Chính sách bảo mật

Hiệu lực: 26/05/2026 • Phiên bản 2.0

Tuân thủ Nghị định 13/2023/NĐ-CP về Bảo vệ Dữ liệu Cá nhân và Luật Bảo vệ Dữ liệu Cá nhân 91/2025/QH15 (hiệu lực 01/01/2026).

1. Giới thiệu

Vipix AI Photo Editor (sau đây gọi là "Vipix" hoặc "chúng tôi") cam kết bảo vệ thông tin và quyền riêng tư của Người dùng theo pháp luật Việt Nam. Chính sách này mô tả cách Vipix thu thập, sử dụng, lưu trữ, chia sẻ và bảo vệ dữ liệu cá nhân của bạn khi sử dụng dịch vụ tại vipix.vn.

2. Thông tin chúng tôi thu thập

  • Thông tin đăng ký: địa chỉ email, mật khẩu (mã hóa BCrypt), tên hiển thị;
  • Nội dung tải lên: ảnh người dùng upload (theo giới hạn dung lượng của gói dịch vụ);
  • Thông tin thanh toán: mã giao dịch SePay, số tiền — Vipix KHÔNG lưu thông tin thẻ ngân hàng;
  • Thông tin kỹ thuật: địa chỉ IP, loại trình duyệt, thiết bị, thời gian truy cập;
  • Cookie và tracking: chi tiết tại Chính sách Cookie.

3. Mục đích xử lý và Hậu quả tiềm năng (Điều 13)

Vipix xử lý dữ liệu cá nhân của bạn cho các mục đích sau:

  • Cung cấp dịch vụ chỉnh sửa ảnh AI;
  • Xác thực tài khoản và bảo mật;
  • Gửi thông báo dịch vụ, hóa đơn, kết quả xử lý;
  • Cải thiện chất lượng dịch vụ và phòng ngừa lạm dụng;
  • Tuân thủ nghĩa vụ pháp luật khi có yêu cầu từ cơ quan chức năng.

Hậu quả tiềm năng: nếu Người dùng từ chối cung cấp dữ liệu bắt buộc (email, ảnh upload), một số tính năng dịch vụ có thể không khả dụng.

4. Cơ sở pháp lý xử lý

Vipix xử lý dữ liệu trên các căn cứ:

  • Sự đồng ý của Người dùng khi đăng ký tài khoản và sử dụng dịch vụ;
  • Thực hiện hợp đồng cung cấp dịch vụ;
  • Tuân thủ nghĩa vụ pháp luật Việt Nam.

5. Thời hạn lưu trữ (Điều 16)

Loại dữ liệuThời hạn
Ảnh upload + kết quả xử lý30 ngày (R2 lifecycle tự xóa)
Job history (metadata)90 ngày
Tài khoản (email + log đăng nhập)Đến khi tự xóa tài khoản + 30 ngày grace
Giao dịch thanh toán5 năm (theo quy định kế toán)
Audit log bảo mật1 năm

6. Bên xử lý dữ liệu (Điều 17)

Vipix sử dụng các nhà cung cấp dịch vụ sau:

  • Nhà cung cấp suy luận AI bên thứ ba (Hoa Kỳ): xử lý AI inference — ảnh được gửi tới máy chủ AI và tự xóa trong vòng 24 giờ;
  • SePay (Việt Nam): xử lý webhook thanh toán VietQR;
  • Cloudflare R2 Storage (khu vực châu Á - Thái Bình Dương): lưu trữ ảnh tạm 30 ngày;
  • Cloudflare (toàn cầu): DNS, WAF, CDN, Turnstile chống bot;
  • Google Analytics 4 (toàn cầu, dự kiến triển khai): đo lường lưu lượng truy cập ẩn danh;
  • Microsoft Clarity (toàn cầu, dự kiến triển khai): phân tích trải nghiệm người dùng;
  • Google OAuth: xác thực tài khoản qua Google (nếu chọn);
  • Facebook OAuth + TikTok OAuth (dự kiến triển khai): xác thực tài khoản qua mạng xã hội.

Các bên xử lý đều có cam kết bảo mật tương đương hoặc cao hơn Vipix.

7. Chuyển dữ liệu xuyên biên giới (Điều 25)

Vipix có chuyển dữ liệu cá nhân ra ngoài lãnh thổ Việt Nam tới các nhà cung cấp AI bên thứ ba (Hoa Kỳ) và một số dịch vụ Cloudflare toàn cầu. Đối với hoạt động chuyển dữ liệu xuyên biên giới nêu trên, Vipix tuân thủ các yêu cầu về đánh giá tác động xử lý dữ liệu cá nhân theo Nghị định 13/2023/NĐ-CP.

8. Quyền của Chủ thể dữ liệu (Điều 9)

Theo Nghị định 13/2023, bạn có các quyền sau đối với dữ liệu cá nhân của mình:

  1. Quyền được biết: được thông báo về việc xử lý dữ liệu;
  2. Quyền đồng ý: đồng ý hoặc không đồng ý cho phép xử lý;
  3. Quyền truy cập: xem dữ liệu cá nhân mình đã cung cấp;
  4. Quyền rút lại đồng ý: rút lại sự đồng ý bất cứ lúc nào;
  5. Quyền xóa dữ liệu: yêu cầu xóa dữ liệu cá nhân;
  6. Quyền hạn chế xử lý: yêu cầu hạn chế xử lý trong một số trường hợp;
  7. Quyền phản đối: phản đối việc xử lý dữ liệu;
  8. Quyền chỉnh sửa: yêu cầu sửa đổi dữ liệu không chính xác;
  9. Quyền khiếu nại: khiếu nại với cơ quan có thẩm quyền;
  10. Quyền yêu cầu cung cấp: yêu cầu bản sao dữ liệu;
  11. Quyền yêu cầu giải thích: yêu cầu giải thích về việc xử lý.

Để thực hiện các quyền trên, gửi yêu cầu tới [email protected] — Vipix phản hồi trong vòng 30 ngày.

9. Bảo mật dữ liệu

Vipix áp dụng các biện pháp bảo mật kỹ thuật và tổ chức:

  • Mã hóa truyền tải TLS 1.3;
  • Mã hóa mật khẩu BCrypt với salt ngẫu nhiên;
  • Xác thực JWT 3 audience riêng biệt (user/beta/admin);
  • Kiểm soát truy cập theo vai trò (RBAC);
  • Audit log mọi hành động thay đổi dữ liệu;
  • Cloudflare WAF + Turnstile chống bot;
  • Sao lưu định kỳ và quy trình khôi phục.

10. Trẻ em dưới 16 tuổi (Điều 20)

Vipix không nhắm đến trẻ em dưới 16 tuổi. Đối với trẻ em từ 7-16 tuổi, việc đăng ký phải có sự đồng ý của cả trẻ em và cha mẹ hoặc người giám hộ hợp pháp. Trẻ em dưới 7 tuổi không được phép sử dụng Dịch vụ. Nếu Vipix phát hiện trường hợp vi phạm, tài khoản sẽ bị xóa ngay.

11. Thông báo vi phạm dữ liệu cá nhân (Điều 23)

Trong trường hợp xảy ra sự cố lộ, mất, rò rỉ dữ liệu cá nhân, Vipix sẽ:

  • Thông báo cho Cục An ninh mạng A05 trong vòng 72 giờ kể từ khi phát hiện;
  • Thông báo cho các chủ thể dữ liệu bị ảnh hưởng bằng email trong thời gian sớm nhất;
  • Khắc phục, hạn chế hậu quả và báo cáo biện pháp xử lý.

12. Cookie

Chi tiết cách Vipix sử dụng cookie, vui lòng xem Chính sách Cookie.

13. Xóa dữ liệu người dùng

Người dùng có thể yêu cầu xóa toàn bộ dữ liệu cá nhân bằng các cách:

  • Truy cập trang Cài đặt tài khoản → "Xóa tài khoản";
  • Gửi email tới [email protected] với chủ đề "Yêu cầu xóa dữ liệu".

Sau khi xác minh, Vipix xóa toàn bộ dữ liệu cá nhân trong vòng 30 ngày, trừ các dữ liệu phải lưu giữ theo nghĩa vụ pháp luật (giao dịch thanh toán, log bảo mật).

14. Thay đổi chính sách

Vipix có quyền cập nhật Chính sách này theo thời gian. Phiên bản mới sẽ được đăng tại URL này với ngày hiệu lực mới. Vipix sẽ thông báo bằng email cho các thay đổi quan trọng.

15. Liên hệ DPO và Khiếu nại

Mọi câu hỏi, yêu cầu hoặc khiếu nại về dữ liệu cá nhân:

Vipix phản hồi trong vòng 30 ngày làm việc.

Xem thêm: Điều khoản sử dụngChính sách CookieChính sách hoàn tiền