Chính sách quyền riêng tư

Cập nhật lần cuối: 2025-12-26

Chính sách quyền riêng tư này ("Chính sách") giải thích cách eGroupAI ("chúng tôi") thu thập, sử dụng, chia sẻ, bảo vệ và xử lý dữ liệu cá nhân khi bạn sử dụng website chính thức AI Sandbox, bản demo trực tuyến (trải nghiệm), và sản phẩm AI Sandbox được triển khai trong môi trường On‑Prem/Private sau khi mua (gọi chung là "Dịch vụ"). Chính sách nhằm phù hợp với các tiêu chuẩn quốc tế như GDPR. Nếu bạn đã ký thỏa thuận xử lý dữ liệu (DPA) hoặc hợp đồng khác với chúng tôi, hợp đồng đó sẽ được ưu tiên nếu có mâu thuẫn.

Bên kiểm soát dữ liệu (Data Controller): EGroupAI Co., Ltd. (Mã số 24314136; thương hiệu: eGroupAI)
Địa chỉ: 台北市大安區辛亥路二段47號
Email: service@egroupai.com
Website: https://www.egroupai.com

Đại diện EU/UK và DPO: Hiện tại chúng tôi chưa chỉ định đại diện EU/UK (GDPR Art. 27) hoặc DPO. Nếu trong tương lai việc chỉ định là bắt buộc theo pháp luật, chúng tôi sẽ thực hiện và cập nhật Chính sách.

1. Phạm vi

Chính sách áp dụng cho:

• Website: truy cập website, gửi form "Liên hệ", v.v.
• Demo trực tuyến (trải nghiệm): phục vụ đánh giá, thẩm định và xác thực POC cho bạn (đại diện pháp nhân/tổ chức).
• Sản phẩm và dịch vụ AI Sandbox (On‑Prem / Private): bàn giao dưới dạng appliance gồm phần cứng và phần mềm, triển khai trong mạng nội bộ/môi trường riêng của khách hàng; có thể bao gồm chat/workflow, phân tích tài liệu, kho tri thức (RAG), Knowledge Graph, giám sát hệ thống (tuỳ triển khai/cấu hình).
• Nhúng/SDK (nếu áp dụng): nếu bạn nhúng thành phần chat AI Sandbox vào website/hệ thống của bạn, Chính sách cũng áp dụng (vai trò dữ liệu có thể khác theo hợp đồng).

2. Dữ liệu chúng tôi thu thập

2.1 Dữ liệu bạn cung cấp

• Thông tin liên hệ/nhu cầu: tên công ty, tên/chức danh người liên hệ, email, điện thoại, ngành/không gian triển khai, thời gian, nguồn dữ liệu, nội dung tin nhắn.
• Thông tin tài khoản/định danh (nếu áp dụng): định danh đăng nhập (ví dụ: email) và vai trò/quyền hạn trong hệ thống (theo cấu hình của tổ chức).
• Dữ liệu nội dung (On‑Prem/Private hoặc demo): nội dung hội thoại, tài liệu/tệp tải lên, tri thức, quy tắc quản trị, tham số cấu hình. Nếu nội dung có dữ liệu cá nhân hoặc thông tin mật, bạn cam kết có quyền xử lý hợp pháp và có đủ uỷ quyền cần thiết (không đưa dữ liệu cá nhân/thông tin mật vào demo trực tuyến).

2.2 Dữ liệu tự động tạo/thu thập khi sử dụng

• Thông tin kỹ thuật & bảo mật: IP, thông tin thiết bị/trình duyệt, thời điểm yêu cầu, chỉ số lỗi/hiệu năng (Web Vitals), sự kiện bảo mật (ví dụ: kiểm tra CSRF).
• Log kiểm toán & truy vết (On‑Prem / Private): ai yêu cầu gì, AI tạo ra gì, có được duyệt/thực thi hay không (phục vụ bàn giao có thể kiểm toán/đánh giá). Thường lưu trong môi trường khách hàng và có thể cấu hình (theo hợp đồng/cấu hình).
• Dữ liệu vector hoá & chỉ mục tri thức: phân mảnh tài liệu, vector embedding, chỉ mục vector DB, nút/quan hệ Knowledge Graph (tuỳ triển khai/cấu hình; thường ở môi trường khách hàng).

2.3 Lưu trữ trên thiết bị (cookies / localStorage / sessionStorage)

Để cung cấp chức năng cần thiết, chúng tôi có thể lưu một lượng nhỏ dữ liệu trên thiết bị, ví dụ:

• Cookie bảo mật: XSRF-TOKEN cho CSRF, cookie duy trì đăng nhập/phiên (tuỳ triển khai/cấu hình).
• Lưu trữ cục bộ cần thiết: tự động lưu nháp form liên hệ (tối đa 24 giờ) và trạng thái tạm để quay lại trang trước sau đăng nhập.

Xem thêm tại Chính sách Cookie.

3. Mục đích xử lý & cơ sở pháp lý (GDPR)

Khi GDPR áp dụng, chúng tôi thường xử lý dữ liệu cá nhân theo một hoặc nhiều cơ sở pháp lý sau:

• Thực hiện hợp đồng / bước tiền hợp đồng (Art. 6(1)(b)): phản hồi yêu cầu, cung cấp báo giá/tài liệu mua sắm, cung cấp dịch vụ/hỗ trợ.
• Lợi ích hợp pháp (Art. 6(1)(f)): bảo mật website/hệ thống, chống lạm dụng, ghi log kiểm toán, cải thiện chất lượng/hiệu năng.
• Đồng ý (Art. 6(1)(a)): khi pháp luật yêu cầu (ví dụ: cookie không cần thiết), chúng tôi sẽ xin đồng ý trước.
• Nghĩa vụ pháp lý (Art. 6(1)(c)): tuân thủ luật áp dụng và yêu cầu của cơ quan quản lý.

4. Bàn giao On‑Prem/Private, mô hình bên thứ ba và vai trò của chúng tôi

4.1 On‑Prem / Private (bàn giao sản xuất)

AI Sandbox được bàn giao dưới dạng appliance On‑Prem/Private gồm phần cứng/phần mềm, triển khai trong mạng nội bộ/môi trường riêng của khách hàng. Thông thường:

• Bạn (hoặc tổ chức của bạn) là bên kiểm soát dữ liệu trong môi trường đó.
• Log, kiểm toán, vector DB và Knowledge Graph được lưu cục bộ và có thể cấu hình.
• Chúng tôi chỉ truy cập khi bạn cho phép và khi cần cho mục đích hỗ trợ/vận hành.

Bạn có thể lựa chọn/cấu hình nhà cung cấp LLM/embedding hoặc dịch vụ khác theo nhu cầu bảo mật/tuân thủ. Nếu bật nhà cung cấp bên thứ ba, dữ liệu có thể được chuyển tới nhà cung cấp đó theo cấu hình để suy luận, vector hoá hoặc truy hồi. Nếu cần DPA/tài liệu mua sắm, vui lòng liên hệ service@egroupai.com.

4.2 Demo trực tuyến (trải nghiệm/POC)

Demo trực tuyến chỉ nhằm trải nghiệm, đánh giá và xác thực POC, không dành cho môi trường sản xuất.

Theo thông lệ "môi trường đánh giá" của các dịch vụ AI, bạn đồng ý:

• Không gửi thông tin nhạy cảm: không nhập/tải lên dữ liệu cá nhân định danh, dữ liệu nhạy cảm (sức khoẻ/sinh trắc/chính trị/tôn giáo/xu hướng tính dục), thông tin thanh toán/tài chính, mật khẩu, thông tin xác thực (API key, access token), hoặc thông tin mật nội bộ/khách hàng.
• Đầu ra không phải tư vấn chuyên môn: đầu ra có thể thiếu, sai hoặc lỗi thời. Bạn phải tự kiểm tra/xác minh và không coi đó là tư vấn pháp lý, y tế, đầu tư, thuế, v.v.
• Bảo mật & chống lạm dụng: chúng tôi có thể áp dụng giám sát bảo mật, giới hạn tốc độ và phát hiện lạm dụng. Vì mục đích khắc phục sự cố và bảo mật, dữ liệu vào/ra của demo có thể được ghi lại và (khi cần) xem xét thủ công.

Nếu cần kiểm chứng bằng dữ liệu thật hoặc nội dung mật, hãy dùng môi trường On‑Prem/Private và xác định ranh giới/bảo vệ dữ liệu trong hợp đồng/DPA.

Trừ khi bạn đồng ý rõ ràng hoặc hợp đồng quy định khác, chúng tôi không dùng nội dung bạn nhập/tải lên trong sản phẩm hoặc demo để huấn luyện mô hình công khai hoặc tái sử dụng bên ngoài.

5. Chia sẻ & tiết lộ (bao gồm “sub-processors”)

Chúng tôi có thể chia sẻ dữ liệu trong các trường hợp:

• Nhà cung cấp dịch vụ (processors / sub-processors): bên thứ ba xử lý dữ liệu thay mặt chúng tôi (ví dụ: hosting/CDN, email/ticket, bảo mật/giám sát). Họ chỉ được xử lý theo chỉ đạo của chúng tôi và chịu ràng buộc bảo mật theo hợp đồng.
• Quy trình liên hệ/mua sắm: thông tin liên hệ và nội dung yêu cầu có thể được ghi nhận trong hệ thống CRM/ticket/feedback nội bộ để phản hồi và theo dõi.
• Yêu cầu pháp lý hoặc bảo vệ quyền lợi: khi pháp luật yêu cầu hoặc để bảo vệ quyền lợi/hệ thống.

Danh sách sub-processor: chúng tôi có thể cung cấp danh sách (mục đích/nơi đặt) trong quá trình mua sắm hoặc DPA, hoặc cung cấp danh sách mới nhất theo yêu cầu hợp lý. Vui lòng liên hệ service@egroupai.com.

6. Chuyển dữ liệu quốc tế

Chúng tôi hoạt động chủ yếu tại Đài Loan. Nếu bạn ở EEA/UK/Thụy Sĩ, dữ liệu có thể được chuyển và xử lý tại Đài Loan hoặc nơi khác (ví dụ: phản hồi yêu cầu, hỗ trợ, hosting). Khi cần, chúng tôi áp dụng biện pháp bảo vệ phù hợp (SCC, mã hoá, kiểm soát truy cập).

7. Thời hạn lưu giữ (mặc định thận trọng, hướng enterprise)

Chúng tôi chỉ lưu dữ liệu trong thời gian cần thiết; với khách hàng enterprise, hợp đồng/DPA sẽ chi phối. Mặc định:

8. Quyền của bạn (EEA/UK/Thụy Sĩ)

Bạn có thể có quyền truy cập, chỉnh sửa, xoá, hạn chế xử lý, chuyển dữ liệu, phản đối (kể cả marketing trực tiếp), rút đồng ý và khiếu nại. Liên hệ service@egroupai.com; chúng tôi có thể xác minh danh tính hợp lý.

9. Bảo mật

Chúng tôi áp dụng biện pháp kỹ thuật/tổ chức hợp lý (kiểm soát truy cập, kiểm toán, bảo vệ CSRF, mã hoá, giám sát), nhưng không hệ thống nào đảm bảo 100% an toàn.

10. Thay đổi

Chúng tôi có thể cập nhật Chính sách và cập nhật ngày "Cập nhật lần cuối". Thay đổi quan trọng sẽ được thông báo trên website hoặc phương thức hợp lý khác.