Chính sách Quyền riêng tư
Ngày hiệu lực: 09/06/2026 · Phiên bản: 1.0
Lam được xây dựng theo hướng riêng tư mặc định. Chính sách này giải thích chúng tôi thu thập dữ liệu gì, dùng để làm gì, chia sẻ với ai, lưu bao lâu, và bạn có quyền gì theo PDPD.
1. Dữ liệu chúng tôi xử lý
- Thông tin tài khoản: email, tên hiển thị, tên người dùng (handle), giới thiệu, ảnh đại diện, ngôn ngữ, múi giờ.
- Nội dung của bạn: bài viết, ảnh, bình luận, cảm xúc (reaction), không gian và kênh bạn tạo, danh sách theo dõi/chặn.
- Dữ liệu kỹ thuật và nhật ký: thông tin thiết bị cơ bản, địa chỉ IP, và bản ghi lỗi nhằm vận hành và bảo mật dịch vụ.
- Thanh toán: khi tính năng trả phí khả dụng, thông tin đơn hàng do nhà cung cấp thanh toán xử lý; chúng tôi không lưu thông tin thẻ/ngân hàng đầy đủ.
2. Mục đích và cơ sở pháp lý xử lý
| Mục đích | Cơ sở |
|---|---|
| Cung cấp, duy trì dịch vụ (lưu nhật ký, hiển thị, tìm kiếm, thông báo) | Thực hiện hợp đồng/dịch vụ bạn yêu cầu |
| Công khai bài viết, hiển thị hồ sơ công khai | Sự đồng ý của bạn (tự chọn từng bài) |
| Bảo mật, chống lạm dụng, xử lý báo cáo vi phạm | Lợi ích hợp pháp & nghĩa vụ pháp lý |
| Hỗ trợ người dùng, cải thiện sản phẩm | Lợi ích hợp pháp |
| Tuân thủ pháp luật | Nghĩa vụ pháp lý |
Chúng tôi không bán dữ liệu cá nhân và không dùng nội dung của bạn cho quảng cáo. Bạn có thể rút lại đồng ý bất cứ lúc nào (đổi cài đặt, chuyển bài về riêng tư, hoặc xoá nội dung); việc rút lại không ảnh hưởng tính hợp pháp của xử lý trước đó.
3. Bên thứ ba xử lý dữ liệu cho chúng tôi
Chúng tôi chỉ chia sẻ ở mức cần thiết để vận hành, theo hợp đồng và chỉ cho mục đích cung cấp dịch vụ cho chúng tôi:
- Supabase — xác thực và cơ sở dữ liệu.
- Cloudflare (R2, Images, Workers) — lưu trữ và xử lý ảnh, hạ tầng mạng.
- Resend — gửi email giao dịch (mã đăng nhập, thông báo hệ thống).
- SePay/VietQR — thanh toán (khi khả dụng).
- Sentry — ghi nhận lỗi (tuỳ chọn).
4. Chuyển dữ liệu ra nước ngoài
Một số nhà cung cấp nêu trên xử lý/lưu trữ dữ liệu ngoài lãnh thổ Việt Nam (ví dụ hạ tầng Supabase tại khu vực Nam Á và mạng lưới toàn cầu của Cloudflare). Đây là chuyển dữ liệu cá nhân ra nước ngoài theo PDPD. Chúng tôi áp dụng ràng buộc hợp đồng với các bên xử lý và thực hiện nghĩa vụ lập Hồ sơ đánh giá tác động chuyển dữ liệu ra nước ngoài theo quy định. Bằng việc sử dụng Lam, bạn được thông báo về việc chuyển dữ liệu này.
5. Nội dung công khai (tự chọn)
Bài viết mặc định riêng tư. Nếu bạn chủ động công khai một bài (chỉ áp dụng cho không gian cá nhân), bài đó và hồ sơ công khai của bạn có thể hiển thị cho người khác. Bạn có thể chuyển bài về riêng tư bất cứ lúc nào.
6. Bảo mật
Mọi truy cập dữ liệu người dùng đi qua API của chúng tôi với kiểm soát quyền ở tầng ứng dụng. Ảnh riêng tư được phục vụ qua liên kết có thời hạn ngắn và không công khai. Token đăng nhập được mã hoá đường truyền. Không hệ thống nào an toàn tuyệt đối, nhưng chúng tôi áp dụng các biện pháp kỹ thuật và tổ chức hợp lý.
7. Quyền của bạn theo PDPD
Bạn có quyền: được biết; đồng ý / rút lại đồng ý; truy cập; chỉnh sửa; xoá; hạn chế xử lý; được cung cấp / mang dữ liệu đi (xuất dữ liệu); phản đối xử lý; và khiếu nại, tố cáo, khởi kiện theo pháp luật.
- Truy cập & mang đi: tải bản sao đầy đủ (nhật ký + ảnh) ngay trong ứng dụng, ở định dạng dùng được mà không cần Lam.
- Chỉnh sửa: cập nhật hồ sơ và nội dung bất cứ lúc nào.
- Xoá: xoá từng bài/ảnh, hoặc xoá tài khoản (Mục 9).
- Để thực hiện các quyền khác, liên hệ privacy@laminthecloud.com; chúng tôi phản hồi trong thời hạn pháp luật quy định.
8. Trẻ em
Lam dành cho người từ đủ 16 tuổi trở lên. Với người dưới 16 tuổi, việc xử lý dữ liệu cần có sự đồng ý của cha mẹ hoặc người giám hộ theo PDPD. Nếu phát hiện đã thu thập dữ liệu trẻ em không đúng quy định, chúng tôi sẽ xoá.
9. Lưu giữ và xoá tài khoản
- Chúng tôi giữ dữ liệu khi tài khoản còn hoạt động và trong thời gian cần thiết để cung cấp dịch vụ hoặc theo nghĩa vụ pháp lý.
- Xoá tài khoản: khi bạn yêu cầu xoá trong ứng dụng, tài khoản chuyển sang trạng thái chờ xoá 30 ngày. Trong thời gian này bạn có thể huỷ yêu cầu (đăng nhập lại và chọn khôi phục). Hết 30 ngày, chúng tôi xoá vĩnh viễn dữ liệu cá nhân của bạn — hồ sơ, bài viết, ảnh (bao gồm tệp gốc trên kho lưu trữ), bình luận, cảm xúc, quan hệ theo dõi/chặn và tài khoản đăng nhập — trừ phần pháp luật yêu cầu lưu (ví dụ chứng từ giao dịch). Bản sao lưu kỹ thuật được xoá theo chu kỳ.
10. Vi phạm dữ liệu
Khi xảy ra vi phạm dữ liệu cá nhân có rủi ro, chúng tôi sẽ thông báo cho cơ quan có thẩm quyền (Bộ Công an – A05) và người dùng bị ảnh hưởng theo thời hạn và cách thức PDPD quy định.
11. Thay đổi chính sách
Khi cập nhật quan trọng, chúng tôi sẽ thông báo hợp lý và cập nhật ngày hiệu lực.
12. Liên hệ
- Quyền riêng tư / dữ liệu cá nhân (đầu mối bảo vệ dữ liệu): privacy@laminthecloud.com
- Chung / pháp lý: legal@laminthecloud.com