隐私政策

引言

欢迎阅读 مولكم 的隐私政策。我们是一家提供电子商务解决方案的沙特公司，致力于以高国际标准保护用户隐私。

本政策适用于：

商家：使用我们的平台创建和管理商店的用户。
顾客：在我们平台搭建的商店购物的用户。
访客：浏览我们网站的用户。

我们收集的数据

为了提供和改进我们的服务，我们收集以下不同类型的数据：

账户数据

全名和电子邮件地址
电话号码和地址
企业名称（针对商家）
支付信息（已加密和保护）

使用数据

订单和交易历史
添加或更新的产品
您与平台功能的交互
访问的页面和在网站上的停留时间

技术数据

IP 地址和浏览器类型
操作系统和设备类型
Cookie
地理位置（经您许可）

您提供的内容

产品图片和描述
徽标和商标
AI 生成的内容
消息和备注

我们如何使用您的数据

我们将您的数据用于以下目的：

提供服务 创建和管理您的账户、处理订单、启用支付。
改善您的体验 个性化内容、推荐功能、改进用户界面。
与您沟通 重要更新、订单通知和支持。
安全与保护 检测欺诈、防止滥用、保护您和我们的权利。
分析了解服务的使用方式，以便持续改进。
法律合规 遵守适用的法律法规。

未经您的明确同意，我们不会将您的数据用于直接营销。

处理的法律依据

我们基于以下法律依据处理个人数据：

履行合同 交付您所请求的服务所需的数据（商店设置、订单）。
同意您明确同意为特定目的（例如营销）进行处理。
合法权益 改善服务、防止欺诈并确保平台安全。
法律义务 当法律要求我们处理数据时（例如，税务和发票）。

Meta Tech Provider commitments

Mollkom is a Meta-registered Tech Provider serving merchants who need to build storefronts, connect Facebook and Instagram accounts, run and manage ad campaigns, and auto-reply to customer messages. As part of this role we make the following commitments to you and to Meta:

We never request more Meta permissions than are strictly required to power the feature you yourself enabled (principle of least privilege).
We never share, sell, or reuse your access tokens for any other merchant — every merchant has isolated tokens stored in a tenant-scoped row.
Access tokens are encrypted at rest (AES-256) and we proactively refresh long-lived tokens before expiry so your service does not silently break.
We comply with Meta Platform Terms, Developer Policies, and Data Use Policy, and we honor any advertising restrictions Meta places on content or audiences.
When you remove the app from your Facebook account ('Apps and Websites' → Remove), our server receives a Deauthorize ping over HTTPS with a verified HMAC-SHA256 signature, and deletes the related access tokens and connections within seconds.
When you submit a 'User data deletion request' from Facebook, our server receives the signed request, deletes data linked to your Meta App-Scoped User ID, and returns a Confirmation Code starting with 'mollkom-del-' which you can use to track the deletion via Meta itself.
We run periodic security reviews of our Meta integration and respond to any App Review or security inquiries from Meta within the timeframes their policies set.

数据安全

我们采取强有力的措施来保护您的数据：

加密传输中 (TLS 1.3) 和静态 (AES-256) 的数据均已加密。
身份验证 多因素身份验证和哈希密码。
监控持续监控威胁和可疑活动。
有限访问 数据访问仅限于授权员工。
备份定期备份并安全存储在多个位置。
测试定期安全测试和持续更新。

您的责任：您必须对密码保密，并在发现任何未经授权的访问时立即通知我们。

您的权利

根据沙特 PDPL 和 GDPR 原则，您拥有以下权利：

访问权 请求获取我们持有的您的个人数据副本。
更正权 更正不准确或不完整的数据。
删除权 请求删除您的个人数据（“被遗忘权”）。
数据可携权 以机器可读的格式接收您的数据。
反对权 反对某些处理活动。
限制处理权 请求限制我们使用您数据的方式。
撤回同意权 在处理基于同意的情况下撤回同意。

如何行使权利：发送电子邮件至 privacy@mollkom.com 我们将在 30 天内回复。

Data deletion

We give you four separate ways to delete your data from Mollkom — choose whichever fits your situation:

1. Disconnect a single social account

From your store dashboard → Settings → Integrations → pick the account (Facebook, Instagram, TikTok, WhatsApp, YouTube, X, Snapchat) → click 'Disconnect'. This removes only the access tokens and the page / ad account / Pixel / catalog data tied to that channel. The rest of your store data (products, orders, other social channels) stays untouched.

2. Delete your full Mollkom account (Self-service)

From your store dashboard → Settings → Account → 'Delete account', type the confirmation word and click Delete. The system runs a single atomic transaction that deletes: your stores and everything cascading from them (products, orders, shipping settings and themes, Meta / Instagram / TikTok / WhatsApp / YouTube / X / Snapchat accounts and their tokens, ad accounts, Pixels, catalogs), your profile, your roles, your team members, push notification tokens (mobile + web), notification preferences, store customers, storage files (images and attachments), and finally your auth user record (auth.users). All technical error logs and AI usage logs are anonymized (user_id stripped) — analytics signals stay, but no link back to you. An audit row is written to account_deletion_events so platform super-admins can later prove deletion to regulators.

3. Email request

Email your deletion request from the address registered on your account to privacy@mollkom.com and we will respond within 30 days max. This option is useful if you cannot sign in (e.g., lost password or device). We verify your identity before executing.

4. Request via Meta (User data deletion request)

If you previously enabled the Meta integration, from your Facebook settings ('Settings & privacy' → 'Settings' → 'Apps and websites' → pick the Mollkom Merchant app → 'Remove') you can request data deletion. Meta forwards the signed request to our server, which immediately deletes everything linked to your Meta App-Scoped User ID: access tokens, connected Facebook pages, Instagram accounts, ad accounts, Pixels, catalogs, webhook events. Our server returns a Confirmation Code starting with 'mollkom-del-' which you can use to track the request.

What is kept and not deleted?

Invoices and financial transaction records: kept 7 years (regulatory tax requirement — Zakat, Tax and Customs Authority).
Technical error logs and AI usage logs: anonymized — user_id is stripped but the row body is kept for performance tuning and bug detection.
The deletion audit row itself (account_deletion_events): kept to prove deletion to regulators later. It contains user_id, deletion timestamp, and store count — no access tokens, no store content.

Official Meta callback endpoints:

Data Deletion Request: https://xpqboxafsvkwejwufdam.supabase.co/functions/v1/meta-data-deletion-callback
Deauthorize: https://xpqboxafsvkwejwufdam.supabase.co/functions/v1/meta-deauth-callback

Cookie

我们使用 Cookie 来改善您的体验：

必要的 网站运行所必需（登录、购物车）。
功能性 记住偏好（语言、设置）。
分析帮助我们了解您如何使用本网站。
营销用于展示相关广告（仅在征得同意后）。

管理 Cookie：您可以调整浏览器设置；禁用某些 Cookie 可能会影响功能。

数据保留

我们将在以下期限内保留数据：

数据类型	保留期限
账户数据	账户有效期 + 1 年
交易记录	7 年（法律要求）
支持记录	自上次联系起 3 年
分析数据	26 个月
Cookies	取决于 Cookie 类型（1 天 - 2 年）

保留期结束后，我们将删除数据或对其进行不可逆的匿名化处理。

国际数据传输

作为一家为全球客户提供服务的沙特公司，我们可能需要将数据传输到沙特阿拉伯境外：

传输保障措施：

仅传输至具有充分保护的司法管辖区。
使用经批准的标准合同条款 (SCCs)。
确保接收方符合相同的保护标准。
对所有传输中的数据进行加密。

对于欧盟用户：我们遵循 GDPR 传输要求和欧盟委员会批准的机制。

儿童隐私

我们的服务不面向 18 岁以下的儿童，我们不会在知情的情况下收集他们的数据。

如果您是父母或监护人，并认为您的孩子提供了个人数据，请通过以下方式联系我们： privacy@mollkom.com 我们将立即删除该数据。

政策更新

我们可能会不时更新本政策，以反映实践或法律的变化。

我们将在本页面发布更新并附上新日期。
对于重大变更，我们将通过电子邮件发送通知。
继续使用即表示您接受更新后的政策。
我们鼓励您定期查看此页面。

联系我们

如果您有隐私问题或疑虑，请联系我们：

数据保护官 (DPO) privacy@mollkom.com
通用支持 support@mollkom.com
地址沙特阿拉伯王国

我们的目标是在 30 天内回复隐私相关的咨询。

投诉权：如果您对我们的回复不满意，可以向主管当局（沙特数据与人工智能管理局 - SDAIA）提出投诉。

引言