Chính sách Bảo mật & Quyền riêng tư

1. Giới thiệu & Phạm vi

Chào mừng bạn đến với Luyện AI (luyenai.vn) — nền tảng đào tạo và luyện tập AI cá nhân hóa. Chính sách này mô tả cách Luyện AI thu thập, sử dụng, lưu trữ, bảo vệ và xử lý dữ liệu cá nhân của bạn.

Bằng việc sử dụng dịch vụ, bạn xác nhận đã đọc, hiểu và đồng ý với các điều khoản trong chính sách này. Nếu bạn không đồng ý, bạn có toàn quyền từ chối tham gia mà không chịu bất kỳ hệ quả tiêu cực nào.

Phạm vi áp dụng: Chính sách này áp dụng cho tất cả người dùng — bao gồm học viên cá nhân, đối tác doanh nghiệp (tổ chức đăng ký dịch vụ cho nhân sự), và người quản trị lớp học — trên mọi thiết bị và kênh truy cập liên quan đến nền tảng Luyện AI.

2. Nguyên tắc xử lý dữ liệu

Luyện AI tham chiếu tinh thần các khung bảo vệ dữ liệu quốc tế — bao gồm GDPR (EU), CCPA (California) và Luật An ninh mạng Việt Nam — làm kim chỉ nam cho việc xử lý dữ liệu. Các nguyên tắc cốt lõi:

Tối thiểu hóa dữ liệu: Chỉ thu thập dữ liệu thực sự cần thiết cho mục đích phục vụ học tập.
Giới hạn mục đích: Dữ liệu chỉ được sử dụng đúng mục đích đã công bố trong chính sách này.
Minh bạch: Người dùng được thông báo rõ ràng về những gì được thu thập, cách sử dụng và quyền kiểm soát.
Bảo mật theo thiết kế: Các biện pháp bảo mật kỹ thuật và tổ chức được tích hợp vào quy trình phát triển hệ thống.
Quyền tự quyết: Người dùng có quyền kiểm soát dữ liệu của mình, bao gồm quyền truy cập, xuất, và yêu cầu xóa.

Lưu ý: Luyện AI hiện chưa có chứng nhận ISO 27001 hay kiểm toán bảo mật độc lập. Các nguyên tắc trên phản ánh cam kết vận hành thực tế, không phải tuyên bố tuân thủ chính thức một tiêu chuẩn cụ thể nào.

3. Phân lớp dữ liệu

Luyện AI xử lý nhiều loại dữ liệu khác nhau. Mỗi lớp có mức độ riêng tư, phạm vi truy cập và thời hạn lưu giữ khác nhau. Dưới đây là phân lớp chi tiết:

Lớp dữ liệu	Nội dung	Mức riêng tư
A. Dữ liệu tài khoản	Họ tên, email liên lạc, tài khoản Facebook (nếu có)	Riêng tư — chỉ người dùng và quản trị viên được phân quyền
B. Dữ liệu học tập trên nền tảng	Điểm số, xếp hạng, tiến độ, lịch sử bài luyện tập, nhận xét tổng hợp từ Thầy AI	Riêng tư — người dùng tự xem; quản trị lớp xem theo phạm vi được giao
C. Dữ liệu bài viết / tự luận trên cộng đồng	Bài tự luận, bình luận, chia sẻ trên nhóm Facebook hoặc forum học tập	Bán công khai — hiển thị cho thành viên cộng đồng cùng lớp/nhóm
D. Dữ liệu phát sinh từ tương tác với Thầy AI	Nội dung hội thoại, prompt và phản hồi trong phiên chat với Thầy AI	Xem mục 3.1 bên dưới
E. Dữ liệu quản trị lớp học	Danh sách học viên, bảng xếp hạng tổng hợp, thống kê tiến độ lớp	Hạn chế — chỉ người quản trị được phân quyền bởi Luyện AI hoặc đối tác
F. Dữ liệu vận hành hệ thống	Log truy cập, log lỗi, metadata kỹ thuật phục vụ an ninh và vận hành	Nội bộ — chỉ đội ngũ kỹ thuật Luyện AI

3.1. Về dữ liệu tương tác với Thầy AI (Lớp D)

Thầy AI của Luyện AI được xây dựng trên nền tảng ChatGPT (OpenAI). Khi bạn trò chuyện với Thầy AI:

Luyện AI không chủ động lưu transcript đầy đủ của phiên hội thoại trên hệ thống của mình.
Luyện AI có thể lưu các dữ liệu phái sinh cần thiết, bao gồm: điểm số, nhận xét tổng hợp về chất lượng buổi trao đổi, trạng thái buổi học, và log kỹ thuật phục vụ vận hành và an ninh hệ thống.
OpenAI xử lý nội dung hội thoại theo chính sách bảo mật riêng của OpenAI. Luyện AI không kiểm soát cách OpenAI xử lý dữ liệu sau khi nội dung được gửi đi.

3.2. Về dữ liệu trên cộng đồng (Lớp C)

Lưu ý quan trọng: Bài tự luận, bình luận và nội dung bạn chia sẻ trên nhóm Facebook hoặc forum cộng đồng là bán công khai — các thành viên khác trong cùng nhóm/lớp có thể đọc được. Dữ liệu này không còn mang tính riêng tư theo cùng nghĩa với dữ liệu lưu trong hệ thống nội bộ. Khi đăng bài trên cộng đồng, bạn chấp nhận rằng nội dung đó có thể được các thành viên khác xem, bình luận, và được Thầy AI phân tích để hướng dẫn cá nhân hóa (nếu bạn đã cấp quyền).

3.3. Yêu cầu về tài khoản ChatGPT

Để trao đổi với Thầy AI, học viên cần có tài khoản ChatGPT đã đăng ký. Tuy nhiên, Luyện AI không thu thập, lưu trữ hay quản lý tài khoản ChatGPT (bao gồm email đăng ký ChatGPT) của học viên. Học viên tự trang bị và tự quản trị tài khoản ChatGPT của mình. Dữ liệu liên quan đến tài khoản ChatGPT thuộc về OpenAI và được điều chỉnh bởi chính sách bảo mật của OpenAI.

3.4. Dữ liệu chúng tôi không chủ động thu thập

Email hoặc thông tin tài khoản ChatGPT của học viên
Dữ liệu vị trí địa lý
Dữ liệu sinh trắc học
Thông tin thẻ tín dụng hoặc tài khoản ngân hàng (không lưu trên hệ thống Luyện AI)

4. Mục đích sử dụng theo từng lớp

Lớp dữ liệu	Mục đích sử dụng
A. Tài khoản	Định danh học viên, liên lạc, quản trị lớp học.
B. Học tập	Cá nhân hóa lộ trình dựa trên lịch sử học tập; chấm điểm, xếp hạng, đánh giá kiến thức; theo dõi tiến bộ.
C. Cộng đồng	Hiển thị bài viết cho thành viên cùng lớp/nhóm; đồng bộ với Thầy AI để hướng dẫn cá nhân hóa (khi học viên cấp quyền).
D. Tương tác AI	Ghi nhận điểm số và nhận xét tổng hợp; không lưu transcript đầy đủ trên hệ thống Luyện AI.
E. Quản trị lớp	Cho phép người quản trị theo dõi danh sách, tiến độ và kết quả học tập tổng thể trong phạm vi được giao.
F. Vận hành	Đảm bảo an ninh hệ thống, xử lý sự cố kỹ thuật, ngăn chặn truy cập trái phép.

Luyện AI không sử dụng dữ liệu cá nhân cho mục đích quảng cáo, tiếp thị cho bên thứ ba, hoặc mua bán dữ liệu.

5. Cơ sở pháp lý

Việc xử lý dữ liệu dựa trên các cơ sở sau:

Sự đồng ý: Khi đăng ký, học viên xác nhận đã đọc và đồng ý với chính sách này. Học viên có quyền rút lại sự đồng ý bất cứ lúc nào.
Thực hiện hợp đồng: Xử lý dữ liệu cần thiết để cung cấp dịch vụ đào tạo và luyện tập AI theo cam kết với người dùng hoặc đối tác.
Lợi ích hợp pháp: Cải thiện chất lượng dịch vụ dựa trên dữ liệu tổng hợp đã ẩn danh; đảm bảo an ninh hệ thống.
Tuân thủ pháp luật: Khi có yêu cầu từ cơ quan có thẩm quyền theo quy định pháp luật Việt Nam.

6. Hạ tầng lưu trữ & Biện pháp bảo mật

6.1. Hạ tầng

Hệ thống Luyện AI được triển khai trên máy chủ riêng (dedicated server), do Luyện AI trực tiếp quản trị.
Dữ liệu luyện tập và thông tin học viên được lưu trữ trên máy chủ này.

6.2. Biện pháp kỹ thuật

Mã hóa khi lưu trữ (encryption at rest): Dữ liệu học viên được mã hóa khi lưu trữ, giảm thiểu rủi ro trong trường hợp truy cập vật lý trái phép.
Mã hóa truyền tải (encryption in transit): Kết nối sử dụng giao thức HTTPS/TLS.
Ẩn danh hóa: Các trường ID có khả năng nhận dạng cá nhân được xóa hoặc ẩn danh trước khi hiển thị trong phiên tương tác với Thầy AI.
Phân quyền truy cập: Áp dụng nguyên tắc quyền tối thiểu (least privilege) — chỉ nhân sự được ủy quyền cụ thể mới có quyền truy cập hệ thống quản trị.

6.3. Biện pháp tổ chức

Đội ngũ vận hành được hướng dẫn về bảo mật thông tin.
Đánh giá và cập nhật biện pháp bảo mật định kỳ theo khả năng nguồn lực.

Giới hạn thực tế: Không có hệ thống nào có thể đảm bảo an ninh tuyệt đối. Luyện AI triển khai các biện pháp kỹ thuật và tổ chức phù hợp với quy mô và nguồn lực hiện có, và liên tục nỗ lực cải thiện.

7. Access Token cá nhân

Mỗi học viên được cấp một access token cá nhân để kết nối với Thầy AI và truy cập dữ liệu học tập cá nhân hóa. Dưới đây là các thông tin chi tiết:

Thuộc tính	Mô tả
Mục đích	Xác thực khi gọi API cá nhân hóa học tập; cấp quyền cho Thầy AI đọc dữ liệu học tập cá nhân để tư vấn.
Phạm vi quyền	Token chỉ cấp quyền truy cập dữ liệu học tập của chính học viên đó — không cấp quyền truy cập dữ liệu hệ thống hay dữ liệu của học viên khác.
Ai quản lý	Học viên tự quản trị token của mình. Luyện AI cũng có thể hỗ trợ cấp lại hoặc vô hiệu hóa khi có yêu cầu.
Thu hồi / Vô hiệu hóa	Học viên có thể yêu cầu vô hiệu hóa token cũ và cấp token mới bất cứ lúc nào.
Khi bị lộ token	Học viên nên liên hệ Luyện AI ngay để vô hiệu hóa token bị lộ và được cấp token mới. Luyện AI sẽ hỗ trợ xử lý trong thời gian sớm nhất.

Lưu ý quan trọng: Ngoài access token cá nhân, nhân sự kỹ thuật và quản trị hệ thống của Luyện AI có thể truy cập dữ liệu trong các tình huống vận hành cần thiết (xử lý sự cố, hỗ trợ kỹ thuật, đảm bảo an ninh). Việc truy cập này được hạn chế theo nguyên tắc quyền tối thiểu và chỉ nhằm mục đích duy trì hoạt động hệ thống.

8. Chia sẻ dữ liệu & Nhà cung cấp dịch vụ

Cam kết cốt lõi

Luyện AI không bán dữ liệu cá nhân của người dùng.
Luyện AI không chia sẻ dữ liệu cá nhân cho bên thứ ba vì mục đích quảng cáo hoặc tiếp thị.

8.1. Nhà cung cấp dịch vụ (Data Processors)

Để vận hành hệ thống, Luyện AI sử dụng một số nhà cung cấp dịch vụ. Dữ liệu chỉ được chuyển giao hoặc cho phép xử lý bởi các bên này trong phạm vi cần thiết để cung cấp dịch vụ, dưới các điều kiện bảo mật phù hợp.

Nhà cung cấp / Loại dịch vụ	Dữ liệu liên quan	Mục đích
OpenAI (ChatGPT)	Nội dung hội thoại với Thầy AI	Xử lý ngôn ngữ tự nhiên, tạo phản hồi cho Thầy AI
Nền tảng cộng đồng (Facebook Groups hoặc forum riêng)	Bài viết, bình luận trên cộng đồng	Cộng đồng học tập, chia sẻ bài tự luận
Dịch vụ hạ tầng (hosting, email, CDN nếu có)	Metadata kỹ thuật, log truy cập	Vận hành hệ thống, gửi thông báo

Nếu trong tương lai Luyện AI bổ sung nhà cung cấp dịch vụ mới có xử lý dữ liệu cá nhân (như cổng thanh toán, analytics, đăng nhập mạng xã hội, chống spam), danh sách trên sẽ được cập nhật tương ứng.

8.2. Các trường hợp chia sẻ khác

Khi học viên chủ động đồng ý: Ví dụ, khi gửi access token cho Thầy AI để được tư vấn cá nhân hóa — Thầy AI chỉ truy cập dữ liệu cá nhân của chính học viên đó.
Quản trị lớp học: Người quản trị được phân quyền có thể xem danh sách học viên và bảng xếp hạng trong phạm vi lớp/nhóm mình quản lý (xem mục 10 để biết chi tiết phạm vi).
Yêu cầu pháp lý: Khi có yêu cầu hợp pháp từ cơ quan nhà nước có thẩm quyền theo quy định pháp luật.

9. Dữ liệu & Huấn luyện AI

Cam kết

Luyện AI không sở hữu dữ liệu luyện tập của học viên. Dữ liệu thuộc về cá nhân học viên.
Luyện AI không sử dụng dữ liệu luyện tập của học viên để huấn luyện bất kỳ mô hình AI nào do Luyện AI phát triển.

Lưu ý về OpenAI: Khi bạn tương tác với Thầy AI, nội dung hội thoại được gửi đến OpenAI. Cách OpenAI xử lý dữ liệu này (bao gồm việc có sử dụng để cải thiện mô hình hay không) được điều chỉnh bởi chính sách bảo mật của OpenAI và các thiết lập API mà Luyện AI đang sử dụng. Luyện AI sử dụng API với các thiết lập hạn chế việc sử dụng dữ liệu cho mục đích huấn luyện khi có thể, nhưng không kiểm soát hoàn toàn chính sách phía OpenAI.

Học viên có quyền từ chối tham gia bất cứ lúc nào nếu có quan ngại về vấn đề bảo mật dữ liệu.

10. Vai trò: Luyện AI, Đối tác, Quản trị lớp

Luyện AI có mô hình triển khai linh hoạt — phục vụ cả học viên cá nhân và tổ chức. Việc phân rõ vai trò giúp bạn hiểu ai có quyền truy cập dữ liệu nào:

10.1. Luyện AI (Bên kiểm soát dữ liệu — Data Controller)

Quyết định mục đích và cách thức xử lý dữ liệu trên nền tảng.
Chịu trách nhiệm về bảo mật hệ thống và tuân thủ chính sách này.
Nhân sự kỹ thuật có thể truy cập dữ liệu hệ thống để vận hành, hỗ trợ kỹ thuật, và xử lý sự cố — theo nguyên tắc quyền tối thiểu.

10.2. Đối tác doanh nghiệp (Khi triển khai cho tổ chức)

Khi một tổ chức đăng ký dịch vụ Luyện AI cho nhân sự của mình:

Tổ chức đóng vai trò đồng kiểm soát dữ liệu (joint controller) với Luyện AI đối với dữ liệu tài khoản và dữ liệu quản trị lớp của nhân sự thuộc tổ chức đó.
Luyện AI đóng vai trò bên xử lý dữ liệu (data processor) theo chỉ thị của tổ chức đối với dữ liệu luyện tập cụ thể cho chương trình đào tạo của tổ chức.

10.3. Người quản trị lớp học

Người quản trị lớp (từ phía Luyện AI hoặc đối tác) có quyền truy cập:

Danh sách học viên trong lớp/nhóm mình quản lý.
Bảng xếp hạng và thống kê tiến độ tổng thể.
Kết quả học tập tổng hợp (điểm số, xếp hạng, tần suất luyện tập).

Quản trị lớp không có quyền truy cập nội dung hội thoại của học viên với Thầy AI, access token cá nhân, hoặc dữ liệu chi tiết ngoài phạm vi lớp được giao.

10.4. Khi nhân sự rời tổ chức

Khi một người quản trị không còn đảm nhiệm vai trò, quyền truy cập vào dữ liệu quản trị lớp sẽ được thu hồi. Đối tác doanh nghiệp chịu trách nhiệm thông báo cho Luyện AI khi có thay đổi nhân sự quản trị.

11. Quyền của người dùng

Tham chiếu các quyền trong các khung bảo vệ dữ liệu quốc tế, người dùng Luyện AI có các quyền sau:

11.1. Quyền truy cập

Bạn có quyền yêu cầu xem dữ liệu cá nhân mà Luyện AI đang lưu trữ về bạn.

11.2. Quyền xuất dữ liệu (Data Portability)

Bạn có quyền yêu cầu xuất dữ liệu học tập dưới dạng file có thể đọc được (ví dụ: Excel). Đối tác doanh nghiệp cũng có thể xuất dữ liệu tổng hợp của lớp mình quản lý.

11.3. Quyền xóa (Right to Erasure)

Bạn có quyền yêu cầu xóa dữ liệu cá nhân và tài khoản. Đối tác doanh nghiệp có thể yêu cầu xóa toàn bộ dữ liệu của nhân sự thuộc tổ chức mình (xem mục 12 về quy trình xóa chi tiết).

11.4. Quyền chỉnh sửa

Bạn có quyền yêu cầu chỉnh sửa thông tin cá nhân không chính xác hoặc không đầy đủ.

11.5. Quyền phản đối & Hạn chế xử lý

Bạn có quyền phản đối hoặc yêu cầu hạn chế việc xử lý dữ liệu trong các trường hợp cụ thể.

11.6. Quyền từ chối tham gia

Bạn có toàn quyền từ chối tham gia dịch vụ Luyện AI mà không chịu bất kỳ hệ quả tiêu cực nào.

11.7. Quyền rút lại sự đồng ý

Bạn có quyền rút lại sự đồng ý xử lý dữ liệu bất cứ lúc nào. Việc rút lại không ảnh hưởng đến tính hợp pháp của việc xử lý đã diễn ra trước đó.

Cách thực hiện quyền: Gửi yêu cầu qua email [email protected]. Luyện AI nỗ lực phản hồi trong vòng 30 ngày làm việc kể từ khi nhận được yêu cầu hợp lệ.

12. Thời hạn lưu giữ & Xóa dữ liệu

Luyện AI áp dụng thời hạn lưu giữ dữ liệu khác nhau cho từng lớp:

Lớp dữ liệu	Thời hạn lưu giữ
Tài khoản & Học tập	Trong suốt thời gian sử dụng dịch vụ. Khi có yêu cầu xóa, dữ liệu được xóa khỏi hệ thống vận hành trong vòng 30 ngày.
Bản sao lưu (backup)	Dữ liệu đã xóa có thể còn tồn tại trong bản sao lưu hệ thống tối đa 90 ngày sau khi xóa khỏi hệ thống vận hành, trước khi bản sao lưu được xoay vòng và ghi đè.
Tương tác AI	Transcript không được lưu trên hệ thống Luyện AI. Dữ liệu phái sinh (điểm số, nhận xét) được lưu cùng thời hạn với dữ liệu học tập.
Log vận hành	Log kỹ thuật được giữ tối đa 12 tháng phục vụ an ninh, sau đó tự động xóa hoặc ẩn danh.
Dữ liệu cần giữ vì nghĩa vụ pháp lý	Một số dữ liệu liên quan đến hợp đồng, kế toán hoặc yêu cầu pháp lý có thể được lưu giữ lâu hơn theo quy định. Dữ liệu này được cách ly và chỉ truy cập khi cần thiết.

12.1. Quy trình xóa khi có yêu cầu

Người dùng (hoặc đối tác doanh nghiệp) gửi yêu cầu qua email [email protected].
Luyện AI xác minh danh tính người yêu cầu.
Dữ liệu được xóa khỏi hệ thống vận hành trong vòng 30 ngày.
Bản sao lưu tự động ghi đè trong chu kỳ xoay vòng (tối đa 90 ngày).
Xác nhận hoàn tất được gửi cho người yêu cầu.

12.2. Dữ liệu ẩn danh

Trong một số trường hợp, thay vì xóa hẳn, dữ liệu có thể được ẩn danh hóa hoàn toàn (loại bỏ mọi thông tin nhận dạng cá nhân) và giữ lại dưới dạng thống kê tổng hợp để cải thiện dịch vụ. Dữ liệu đã ẩn danh không thể truy ngược về cá nhân.

13. Cookie & Công nghệ theo dõi

Luyện AI có thể sử dụng cookie và các công nghệ tương tự:

Cookie thiết yếu: Duy trì phiên đăng nhập, đảm bảo hoạt động cơ bản.
Cookie chức năng: Ghi nhớ tùy chọn cá nhân (ngôn ngữ, giao diện).
Cookie phân tích: Thu thập dữ liệu tổng hợp, ẩn danh về cách sử dụng nền tảng (nếu có).

Bạn có thể quản lý hoặc vô hiệu hóa cookie qua cài đặt trình duyệt. Việc vô hiệu hóa cookie thiết yếu có thể ảnh hưởng đến chức năng nền tảng.

14. Bảo vệ trẻ em

Luyện AI không cố ý thu thập dữ liệu cá nhân của trẻ em dưới 14 tuổi mà không có sự đồng ý của phụ huynh hoặc người giám hộ hợp pháp. Nếu phát hiện điều này, dữ liệu sẽ được xóa.

Với học viên từ 14 đến 18 tuổi, Luyện AI khuyến nghị phụ huynh đọc và hiểu chính sách này trước khi cho phép con em tham gia.

15. Xử lý sự cố bảo mật

Trong trường hợp xảy ra sự cố bảo mật dữ liệu, Luyện AI cam kết:

Thông báo sớm nhất có thể: Nỗ lực thông báo cho người dùng bị ảnh hưởng trong thời gian sớm nhất theo yêu cầu pháp luật áp dụng.
Đánh giá tác động: Xác định phạm vi, loại dữ liệu bị ảnh hưởng và mức độ rủi ro.
Khắc phục: Thực hiện ngay các biện pháp ngăn chặn, khắc phục và phòng ngừa.
Báo cáo: Thông báo cho cơ quan có thẩm quyền khi pháp luật yêu cầu.
Hỗ trợ: Hướng dẫn người dùng các bước tự bảo vệ.

16. Thay đổi chính sách

Luyện AI có thể cập nhật chính sách này để phản ánh thay đổi trong hoạt động, dịch vụ, hoặc yêu cầu pháp lý. Khi có thay đổi:

Ngày cập nhật sẽ được ghi rõ ở đầu trang.
Với các thay đổi quan trọng ảnh hưởng đến quyền lợi, người dùng sẽ được thông báo qua email hoặc trên nền tảng, và có thể được yêu cầu xác nhận đồng ý lại.

Khi Luyện AI mở rộng sang các module mới (chứng nhận cộng đồng, tuyển dụng, marketplace, v.v.), chính sách sẽ được bổ sung phần phụ lục tương ứng cho từng module, thay vì viết lại toàn bộ.

17. Liên hệ

Nếu bạn có câu hỏi, yêu cầu hoặc khiếu nại liên quan đến chính sách này hoặc cách chúng tôi xử lý dữ liệu của bạn:

Đơn vị	Luyện AI
Website	https://luyenai.vn
Email	[email protected]

Luyện AI nỗ lực phản hồi mọi yêu cầu liên quan đến bảo mật dữ liệu trong vòng 30 ngày làm việc.