Неявный доступ к пользовательским данным в облачных хранилищах
Предположим, пользователь использует мое приложение для подключения к внешнему облачному хранилищу (Dropbox, Google Drive и т. Д.) Через OAuth2 - и я получаю токен доступа к его хранилищу для выполнения действий от его имени с его полного согласия.
Предполагая, что это полностью объяснено пользователю до того, как он установит соединение, могу ли я запрашивать, индексировать и анализировать любые данные, которые мне нужны из его хранилища? (В целях обучения и предоставления ему лучшего обслуживания в будущем)
Будет ли это рассматриваться как злоупотребление его токеном доступа? Могу ли я получить доступ только к тем данным, которые пользователь явно запрашивал для доступа к себе через мое приложение?
Я понимаю, что, возможно, я здесь заступаюсь, но не могу найти никакого подтверждения в Условиях обслуживания таких хранилищ.
1 ответ
Говоря только о Google, так как это единственное, что я знаю.
Технически у вас есть доступ к данным пользователей. Что вы делаете с этим доступом, зависит от вас. Если память работает, если вы собираетесь проводить какую-либо аналитику данных, вам нужно проинформировать пользователей об этом. И дать им возможность отказаться, хотя я не знаю никого, кто делает это или как они будут обнаруживать, если вы делаете это.
Также в консоли разработчика Google есть две опции на экране согласия. URL-адрес политики конфиденциальности и URL-адрес условий предоставления услуг. Я бы предложил вам заполнить оба поля. Это должно гарантировать, что вы находитесь на правильной стороне любой юридической линии, информируя пользователей о том, что вы делаете. Кроме того, вы можете прочитать следующие две страницы полностью, возможно, там что-то спрятано.
Условия использования API Google Google API Services: Политика данных пользователя