Chính sách Bảo mật

Cập nhật lần cuối: 17 tháng 6, 2026

1. Giới thiệu

Chào mừng bạn đến với Assistant Core ("chúng tôi"). Chúng tôi tôn trọng quyền riêng tư và cam kết bảo vệ thông tin cá nhân của bạn. Chính sách Bảo mật này giải thích cách chúng tôi thu thập, sử dụng, tiết lộ và bảo vệ thông tin của bạn khi bạn sử dụng nền tảng trợ lý AI, bao gồm web chat, giao diện voice, widget nhúng và thiết bị IoT. Bằng việc sử dụng Dịch vụ, bạn đồng ý với việc thu thập và sử dụng thông tin như mô tả trong chính sách này.

2. Thông tin chúng tôi thu thập

Thông tin bạn cung cấp

Thông tin tài khoản: Tên, địa chỉ email và thông tin xác thực khi đăng ký qua email, Google hoặc GitHub OAuth
Thông tin hồ sơ: Chi tiết hồ sơ, sở thích và ảnh đại diện (tùy chọn)
Nội dung hội thoại: Tin nhắn, prompt và tệp bạn chia sẻ với trợ lý AI trên nền tảng
Nội dung Knowledge Base: Tài liệu, URL và dữ liệu bạn tải lên cho hệ thống RAG
Yêu cầu hỗ trợ: Thông tin cung cấp khi liên hệ hỗ trợ khách hàng

Thông tin thu thập tự động

Dữ liệu sử dụng: Tính năng được sử dụng, thời lượng phiên, tương tác với assistant và metadata hội thoại
Thông tin thiết bị: Địa chỉ IP, loại trình duyệt, hệ điều hành và định danh thiết bị
Dữ liệu nhật ký: Nhật ký máy chủ, báo cáo lỗi và số liệu hiệu suất
Cookies: Tệp dữ liệu nhỏ lưu trên thiết bị để xác thực, quản lý phiên và tùy chọn ngôn ngữ

Dữ liệu Voice & Âm thanh

Bản ghi âm voice: Âm thanh thu được trong tương tác voice được xử lý theo thời gian thực cho chuyển đổi giọng nói thành văn bản (ASR) và không được lưu trữ vĩnh viễn
Phát hiện hoạt động giọng nói (VAD): Chúng tôi xử lý tín hiệu âm thanh để phát hiện khi bạn đang nói
Đầu ra chuyển văn bản thành giọng nói (TTS): Phản hồi âm thanh được tạo ra được truyền trực tuyến và không lưu giữ sau khi phát
Dữ liệu voice chỉ được xử lý để cung cấp dịch vụ tương tác voice và bị xóa sau khi xử lý hoàn tất

Dữ liệu Thiết bị IoT

Định danh thiết bị: ID phần cứng, phiên bản firmware và loại thiết bị IoT kết nối
Thông tin mạng: Dữ liệu kết nối WiFi cần thiết cho giao tiếp thiết bị
Đầu vào âm thanh: Dữ liệu voice thu bởi thiết bị IoT được truyền đến máy chủ để xử lý và không lưu trên thiết bị
Trạng thái thiết bị: Trạng thái kết nối, hoạt động phiên và nhật ký lỗi

3. Cách chúng tôi sử dụng thông tin

Cung cấp dịch vụ: Vận hành, duy trì và cải thiện nền tảng AI assistant trên tất cả kênh (web, mobile, voice, IoT)
Xử lý AI: Chuyển tiếp đầu vào của bạn đến các mô hình ngôn ngữ AI và trả về phản hồi
Truy xuất Knowledge Base: Tìm kiếm tài liệu Knowledge Base của bạn và cung cấp câu trả lời phù hợp ngữ cảnh
Hệ thống Memory: Duy trì ngữ cảnh hội thoại và ghi nhớ sở thích người dùng qua các phiên (bạn có thể xem và xóa memory bất kỳ lúc nào)
Cá nhân hóa: Tùy chỉnh trải nghiệm bao gồm ngôn ngữ, giao diện và hành vi assistant
Bảo mật: Phát hiện và ngăn chặn gian lận, lạm dụng và sự cố bảo mật
Liên lạc: Gửi cập nhật dịch vụ, phản hồi hỗ trợ và thông báo quan trọng
Phân tích: Hiểu mẫu sử dụng và cải thiện chất lượng dịch vụ
Tuân thủ pháp lý: Tuân thủ luật pháp và quy định hiện hành

4. Thực hành Dữ liệu AI

Assistant Core sử dụng các nhà cung cấp AI bên thứ ba để xử lý yêu cầu của bạn. Dưới đây là cách dữ liệu của bạn được xử lý:

Chúng tôi KHÔNG sử dụng hội thoại, đầu vào hoặc đầu ra của bạn để huấn luyện, tinh chỉnh hoặc cải thiện bất kỳ mô hình AI nào. Dữ liệu của bạn chỉ được sử dụng để cung cấp dịch vụ.
Đầu vào hội thoại của bạn được gửi đến các nhà cung cấp AI bên thứ ba (như OpenAI, Anthropic, Google, xAI và DeepSeek) để xử lý theo thời gian thực. Chính sách dữ liệu riêng của mỗi nhà cung cấp áp dụng cho việc xử lý dữ liệu của bạn.
Hệ thống Memory tự động trích xuất các thông tin quan trọng từ hội thoại (như sở thích và ngữ cảnh) để cải thiện phản hồi trong tương lai. Bạn có thể xem, chỉnh sửa và xóa tất cả memory qua cài đặt tài khoản.
Tài liệu Knowledge Base bạn tải lên được chia nhỏ, nhúng thành vector và lưu trữ trong cơ sở dữ liệu cho tìm kiếm ngữ nghĩa. Các tài liệu này chỉ truy cập được trong phạm vi assistant của bạn.
Nhật ký hội thoại được lưu giữ 30 ngày sau khi xóa tài khoản, sau đó bị xóa vĩnh viễn.
Đầu ra do AI tạo có thể không phải là duy nhất — người dùng khác hỏi câu hỏi tương tự có thể nhận được phản hồi tương tự.

5. Nhà cung cấp Dịch vụ Bên thứ ba

Chúng tôi sử dụng các nhà cung cấp dịch vụ bên thứ ba sau để vận hành nền tảng. Dữ liệu của bạn có thể được xử lý bởi các nhà cung cấp này theo chính sách bảo mật tương ứng:

Nhà cung cấp Mô hình Ngôn ngữ AI: OpenAI, Anthropic, Google (Gemini), xAI (Grok), DeepSeek, Xiaomi — để xử lý đầu vào hội thoại và tạo phản hồi
Nhà cung cấp Voice: OpenAI (Whisper), Google, Soniox, ElevenLabs, xAI — cho chuyển đổi giọng nói thành văn bản, văn bản thành giọng nói và phát hiện hoạt động giọng nói
Hạ tầng Đám mây: AWS (S3 storage), PostgreSQL, Redis — cho lưu trữ dữ liệu và cung cấp dịch vụ
Xác thực: Google OAuth, GitHub OAuth — cho đăng nhập tài khoản
Giám sát: Langfuse — cho theo dõi tương tác AI và giám sát chất lượng (ẩn danh)

6. Chia sẻ và Tiết lộ Thông tin

Chúng tôi không bán thông tin cá nhân của bạn. Chúng tôi chỉ chia sẻ thông tin trong các trường hợp hạn chế sau:

Xử lý AI: Với các nhà cung cấp AI bên thứ ba như liệt kê ở trên, chỉ để xử lý yêu cầu và tạo phản hồi
Nhà cung cấp dịch vụ: Với các nhà cung cấp hạ tầng đáng tin cậy giúp vận hành nền tảng, theo hợp đồng xử lý dữ liệu nghiêm ngặt
Yêu cầu pháp lý: Khi được yêu cầu bởi luật pháp, lệnh tòa án hoặc yêu cầu chính phủ theo luật Việt Nam hoặc luật quốc tế
An toàn và bảo mật: Để bảo vệ quyền, an toàn và bảo mật của người dùng, công chúng hoặc nền tảng
Chuyển giao doanh nghiệp: Liên quan đến sáp nhập, mua lại hoặc bán tài sản, với thông báo trước cho người dùng bị ảnh hưởng
Với sự đồng ý: Khi bạn đồng ý rõ ràng với việc chia sẻ thông tin

7. Bảo mật Dữ liệu

Mã hóa TLS 1.3 cho tất cả dữ liệu truyền tải qua HTTP, WebSocket và MQTT
Mã hóa khi lưu trữ qua PostgreSQL và S3 server-side encryption
Xác thực dựa trên JWT với luân chuyển access và refresh token
Phân quyền theo vai trò (RBAC) với quyền hạn riêng cho từng assistant
Cách ly dữ liệu multi-tenant — dữ liệu mỗi assistant được tách biệt nghiêm ngặt ở cấp cơ sở dữ liệu
Giới hạn tốc độ theo người dùng và IP để ngăn lạm dụng
Kiểm tra bảo mật định kỳ và đánh giá lỗ hổng
Quy trình phản hồi sự cố bảo mật với thông báo cho người dùng

8. Lưu giữ Dữ liệu

Chúng tôi chỉ lưu giữ dữ liệu trong thời gian cần thiết cho các mục đích mô tả trong chính sách này:

Dữ liệu tài khoản: Lưu giữ khi tài khoản hoạt động. Xóa trong 30 ngày sau yêu cầu xóa tài khoản.
Lịch sử hội thoại: Lưu giữ khi tài khoản hoạt động. Xóa trong 30 ngày sau khi xóa tài khoản.
Dữ liệu Memory: Lưu giữ khi tài khoản hoạt động. Bạn có thể xóa từng memory bất kỳ lúc nào. Tất cả memory bị xóa trong 30 ngày sau khi xóa tài khoản.
Tài liệu Knowledge Base: Lưu giữ khi tài khoản hoạt động. Bạn có thể xóa tài liệu bất kỳ lúc nào. Tất cả tài liệu bị xóa trong 30 ngày sau khi xóa tài khoản.
Dữ liệu voice và âm thanh: Xử lý theo thời gian thực và không lưu trữ vĩnh viễn. Âm thanh bị xóa ngay sau khi xử lý.
Nhật ký máy chủ và phân tích: Lưu giữ tối đa 90 ngày cho mục đích bảo mật và debug, sau đó tự động xóa.
Hồ sơ thanh toán: Lưu giữ theo yêu cầu của quy định thuế và tài chính hiện hành.

9. Chuyển giao Dữ liệu Quốc tế

Máy chủ của chúng tôi đặt tại nhiều khu vực. Dữ liệu của bạn có thể được chuyển đến và xử lý tại các quốc gia khác ngoài quốc gia cư trú của bạn, bao gồm Hoa Kỳ, nơi các nhà cung cấp AI hoạt động. Khi chuyển giao dữ liệu quốc tế, chúng tôi đảm bảo các biện pháp bảo vệ phù hợp, bao gồm Điều khoản Hợp đồng Tiêu chuẩn (SCCs) cho chuyển giao từ EU/EEA và tuân thủ luật bảo vệ dữ liệu hiện hành. Bằng việc sử dụng Dịch vụ, bạn đồng ý với việc chuyển giao thông tin đến các quốc gia này.

10. Quyền của bạn — GDPR (Người dùng EU/EEA)

Nếu bạn ở Liên minh Châu Âu hoặc Khu vực Kinh tế Châu Âu, bạn có các quyền sau theo Quy định Bảo vệ Dữ liệu Chung (GDPR):

Quyền truy cập: Yêu cầu bản sao dữ liệu cá nhân mà chúng tôi lưu giữ về bạn
Quyền chỉnh sửa: Yêu cầu sửa chữa dữ liệu cá nhân không chính xác hoặc không đầy đủ
Quyền xóa: Yêu cầu xóa dữ liệu cá nhân ("quyền được quên")
Quyền hạn chế xử lý: Yêu cầu giới hạn cách chúng tôi sử dụng dữ liệu của bạn
Quyền di chuyển dữ liệu: Yêu cầu chuyển dữ liệu ở định dạng có cấu trúc, có thể đọc bằng máy
Quyền phản đối: Phản đối việc xử lý dựa trên lợi ích hợp pháp
Quyền rút lại đồng ý: Rút lại đồng ý bất kỳ lúc nào khi xử lý dựa trên sự đồng ý
Quyền khiếu nại: Nộp khiếu nại với cơ quan giám sát bảo vệ dữ liệu địa phương

Chúng tôi xử lý dữ liệu cá nhân dựa trên các cơ sở pháp lý sau: (a) thực hiện hợp đồng — để cung cấp Dịch vụ bạn yêu cầu; (b) lợi ích hợp pháp — để cải thiện và bảo mật nền tảng; (c) sự đồng ý — cho các tính năng tùy chọn như Hệ thống Memory; (d) nghĩa vụ pháp lý — để tuân thủ luật hiện hành.

11. Quyền của bạn — CCPA (Cư dân California)

Nếu bạn là cư dân California, bạn có các quyền sau theo Đạo luật Quyền riêng tư Người tiêu dùng California (CCPA/CPRA):

Quyền được biết: Yêu cầu thông tin về các loại và phần dữ liệu cá nhân cụ thể mà chúng tôi đã thu thập
Quyền xóa: Yêu cầu xóa thông tin cá nhân của bạn
Quyền từ chối: Chúng tôi không bán hoặc chia sẻ thông tin cá nhân cho quảng cáo hành vi xuyên ngữ cảnh
Quyền không phân biệt đối xử: Chúng tôi không phân biệt đối xử khi bạn thực hiện quyền riêng tư
Quyền sửa chữa: Yêu cầu sửa thông tin cá nhân không chính xác

12. Quyền riêng tư Trẻ em

Dịch vụ của chúng tôi không dành cho cá nhân dưới 13 tuổi. Chúng tôi không cố ý thu thập thông tin cá nhân từ trẻ em dưới 13 tuổi. Nếu phát hiện đã thu thập thông tin từ trẻ em, chúng tôi sẽ xóa ngay lập tức. Nếu bạn tin rằng chúng tôi đã vô tình thu thập thông tin từ trẻ em, vui lòng liên hệ ngay.

13. Chính sách Cookie

Chúng tôi sử dụng cookie và công nghệ tương tự để vận hành và cải thiện Dịch vụ:

Cookie thiết yếu: Cần thiết cho xác thực, quản lý phiên và bảo mật. Không thể tắt.
Cookie tùy chọn: Lưu trữ tùy chọn ngôn ngữ, giao diện và cấu hình assistant.
Cookie phân tích: Giúp hiểu cách người dùng tương tác với nền tảng để cải thiện dịch vụ. Có thể tắt trong cài đặt trình duyệt.

Chúng tôi không sử dụng cookie quảng cáo hoặc theo dõi. Bạn có thể quản lý tùy chọn cookie qua cài đặt trình duyệt. Tắt cookie thiết yếu có thể ngăn bạn sử dụng một số tính năng.

14. Thay đổi Chính sách Bảo mật

Chúng tôi có thể cập nhật Chính sách Bảo mật này theo thời gian. Chúng tôi sẽ thông báo về các thay đổi quan trọng bằng cách đăng chính sách cập nhật trên website ít nhất 30 ngày trước khi thay đổi có hiệu lực, và gửi thông báo qua email. Việc tiếp tục sử dụng Dịch vụ sau ngày có hiệu lực đồng nghĩa với việc chấp nhận thay đổi.

15. Thông tin Liên hệ

Nếu bạn có câu hỏi về Chính sách Bảo mật này, hoạt động xử lý dữ liệu hoặc muốn thực hiện quyền riêng tư, vui lòng liên hệ:
Email: assistantcore.com@gmail.com
Địa chỉ: 162B Trường Chinh, Phường 12, Quận Tân Bình, TP. Hồ Chí Minh, Việt Nam

Đối với các yêu cầu liên quan đến GDPR, bạn cũng có thể liên hệ người phụ trách Bảo vệ Dữ liệu qua cùng địa chỉ email.

Điều khoản Dịch vụ →