许您向聊天室中的其他成员分配任务)。
  3. 使用 Chat 消息中的信息来提供报告或监控服务,以使用户受益的应用(例如,通知用户同事不在办公室的应用)。
  4. 导入消息、成员资格、群组或其他类似 Chat 功能的应用。
  5. 交换和使用通过 Chat API 获取的数据,以便与其他消息传递产品、服务或功能互操作的应用。

某些使用情形不允许使用 Chat 范围。这包括但不限于:

  1. 将 Chat 用作大规模内容分发网络 (CDN) 的替代方案。
  2. 使用多个账号来滥用 Google 政策、绕过 Chat 账号限制,或以其他方式突破滥用或安全限制的应用。
  3. 分发垃圾邮件或未经请求就主动发送的商业消息的应用。例如,发送批量商业消息的应用(如客户关系管理应用)只要用户同意接收消息,即可获批。

以适当的方式访问和使用 Google Meet 范围

只有当应用或服务符合我们的一种获准使用情形时,您才能请求访问 Meet 范围。

获准的 Meet 范围权限访问使用情形包括:

  1. 内置 Web 应用和 Web 应用,允许通过界面实时处理、流式传输或存储会议参与者的音频和视频,以使用户受益。
  2. 出于提高工作效率的目的而增强 Meet 体验的应用(例如,屏幕录制应用,允许您在聊天室中分享图片)。
  3. 使用 Meet 中的信息来提供报告或监控服务,以使用户受益的应用(例如,提供会议或发言洞见的应用)。
  4. 交换和使用通过 Meet REST API 获取的数据,以便与其他视频产品、服务或功能互操作的应用。

某些使用情形不允许使用 Meet 范围。这包括但不限于:

  1. 在没有法律授权或未经用户同意的情况下监控或分发 Meet 用户数据、内容或元数据的应用。
  2. 未经授权广泛分发视频或传播非法内容或受版权保护的内容。
  3. 使用多个账号来滥用 Google 政策、绕过 Meet 账号限制、避开过滤器和垃圾邮件,或以其他方式突破滥用或安全限制的应用(例如,出于恶意目的存储或分发人物的数字修改内容,或使用 API 歪曲或误导用户)。

请求最少的相关权限

您只能请求使用对于实现应用或服务的功能至关重要的权限。这意味着:

请勿请求访问您不需要的信息。您只能请求获取实现应用功能或服务所必需的权限。如果您的应用无需使用特定权限,您就不得请求使用这些权限。不得为了保障对用户数据的未来访问,尝试请求可能会给尚未实现的服务或功能带来好处的信息。

尽可能在上下文中请求权限 。尽可能仅在上下文中请求访问用户 数据(通过 渐进式授权方式), 以便用户了解您需要相关数据的原因。

透明且准确的通知和控制措施

您必须发布隐私权政策,全面记录您的应用与用户数据的互动方式,包括披露您的应用或 Web 服务如何收集、使用和共享用户数据。当您的应用公开提供时,您必须在 OAuth 客户端配置中列出隐私权政策网址。

应用和服务还必须在上下文中请求访问用户数据(通过 渐进式授权方式) ,说明您需要相关数据的原因以及数据的使用方式。例如,细化要求用户确认 MCP、工具、技能或其他代理行为调用。除适用法律的相关要求外,您还必须遵守以下要求,这些要求反映了我们的 OAuth 2.0Google API 服务用户数据 政策:

  1. 您必须提供披露声明,说明您对数据的获取、收集、使用和分享行为。披露声明必须符合以下要求:

    1. 准确反映请求访问用户数据的应用或服务的身份;
    2. 在应用内展示(应用型)或以独立对话框形式展示(网页型);
    3. 在应用(应用型)或网站(网页型)的正常使用流程中展示,且不得要求用户进入菜单或设置界面方可查看;
    4. 清晰、准确说明所访问、请求及/或收集的数据类型;
    5. 说明数据的使用和/或共享方式:如果您出于某种目的请求数据,但该数据还将用于次要用途,则您必须将这两种使用情况告知用户;
    6. 不得仅载于隐私权政策或服务条款中;
    7. 不得与同个人及敏感数据收集无关的其他披露内容混合展示。
  2. 您的披露必须与用户同意请求同时呈现,且应在获取用户同意之前展示。未经用户明确同意,您不得开始收集数据。用户同意请求应符合以下要求:

    1. 以清晰、无歧义的方式展示意见征求对话框;
    2. 必须通过用户的明确操作(例如点击同意、勾选复选框、语音指令等)方可表示同意;
    3. 不得将用户离开披露界面(包括点击其他区域或按下返回键或主屏幕按钮)视为同意;
    4. 不得使用自动消失或过期的信息提示。
  3. 您必须向用户提供帮助文档,让用户了解应如何在您的应用或服务中管理和删除他们的数据。

用户数据的有限使用

在为适当用途访问 Google Workspace 范围后,您对所获取数据的使用必须符合以下要求。这些要求适用于从敏感 范围和受限 范围派生的数据。

  1. 您应将对数据的使用限制在:为提供或改进您的适当使用场景,或为提供或改进在请求数据的应用的用户界面中清晰且突出展示的功能和特性;
  2. 不允许传输数据,但以下情况除外:

    1. 为提供或改进在应用用户界面中清晰展示的使用场景或面向用户的功能,且已取得用户同意;
    2. 出于安全考虑(例如调查滥用行为);
    3. 为遵守适用法律法规;或
    4. 在事先征得用户明确同意的前提下,将用户数据作为开发者资产的一部分进行合并、收购或出售。
  3. 除以下情形外,禁止真人读取用户数据:

    1. 您已获取并记录用户对查看特定消息、文件或其他数据的明确同意或肯定性协议(例如,帮助遗失密码的用户重新访问产品或服务);
    2. 相关数据(包括衍生数据)经汇总和匿名化处理后,仅用于内部运营,并符合适用的隐私规定及其他司法管辖区的法律要求;
    3. 出于安全考虑(例如调查 bug 或滥用行为),有必要传输相关数据;或
    4. 为遵守适用法律法规。

除上述情形外,任何其他形式的用户数据传输、使用或出售均被严格禁止, 包括但不限于

  1. 向第三方(如广告平台、数据代理商或任何信息转销商)传输或出售用户数据。
  2. 以投放广告(包括重定向广告、个性化广告或针对用户兴趣投放广告)为目的传输、出售或使用用户数据。
  3. 为评估信用状况或用于贷款而传输、出售或使用用户数据。
  4. 为创建、训练或改进机器学习或人工智能模型而传输、出售或使用用户数据,但不得超出特定用户的个性化模型,以用于适当的使用情形或面向用户的功能。

您必须确保您的员工、代理商、承包商和继任者遵守本《Google 用户数据和开发者政策》。

您必须在您的应用内,或在您的网络服务/应用所属的网站上,明确声明您对数据的使⽤符合“有限使用”限制要求。例如,可在主页提供指向专门页面或隐私政策的链接,并载明:“通过 Google Workspace 范围获取的信息的使用将遵守 《Google 用户数据政策》,包括其中的 有限使用要求。”

维护安全运营环境

安全地处理传输中和静态的所有用户数据。采取合理且妥善的措施,防止所有使用 Google Workspace API 及任何由此派生的应用或系统遭受未经授权或非法的访问、使用、破坏、丢失、更改或披露。此外,如果将 Google 开发者产品和服务与其他平台、服务或协议集成,请遵循相关规范文档中推荐(如果适用)和必需的安全最佳实践;例如,模型上下文协议中的安全最佳实践

访问受限范围 的应用必须证明其遵守某些安全实践。

建议的安全实践包括:实施并维护 信息安全管理体系(例如符合 ISO/IEC 27001 标准),并确保您的应用或 Web 服务具备稳健性,且不存在 《OWASP 十大风险》所列常见 安全风险。

必须采取的安全措施包括:

  1. 使用行业认可的加密标准,对以下用户数据进行加密:

    1. 存储于便携设备或便携电子介质中的数据;
    2. 存储于 Google 或您的系统之外的数据;
    3. 通过非完全由您控制的外部网络传输的数据;
    4. 存储于您的系统中的静态数据。
  2. 通过安全的现代协议(例如 HTTPS)传输数据;

  3. 对用户数据及凭证(包括 OAuth 访问令牌和刷新令牌)进行静态加密存储;

  4. 确保密钥及密钥材料得到妥善管理,例如存储于硬件安全模块或具备同等强度的密钥管理系统中。

  5. 使用 Google Cloud Platform 的 Model Armor 或其他提示注入保护措施,防范提示注入技术。

受限范围的必需安全措施还包括遵循 云应用安全性评估 (CASA)。 此外,根据要访问的 API 以及用户授权数量或用户人数,我们还可能要求您的应用或服务接受定期安全评估,并从 Google 指定的第三方获取评估文件。

如发生或疑似发生针对您的系统、网络、 账号或任何存储 Google 数据位置的未经授权访问(以下简称“安全事件”), 您同意及时通过 security@google.com 通知 Google。您同意就任何已知或疑似 安全事件与 Google 充分合作,以进行处置与修复;并且,在就任何该等已知或疑似安全 事件作出任何公开声明之前,您应先行通知 Google ( security@google.com )。

受限范围

Google Workspace 受限范围包括:

  1. 允许应用执行以下操作的任何 Gmail API 范围:

    1. 读取、创建或修改邮件正文(包括附件)、元数据或标头;或
    2. 控制邮箱访问权限、电子邮件转发或管理员设置。
  2. 允许应用执行以下操作的任何云端硬盘 API 范围:

    1. 读取、修改或管理用户云端硬盘文件的内容或元数据,而无需用户逐个授予文件访问权限。
  3. 允许应用执行以下操作的任何 Chat API 范围:

    1. 读取、修改或管理用户 Chat 消息的内容或元数据。
  4. 允许应用执行以下操作的任何 Meet REST API 范围:

    1. 读取、修改或管理会议参与者的音频和视频的实时处理。

如需了解详情,请参阅受限范围 列表