为解决数据泄露的困境——Google为第三方应用设置了访问Gmail数据的新规则

　　谷歌将对希望访问用户Gmail收件箱的第三方应用程序推出更严格的规则。新规定将于2019年1月9日生效。

　　在7月份,谷歌因允许第三方应用免费漫游和访问用户的Gmail数据(包括Gmail邮件内容)而受到了批评，之后谷歌发表了如上回应。

　　谷歌表示，

　　从明年开始，只有直接增强电子邮件功能的Gmail应用程序才能被授权访问收件箱数据。Gmail应用程序有电子邮件客户端、电子邮件备份服务和生产率服务(例如CRM和邮件合并服务)。

　　应用程序开发人员需要根据这些新规则来重写他们的应用程序。对Gmail用户数据具有完全访问权限但只需要“发送功能”的Gmail第三方应用需要适当调整其权限范围，因为从明年开始，他们将无法读取用户的电子邮件。

　　谷歌表示，

　　所有应用程序开发人员必须在2019年2月15日前重新提交他们的应用程序进行审查。在2019年2月22日之后，可以广泛访问Gmail用户数据的应用程序将被移除。

　　除了申请新的应用程序审查流程外，谷歌还计划对应用程序进行安全评估，以了解开发人员如何存储通过应用程序收集的Gmail用户数据。

　　应用程序将被要求演示安全数据处理的评估，包括:应用程序渗透测试、外部网络渗透测试、账户删除验证、事件响应计划的审查、漏洞披露程序和信息安全策略。仅在终端用户设备上存储用户数据的应用程序不需要完成完整的评估，但需要验证它是非恶意的软件。

　　在申请新的审查时，Gmail应用程序开发人员还必须同意一项新的谷歌政策，也就是禁止销售通过他们的应用程序获得的数据。

　　新的Gmail政策和安全评估流程只是谷歌保护它的后盾。今年早些时候，剑桥易观智库(Cambridge Analytica)开发的一款行为不当的第三方应用程序收集了大量用户数据，后来这些数据被用于政治活动。

　　谷歌的新政策和Gmail API访问规则是用来保护Gmail用户的收件箱，但是没有办法保证用户数据能够完全不被窃取，但它会让应用程序更难获得这些数据。

　　该公司希望这些新的API访问规则能够遏制开发简单的Gmail附加组件的做法，这些附加组件使用侵入式权限对电子邮件文本执行机器分析，收集用户数据以进行广告定位，跟踪电子邮件广告系列的成功或其他恶意目的。

　　谷歌今天在一篇博客文章中宣布了新的Gmail访问规则，其中该公司还宣布在API错误暴露了超过500,000名用户的私人信息后，关闭了Google+社交网络。

责任编辑：韩希宇