私隱條款 Privacy Policy

1. 我哋係邊個

TVision Limited 係喺香港註冊嘅有限公司，提供 SocialAuto — 一個 AI 內容策劃同自動排程平台，主要服務香港中小企同行銷代理公司。我哋係本私隱條款下嘅「數據用戶」（data user，PDPO 定義）。

聯絡：hello@tvisiontechnologies.com

2. 我哋收集邊啲個人資料

2.1 你直接提供嘅資料

• 帳戶資料：電郵地址、姓名（透過 Google Sign-In / Firebase Authentication）
• 品牌資料：你填嘅品牌名、行業、語氣、目標客群、產品描述
• 關鍵字：你輸入嘅 keyword（用嚟做行業趨勢分析同 AI 內容生成）
• 內容：你 review / edit 過嘅 caption、hashtag、視覺 prompt、排程設定
• 付款資料：訂閱嘅 plan、訂閱狀態。我哋唔會收到或者儲存信用卡資料 — 全部由 Stripe 直接處理。我哋只會從 Stripe 收到 customer ID 同訂閱狀態。

2.2 你授權我哋透過 Meta OAuth 取得嘅資料

當你 click「Connect Facebook / Instagram」並透過 Meta 官方 OAuth 授權我哋之後，我哋會收到：

• Facebook Page ID + Page Access Token（60 日有效，用嚟代你發 post）
• Instagram Business Account ID + Username（連結到你 FB Page）
• Page 名稱、profile 圖（純用嚟喺 SocialAuto dashboard 顯示，畀你確認連咗對嘅 account）

我哋 絕對唔會 讀取你 Facebook 朋友、Messenger 訊息、私人 post，或者你 Page audience 嘅 personal data。我哋 OAuth 申請嘅 scope 只限：pages_show_list、pages_read_engagement、pages_manage_posts、instagram_basic、instagram_content_publish、business_management。

2.3 我哋自動收集嘅資料

• 使用紀錄：你 call API 嘅時間、用嘅 endpoint、回應狀態（用嚟 troubleshoot + rate-limit 防 abuse）
• 裝置資料：browser type、IP address（純用嚟 security + analytics aggregation）
• Cookies：我哋用 essential cookies 維持你 login session（Firebase Auth）。我哋唔會用第三方 advertising / tracking cookies。

3. 我哋點用你嘅資料

我哋只會喺 PDPO 第 3 條（合理使用）下使用你嘅個人資料：

• 提供服務（AI 內容生成、排程、自動發 post 等）
• 處理訂閱付款（透過 Stripe）
• 改善服務、debug、防止濫用
• 向你發送同服務相關嘅 transactional emails（付款成功、訂閱到期、安全提示）
• 符合法律義務

我哋 唔會將你嘅個人資料賣畀第三方，亦唔會用嚟做 advertising profiling。

4. 第三方服務供應商（Sub-processors）

我哋會將部分資料傳送畀以下 sub-processor 處理。佢哋淨係喺履行服務嘅必要範圍內 process 你嘅資料：

• Google Firebase / Google Cloud (USA) — hosting、authentication、Firestore database、Cloud Functions
• Stripe Hong Kong — 付款處理（信用卡資料只去 Stripe，我哋睇唔到）
• Meta Platforms Inc. — Facebook / Instagram Graph API（淨係喺你授權嘅 OAuth scope 範圍內代你發 post）
• Google AI (Gemini API) — 生成 caption；輸入係你嘅 prompt + brand 資料，唔會留作訓練（已 disable model improvement）
• Stability AI — 生成 AI 圖（純文字 prompt 傳入，產出 PNG）
• Apify — 行業趨勢研究（純公開 web / hashtag search，唔會傳你嘅個人資料畀 Apify）
• Tavily — 補充嘅 web search（傳 keyword 過去搜尋公開內容）

5. 我哋會儲存幾耐你嘅資料

• 帳戶資料：訂閱期間 + 取消後 30 日（畀你回心轉意 reactivate）
• 內容（caption、圖、scheduled posts）：訂閱期間 + 取消後 30 日
• Meta OAuth tokens：直至你 disconnect，或者 token 過期（60 日唔 refresh），或者你 cancel 帳戶為止
• 使用紀錄：90 日後自動刪除
• 付款紀錄：根據香港稅務及審計法律保留 7 年（only amount, plan, date — 唔包信用卡）

6. 你嘅權利（PDPO + GDPR）

根據 PDPO 第 18 條同 GDPR，你有以下權利：

• 查閱：要求我哋畀你睇我哋持有關於你嘅個人資料
• 更正：要求我哋更正錯誤資料
• 刪除：要求我哋刪除你嘅 personal data（行使「被遺忘權」）
• 導出：以 CSV / JSON 格式 export 你嘅 plan、scheduled posts、brand profile
• 反對處理：撤回先前嘅同意（例：disconnect Meta OAuth、cancel 訂閱）
• 投訴：向香港私隱專員公署投訴（www.pcpd.org.hk）

點行使呢啲權利：email 我哋 hello@tvisiontechnologies.com，題目寫「Data Subject Request」。我哋會 喺 40 日內回應（PDPO 法律要求）。

7. 國際資料傳輸

部分 sub-processor 嘅伺服器設於香港境外（例：Google Cloud asia-east1 / us-central1、Stripe USA、Meta USA）。每次傳輸都有 enterprise-grade encryption（TLS 1.3+）保護，並符合各 sub-processor 嘅 Standard Contractual Clauses（SCCs）。

8. 安全措施

• 所有 traffic 經 HTTPS（TLS 1.3）加密
• Firestore + Cloud Storage server-side encryption at rest（AES-256）
• API keys + OAuth tokens 儲存喺 Google Secret Manager
• Firebase Authentication 處理 password / OAuth — 我哋從不 see 你 password
• 每 endpoint 都有 per-user rate limit，防 abuse

9. 兒童

本服務唔係為 18 歲以下嘅人士而設。我哋唔會故意收集兒童嘅個人資料。

10. 此條款嘅修改

我哋可能會修改呢份條款。重大改動會喺生效前最少 30 日 email 通知你。修改後嘅日期會更新喺頁首。

11. 聯絡我哋

任何私隱相關嘅問題：

TVision Limited
hello@tvisiontechnologies.com
香港九龍