Chính sách Bảo mật

Chính sách Bảo mật

Hiệu lực từ 20/04/2026. Liên hệ: privacy@hausey.ai.

1. Thông tin chúng tôi thu thập

1.1 Thông tin bạn cung cấp

• Dữ liệu tài khoản: họ tên, email, mã hash mật khẩu, ID nhà cung cấp xác thực (Google/Apple/Microsoft/Facebook), tùy chọn tài khoản, ngôn ngữ.
• Thông tin thanh toán: địa chỉ thanh toán, gói dịch vụ, ID khách hàng Stripe. Chúng tôi không lưu số thẻ đầy đủ, CVV hoặc thông tin ngân hàng — tất cả do Stripe, Inc. xử lý.
• Nội dung người dùng: hình ảnh, tài nguyên tham khảo, prompt, hướng dẫn chỉnh sửa, lựa chọn phong cách, ghi chú tiết lộ, và nội dung bạn tải lên.
• Liên lạc: tin nhắn phản hồi, ticket hỗ trợ, phản hồi cho email của chúng tôi, cùng metadata liên quan.
• Dữ liệu phê duyệt broker (Agent Pro): email của broker, tên tùy chọn, ghi chú và quyết định.

1.2 Thông tin phát sinh khi sử dụng

• Kết quả tạo ra: các phương án AI, bản chỉnh sửa, PDF, export pack, bằng chứng kiểm tra cấu trúc.
• Dữ liệu kỹ thuật: địa chỉ IP, định danh thiết bị/trình duyệt, hệ điều hành, user-agent, múi giờ, URL nguồn, trang đã xem.
• Dữ liệu sử dụng: trang thăm, tính năng dùng, timestamp, session ID, báo lỗi, chỉ số hiệu năng, số liệu tổng hợp, tùy chọn suy diễn.
• Cookie và công nghệ tương tự: xem Mục 7.
• Dữ liệu audit và bảo mật: timestamp đăng nhập, IP nguồn, sự kiện rate-limit, tín hiệu lạm dụng, hành động quản trị.

1.3 Thông tin từ bên thứ ba

• Nhà cung cấp xác thực (Google, Apple, Microsoft, Facebook): dữ liệu hồ sơ cơ bản theo quyền bạn cấp.
• Xử lý thanh toán (Stripe): trạng thái gói, lịch sử hoá đơn, hoàn tiền, thất bại thanh toán — không bao gồm số thẻ đầy đủ.
• Đối tác phân tích & quảng cáo (Google Analytics, Google Ads): dữ liệu hành vi tổng hợp gắn với định danh bên-thứ-nhất.
• Đối tác giao email (Mailgun): tín hiệu bounce, khiếu nại, mở, click.
• Nguồn dữ liệu công khai: khi cần xác thực hoặc bổ sung tài khoản.

2. Cách chúng tôi sử dụng thông tin

Chúng tôi xử lý dữ liệu cá nhân cho các mục đích sau, với cơ sở pháp lý tương ứng:

• Cung cấp Dịch vụ — tạo kết quả AI, lưu trữ dự án, kiểm tra cấu trúc, phân phối export. Cơ sở: thực hiện hợp đồng.
• Quản lý tài khoản — xác thực, kiểm soát truy cập, quản lý phiên, thực thi gói. Cơ sở: thực hiện hợp đồng.
• Thanh toán và gói đăng ký — xử lý thanh toán, hoàn tiền, ngăn gian lận. Cơ sở: thực hiện hợp đồng; nghĩa vụ pháp lý.
• An toàn, bảo mật, chống lạm dụng — rate-limit, lọc nội dung, audit. Cơ sở: lợi ích hợp pháp; nghĩa vụ pháp lý.
• Cải thiện Dịch vụ — phân tích sử dụng để nâng cao chất lượng, tốc độ, chi phí, lựa chọn nhà cung cấp. Cơ sở: lợi ích hợp pháp.
• Liên lạc — email giao dịch, thông báo sản phẩm, marketing. Cơ sở: thực hiện hợp đồng (giao dịch); lợi ích hợp pháp hoặc sự đồng ý (marketing).
• Tuân thủ và thực thi pháp lý — đáp ứng yêu cầu pháp lý hợp pháp; thực thi Điều khoản. Cơ sở: nghĩa vụ pháp lý; lợi ích hợp pháp.

Chúng tôi không sử dụng Nội dung người dùng của bạn để huấn luyện các mô hình AI foundation đa dụng. Chúng tôi gửi Nội dung người dùng đến các nhà cung cấp mô hình bên thứ ba (xem Mục 3) chỉ với mục đích hạn chế là tạo ra kết quả mà bạn yêu cầu.

3. Chia sẻ thông tin

Chúng tôi chỉ chia sẻ dữ liệu cá nhân theo cách mô tả dưới đây. Chúng tôi không bán dữ liệu cá nhân để nhận tiền.

• Nhà cung cấp dịch vụ: AWS (hạ tầng), Cloudflare (mạng), Stripe (thanh toán), Google LLC (xác thực, Gemini, Analytics, Ads, Maps), OpenAI (mô hình AI), Mailgun (email), Firebase (xác thực).
• Nhà cung cấp mô hình AI: nhận nội dung tối thiểu cần thiết (ảnh nguồn + prompt + phong cách), truyền qua TLS, yêu cầu không dùng cho huấn luyện khi có tùy chọn.
• Người nhận do bạn chỉ định — khi bạn chia sẻ dự án qua link, gửi listing cho broker phê duyệt, hoặc mời thành viên gia đình.
• Cố vấn chuyên môn (pháp lý, kế toán, kiểm toán) với cam kết bảo mật.
• Giao dịch kinh doanh — sáp nhập, mua lại, tái cơ cấu, bán tài sản.
• Quy trình pháp lý — tuân thủ lệnh tòa, yêu cầu hợp pháp; bảo vệ quyền/tài sản/an toàn.
• Với sự đồng ý của bạn — cho bất kỳ mục đích nào được tiết lộ tại thời điểm lấy sự đồng ý.

4. Truyền dữ liệu quốc tế

Hausey vận hành tại Việt Nam và sử dụng hạ tầng đám mây chủ yếu tại Hoa Kỳ (AWS us-east-2). Nếu bạn truy cập Dịch vụ từ bên ngoài các khu vực này, dữ liệu của bạn có thể được truyền, lưu trữ, và xử lý tại các quốc gia có luật khác với nước bạn. Với dữ liệu thuộc phạm vi GDPR, chúng tôi áp dụng Điều khoản Hợp đồng Chuẩn (SCC 2021/914/EU) hoặc biện pháp bảo vệ phù hợp khác.

5. Thời gian lưu trữ

• Dữ liệu tài khoản: trong thời gian tài khoản tồn tại + lưu trữ phù hợp (lên đến 7 năm) cho mục đích thuế/kiểm toán/tố tụng.
• Nội dung người dùng: cho đến khi bạn xoá hoặc xoá tài khoản.
• Hồ sơ thanh toán: ít nhất 7 năm theo luật thuế Việt Nam.
• Log audit: 13 tháng.
• Dữ liệu deliverability (bounce, complaint, suppression): lưu vĩnh viễn để tôn trọng opt-out.
• Backup: luân phiên định kỳ; dữ liệu cá nhân được xóa trong chu kỳ luân phiên tiếp theo, thường trong 35 ngày.

6. An toàn

Chúng tôi triển khai các biện pháp bảo mật hành chính, kỹ thuật và vật lý phù hợp: TLS 1.2+, mã hoá server-side (AWS KMS), xác thực Firebase có chữ ký, kiểm soát truy cập theo vai trò, secrets-manager, IAM tối thiểu quyền, log audit, rate-limit, lọc lạm dụng. Nếu xảy ra sự cố dữ liệu cá nhân ảnh hưởng đến bạn, chúng tôi sẽ thông báo trong thời hạn pháp lý yêu cầu (72 giờ theo GDPR; theo quy định Nghị định 13/2023).

7. Cookie và công nghệ tương tự

• Cần thiết — xác thực (__session), CSRF, load balancing, rate-limit. Không thể tắt mà vẫn dùng được Dịch vụ.
• Tùy chọn — ngôn ngữ (hausey-locale), trạng thái UI.
• Phân tích — Google Analytics bên-thứ-nhất (_ga).
• Quảng cáo — Google Ads theo dõi conversion (chỉ sign-up và upgrade).

8. Trẻ em

Dịch vụ không dành cho trẻ dưới 13 tuổi (hoặc dưới 16 tại EEA/UK). Chúng tôi không cố ý thu thập dữ liệu của trẻ em. Nếu bạn phát hiện, liên hệ privacy@hausey.ai.

9. Quyền của bạn

9.1 Người dùng Việt Nam (Nghị định 13/2023)

• Quyền được biết việc xử lý dữ liệu cá nhân của mình.
• Quyền đồng ý hoặc không đồng ý với việc xử lý.
• Quyền truy cập để xem, chỉnh sửa, yêu cầu chỉnh sửa.
• Quyền rút lại sự đồng ý.
• Quyền xóa dữ liệu theo điều kiện luật định.
• Quyền hạn chế xử lý.
• Quyền cung cấp dữ liệu theo định dạng có thể đọc được.
• Quyền phản đối.
• Quyền khiếu nại, tố cáo, khởi kiện.
• Quyền yêu cầu bồi thường thiệt hại.
• Quyền tự bảo vệ.

9.2 EEA, UK, Thuỵ Sĩ (GDPR)

Quyền truy cập, chỉnh sửa, xoá, hạn chế, phản đối, khả chuyển dữ liệu, rút lại sự đồng ý, khiếu nại với cơ quan giám sát. Phản hồi trong 1 tháng.

9.3 California (CCPA/CPRA)

Quyền biết, xoá, chỉnh sửa, opt-out của việc “bán” hoặc “chia sẻ” thông tin cá nhân, giới hạn sử dụng thông tin cá nhân nhạy cảm. Hausey không bán thông tin cá nhân để nhận tiền và tôn trọng tín hiệu Global Privacy Control.

9.4 Quyết định tự động

Chúng tôi không đưa ra quyết định có hiệu lực pháp lý hoặc ảnh hưởng đáng kể chỉ dựa trên xử lý tự động mà không có sự tham gia của con người. Kết quả AI là gợi ý thiết kế, không phải quyết định ràng buộc.

10. Lựa chọn của bạn

• Cài đặt tài khoản — chỉnh hồ sơ, gói, mật khẩu, tùy chọn thông báo bất cứ lúc nào.
• Hủy đăng ký email marketing — mỗi email có link huỷ đăng ký 1-click. Email giao dịch không thể tắt khi tài khoản còn hoạt động.
• Xóa tài khoản — yêu cầu từ cài đặt hoặc email privacy@hausey.ai. Xử lý trong 30 ngày.
• Global Privacy Control — tôn trọng tín hiệu GPC.

11. Dịch vụ và liên kết bên thứ ba

Dịch vụ có thể liên kết hoặc tích hợp với dịch vụ bên thứ ba. Chúng tôi không kiểm soát và không chịu trách nhiệm về thực tiễn bảo mật của họ.

12. Thay đổi chính sách

Chúng tôi có thể cập nhật Chính sách. Thay đổi quan trọng sẽ được thông báo qua email hoặc in-product ít nhất 30 ngày trước khi có hiệu lực.

13. Liên hệ

Câu hỏi, yêu cầu, khiếu nại? Email privacy@hausey.ai.

Trong trường hợp mâu thuẫn giữa bản tiếng Việt và tiếng Anh, bản tiếng Anh có hiệu lực, trừ khi luật bảo vệ người tiêu dùng bắt buộc tại khu vực của bạn quy định khác.