概述

本文档旨在帮助开发者了解数据 API 的核心概念、接口能力范围、配置流程及授权机制，确保开发者能够安全、合规地获取并使用企业业务数据。

一、 数据API概述

数据 API 是企业微信面向服务商开放的数据访问能力。在获得企业授权的前提下，应用可按约定范围获取平台内产生的业务数据，助力企业实现相关功能。

核心特性：

• 合规安全：采用“最小化”授权原则，确保数据获取在合规范围内。
• 动态管控：提供权限申请、审核、二次授权及定期续期的闭环管理机制。

二、 接口权限范围

数据 API 的具体能力取决于开发者在“服务商助手”中申请并获批的权限项。目前主要覆盖以下数据权限：

注意：具体可用接口以 [服务商助手 - 应用权限页] 实际展示为准。

三、 服务商配置流程

服务商需在应用上线或更新前，在开发者后台完成权限配置。

1. 权限勾选
   在应用配置页面的应用权限模块，根据产品实际功能需求，勾选必要的数据权限项。
   
2. 提交用途说明
   为确保审核通过，开发者需针对每一项权限提供：

• 场景描述：清晰说明为何需要此数据，该数据的具体使用场景和目的。
• 场景示意图：上传应用前端页面截图或数据处理流程图，展示该数据将如何在产品功能中体现。
  同时，用途说明也将展示在企业的数据权限授权页，请服务商提交清晰、准确的用途说明帮助企业理解应用如何使用数据。

四、 企业授权机制

安装应用并不等同于授予数据权限。 数据 API 必须经过企业管理员的二次授权方可生效。

授权路径：

1. 应用推送：应用授权完成后，将通过应用自动向授权管理员发送“数据权限申请”通知。
2. 管理后台：管理员可管理后台「应用管理 -> 应用详情 -> 授权信息」中手动开启。
3. 应用引导：开发者通过调用 JSAPI/授权组件，在应用自有页面内主动唤起授权页，引导企业管理员授权。

五、 有效期与安全管理

为保障企业数据安全，数据 API 引入了动态授权有效期机制。

1. 90 天有效期

• 生命周期：单次授权的有效期为 90 天。
• 到期影响：授权过期后，将不可通过接口获取数据。
  

2. 续期策略

• 预警阶段：到期前 7 天，会通过应用向管理员推送续期提醒。
• 操作续期：管理员续期授权后，有效期将从操作之日起重新计算 90 天。
• 开发者建议：开发者应监控接口状态，在临期前通过应用内调用 JSAPI/授权组件，引导管理员完成续期。
  

3. 授权回收
   企业管理员拥有最高控制权，可随时在后台撤回已授予的权限。开发者在程序逻辑中应具备处理“权限随时丢失”的容错机制。

六、 开发者须知

• 隐私政策更新：使用数据 API 的应用，需在隐私协议中明确告知用户数据收集范围。
• 存储安全：获取的数据应进行加密存储，严禁将原始数据转卖或泄露给第三方。