Data Portability API के उपयोगकर्ता का डेटा और डेवलपर से जुड़ी नीति

डेटा पोर्टेबिलिटी एपीआई का इस्तेमाल करने वाले डेवलपर के तौर पर, आप अक्सर बेहद संवेदनशील उपयोगकर्ता डेटा को इकट्ठा और मैनेज करते हैं. डेटा मैनेज करने के इन मुख्य सिद्धांतों को ध्यान में रखें:

  • निजता की सुरक्षा: उपयोगकर्ता के डेटा का इस्तेमाल पाबंदी वाले इस्तेमाल के लिए न करें.
  • साफ़ तौर पर बताएं: उपयोगकर्ताओं को सही तरीके से बताएं कि आपने कौनसा डेटा इकट्ठा किया है, उसे क्यों इकट्ठा किया जाता है, और उसका इस्तेमाल कैसे किया जाता है.
  • विनम्र रहें: उपयोगकर्ता के डेटा को मैनेज करें. जब मुमकिन हो, तब उपयोगकर्ताओं को अपना डेटा किसी प्रॉडक्ट से बाहर ट्रांसफ़र करने की अनुमति दें. साथ ही, उपयोगकर्ताओं के डेटा मिटाने के अनुरोधों पर कार्रवाई करने की अनुमति दें.
  • सुरक्षित रहें: सभी उपयोगकर्ताओं के डेटा को सुरक्षित तरीके से इस्तेमाल करें और दिखाएं कि सुरक्षा से जुड़े कुछ खास तरीकों का पालन किया जा रहा है.
  • खास तौर पर बताएं: उस डेटा के ऐक्सेस का अनुरोध न करें जिसकी आपको ज़रूरत नहीं है. डेटा का ऐक्सेस, सिर्फ़ आपके ऐप्लिकेशन या सेवा की वे सुविधाएं उपलब्ध कराने के लिए होना चाहिए जिनसे लोगों को फ़ायदा हो.

जब डेवलपर, उपयोगकर्ता के डेटा के ऐक्सेस के लिए अनुरोध करता है, तब Google API की सेवा की शर्तें, Google API सेवाओं की उपयोगकर्ता के डेटा से जुड़ी नीति, और OAuth 2.0 की नीतियां, Google API की सभी सेवाओं के इस्तेमाल को कंट्रोल करती हैं. इस Data Portability API की उपयोगकर्ता के डेटा और डेवलपर नीति में ऐसी और जानकारी शामिल है जो यह तय करती है कि आपके डेटा का इस्तेमाल कैसे किया जाता है और इसके ऐक्सेस के लिए क्या करना है. Data Portability API, यूरोपियन इकनॉमिक एरिया (ईईए) के असली उपयोगकर्ताओं को अपने डेटा पर ज़्यादा कंट्रोल देता है. इससे डेटा को Google से बाहर ले जाना आसान हो जाता है.

डेटा पोर्टेबिलिटी एपीआई, Google Takeout के साथ-साथ यह पक्का करता है कि उपयोगकर्ताओं को अपने डेटा का आसान और बेहतर ऐक्सेस मिले और उस पर कंट्रोल रहे. Google की निजता नीति और निजता सेटिंग के बारे में ज़्यादा जानें. इस सेटिंग की मदद से, उपयोगकर्ता अपने डेटा को कंट्रोल कर सकते हैं.

समय-समय पर इस पेज को देखते रहें. इन नीतियों को समय-समय पर अपडेट किया जाता है. यह डेवलपर की ज़िम्मेदारी है कि वह नियमित रूप से इन नीतियों की निगरानी और उनका पालन करे. अगर किसी भी समय नीति से जुड़ी ज़रूरी शर्तें पूरी नहीं की जा सकती हैं या इस बात का बड़ा जोखिम है कि आप इन्हें पूरा नहीं कर पाएंगे, तो हमारी सेवाओं का इस्तेमाल तुरंत बंद कर दें और हमसे संपर्क करें. अगर आपने इस नीति का पालन नहीं किया है, तो Google के पास उपयोगकर्ता के डेटा का ऐक्सेस हटाने या उस पर पाबंदी लगाने का अधिकार सुरक्षित है. अगर इस नीति या एपीआई सेवाओं से जुड़ी किसी दूसरी शर्त के बीच कोई टकराव होता है, तो Data Portability API के उपयोगकर्ता के डेटा और डेवलपर नीति को ध्यान में रखा जाएगा.

डेटा का सही ऐक्सेस और उपयोगकर्ता के डेटा का इस्तेमाल करना

उपयोगकर्ता का डेटा एक्सपोर्ट करने के अनुरोध, साफ़ और समझने लायक होने चाहिए. Data Portability API का इस्तेमाल, सिर्फ़ लागू नीतियों, नियमों, और शर्तों के मुताबिक किया जा सकता है. साथ ही, इसका इस्तेमाल उन मामलों में भी किया जा सकता है जिनसे उपयोगकर्ताओं को फ़ायदा मिल सके. जैसा कि इस नीति में बताया गया है. इसका मतलब है कि डेवलपर सिर्फ़ तब अनुमतियों के ऐक्सेस का अनुरोध कर सकते हैं, जब कोई ऐप्लिकेशन या सेवा, मंज़ूरी पा चुके इस्तेमाल के उदाहरणों में से किसी एक को पूरा करती हो.

अनुमतियों को ऐक्सेस करने के लिए, इस्तेमाल के वे मामले जिनके लिए मंज़ूरी मिल सकती है:

  • एक या ज़्यादा सुविधाओं वाले ऐसे ऐप्लिकेशन या सेवाएं जिनका मुख्य मकसद उपयोगकर्ता को फ़ायदा पहुंचाना होता है. इसके लिए, इन ऐप्लिकेशन या सेवाओं को Google की एक सेवा से दूसरे प्लैटफ़ॉर्म या सेवा में, उपयोगकर्ता के डेटा को ले जाने, कॉपी करने या ट्रांसफ़र करने की अनुमति दी जाती है. ऐसा उपयोगकर्ता के फ़ायदे के लिए किया जाता है.

ज़रूरी अनुमतियों के लिए अनुरोध करना

डेवलपर सिर्फ़ उन अनुमतियों के ऐक्सेस का अनुरोध कर सकते हैं जो किसी ऐप्लिकेशन या सेवा के लिए सुविधाएं लागू करने के लिए ज़रूरी हैं. इसका मतलब है:

  • ऐसी जानकारी के ऐक्सेस का अनुरोध न करें जिसकी आपको ज़रूरत नहीं है. अगर किसी प्रॉडक्ट के लिए खास अनुमतियों के ऐक्सेस की ज़रूरत नहीं है, तो आपको इन अनुमतियों के ऐक्सेस का अनुरोध नहीं करना चाहिए. जानकारी का ऐक्सेस पाने के लिए अनुरोध करके, उपयोगकर्ता के डेटा को "आने वाले समय के लिए" ऐक्सेस करने की कोशिश न करें. इससे, उन सेवाओं या सुविधाओं को फ़ायदा हो सकता है जिन्हें फ़िलहाल लागू नहीं किया गया है.

  • जहां हो सके वहां की ज़रूरत के हिसाब से अनुमतियों का अनुरोध करें. ज़्यादा अनुमति का इस्तेमाल करके, उपयोगकर्ता के डेटा का ऐक्सेस सिर्फ़ तब (जब भी हो) ऐक्सेस करने का अनुरोध करें. इससे उपयोगकर्ताओं को यह समझने में मदद मिलती है कि आपको डेटा की ज़रूरत क्यों है.

पारदर्शी और सटीक सूचना और कंट्रोल

Data Portability API, निजी और संवेदनशील जानकारी का मैनेजमेंट करता है. सभी ऐप्लिकेशन और सेवाओं की एक निजता नीति होनी चाहिए. इस नीति में इस बात की पूरी जानकारी होनी चाहिए कि किसी ऐप्लिकेशन या वेब सेवा, उपयोगकर्ता के डेटा को कैसे इकट्ठा, इस्तेमाल, और शेयर करती है. इसमें उन पक्षों के प्रकार शामिल हैं जिनके साथ उपयोगकर्ता का डेटा शेयर किया जाता है, डेटा का इस्तेमाल कैसे किया जाता है, डेटा को सेव और सुरक्षित कैसे किया जाता है, और किसी खाते को बंद करने या मिटाने पर उस डेटा का क्या होता है.

ऐप्लिकेशन और सेवाओं को भी ज़्यादा से ज़्यादा अनुमति का इस्तेमाल करके, उपयोगकर्ता के डेटा के ऐक्सेस का अनुरोध करना चाहिए. इससे, उपयोगकर्ता बेहतर तरीके से समझ पाएंगे कि कौनसा डेटा दिया गया है, आपको डेटा क्यों चाहिए, और डेटा का इस्तेमाल कैसे किया जाता है. लागू कानून के तहत मिलने वाली ज़रूरी शर्तों के अलावा, आपको OAuth 2.0 से जुड़ी हमारी नीतियों और Google API सेवाओं की उपयोगकर्ता के लिए डेटा नीतियों से जुड़ी इन ज़रूरी शर्तों का पालन करना होगा:

  1. डेवलपर को डेटा एक्सपोर्ट, ऐक्सेस, इकट्ठा करने, इस्तेमाल, और शेयर करने से जुड़ी जानकारी देनी होगी. जानकारी:
    1. उस ऐप्लिकेशन या सेवा की पहचान सटीक तौर पर दिखाई जानी चाहिए जो उपयोगकर्ता के डेटा को ऐक्सेस करना चाहता है;
    2. अगर यह ऐप्लिकेशन पर आधारित है, तो यह ऐप्लिकेशन के अंदर होना चाहिए या अगर यह वेब पर आधारित है, तो यह किसी अलग डायलॉग विंडो में होनी चाहिए;
    3. अगर ऐप्लिकेशन को सामान्य इस्तेमाल के दौरान दिखाया जाना चाहिए, लेकिन यह ऐप्लिकेशन पर आधारित हो या वेबसाइट पर, अगर यह वेब पर आधारित हो. साथ ही, इसके लिए उपयोगकर्ता को मेन्यू या सेटिंग में नेविगेट करने की ज़रूरत नहीं होनी चाहिए;
    4. इस बारे में साफ़ और सटीक जानकारी देनी चाहिए कि किस तरह के डेटा को ऐक्सेस, अनुरोध, एक्सपोर्ट या इकट्ठा किया जा रहा है;
    5. आपको यह बताना होगा कि डेटा को कैसे इस्तेमाल और शेयर किया जाता है. अगर किसी एक वजह से डेटा एक्सपोर्ट करने का अनुरोध किया जाता है, लेकिन उसका इस्तेमाल किसी और काम के लिए भी किया जाता है, तो आपको उपयोगकर्ताओं को दोनों मामलों की सूचना देनी होगी;
    6. इसे सिर्फ़ किसी निजता नीति या सेवा की शर्तों में नहीं रखा जा सकता; और
    7. इसे ऐसी दूसरी जानकारी के साथ नहीं दिखाया जाना चाहिए जो निजी और संवेदनशील डेटा इकट्ठा करने से जुड़ी नहीं है.

  2. डेवलपर की जानकारी के साथ ऐप्लिकेशन इस्तेमाल करने वाले व्यक्ति की सहमति लेने का अनुरोध शामिल होना चाहिए. साथ ही, उससे पहले यह जानकारी भी देनी चाहिए. सकारात्मक सहमति लेने से पहले आपको डेटा इकट्ठा करना शुरू नहीं करना चाहिए. सहमति के लिए अनुरोध:
    1. सहमति संवाद को साफ़ और आसान तरीके से पेश किया जाना चाहिए;
    2. स्वीकार करने के लिए, ऐसा कोई विकल्प देना ज़रूरी है जिसे स्वीकार करने के लिए, उपयोगकर्ता की सहमति मिल सके. जैसे, स्वीकार करने के लिए चुनें, चेकबॉक्स पर सही का निशान लगाना या स्वीकार करने के लिए बोलकर दिए जाने वाले निर्देश;
    3. जहां जानकारी दी गई है वहां से कहीं और जाने को सहमति नहीं समझा जाना चाहिए. इसमें, कहीं और जाने या वापस जाने के लिए 'वापस जाएं' या होम बटन को दबाना शामिल है; और
    4. अपने-आप खारिज या खत्म होने वाले मैसेज का इस्तेमाल नहीं किया जाना चाहिए.
  3. आपको उपयोगकर्ता के लिए सहायता से जुड़ा दस्तावेज़ देना होगा. इसमें, यह बताया गया है कि उपयोगकर्ता, ऐप्लिकेशन में अपना डेटा कैसे मैनेज कर सकते हैं और उसे कैसे मिटा सकते हैं.

उपयोगकर्ता के डेटा का सीमित इस्तेमाल करना

जब किसी सही इस्तेमाल के लिए डेटा पोर्टेबिलिटी एपीआई को ऐक्सेस किया जाता है, तो डेवलपर को मिलने वाले डेटा का इस्तेमाल इन शर्तों के मुताबिक होना चाहिए. ये ज़रूरी शर्तें, संवेदनशील और पाबंदी वाले दायरे, डेटा पोर्टेबिलिटी एपीआई से मिलने वाले रॉ डेटा, और रॉ डेटा से एग्रीगेट किए गए, बिना पहचान वाले डेटा या उससे मिले डेटा पर लागू होती हैं.

  1. डेटा का इस्तेमाल सिर्फ़ उन मामलों या सुविधाओं को देने या उन्हें बेहतर बनाने तक करें जो ऐप्लिकेशन के यूज़र इंटरफ़ेस में दिखती हैं और जो अनुरोध करने वाले ऐप्लिकेशन के यूज़र इंटरफ़ेस में मुख्य तौर पर दिखती हैं.
  2. इन मामलों में डेटा ट्रांसफ़र करने की अनुमति नहीं है:
    1. इस्तेमाल के सही उदाहरण या इस्तेमाल के लिए उपलब्ध सुविधाओं को उपलब्ध कराने या उनमें सुधार करने के लिए, जो अनुरोध करने वाले ऐप्लिकेशन के यूज़र इंटरफ़ेस से मेल न खाते हों और उपयोगकर्ता की सहमति से ली गई हों;
    2. सुरक्षा के मकसद से, जैसे कि बुरे बर्ताव की जांच करना;
    3. कानूनों या नियमों का पालन करने के लिए; या
    4. डेवलपर की ऐसेट को मर्ज करने, हासिल करने या बेचने के लिए, उपयोगकर्ता से साफ़ तौर पर सहमति लेने के बाद ही ऐसा किया जा सकता है.

  3. लोगों को उपयोगकर्ता का डेटा पढ़ने की अनुमति तब तक न दें, जब तक:
    1. आपने किसी खास डेटा को पढ़ने के लिए, उपयोगकर्ता से साफ़ तौर पर दी गई सहमति ली है और उसे दस्तावेज़ के तौर पर दर्ज किया है. उदाहरण के लिए, पासवर्ड खोने के बाद उपयोगकर्ता को प्रॉडक्ट या सेवा का ऐक्सेस वापस पाने में मदद करना;
    2. लागू होने वाली निजता और अधिकार क्षेत्र की अन्य कानूनी ज़रूरतों के मुताबिक, इस डेटा को अंदरूनी कार्रवाइयों के लिए इकट्ठा और इस्तेमाल किया जाता है. इसमें जनरेट किए गए डेटा भी शामिल हैं;
    3. सुरक्षा के लिहाज़ से यह ज़रूरी हो, जैसे कि बुरे बर्ताव की जांच करने के लिए; या
    4. लागू होने वाले कानूनों या नियमों का पालन करना ज़रूरी है.

पुष्टि करने वाला या इससे मिलता-जुलता अन्य स्टेटमेंट कि ऐप्लिकेशन या सेवा के लिए डेटा का इस्तेमाल, सीमित इस्तेमाल की पाबंदियों का पालन करता है. इसके बारे में ऐप्लिकेशन में या उस सेवा या ऐप्लिकेशन से जुड़ी वेबसाइट पर बताया जाना चाहिए. उदाहरण के लिए, होम पेज पर किसी खास पेज या निजता नीति का लिंक, जिसमें:

"डेटा पोर्टेबिलिटी एपीआई से मिली जानकारी का इस्तेमाल, Google के उपयोगकर्ता के डेटा से जुड़ी नीति के मुताबिक किया जाता है. इसमें सीमित इस्तेमाल से जुड़ी ज़रूरी शर्तें भी शामिल हैं".

मिलते-जुलते वाक्यों का इस्तेमाल किया जा सकता है. ये ऐसे वाक्य इस्तेमाल किए जा सकते हैं जो 'सीमित इस्तेमाल' सेक्शन में डेटा शेयर करने से जुड़ी पाबंदियों के मुताबिक हों.

सुरक्षित ऑपरेटिंग एनवायरमेंट बनाए रखें

आपको उपयोगकर्ता का पूरा डेटा सुरक्षित तरीके से मैनेज करना होगा. डेटा पोर्टेबिलिटी एपीआई का इस्तेमाल करने वाले सभी ऐप्लिकेशन या सिस्टम को बिना अनुमति के या गैर-कानूनी तरीके से ऐक्सेस करने, इस्तेमाल करने, नष्ट करने, नुकसान पहुंचाने, बदलाव करने या उन्हें ज़ाहिर करने से रोकने के लिए, उचित और सही कदम उठाएं.

पाबंदी वाले दायरे को ऐक्सेस करने वाले ऐप्लिकेशन को सुरक्षा से जुड़े कुछ तरीकों का पालन करना होगा. सुरक्षा के सुझाए गए तरीकों में, ISO/IEC 27001 में बताए गए तरीके से इन्फ़ॉर्मेशन सिक्योरिटी मैनेजमेंट सिस्टम लागू करना और उसे बनाए रखना शामिल है. साथ ही, यह पक्का करना भी शामिल है कि ऐप्लिकेशन या वेब सेवा बेहतरीन हो और उसमें सामान्य सुरक्षा समस्याएं न हों, जैसा कि OWASP टॉप 10 में बताया गया है.

ज़रूरी सुरक्षा उपायों में ये शामिल हैं:

  1. उपयोगकर्ता के डेटा को एन्क्रिप्ट करने के लिए, इंडस्ट्री के स्वीकार किए गए एन्क्रिप्शन स्टैंडर्ड का इस्तेमाल किया जाता है. यह डेटा:
    1. इन्हें पोर्टेबल डिवाइस या पोर्टेबल इलेक्ट्रॉनिक मीडिया में सेव किया गया है;
    2. उसे Google या डेवलपर के सिस्टम से बाहर रखा जाता है;
    3. डेटा को ऐसे किसी भी बाहरी नेटवर्क पर ट्रांसफ़र किया जा सकता है जिसे सिर्फ़ आप मैनेज नहीं करते हों और
    4. फ़िलहाल, डेवलपर के सिस्टम पर कोई असर नहीं होगा.
  2. एचटीटीपीएस जैसे सुरक्षित और आधुनिक प्रोटोकॉल का इस्तेमाल करके डेटा शेयर किया जा रहा है.
  3. उपयोगकर्ता के डेटा और क्रेडेंशियल, खास तौर पर OAuth ऐक्सेस और रीफ़्रेश टोकन जैसे टोकन को एन्क्रिप्ट (सुरक्षित) करके रखना.
  4. यह पक्का कर सकें कि कुंजियों और मुख्य कॉन्टेंट को सही तरीके से मैनेज किया जा रहा हो, जैसे कि उन्हें हार्डवेयर सुरक्षा मॉड्यूल या एक जैसी क्षमता वाले कुंजी मैनेजमेंट सिस्टम में सेव किया जाता है.

पाबंदी वाले दायरे के लिए ज़रूरी सुरक्षा उपायों में क्लाउड ऐप्लिकेशन सिक्योरिटी असेस्मेंट (सीएएसए) का पालन करना शामिल है. इसके अलावा, आपको आवेदन या सेवा को समय-समय पर होने वाली सुरक्षा जांच की अनुमति देनी पड़ सकती है. साथ ही, आपको Google की ओर से तय किए गए तीसरे पक्ष से आकलन पत्र पाने की अनुमति भी देनी पड़ सकती है.

आप सहमत हैं कि Google का डेटा सेव किए जाने वाले सिस्टम, नेटवर्क, खातों या अन्य जगहों के किसी जाने-पहचाने या संदिग्ध ऐक्सेस के बारे में, Google को security@google.com पर तुरंत सूचना दें. इसे सुरक्षा घटना कहा जाता है. आपने सुरक्षा से जुड़े किसी अनुरोध को सही करने में Google की मदद करने की सहमति दी है. ऐसी किसी भी स्थिति में, Google को इस बारे में security@google.com पर सूचना दी जा सकती है. इसके लिए, आपको पहले से मालूम या संदिग्ध सुरक्षा घटना के बारे में कोई सार्वजनिक बयान देना होगा.

OAuth 2.0 स्कोप

डेटा पोर्टेबिलिटी एपीआई के सभी स्कोप और संसाधन ग्रुप की सूची देखने के लिए, Google API के लिए OAuth 2.0 के स्कोप देखें.

पाबंदी वाले दायरों के बारे में ज़्यादा जानकारी के लिए, पाबंदी वाले दायरों की सूची देखें.