Chúng mình hiểu rằng dữ liệu cá nhân là của bạn, không phải của 9Reading. Chính sách này mô tả rõ ràng dữ liệu nào được thu thập, vì sao, được dùng làm gì, lưu bao lâu, và quyền của bạn đối với dữ liệu đó.
Chúng mình thu thập (1) thông tin tài khoản bạn cung cấp, (2) dữ liệu học tập của bạn, (3) thông tin kỹ thuật cơ bản. Dữ liệu được dùng để vận hành dịch vụ, cải thiện phương pháp adaptive, và liên lạc với bạn. Chúng mình KHÔNG bán dữ liệu cho bên thứ ba. Bạn có quyền xem, sửa, xoá, và xuất dữ liệu của mình bất cứ lúc nào.
1. Cơ sở pháp lý
Chính sách này được xây dựng trên cơ sở:
- Hiến pháp 2013 — Điều 21 về quyền bí mật cá nhân
- Bộ luật Dân sự 2015 — Điều 38 về quyền đối với đời sống riêng tư
- Luật An toàn thông tin mạng 2015
- Luật An ninh mạng 2018
- Nghị định 13/2023/NĐ-CP về Bảo vệ Dữ liệu Cá nhân (có hiệu lực 01/07/2023) — văn bản chính
- Luật Giao dịch điện tử 2023
- Các thông lệ quốc tế: GDPR (EU), CCPA (California) — áp dụng khi phù hợp
2. Dữ liệu cá nhân chúng mình thu thập
Theo Nghị định 13/2023/NĐ-CP, chúng mình phân loại dữ liệu thu thập thành các nhóm sau:
2.1. Dữ liệu cá nhân cơ bản (do bạn cung cấp)
| Dữ liệu | Khi nào | Bắt buộc? |
|---|---|---|
| Họ tên | Đăng ký tài khoản | Có |
| Đăng ký tài khoản | Có | |
| Mật khẩu (đã mã hoá) | Đăng ký tài khoản | Có |
| Số điện thoại | Khi cần xác minh / hỗ trợ | Không |
| Ảnh đại diện | Tuỳ chỉnh hồ sơ | Không |
| Mục tiêu band điểm | Khi thiết lập lộ trình | Không |
| Ngày dự kiến thi | Khi thiết lập lộ trình | Không |
2.2. Dữ liệu học tập
- Kết quả bài đánh giá đầu vào — band ước tính, dạng yếu, tốc độ baseline
- Lịch sử làm bài — câu trả lời của bạn cho từng câu hỏi, đúng/sai, thời gian làm
- Tiến độ học — bài đã hoàn thành, level hiện tại của từng dạng câu hỏi
- Pattern lỗi — phân loại lỗi để hệ thống đề xuất ôn tập
- Ghi chú cá nhân — note bạn thêm vào bài học (nếu có)
2.3. Dữ liệu thanh toán
Khi thanh toán, các thông tin sau được thu thập bởi cổng thanh toán (VNPay, MoMo, Stripe), không phải bởi 9Reading:
- Số thẻ, ngày hết hạn, CVV — 9Reading KHÔNG lưu trữ thông tin này
- Tên chủ thẻ, ngân hàng phát hành
9Reading chỉ lưu các thông tin sau cho mục đích kế toán và hoá đơn:
- Mã giao dịch, số tiền, thời gian giao dịch
- Phương thức thanh toán (Visa / MoMo / VNPay / ...)
- 4 chữ số cuối của thẻ (nếu cần đối soát)
2.4. Dữ liệu kỹ thuật (tự động thu thập)
- Địa chỉ IP — để bảo mật và phân tích vùng miền sử dụng
- Trình duyệt & thiết bị — User-Agent, độ phân giải màn hình
- Hệ điều hành
- Ngôn ngữ trình duyệt
- Trang đến trước (Referrer)
- Thời gian truy cập, các trang đã xem
2.5. Dữ liệu nhạy cảm — chúng mình KHÔNG thu thập
Theo định nghĩa tại Điều 2.4 Nghị định 13/2023, dữ liệu cá nhân nhạy cảm bao gồm: quan điểm chính trị/tôn giáo, sức khoẻ, di truyền, sinh trắc học, dữ liệu trẻ em, đời sống tình dục, dữ liệu tội phạm, dữ liệu tài chính (cụ thể), dữ liệu vị trí, dữ liệu các mối quan hệ xã hội, dữ liệu thuộc về bí mật cá nhân khác.
9Reading không thu thập bất kỳ loại dữ liệu cá nhân nhạy cảm nào trong danh mục này.
3. Mục đích sử dụng dữ liệu
Dữ liệu được sử dụng cho các mục đích sau, tuyệt đối không cho mục đích nào khác:
| Mục đích | Cơ sở pháp lý |
|---|---|
| Vận hành dịch vụ — đăng nhập, lưu tiến độ, đề xuất bài tiếp theo | Hợp đồng dịch vụ với bạn |
| Cá nhân hoá adaptive — điều chỉnh độ khó, đề xuất nội dung phù hợp | Sự đồng ý + Hợp đồng dịch vụ |
| Hỗ trợ khách hàng — trả lời email, xử lý sự cố | Lợi ích chính đáng |
| Thanh toán & kế toán — xuất hoá đơn, đối soát | Nghĩa vụ pháp lý (Luật Quản lý Thuế) |
| Bảo mật — phát hiện & ngăn chặn lạm dụng, hack | Lợi ích chính đáng |
| Cải thiện sản phẩm — phân tích thống kê (đã ẩn danh) | Lợi ích chính đáng |
| Liên lạc dịch vụ — email thông báo về tài khoản, cập nhật điều khoản | Hợp đồng dịch vụ |
| Marketing — chỉ khi bạn đã đồng ý opt-in | Sự đồng ý (có thể rút lại bất cứ lúc nào) |
Chúng mình KHÔNG sử dụng dữ liệu của bạn để: bán cho bên thứ ba, chia sẻ với nhà quảng cáo, huấn luyện AI/ML model bên ngoài, hồ sơ hành vi cho mục đích thương mại không liên quan.
4. Chia sẻ & tiết lộ dữ liệu
Chúng mình chỉ chia sẻ dữ liệu trong các trường hợp sau:
4.1. Đối tác cung cấp dịch vụ (Data Processors)
Chúng mình sử dụng các đối tác đáng tin cậy để vận hành dịch vụ:
| Đối tác | Mục đích | Dữ liệu chia sẻ |
|---|---|---|
| VNPay / MoMo / ZaloPay | Xử lý thanh toán | Mã giao dịch, số tiền, email |
| Stripe (thanh toán quốc tế) | Xử lý thanh toán thẻ Visa/Master | Tên, email, thông tin thẻ (lưu tại Stripe) |
| SendGrid / Postmark | Gửi email giao dịch | Tên, email |
| Cloudflare | CDN & bảo mật web | IP, User-Agent (tự động) |
| Google Analytics 4 | Phân tích thống kê (ẩn danh, IP đã anonymize) | Hành vi truy cập (không có thông tin cá nhân) |
| Sentry hoặc tương đương | Theo dõi lỗi kỹ thuật | Stacktrace, browser info (không có nội dung học) |
Tất cả các đối tác này đều có ký Hợp đồng Xử lý Dữ liệu (Data Processing Agreement) với 9Reading, cam kết bảo vệ dữ liệu theo tiêu chuẩn không thấp hơn chính sách này.
4.2. Yêu cầu pháp lý
Trong các trường hợp được pháp luật yêu cầu (lệnh của toà án, cơ quan điều tra theo Luật An ninh mạng), chúng mình có thể buộc phải tiết lộ dữ liệu. Trong các trường hợp này, chúng mình:
- Chỉ tiết lộ phần dữ liệu được yêu cầu cụ thể
- Yêu cầu thẩm quyền pháp lý đầy đủ trước khi tuân thủ
- Thông báo cho người dùng (nếu pháp luật cho phép)
4.3. Trường hợp không bao giờ chia sẻ
9Reading sẽ không bao giờ:
- Bán dữ liệu của bạn cho bên thứ ba
- Cho phép quảng cáo theo dõi (third-party advertising trackers)
- Chia sẻ dữ liệu cá nhân với nhà tuyển dụng, trường học, hoặc tổ chức tương tự
- Sử dụng dữ liệu của bạn để huấn luyện AI/ML model của bên thứ ba
5. Cookies & công nghệ tương tự
9Reading sử dụng cookies và công nghệ lưu trữ trình duyệt cho các mục đích:
- Cookies thiết yếu (Essential)
- Duy trì phiên đăng nhập, ghi nhớ ngôn ngữ, bảo mật CSRF. Không thể tắt vì cần để dịch vụ hoạt động.
- Cookies phân tích (Analytics)
- Google Analytics 4 với IP đã anonymize. Có thể từ chối qua banner cookie consent khi vào trang lần đầu.
- Cookies chức năng (Functional)
- Ghi nhớ tuỳ chỉnh giao diện (dark mode, font size). Tự động hết hạn sau 1 năm.
- Cookies marketing
- 9Reading không sử dụng cookies marketing/quảng cáo bên thứ ba.
Bạn có thể quản lý cookies qua cài đặt trình duyệt hoặc banner cookie consent của 9Reading. Tuy nhiên, tắt cookies thiết yếu sẽ ảnh hưởng đến chức năng đăng nhập.
6. Lưu trữ dữ liệu
6.1. Thời gian lưu trữ
| Loại dữ liệu | Thời gian lưu trữ |
|---|---|
| Tài khoản đang hoạt động | Cho đến khi bạn yêu cầu xoá |
| Tài khoản không hoạt động (không đăng nhập 24 tháng) | Tự động ẩn danh hoá & xoá sau email cảnh báo |
| Dữ liệu học tập | Theo thời hạn tài khoản |
| Hoá đơn & lịch sử giao dịch | 10 năm (theo Luật Kế toán Việt Nam) |
| Log bảo mật | 12 tháng |
| Backup hệ thống | 30 ngày trên backup gần nhất |
6.2. Vị trí lưu trữ
Dữ liệu chính được lưu trên server đặt tại Singapore (Asia Pacific) để đảm bảo tốc độ truy cập từ Việt Nam và độ tin cậy. Các bản sao lưu được lưu trữ với mã hoá. Theo Nghị định 53/2022/NĐ-CP, dữ liệu cá nhân của người dùng Việt Nam có thể được lưu trữ song song tại Việt Nam khi có yêu cầu pháp lý.
7. Bảo mật dữ liệu
Chúng mình áp dụng các biện pháp bảo mật theo tiêu chuẩn ngành:
- Mã hoá truyền tải — toàn bộ kết nối qua HTTPS với TLS 1.3
- Mã hoá dữ liệu nghỉ — database mã hoá AES-256
- Mật khẩu băm — sử dụng bcrypt/argon2, không lưu mật khẩu dạng plain
- Two-Factor Authentication (2FA) — tuỳ chọn cho tài khoản
- Phân quyền nội bộ — nguyên tắc least privilege, chỉ truy cập dữ liệu khi cần thiết cho công việc
- Log truy cập — ghi lại mọi truy cập vào dữ liệu cá nhân từ phía nội bộ
- Audit định kỳ — kiểm tra bảo mật ít nhất hàng năm
Nếu xảy ra rò rỉ dữ liệu cá nhân, theo Điều 23 Nghị định 13/2023, chúng mình sẽ:
1. Thông báo cho Bộ Công an trong vòng 72 giờ sau khi phát hiện
2. Thông báo cho người dùng bị ảnh hưởng qua email trong vòng 72 giờ nếu có nguy cơ cao đối với quyền và lợi ích
3. Công bố trên website nếu sự cố ảnh hưởng diện rộng
8. Quyền của bạn
Theo Điều 9 Nghị định 13/2023/NĐ-CP, bạn có các quyền sau đối với dữ liệu cá nhân của mình. Để thực hiện bất kỳ quyền nào, gửi email đến privacy@9reading.vn với chủ đề tương ứng.
- 1. Quyền được biết
- Biết về việc xử lý dữ liệu cá nhân của mình. Chính sách này là cách chúng mình thực hiện quyền này.
- 2. Quyền đồng ý / từ chối
- Đồng ý hoặc không đồng ý xử lý dữ liệu, trừ trường hợp pháp luật bắt buộc.
- 3. Quyền truy cập
- Yêu cầu xem dữ liệu cá nhân chúng mình đang giữ. Chúng mình phản hồi trong 7 ngày làm việc.
- 4. Quyền rút lại sự đồng ý
- Rút lại sự đồng ý đã cấp bất cứ lúc nào (ví dụ: opt-out marketing email).
- 5. Quyền xoá dữ liệu
- Yêu cầu xoá dữ liệu cá nhân. Áp dụng trừ một số trường hợp chúng mình bắt buộc phải lưu (hoá đơn theo luật kế toán).
- 6. Quyền hạn chế xử lý
- Yêu cầu tạm dừng xử lý dữ liệu trong khi đang tranh chấp về tính chính xác hoặc tính hợp pháp.
- 7. Quyền cung cấp dữ liệu (data portability)
- Yêu cầu xuất dữ liệu của bạn dưới định dạng có thể đọc được (JSON / CSV) để chuyển sang dịch vụ khác.
- 8. Quyền phản đối xử lý
- Phản đối việc xử lý dữ liệu cho mục đích cụ thể, ví dụ marketing.
- 9. Quyền khiếu nại
- Khiếu nại lên cơ quan có thẩm quyền (Bộ Công an, Cục An toàn thông tin, Bộ TT&TT) nếu cho rằng quyền bị xâm phạm.
- 10. Quyền yêu cầu bồi thường
- Yêu cầu bồi thường thiệt hại nếu việc xử lý dữ liệu sai gây thiệt hại cho bạn.
- 11. Quyền tự bảo vệ
- Sử dụng các biện pháp tự bảo vệ theo quy định pháp luật.
9. Chuyển dữ liệu ra nước ngoài
Một số đối tác xử lý dữ liệu (Stripe, SendGrid, Google Analytics) đặt server ngoài Việt Nam. Theo quy định tại Điều 25 Nghị định 13/2023/NĐ-CP về việc chuyển dữ liệu ra nước ngoài, chúng mình:
- Đã ký hợp đồng xử lý dữ liệu (DPA) với các đối tác
- Đảm bảo các đối tác có biện pháp bảo vệ tương đương hoặc cao hơn
- Thông báo cho người dùng (qua chính sách này) về việc chuyển dữ liệu ra nước ngoài
- Báo cáo cho Bộ Công an khi có yêu cầu
10. Trẻ em & người chưa thành niên
9Reading dành cho người từ 13 tuổi trở lên. Với người dùng dưới 18 tuổi:
- Cần có sự đồng ý của cha/mẹ hoặc người giám hộ hợp pháp
- Cha/mẹ có quyền yêu cầu xem, sửa, xoá dữ liệu của con qua email privacy@9reading.vn
- Chúng mình áp dụng các biện pháp bảo vệ tăng cường: không gửi marketing, không thu thập số điện thoại, không thu thập vị trí
Nếu phát hiện đã thu thập dữ liệu của người dưới 13 tuổi mà không có sự đồng ý của cha/mẹ, chúng mình sẽ xoá dữ liệu đó ngay lập tức. Vui lòng báo cho chúng mình qua privacy@9reading.vn nếu phát hiện trường hợp này.
11. Thay đổi chính sách
Chính sách này có thể được cập nhật theo thời gian. Khi có thay đổi đáng kể (ảnh hưởng đến quyền của bạn hoặc cách xử lý dữ liệu), chúng mình sẽ:
- Thông báo qua email tới địa chỉ đã đăng ký, ít nhất 30 ngày trước khi có hiệu lực
- Đăng phiên bản mới với ngày cập nhật rõ ràng tại đầu trang
- Yêu cầu xác nhận đồng ý (nếu thay đổi cần sự đồng ý mới)
Phiên bản trước đây của chính sách được lưu trữ và có thể yêu cầu bằng cách gửi email đến privacy@9reading.vn.
12. Liên hệ & cán bộ phụ trách
Theo Nghị định 13/2023, chúng mình chỉ định cán bộ phụ trách bảo vệ dữ liệu cá nhân (Data Protection Officer) để xử lý mọi vấn đề liên quan:
- Đầu mối liên hệ về dữ liệu cá nhân
- privacy@9reading.vn
- Thời gian phản hồi
- Trong vòng 7 ngày làm việc cho mọi yêu cầu từ chủ thể dữ liệu
- Đơn vị chủ quản (Bên Kiểm soát Dữ liệu)
- [Tên công ty pháp lý — cần điền]
- Địa chỉ pháp lý
- [Địa chỉ đăng ký kinh doanh — cần điền]
- Đơn vị giám sát Việt Nam
- Cục An toàn thông tin (Bộ Thông tin và Truyền thông)
Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an)