Hướng dẫn xoá dữ liệu người dùng
HMV Chatbot AI tôn trọng quyền riêng tư của bạn theo Nghị định 13/2023/NĐ-CP (PDPA Việt Nam) và yêu cầu của các nền tảng tích hợp (Facebook, Zalo, Google). Trang này hướng dẫn bạn cách yêu cầu xoá dữ liệu cá nhân khỏi hệ thống.
Quan trọng: Chúng tôi xử lý dữ liệu người dùng cuối thay mặt cho các doanh nghiệp (Tenant) sử dụng nền tảng. Nếu bạn là người dùng cuối tương tác với chatbot của một thương hiệu, dữ liệu của bạn thuộc quyền kiểm soát của Tenant đó — chúng tôi sẽ chuyển yêu cầu đến họ và phối hợp xoá.
1. Bạn là ai?
Chọn nhóm phù hợp để xem hướng dẫn:
| Vai trò | Mô tả | Cách yêu cầu xoá |
|---|---|---|
| Người dùng cuối | Bạn nhắn tin với chatbot qua Facebook Messenger, Zalo OA, Web widget của một doanh nghiệp. | → Mục 2 |
| Tenant Admin | Bạn đăng ký tài khoản doanh nghiệp trên HMV Chatbot AI. | → Mục 3 |
| Người dùng đăng nhập Facebook | Bạn đã đăng nhập Facebook để cấp quyền page cho doanh nghiệp. | → Mục 4 |
2. Người dùng cuối — nhắn tin với chatbot
2.1 Dữ liệu nào của bạn đang được lưu?
- ID người dùng do Facebook/Zalo cấp cho riêng từng OA (PSID/UID — không phải số điện thoại hay email thực)
- Tên hiển thị + ảnh đại diện công khai (lấy qua Graph API)
- Lịch sử tin nhắn bạn đã gửi/nhận với chatbot
- Email, số điện thoại nếu bạn TỰ NHẬP trong hội thoại (lead form)
2.2 Cách yêu cầu xoá
Cách 1 (nhanh nhất): Xoá hội thoại trong Messenger/Zalo
Mở cuộc trò chuyện với Page → bấm "Xoá đoạn chat" (Delete Conversation). Tin nhắn ở phía bạn sẽ biến mất — và tự động không xuất hiện trong các phân tích mới của chúng tôi.
Lưu ý: Lịch sử trên server vẫn tồn tại đến khi bạn yêu cầu xoá hoàn toàn (xem Cách 2).
Cách 2: Gửi email yêu cầu xoá
Gửi email đến chúng tôi với các thông tin sau:
Subject: Yêu cầu xoá dữ liệu — End User
- Tên Page bạn đã nhắn tin (vd: "MathCare - Đồng hành học Toán")
- Tên hiển thị Facebook/Zalo của bạn
- User ID hoặc link profile (nếu có)
- Lý do (tùy chọn)
Chúng tôi sẽ:
- Xác minh danh tính (gửi confirm về email/Messenger để chống mạo danh)
- Chuyển yêu cầu đến Tenant (chủ Page)
- Tiến hành xoá trong vòng 30 ngày kể từ khi xác minh thành công
- Gửi email xác nhận hoàn tất
3. Tenant Admin — chủ tài khoản doanh nghiệp
3.1 Tự xoá tài khoản trong app
- Đăng nhập tại /login
- Vào Cài đặt → Hệ thống → Vùng nguy hiểm
- Bấm "Xoá tài khoản" → nhập mật khẩu xác nhận
- Hệ thống đặt cờ
scheduled_for_deletion+ email xác nhận - Sau 30 ngày grace period (cho phép undo), dữ liệu sẽ bị anonymize/xoá hoàn toàn
3.2 Dữ liệu được xoá
- Tài khoản admin (email, tên, mật khẩu hash)
- Schema Postgres riêng của Tenant (tin nhắn, KB, hội thoại, leads, settings)
- Token tích hợp đã encrypt (FB, Zalo, Email SMTP)
- File tải lên (KB documents)
3.3 Dữ liệu được giữ lại theo luật
- Hoá đơn VAT — 5 năm theo luật kế toán Việt Nam
- Audit log đăng nhập đã anonymize — 90 ngày
4. Người dùng đã cấp quyền Facebook qua "Đăng nhập bằng Facebook"
Khi anh/chị (là Tenant Admin) đăng nhập Facebook và chấp thuận cho hệ thống quản lý các Facebook Page, chúng tôi nhận và lưu các dữ liệu sau từ tài khoản FB:
- ID Facebook (User ID — chỉ dùng để xác thực phiên OAuth)
- Page Access Token (mã hoá AES-256-GCM, lưu vào schema Tenant)
- Tên + ảnh đại diện các Page bạn quản lý (cho UI hiển thị)
- ID các Page đã chọn kết nối
4.1 Cách thu hồi quyền + xoá token
Bước 1: Disconnect trong app
- Đăng nhập tại /login
- Vào Cài đặt → Tích hợp → Pages đã kết nối
- Bấm vào page muốn ngắt → tab Vùng nguy hiểm → "Ngắt kết nối"
- Token sẽ bị xoá khỏi DB ngay lập tức
Bước 2: Thu hồi quyền trên Facebook
- Vào Facebook Settings → Business Integrations
- Tìm app HMV Chatbot AI hoặc HMV App
- Bấm "Remove" để thu hồi mọi permission
4.2 Yêu cầu xoá toàn bộ liên kết Facebook
Nếu muốn xoá hoàn toàn mọi dữ liệu liên quan đến tài khoản Facebook của bạn:
Subject: Yêu cầu xoá dữ liệu — Facebook Login
- Email tài khoản Tenant bạn đăng ký
- Tên Facebook bạn đã dùng đăng nhập
- Danh sách Page đã kết nối (nếu nhớ)
Chúng tôi sẽ xoá Facebook User ID, mọi Page Access Token, và records liên quan trong vòng 30 ngày.
5. Tóm tắt thời gian xoá
| Loại dữ liệu | Thời gian xử lý |
|---|---|
| Token tích hợp (FB/Zalo) khi disconnect | Ngay lập tức |
| Tài khoản Tenant (sau khi self-delete) | 30 ngày grace period → xoá vĩnh viễn |
| End-user data (yêu cầu qua email) | 30 ngày kể từ khi xác minh danh tính |
| Backup database | Tối đa 90 ngày — sau đó tự động xoá |
| Audit log đăng nhập | 90 ngày auto-prune |
| Hoá đơn VAT | 5 năm (luật kế toán) |
6. Liên hệ DPO (Data Protection Officer)
- Email DPO: privacy@hmvapp.com
- Email pháp lý: legal@hmvapp.com
- Email hỗ trợ chung: support@hmvapp.com
- Hotline: +84 24 5678 9012 (giờ hành chính, GMT+7)
- Địa chỉ: N&D EDU GROUP, Hà Nội, Việt Nam
Nếu không hài lòng với cách xử lý yêu cầu xoá, bạn có quyền khiếu nại đến Cục An toàn Thông tin (Bộ Thông tin và Truyền thông) theo Nghị định 13/2023/NĐ-CP.
Xem thêm: Chính sách bảo mật · Điều khoản dịch vụ