Chính sách Bảo mật
Ngày có hiệu lực: 01 tháng 01 năm 2025 · Lần cập nhật cuối: Tháng 04 năm 2025 · Phiên bản: 2.0
| Phụ lục đặc thù theo khu vực tài phán | Chính sách này thiết lập các hoạt động bảo vệ dữ liệu toàn cầu của Dialogg. Trong trường hợp luật pháp địa phương áp đặt các nghĩa vụ bổ sung đối với chủ thể dữ liệu tại một quốc gia cụ thể, Phụ lục Xử lý Dữ liệu (DPA) dành riêng cho khu vực tài phán đó sẽ bổ sung cho Chính sách này. Phụ lục hiện tại: Việt Nam (Nghị định 13/2023/NĐ-CP — PDPD). Trong trường hợp có mâu thuẫn giữa Chính sách này và Phụ lục địa phương, Phụ lục địa phương sẽ được ưu tiên áp dụng đối với các chủ thể dữ liệu tại khu vực tài phán đó. |
|---|
1. Giới thiệu
Chính sách Bảo mật này giải thích cách thức Dialogg Europe SRL ("Dialogg", "chúng tôi", "của chúng tôi") thu thập, sử dụng, chia sẻ và bảo vệ dữ liệu cá nhân khi bạn truy cập hoặc sử dụng dialogg.ai và bất kỳ dịch vụ liên quan nào (gọi chung là "Nền tảng"), tuân thủ theo:
- Quy định chung về bảo vệ dữ liệu của Liên minh Châu Âu (EU) 2016/679 ("GDPR")
- Đạo luật ngày 30 tháng 7 năm 2018 của Bỉ về bảo vệ cá nhân liên quan đến việc xử lý dữ liệu cá nhân
- Chỉ thị ePrivacy (2002/58/EC) được triển khai trong luật quốc gia Bỉ
- Các luật bảo vệ dữ liệu hiện hành tại các khu vực tài phán khác nơi chúng tôi hoạt động, được bổ sung bởi các phụ lục đặc thù của từng khu vực
2. Bên Kiểm soát Dữ liệu
Bên kiểm soát dữ liệu đối với dữ liệu cá nhân được thu thập qua dialogg.ai là:
| Đơn vị | Chi tiết |
|---|---|
| Tên pháp lý | Dialogg Europe SRL |
| Địa chỉ đăng ký | 54 Avenue Louise, 1050 Brussels, Bỉ |
| Liên hệ bảo vệ dữ liệu | [email protected] |
| Trang web | https://dialogg.ai |
Đánh giá của DPO: Dialogg xử lý dữ liệu giọng nói và văn bản hội thoại từ các ngành được quản lý nghiêm ngặt. Chúng tôi đang đánh giá xem có cần chỉ định chính thức Nhân viên Bảo vệ Dữ liệu (DPO) theo Điều 37 GDPR hay không và sẽ cập nhật Chính sách này khi có quyết định.
3. Dữ liệu Cá nhân Chúng tôi Thu thập
| Phân loại | Ví dụ | Nguồn thu thập |
|---|---|---|
| Dữ liệu tài khoản | Họ tên, email, tên công ty, vai trò người dùng, mật khẩu (đã mã hóa một chiều) | Khách hàng cung cấp khi đăng ký |
| Dữ liệu sử dụng & kỹ thuật | Địa chỉ IP, loại trình duyệt, thông tin nhận dạng thiết bị, thời gian truy cập, nhật ký phiên làm việc | Thu thập tự động |
| Dữ liệu hội thoại | Nội dung trò chuyện (chat transcripts), file ghi âm và văn bản chuyển dịch của voicebot, siêu dữ liệu hội thoại, phân loại ý định (intents) | Phát sinh trong quá trình sử dụng Nền tảng |
| Dữ liệu thanh toán | Phương thức thanh toán, 4 số cuối thẻ, lịch sử giao dịch (thông tin thẻ đầy đủ chỉ được lưu trữ bảo mật bởi đối tác thanh toán Stripe) | Khách hàng cung cấp |
| Dữ liệu hỗ trợ | Thông tin trao đổi, yêu cầu hỗ trợ (tickets), phản hồi ý kiến | Khách hàng cung cấp |
| Dữ liệu cookie & theo dõi | Mã nhận dạng cookie, dữ liệu phân tích hành vi — xem Mục 10 | Thu thập tự động |
4. Mục đích và Cơ sở Pháp lý
| Mục đích xử lý | Cơ sở pháp lý theo GDPR |
|---|---|
| Tạo và quản lý tài khoản thành viên | Thực hiện hợp đồng — Điều 6(1)(b) |
| Cung cấp dịch vụ chatbot và voicebot thông minh | Thực hiện hợp đồng — Điều 6(1)(b) |
| Hỗ trợ kỹ thuật và giải quyết sự cố khách hàng | Lợi ích hợp pháp — Điều 6(1)(f) |
| Cải tiến dịch vụ và nâng cao chất lượng mô hình AI (§5) | Lợi ích hợp pháp — Điều 6(1)(f); hoặc Sự đồng ý — Điều 6(1)(a) khi người dùng chọn tham gia |
| Giám sát an ninh mạng và phòng chống gian lận | Lợi ích hợp pháp — Điều 6(1)(f) |
| Tuân thủ các nghĩa vụ pháp lý và quy định | Nghĩa vụ pháp lý — Điều 6(1)(c) |
| Gửi thông tin tiếp thị quảng cáo (chỉ khi có opt-in) | Sự đồng ý — Điều 6(1)(a) |
5. Công bố Đặc thù về Xử lý Dữ liệu bằng Trí tuệ Nhân tạo (AI)
| Cách dữ liệu hội thoại của bạn tương tác với hệ thống AI | Phần này làm rõ cách thức Dialogg xử lý dữ liệu giọng nói và văn bản hội thoại qua các mô hình AI, bao gồm các API của bên thứ ba về mô hình ngôn ngữ lớn (LLM) và nhận dạng giọng nói. |
|---|
5.1 Cách các mô hình AI xử lý dữ liệu hội thoại
Nền tảng chuyển tiếp dữ liệu hội thoại thông qua các API AI của bên thứ ba — chủ yếu là API của OpenAI và/hoặc dịch vụ Google Cloud AI — để phản hồi tự động, phân tích ý định và chuyển giọng nói thành văn bản. Điều này có nghĩa là:
- Nội dung hội thoại được truyền tải đến bên xử lý phụ trong thời gian thực trong suốt phiên tương tác.
- Dialogg sử dụng gói dịch vụ dành cho doanh nghiệp (API tier). Theo thỏa thuận của chúng tôi với OpenAI và Google, các dữ liệu được gửi qua API mặc định sẽ không được sử dụng để huấn luyện mô hình nền tảng của họ.
- Dialogg có thể sử dụng dữ liệu tương tác ẩn danh, gộp chung để tinh chỉnh (fine-tune) hoặc đánh giá các mô hình AI nội bộ của chúng tôi.
- Chúng tôi sẽ yêu cầu sự đồng ý rõ ràng trước khi sử dụng bất kỳ dữ liệu định danh cá nhân nào cho mục đích huấn luyện mô hình.
5.2 Ra quyết định tự động
Nền tảng phân tích ý định của người dùng và có thể tự động điều hướng cuộc gọi/tin nhắn dựa trên điểm tin cậy hệ thống.
- Các hoạt động phân loại tự động này không cấu thành quyết định tự động hóa 100% gây ra hậu quả pháp lý hoặc ảnh hưởng nghiêm trọng tương đương theo Điều 22 GDPR, vì nhân viên (con người) luôn có quyền kiểm tra và ghi đè kết quả của hệ thống.
- Khách hàng doanh nghiệp triển khai Dialogg trong các quy trình có thể tạo ra quyết định ảnh hưởng lớn đến người dùng cuối phải đảm bảo có cơ sở pháp lý phù hợp và cung cấp thông tin tuân thủ Điều 22 GDPR cho những người dùng cuối đó.
5.3 Dữ liệu giọng nói
- Khi tính năng voicebot được kích hoạt, dữ liệu âm thanh cuộc gọi sẽ được truyền đến bên xử lý phụ để chuyển đổi thành văn bản, sau đó văn bản này được xử lý bởi dịch vụ LLM.
- Các file ghi âm giọng nói chỉ được lưu trữ trong thời hạn quy định tại Mục 8 và tuyệt đối không được sử dụng cho mục đích nhận dạng sinh trắc học.
6. Bên Xử lý Phụ và Chuyển Dữ liệu Quốc tế
Tất cả các bên xử lý dữ liệu phụ đều bị ràng buộc bởi hợp đồng bảo mật để chỉ xử lý dữ liệu theo hướng dẫn bằng văn bản từ Dialogg và áp dụng các biện pháp kỹ thuật và tổ chức phù hợp.
| Đơn vị | Dịch vụ cung cấp | Khu vực lưu trữ | Mục đích xử lý |
|---|---|---|---|
| Google LLC (GCP) | Google Cloud Platform | EU (Bỉ, Frankfurt); Mỹ; Singapore | Hạ tầng đám mây chính; tính toán, lưu trữ, cơ sở dữ liệu |
| Amazon Web Services | AWS | EU (Ireland); Mỹ; Châu Á - Thái Bình Dương | Hạ tầng đám mây dự phòng; CDN |
| Microsoft Corporation | Azure (chọn lọc) | EU; Mỹ; đa khu vực | Tích hợp tùy chọn; kết nối hệ thống Microsoft Teams |
| OpenAI, OpCo LLC | OpenAI API | Hoa Kỳ | Mô hình LLM — xử lý ngôn ngữ tự nhiên sinh tạo |
| Google LLC | Gemini / Vertex AI | EU; Mỹ | Mô hình LLM; chuyển giọng nói thành văn bản (tùy chọn) |
| Stripe Inc. | Thanh toán Stripe | Hoa Kỳ; EU | Xử lý cổng thanh toán (Dialogg không lưu trữ thông tin thẻ ngân hàng) |
6.1 Chuyển dữ liệu quốc tế
Khi dữ liệu cá nhân được chuyển ra ngoài Khu vực Kinh tế Châu Âu (EEA), Dialogg áp dụng các Điều khoản Hợp đồng Tiêu chuẩn (SCCs) theo Quyết định 2021/914 của Ủy ban Châu Âu, hoặc các quyết định tương đương khác.
7. Thời hạn Lưu trữ Dữ liệu
| Phân loại dữ liệu | Thời gian lưu trữ mặc định | Sự kiện kích hoạt xóa dữ liệu |
|---|---|---|
| Dữ liệu tài khoản | Thời hạn hoạt động của tài khoản + 12 tháng | Có yêu cầu xóa tài khoản hợp lệ |
| Nội dung trò chuyện (chat) | 6 tháng (có thể tùy chỉnh theo khách hàng) | Cấu hình của khách hàng hoặc chấm dứt hợp đồng |
| File ghi âm voicebot (audio) | 30 ngày | Hệ thống tự động xóa định kỳ |
| Nhật ký kỹ thuật / sử dụng | 90 ngày | Hệ thống tự động xóa cuốn chiếu |
| Hóa đơn & chứng từ thanh toán | 7 năm | Nghĩa vụ pháp lý (Luật thuế của Vương quốc Bỉ) |
| Thông tin hỗ trợ khách hàng | 3 năm | Yêu cầu hỗ trợ được đóng + thời gian đệm |
| Dữ liệu cookie & phân tích | 13 tháng | Tự động hết hạn; rút lại sự đồng ý |
8. Quyền lợi của Bạn
Theo GDPR, bạn có các quyền dưới đây. Để thực hiện các quyền này, vui lòng liên hệ [email protected]. Chúng tôi sẽ phản hồi trong vòng 30 ngày. Chúng tôi có thể yêu cầu xác minh danh tính trước khi xử lý yêu cầu.
| Quyền | Mô tả chi tiết |
|---|---|
| Quyền truy cập | Yêu cầu cung cấp bản sao dữ liệu cá nhân chúng tôi lưu trữ về bạn |
| Quyền sửa đổi | Yêu cầu chỉnh sửa các thông tin không chính xác hoặc chưa đầy đủ |
| Quyền xóa dữ liệu | Yêu cầu xóa bỏ hoàn toàn dữ liệu cá nhân của bạn khỏi hệ thống |
| Quyền hạn chế xử lý | Yêu cầu tạm ngưng xử lý dữ liệu trong một số trường hợp cụ thể |
| Quyền chuyển dữ liệu | Nhận dữ liệu của bạn dưới định dạng cấu trúc, dễ đọc bằng máy thông dụng |
| Quyền phản đối | Phản đối việc xử lý dữ liệu dựa trên cơ sở lợi ích hợp pháp |
| Rút lại sự đồng ý | Rút lại sự đồng ý đã cung cấp trước đó vào bất kỳ lúc nào |
| Quyền khiếu nại | Khiếu nại lên Cơ quan Bảo vệ Dữ liệu Bỉ (APD/GBA) tại địa chỉ www.autoriteprotectiondonnees.be, hoặc cơ quan quản lý tại địa phương bạn sinh sống |
9. Cookies và Công nghệ Theo dõi
Trang web và Nền tảng Dialogg sử dụng cookie và các công nghệ theo dõi tương tự. Các cookie thực sự cần thiết được kích hoạt mặc định để đảm bảo hệ thống vận hành ổn định. Tất cả các cookie khác chỉ hoạt động khi bạn đồng ý rõ ràng thông qua thanh thông báo cookie hiển thị trên màn hình.
| Loại cookie | Ví dụ thực tế | Cần sự đồng ý | Mục đích chính |
|---|---|---|---|
| Thực sự cần thiết | Mã phiên đăng nhập (session tokens), bảo vệ chống tấn công CSRF | Không — bắt buộc | Xác thực người dùng và bảo mật hệ thống |
| Cookie chức năng | Lựa chọn ngôn ngữ ưa thích, trạng thái giao diện UI | Có | Ghi nhớ các thiết lập cá nhân hóa của bạn |
| Cookie phân tích | Thống kê lượt truy cập, nguồn lưu lượng | Có | Giúp chúng tôi hiểu cách Nền tảng được sử dụng để tối ưu hóa |
| Cookie tiếp thị | Mã theo dõi quảng cáo, thẻ tiếp thị lại (remarketing tags) | Có | Hiển thị quảng cáo phù hợp hơn với sở thích của bạn |
10. An toàn và Bảo mật Dữ liệu
Dialogg áp dụng các biện pháp kỹ thuật và tổ chức nghiêm ngặt, tương xứng với mức độ rủi ro xử lý dữ liệu, bao gồm:
- Mã hóa dữ liệu trong quá trình truyền tải (TLS 1.2+) và khi lưu trữ tĩnh (AES-256)
- Cơ chế phân quyền truy cập nghiêm ngặt dựa trên vai trò công việc và nguyên tắc đặc quyền tối thiểu
- Đánh giá bảo mật độc lập và kiểm thử xâm nhập (pentest) định kỳ
- Ràng buộc nghĩa vụ bảo mật nghiêm ngặt đối với tất cả bên xử lý phụ
- Đào tạo nâng cao nhận thức bảo mật thông tin thường niên cho toàn thể nhân viên
- Quy trình ứng phó sự cố an ninh thông tin và kế hoạch khôi phục sau sự cố
11. Quy trình Thông báo Vi phạm An toàn Dữ liệu
Trong trường hợp xảy ra sự cố vi phạm an toàn dữ liệu cá nhân, Dialogg sẽ thực hiện:
- Thông báo cho Cơ quan Bảo vệ Dữ liệu Bỉ (APD/GBA) trong vòng 72 giờ kể từ khi phát hiện sự cố có khả năng gây ảnh hưởng đến quyền và tự do của cá nhân, theo quy định tại Điều 33 GDPR.
- Thông báo ngay lập tức cho các cá nhân bị ảnh hưởng nếu sự cố có nguy cơ cao xâm hại đến quyền lợi của họ, theo Điều 34 GDPR.
- Thông báo cho khách hàng doanh nghiệp trong vòng 48 giờ để họ kịp thời thực hiện các nghĩa vụ báo cáo pháp lý tương ứng của riêng mình.
- Lưu trữ nhật ký toàn bộ sự cố an ninh dữ liệu để phục vụ công tác thanh tra giám sát theo Điều 33(5) GDPR.
12. Cập nhật Chính sách
Dialogg có thể cập nhật Chính sách Bảo mật này theo thời gian. Chúng tôi sẽ thông báo cho khách hàng có tài khoản qua email khi có thay đổi quan trọng và cập nhật phiên bản mới nhất tại dialogg.ai/vi/privacy-policy kèm theo ngày sửa đổi gần nhất. Việc tiếp tục sử dụng Nền tảng sau ngày thay đổi có hiệu lực đồng nghĩa với việc bạn đồng ý với các điều khoản cập nhật.
13. Liên hệ với Chúng tôi
| Thông tin liên hệ | Chi tiết |
|---|---|
| Yêu cầu về quyền riêng tư | [email protected] |
| Địa chỉ văn phòng | Dialogg Europe SRL, 54 Avenue Louise, 1050 Brussels, Bỉ |
| Cơ quan quản lý giám sát | APD/GBA — www.autoriteprotectiondonnees.be |
Dialogg Europe SRL · Phiên bản 2.0 · Tháng 04 năm 2025 · dialogg.ai/privacy-policy
Bảo mật dữ liệu của bạn là ưu tiên hàng đầu của chúng tôi.
Tập trung phát triển khách hàng của bạn, mọi vấn đề về tuân thủ vận hành và an ninh thông tin đã có chúng tôi đồng hành.