Chính sách bảo mật

Có hiệu lực từ: 2026-05-30

HN Social ("chúng tôi") là công cụ quản lý fanpage Facebook tích hợp AI. Tài liệu này mô tả những dữ liệu chúng tôi thu thập, lý do thu thập, cách lưu trữ và quyền của bạn đối với dữ liệu đó.

1. Dữ liệu chúng tôi thu thập

1.1. Thông tin tài khoản

• Họ tên, địa chỉ email
• Mật khẩu (lưu dưới dạng hash bcrypt, không lưu mật khẩu gốc)
• Ảnh đại diện (chỉ khi đăng nhập qua Google OAuth)

1.2. Dữ liệu từ Facebook

Khi bạn chủ động kết nối tài khoản Facebook, chúng tôi nhận và lưu trữ:

• Facebook User ID, tên hiển thị, email (nếu bạn cấp quyền)
• Long-lived User Access Token (mã hoá AES-256-GCM)
• Page Access Tokens cho từng fanpage bạn quản lý (mã hoá)
• Metadata fanpage: ID, tên, category, ảnh, số follower
• Bài đăng và bình luận đồng bộ từ fanpage (chỉ những bài fanpage bạn quản lý)
• Insights / analytics fanpage để hiển thị dashboard

Chúng tôi không bao giờ truy cập tin nhắn riêng tư, danh bạ, hay timeline cá nhân của bạn.

1.3. Dữ liệu bạn tạo trong app

• Nội dung bài viết, ảnh, video bạn upload
• Lịch đăng, campaign, template, source tự động
• API key của AI provider (Anthropic, OpenAI, Gemini, Groq, OpenRouter — đều mã hoá AES-256-GCM)
• Cài đặt cá nhân và team

1.4. Cookie và session

• NextAuth session cookie (HTTP-only, SameSite=Lax)
• Cookie ngôn ngữ hn_locale (vi/en, lưu 1 năm)
• Cookie OAuth state tạm thời (xoá sau khi callback)

2. Cách chúng tôi dùng dữ liệu

• Cung cấp dịch vụ: đăng bài, đồng bộ fanpage, sinh nội dung bằng AI, phân tích insight
• Xác thực người dùng và bảo mật phiên đăng nhập
• Cải thiện sản phẩm dựa trên thống kê tổng hợp (ẩn danh)
• Hỗ trợ kỹ thuật khi bạn liên hệ

Chúng tôi không bán dữ liệu cho bên thứ ba. Không dùng dữ liệu của bạn để train mô hình AI riêng.

3. Bên thứ ba

Để cung cấp dịch vụ, dữ liệu của bạn có thể được gửi tới các bên thứ ba sau:

• Meta / Facebook Graph API: theo phạm vi quyền bạn cấp khi kết nối.
• AI providers (Anthropic, OpenAI, Google Gemini, Groq, OpenRouter): chỉ nhận prompt và brief bạn nhập — không nhận token Facebook.
• Image providers (Pollinations, HuggingFace, Cloudflare, Together): chỉ nhận prompt sinh ảnh.
• Google OAuth: chỉ khi bạn chọn đăng nhập bằng Google.

4. Lưu trữ và bảo mật

• Dữ liệu lưu trên PostgreSQL self-hosted, có sao lưu định kỳ.
• Tất cả token Facebook và API key AI được mã hoá AES-256-GCM bằng khoá riêng (TOKEN_ENC_KEY) trước khi ghi DB.
• Toàn bộ kết nối HTTPS bằng chứng chỉ TLS hợp lệ.
• Quyền truy cập DB được giới hạn ở admin nội bộ, audit log đầy đủ.

5. Thời gian lưu trữ

• Khi bạn xoá tài khoản, toàn bộ dữ liệu sẽ bị xoá vĩnh viễn trong vòng 24 giờ.
• Khi bạn ngắt kết nối Facebook (qua Facebook Settings hoặc trong app), token và metadata fanpage bị xoá ngay lập tức.
• Backup chứa dữ liệu của bạn sẽ được xoá sau 30 ngày kể từ yêu cầu xoá.

6. Quyền của bạn

• Truy cập: xem mọi dữ liệu trong app qua /dashboard, /settings.
• Chỉnh sửa: cập nhật thông tin cá nhân tại /settings.
• Xoá: xoá tài khoản và toàn bộ dữ liệu tại /data-deletion.
• Xuất dữ liệu: yêu cầu qua email privacy@hnmedia.org.
• Khiếu nại: gửi tới cơ quan bảo vệ dữ liệu nếu bạn cho rằng quyền của mình bị vi phạm.

7. Trẻ em

HN Social không dành cho người dưới 13 tuổi. Chúng tôi không cố ý thu thập dữ liệu của trẻ em.

8. Thay đổi chính sách

Khi có thay đổi đáng kể, chúng tôi sẽ thông báo qua email và hiển thị banner trong app ít nhất 7 ngày trước khi áp dụng.

9. Liên hệ

Email: privacy@hnmedia.org

Xem thêm: Điều khoản dịch vụ · Xoá dữ liệu