Chính sách Quyền riêng tư — Still Here
Cập nhật lần cuối: 23/06/2026
Có hiệu lực từ: 23/06/2026
Chính sách Quyền riêng tư này ("Chính sách") mô tả cách Still Here ("chúng tôi", "ứng dụng", "dịch vụ") thu thập, sử dụng, lưu trữ, chia sẻ và bảo vệ thông tin của bạn khi bạn sử dụng ứng dụng di động Still Here và các dịch vụ liên quan.
Still Here là ứng dụng bản đồ đóng góp theo vị trí có cơ chế trò chơi hoá (gamification): người dùng đến các địa điểm/sự kiện thực tế để "check-in", đóng góp ảnh và mô tả, tích điểm, lên hạng, nhận huy hiệu và cùng nhau "nuôi sống" bản đồ địa điểm. Vì bản chất này, một số thông tin bạn cung cấp (ảnh, mô tả, địa điểm bạn tạo) sẽ được hiển thị công khai cho người dùng khác — xem Mục 6.
Bằng việc tạo tài khoản hoặc sử dụng dịch vụ, bạn xác nhận đã đọc và hiểu Chính sách này.
1. Đơn vị chịu trách nhiệm dữ liệu
| Tên ứng dụng | Still Here |
| Đơn vị vận hành | GLD Solutions (hộ kinh doanh) |
| Mã ứng dụng | com.gls.stillhere |
| Địa chỉ | 28 Đường 3, Khu phố 66, Phường Tăng Nhơn Phú, TP. Hồ Chí Minh |
| Email quyền riêng tư | stillhereapp1505@gmail.com |
| Email hỗ trợ | stillhereapp1505@gmail.com |
Nếu bạn ở khu vực có quy định bảo vệ dữ liệu áp dụng (ví dụ GDPR/EEA), đơn vị nêu trên đóng vai trò là bên kiểm soát dữ liệu (data controller).
2. Tóm tắt nhanh
- Chúng tôi thu thập thông tin tài khoản, vị trí của bạn, ảnh và mô tả check-in, dữ liệu sử dụng và dữ liệu kỹ thuật để vận hành dịch vụ.
- Chúng tôi hỗ trợ đăng nhập bằng Google thông qua Firebase Authentication; khi đó chúng tôi nhận email, tên và ảnh đại diện từ tài khoản Google của bạn (Mục 3.2 và Mục 7).
- Chúng tôi không bán dữ liệu cá nhân của bạn.
- Nội dung bạn đăng (ảnh, mô tả, địa điểm/sự kiện bạn tạo) có thể hiển thị công khai.
- Bạn có thể xoá tài khoản ngay trong ứng dụng; khi đó dữ liệu định danh của bạn sẽ được ẩn danh hoá (Mục 9).
- Dịch vụ dùng vị trí ở chế độ tiền cảnh (khi đang mở ứng dụng), không theo dõi vị trí nền.
3. Thông tin chúng tôi thu thập
3.1. Thông tin bạn cung cấp khi tạo và quản lý tài khoản
- Tên đăng nhập (account) và địa chỉ email (bắt buộc).
- Mật khẩu — chỉ được lưu dưới dạng băm (hash) bằng bcrypt, chúng tôi không bao giờ lưu mật khẩu ở dạng văn bản gốc.
- Số điện thoại (tuỳ chọn) và trạng thái xác minh, nếu bạn dùng tính năng xác minh số điện thoại. (Lưu ý: ở phiên bản hiện tại, tính năng số điện thoại có thể đang tạm ẩn; mã nguồn vẫn hỗ trợ xác minh qua OTP SMS khi được bật.)
- Mã xác minh một lần (OTP) gửi qua email (hoặc SMS) để xác minh quyền sở hữu email/số điện thoại, đặt lại mật khẩu.
- Tuỳ chọn cá nhân: ngôn ngữ hiển thị (Tiếng Việt/Tiếng Anh), cài đặt bật/tắt thông báo.
3.2. Thông tin khi bạn đăng nhập bằng Google
Khi bạn chọn "Đăng nhập với Google", việc xác thực được xử lý qua Google Firebase Authentication. Chúng tôi nhận từ hồ sơ Google của bạn:
- Địa chỉ email và trạng thái email đã xác minh;
- Tên hiển thị;
- Ảnh đại diện (URL);
- Định danh tài khoản Google (Google account ID / UID).
Chúng tôi chỉ sử dụng các thông tin này để tạo và xác thực tài khoản Still Here của bạn. Việc sử dụng dữ liệu nhận từ Google tuân thủ Chính sách Dữ liệu Người dùng của Google API Services, bao gồm yêu cầu Limited Use — chi tiết tại Mục 7.
3.3. Nội dung do bạn tạo (có thể công khai)
Khi sử dụng các tính năng cốt lõi, bạn tạo ra nội dung mà chúng tôi lưu trữ:
- Lượt check-in: ảnh chụp, mô tả văn bản, toạ độ địa lý và thời điểm.
- Địa điểm, sự kiện, phong tục bạn tạo hoặc đề xuất (tên, mô tả, toạ độ/tỉnh thành, ảnh, loại, dân tộc…).
- Đánh dấu "kỳ quặc", báo cáo nội dung, và kiến nghị đóng góp (đề xuất loại mới, di tích/di sản, hoặc báo lỗi phần mềm).
- Mô tả nhập bằng giọng nói: nếu bạn dùng tính năng nhập liệu bằng giọng nói, lời nói của bạn được chuyển thành văn bản thông qua dịch vụ nhận dạng giọng nói của thiết bị/hệ điều hành; chúng tôi chỉ lưu kết quả văn bản trong phần mô tả, không lưu bản ghi âm.
Lưu ý quan trọng: Ảnh, mô tả, và các địa điểm/sự kiện/phong tục bạn tạo có thể được hiển thị công khai trên bản đồ, trang khám phá, bảng tin check-in và cho người dùng khác. Vui lòng không đưa thông tin nhạy cảm mà bạn không muốn công khai vào nội dung này.
3.4. Dữ liệu vị trí
- Chúng tôi thu thập vị trí GPS gần đúng/chính xác của bạn khi bạn đang sử dụng ứng dụng (chế độ tiền cảnh — "when in use"), để: tìm địa điểm/sự kiện gần bạn, xác minh tính hợp lệ của lượt check-in, hiển thị bản đồ, và gửi thông báo "cứu trợ" địa điểm gần bạn.
- Chúng tôi lưu vị trí gần nhất đã biết và thời điểm cập nhật để phục vụ các tính năng theo vị trí.
- Chống gian lận vị trí: hệ thống tính toán vận tốc di chuyển giữa các lần cập nhật để phát hiện vị trí giả lập (GPS spoofing); việc này dùng dữ liệu vị trí và thời gian của bạn nhằm bảo đảm tính công bằng.
- Bạn có thể thu hồi quyền truy cập vị trí bất cứ lúc nào trong phần cài đặt hệ điều hành; khi đó các tính năng theo vị trí sẽ ngừng hoạt động.
3.5. Dữ liệu kỹ thuật, thiết bị và bảo mật
- Địa chỉ IP, chuỗi user-agent, loại thiết bị/hệ điều hành.
- Phiên bản ứng dụng và thông tin hệ điều hành khi bạn gửi báo lỗi.
- Mã thông báo đẩy (push token) của thiết bị (tối đa 5 thiết bị) để gửi thông báo.
- Nhật ký bảo mật (audit log): các sự kiện nhạy cảm như đăng nhập thành công/thất bại, gửi/sai OTP, khoá đăng nhập, khoá/xoá tài khoản — kèm IP và user-agent — phục vụ phát hiện gian lận và điều tra sự cố.
- Số liệu vận hành (metrics): dữ liệu tổng hợp, ẩn danh về hiệu năng và lưu lượng (thời gian phản hồi, số lượt đăng nhập/đăng ký, số kết nối realtime) phục vụ giám sát hệ thống.
3.6. Quyền thiết bị mà ứng dụng yêu cầu
| Quyền | Mục đích |
|---|---|
| Máy ảnh (Camera) | Chụp ảnh để check-in địa điểm |
| Vị trí (Location — chính xác & gần đúng) | Tìm địa điểm/sự kiện gần bạn, xác minh check-in, bản đồ, thông báo cứu trợ |
| Micro (Record audio) | Nhập mô tả check-in bằng giọng nói |
| Nhận dạng giọng nói | Chuyển giọng nói thành văn bản mô tả |
| Thông báo (Notifications) | Gửi thông báo đẩy về sự kiện, cứu trợ, huy hiệu, kết quả báo cáo |
| Thư viện ảnh | Chọn ảnh đính kèm khi báo lỗi/đóng góp |
Bạn có thể từ chối hoặc thu hồi từng quyền trong cài đặt hệ điều hành; một số tính năng tương ứng sẽ không sử dụng được.
4. Cách chúng tôi sử dụng thông tin
Chúng tôi sử dụng thông tin để:
- Cung cấp dịch vụ cốt lõi: tạo và quản lý tài khoản, check-in, bản đồ, khám phá địa điểm/sự kiện/phong tục.
- Xác thực và bảo mật: đăng nhập, cấp và làm mới phiên đăng nhập, xác minh email/số điện thoại, đặt lại mật khẩu.
- Tính năng theo vị trí: hiển thị nội dung gần bạn, xác minh khoảng cách khi check-in, gửi thông báo cứu trợ địa điểm.
- Trò chơi hoá: tính điểm sống cho địa điểm, điểm xếp hạng, uy tín, huy hiệu, phân hạng người dùng, bảng xếp hạng tuần/tháng.
- Thông báo: gửi thông báo trong ứng dụng và thông báo đẩy (theo cài đặt của bạn).
- An toàn và kiểm duyệt nội dung: lọc từ khoá cấm và quét kiểm duyệt tự động bằng AI đối với nội dung văn bản; xử lý báo cáo của cộng đồng; ẩn nội dung vi phạm.
- Chống lạm dụng: giới hạn tần suất, chống dò mật khẩu (brute-force), phát hiện vị trí giả lập, chống tạo nội dung trùng/spam.
- Liên lạc giao dịch: gửi mã OTP và các email cần thiết cho hoạt động tài khoản.
- Vận hành và cải thiện: giám sát hệ thống, gỡ lỗi, phân tích tổng hợp về hiệu năng và mức độ sử dụng.
- Tuân thủ pháp luật: đáp ứng nghĩa vụ pháp lý và yêu cầu hợp lệ của cơ quan có thẩm quyền.
Cơ sở pháp lý (nếu áp dụng GDPR/khu vực tương đương)
- Thực hiện hợp đồng: vận hành tài khoản và các tính năng bạn yêu cầu.
- Sự đồng ý: truy cập vị trí, micro, gửi thông báo đẩy (bạn có thể rút lại bất cứ lúc nào).
- Lợi ích hợp pháp: bảo mật, chống gian lận, kiểm duyệt, cải thiện dịch vụ.
- Nghĩa vụ pháp lý: lưu giữ và cung cấp dữ liệu khi luật yêu cầu.
5. Khi nào chúng tôi thu thập
- Khi bạn đăng ký, đăng nhập (bao gồm đăng nhập bằng Google) hoặc xác minh tài khoản.
- Khi bạn check-in, tạo nội dung, đánh dấu, báo cáo hoặc đóng góp.
- Khi bạn cấp quyền vị trí/máy ảnh/micro và sử dụng tính năng tương ứng.
- Tự động khi bạn tương tác với dịch vụ (dữ liệu kỹ thuật, nhật ký bảo mật, số liệu vận hành).
6. Chia sẻ và tiết lộ thông tin
Chúng tôi không bán dữ liệu cá nhân của bạn. Chúng tôi chỉ chia sẻ trong các trường hợp sau:
6.1. Nội dung công khai cho người dùng khác
Ảnh, mô tả, lượt check-in, và các địa điểm/sự kiện/phong tục bạn tạo có thể hiển thị công khai cùng tên hiển thị, huy hiệu và chỉ số thành tích của bạn.
6.2. Nhà cung cấp dịch vụ (bên xử lý dữ liệu / sub-processors)
Chúng tôi sử dụng các bên thứ ba uy tín để vận hành dịch vụ. Mỗi bên chỉ nhận dữ liệu cần thiết cho chức năng của họ:
| Nhà cung cấp | Mục đích | Dữ liệu liên quan |
|---|---|---|
| Google Firebase Authentication (Google LLC) | Đăng nhập bằng Google, xác thực số điện thoại | Email, tên, ảnh đại diện, ID Google, số điện thoại, ID token |
| Cloudflare R2 | Lưu trữ ảnh | Ảnh bạn tải lên |
| Resend | Gửi email giao dịch (OTP) | Địa chỉ email, nội dung mã OTP |
| eSMS.vn | Gửi OTP qua SMS (khi tính năng số điện thoại được bật) | Số điện thoại, nội dung OTP |
| Mapbox | Hiển thị bản đồ | Yêu cầu hiển thị bản đồ theo vị trí, dữ liệu thiết bị cơ bản |
| OpenAI | Kiểm duyệt nội dung văn bản tự động | Nội dung văn bản bạn nhập (tên, mô tả) để phân loại an toàn |
| Expo (push service) | Gửi thông báo đẩy | Push token, nội dung thông báo |
Một số nhà cung cấp có thể xử lý dữ liệu bên ngoài Việt Nam (xem Mục 11).
6.3. Quản trị viên và kiểm duyệt
Quản trị viên có thể xem nội dung và báo cáo liên quan để xử lý vi phạm, đảm bảo an toàn cộng đồng.
6.4. Yêu cầu pháp lý
Chúng tôi có thể tiết lộ thông tin khi tin rằng việc đó là cần thiết để tuân thủ pháp luật, lệnh của cơ quan có thẩm quyền, bảo vệ quyền lợi, an toàn của người dùng hoặc của chúng tôi, hoặc để điều tra gian lận/lạm dụng.
6.5. Chuyển giao kinh doanh
Trong trường hợp sáp nhập, mua lại hoặc chuyển nhượng tài sản, dữ liệu có thể được chuyển giao cho bên kế thừa, với cam kết tiếp tục tuân thủ Chính sách này.
7. Dữ liệu Google và tuân thủ "Limited Use"
Tính năng đăng nhập bằng Google của Still Here sử dụng Google API Services thông qua Firebase Authentication.
- Chúng tôi chỉ yêu cầu các quyền (scope) tối thiểu: thông tin hồ sơ cơ bản (tên, ảnh đại diện) và địa chỉ email.
- Dữ liệu nhận được từ Google chỉ dùng để tạo, đăng nhập và quản lý tài khoản Still Here của bạn.
- Chúng tôi không chuyển dữ liệu người dùng Google cho bên thứ ba ngoài các nhà cung cấp dịch vụ cần thiết để vận hành tính năng này.
- Chúng tôi không dùng dữ liệu người dùng Google cho mục đích quảng cáo.
- Chúng tôi không bán dữ liệu người dùng Google.
Việc Still Here sử dụng và chuyển giao thông tin nhận được từ Google APIs cho bất kỳ ứng dụng nào khác sẽ tuân thủ Google API Services User Data Policy, bao gồm các yêu cầu Limited Use.
Bạn có thể thu hồi quyền truy cập của Still Here vào tài khoản Google bất cứ lúc nào tại trang Quyền của tài khoản Google.
8. Thời gian lưu giữ dữ liệu
Chúng tôi chỉ lưu giữ dữ liệu trong thời gian cần thiết cho các mục đích nêu trên:
- Dữ liệu tài khoản và nội dung: lưu cho đến khi bạn xoá tài khoản (xem Mục 9).
- Phiên đăng nhập: access token hết hạn sau 15 phút; refresh token tối đa 30 ngày và bị thu hồi khi bạn đăng xuất, đổi mật khẩu hoặc bị khoá.
- Phiên OTP: tự động hết hạn và bị xoá sau khoảng 10 phút.
- Nhật ký bảo mật (audit log): tự động xoá sau 90 ngày.
- Ảnh: lưu cho đến khi lượt check-in liên quan bị xoá.
- Một số nhật ký tổng hợp (ví dụ nhật ký sự kiện không đủ điều kiện) có thể được giữ lại ở dạng tối thiểu để đánh giá uy tín và phát hiện spam.
9. Quyền của bạn và cách thực hiện
Tuỳ theo khu vực pháp lý, bạn có thể có các quyền: truy cập, chỉnh sửa, xoá, hạn chế hoặc phản đối việc xử lý, và quyền chuyển dữ liệu.
Bạn có thể tự thực hiện ngay trong ứng dụng:
- Xem và chỉnh sửa hồ sơ, đổi tên hiển thị.
- Đổi email (có xác minh), đổi mật khẩu, đổi/xác minh số điện thoại (khi được bật).
- Bật/tắt thông báo, đổi ngôn ngữ.
- Thu hồi quyền vị trí/máy ảnh/micro trong cài đặt hệ điều hành.
Xoá tài khoản & dữ liệu
Cách 1 — trong ứng dụng: vào Hồ sơ → Chỉnh sửa hồ sơ → Xoá tài khoản, nhập mật khẩu để xác nhận. Đây là cách nhanh nhất.
Cách 2 — nếu bạn không dùng được ứng dụng (ví dụ đã gỡ cài đặt): gửi email tới stillhereapp1505@gmail.com từ địa chỉ email đã đăng ký, tiêu đề "Yêu cầu xoá tài khoản". Chúng tôi xử lý trong vòng 30 ngày.
Điều gì xảy ra khi xoá: chúng tôi không xoá cứng toàn bộ mà thực hiện ẩn danh hoá — email và số điện thoại được thay bằng giá trị vô danh (deleted_*), mật khẩu bị xáo trộn, vị trí và push token bị xoá, tài khoản chuyển trạng thái ngừng hoạt động và bạn không thể đăng nhập lại. Cách này giúp giữ toàn vẹn các tham chiếu lịch sử cộng đồng (ví dụ lượt check-in trước đây) trong khi loại bỏ thông tin định danh của bạn.
Trong các trường hợp cần thiết theo pháp luật (ví dụ yêu cầu xoá triệt để theo GDPR), quản trị viên có thể thực hiện xoá hoàn toàn dữ liệu check-in và xoá ảnh khỏi kho lưu trữ.
Yêu cầu khác (truy cập bản sao dữ liệu, khiếu nại, rút lại đồng ý ngoài phạm vi ứng dụng): vui lòng liên hệ stillhereapp1505@gmail.com. Bạn cũng có quyền khiếu nại với cơ quan bảo vệ dữ liệu có thẩm quyền tại nơi bạn cư trú.
10. Bảo mật dữ liệu
Chúng tôi áp dụng các biện pháp kỹ thuật và tổ chức hợp lý, bao gồm:
- Băm mật khẩu bằng bcrypt; không lưu mật khẩu gốc.
- Token phiên được ký số và refresh token được lưu ở dạng băm, có cơ chế xoay vòng và phát hiện tái sử dụng để chống đánh cắp phiên.
- Mã hoá đường truyền (HTTPS/TLS), bật HSTS ở môi trường vận hành.
- Bảo vệ HTTP bằng Helmet, danh sách CORS được kiểm soát, giới hạn kích thước yêu cầu.
- Giới hạn tần suất (rate limiting) và khoá đăng nhập theo bậc thang chống dò mật khẩu.
- Kiểm tra loại tệp ảnh thực khi tải lên.
- Nhật ký bảo mật để phát hiện và điều tra bất thường.
Tuy nhiên, không có hệ thống nào an toàn tuyệt đối. Bạn có trách nhiệm giữ bí mật thông tin đăng nhập của mình.
11. Chuyển dữ liệu quốc tế
Một số nhà cung cấp dịch vụ của chúng tôi (ví dụ Google, Cloudflare, Resend, Mapbox, OpenAI, Expo) có thể lưu trữ và xử lý dữ liệu tại các máy chủ bên ngoài Việt Nam. Khi chuyển dữ liệu xuyên biên giới, chúng tôi thực hiện các biện pháp hợp lý để bảo vệ dữ liệu của bạn phù hợp với Chính sách này và pháp luật hiện hành.
12. Trẻ em
Dịch vụ không hướng đến người dùng dưới 16 tuổi (theo pháp luật Việt Nam, người dưới 16 tuổi được xem là trẻ em; do đó chúng tôi yêu cầu người dùng từ đủ 16 tuổi trở lên). Chúng tôi không cố ý thu thập dữ liệu cá nhân của trẻ em dưới độ tuổi quy định. Nếu bạn cho rằng con bạn đã cung cấp thông tin cho chúng tôi mà không có sự đồng ý phù hợp, vui lòng liên hệ để chúng tôi xoá bỏ.
13. Quyền riêng tư trên website giới thiệu
Trang web giới thiệu Still Here có thể sử dụng cookie kỹ thuật cơ bản và công cụ phân tích lưu lượng ở mức tối thiểu để vận hành và cải thiện trang. Nếu sử dụng công cụ phân tích của bên thứ ba (ví dụ Google Analytics), chúng tôi sẽ cập nhật chi tiết và cơ chế đồng ý cookie tại mục này.
14. Thay đổi Chính sách
Chúng tôi có thể cập nhật Chính sách này theo thời gian. Khi có thay đổi quan trọng, chúng tôi sẽ cập nhật ngày "Có hiệu lực từ" ở đầu tài liệu và, khi phù hợp, thông báo trong ứng dụng. Việc bạn tiếp tục sử dụng dịch vụ sau khi thay đổi có hiệu lực đồng nghĩa với việc bạn chấp nhận Chính sách đã cập nhật.
15. Liên hệ
Mọi câu hỏi, yêu cầu hoặc khiếu nại về quyền riêng tư, vui lòng liên hệ:
- Email quyền riêng tư: stillhereapp1505@gmail.com
- Email hỗ trợ: stillhereapp1505@gmail.com
- Đơn vị vận hành: GLD Solutions (hộ kinh doanh)
- Địa chỉ: 28 Đường 3, Khu phố 66, Phường Tăng Nhơn Phú, TP. Hồ Chí Minh