2ĐẸP
Văn bản pháp lý

Chính sách bảo mật

Hiệu lực từ: 22/04/2026

Chính sách này mô tả cách Công ty CP Art App (vận hành 2dep.vn) thu thập, sử dụng, lưu trữ, chia sẻ và bảo vệ dữ liệu cá nhân của người dùng, tuân thủ Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, Luật An ninh mạng 2018, Luật An toàn TT mạng 2015, và Luật Giao dịch điện tử 2023.

1. Thông tin thu thập

1.1. Dữ liệu cá nhân cơ bản

  • Họ tên hoặc bút danh, email, ngày sinh
  • Số điện thoại (khi xác minh OTP hoặc khuyến khích)
  • Ảnh đại diện, bio, liên kết mạng xã hội bạn tự khai
  • Thông tin đăng nhập bên thứ ba (Google / Facebook khi bạn dùng tính năng SSO — chỉ email + tên public)

1.2. Dữ liệu cá nhân nhạy cảm

Skin profile (loại da, mối quan tâm, độ tuổi, khí hậu…) được xếp loại dữ liệu nhạy cảm theo NĐ 13/2023 Điều 2 khoản 4. 2ĐẸP chỉ lưu skin profile khi bạn chủ động làm Skin Quiz và đồng ý. Skin profile mặc định chỉ lưu ở trình duyệt của bạn; khi bạn đăng nhập, dữ liệu được đồng bộ vào tài khoản với mã hoá ở cả tầng database (at-rest).

1.3. Dữ liệu kỹ thuật

  • IP, User-Agent, referrer, thời điểm truy cập
  • Cookie kỹ thuật / phân tích (chi tiết tại Chính sách Cookie)
  • Log tương tác (like, bookmark, comment) phục vụ moderation

2. Mục đích sử dụng

  • Cung cấp, duy trì, cải thiện dịch vụ 2ĐẸP
  • Cá nhân hoá trải nghiệm (gợi ý sản phẩm theo skin profile, feed người theo dõi, v.v.)
  • Xác minh danh tính, phòng chống gian lận, spam
  • Kiểm duyệt nội dung (compliance scan + moderation queue)
  • Gửi email digest khi bạn opt-in tại Settings → Email — không spam, có 1-click unsubscribe trong mỗi email
  • Báo cáo tổng hợp cho đối tác thương hiệu (ở dạng ẩn danh, tổng hợp, không nhận diện cá nhân)
  • Tuân thủ yêu cầu pháp lý + cơ quan có thẩm quyền

3. Cơ sở pháp lý + sự đồng ý

Dữ liệu được xử lý trên cơ sở (i) sự đồng ý của bạn khi đăng ký / opt-in, (ii) thực hiện hợp đồng dịch vụ, (iii) tuân thủ nghĩa vụ pháp lý. Đối với dữ liệu nhạy cảm (skin profile), chúng tôi luôn yêu cầu đồng ý riêng biệt theo NĐ 13/2023 Điều 11.

4. Chia sẻ dữ liệu

2ĐẸP KHÔNG bán dữ liệu cá nhân. Chỉ chia sẻ với các bên sau:

  • Nhà cung cấp hạ tầng: Railway (hosting), Resend (email), PostHog (analytics), Google Cloud (AI vision), Anthropic (AI content) — đều có DPA bảo mật theo chuẩn.
  • Cơ quan có thẩm quyền khi có yêu cầu hợp pháp.
  • Đối tác affiliate (Accesstrade, Shopee, Lazada, TikTok Shop) — chỉ chia sẻ click ẩn danh để tính hoa hồng, không chia sẻ danh tính cá nhân.

5. Thời gian lưu trữ

  • Tài khoản còn hoạt động: lưu đầy đủ để phục vụ dịch vụ.
  • Sau khi xoá tài khoản: dữ liệu nhật ký hoạt động được lưu tối thiểu 2 năm theo Điều 26 Luật An ninh mạng 2018 + Điều 9 NĐ 147/2024. Nội dung công khai (bài, comment) có thể được lưu lâu hơn nếu đã được người khác quote / share.
  • Skin profile: xoá ngay khi bạn yêu cầu (thường trong 7 ngày làm việc).

6. Bảo mật

  • Server đặt tại Việt Nam (qua Railway region) + HTTPS toàn site
  • Mật khẩu hash bcrypt; không bao giờ lưu plaintext
  • Dữ liệu nhạy cảm mã hoá at-rest ở tầng database
  • Truy cập admin có audit log + phân quyền theo role
  • Kiểm tra bảo mật định kỳ, nâng cấp dependencies tự động khi có CVE

7. Quyền của chủ thể dữ liệu

Theo NĐ 13/2023 Điều 9, bạn có các quyền sau và có thể thực hiện miễn phí, tối đa trong vòng 7 ngày làm việc kể từ khi gửi yêu cầu:

  • Được biết xử lý dữ liệu (đã cung cấp trong chính sách này)
  • Đồng ý / rút lại đồng ý
  • Truy cập, chỉnh sửa, xoá
  • Hạn chế xử lý, phản đối xử lý
  • Yêu cầu cung cấp bản sao dữ liệu (data portability)
  • Khiếu nại đến cơ quan có thẩm quyền

Gửi yêu cầu đến [email protected] với tiêu đề "[Privacy] + nội dung yêu cầu". Với yêu cầu tải xuống + xoá dữ liệu, bạn có thể thực hiện tức thời tại Settings → Tài khoản + dữ liệu (không cần email thủ công).

8. Trẻ em dưới 16 tuổi

2ĐẸP không thu thập dữ liệu của trẻ dưới 16 tuổi một cách chủ động. Nếu phát hiện, chúng tôi sẽ xoá ngay. Phụ huynh có thể liên hệ qua email trên để yêu cầu xoá (NĐ 13/2023 Điều 12).

9. Thay đổi chính sách

Phiên bản mới công bố tại chính trang này. Thay đổi quan trọng (thay đổi mục đích, thêm bên nhận dữ liệu) sẽ được thông báo qua email / bell cho user opt-in.

10. Liên hệ DPO

Cán bộ phụ trách bảo vệ dữ liệu cá nhân (DPO): Nguyễn Xuân Nghĩa
Email: [email protected]
Địa chỉ: Tầng 04, Star Building, D32 Cầu Giấy, Hà Nội