Chính sách bảo mật
Ngày hiệu lực: 28 tháng 04 năm 2026 | Phiên bản: 1.2
Bản tiếng Anh (English version): Privacy Policy
Chính sách Bảo mật này mô tả cách ScapBot ("chúng tôi", “Nền tảng”) thu thập, sử dụng, lưu trữ, chia sẻ và bảo vệ dữ liệu cá nhân của bạn khi bạn sử dụng dịch vụ tại https://scapbot.vn.
Chính sách này được xây dựng tuân thủ Nghị định 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân, Luật Bảo vệ dữ liệu cá nhân 2025 (Số 91/2025/QH15), Luật An toàn thông tin mạng 2015, và Luật An ninh mạng 2018.
1. Bên kiểm soát Dữ liệu
Công ty ScapBot là Bên kiểm soát dữ liệu đối với dữ liệu cá nhân của Người dùng (chủ doanh nghiệp đăng ký sử dụng ScapBot).
- Email liên hệ bảo mật: privacy@scapbot.vn
- Email hỗ trợ: support@scapbot.vn
- Website: https://scapbot.vn
Đối với dữ liệu Khách hàng cuối (người tiêu dùng nhắn tin cho doanh nghiệp thông qua ScapBot), ScapBot đóng vai trò Bên xử lý dữ liệu — xem chi tiết tại Mục 3.
2. Dữ liệu cá nhân chúng tôi thu thập
2.1. Dữ liệu bạn cung cấp trực tiếp
| Loại dữ liệu | Mục đích | Bắt buộc |
|---|---|---|
| Họ tên | Hiển thị giao diện, liên hệ | Có |
| Địa chỉ email | Đăng nhập, gửi OTP, thông báo | Có |
| Mật khẩu (đã mã hóa bcrypt) | Xác thực tài khoản | Có |
| Số điện thoại | Xác minh bổ sung (tương lai) | Không |
| Ảnh đại diện | Giao diện cá nhân | Không |
| Cài đặt (ngôn ngữ, múi giờ, thông báo) | Tùy chỉnh trải nghiệm | Không |
2.2. Dữ liệu thu thập tự động
| Loại dữ liệu | Mục đích | Thời gian lưu |
|---|---|---|
| Địa chỉ IP | Bảo mật, phát hiện đăng nhập lạ | 24 tháng |
| Thông tin thiết bị (hệ điều hành, trình duyệt) | Quản lý phiên đăng nhập | 90 ngày |
| Vị trí địa lý (từ IP, sử dụng cơ sở dữ liệu offline GeoLite2) | Phát hiện đăng nhập bất thường | 24 tháng |
| Nhật ký hoạt động (thời gian đăng nhập, hành động) | Bảo mật, hỗ trợ kỹ thuật | 24 tháng |
| Cookies và dữ liệu phiên | Duy trì trạng thái đăng nhập | Theo phiên |
2.3. Dữ liệu thanh toán
| Loại dữ liệu | Mục đích | Ghi chú |
|---|---|---|
| Mã nạp tiền (Ví ScapBot) | Xác nhận giao dịch | Không lưu thông tin thẻ |
| Lịch sử giao dịch | Đối soát, hỗ trợ | Lưu vĩnh viễn (yêu cầu kế toán) |
| Loại tiền tệ (VND/USD) | Thanh toán | Cố định sau tạo tài khoản |
Lưu ý: ScapBot không lưu trữ thông tin thẻ tín dụng/ghi nợ. Thanh toán quốc tế được xử lý qua PayPal và Stripe — dữ liệu thẻ được các cổng thanh toán này bảo vệ theo chuẩn PCI-DSS.
2.4. Dữ liệu kinh doanh
Khi sử dụng Dịch vụ, bạn có thể tải lên hoặc tạo ra:
- Thông tin sản phẩm (tên, mô tả, giá, hình ảnh)
- Tài liệu kinh doanh (FAQ, chính sách, kịch bản bán hàng)
- Cấu hình Trợ lý AI (tên, ngành, phong cách phản hồi)
- Thông tin nhân viên (email, quyền truy cập)
Đây là dữ liệu bạn kiểm soát hoàn toàn. Chúng tôi xử lý dữ liệu này chỉ nhằm mục đích cung cấp Dịch vụ.
2.5. Dữ liệu từ Google
a) Đăng nhập qua Google (Google Sign-In)
Nếu bạn đăng nhập qua Google, chúng tôi thu thập:
- Google account ID (mã nhận dạng, không phải mật khẩu)
- Email liên kết với tài khoản Google
- Tên hiển thị và ảnh đại diện (nếu có)
Dữ liệu này chỉ được sử dụng để tạo và xác thực tài khoản ScapBot của bạn.
b) Đồng bộ Google Drive (tùy chọn)
Nếu bạn chủ động kết nối Google Drive để đồng bộ tài liệu vào Trang tài liệu của Trợ lý AI, chúng tôi thu thập:
| Loại dữ liệu | Mục đích | Ghi chú |
|---|---|---|
| Tên file, loại file, ngày chỉnh sửa | Hiển thị danh sách file để bạn chọn đồng bộ | Chỉ metadata |
| Nội dung file bạn chọn đồng bộ | Xây dựng cơ sở tri thức (Knowledge Base) cho Trợ lý AI | Chỉ file bạn chủ động chọn |
Cam kết về Google Drive:
- Chúng tôi chỉ truy cập ở chế độ chỉ đọc (read-only) — không chỉnh sửa, di chuyển hay xóa bất kỳ file nào trên Google Drive của bạn.
- Chúng tôi chỉ truy cập các file và thư mục bạn chủ động chọn để đồng bộ — không quét toàn bộ Drive.
- Nội dung file được tải về, mã hóa (AES-256-GCM) và lưu trữ trên máy chủ của ScapBot (Cloudflare R2).
- Bạn có thể ngắt kết nối Google Drive bất kỳ lúc nào — toàn bộ dữ liệu đã đồng bộ sẽ bị xóa khỏi hệ thống ScapBot.
- Bạn cũng có thể thu hồi quyền truy cập tại myaccount.google.com/permissions.
Chúng tôi không truy cập danh bạ, lịch, Gmail hay bất kỳ dữ liệu Google nào khác ngoài phạm vi bạn cho phép.
3. Dữ liệu Khách hàng cuối
3.1. ScapBot là Bên xử lý dữ liệu
Khi Khách hàng cuối (người tiêu dùng) nhắn tin cho doanh nghiệp của bạn thông qua các nền tảng nhắn tin được kết nối, ScapBot thu thập và xử lý:
| Loại dữ liệu | Nguồn | Mục đích |
|---|---|---|
| Tên hiển thị, ảnh đại diện | Nền tảng nhắn tin | Hiển thị giao diện hội thoại |
| Nội dung tin nhắn (văn bản, hình ảnh, tệp) | Nền tảng nhắn tin | Xử lý bởi AI để tạo phản hồi |
| Ngôn ngữ, múi giờ | Nền tảng nhắn tin | Cá nhân hóa phản hồi |
| Lịch sử hội thoại | ScapBot | Ngữ cảnh cho AI, báo cáo |
| Hồ sơ khách hàng (5 lớp) | AI phân tích từ hội thoại | Cá nhân hóa trải nghiệm |
3.2. Phân tích AI đối với Khách hàng cuối
ScapBot sử dụng AI để phân tích tin nhắn của Khách hàng cuối nhằm:
- Xác định ý định (hỏi giá, khiếu nại, đặt hàng, v.v.)
- Đánh giá trạng thái tâm lý (mức độ quan tâm, mức độ hài lòng)
- Phân loại giai đoạn khách hàng (tiềm năng, đang cân nhắc, đã mua, v.v.)
- Đề xuất sản phẩm/dịch vụ phù hợp
Dữ liệu phân tích này thuộc quyền kiểm soát của Người dùng (doanh nghiệp). Người dùng có trách nhiệm thông báo cho Khách hàng cuối về việc sử dụng AI theo quy định pháp luật.
3.3. Trách nhiệm của Người dùng
Với tư cách Bên kiểm soát dữ liệu của Khách hàng cuối, bạn có nghĩa vụ:
- Có chính sách bảo mật riêng thông báo cho Khách hàng cuối về việc sử dụng ScapBot.
- Có căn cứ pháp lý hợp pháp để thu thập và xử lý dữ liệu Khách hàng cuối.
- Phối hợp với ScapBot khi Khách hàng cuối thực hiện quyền về dữ liệu cá nhân.
3.4. Dữ liệu trang cá nhân Facebook Messenger (Business Asset User Profile Access)
Khi Khách hàng cuối nhắn tin vào Facebook Page mà doanh nghiệp đã kết nối với ScapBot, chúng tôi đọc các trường thông tin sau qua tính năng “Business Asset User Profile Access” (“Quyền truy cập trang cá nhân của người dùng qua tài sản doanh nghiệp”) của Meta, giới hạn nghiêm ngặt trong phạm vi tài sản doanh nghiệp đã kết nối:
| Trường | Nguồn (Meta Graph API) | Mục đích |
|---|---|---|
id (Page-Scoped User ID, PSID) | /{psid} | Khóa định danh nội bộ cho hội thoại |
ids_for_business | /{psid} | Gộp hồ sơ khi một khách hàng nhắn nhiều Page của cùng một doanh nghiệp |
name | /{psid} | Tên hiển thị của khách hàng trong inbox và hồ sơ CRM |
picture (URL ảnh đại diện) | /{psid} | Nhận diện trực quan khách hàng trong inbox |
Lưu trữ và thời hạn riêng cho dữ liệu Facebook profile:
- Ảnh đại diện được tải về một lần và lưu lại trên Cloudflare R2 để tải nhanh. Bộ nhớ đệm sử dụng presigned URL có hiệu lực 7 ngày, khớp với TTL gốc của Facebook CDN, và được làm mới khi nhận tin tiếp theo từ chính khách hàng đó hoặc sau 24 giờ — thời điểm nào đến trước.
- Các trường
name,idvàids_for_businesschỉ lưu trong phân vùng dữ liệu của doanh nghiệp đã kết nối — không được tổng hợp giữa các doanh nghiệp, không lập chỉ mục cho việc tìm kiếm liên doanh nghiệp. - Toàn bộ dữ liệu Facebook profile được xóa vĩnh viễn trong vòng 24 giờ khi doanh nghiệp ngắt kết nối Facebook Page tại Bảng điều khiển ScapBot → Cài đặt → Kết nối → Facebook → Ngắt kết nối.
- Dữ liệu Facebook profile không bao giờ dùng cho quảng cáo, không bán, không cấp phép, không chia sẻ với bất kỳ bên thứ ba nào, và chỉ hiển thị cho nhân viên của chính doanh nghiệp đã kết nối Page đó.
- Dữ liệu Facebook profile được loại trừ hoàn toàn khỏi quy trình huấn luyện AI — tên và ảnh đại diện chỉ phục vụ hiển thị, không thuộc tập dữ liệu dùng để cải thiện chất lượng AI.
Tham chiếu tuân thủ: Phạm vi sử dụng này nằm trong “trải nghiệm ứng dụng cho doanh nghiệp” mà Meta định nghĩa cho tính năng Business Asset User Profile Access (Tài liệu Meta cho nhà phát triển).
4. Mục đích xử lý Dữ liệu
Chúng tôi xử lý dữ liệu cá nhân của bạn cho các mục đích sau:
| Mục đích | Căn cứ pháp lý |
|---|---|
| Cung cấp và vận hành Dịch vụ | Thực hiện hợp đồng |
| Xác thực tài khoản và bảo mật phiên đăng nhập | Thực hiện hợp đồng + Lợi ích hợp pháp |
| Xử lý thanh toán và đối soát | Thực hiện hợp đồng + Nghĩa vụ pháp lý |
| Gửi thông báo dịch vụ (OTP, bảo mật, bảo trì) | Thực hiện hợp đồng |
| Gửi thông tin sản phẩm, khuyến mãi | Sự đồng ý (có thể từ chối) |
| Phát hiện gian lận và bảo vệ hệ thống | Lợi ích hợp pháp |
| Cải thiện chất lượng Dịch vụ | Lợi ích hợp pháp |
| Cải thiện mô hình AI (dữ liệu tổng hợp ẩn danh) | Lợi ích hợp pháp |
| Phân tích lưu lượng truy cập website (Google Analytics) | Lợi ích hợp pháp |
| Đo lường hiệu quả quảng cáo (Meta Pixel) | Sự đồng ý |
| Tuân thủ yêu cầu của cơ quan nhà nước | Nghĩa vụ pháp lý |
5. Chia sẻ Dữ liệu với Bên thứ ba
5.1. Nhà cung cấp dịch vụ
Chúng tôi chia sẻ dữ liệu với các bên thứ ba sau để vận hành Dịch vụ:
| Bên thứ ba | Loại dữ liệu chia sẻ | Mục đích | Quốc gia |
|---|---|---|---|
| Google (Gemini AI) | Nội dung tin nhắn, tài liệu (khi xử lý AI) | Tạo phản hồi AI, vector embedding | Hoa Kỳ |
| Google (Drive API) | Metadata và nội dung file bạn chọn đồng bộ | Đồng bộ tài liệu vào Knowledge Base | Hoa Kỳ |
| Cloudflare (R2) | Tài liệu, hình ảnh | Lưu trữ file | Toàn cầu |
| Facebook/Meta (Messenger Platform) | Tin nhắn (qua Webhook + Graph API), trường thông tin khách hàng (id, name, picture, ids_for_business) qua Business Asset User Profile Access | Nhận/gửi tin Messenger, hiển thị tên + ảnh đại diện khách hàng trong inbox của nhân viên | Hoa Kỳ |
| Zalo (VNG) | Tin nhắn (qua API) | Nhận/gửi tin nhắn Zalo OA | Việt Nam |
| Telegram | Tin nhắn (qua API) | Nhận/gửi tin nhắn Bot | UAE/Toàn cầu |
| WhatsApp (Meta) | Tin nhắn (qua API) | Nhận/gửi tin nhắn WhatsApp Business | Hoa Kỳ |
| Viber (Rakuten) | Tin nhắn (qua API) | Nhận/gửi tin nhắn Viber Bot | Luxembourg |
| Line | Tin nhắn (qua API) | Nhận/gửi tin nhắn Line Bot | Nhật Bản |
| PayPal | Thông tin giao dịch | Thanh toán USD | Hoa Kỳ |
| Stripe | Thông tin giao dịch | Thanh toán USD | Hoa Kỳ |
| Google Analytics | Dữ liệu hành vi truy cập (ẩn danh hóa IP) | Phân tích lưu lượng website | Hoa Kỳ |
| Meta Pixel | Dữ liệu hành vi truy cập | Đo lường hiệu quả quảng cáo, remarketing | Hoa Kỳ |
5.2. Chuyển dữ liệu ra nước ngoài
Một số nhà cung cấp dịch vụ có máy chủ đặt ngoài Việt Nam. Theo Nghị định 13/2023/NĐ-CP và Luật An ninh mạng 2018:
- Chúng tôi lưu giữ bản sao dữ liệu cá nhân của người dùng Việt Nam tại máy chủ ở Việt Nam.
- Dữ liệu chuyển ra nước ngoài chỉ giới hạn ở phạm vi cần thiết để vận hành Dịch vụ.
- Chúng tôi đã lập Hồ sơ Đánh giá Tác động Chuyển dữ liệu ra nước ngoài theo quy định.
5.3. Cơ quan nhà nước
Chúng tôi có thể cung cấp dữ liệu cho cơ quan nhà nước có thẩm quyền khi có yêu cầu bằng văn bản theo đúng quy định pháp luật.
5.4. Phạm vi của Meta Pixel và các cookie quảng cáo
Meta Pixel và các cookie quảng cáo tương đương chỉ được tải trên các trang marketing công khai (trang chủ, blog, trang giá tại https://scapbot.vn) để đo lường hiệu quả các chiến dịch marketing của chúng tôi. Các cookie này được loại trừ hoàn toàn khỏi:
- Khu vực ứng dụng đã xác thực (mọi trang dưới
/{lang}/assistants/...,/{lang}/dashboard, v.v.) - Mọi luồng dữ liệu liên quan đến thông tin Khách hàng cuối (tên, ảnh đại diện, PSID Facebook Messenger, hội thoại, hồ sơ CRM)
- Mọi trao đổi dữ liệu với các nền tảng nhắn tin (Facebook, Zalo, Telegram, WhatsApp, Viber, Line)
Do đó, dữ liệu Khách hàng cuối không bao giờ được dùng để phục vụ quảng cáo, bất kể Meta Pixel có được bật trên các trang marketing hay không.
5.5. Cam kết
Chúng tôi không bán, cho thuê hoặc trao đổi dữ liệu cá nhân của bạn — kể cả của bạn với tư cách Người dùng lẫn của bất kỳ Khách hàng cuối nào nhắn tin cho doanh nghiệp của bạn — cho bất kỳ bên thứ ba nào vì mục đích thương mại.
6. Xử lý Dữ liệu bởi AI
6.1. Dữ liệu gửi cho mô hình AI
Khi AI xử lý tin nhắn, dữ liệu sau được gửi đến nhà cung cấp AI (Google Gemini):
- Nội dung tin nhắn của Khách hàng cuối
- Ngữ cảnh hội thoại (tin nhắn gần đây)
- Thông tin sản phẩm/tài liệu liên quan
- Cấu hình phản hồi của Trợ lý AI
6.2. Cam kết về AI
- Dữ liệu gửi cho AI được xử lý theo chính sách bảo mật của nhà cung cấp AI.
- ScapBot không sử dụng dữ liệu cá nhân có thể nhận dạng để huấn luyện (train) mô hình AI.
- Dữ liệu dùng để cải thiện AI ở dạng tổng hợp, ẩn danh hóa (mẫu hội thoại không chứa thông tin cá nhân).
- Bạn có quyền tắt chế độ AI bất kỳ lúc nào — khi đó không có dữ liệu nào được gửi cho mô hình AI.
6.3. Vector Embedding
ScapBot chuyển đổi tài liệu và hình ảnh thành biểu diễn vector (embedding) để phục vụ tìm kiếm ngữ nghĩa. Vector embedding:
- Không thể chuyển đổi ngược lại thành nội dung gốc.
- Được lưu trữ cùng với dữ liệu gốc tại máy chủ ở Việt Nam.
- Bị xóa khi bạn xóa tài liệu hoặc sản phẩm tương ứng.
7. Biện pháp Bảo mật
7.1. Bảo mật kỹ thuật
| Biện pháp | Chi tiết |
|---|---|
| Mã hóa mật khẩu | bcrypt cost 12 — không lưu mật khẩu gốc |
| Mã hóa truyền tải | HTTPS/TLS cho toàn bộ kết nối |
| Mã hóa tài liệu | AES-256-GCM client-side encryption (tùy cấu hình) |
| Xác thực | JWT (Access Token 15 phút, Refresh Token 7 ngày) |
| Cookie bảo mật | HttpOnly, Secure, SameSite=Lax |
| Phát hiện thiết bị lạ | SHA256 device fingerprint + email cảnh báo |
| Chống CSRF | SameSite cookie + HMAC verification |
| Giới hạn tần suất | Rate limiting cho API và đăng nhập |
| Webhook verification | HMAC-SHA256 signature cho mọi webhook |
7.2. Bảo mật tổ chức
- Quyền truy cập dữ liệu theo nguyên tắc tối thiểu (least privilege).
- Mọi truy cập hệ thống được ghi nhật ký (audit log).
- Cách ly dữ liệu giữa các Người dùng (multi-tenant isolation — mọi truy vấn qua
assistant_id).
7.3. Xử lý sự cố vi phạm dữ liệu
Trong trường hợp phát hiện vi phạm dữ liệu cá nhân:
- Trong 72 giờ: Thông báo cho Cục An ninh mạng (A05), Bộ Công an theo quy định.
- Ngay khi có thể: Thông báo cho Người dùng bị ảnh hưởng qua email, nêu rõ: phạm vi vi phạm, dữ liệu bị ảnh hưởng, biện pháp khắc phục, đầu mối liên hệ.
- Khắc phục: Triển khai biện pháp ngăn chặn và khắc phục ngay lập tức.
8. Thời gian Lưu trữ Dữ liệu
| Loại dữ liệu | Thời gian lưu trữ | Ghi chú |
|---|---|---|
| Dữ liệu tài khoản | Suốt thời gian sử dụng + 30 ngày sau xóa tài khoản | Tối thiểu 24 tháng theo Luật An ninh mạng |
| Phiên đăng nhập (thiết bị) | 90 ngày không hoạt động → tự xóa | |
| Nhật ký hệ thống | 30 ngày | Log rotation |
| Lịch sử giao dịch | Vĩnh viễn | Yêu cầu kế toán/thuế |
| Tin nhắn và hội thoại | Suốt thời gian sử dụng + 30 ngày | Tối thiểu 24 tháng |
| Tài liệu trên cloud storage | Suốt thời gian sử dụng + 30 ngày | Xóa theo yêu cầu |
| Dữ liệu đồng bộ Google Drive | Đến khi bạn ngắt kết nối hoặc xóa | Xóa ngay khi ngắt kết nối |
Tên + PSID + ids_for_business của khách Facebook | Đến khi doanh nghiệp ngắt kết nối Page | Xóa trong 24 giờ kể từ khi ngắt kết nối |
| Ảnh đại diện khách Facebook (cache trên R2) | 7 ngày (TTL của presigned URL), làm mới khi nhận tin tiếp theo | Xóa cùng với hồ sơ liên hệ |
| OTP và Reset Token | 5 phút (OTP) / 1 giờ (Reset Token) | Tự xóa sau TTL |
| Dữ liệu tổng hợp ẩn danh | Không giới hạn | Không chứa dữ liệu cá nhân |
Sau khi chấm dứt dịch vụ, bạn có 30 ngày để xuất dữ liệu. Sau thời hạn này, dữ liệu cá nhân sẽ bị xóa vĩnh viễn, trừ trường hợp pháp luật yêu cầu lưu giữ lâu hơn.
9. Quyền của Bạn về Dữ liệu Cá nhân
Theo Nghị định 13/2023/NĐ-CP và Luật Bảo vệ dữ liệu cá nhân 2025, bạn có các quyền sau:
9.1. Quyền được biết
Bạn có quyền được biết về việc xử lý dữ liệu cá nhân của mình, bao gồm loại dữ liệu, mục đích, phương thức xử lý.
9.2. Quyền đồng ý
Bạn có quyền đồng ý hoặc không đồng ý cho việc xử lý dữ liệu cá nhân, trừ trường hợp pháp luật quy định khác.
9.3. Quyền truy cập
Bạn có quyền yêu cầu cung cấp bản sao dữ liệu cá nhân của bạn mà chúng tôi đang lưu giữ.
9.4. Quyền rút lại đồng ý
Bạn có quyền rút lại sự đồng ý đã cho trước đó. Việc rút lại đồng ý không ảnh hưởng đến tính hợp pháp của việc xử lý dữ liệu trước thời điểm rút lại.
9.5. Quyền xóa dữ liệu
Bạn có quyền yêu cầu xóa dữ liệu cá nhân, trừ trường hợp chúng tôi có nghĩa vụ pháp lý phải lưu giữ.
9.6. Quyền hạn chế xử lý
Bạn có quyền yêu cầu hạn chế việc xử lý dữ liệu cá nhân trong một số trường hợp nhất định.
9.7. Quyền chuyển dữ liệu (Data Portability)
Bạn có quyền nhận dữ liệu cá nhân ở định dạng có cấu trúc, phổ biến và có thể đọc được bằng máy.
9.8. Quyền phản đối
Bạn có quyền phản đối việc xử lý dữ liệu cá nhân cho mục đích tiếp thị trực tiếp hoặc xử lý dựa trên lợi ích hợp pháp.
9.9. Quyền khiếu nại
Bạn có quyền khiếu nại với ScapBot hoặc cơ quan nhà nước có thẩm quyền (Cục An ninh mạng — A05, Bộ Công an) nếu cho rằng dữ liệu cá nhân bị xử lý trái pháp luật.
9.10. Quyền yêu cầu bồi thường
Bạn có quyền yêu cầu bồi thường thiệt hại khi dữ liệu cá nhân bị xử lý vi phạm quy định pháp luật.
Cách thực hiện quyền: Gửi yêu cầu đến privacy@scapbot.vn kèm thông tin xác minh danh tính. Chúng tôi phản hồi trong vòng 15 ngày làm việc.
9.11. Quyền của Khách hàng cuối (người dùng Facebook Messenger)
Nếu bạn là người dùng Facebook đã nhắn tin vào một Facebook Page có kết nối ScapBot và muốn truy cập, sửa đổi hoặc xóa dữ liệu hồ sơ mà chúng tôi đang lưu giữ về bạn, bạn có thể thực hiện quyền của mình qua một trong các kênh sau:
Kênh A — Gửi yêu cầu trực tiếp đến ScapBot qua email:
- Gửi email đến privacy@scapbot.vn với tiêu đề “Data Deletion Request — Facebook Messenger”.
- Đính kèm: (a) Page-Scoped User ID (PSID) của bạn trên Facebook, hoặc (b) tên Facebook Page bạn đã nhắn cùng khoảng thời gian gần đúng.
- Chúng tôi xử lý trong vòng 30 ngày và gửi email xác nhận.
Kênh B — Yêu cầu doanh nghiệp đang vận hành Page: Doanh nghiệp là Bên kiểm soát dữ liệu cho cuộc trò chuyện của bạn. Bạn có thể yêu cầu doanh nghiệp ngắt kết nối Page khỏi ScapBot — sau khi ngắt, ScapBot sẽ tự động xóa toàn bộ dữ liệu hồ sơ trong vòng 24 giờ.
Kênh C — Hướng dẫn từng bước: Hướng dẫn đầy đủ — bao gồm mẫu email, quy trình ngắt kết nối phía doanh nghiệp, xác minh danh tính và khiếu nại — có trong Mục 14 bên dưới.
10. Cookies
10.1. Cookies chúng tôi sử dụng
| Loại Cookie | Tên | Mục đích | Thời gian |
|---|---|---|---|
| Thiết yếu | access_token | Xác thực phiên đăng nhập | 15 phút |
| Thiết yếu | refresh_token | Duy trì đăng nhập | 7 ngày |
| Chức năng | lang | Ghi nhớ ngôn ngữ ưa thích | 1 năm |
| Chức năng | theme | Ghi nhớ chế độ sáng/tối | 1 năm |
| Phân tích | _ga | Phân biệt người dùng (Google Analytics) | 2 năm |
| Phân tích | ga* | Duy trì trạng thái phiên Google Analytics | 2 năm |
| Quảng cáo | _fbp | Nhận dạng trình duyệt (Meta Pixel) | 3 tháng |
| Quảng cáo | _fbc | Theo dõi lượt nhấp quảng cáo Facebook | 2 năm |
10.2. Quản lý Cookies
- Cookies thiết yếu là bắt buộc để Dịch vụ hoạt động — không thể tắt.
- Cookies chức năng có thể được quản lý qua cài đặt trình duyệt.
- Cookies phân tích (Google Analytics) thu thập dữ liệu ẩn danh để cải thiện trải nghiệm. Bạn có thể từ chối qua Google Analytics Opt-out.
- Cookies quảng cáo (Meta Pixel) chỉ hoạt động khi bạn đồng ý qua banner cookie consent. Bạn có thể rút lại đồng ý bất kỳ lúc nào qua cài đặt cookie trên website hoặc Facebook Ad Preferences.
11. Trẻ vị thành niên
ScapBot không dành cho người dưới 18 tuổi. Chúng tôi không cố ý thu thập dữ liệu cá nhân từ trẻ vị thành niên. Nếu bạn phát hiện chúng tôi vô tình thu thập dữ liệu từ người dưới 18 tuổi, vui lòng liên hệ ngay qua privacy@scapbot.vn để chúng tôi xóa dữ liệu đó.
12. Thay đổi Chính sách
- Chúng tôi có thể cập nhật Chính sách Bảo mật này. Mọi thay đổi quan trọng sẽ được thông báo qua email trước ít nhất 30 ngày.
- Phiên bản mới nhất luôn được đăng tải tại /vi/chinh-sach-bao-mat/.
- Lịch sử thay đổi được ghi nhận ở cuối trang.
13. Liên hệ
Nếu bạn có câu hỏi về Chính sách Bảo mật này hoặc muốn thực hiện quyền về dữ liệu cá nhân:
- Email bảo mật: privacy@scapbot.vn
- Email hỗ trợ: support@scapbot.vn
- Website: https://scapbot.vn
14. Hướng dẫn xóa dữ liệu
Mục này là hướng dẫn xóa dữ liệu công khai được tham chiếu trong cài đặt App Meta Developer của chúng tôi. Hướng dẫn được phân theo đối tượng: khách hàng cuối đã nhắn tin vào một Facebook Page có kết nối ScapBot, hoặc người dùng doanh nghiệp sở hữu tài khoản ScapBot.
14.1. Dành cho Khách hàng cuối (người dùng Facebook Messenger)
Bạn đã gửi tin nhắn đến một Facebook Page có kết nối ScapBot. Doanh nghiệp vận hành Page đó là Bên kiểm soát dữ liệu; ScapBot chỉ là Bên xử lý dữ liệu thay mặt doanh nghiệp. Bạn có ba kênh để yêu cầu xóa dữ liệu.
Kênh A — Gửi yêu cầu trực tiếp đến ScapBot qua email
Đây là cách khuyến nghị nếu bạn không thể liên hệ doanh nghiệp hoặc muốn có bằng chứng ghi nhận.
- Gửi email đến privacy@scapbot.vn với tiêu đề chính xác:
Data Deletion Request — Facebook Messenger - Trong nội dung email, đính kèm một trong các thông tin định danh sau (chỉ cần một):
- Page-Scoped User ID (PSID) Facebook của bạn — một dãy số định danh trong cuộc trò chuyện với Page (dành cho người dùng kỹ thuật), hoặc
- Tên Facebook Page bạn đã nhắn, kèm khoảng thời gian gần đúng bạn đã nhắn tin
- Chúng tôi xác nhận đã nhận trong vòng 3 ngày làm việc và hoàn tất việc xóa trong vòng 30 ngày. Bạn sẽ nhận email xác nhận khi việc xóa hoàn tất.
Mẫu email (sao chép và dán):
Đến: privacy@scapbot.vn
Tiêu đề: Data Deletion Request — Facebook Messenger
Xin chào,
Tôi là người dùng Facebook đã nhắn tin vào Page
"[TÊN PAGE FACEBOOK]" trong khoảng thời gian từ
[NGÀY BẮT ĐẦU] đến [NGÀY KẾT THÚC].
Tôi yêu cầu ScapBot xóa toàn bộ dữ liệu cá nhân lưu
giữ về tôi, bao gồm tên hiển thị, ảnh đại diện,
Page-Scoped User ID, và mọi lịch sử hội thoại được
thu thập thay mặt doanh nghiệp đó.
[Tùy chọn: PSID = ...]
Trân trọng,
[Tên hiển thị Facebook của bạn]
Kênh B — Yêu cầu doanh nghiệp đang vận hành Page
Doanh nghiệp là Bên kiểm soát dữ liệu. Nếu bạn tin tưởng doanh nghiệp, bạn có thể yêu cầu họ:
- Ngắt kết nối Facebook Page khỏi ScapBot, hoặc
- Xóa cuộc trò chuyện với bạn ở phía họ
Khi doanh nghiệp ngắt kết nối Page (Bảng điều khiển → Cài đặt → Kết nối → Facebook → Ngắt kết nối), ScapBot tự động xóa toàn bộ dữ liệu hồ sơ và hội thoại liên quan đến Page đó trong vòng 24 giờ, không cần bạn phải làm thêm bất kỳ thao tác nào.
Kênh C — Thu hồi quyền truy cập của ScapBot trên Facebook
Bạn cũng có thể thu hồi mọi quyền mà ScapBot đã được cấp trên tài khoản Facebook của bạn:
- Truy cập https://www.facebook.com/settings?tab=apps
- Tìm ứng dụng doanh nghiệp có sử dụng ScapBot
- Bấm Xóa (Remove)
- Sau khi xóa, ScapBot không thể truy xuất dữ liệu hồ sơ của bạn nữa; ảnh đại diện đang cache hết hạn trong vòng 7 ngày; mọi bản ghi liên quan đến PSID trở nên không thể truy cập từ API ScapBot
14.2. Dành cho Người dùng doanh nghiệp (chủ tài khoản ScapBot)
Bạn đã đăng ký tài khoản tại https://scapbot.vn cho doanh nghiệp của mình.
Tự xóa qua giao diện ứng dụng (khuyến nghị)
- Đăng nhập tại https://scapbot.vn/vi/login
- Vào Cài đặt → Tài khoản
- Bấm Xóa tài khoản
- Xác nhận thao tác
Việc xóa có hiệu lực trong vòng 24 giờ và bao gồm:
- Tài khoản, mật khẩu, các phiên đăng nhập của bạn
- Mọi Facebook Page, Zalo OA, Telegram bot, WhatsApp Business, Viber bot, Line account đã kết nối
- Mọi hội thoại, tin nhắn và hồ sơ khách hàng nhận qua các kênh đã kết nối
- Mọi Trợ lý AI bạn đã tạo cùng cấu hình và kho tri thức của chúng
- Mọi tài liệu và hình ảnh sản phẩm đã tải lên Cloudflare R2
- Mọi trạng thái đồng bộ Google Drive
Yêu cầu qua email
Nếu bạn muốn, gửi email từ địa chỉ đã đăng ký trên tài khoản đến privacy@scapbot.vn với tiêu đề Data Deletion Request — ScapBot Account. Chúng tôi xử lý trong vòng 30 ngày.
Hồ sơ phải lưu giữ theo luật
Theo luật thuế và kế toán Việt Nam, chúng tôi phải lưu giữ các nội dung sau kể cả sau khi bạn xóa tài khoản:
- Lịch sử giao dịch (phục vụ kế toán — tối thiểu 5 năm)
- Số liệu thống kê tổng hợp đã ẩn danh (không chứa thông tin định danh cá nhân)
Các hồ sơ này không chứa họ tên, email hoặc bất kỳ thông tin định danh nào có thể liên kết ngược về bạn.
14.3. Thời gian phản hồi
| Kênh | Xác nhận đã nhận | Hoàn tất |
|---|---|---|
| Tự xóa qua ứng dụng | Ngay lập tức | Trong 24 giờ |
| Email — Khách hàng cuối | Trong 3 ngày làm việc | Trong 30 ngày |
| Email — Người dùng doanh nghiệp | Trong 3 ngày làm việc | Trong 30 ngày |
| Doanh nghiệp ngắt kết nối Page | Ngay lập tức | Trong 24 giờ |
14.4. Xác minh danh tính
Để ngăn chặn yêu cầu xóa giả mạo, chúng tôi có thể yêu cầu bạn xác minh danh tính:
- Khách hàng cuối: tin nhắn xác nhận gửi qua Facebook Messenger từ tài khoản của bạn, hoặc ảnh chụp màn hình cuộc trò chuyện với Page
- Người dùng doanh nghiệp: OTP gửi đến email đã đăng ký trên tài khoản ScapBot
Chúng tôi không bao giờ yêu cầu mật khẩu của bạn.
14.5. Khiếu nại
Nếu bạn không hài lòng với phản hồi của chúng tôi, bạn có thể:
- Trả lời email xác nhận của chúng tôi với nội dung khiếu nại
- Khiếu nại với Cục An ninh mạng (A05), Bộ Công an Việt Nam
- Đối với các vấn đề riêng của Facebook, bạn cũng có thể liên hệ trực tiếp Meta qua https://www.facebook.com/help/contact
15. Lịch sử Phiên bản
| Phiên bản | Ngày | Thay đổi |
|---|---|---|
| 1.2 | 28/04/2026 | Bổ sung mục 3.4 (Dữ liệu trang cá nhân Facebook Messenger qua Business Asset User Profile Access), mục 5.4 (làm rõ phạm vi Meta Pixel), mục 9.11 (Quyền của Khách hàng cuối là người dùng Facebook), mục 14 (Hướng dẫn xóa dữ liệu — gộp nội tuyến thay vì trang riêng), các dòng tương ứng trong bảng lưu trữ mục 8 |
| 1.1 | 23/03/2026 | Bổ sung mục 2.5b (Đồng bộ Google Drive), cập nhật mục 5.1 và 8 |
| 1.0 | 19/03/2026 | Phiên bản đầu tiên |
Trải nghiệm quản lý tin nhắn thông minh
Dùng thử ScapBot miễn phí và khám phá cách AI giúp bạn chăm sóc khách hàng tốt hơn.
- Không cần thẻ tín dụng
- Dùng thử miễn phí 14 ngày