Chính sách quyền riêng tư {{brand.appName}}
Thông báo về ngôn ngữ. Chính sách quyền riêng tư này được cung cấp bằng tiếng Việt (vi), tiếng Anh (en) và tiếng Hàn (ko). Bản tiếng Việt là bản có hiệu lực pháp lý (bản chính thức); theo Luật số 91/2025/QH15 (Luật Bảo vệ dữ liệu cá nhân) của Việt Nam, việc thông báo về dữ liệu cá nhân được cung cấp bằng tiếng Việt. Trong trường hợp có sự khác biệt giữa các bản, theo Luật số 19/2023/QH15 (Luật Bảo vệ quyền lợi người tiêu dùng), cách giải thích có lợi hơn cho người tiêu dùng sẽ được ưu tiên áp dụng.
- Ngày có hiệu lực: 17/07/2026
- Ngày sửa đổi gần nhất: 17/07/2026
- Phiên bản tài liệu: 1.0.0
YourCampus (Đại diện: Kim Min Seong) (sau đây gọi là "Công ty") coi trọng dữ liệu cá nhân của Người dùng và xử lý dữ liệu cá nhân tuân thủ các pháp luật liên quan như Luật số 91/2025/QH15 (Luật Bảo vệ dữ liệu cá nhân) của Việt Nam và Nghị định hướng dẫn thi hành (Nghị định số 356/2025/NĐ-CP), Nghị định số 147/2024/NĐ-CP (quản lý dịch vụ Internet), Nghị định số 53/2022/NĐ-CP (Nghị định hướng dẫn thi hành Luật An ninh mạng) v.v.
1. Các hạng mục dữ liệu cá nhân được xử lý
Công ty xử lý dữ liệu cá nhân ở mức tối thiểu cần thiết cho việc cung cấp Dịch vụ như sau.
1.1 Thông tin do Người dùng trực tiếp cung cấp
| Phân loại | Hạng mục | Mục đích xử lý |
|---|---|---|
| Tài khoản (bắt buộc) | Email hoặc mã định danh đăng nhập mạng xã hội (Facebook/Apple), biệt danh, mật khẩu (khi đăng ký bằng email) | Định danh, xác thực, đăng nhập thành viên |
| Xác thực số điện thoại (bắt buộc) | Số điện thoại di động | Xác minh danh tính, cấp tư cách đăng bài (Nghị định 147), ngăn chặn đăng ký trùng lặp |
| Xác thực trường học (bắt buộc) | Trường thành viên, địa chỉ email trường học hoặc hình ảnh thẻ sinh viên, năm nhập học (mã sinh viên) | Xác nhận tình trạng sinh viên đang theo học, cấp quyền truy cập cộng đồng |
| Hồ sơ (tùy chọn) | Các giá trị cài đặt liên quan đến hồ sơ, cài đặt ngôn ngữ | Cá nhân hóa Dịch vụ |
1.2 Thông tin được tạo, thu thập trong quá trình sử dụng Dịch vụ
| Phân loại | Hạng mục | Mục đích xử lý |
|---|---|---|
| Nội dung do người dùng tạo | Bài viết, bình luận, hình ảnh, hashtag, đồng cảm, lưu lại, dữ liệu thời khóa biểu, dữ liệu môn học, lịch sử báo cáo, chặn | Cung cấp chức năng Dịch vụ |
| Nhật ký truy cập (lưu giữ theo luật) | Địa chỉ IP, thời điểm truy cập, dấu vân tay thiết bị (device fingerprint) — chỉ giới hạn ở sự kiện đăng ký, đăng nhập, đăng bài, bình luận, xác thực | Nghĩa vụ lưu giữ theo pháp luật (Nghị định 53), ngăn chặn sử dụng gian lận |
| Thông tin thiết bị, kỹ thuật | Mã định danh thiết bị, phiên bản HĐH/ứng dụng, token thông báo đẩy | Gửi thông báo, tính tương thích, chẩn đoán lỗi |
| Thông tin phân tích | Thống kê sử dụng Dịch vụ, nhật ký lỗi | Cải thiện Dịch vụ, tính ổn định |
1.3 Quy định đặc biệt về dữ liệu nhạy cảm và trẻ em
- Về nguyên tắc, Công ty không thu thập dữ liệu nhạy cảm theo Luật Bảo vệ dữ liệu cá nhân. Hình ảnh thẻ sinh viên được nộp để xác thực trường học chỉ được xử lý cho mục đích thẩm định và sẽ bị hủy theo thời hạn lưu giữ tại mục 3 dưới đây.
- Dịch vụ chỉ cho phép người từ đủ 16 tuổi trở lên đăng ký và sử dụng. Công ty không cố ý thu thập dữ liệu cá nhân của trẻ em dưới 16 tuổi; trong trường hợp được xác nhận là dưới 16 tuổi, Công ty hạn chế tài khoản đó và hủy dữ liệu cá nhân không chậm trễ. (Vì Luật Bảo vệ dữ liệu cá nhân của Việt Nam coi thông tin của trẻ em dưới 16 tuổi là dữ liệu nhạy cảm và yêu cầu sự đồng ý của người giám hộ, Công ty tuân thủ điều này bằng cách loại trẻ em khỏi đối tượng Dịch vụ.)
2. Mục đích và cơ sở pháp lý của việc xử lý dữ liệu cá nhân
Công ty xử lý dữ liệu cá nhân theo các mục đích và cơ sở pháp lý sau. Dữ liệu cá nhân chỉ được xử lý trong phạm vi mục đích đã nêu rõ.
| Mục đích xử lý | Các hạng mục chính được xử lý | Cơ sở pháp lý |
|---|---|---|
| Đăng ký thành viên, xác minh danh tính, cung cấp Dịch vụ | Thông tin tài khoản, số điện thoại, xác thực trường học | Sự đồng ý của Người dùng, thực hiện hợp đồng sử dụng |
| Xác minh danh tính để cấp tư cách đăng bài | Số điện thoại (hash), thông tin định danh | Nghĩa vụ theo pháp luật (Nghị định 147/2024) |
| Lưu giữ nhật ký truy cập theo luật | IP, nhật ký truy cập, dấu vân tay thiết bị | Nghĩa vụ theo pháp luật (Nghị định 53/2022) |
| Vận hành cộng đồng, bảo đảm an toàn, ngăn chặn sử dụng gian lận | UGC, lịch sử báo cáo, chặn, chế tài | Sự đồng ý của Người dùng, nhu cầu vận hành chính đáng, nghĩa vụ theo pháp luật |
| Gửi thông báo (phản ứng với bài viết của tôi v.v.) | Token thông báo đẩy, cài đặt thông báo | Sự đồng ý của Người dùng |
| Cải thiện Dịch vụ, xử lý lỗi | Nhật ký phân tích, lỗi, thông tin thiết bị | Sự đồng ý của Người dùng, nhu cầu vận hành chính đáng |
| Ứng phó tranh chấp pháp lý, thực hiện yêu cầu của cơ quan có thẩm quyền | Các bản ghi liên quan | Nghĩa vụ theo pháp luật, thực hiện và bảo vệ quyền khởi kiện pháp lý |
3. Lưu giữ và hủy dữ liệu cá nhân
Khi mục đích xử lý dữ liệu cá nhân đã đạt được, Công ty hủy dữ liệu cá nhân đó không chậm trễ. Tuy nhiên, trong trường hợp cần lưu giữ theo pháp luật, Công ty lưu giữ trong thời hạn dưới đây.
Dữ liệu Thời hạn lưu giữ Căn cứ Thông tin tài khoản và hồ sơ Cho đến khi hủy tài khoản (hủy sau thời hạn chờ 15 ngày khi rời khỏi dịch vụ) Hợp đồng sử dụng Hình ảnh thẻ sinh viên dùng để thẩm định Hủy trong vòng 90 ngày sau khi hoàn tất thẩm định Nguyên tắc thu thập, lưu giữ tối thiểu Nhật ký truy cập (sự kiện đăng ký, đăng nhập, đăng bài, bình luận, xác thực + IP) Tự động hủy sau 24 tháng Nghị định 53/2022 Thông tin định danh (bản gốc số điện thoại v.v.) Hủy khi rời khỏi dịch vụ (tuy nhiên liên kết với nhật ký truy cập nêu trên bị cắt bằng phi định danh hóa) Nghị định 147/2024 Xử lý khi rời khỏi dịch vụ: Khi Người dùng đăng ký hủy tài khoản, Công ty xử lý phi định danh hồ sơ không chậm trễ và hủy dữ liệu cá nhân (bao gồm thông tin định danh) sau khi hết thời hạn chờ 15 ngày. Tuy nhiên, nhật ký truy cập có nghĩa vụ lưu giữ 24 tháng theo pháp luật sẽ được duy trì ở trạng thái phi định danh không thể xác định Người dùng rồi tự động hủy.
Phương thức hủy: Tệp điện tử được xóa bằng phương pháp không thể khôi phục, tái tạo; bản in v.v. được nghiền nát hoặc thiêu hủy.
4. Biện pháp bảo đảm an toàn dữ liệu cá nhân (lưu trữ tách biệt thông tin định danh)
Công ty thực hiện các biện pháp sau để bảo đảm an toàn dữ liệu cá nhân. Đặc biệt, để bảo vệ sự tin cậy của cộng đồng ẩn danh, Công ty cách ly nghiêm ngặt thông tin định danh.
- Lưu trữ tách biệt vật lý 3 lớp
- ① Cơ sở dữ liệu Dịch vụ: Lưu trữ dữ liệu chức năng nhưng không lưu bản gốc của thông tin định danh như số điện thoại. Số điện thoại chỉ được lưu dưới dạng giá trị hash không thể đảo ngược (HMAC).
- ② Kho lưu trữ thông tin định danh (thực thể riêng, quyền truy cập riêng): Thông tin định danh như bản gốc số điện thoại được mã hóa theo từng trường (mã hóa phong bì bằng KMS) và lưu ở kho lưu trữ riêng. Không thể truy vấn từ đường dẫn mã thông thường; việc truy cập chỉ giới hạn trong trường hợp có yêu cầu hợp pháp của chính phủ hoặc lý do như khôi phục tài khoản đã được nêu rõ và có căn cứ phê duyệt, và mọi truy cập đều được ghi nhật ký kiểm toán.
- ③ Nhật ký lưu giữ theo luật (chỉ ghi thêm, chuyên dụng, không thể sửa đổi): Nhật ký truy cập được lưu giữ theo dạng chỉ ghi thêm (append-only) trong 24 tháng rồi tự động hủy.
- Mã hóa: Thông tin định danh được mã hóa khi lưu trữ, và đường truyền được mã hóa bằng TLS.
- Kiểm soát truy cập: Quyền truy cập vào hệ thống xử lý dữ liệu cá nhân được cấp và quản lý ở mức tối thiểu, và nhật ký truy cập được lưu giữ.
- Ghi nhận các biện pháp của người vận hành: Mọi biện pháp của người vận hành (ẩn tạm thời, xóa nội dung, chế tài v.v.) đều được ghi nhật ký kiểm toán kèm theo người thực hiện, thời điểm, lý do và ảnh chụp nhanh bản gốc.
5. Cung cấp dữ liệu cá nhân cho bên thứ ba
- Về nguyên tắc, Công ty không cung cấp dữ liệu cá nhân của Người dùng cho bên thứ ba.
- Tuy nhiên, các trường hợp sau là ngoại lệ.
- Trường hợp Người dùng đã đồng ý trước
- Trường hợp pháp luật có quy định đặc biệt, hoặc cơ quan có thẩm quyền (Bộ Công an v.v.) yêu cầu hợp pháp theo trình tự và phương thức mà pháp luật quy định (theo Nghị định 147/2024 có thể yêu cầu ứng phó trong vòng 24 giờ kể từ khi tiếp nhận yêu cầu)
- Ngay cả khi cung cấp cho cơ quan có thẩm quyền, Công ty vẫn ghi lại hạng mục cung cấp, căn cứ và thời điểm.
6. Ủy thác xử lý dữ liệu cá nhân (bên nhận ủy thác)
Công ty có thể ủy thác một phần công việc xử lý dữ liệu cá nhân cho các đơn vị chuyên môn bên ngoài để cung cấp Dịch vụ thông suốt. Khi ủy thác, Công ty điều chỉnh bằng hợp đồng để dữ liệu cá nhân được quản lý an toàn. Các công việc ủy thác chính như sau.
| Công việc ủy thác | Bên nhận ủy thác (ví dụ) | Hạng mục xử lý |
|---|---|---|
| Hạ tầng đám mây, lưu trữ dữ liệu | Amazon Web Services, Inc. (AWS) | Dữ liệu toàn bộ Dịch vụ |
| Gửi mã xác thực SMS | AWS End User Messaging (SMS) | Số điện thoại |
| Gửi email | Amazon SES | Địa chỉ email |
| Gửi thông báo đẩy | Expo (Expo Push Notifications) | Token thông báo đẩy |
| Giám sát lỗi, hiệu năng | Amazon CloudWatch | Nhật ký lỗi, thông tin thiết bị |
Danh sách bên nhận ủy thác thực tế sẽ được xác định và công bố tại thời điểm Dịch vụ ra mắt, và khi thay đổi sẽ được thông báo qua Chính sách này.
7. Chuyển dữ liệu cá nhân ra nước ngoài
- Hạ tầng ban đầu của Dịch vụ có thể đặt tại Singapore (ap-southeast-1) (ví dụ: Singapore), nên dữ liệu cá nhân của Người dùng có thể được chuyển ra ngoài lãnh thổ Việt Nam để xử lý.
- Khi chuyển ra nước ngoài, Công ty tuân thủ các yêu cầu mà Luật Bảo vệ dữ liệu cá nhân và Nghị định số 53/2022/NĐ-CP quy định (đánh giá tác động chuyển ra nước ngoài, trình tự lưu giữ, chuyển trong nước khi cần thiết v.v.).
- Công ty có thể chuyển vị trí lưu trữ dữ liệu về trong lãnh thổ Việt Nam theo sự phát triển của Dịch vụ và yêu cầu của pháp luật, và các thay đổi liên quan sẽ được thông báo qua Chính sách này.
8. Quyền của Người dùng (chủ thể dữ liệu)
Người dùng có các quyền sau đối với dữ liệu cá nhân của mình theo Luật Bảo vệ dữ liệu cá nhân. Công ty thực hiện yêu cầu trong thời hạn xử lý dưới đây.
| Quyền | Nội dung | Thời hạn xử lý |
|---|---|---|
| Yêu cầu truy cập, cung cấp thông tin | Yêu cầu truy cập, bản sao dữ liệu cá nhân đang được xử lý | 10 ngày (15 ngày nếu cần sự phối hợp của bên thứ ba) |
| Yêu cầu chỉnh sửa | Chỉnh sửa dữ liệu cá nhân không chính xác | 10 ngày (15 ngày nếu cần sự phối hợp của bên thứ ba) |
| Rút lại sự đồng ý, hạn chế xử lý, phản đối | Rút lại việc xử lý dựa trên sự đồng ý, hạn chế, phản đối đối với việc xử lý cụ thể | 15 ngày (20 ngày nếu cần sự phối hợp của bên thứ ba) |
| Yêu cầu xóa | Yêu cầu xóa dữ liệu cá nhân | 20 ngày (30 ngày nếu cần sự phối hợp của bên thứ ba) |
- Người dùng có thể thực hiện các quyền trên thông qua menu Cài đặt trong Dịch vụ hoặc thông tin liên hệ dưới đây.
- Hiệu lực của việc rút lại sự đồng ý chỉ áp dụng đối với việc xử lý sau khi rút lại và không ảnh hưởng đến việc xử lý đã được thực hiện trước khi rút lại.
- Trong trường hợp việc thực hiện quyền xung đột với nghĩa vụ lưu giữ theo pháp luật (ví dụ: nhật ký truy cập 24 tháng), Công ty thông báo lý do đó cho Người dùng và có thể trì hoãn việc xóa trong phạm vi có nghĩa vụ lưu giữ.
- Người dùng có quyền khiếu nại với cơ quan giám sát có thẩm quyền đối với việc xử lý của Công ty.
9. Thiết bị tự động thu thập dữ liệu cá nhân và cookie
- Ứng dụng di động có thể thu thập mã định danh thiết bị, nhật ký sử dụng ứng dụng v.v. để cung cấp và phân tích Dịch vụ.
- Người dùng có thể kiểm soát một phần việc thu thập như khởi tạo lại mã định danh quảng cáo thông qua cài đặt thiết bị.
- Về nguyên tắc, Công ty không sử dụng theo dõi quảng cáo của bên thứ ba nhằm mục đích theo dõi Người dùng, và khi áp dụng sẽ nhận sự đồng ý riêng.
10. Thông báo khi xảy ra sự cố rò rỉ dữ liệu cá nhân
Theo Luật Bảo vệ dữ liệu cá nhân, khi xảy ra sự cố xâm phạm dữ liệu cá nhân và nhận biết được điều đó, Công ty thông báo cho cơ quan giám sát có thẩm quyền trong vòng 72 giờ kể từ thời điểm nhận biết, và thông báo cho cả Người dùng bị ảnh hưởng trong trường hợp pháp luật quy định.
11. Người phụ trách bảo vệ dữ liệu cá nhân và thông tin liên hệ
Các thắc mắc về việc xử lý dữ liệu cá nhân, yêu cầu thực hiện quyền, xử lý khiếu nại có thể liên hệ theo địa chỉ dưới đây.
- Đơn vị vận hành: YourCampus (Đại diện: Kim Min Seong)
- Người phụ trách bảo vệ dữ liệu cá nhân (DPO): Kim Min Seong
- Email: yourcampus.cto@gmail.com
12. Thay đổi Chính sách
Chính sách này có thể được sửa đổi theo sự thay đổi của pháp luật và Dịch vụ. Khi sửa đổi, Công ty thông báo ngày có hiệu lực và nội dung thay đổi qua thông báo trong ứng dụng hoặc thông báo, và trong trường hợp thay đổi trọng yếu có thể yêu cầu đồng ý lại. Phiên bản trước được lưu giữ để có thể xem lại khi có yêu cầu.
Tài liệu này là bản dự thảo và sẽ được hoàn thiện sau khi có sự thẩm định của luật sư địa phương (Luật Bảo vệ dữ liệu cá nhân, Luật An ninh mạng của Việt Nam) trước khi Dịch vụ chính thức ra mắt.