OPA AI Agent

Chính sách bảo mật

Cập nhật lần cuối: 20/04/2026

OPA AI Agent (“OPA”, “chúng tôi”) cam kết bảo vệ dữ liệu cá nhân của người dùng theo Luật Bảo vệ Dữ liệu Cá nhân 91/2025/QH15 (PDPL) của Việt Nam, Luật AI 91/2025/QH15, và các quy định quốc tế áp dụng (GDPR nếu liên quan).

1. Đối tượng áp dụng

Chính sách này áp dụng cho:

  • Khách hàng doanh nghiệp (chủ shop, admin fanpage, nhân viên) đăng ký tài khoản OPA.
  • Khách hàng cuối (người tiêu dùng tương tác với chatbot trên Fanpage của doanh nghiệp dùng OPA).

2. Dữ liệu chúng tôi thu thập

2.1 Từ khách hàng doanh nghiệp

  • Thông tin đăng ký: họ tên, email, số điện thoại, thông tin doanh nghiệp.
  • Facebook OAuth: Page Access Token (mã hoá AES-256-GCM), danh sách Fanpage quản lý.
  • Dữ liệu sản phẩm, đơn hàng, khách hàng nhập vào hệ thống.
  • Thông tin thanh toán (qua Stripe/VNPay — OPA không lưu số thẻ).

2.2 Từ khách hàng cuối (qua Fanpage)

  • Facebook PSID (Page-Scoped User ID).
  • Tên, ảnh profile công khai.
  • Nội dung tin nhắn với chatbot.
  • Số điện thoại, địa chỉ, email (khi khách tự cung cấp để đặt hàng).
  • Ảnh chuyển khoản (để xác thực thanh toán — auto-xoá sau 90 ngày).

3. Mục đích sử dụng

  • Cung cấp dịch vụ chatbot AI tự động trả lời khách hàng.
  • Xử lý đơn hàng, xác thực thanh toán, giao hàng.
  • Remarketing (chỉ khi khách đã opt-in).
  • Phân tích và cải thiện dịch vụ.
  • Tuân thủ pháp luật.

4. Cơ sở pháp lý xử lý dữ liệu

  • Đồng ý rõ ràng của chủ thể dữ liệu (Điều 11 PDPL).
  • Thực hiện hợp đồng khi xử lý dữ liệu để cung cấp dịch vụ.
  • Nghĩa vụ pháp lý (kế toán, thuế, báo cáo).

5. Chia sẻ dữ liệu với bên thứ ba

OPA chỉ chia sẻ dữ liệu tối thiểu cần thiết với:

  • Anthropic (Claude API) — xử lý nội dung tin nhắn để sinh phản hồi AI. Không lưu dài hạn phía Anthropic.
  • OpenAI — chỉ dùng cho embeddings sản phẩm.
  • Meta/Facebook — khi gửi/nhận tin nhắn qua Messenger Platform.
  • Zalo — khi dùng Zalo OA.
  • Đối tác logistics (GHN, GHTK, VNPost) khi khách đặt hàng.
  • Cổng thanh toán (Stripe, VNPay, MoMo) khi xử lý thanh toán.

OPA đã ký Data Processing Agreement (DPA) với các đối tác. Chi tiết danh sách sub-processor có sẵn tại opa.business/data-processors.

6. Cross-border data transfer

Dữ liệu chính lưu tại máy chủ Singapore (Supabase) và Vietnam. Khi truyền dữ liệu sang bên thứ ba (Anthropic, OpenAI) ở ngoài Việt Nam, chúng tôi thực hiện Đánh giá Tác động Truyền dữ liệu Xuyên biên giới theo Điều 42-45 PDPL.

7. Quyền của chủ thể dữ liệu

Theo PDPL, bạn có quyền:

  • Được biết việc xử lý dữ liệu.
  • Đồng ý, rút đồng ý bất cứ lúc nào.
  • Truy cập, chỉnh sửa dữ liệu của bạn.
  • Xoá dữ liệu — gửi yêu cầu tại /data-deletion hoặc email privacy@opa.business.
  • Hạn chế xử lý, phản đối, chuyển dữ liệu.
  • Khiếu nại đến Cục An toàn Thông tin (Bộ TT&TT).

8. Bảo mật dữ liệu

  • Mã hoá TLS 1.3 cho mọi kết nối.
  • Mã hoá AES-256-GCM cho tokens nhạy cảm.
  • PBKDF2 310,000 iterations cho mật khẩu.
  • Audit log mọi truy cập PII.
  • Penetration testing định kỳ.
  • Role-based access control (RBAC).

9. Thời gian lưu trữ

  • Tin nhắn chatbot: 36 tháng (phục vụ AI learning) hoặc cho đến khi khách yêu cầu xoá.
  • Ảnh chuyển khoản: 90 ngày sau verify, sau đó auto-xoá (giữ metadata trừ dữ liệu PII).
  • Đơn hàng: 10 năm theo Luật Kế toán.
  • Dữ liệu tài khoản: đến khi tài khoản bị xoá.

10. Thông báo vi phạm

Nếu xảy ra vi phạm dữ liệu nghiêm trọng, chúng tôi sẽ thông báo cho Cục An toàn Thông tin và chủ thể dữ liệu bị ảnh hưởng trong vòng 72 giờ kể từ khi phát hiện, theo Điều 38 PDPL.

11. Data Protection Officer (DPO)

OPA có DPO nội bộ theo yêu cầu PDPL. Liên hệ DPO:

12. Trẻ em dưới 16 tuổi

OPA không chủ đích thu thập dữ liệu từ trẻ em dưới 16 tuổi. Nếu phát hiện, chúng tôi sẽ xoá ngay. Phụ huynh có thể liên hệ DPO nếu nghi vấn.

13. Luật AI 2026

Dịch vụ AI của OPA được phân loại là hệ thống AI “rủi ro trung bình” theo Luật AI Việt Nam (hiệu lực 01/03/2026). Chúng tôi tuân thủ:

  • Minh bạch: người dùng được thông báo đang tương tác với AI.
  • Kiểm soát con người: nhân viên có thể takeover AI bất kỳ lúc nào.
  • Audit log: mọi quyết định AI được ghi nhận.
  • Đánh giá tác động định kỳ.

14. Thay đổi chính sách

Chính sách có thể được cập nhật. Thay đổi quan trọng sẽ được thông báo trước 30 ngày qua email và dashboard.

15. Liên hệ

Mọi câu hỏi về chính sách: privacy@opa.business