Szerintem még mindig nem érted.
Teljesen mindegy, hogy közvetlenül a jelszavadat vagy egy abból képzett hash-t használ(ná)nak az amúgy csak rád tartozó adatok titkositására. Ha bármelyiket használnák, akkor password reset (ami != password change) esetén elvesznek az adatok, hiszen nem tudod te sem a jelszavadat, ezért nem tudják dekódolni és újrakódolni az új jelszavaddal. Ezért biztos, hogy semmi ilyet nem használnak.
Ha hash-t képeztek belőle, akkor is ugyanott vagy. Nem tudják dekódolni, hogy újrakódolják az új jelszavad hash-ével, hiszen te sem tudod a jelszót.
Tehát még egyszer:
password change esetén beirod a régi jelszavad, beirod az újat, ilyen esetben működne a dolog, csakhogy a userek gyakran elfelejtik a jelszavukat és email vagy sms authorizációval kapnak egy újat, anélkül, hogy akár te, akár ők megkapnák az elfelejtett jelszót. Ez a password reset és innentől bukik az egész elmélet, hogy bármi is titkositva lenne úgy hogy ők ne férjenek hozzá.
"Persze mondhatod azt, hogy felvet ez is biztonsági kérdést"
nem biztonsági kérdést vet fel, hanem működésit. Nem tud úgy működni a szolgáltatás ahogy irod.
"a felvetésed az volt, hogy a guglinak megvannak cleartextben ezek az adatok"
Ez továbbra is fennál.
"lényegében csak azok a folyamatok férnek hozzá, amik kiszolgálják az adatokat az user felé."
Ilyen sajnos nem létezik. Mivel a kiszolgáló folyamatoknak nem te adod meg a dekódoláshoz szükséges jelszót, ezért bizony náluk van a dekódoláshoz szükséges jelszó és nem nálad és bizony hozzáférnek mindenedhez.
Ennél egyszerűbben nem tudod leirni, de próbáld ki magad, ha nem hiszed. Telefonodon legyen ilyen alkalmazás ami visszatölti az adataidat. Kapcsold ki a telefont, weben reseteld le a google jelszavad (mondjuk mert elfelejtetted), factory reseteld a telefont, lépj be az új google account jelszavaddal és vissza fognak jönni az adataid, pedig nyilvánvalóan semmi olyat nem adtál meg a resetelt telefonon amivel dekódolhatták volna a régi jelszavaddal (vagy annak hashével) titkositott adatokat.
"Az adatokat pedig nem a google-től kell félteni, hanem másoktól, akik hozzáférnek valahogy."
Akkor féltsd másoktól a privát adataidat, csak ne ringasd magad abba a téves illizióba, hogy a googlenál ezek az adatok titkositva vannak, mert nincsenek. (legalábbis nem úgy titkositva, hogy csak a te jelszavaddal vagy abból képzett hash-el lehetne dekódolni)