TiềnTút

                
CHÍNH SÁCH QUYỀN RIÊNG TƯ TIỀNTÚT
Lời mở đầu
Chào mừng Quý khách hàng đến với TiềnTút. Chúng tôi, TECHWAVE TECHNOLOGY COMPANY LIMITED ("TechWave" hoặc "Chúng tôi"), hiểu rằng dữ liệu cá nhân là tài sản quý giá nhất của bạn trong kỷ nguyên số. Chính sách Quyền riêng tư này ("Chính sách") không chỉ là một văn bản pháp lý, mà là lời cam kết minh bạch về cách chúng tôi bảo vệ, xử lý và tôn trọng thông tin của bạn.
Chính sách này được xây dựng tuân thủ nghiêm ngặt Luật Bảo vệ Dữ liệu Cá nhân (Luật số 91/2025/QH15), Nghị định 13/2023/NĐ-CP và các tiêu chuẩn bảo mật quốc tế. Khi sử dụng dịch vụ của TiềnTút, bạn trao cho chúng tôi niềm tin, và chúng tôi có trách nhiệm gìn giữ niềm tin đó bằng các biện pháp an toàn cao nhất.
Nguyên tắc cốt lõi của chúng tôi
Mọi hoạt động xử lý dữ liệu tại TechWave đều xoay quanh 4 trụ cột:
  •  Hợp pháp & Minh bạch: Chỉ thu thập dữ liệu khi có cơ sở pháp lý rõ ràng và luôn thông báo trước cho người dùng.
  •  Tối thiểu hóa (Data Minimization): Chỉ yêu cầu những dữ liệu thực sự cần thiết cho mục đích cụ thể. "Nếu không cần, tuyệt đối không thu thập".
  •  Người dùng kiểm soát: Bạn luôn giữ quyền quyết định cuối cùng (đồng ý, từ chối, rút lại, yêu cầu xóa) đối với dữ liệu của mình.
  •  Bảo mật mặc định: Các biện pháp an toàn được tích hợp sẵn vào từng dòng mã (Security by Design) ngay từ khâu thiết kế sản phẩm.

1. Phạm vi áp dụng và Đối tượng
Chính sách này áp dụng toàn diện cho mọi tương tác của bạn với hệ sinh thái TechWave, bao gồm nhưng không giới hạn:
  •  Ứng dụng di động TiềnTút (Mobile App): Trên cả hai hệ điều hành Android.
  •  Website chính thức: Các trang web, trang đích (landing pages) và cổng thông tin hỗ trợ trực thuộc TechWave.
  •  Kênh giao tiếp: Email, Tổng đài chăm sóc khách hàng (Hotline), Fanpage mạng xã hội và các kênh chat hỗ trợ.
Lưu ý quan trọng: Chính sách này KHÔNG áp dụng cho các website hoặc dịch vụ của bên thứ ba được liên kết từ ứng dụng của chúng tôi. Chúng tôi khuyến khích bạn đọc kỹ chính sách riêng tư của từng bên thứ ba trước khi cung cấp thông tin cho họ.

2. Thuật ngữ và Định nghĩa
Để đảm bảo sự hiểu biết thống nhất, dưới đây là giải thích chi tiết các thuật ngữ chuyên môn được sử dụng trong Chính sách này:

        
            Thuật ngữ
            Giải thích chi tiết
        

            Dữ liệu cá nhân
            Thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử liên quan đến một con người cụ thể hoặc giúp xác định một con người cụ thể (theo Nghị định 13/2023/NĐ-CP).
        

            Dữ liệu cá nhân nhạy cảm
            Dữ liệu liên quan đến quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp đến quyền và lợi ích hợp pháp của người đó. Bao gồm: dữ liệu vị trí, thông tin tài chính (lịch sử tín dụng, tài khoản ngân hàng), dữ liệu sinh trắc học (ảnh khuôn mặt).
        

            Xử lý dữ liệu
            Một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như: thu thập, ghi nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu.
        

            Chủ thể dữ liệu
            Là cá nhân (bạn) được dữ liệu cá nhân phản ánh. Bạn là người sở hữu tối cao đối với dữ liệu của mình.
        

            Bên Kiểm soát dữ liệu
            Là TechWave - bên quyết định mục đích và phương tiện xử lý dữ liệu cá nhân.
        

            Sự cố dữ liệu
            Sự việc dữ liệu cá nhân bị mất, bị hủy, bị hư hại, bị chỉnh sửa trái phép, bị lộ, lọt hoặc bị truy cập trái phép.
        

            DPIA
            Đánh giá tác động xử lý dữ liệu cá nhân (Data Protection Impact Assessment) - hồ sơ bắt buộc phải lập để đánh giá rủi ro trước khi xử lý dữ liệu nhạy cảm.
        

3. Căn cứ pháp lý và Cam kết tuân thủ
TechWave khẳng định tuân thủ tuyệt đối hệ thống pháp luật Việt Nam. Mọi quy trình xử lý dữ liệu của chúng tôi được thiết kế dựa trên các văn bản pháp luật sau:
1. Luật Bảo vệ dữ liệu cá nhân (PDPL)
Luật số 91/2025/QH15 (có hiệu lực từ 01/01/2026). Đây là kim chỉ nam cho toàn bộ hoạt động của chúng tôi, quy định quyền của chủ thể dữ liệu và nghĩa vụ của bên kiểm soát.
2. Nghị định 13/2023/NĐ-CP
Về bảo vệ dữ liệu cá nhân. Chúng tôi tuân thủ nghiêm ngặt các quy định về thông báo vi phạm trong 72 giờ, đánh giá tác động (DPIA) và chuyển dữ liệu.
Ngoài ra, chúng tôi còn tuân thủ:
  •  Luật An ninh mạng 2018: Về lưu trữ dữ liệu người dùng Việt Nam tại Việt Nam và bảo vệ hệ thống thông tin quan trọng.
  •  Luật Bảo vệ quyền lợi người tiêu dùng 2023: Đảm bảo an toàn thông tin cho người tiêu dùng trong giao dịch điện tử.
  •  Chính sách Dữ liệu người dùng của Google Play: Đảm bảo quyền truy cập nhạy cảm (SMS, Vị trí) chỉ được sử dụng cho tính năng cốt lõi và không lạm dụng.

4. Mục đích xử lý và Vòng đời dữ liệu
Chúng tôi áp dụng nguyên tắc "Mục đích cụ thể" (Purpose Limitation). Dữ liệu thu thập cho mục đích nào chỉ được sử dụng cho mục đích đó. Dưới đây là bảng chi tiết về mục đích, loại dữ liệu và vòng đời xử lý:

        
            Mục đích xử lý
            Loại dữ liệu (Dữ liệu đầu vào)
            Vòng đời xử lý
        

            1. Định danh điện tử (eKYC): Xác minh danh tính khách hàng để tuân thủ quy định AML (Chống rửa tiền).
            Ảnh chân dung (Selfie), Ảnh hai mặt CCCD/CMND, Số điện thoại.
            Thu thập > Trích xuất OCR > So khớp khuôn mặt > Lưu trữ mã hóa (5 năm) > Tự động xóa.
        

            2. Chấm điểm tín dụng & Phê duyệt khoản vay: Đánh giá khả năng trả nợ và rủi ro tín dụng.
            Dữ liệu SMS tài chính (nếu đồng ý), Lịch sử tín dụng, Thông tin thiết bị.
            Thu thập > Phân tích mô hình AI > Ra quyết định hạn mức > Lưu kết quả chấm điểm > Xóa dữ liệu (sau 24 tháng).
        

            3. Phòng chống gian lận (Fraud Detection): Phát hiện thiết bị giả lập, app độc hại, hành vi bất thường.
            Danh sách ứng dụng (Installed Apps), Vị trí gần đúng (Coarse), Mã thiết bị (IMEI/ID).
            Quét (khi mở app) > Đối chiếu danh sách đen > Cảnh báo rủi ro > Lưu log (2 năm) > Xóa.
        

            4. Hỗ trợ khách hàng & Nhắc nợ: Giải đáp thắc mắc, nhắc lịch thanh toán.
            Tên, Số điện thoại, Email, Dữ liệu Lịch (Calendar).
            Thu thập > Gửi thông báo/Email > Lưu lịch sử tương tác > Xóa sau khi đóng tài khoản.
        

            5. Cải thiện sản phẩm: Phân tích lỗi (crash) để sửa bug.
            Nhật ký lỗi (Crash logs), Thông số kỹ thuật thiết bị.
            Thu thập ẩn danh > Tổng hợp báo cáo > Xóa sau 6 tháng.
        

Cam kết KHÔNG QUẢNG CÁO
TechWave cam kết tuyệt đối: Chúng tôi KHÔNG sử dụng dữ liệu nhạy cảm (SMS, Danh sách ứng dụng, Vị trí, Ảnh) để phục vụ mục đích quảng cáo hành vi (Targeted Advertising) hoặc bán cho các bên môi giới dữ liệu (Data Brokers).

5. Cơ sở pháp lý và Cơ chế rút lại đồng ý
Chúng tôi chỉ xử lý dữ liệu khi thỏa mãn ít nhất một trong các điều kiện sau:
1.Sự đồng thuận (Consent): Bạn đã tích chọn "Đồng ý" trên ứng dụng. Đây là cơ sở cao nhất.
2.Hợp đồng (Contract): Việc xử lý là cần thiết để thực hiện Hợp đồng vay vốn mà bạn đã ký kết.
3.Nghĩa vụ pháp lý (Legal Obligation): TechWave phải lưu trữ hồ sơ theo yêu cầu của Ngân hàng Nhà nước, Cơ quan Thuế.
4.Lợi ích hợp pháp (Legitimate Interest): Để bảo vệ hệ thống khỏi các cuộc tấn công mạng và hành vi lừa đảo tài chính.
Cơ chế Rút lại sự đồng ý (Withdraw Consent)
Bạn có quyền đổi ý bất cứ lúc nào. Việc rút lại sự đồng ý sẽ không ảnh hưởng đến tính hợp pháp của việc xử lý dữ liệu trước đó. Tuy nhiên, xin lưu ý rằng nếu bạn rút lại các quyền cốt lõi (như eKYC, Điểm tín dụng), chúng tôi có thể sẽ không thể tiếp tục cung cấp khoản vay cho bạn.
Cách thực hiện:
  •  Vào mục Cài đặt > Quyền riêng tư trong ứng dụng.
  •  Tắt các quyền tương ứng (Vị trí, SMS, v.v.).
  •  Gửi email yêu cầu đến proposal@techwavevietnam.com.

6. Chi tiết quyền truy cập và Cam kết bổ sung
Để đảm bảo tính minh bạch tối đa, dưới đây là giải trình chi tiết cho từng quyền truy cập nhạy cảm mà ứng dụng yêu cầu. TechWave cam kết tuân thủ nghiêm ngặt Chính sách Dữ liệu Người dùng của Google Play.
1. Vị trí (Location)
  •  Phạm vi: Vị trí gần đúng (Coarse Location).
  •  Mục đích: Xác thực địa điểm đăng ký khoản vay nhằm phòng chống gian lận và đánh giá rủi ro theo khu vực.
  •  Cam kết: Không theo dõi vị trí thời gian thực (real-time tracking) cho mục đích tiếp thị.
Cam kết bổ sung:
  •  Chúng tôi KHÔNG BAO GIỜ thu thập vị trí chính xác (Fine Location/GPS) mà chỉ sử dụng vị trí mạng (Network-based) với độ lệch > 3km.
2. Máy ảnh (Camera)
  •  Phạm vi: Truy cập máy ảnh để chụp ảnh.
  •  Mục đích: Chụp ảnh giấy tờ tùy thân (CCCD/CMND) và ảnh chân dung để thực hiện định danh điện tử (eKYC).
  •  Cam kết: Không tự động quay phim hay chụp ảnh khi không có thao tác của người dùng.
Cam kết bổ sung:
  •  Camera chỉ được kích hoạt khi bạn đang ở màn hình eKYC và có biểu tượng đèn báo (Indicator) trên màn hình.
  •  Chúng tôi KHÔNG truy cập thư viện ảnh (Gallery/Photos) của bạn trừ khi bạn chủ động chọn tính năng "Tải ảnh lên".
3. Lịch (Calendar)
  •  Phạm vi: Quyền xem và thêm sự kiện lịch.
  •  Mục đích: Tạo lời nhắc lịch thanh toán khoản vay giúp khách hàng tránh phí phạt quá hạn.
  •  Cam kết: Không đọc các sự kiện lịch sử cá nhân không liên quan đến ứng dụng.
Cam kết bổ sung:
  •  Chúng tôi chỉ GHI (Write) sự kiện nhắc nợ vào lịch. Chúng tôi KHÔNG ĐỌC (Read) các cuộc hẹn riêng tư, lịch làm việc hay bất kỳ thông tin nào khác trong lịch của bạn.
4. Tin nhắn (SMS)
  •  Phạm vi: Đọc tin nhắn tài chính/OTP.
  •  Mục đích: Tự động điền mã OTP để xác thực giao dịch nhanh chóng và hỗ trợ đánh giá khả năng tài chính (chỉ khi được cho phép).
  •  Cam kết: Dữ liệu được mã hóa và truyền tải bảo mật; không đọc nội dung tin nhắn riêng tư cá nhân.
Cam kết bổ sung:
  •  Chúng tôi chỉ thu thập tin nhắn từ ngân hàng và ví điện tử (tên thương hiệu). Thông tin cá nhân từ số điện thoại sẽ bị xóa vĩnh viễn trực tiếp khỏi thiết bị.
  •  Dữ liệu SMS không bao giờ được chia sẻ cho bên thứ ba vì bất kỳ mục đích thương mại nào.
5. Danh sách ứng dụng (Installed Apps)
  •  Phạm vi: Danh mục các ứng dụng đã cài đặt trên thiết bị.
  •  Mục đích: Phát hiện các ứng dụng độc hại, giả mạo hoặc có dấu hiệu rủi ro cao để bảo vệ tài khoản.
  •  Cam kết: Không thu thập dữ liệu bên trong các ứng dụng khác.
Cam kết bổ sung:
  •  Chúng tôi chỉ thu thập Tên ứng dụng (Package Name) và thời gian cài đặt.
  •  Dữ liệu này được sử dụng duy nhất để chấm điểm tín dụng (Credit Scoring) và phát hiện gian lận (Fraud Detection).
6. Thông tin thiết bị (Device Info)
  •  Phạm vi: Mã thiết bị, hệ điều hành, trạng thái mạng.
  •  Mục đích: Liên kết thiết bị duy nhất với tài khoản để ngăn chặn hành vi đăng nhập trái phép từ thiết bị lạ.
Cam kết bổ sung:
  •  Chúng tôi sử dụng Android ID và IDFA để định danh thiết bị. Bạn có thể reset các ID này trong phần cài đặt điện thoại.
  •  Thông tin này giúp chúng tôi phát hiện nếu tài khoản của bạn bị đăng nhập từ một thiết bị lạ (Device Fingerprinting).

7. Quyền của Chủ thể dữ liệu và Hướng dẫn thực hiện
Theo Nghị định 13/2023/NĐ-CP và Luật PDPL 2025, bạn có 11 quyền cơ bản. TechWave tôn trọng và tạo mọi điều kiện để bạn thực thi các quyền này:

        
            Quyền của bạn
            Hướng dẫn thực hiện & Lưu ý
        

            1. Quyền được biết
            Bạn có quyền được thông báo về việc dữ liệu của mình được xử lý như thế nào. Chính sách này chính là cách chúng tôi thực hiện quyền này.
        

            2. Quyền đồng ý & 3. Rút lại đồng ý
            Bạn có thể đồng ý hoặc từ chối tirmg quyền truy cập trong lần đầu mở app, hoặc vào Cài đặt > Quyền riêng tư để tât (Rút lại) sau này.
        

            4. Quyền truy cập & 5. Quyền chỉnh sửa
            Xem và sửa thông tin cá nhân tại mục "Hồ sơ của tôi". Với các thông tin quan trọng (CMND, Số ĐT), vui lòng liên hệ CSKH để được hỗ trợ xác minh.
        

            6. Quyền xóa dữ liệu (Right to be Forgotten)
            Yêu cầu xóa toàn bộ tài khoản và dữ liệu. Lưu ý: Dữ liệu giao dịch tài chính phải lưu 05 năm theo Luật Kế toán, không thể xóa ngay.
        

            7. Quyền hạn chế & 8. Quyền phản đối xử lý
            Gửi email yêu cầu chúng tôi ngừng xử lý dữ liệu cho một mục đích cụ thể (ví dụ: ngừng gửi email tiếp thị).
        

            9. Quyền cung cấp dữ liệu
            Yêu cầu TechWave xuất dữ liệu của bạn dưới dạng máy có thể đọc được (.csv,.json) để chuyển sang bên khác.
        

            10. Không chịu tác động của xử lý tự động
            Bạn có quyền từ chối các quyết định tin dung hoàn toàn tự động. Chúng tôi có quy trình "Duyệt thủ công" (Human Review) khi bạn khiếu nại kết quả.
        

            11. Quyền khiếu nại, tổ chức
            Nếu không hài lòng, bạn có quyền khiếu nại lên Cục An ninh mạng (A05) - Bộ Công an.
        

Quy trình xử lý yêu cầu quyền (SOP)
Gửi yêu cầu: Bạn gửi yêu cầu qua email proposal@techwavevietnam.com kèm ảnh chụp giấy tờ tùy thân để xác minh chủ sở hữu.
Tiếp nhận (72h): Hệ thống tự động gửi email xác nhận đã nhận yêu cầu trong vòng 72 giờ.
Thẩm định: DPO kiểm tra tính hợp lệ. Chúng tôi có quyền từ chối nếu yêu cầu trái luật (ví dụ: yêu cầu xóa nợ) hoặc không xác minh được danh tính.
Xử lý & Phản hồi (30 ngày): Chúng tôi thực hiện yêu cầu (xóa, sửa, xuất dữ liệu) và gửi báo cáo kết quả. Trường hợp phức tạp có thể gia hạn thêm 30 ngày (có thông báo).

8. Chính sách lưu trữ và Xóa dữ liệu
Dữ liệu không được lưu trữ vô thời hạn. Chúng tôi thiết lập "Ngày hết hạn" (Expiration Date) cho từng loại dữ liệu:

        
            Loại dữ liệu
            Thời hạn
            Căn cứ pháp lý
            Hành động khi hết hạn
        

            Dữ liệu eKYC, Hồ sơ vay
            05 năm
            Luật Kế toán & Luật Các TCTD
            Xóa vĩnh viễn hoặc Ẩn danh hóa (Anonymize) để làm báo cáo thống kê.
        

            Ngày ký hệ thống (Logs)
            02 năm
            Luật An ninh mạng 2018
            Tự động ghi đè (Rotate) hoặc xóa.
        

            Dữ liệu Vị trí (Coarse)
            90 ngày
            Mục đích phòng chống gian lận
            Xóa tự động khỏi hệ thống nóng (Hot Storage).
        

            Dữ liệu Tiếp thị (Email/SDT)
            Ngay lập tức
            Khi người dùng rút lại đồng ý
            Đưa vào danh sách "Không làm phiền" (Blacklist DNC).
        

9. Biện pháp An toàn thông tin
TechWave áp dụng mô hình bảo mật "Defense-in-Depth" (Phòng thủ chiều sâu) với các lớp bảo vệ chồng lên nhau:
1. Bảo mật Kỹ thuật (Technical)
  •  Mã hóa (Encryption): Dữ liệu đường truyền dùng TLS 1.3. Dữ liệu lưu trữ (Data at Rest) dùng AES-256.
  •  RASP: Tích hợp Runtime Application Self-Protection để ngăn chặn App bị dịch ngược (Decompile) hoặc chạy trên máy ảo/Root.
  •  IAM: Hệ thống quản lý truy cập đặc quyền, yêu cầu xác thực đa yếu tố (MFA) cho nhân viên quản trị.
2. Bảo mật Tổ chức (Organizational)
  •  NDA: 100% nhân viên ký cam kết bảo mật không tiết lộ thông tin.
  •  Đào tạo: Khóa học định kỳ hàng quý về nhận thức an toàn thông tin và Phishing.
  •  Kiểm toán (Audit): Thực hiện Penetration Test (Kiểm thử xâm nhập) định kỳ 6 tháng/lần bởi bên thứ 3 độc lập.

10. Quy trình Ứng phó sự cố (72 Giờ)
Không hệ thống nào an toàn 100%. Vì vậy, chúng tôi luôn sẵn sàng quy trình ứng phó khẩn cấp theo tiêu chuẩn Nghị định 13:
1.Phát hiện & Cô lập (0-4h): Hệ thống giám sát (SOC) phát hiện bất thường. Đội phản ứng nhanh (CERT) lập tức ngắt kết nối hệ thống bị ảnh hưởng để ngăn chặn lây lan.
2.Đánh giá & Điều tra (4-24h): Xác định nguyên nhân, phạm vi dữ liệu bị ảnh hưởng và mức độ rủi ro đối với người dùng.
3.Thông báo (Trước 72h): Gửi báo cáo sơ bộ cho Cục A05 (Bộ Công an) và thông báo cho người dùng bị ảnh hưởng qua Email/App Notification (nếu rủi ro cao).
4.Khắc phục & Phục hồi: Vá lỗ hổng, khôi phục dữ liệu từ bản sao lưu (Backup) và đưa hệ thống hoạt động trở lại.
5.Hậu kiểm (Post-Mortem): Rút kinh nghiệm và cập nhật quy trình để ngăn ngừa tái diễn.

11. Chia sẻ dữ liệu với Bên thứ ba
TechWave khẳng định: CHÚNG TÔI KHÔNG BÁN DỮ LIỆU CỦA BẠN.
Dữ liệu chỉ được chia sẻ trong các trường hợp cần thiết sau, và luôn đi kèm Thỏa thuận Xử lý Dữ liệu (DPA) chặt chẽ:

        
            Bên nhận dữ liệu
            Mục đích
            Dữ liệu chia sẻ
        

            Đối tác eKYC (VNPT/FPT...)
            Xác thực giấy tờ tự thân gia/thật.
            Ảnh CCCD, Ảnh chân dung.
        

            Đối tác Công thanh toán (Payment Gateway)
            Xử lý giải ngân và thu nợ.
            Số tài khoản ngân hàng, Số tiền.
        

            Cơ quan Nhà nước
            Điều tra tội phạm (chỉ khi có vấn đề yêu cầu hợp pháp).
            Toàn bộ hồ sơ theo yêu cầu.
        

Lưu ý về Chuyển dữ liệu xuyên biên giới: Hiện tại, toàn bộ dữ liệu của TechWave được lưu trữ và xử lý độc quyền tại các máy chủ đặt tại Việt Nam. Chúng tôi KHÔNG thực hiện bất kỳ hoạt động chuyển dữ liệu nào ra nước ngoài.

12. Cookie và SDK
Ứng dụng sử dụng một số bộ công cụ phát triển phần mềm (SDK) và Cookie để vận hành. Chúng tôi minh bạch danh sách SDK:
  •  Firebase (Google): Phân tích lỗi (Crashlytics) và gửi thông báo (FCM). Không dùng Advertising ID cho quảng cáo.
  •  eKYC SDK: Chụp và xử lý ảnh giấy tờ ngay trên thiết bị trước khi gửi về server.
  •  Location SDK: Xác định vị trí gần đúng để fraud check.
Bạn có thể tắt tính năng thu thập của các SDK phân tích trong mục Cài đặt ứng dụng.

13. Liên hệ và DPO
TechWave đã bổ nhiệm một Cán bộ Bảo vệ Dữ liệu (Data Protection Officer - DPO) để giám sát việc tuân thủ.
Thông tin liên hệ:
  •  Đơn vị: TECHWAVE TECHNOLOGY COMPANY LIMITED
  •  Email DPO: proposal@techwavevietnam.com
  •  Thời gian làm việc: 8:00 - 17:30 (Thứ 2 - Thứ 6).
  •  Ngôn ngữ hỗ trợ: Tiếng Việt, Tiếng Anh.

14. Hiệu lực và Sửa đổi
Chính sách này có hiệu lực kể từ ngày 01/01/2026 (Phiên bản 2.0). Chúng tôi có quyền sửa đổi chính sách này để phù hợp với quy định pháp luật. Mọi thay đổi quan trọng sẽ được thông báo trước 07 ngày qua ứng dụng. Nếu thay đổi ảnh hưởng lớn đến quyền lợi của bạn, chúng tôi sẽ thực hiện quy trình xin lại sự đồng ý (Re-consent).

            

Chính sách bảo mật

Liên kết nhanh

Về chúng tôi

Thuật ngữ	Giải thích chi tiết
Dữ liệu cá nhân	Thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử liên quan đến một con người cụ thể hoặc giúp xác định một con người cụ thể (theo Nghị định 13/2023/NĐ-CP).
Dữ liệu cá nhân nhạy cảm	Dữ liệu liên quan đến quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp đến quyền và lợi ích hợp pháp của người đó. Bao gồm: dữ liệu vị trí, thông tin tài chính (lịch sử tín dụng, tài khoản ngân hàng), dữ liệu sinh trắc học (ảnh khuôn mặt).
Xử lý dữ liệu	Một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như: thu thập, ghi nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu.
Chủ thể dữ liệu	Là cá nhân (bạn) được dữ liệu cá nhân phản ánh. Bạn là người sở hữu tối cao đối với dữ liệu của mình.
Bên Kiểm soát dữ liệu	Là TechWave - bên quyết định mục đích và phương tiện xử lý dữ liệu cá nhân.
Sự cố dữ liệu	Sự việc dữ liệu cá nhân bị mất, bị hủy, bị hư hại, bị chỉnh sửa trái phép, bị lộ, lọt hoặc bị truy cập trái phép.
DPIA	Đánh giá tác động xử lý dữ liệu cá nhân (Data Protection Impact Assessment) - hồ sơ bắt buộc phải lập để đánh giá rủi ro trước khi xử lý dữ liệu nhạy cảm.

Mục đích xử lý	Loại dữ liệu (Dữ liệu đầu vào)	Vòng đời xử lý
1. Định danh điện tử (eKYC): Xác minh danh tính khách hàng để tuân thủ quy định AML (Chống rửa tiền).	Ảnh chân dung (Selfie), Ảnh hai mặt CCCD/CMND, Số điện thoại.	Thu thập > Trích xuất OCR > So khớp khuôn mặt > Lưu trữ mã hóa (5 năm) > Tự động xóa.
2. Chấm điểm tín dụng & Phê duyệt khoản vay: Đánh giá khả năng trả nợ và rủi ro tín dụng.	Dữ liệu SMS tài chính (nếu đồng ý), Lịch sử tín dụng, Thông tin thiết bị.	Thu thập > Phân tích mô hình AI > Ra quyết định hạn mức > Lưu kết quả chấm điểm > Xóa dữ liệu (sau 24 tháng).
3. Phòng chống gian lận (Fraud Detection): Phát hiện thiết bị giả lập, app độc hại, hành vi bất thường.	Danh sách ứng dụng (Installed Apps), Vị trí gần đúng (Coarse), Mã thiết bị (IMEI/ID).	Quét (khi mở app) > Đối chiếu danh sách đen > Cảnh báo rủi ro > Lưu log (2 năm) > Xóa.
4. Hỗ trợ khách hàng & Nhắc nợ: Giải đáp thắc mắc, nhắc lịch thanh toán.	Tên, Số điện thoại, Email, Dữ liệu Lịch (Calendar).	Thu thập > Gửi thông báo/Email > Lưu lịch sử tương tác > Xóa sau khi đóng tài khoản.
5. Cải thiện sản phẩm: Phân tích lỗi (crash) để sửa bug.	Nhật ký lỗi (Crash logs), Thông số kỹ thuật thiết bị.	Thu thập ẩn danh > Tổng hợp báo cáo > Xóa sau 6 tháng.

Quyền của bạn	Hướng dẫn thực hiện & Lưu ý
1. Quyền được biết	Bạn có quyền được thông báo về việc dữ liệu của mình được xử lý như thế nào. Chính sách này chính là cách chúng tôi thực hiện quyền này.
2. Quyền đồng ý & 3. Rút lại đồng ý	Bạn có thể đồng ý hoặc từ chối tirmg quyền truy cập trong lần đầu mở app, hoặc vào Cài đặt > Quyền riêng tư để tât (Rút lại) sau này.
4. Quyền truy cập & 5. Quyền chỉnh sửa	Xem và sửa thông tin cá nhân tại mục "Hồ sơ của tôi". Với các thông tin quan trọng (CMND, Số ĐT), vui lòng liên hệ CSKH để được hỗ trợ xác minh.
6. Quyền xóa dữ liệu (Right to be Forgotten)	Yêu cầu xóa toàn bộ tài khoản và dữ liệu. Lưu ý: Dữ liệu giao dịch tài chính phải lưu 05 năm theo Luật Kế toán, không thể xóa ngay.
7. Quyền hạn chế & 8. Quyền phản đối xử lý	Gửi email yêu cầu chúng tôi ngừng xử lý dữ liệu cho một mục đích cụ thể (ví dụ: ngừng gửi email tiếp thị).
9. Quyền cung cấp dữ liệu	Yêu cầu TechWave xuất dữ liệu của bạn dưới dạng máy có thể đọc được (.csv,.json) để chuyển sang bên khác.
10. Không chịu tác động của xử lý tự động	Bạn có quyền từ chối các quyết định tin dung hoàn toàn tự động. Chúng tôi có quy trình "Duyệt thủ công" (Human Review) khi bạn khiếu nại kết quả.
11. Quyền khiếu nại, tổ chức	Nếu không hài lòng, bạn có quyền khiếu nại lên Cục An ninh mạng (A05) - Bộ Công an.

Loại dữ liệu	Thời hạn	Căn cứ pháp lý	Hành động khi hết hạn
Dữ liệu eKYC, Hồ sơ vay	05 năm	Luật Kế toán & Luật Các TCTD	Xóa vĩnh viễn hoặc Ẩn danh hóa (Anonymize) để làm báo cáo thống kê.
Ngày ký hệ thống (Logs)	02 năm	Luật An ninh mạng 2018	Tự động ghi đè (Rotate) hoặc xóa.
Dữ liệu Vị trí (Coarse)	90 ngày	Mục đích phòng chống gian lận	Xóa tự động khỏi hệ thống nóng (Hot Storage).
Dữ liệu Tiếp thị (Email/SDT)	Ngay lập tức	Khi người dùng rút lại đồng ý	Đưa vào danh sách "Không làm phiền" (Blacklist DNC).

Bên nhận dữ liệu	Mục đích	Dữ liệu chia sẻ
Đối tác eKYC (VNPT/FPT...)	Xác thực giấy tờ tự thân gia/thật.	Ảnh CCCD, Ảnh chân dung.
Đối tác Công thanh toán (Payment Gateway)	Xử lý giải ngân và thu nợ.	Số tài khoản ngân hàng, Số tiền.
Cơ quan Nhà nước	Điều tra tội phạm (chỉ khi có vấn đề yêu cầu hợp pháp).	Toàn bộ hồ sơ theo yêu cầu.