Chính sách bảo mật

Ngày hiệu lực: 19/04/2026 · Cập nhật lần cuối: 23/05/2026

Chính sách này mô tả cách CÔNG TY CỔ PHẦN CÔNG NGHỆ OHQ SOFTWARE VIỆT NAM (“Autoop”, “chúng tôi”) thu thập, sử dụng, chia sẻ và bảo vệ dữ liệu cá nhân của bạn khi sử dụng nền tảng Autoop (website autoop.ai và các dịch vụ liên quan). Chúng tôi tuân thủ Nghị định 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ về bảo vệ dữ liệu cá nhân và Luật An toàn thông tin mạng 2015.

Tóm tắt nhanh

  • Chúng tôi chỉ thu thập dữ liệu cần thiết để vận hành dịch vụ AI Company.
  • Dữ liệu nhạy cảm (token OAuth, khóa API, thông tin thanh toán) được mã hóa AES-256-GCM.
  • Không bán dữ liệu cá nhân cho bên thứ ba.
  • Bạn có quyền yêu cầu xem, chỉnh sửa, xóa hoặc rút đồng ý bất kỳ lúc nào.
  • Liên hệ DPO: support@autoop.ai

1. Đơn vị kiểm soát dữ liệu

Bên kiểm soát dữ liệu cá nhân theo Nghị định 13/2023/NĐ-CP:

  • Tên pháp nhân: CÔNG TY CỔ PHẦN CÔNG NGHỆ OHQ SOFTWARE VIỆT NAM
  • Mã số thuế: 0318695272
  • Địa chỉ ĐKKD: 92 Yên Thế, Phường Tân Sơn Hòa, TP. Hồ Chí Minh, Việt Nam
  • Người đại diện pháp luật: NGUYỄN LÊ ANH TUÂN – CEO
  • Email DPO (Cán bộ bảo vệ dữ liệu): support@autoop.ai
  • Hotline: +84 0902455000

2. Dữ liệu cá nhân chúng tôi thu thập

2.1. Thông tin bạn cung cấp trực tiếp

  • Đăng ký tài khoản: họ tên, email, số điện thoại, mật khẩu (đã băm bcrypt).
  • Thông tin doanh nghiệp: tên công ty, ngành nghề, quy mô, website.
  • Thanh toán: Chúng tôi KHÔNG lưu thông tin thẻ. Giao dịch được xử lý qua cổng PayOS (đơn vị cấp phép). Chúng tôi chỉ lưu mã giao dịch, số tiền và trạng thái.
  • Nội dung bạn nhập: dữ liệu CRM (danh sách liên hệ), prompt cho AI, cấu hình workflow, nội dung bài viết do bạn soạn thảo.

2.2. Thông tin từ dịch vụ bên thứ ba (OAuth)

Khi bạn kết nối tài khoản Facebook, Google, LinkedIn, Zalo, TikTok... qua OAuth, chúng tôi nhận:

  • Thông tin profile cơ bản (tên, avatar, email) theo phạm vi scope bạn chấp thuận.
  • Access token + refresh token để đăng bài, đọc comment, quản lý trang theo yêu cầu của bạn.
  • Page ID, Organization ID của các trang bạn quản lý.

Các token này được mã hóa AES-256-GCM trước khi lưu và chỉ dùng cho mục đích bạn đã ủy quyền. Bạn có thể ngắt kết nối bất kỳ lúc nào trong mục Cài đặt → Social Accounts.

2.3. Thông tin tự động thu thập

  • Kỹ thuật: địa chỉ IP, loại trình duyệt, hệ điều hành, thiết bị.
  • Hoạt động: thời gian đăng nhập, tính năng sử dụng, lỗi hệ thống.
  • Cookie & tracking: xem Mục 8 bên dưới.

2.4. Dữ liệu nhạy cảm

Chúng tôi KHÔNG chủ động thu thập dữ liệu nhạy cảm theo Điều 2.4 Nghị định 13/2023/NĐ-CP (tình trạng sức khỏe, quan điểm chính trị, tôn giáo, dữ liệu sinh trắc học...). Nếu bạn tự nhập dữ liệu nhạy cảm vào CRM hoặc prompt AI, bạn đồng thời chấp thuận cho chúng tôi xử lý với mục đích vận hành dịch vụ.

3. Mục đích sử dụng dữ liệu

  • Cung cấp dịch vụ: tạo tài khoản, xác thực, vận hành workflow AI, đăng bài, phân tích báo cáo.
  • Thanh toán: xử lý gói cước, hóa đơn, hoàn tiền.
  • Hỗ trợ khách hàng: phản hồi yêu cầu, xử lý khiếu nại.
  • Cải thiện sản phẩm: phân tích tổng hợp ẩn danh để tối ưu UX và tính năng.
  • Gửi thông báo: cập nhật dịch vụ, thông tin bảo mật, hóa đơn. Email marketing chỉ gửi khi bạn chấp thuận và có thể hủy bất kỳ lúc nào.
  • Tuân thủ pháp luật: khi cơ quan có thẩm quyền yêu cầu hợp pháp.

5. Chia sẻ dữ liệu với bên thứ ba

Chúng tôi chia sẻ dữ liệu ở mức tối thiểu với các bên xử lý sau (Bên xử lý dữ liệu):

  • OpenAI (Hoa Kỳ) — xử lý prompt AI để sinh nội dung.
  • fal.ai (Hoa Kỳ) — tạo video AI.
  • PayOS (Việt Nam) — xử lý thanh toán.
  • Meta / Google / LinkedIn / Zalo / TikTok — theo OAuth bạn ủy quyền.
  • MinIO / nhà cung cấp lưu trữ — lưu trữ file, hình ảnh, video.
  • Nhà cung cấp hạ tầng máy chủ — [TODO: NHÀ CUNG CẤP CLOUD, VD: AWS, Vultr, VNG Cloud].
  • Cơ quan nhà nước khi có yêu cầu hợp pháp bằng văn bản.

Tất cả bên xử lý đều ký hợp đồng xử lý dữ liệu (DPA) ràng buộc về bảo mật. Chúng tôi KHÔNG bán, KHÔNG cho thuê dữ liệu cá nhân.

6. Chuyển dữ liệu ra nước ngoài

Một số dịch vụ AI (OpenAI, fal.ai) có máy chủ tại Hoa Kỳ. Việc chuyển dữ liệu ra nước ngoài được thực hiện theo Điều 25 Nghị định 13/2023/NĐ-CP với các biện pháp:

  • Lập Hồ sơ đánh giá tác động chuyển dữ liệu ra nước ngoài và nộp Bộ Công an theo quy định.
  • Mã hóa dữ liệu trước khi truyền.
  • Hợp đồng DPA với điều khoản bảo mật tương đương pháp luật Việt Nam.

7. Biện pháp bảo mật

  • Mã hóa AES-256-GCM cho dữ liệu nhạy cảm khi lưu trữ (token OAuth, API key, credentials).
  • Mật khẩu được băm bcrypt với salt, không lưu plain text.
  • HTTPS/TLS 1.2+ cho mọi kết nối.
  • Phân quyền theo vai trò (RBAC), cô lập dữ liệu đa tenant (tenantId filter bắt buộc).
  • Backup định kỳ, log audit, giám sát xâm nhập.
  • Đào tạo nhân viên về bảo mật và ký NDA.

Tuy nhiên, không có hệ thống nào an toàn tuyệt đối. Trong trường hợp xảy ra sự cố dữ liệu, chúng tôi sẽ thông báo cho bạn và Bộ Công an trong vòng 72 giờ theo Điều 23 Nghị định 13/2023/NĐ-CP.

8. Cookie và công nghệ theo dõi

Chúng tôi sử dụng:

  • Cookie kỹ thuật (bắt buộc): duy trì phiên đăng nhập, CSRF token.
  • Cookie phân tích: Google Analytics (ẩn danh hóa IP), Facebook Pixel (theo dõi conversion quảng cáo).
  • Cookie marketing: chỉ bật khi bạn chấp thuận.

Bạn có thể quản lý cookie qua cài đặt trình duyệt hoặc banner chấp thuận trên website.

9. Thời gian lưu trữ

  • Tài khoản đang hoạt động: lưu trong suốt thời gian bạn sử dụng dịch vụ.
  • Sau khi hủy tài khoản: xóa trong 90 ngày, trừ dữ liệu bắt buộc giữ theo pháp luật (hóa đơn: 10 năm theo Luật Kế toán).
  • Log hệ thống: 12 tháng.
  • Token OAuth: xóa ngay khi bạn ngắt kết nối.

10. Quyền của bạn theo Nghị định 13/2023/NĐ-CP

Theo Điều 9, bạn có các quyền sau đối với dữ liệu cá nhân của mình:

  • Quyền được biết về việc xử lý dữ liệu.
  • Quyền đồng ý / rút đồng ý bất kỳ lúc nào.
  • Quyền truy cập và xem dữ liệu.
  • Quyền chỉnh sửa dữ liệu không chính xác.
  • Quyền xóa dữ liệu (trừ trường hợp pháp luật yêu cầu lưu).
  • Quyền hạn chế xử lý.
  • Quyền phản đối xử lý.
  • Quyền yêu cầu cung cấp dữ liệu (data portability).
  • Quyền khiếu nại, tố cáo, khởi kiện.
  • Quyền yêu cầu bồi thường khi có thiệt hại.
  • Quyền tự bảo vệ.

Để thực hiện, gửi yêu cầu tới support@autoop.ai. Chúng tôi phản hồi trong 72 giờ theo quy định.

11. Dữ liệu của trẻ em

Dịch vụ Autoop dành cho tổ chức, doanh nghiệp và cá nhân từ 16 tuổi trở lên. Chúng tôi không chủ ý thu thập dữ liệu của trẻ em dưới 16 tuổi. Nếu phát hiện, chúng tôi sẽ xóa ngay khi nhận được thông báo.

12. Thay đổi chính sách

Chúng tôi có thể cập nhật chính sách này. Thay đổi quan trọng sẽ được thông báo qua email hoặc banner trên website ít nhất 30 ngày trước khi có hiệu lực. Việc tiếp tục sử dụng dịch vụ sau thời điểm có hiệu lực đồng nghĩa bạn chấp nhận phiên bản mới.

13. Tích hợp TikTok — Disclosure chi tiết

Autoop là TikTok Developer Platform partner. Phần này mô tả chi tiết cách chúng tôi sử dụng data từ TikTok khi bạn (CEO / chủ tài khoản TikTok Business) kết nối tài khoản TikTok của mình với Autoop. Disclosure này tuân thủ TikTok Developer Terms of Service Data Protection, Handling and Storage Requirements.

13.1. Scopes (quyền) Autoop xin từ tài khoản TikTok của bạn

  • user.info.basic — đọc tên hiển thị, avatar, open_id của tài khoản TikTok bạn dùng đăng nhập. Mục đích: hiển thị thông tin tài khoản trong UI “Social Accounts” để bạn biết đã connect account nào.
  • video.upload — upload video bạn tạo trong Autoop (qua AI hoặc upload trực tiếp) lên tài khoản TikTok của bạn dưới dạng draft.
  • video.publish — publish các video đã upload theo lịch đăng bạn cấu hình. Autoop KHÔNG tự động publish nếu bạn không bấm “Schedule”.
  • comment.list — đọc bình luận trên các video bạn đã đăng (chỉ video của tài khoản bạn connect, KHÔNG đọc bình luận trên video người khác). Mục đích: hiển thị bình luận trong hộp thư hợp nhất (Inbox) để bạn quản lý tập trung.
  • comment.list.manage — reply, hide hoặc delete bình luận trên video của bạn. Mục đích: cho phép AI auto-reply hoặc CEO reply trực tiếp từ Inbox của Autoop. Action này CHỈ chạy khi bạn bật “AI auto-reply” hoặc bấm nút reply thủ công.

13.2. Cách Autoop lưu trữ TikTok data

  • Access token + refresh token: mã hóa AES-256-GCM trước khi lưu DB. Master key được lưu trong env (không commit vào source code). Token được dùng để gọi TikTok API thay mặt bạn — bạn có thể revoke bất kỳ lúc nào.
  • Profile info (tên, avatar, open_id): lưu plain text trong bảng social_accounts để hiển thị UI, không chia sẻ với bên thứ ba.
  • Video metadata (video_id, caption, view_count, like_count): lưu trong bảng social_posts để báo cáo performance + biết video nào cần poll comments.
  • Comment content (text, author display name, comment_id): lưu trong bảng conversation_messages để hiển thị Inbox và để AI sinh reply có context. KHÔNG dùng để training AI model chung — chỉ phục vụ tài khoản của bạn.
  • AI reply content trước khi gửi: lưu để bạn approve trong PILOT mode (CEO duyệt trước khi gửi) hoặc audit log.

13.3. Thời gian lưu trữ TikTok data

  • Token: xóa NGAY khi bạn ngắt kết nối tài khoản TikTok trong UI “Social Accounts”.
  • Profile + video metadata: lưu cho đến khi bạn xóa social account hoặc xóa tài khoản Autoop.
  • Comment content: 12 tháng kể từ ngày comment được poll (rolling retention).
  • Sau khi bạn xóa tài khoản Autoop: mọi TikTok data liên quan bị xóa trong 90 ngày.

13.4. Chia sẻ TikTok data với bên thứ ba

Để vận hành tính năng AI auto-reply, comment content (text bình luận) được gửi tới OpenAI hoặc DeepSeek (LLM provider) qua API để sinh reply. Dữ liệu gửi đi đã ẩn danh (không kèm email/sđt của user TikTok). LLM provider có DPA với Autoop cam kết không lưu trữ data quá thời gian cần thiết để xử lý request và không dùng để training model.

Ngoài LLM provider, Autoop KHÔNG chia sẻ TikTok data với bất kỳ bên thứ ba nào khác. Đặc biệt KHÔNG bán, không cho thuê, không dùng để target quảng cáo.

13.5. Quyền của bạn với TikTok data

  • Ngắt kết nối: vào Cài đặt → Social Accounts → TikTok → Disconnect. Token bị xóa ngay, comment content bị xóa trong 90 ngày.
  • Revoke trực tiếp từ TikTok: vào tiktok.com/setting/connected-apps → tìm “Autoop” → Remove access. Autoop sẽ ngừng poll comments trong vòng 15 phút.
  • Yêu cầu xóa toàn bộ TikTok data: gửi email tới support@autoop.ai kèm open_id của TikTok account. Chúng tôi xóa trong 72 giờ + gửi xác nhận.
  • Yêu cầu export data: nhận file JSON tất cả TikTok-derived data của bạn qua email support@autoop.ai — trả lời trong 7 ngày làm việc.

13.6. Bình luận của khán giả TikTok (third-party users)

Khi user khác bình luận trên video của bạn, Autoop poll comment đó để hiển thị trong Inbox. Comment content + author display name được lưu để bạn xem context khi reply. Autoop:

  • KHÔNG thu thập email, sđt, hay PII khác của commenter (TikTok API không cung cấp).
  • KHÔNG profile / track commenter qua nhiều video.
  • Tôn trọng quyền của commenter: nếu commenter xóa bình luận trên TikTok, Autoop xóa bản copy trong vòng 15 phút (next poll cycle).

13.7. Acknowledgment

Autoop cam kết tuân thủ TikTok Developer Terms of Service và Data Protection requirements. Trong trường hợp có xung đột giữa chính sách này và yêu cầu của TikTok, yêu cầu của TikTok được ưu tiên áp dụng cho TikTok-derived data.

14. Liên hệ

Mọi câu hỏi, yêu cầu hoặc khiếu nại về dữ liệu cá nhân:

  • Email DPO: support@autoop.ai
  • Email hỗ trợ: support@autoop.ai
  • Hotline: +84 0902455000
  • Địa chỉ: 92 Yên Thế, Phường Tân Sơn Hòa, TP. Hồ Chí Minh, Việt Nam

Bạn cũng có quyền khiếu nại lên Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) — Bộ Công an.

→ Điều khoản sử dụng← Về trang chủ