Chính sách quyền riêng tư

1. Thông tin chúng tôi thu thập

Khi bạn sử dụng MysticalOrb ở chế độ ẩn danh (chưa đăng nhập), chúng tôi không thu thập bất kỳ thông tin nhận dạng cá nhân nào. Mỗi phiên được gán một mã nhận dạng ẩn danh ngẫu nhiên (không thể liên kết với danh tính thực của bạn).

Khi bạn chọn đăng nhập bằng tài khoản Google hoặc Facebook, chúng tôi thu thập thông tin sau từ nhà cung cấp xác thực:

• Tên hiển thị (display name)
• Địa chỉ email
• Ảnh đại diện (URL ảnh hồ sơ)
• Mã định danh người dùng từ nhà cung cấp (Google UID / Facebook UID)

Ngoài ra, chúng tôi lưu trữ nội dung lượt đọc bài Tarot của bạn, bao gồm:

• Câu hỏi bạn nhập vào ứng dụng
• Các lá bài Tarot được rút
• Luận giải do AI tạo ra dựa trên câu hỏi và lá bài của bạn
• Thời điểm thực hiện lượt đọc

2. Mục đích sử dụng

Chúng tôi sử dụng thông tin thu thập cho các mục đích cụ thể sau:

• Cung cấp dịch vụ: Tạo luận giải Tarot cá nhân hoá bằng AI dựa trên câu hỏi và lá bài cụ thể của bạn.
• Lưu trữ lịch sử: Cho phép bạn xem lại các lượt đọc trước đây trong tài khoản của mình.
• Xác thực và bảo mật: Xác minh danh tính người dùng và bảo vệ tài khoản của bạn.
• Cải thiện dịch vụ: Phân tích dữ liệu tổng hợp (không nhận dạng cá nhân) để nâng cao chất lượng luận giải và trải nghiệm người dùng.
• Phân tích sử dụng: Thu thập số liệu thống kê ẩn danh về cách người dùng tương tác với ứng dụng (thông qua Google Analytics với tính năng ẩn danh hóa địa chỉ IP đã được kích hoạt).

3. Thời gian lưu trữ

Chúng tôi chỉ lưu trữ dữ liệu của bạn trong thời gian cần thiết để cung cấp dịch vụ:

• Lịch sử lượt đọc: Được lưu trữ cho đến khi bạn yêu cầu xoá tài khoản. Khi tài khoản bị xoá, toàn bộ lượt đọc liên quan sẽ bị xoá theo.
• Tài khoản xác thực: Thông tin đăng nhập (tên, email, ảnh đại diện) được giữ cho đến khi bạn xoá tài khoản hoặc rút lại quyền truy cập cho ứng dụng từ tài khoản Google/Facebook của bạn.
• Tài khoản ẩn danh: Các phiên ẩn danh chưa được liên kết với tài khoản thực sẽ tự động bị xoá sau 30 ngày không hoạt động.
• Nhật ký hệ thống: Nhật ký vận hành được giữ tối đa 30 ngày để phục vụ mục đích bảo mật và khắc phục sự cố.
• Hồ sơ đồng ý: Bản ghi về việc bạn đã đồng ý với chính sách này được lưu trữ trong suốt vòng đời tài khoản nhằm đáp ứng yêu cầu tuân thủ pháp lý.

4. Quyền của bạn

Theo Luật Bảo vệ dữ liệu cá nhân 2025 (Điều 9), bạn có các quyền sau đây đối với dữ liệu cá nhân của mình:

• Quyền truy cập: Yêu cầu xem dữ liệu cá nhân chúng tôi đang lưu trữ về bạn.
• Quyền chỉnh sửa: Yêu cầu chỉnh sửa dữ liệu cá nhân không chính xác hoặc không đầy đủ.
• Quyền xoá:Yêu cầu xoá dữ liệu cá nhân của bạn (“quyền được lãng quên”). Khi nhận được yêu cầu hợp lệ, chúng tôi sẽ xoá tài khoản và toàn bộ dữ liệu liên quan trong vòng 30 ngày.
• Quyền rút lại đồng ý: Rút lại sự đồng ý của bạn bất kỳ lúc nào. Việc rút lại đồng ý không ảnh hưởng đến tính hợp pháp của việc xử lý dữ liệu trước thời điểm rút lại. Bạn có thể rút lại bằng cách đăng xuất và xoá tài khoản, hoặc thu hồi quyền truy cập của ứng dụng từ tài khoản Google/Facebook.
• Quyền hạn chế xử lý: Trong một số trường hợp, yêu cầu hạn chế cách chúng tôi xử lý dữ liệu của bạn.
• Quyền khiếu nại: Nộp khiếu nại lên cơ quan bảo vệ dữ liệu cá nhân có thẩm quyền tại Việt Nam nếu bạn cho rằng chúng tôi đã xử lý dữ liệu không đúng quy định.

Để thực hiện bất kỳ quyền nào ở trên, vui lòng liên hệ chúng tôi theo địa chỉ email được cung cấp trong mục Liên hệ bên dưới.

5. Bảo mật dữ liệu

Chúng tôi áp dụng các biện pháp bảo mật kỹ thuật và tổ chức phù hợp để bảo vệ dữ liệu của bạn:

• Mã hoá khi lưu trữ và truyền tải: Toàn bộ dữ liệu được lưu trữ trên Google Firebase Firestore, được mã hoá tại nơi lưu trữ (at-rest) và trong quá trình truyền tải (in-transit) bằng TLS 1.3.
• Khoá API server-side: Khoá API dùng để truy cập dịch vụ AI (Google Gemini) chỉ được lưu trữ và sử dụng trên máy chủ. Không có khoá bí mật nào được tiếp xúc ở phía trình duyệt.
• Quy tắc bảo mật Firestore: Dữ liệu lượt đọc và thông tin tài khoản chỉ có thể được truy cập bởi chính chủ tài khoản đó. Không có ứng dụng khách nào có thể ghi trực tiếp vào cơ sở dữ liệu — tất cả các thao tác ghi đều được thực hiện thông qua Firebase Cloud Functions trên máy chủ.
• Xác thực qua bên thứ ba uy tín: Chúng tôi sử dụng Firebase Authentication (Google) để quản lý danh tính, không lưu trữ mật khẩu của bạn.
• Hạ tầng đám mây có chứng nhận: Dữ liệu được lưu trữ trên hạ tầng Google Cloud tại khu vực Đông Nam Á (asia-southeast1), tuân thủ các tiêu chuẩn ISO 27001 và SOC 2.

6. Liên hệ

Nếu bạn có bất kỳ câu hỏi nào về chính sách quyền riêng tư này, muốn thực hiện quyền của bạn đối với dữ liệu cá nhân, hoặc muốn nộp khiếu nại, vui lòng liên hệ với chúng tôi:

• Email: tr.kimhieu@gmail.com
• Thời gian phản hồi: Trong vòng 30 ngày làm việc kể từ khi nhận được yêu cầu hợp lệ.

Đối với khiếu nại liên quan đến vi phạm quyền bảo vệ dữ liệu cá nhân, bạn có quyền gửi khiếu nại đến Bộ Công an — Cơ quan chuyên trách bảo vệ dữ liệu cá nhân tại Việt Nam theo quy định của Luật số 91/2025/QH15.

7. Thay đổi chính sách

Chúng tôi có thể cập nhật chính sách quyền riêng tư này theo thời gian để phản ánh các thay đổi về dịch vụ, công nghệ hoặc yêu cầu pháp lý.

Khi có thay đổi quan trọng, chúng tôi sẽ thông báo cho bạn bằng một trong các cách sau:

• Hiển thị thông báo trong ứng dụng khi bạn mở ứng dụng lần tiếp theo
• Gửi email đến địa chỉ email đã đăng ký của bạn (nếu có)

Ngày cập nhật lần cuối sẽ được ghi ở đầu trang này. Việc tiếp tục sử dụng ứng dụng sau khi chính sách được cập nhật đồng nghĩa với việc bạn chấp nhận chính sách mới. Nếu bạn không đồng ý với bất kỳ thay đổi nào, bạn có thể ngừng sử dụng dịch vụ và yêu cầu xoá tài khoản.