CHÍNH SÁCH BẢO MẬT KIN
[BẢN THẢO — CẦN LUẬT SƯ CHUYÊN NGÀNH TẠI VIỆT NAM RÀ SOÁT TRƯỚC KHI SỬ DỤNG]
Ngày hiệu lực: [Ngày/Tháng/Năm] Phiên bản: 1.0
LỜI MỞ ĐẦU
Kin cam kết bảo vệ quyền riêng tư và dữ liệu cá nhân của Người dùng. Chính sách này giải thích cách chúng tôi thu thập, sử dụng, lưu trữ và bảo vệ thông tin của bạn.
Chính sách được xây dựng tuân thủ:
- Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân;
- Luật An ninh mạng số 24/2018/QH14;
- Luật Công nghệ thông tin 2006;
- Luật Giao dịch điện tử 2023;
- Bộ luật Dân sự 2015.
BA NGUYÊN TẮC CỐT LÕI
1. Thu thập tối thiểu — chỉ thu thập những gì thực sự cần thiết để vận hành Dịch vụ.
2. Bảo mật tối đa — áp dụng các biện pháp kỹ thuật cao nhất có thể.
3. Minh bạch — giải thích rõ ràng mọi thứ chúng tôi làm với dữ liệu của bạn.
ĐIỀU 1. THÔNG TIN CHÚNG TÔI THU THẬP
1.1. Thông tin bạn cung cấp khi đăng ký
| Thông tin | Bắt buộc? | Mục đích |
|---|---|---|
| Địa chỉ email | Có | Đăng nhập, khôi phục mật khẩu, thông báo quan trọng |
| Biệt danh (nickname) | Có | Hiển thị công khai |
| Ngày sinh | Có | Xác minh độ tuổi ≥ 18 |
| Mật khẩu | Có | Lưu dưới dạng mã hóa một chiều (hash) |
| Giới tính/Bản dạng | Có (bắt buộc chọn, mặc định ẨN) | Tùy chọn hiển thị công khai của người dùng |
Kin KHÔNG thu thập trong quy trình đăng ký cơ bản:
- Họ tên thật;
- Số điện thoại (trừ khi bạn tự nguyện xác thực OTP để nhận huy hiệu Verified);
- Giấy tờ tùy thân;
- Thông tin nghề nghiệp, nơi làm việc thật.
1.2. Thông tin phát sinh khi sử dụng Dịch vụ
a) Bài viết, bình luận, tin nhắn bạn tạo ra; b) Hình ảnh, video bạn tải lên (EXIF metadata được TỰ ĐỘNG LOẠI BỎ trước khi lưu); c) Sở thích, tag bạn quan tâm; d) Cộng đồng bạn tham gia, bài viết bạn thích/lưu; e) Báo cáo bạn gửi, báo cáo về bạn.
1.3. Thông tin kỹ thuật
a) Địa chỉ IP — lưu dưới dạng MÃ HÓA, tự động xóa sau 24 tháng (theo yêu cầu Luật An ninh mạng) hoặc sớm hơn khi không liên quan đến điều tra; b) Loại thiết bị, hệ điều hành, trình duyệt; c) Thời gian truy cập; d) Cookies kỹ thuật (chi tiết tại Điều 6).
1.4. Thông tin chúng tôi KHÔNG thu thập
a) Vị trí GPS chính xác (chỉ ghi nhận thành phố/khu vực nếu bạn chủ động chọn); b) Danh bạ, tin nhắn, ảnh lưu trong thiết bị của bạn; c) Thông tin tài chính (các giao dịch qua bán vé sự kiện do cổng thanh toán bên thứ ba xử lý); d) Dữ liệu sinh trắc học (vân tay, khuôn mặt).
ĐIỀU 2. MỤC ĐÍCH SỬ DỤNG THÔNG TIN
Chúng tôi chỉ sử dụng thông tin cho các mục đích sau:
a) Cung cấp và vận hành Dịch vụ; b) Xác thực tài khoản và bảo vệ an ninh; c) Xử lý báo cáo vi phạm và bảo vệ Người dùng; d) Liên hệ với bạn về các vấn đề liên quan đến tài khoản; e) Cải thiện chất lượng Dịch vụ (phân tích tổng hợp, ẩn danh); f) Tuân thủ nghĩa vụ pháp lý.
Chúng tôi KHÔNG:
- Bán dữ liệu cá nhân cho bên thứ ba;
- Chia sẻ dữ liệu cho mục đích quảng cáo của bên thứ ba;
- Sử dụng xu hướng tính dục, bản dạng giới của bạn để phân tích tâm lý phục vụ quảng cáo nhắm đối tượng.
ĐIỀU 3. CHIA SẺ THÔNG TIN
3.1. Chúng tôi chỉ chia sẻ thông tin cá nhân trong các trường hợp sau:
a) Có sự đồng ý rõ ràng của bạn; b) Với nhà cung cấp dịch vụ kỹ thuật (hosting, email) — chỉ giới hạn trong phạm vi cần thiết, các nhà cung cấp phải ký cam kết bảo mật; c) Theo yêu cầu hợp pháp của cơ quan nhà nước có thẩm quyền tại Việt Nam; d) Khi cần thiết để bảo vệ tính mạng, sức khỏe của Người dùng hoặc bên thứ ba; e) Trong trường hợp sáp nhập, mua lại công ty (đơn vị kế thừa phải tuân thủ Chính sách này).
3.2. Bảo vệ danh tính LGBT+
Kin KHÔNG công khai danh tính Người dùng, thông tin giới tính/bản dạng giới, xu hướng tính dục, hoặc bất kỳ thông tin nhạy cảm nào ra bên ngoài, bất kể vì lý do thương mại hay marketing.
ĐIỀU 4. BIỆN PHÁP BẢO MẬT KỸ THUẬT
Kin áp dụng các biện pháp bảo mật tiêu chuẩn ngành, bao gồm:
| Biện pháp | Mô tả |
|---|---|
| Mã hóa truyền dữ liệu | SSL/TLS cho toàn bộ kết nối |
| Mã hóa dữ liệu nhạy cảm | IP, mật khẩu được mã hóa khi lưu trữ |
| Loại bỏ EXIF | Tự động xóa metadata (GPS, thiết bị) từ ảnh tải lên |
| Watermark DM | Truy vết khi bị lan truyền trái phép |
| Thông báo chụp màn hình | Cảnh báo khi có hành vi chụp màn hình DM |
| Tùy chọn tự xóa tin nhắn | Người dùng chủ động |
| Ngụy trang biểu tượng | Ứng dụng có thể ẩn thành biểu tượng khác trên màn hình chính |
| Kiểm soát truy cập nội bộ | Chỉ nhân sự được ủy quyền mới tiếp cận dữ liệu |
| Sao lưu định kỳ | Bảo đảm khôi phục dữ liệu khi có sự cố |
| Kiểm tra bảo mật | Định kỳ rà soát lỗ hổng |
Trách nhiệm của bạn
Không hệ thống nào bảo đảm 100% tuyệt đối. Bạn có trách nhiệm:
- Đặt mật khẩu mạnh và duy nhất cho Kin;
- Không chia sẻ thông tin tài khoản với người khác;
- Thông báo ngay cho Kin nếu phát hiện truy cập trái phép.
ĐIỀU 5. QUYỀN CỦA NGƯỜI DÙNG
Tuân thủ Nghị định 13/2023/NĐ-CP, bạn có các quyền sau đối với dữ liệu cá nhân của mình:
| # | Quyền | Mô tả |
|---|---|---|
| 1 | Quyền được biết | Biết về hoạt động xử lý dữ liệu cá nhân |
| 2 | Quyền đồng ý | Đồng ý hoặc không đồng ý với việc xử lý |
| 3 | Quyền truy cập | Xem dữ liệu Kin đang lưu về bạn |
| 4 | Quyền chỉnh sửa | Yêu cầu sửa thông tin không chính xác |
| 5 | Quyền rút lại đồng ý | Rút lại sự đồng ý đã cấp |
| 6 | Quyền xóa dữ liệu | Yêu cầu xóa toàn bộ dữ liệu cá nhân |
| 7 | Quyền hạn chế xử lý | Yêu cầu tạm ngừng một số hoạt động xử lý |
| 8 | Quyền xuất dữ liệu | Nhận bản sao dữ liệu định dạng JSON/CSV |
| 9 | Quyền phản đối | Phản đối việc xử lý cho mục đích cụ thể |
| 10 | Quyền khiếu nại | Gửi khiếu nại đến Kin hoặc cơ quan chức năng |
| 11 | Quyền yêu cầu bồi thường thiệt hại | Theo quy định pháp luật |
Cách thực hiện quyền
Email: privacy@joinkin.vn
Kin phản hồi trong vòng 72 giờ (đối với yêu cầu hợp lệ, theo Nghị định 13/2023/NĐ-CP), tối đa không quá 30 ngày cho các yêu cầu phức tạp.
ĐIỀU 6. COOKIES VÀ CÔNG NGHỆ THEO DÕI
6.1. Kin chỉ sử dụng cookies kỹ thuật cần thiết để:
- Duy trì phiên đăng nhập;
- Nhớ cài đặt giao diện (chế độ tối/sáng, ngôn ngữ);
- Bảo vệ chống tấn công CSRF.
6.2. Kin KHÔNG sử dụng:
- Cookies quảng cáo của bên thứ ba;
- Công cụ theo dõi hành vi xuyên website (Google Analytics nhận dạng cá nhân, Facebook Pixel, v.v.);
- Fingerprinting thiết bị.
6.3. Bạn có thể tắt cookies trong trình duyệt, nhưng điều này có thể ảnh hưởng đến một số tính năng.
ĐIỀU 7. THỜI HẠN LƯU TRỮ DỮ LIỆU
7.1. Tài khoản đang hoạt động
Dữ liệu được lưu trữ trong suốt thời gian tài khoản còn tồn tại.
7.2. Khi bạn xóa tài khoản
| Thời điểm | Hành động |
|---|---|
| Ngay lập tức | Tên tác giả thay bằng "Người dùng đã xóa" (ẩn danh hóa) |
| Trong 30 ngày | Xóa dữ liệu cá nhân và nội dung khỏi hệ thống |
| Trong 90 ngày | Xóa khỏi bản sao lưu (backup) |
7.3. Lưu trữ bắt buộc theo pháp luật
a) Log IP, log truy cập: tối đa 24 tháng theo Luật An ninh mạng; b) Dữ liệu liên quan đến tranh chấp hoặc điều tra đang diễn ra: đến khi kết thúc thủ tục.
7.4. Dữ liệu ẩn danh hóa
Dữ liệu đã được ẩn danh (không còn định danh được cá nhân) có thể được giữ cho mục đích thống kê, nghiên cứu cải thiện Dịch vụ.
ĐIỀU 8. CHUYỂN DỮ LIỆU RA NƯỚC NGOÀI
8.1. Một phần dữ liệu có thể được lưu trữ tại các máy chủ đặt tại Singapore (AWS Singapore) nhằm tối ưu hiệu suất.
8.2. Kin cam kết tuân thủ quy định về lưu trữ dữ liệu tại Việt Nam theo Điều 26 Luật An ninh mạng và Nghị định 53/2022/NĐ-CP khi đạt quy mô yêu cầu.
8.3. Mọi bên thứ ba tiếp nhận dữ liệu ở nước ngoài đều phải ký cam kết bảo mật tương đương hoặc cao hơn Chính sách này, phù hợp với yêu cầu về chuyển dữ liệu xuyên biên giới tại Nghị định 13/2023/NĐ-CP.
ĐIỀU 9. NGƯỜI DÙNG DƯỚI 18 TUỔI
Kin KHÔNG dành cho người dưới 18 tuổi. Nếu phát hiện tài khoản thuộc về người dưới 18 tuổi, chúng tôi sẽ:
a) Khóa tài khoản ngay lập tức; b) Xóa toàn bộ dữ liệu liên quan; c) Không liên hệ lại (trừ trường hợp cần thiết theo yêu cầu pháp luật).
ĐIỀU 10. DỮ LIỆU CÁ NHÂN NHẠY CẢM
10.1. Kin thừa nhận rằng thông tin về xu hướng tính dục, bản dạng giới, tình trạng HIV là dữ liệu cá nhân nhạy cảm theo Khoản 4 Điều 2 Nghị định 13/2023/NĐ-CP.
10.2. Với các thông tin này, Kin áp dụng biện pháp bảo vệ cao hơn:
a) Mặc định ẨN, chỉ hiển thị khi Người dùng chủ động công khai; b) Không bao giờ chia sẻ với bên thứ ba vì mục đích thương mại; c) Không sử dụng cho quảng cáo nhắm đối tượng; d) Hành vi tiết lộ thông tin này của Người dùng khác ("outing") dẫn đến khóa tài khoản vĩnh viễn — xem Quy tắc Cộng đồng; e) Chỉ nhân viên được ủy quyền đặc biệt mới có quyền tiếp cận dữ liệu này phục vụ xử lý báo cáo.
ĐIỀU 11. SỬA ĐỔI CHÍNH SÁCH
11.1. Kin có thể sửa đổi Chính sách này khi:
a) Có thay đổi về pháp luật; b) Có thay đổi về tính năng Dịch vụ; c) Có cải tiến về biện pháp bảo mật.
11.2. Bản cập nhật được thông báo trước 7 ngày qua ứng dụng và email (nếu áp dụng).
ĐIỀU 12. THÔNG TIN LIÊN HỆ
Về vấn đề dữ liệu cá nhân
Cán bộ Bảo vệ Dữ liệu (DPO): [Tên người phụ trách — điền trước khi công bố] Email: privacy@joinkin.vn Thời gian phản hồi: 72 giờ (yêu cầu hợp lệ), tối đa 30 ngày (yêu cầu phức tạp).
Cơ quan chức năng
Trường hợp không thỏa mãn với phản hồi của Kin, bạn có quyền khiếu nại với:
Cục An toàn Thông tin — Bộ Thông tin và Truyền thông Website: https://ais.gov.vn
Cục Cảnh sát An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) — Bộ Công an