Chính sách bảo mật & Xử lý dữ liệu cá nhân
Phiên bản 1.0 · Hiệu lực: 05/05/2026 · Cập nhật lần cuối: 05/05/2026
DigiAgent (digiagent.vn) là nền tảng AI Marketing được vận hành bởi Công ty TNHH Digitran (tên tiếng Anh: Digitran Company Limited) — sau đây gọi là “DigiAgent”, “Chúng tôi”, hoặc “Bên Kiểm Soát Dữ Liệu”. Chính sách này (sau đây gọi là “Chính sách”) mô tả cách Chúng tôi thu thập, xử lý, lưu trữ, chia sẻ và bảo vệ dữ liệu cá nhân của Bạn (Người dùng / Chủ thể dữ liệu) khi Bạn truy cập website hoặc sử dụng các dịch vụ của DigiAgent.
Chính sách được xây dựng tuân thủ:
- Nghị định 13/2023/NĐ-CP ngày 17/04/2023 về bảo vệ dữ liệu cá nhân (“NĐ 13”).
- Luật An ninh mạng số 24/2018/QH14 và Nghị định hướng dẫn 53/2022/NĐ-CP.
- Luật Giao dịch điện tử số 20/2023/QH15.
- Luật Bảo vệ quyền lợi người tiêu dùng số 19/2023/QH15.
- Luật Quảng cáo số 16/2012/QH13 và sửa đổi bổ sung.
- Bộ luật Dân sự số 91/2015/QH13.
Bằng việc tạo tài khoản hoặc tiếp tục sử dụng dịch vụ, Bạn xác nhận đã đọc, hiểu và đồng ý với toàn bộ nội dung Chính sách này.
Mục lục
- Định nghĩa
- Bên Kiểm soát Dữ liệu
- Dữ liệu Chúng tôi thu thập
- Mục đích & cơ sở pháp lý xử lý
- Chia sẻ dữ liệu với bên thứ ba
- Chuyển dữ liệu xuyên biên giới
- Thời gian lưu trữ
- Biện pháp bảo mật
- Cookie & công nghệ theo dõi
- Quyền của Chủ thể dữ liệu
- Dữ liệu của trẻ em
- Quyết định tự động & profiling
- Thông báo vi phạm dữ liệu
- Tiếp thị trực tiếp & opt-out
- Thay đổi Chính sách
- Khiếu nại & cơ quan giám sát
- Liên hệ & DPO
1. Định nghĩa
- Dữ liệu cá nhân: thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể (Điều 2 NĐ 13).
- Dữ liệu cá nhân cơ bản: họ tên, ngày tháng năm sinh, giới tính, nơi cư trú, số điện thoại, email, số CMND/CCCD/hộ chiếu, tình trạng hôn nhân, hình ảnh cá nhân, số tài khoản, dữ liệu định danh điện tử và các dữ liệu khác theo Điều 2.3 NĐ 13.
- Dữ liệu cá nhân nhạy cảm: dữ liệu liên quan đến sức khoẻ, di truyền, sinh trắc, đời sống tình dục, dữ liệu tội phạm, vị trí địa lý, thông tin tài khoản tài chính, v.v. (Điều 2.4 NĐ 13). DigiAgent không cố ý thu thập dữ liệu nhạy cảm.
- Xử lý dữ liệu cá nhân: một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân — thu thập, ghi, phân tích, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hoá, giải mã, sao chép, chuyển giao, xoá, huỷ.
- Bên Kiểm soát Dữ liệu (Data Controller): tổ chức quyết định mục đích và phương tiện xử lý — trong phạm vi Chính sách này là Công ty TNHH Digitran.
- Bên Xử lý Dữ liệu (Data Processor): tổ chức xử lý dữ liệu thay mặt Bên Kiểm soát.
- Bên Kiểm soát đồng thời: đối với Nội dung người dùng được khách hàng doanh nghiệp upload vào workspace của họ, khách hàng doanh nghiệp là Bên Kiểm soát và DigiAgent là Bên Xử lý.
- Sự đồng ý: sự thể hiện rõ ràng, tự nguyện, được cung cấp đầy đủ thông tin của Chủ thể dữ liệu về việc đồng ý cho phép xử lý.
2. Bên Kiểm soát Dữ liệu
Tên doanh nghiệp: Công ty TNHH Digitran (Digitran Company Limited)
Trụ sở: Tầng 5, Tòa nhà Mitec, Lô E2, Khu đô thị mới Cầu Giấy, Phường Cầu Giấy, Hà Nội, Việt Nam
Website: digiagent.vn · digitran.asia
Email DPO (Cán bộ Bảo vệ Dữ liệu): dpo@digiagent.vn
Email pháp lý: legal@digiagent.vn
Email hỗ trợ: hello@digiagent.vn
3. Dữ liệu Chúng tôi thu thập
3.1. Dữ liệu Bạn cung cấp trực tiếp
- Đăng ký tài khoản: họ tên, email, số điện thoại, mật khẩu (lưu dưới dạng mã hoá một chiều bcrypt), tên doanh nghiệp, vai trò công việc.
- Hồ sơ doanh nghiệp: mã số thuế, địa chỉ xuất hoá đơn, lĩnh vực kinh doanh, quy mô.
- Thông tin thanh toán: thông tin xuất hoá đơn, lịch sử giao dịch. Số thẻ ngân hàng / ví điện tử không lưu trữ trên hệ thống của DigiAgent mà do đối tác thanh toán được cấp phép xử lý (VNPAY, Onepay, Stripe, hoặc tương đương).
- Nội dung Bạn upload / tạo: tài liệu thương hiệu, brand voice, knowledge base, prompt, bản nháp, bài viết, hình ảnh, video, lịch xuất bản.
- Khi Bạn liên hệ Chúng tôi: nội dung email, form liên hệ, tin nhắn Zalo OA, ghi âm cuộc gọi hỗ trợ (chỉ khi có thông báo trước).
- Khảo sát & phản hồi: nội dung Bạn cung cấp khi tham gia khảo sát người dùng, phỏng vấn, NPS.
3.2. Dữ liệu thu thập tự động
- Dữ liệu kỹ thuật: địa chỉ IP, loại thiết bị, hệ điều hành, trình duyệt, độ phân giải màn hình, ngôn ngữ.
- Dữ liệu sử dụng: trang đã xem, thời gian truy cập, đường dẫn giới thiệu (referrer), tính năng đã dùng, tần suất sử dụng.
- Cookie & tracking: xem mục 9.
- Log lỗi & log API: trace lỗi, request/response của API để chẩn đoán sự cố và bảo mật.
3.3. Dữ liệu từ bên thứ ba
- Đăng nhập SSO: khi Bạn đăng nhập qua Google / Facebook / Apple / Microsoft, Chúng tôi nhận tên hiển thị, email, ảnh đại diện và ID nội bộ của nhà cung cấp.
- Kết nối publishing: khi Bạn kết nối WordPress, X/Twitter, Facebook Pages, LinkedIn, webhook — Chúng tôi nhận token uỷ quyền (OAuth) và metadata cần thiết để xuất bản. Chúng tôi không truy cập tin nhắn riêng tư hoặc dữ liệu nằm ngoài phạm vi quyền Bạn cấp.
- Đối tác phân tích: dữ liệu hành vi tổng hợp (ẩn danh) từ công cụ analytics.
3.4. Dữ liệu Chúng tôi KHÔNG thu thập
- Dữ liệu sinh trắc học (vân tay, khuôn mặt, ADN).
- Dữ liệu sức khoẻ, dữ liệu tôn giáo, quan điểm chính trị.
- Số CMND/CCCD/hộ chiếu (trừ trường hợp xuất hoá đơn doanh nghiệp yêu cầu).
- Vị trí GPS chính xác — Chúng tôi chỉ suy ra quốc gia/thành phố từ IP để chống gian lận.
4. Mục đích & cơ sở pháp lý xử lý
Theo Điều 17 NĐ 13, mọi hoạt động xử lý đều phải có cơ sở pháp lý rõ ràng. Bảng dưới đây liệt kê đầy đủ mục đích và cơ sở áp dụng:
| Mục đích | Loại dữ liệu | Cơ sở pháp lý |
|---|---|---|
| Tạo & quản lý tài khoản | Đăng ký, hồ sơ | Thực hiện hợp đồng (Điều 17.1.b NĐ 13) |
| Cung cấp tính năng AI tạo nội dung | Prompt, knowledge base, brand voice | Thực hiện hợp đồng + Đồng ý |
| Xử lý thanh toán & xuất hoá đơn | Hồ sơ thanh toán, MST | Thực hiện hợp đồng + Nghĩa vụ pháp lý (kế toán/thuế) |
| Hỗ trợ kỹ thuật & chăm sóc khách hàng | Liên hệ, log sử dụng | Thực hiện hợp đồng + Lợi ích hợp pháp |
| Bảo mật, phòng chống gian lận, chống lạm dụng | IP, log, hành vi bất thường | Lợi ích hợp pháp (Điều 17.1.d NĐ 13) |
| Cải thiện sản phẩm (phân tích tổng hợp, ẩn danh) | Hành vi sử dụng đã ẩn danh | Lợi ích hợp pháp |
| Email tiếp thị, thông báo sản phẩm mới | Email, hồ sơ | Đồng ý rõ ràng (huỷ bất kỳ lúc nào) |
| Email giao dịch (xác nhận đơn hàng, đăng ký, đặt lại mật khẩu) | Thực hiện hợp đồng | |
| Tuân thủ yêu cầu cơ quan nhà nước có thẩm quyền | Theo yêu cầu cụ thể | Nghĩa vụ pháp lý |
| Bảo vệ tính mạng, sức khoẻ khẩn cấp | Theo trường hợp | Lợi ích quan trọng (Điều 17.1.c NĐ 13) |
Chúng tôi KHÔNG sử dụng dữ liệu của Bạn để: bán cho bên thứ ba; huấn luyện mô hình AI public; hồ sơ hoá theo các thuộc tính nhạy cảm; ra quyết định tự động có ảnh hưởng pháp lý đến Bạn.
5. Chia sẻ dữ liệu với bên thứ ba
Chúng tôi chỉ chia sẻ trong các trường hợp được liệt kê dưới đây:
5.1. Nhà cung cấp mô hình AI (subprocessor)
Khi Bạn yêu cầu sinh nội dung, prompt và tài liệu liên quan được gửi qua API tới một trong các nhà cung cấp sau (tuỳ model Bạn chọn):
- Anthropic (Claude): hợp đồng API enterprise — không dùng để huấn luyện mô hình.
- OpenAI (GPT): điều khoản API — không dùng dữ liệu API để huấn luyện theo mặc định.
- Google (Gemini): điều khoản Vertex AI / Gemini API.
Tất cả nhà cung cấp được lựa chọn dựa trên cam kết bảo mật ở mức tương đương hoặc cao hơn ISO 27001 / SOC 2 Type II.
5.2. Hạ tầng & vận hành
- Lưu trữ đám mây & cơ sở dữ liệu
- Email giao dịch (Resend, Postmark hoặc tương đương)
- Phân tích sản phẩm (PostHog, Mixpanel hoặc tương đương)
- Theo dõi lỗi (Sentry hoặc tương đương)
- Xử lý thanh toán (VNPAY, Onepay, Stripe — đối tác được cấp phép)
- CDN (Vercel, Cloudflare)
Mỗi nhà cung cấp chỉ truy cập dữ liệu trong phạm vi cần thiết để cung cấp dịch vụ và phải ký Thoả thuận Xử lý Dữ liệu (DPA).
5.3. Đối tác doanh nghiệp & tư vấn
Kế toán, kiểm toán, tư vấn pháp lý — chỉ truy cập dữ liệu khi cần thiết, có ràng buộc bảo mật.
5.4. Yêu cầu pháp lý
Cơ quan nhà nước có thẩm quyền theo quy định pháp luật Việt Nam (Bộ Công an, Toà án, Viện kiểm sát, cơ quan thuế, v.v.) khi có yêu cầu hợp lệ bằng văn bản.
5.5. Sáp nhập & chuyển nhượng
Trong trường hợp tái cấu trúc, sáp nhập, chuyển nhượng doanh nghiệp, dữ liệu có thể được chuyển giao kèm theo nghĩa vụ bảo mật tương đương. Chúng tôi sẽ thông báo trước cho Bạn và Bạn có quyền yêu cầu xoá dữ liệu trước khi chuyển giao.
Danh sách subprocessor cập nhật được công bố tại digiagent.vn/subprocessors (sẽ ra mắt) hoặc cung cấp theo yêu cầu qua dpo@digiagent.vn.
6. Chuyển dữ liệu xuyên biên giới
Theo Điều 25 NĐ 13, một số nhà cung cấp hạ tầng và mô hình AI có máy chủ đặt ngoài lãnh thổ Việt Nam (Hoa Kỳ, EU, Singapore). Chúng tôi áp dụng các biện pháp bảo vệ:
- Lập Hồ sơ đánh giá tác động chuyển dữ liệu (TIA) theo Điều 25.1 NĐ 13.
- Ký kết điều khoản hợp đồng tiêu chuẩn (SCC) hoặc DPA với từng đối tác.
- Mã hoá dữ liệu khi truyền (TLS 1.2+) và giới hạn phạm vi dữ liệu chuyển đi tối thiểu cần thiết.
- Nộp Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (DPIA) cho Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao (A05) — Bộ Công an theo quy định.
Bạn có thể yêu cầu bản tóm tắt TIA/DPIA bằng cách email tới dpo@digiagent.vn.
7. Thời gian lưu trữ
| Loại dữ liệu | Thời gian lưu trữ | Căn cứ |
|---|---|---|
| Dữ liệu tài khoản đang hoạt động | Trong suốt vòng đời tài khoản | Thực hiện hợp đồng |
| Dữ liệu sau khi Bạn yêu cầu xoá tài khoản | Xoá trong vòng 30 ngày | NĐ 13 + chính sách nội bộ |
| Bản sao lưu (backup) đã mã hoá | Tối đa 90 ngày rồi ghi đè | Lợi ích hợp pháp (khôi phục thảm hoạ) |
| Hoá đơn, chứng từ kế toán & thuế | 10 năm | Luật Kế toán 2015, Luật Quản lý thuế |
| Log bảo mật & chống gian lận | 12 tháng (ẩn danh sau 90 ngày) | Luật An ninh mạng |
| Email marketing đã opt-out | Lưu địa chỉ trong danh sách suppression vĩnh viễn | Tôn trọng quyền opt-out |
| Dữ liệu hỗ trợ khách hàng (ticket, email) | 24 tháng kể từ ngày đóng ticket | Lợi ích hợp pháp |
Sau thời gian lưu trữ, dữ liệu sẽ được xoá vĩnh viễn hoặc ẩn danh hoá không thể đảo ngược.
8. Biện pháp bảo mật
8.1. Biện pháp kỹ thuật
- Mã hoá khi truyền: TLS 1.2 trở lên cho mọi kết nối client–server và server–server.
- Mã hoá khi lưu trữ (at rest): AES-256 cho database và object storage.
- Multi-tenant isolation: mỗi workspace có cách ly logic ở tầng database; truy vấn luôn áp dụng row-level security.
- Xác thực đa lớp (2FA) cho tài khoản admin và truy cập hạ tầng.
- Quản lý bí mật bằng vault chuyên dụng, không hard-code trong mã nguồn.
- Quét lỗ hổng tự động trên dependency, hạ tầng, container.
- Web Application Firewall (WAF) và rate limiting.
- Sao lưu mã hoá hàng ngày, kiểm thử khôi phục định kỳ.
8.2. Biện pháp tổ chức
- Truy cập dữ liệu nội bộ theo nguyên tắc đặc quyền tối thiểu (least privilege), có ghi log kiểm toán.
- Nhân viên ký NDA và được đào tạo định kỳ về bảo vệ dữ liệu cá nhân.
- Quy trình ứng cứu sự cố (Incident Response) kèm SLA.
- Đánh giá rủi ro hàng năm và Hồ sơ DPIA cho mọi xử lý có rủi ro cao.
- Bổ nhiệm DPO (Data Protection Officer) chịu trách nhiệm giám sát tuân thủ.
Tuy đã áp dụng các biện pháp tiêu chuẩn ngành, không hệ thống nào tuyệt đối an toàn. Bạn cũng có trách nhiệm bảo mật mật khẩu và bật 2FA khi được hỗ trợ.
9. Cookie & công nghệ theo dõi
Chúng tôi sử dụng các loại cookie sau:
| Loại | Mục đích | Cần đồng ý? | Thời hạn |
|---|---|---|---|
| Cookie thiết yếu (essential) | Đăng nhập, phiên làm việc, bảo mật CSRF | Không | Phiên / 30 ngày |
| Cookie tuỳ chọn (preference) | Ghi nhớ ngôn ngữ, theme | Không | 1 năm |
| Cookie phân tích (analytics) | Đo lường lưu lượng, tối ưu sản phẩm | Có | 13 tháng |
| Cookie marketing & quảng cáo | Đo lường hiệu quả chiến dịch, retargeting | Có | 13 tháng |
Bạn có thể quản lý hoặc thu hồi đồng ý cookie qua banner consent ở chân trang, hoặc tắt cookie qua cài đặt trình duyệt. Việc tắt cookie thiết yếu có thể làm dịch vụ không hoạt động đầy đủ.
10. Quyền của Chủ thể dữ liệu
Theo Điều 9–13 NĐ 13, Bạn có các quyền sau:
- Quyền được biết về việc xử lý dữ liệu cá nhân của mình.
- Quyền đồng ý hoặc không đồng ý.
- Quyền truy cập để xem, chỉnh sửa dữ liệu cá nhân.
- Quyền rút lại sự đồng ý bất cứ lúc nào.
- Quyền xoá dữ liệu — chi tiết tại trang Yêu cầu xoá dữ liệu.
- Quyền hạn chế xử lý dữ liệu.
- Quyền cung cấp dữ liệu (data portability) — yêu cầu xuất bản sao theo định dạng có thể đọc bằng máy.
- Quyền phản đối xử lý, đặc biệt với mục đích marketing trực tiếp.
- Quyền khiếu nại, tố cáo, khởi kiện.
- Quyền yêu cầu bồi thường thiệt hại theo quy định pháp luật.
- Quyền tự bảo vệ theo Bộ luật Dân sự và pháp luật liên quan.
Cách thực hiện: gửi yêu cầu tới dpo@digiagent.vn từ email đăng ký tài khoản, kèm mô tả rõ quyền muốn thực hiện. Chúng tôi xác minh danh tính và phản hồi trong vòng 72 giờ; xử lý dứt điểm trong vòng 30 ngày. Trường hợp phức tạp có thể gia hạn thêm 30 ngày kèm thông báo lý do. Việc thực hiện quyền này miễn phí; chỉ thu phí khi yêu cầu lặp lại bất hợp lý hoặc rõ ràng vô căn cứ, theo Điều 14 NĐ 13.
11. Dữ liệu của trẻ em
DigiAgent là sản phẩm B2B dành cho doanh nghiệp và người trên 16 tuổi. Theo Điều 20 NĐ 13, xử lý dữ liệu của trẻ em (dưới 16 tuổi) phải có sự đồng ý của trẻ và cha, mẹ hoặc người giám hộ. Chúng tôi không cố ý thu thập dữ liệu của trẻ em. Nếu phát hiện đã vô tình thu thập, Chúng tôi sẽ xoá ngay khi được thông báo. Vui lòng liên hệ dpo@digiagent.vn nếu Bạn cho rằng con em mình đã cung cấp dữ liệu cho DigiAgent.
12. Quyết định tự động & profiling
DigiAgent sử dụng AI để sinh nội dung, phân tích trends, gợi ý tối ưu — đây là các tính năng hỗ trợ, không phải quyết định tự động có ảnh hưởng pháp lý tới Bạn (theo Điều 21 NĐ 13). Mọi nội dung do AI tạo đều phải qua bước Bạn xem xét và phê duyệt trước khi xuất bản.
Chúng tôi không hồ sơ hoá Bạn theo các thuộc tính nhạy cảm (tôn giáo, chính trị, sức khoẻ) và không bán hồ sơ hành vi cho bên thứ ba.
13. Thông báo vi phạm dữ liệu
Trong trường hợp xảy ra vi phạm dữ liệu cá nhân có nguy cơ ảnh hưởng đến quyền, lợi ích của Bạn, theo Điều 23 NĐ 13, Chúng tôi có nghĩa vụ:
- Thông báo cho Cục An ninh mạng (A05 — Bộ Công an) trong vòng 72 giờ kể từ khi phát hiện.
- Thông báo cho Bạn trực tiếp (qua email đăng ký hoặc thông báo trong ứng dụng) khi vi phạm có khả năng gây rủi ro cao.
- Nội dung thông báo bao gồm: mô tả sự cố, loại dữ liệu, hậu quả có thể, biện pháp đã thực hiện và khuyến nghị cho Bạn.
- Phối hợp điều tra và áp dụng biện pháp khắc phục.
14. Tiếp thị trực tiếp & opt-out
Chúng tôi chỉ gửi email tiếp thị nếu Bạn đã đồng ý rõ ràng (opt-in) khi đăng ký hoặc qua biểu mẫu đăng ký nhận tin. Bạn có thể huỷ đăng ký bất kỳ lúc nào bằng một trong các cách:
- Bấm liên kết “Huỷ đăng ký” ở cuối mỗi email.
- Vào Cài đặt → Thông báo trong ứng dụng.
- Gửi email tới hello@digiagent.vn với tiêu đề “Huỷ nhận tin”.
Email giao dịch (xác nhận đăng ký, đặt lại mật khẩu, hoá đơn, thông báo bảo mật) sẽ vẫn được gửi vì đó là một phần của hợp đồng dịch vụ và không thể huỷ.
15. Thay đổi Chính sách
Chúng tôi có thể cập nhật Chính sách theo thời gian để phản ánh thay đổi pháp luật, tính năng sản phẩm hoặc thực tiễn ngành. Phiên bản mới được đăng tại trang này kèm số phiên bản và ngày hiệu lực. Đối với thay đổi quan trọng (mở rộng mục đích xử lý, thêm bên thứ ba, thay đổi quyền của Bạn), Chúng tôi sẽ:
- Thông báo qua email đăng ký ít nhất 7 ngày trước ngày hiệu lực.
- Hiển thị banner thông báo trong ứng dụng.
- Yêu cầu Bạn đồng ý lại nếu thay đổi mở rộng phạm vi sử dụng dữ liệu.
Việc Bạn tiếp tục sử dụng dịch vụ sau ngày hiệu lực được coi là chấp nhận phiên bản mới. Nếu không đồng ý, Bạn có quyền huỷ tài khoản và yêu cầu xoá dữ liệu.
16. Khiếu nại & cơ quan giám sát
Khi gặp vấn đề với việc xử lý dữ liệu của Chúng tôi, Bạn có thể:
- Liên hệ DPO trước: dpo@digiagent.vn — Chúng tôi cam kết giải quyết trong 30 ngày.
- Khiếu nại đến cơ quan có thẩm quyền: Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao (A05) — Bộ Công an, hoặc cơ quan thanh tra chuyên ngành theo quy định pháp luật.
- Khởi kiện tại Toà án có thẩm quyền theo Bộ luật Tố tụng Dân sự.
17. Liên hệ & DPO
Bên Kiểm soát Dữ liệu: Công ty TNHH Digitran (Digitran Company Limited)
Trụ sở: Tầng 5, Tòa nhà Mitec, Lô E2, Khu đô thị mới Cầu Giấy, Phường Cầu Giấy, Hà Nội, Việt Nam
Cán bộ Bảo vệ Dữ liệu (DPO):
Email: dpo@digiagent.vn
(DPO phản hồi bằng tiếng Việt và tiếng Anh, trong vòng 72 giờ làm việc)
Email pháp lý: legal@digiagent.vn
Email hỗ trợ chung: hello@digiagent.vn
Zalo OA: DigiAgent Official
Tham khảo thêm: Điều khoản sử dụng · Yêu cầu xoá dữ liệu