Pháp lý

Chính sách quyền riêng tư

Phiên bản 2.0

Phiên bản: 2.0

Ngày cập nhật gần nhất: 25/05/2026

Rafetus cam kết bảo vệ quyền riêng tư, an toàn dữ liệu cá nhân của người dùng và xây dựng một ứng dụng quản lý tri thức nói không với các hành vi vi phạm bản quyền tác giả. Văn bản này quy định minh bạch quyền lợi, nghĩa vụ của các bên trong việc xử lý dữ liệu và quản lý tệp tin tải lên, tuân thủ chặt chẽ hệ thống pháp luật hiện hành của nước Cộng hòa Xã hội Chủ nghĩa Việt Nam, trọng tâm bao gồm:

PHẦN INGUYÊN TẮC CHUNG VÀ CHỦ THỂ QUẢN LÝ

Điều 1. Phạm vi áp dụng và Tính pháp lý

  1. Chính sách này áp dụng đối với tất cả các hoạt động truy cập, đăng ký tài khoản và sử dụng các tính năng trên toàn bộ hệ sinh thái Rafetus, bao gồm:
    1. Trang web chính thức tại rafetus.vn (marketing, hồ sơ, thanh toán, khảo sát cộng đồng).
    2. Cổng xác thực tại auth.rafetus.vn.
    3. Ứng dụng quản lý tri thức tại app.rafetus.vn cùng các phiên bản trình duyệt và di động liên kết cùng tài khoản.
  2. Việc bạn bấm xác nhận đồng ý, đăng ký tài khoản hoặc tiếp tục sử dụng dịch vụ được coi là hành vi thiết lập một giao dịch điện tử hợp pháp, thể hiện sự tự nguyện chấp thuận các điều khoản được quy định tại văn bản này, trừ khi pháp luật yêu cầu sự đồng ý riêng cho từng mục đích (ví dụ: trợ lý trí tuệ nhân tạo, chương trình khảo sát nghiên cứu).

Điều 2. Thông tin Chủ thể kiểm soát và Xử lý dữ liệu

  1. Đơn vị vận hành hệ thống: Rafetus, do ông Lê Trí Nhân làm đại diện hợp pháp, đóng vai trò là Chủ thể kiểm soát và trực tiếp thực hiện việc xử lý dữ liệu cá nhân của người dùng.
  2. Bộ phận chuyên trách bảo vệ dữ liệu: Mọi yêu cầu liên quan đến việc thực thi các quyền riêng tư, xóa dữ liệu, rút đồng ý xử lý hoặc thông báo khiếu nại về nội dung vi phạm bản quyền xin gửi về địa chỉ thư điện tử chính thức: support@rafetus.vn.

PHẦN IIDANH MỤC DỮ LIỆU THU THẬP VÀ HẠ TẦNG LƯU TRỮ

Rafetus áp dụng kiến trúc công nghệ đám mây phân mảnh để bảo vệ dữ liệu một cách tối ưu. Dữ liệu của bạn được phân chia cấu trúc và lưu giữ tại các phân khu máy chủ độc lập (Supabase cho tài khoản và cơ sở dữ liệu ứng dụng; Cloudflare Workers và R2 cho vận hành web, tệp tin và bảo vệ biên).

Điều 3. Dữ liệu Tài khoản, Giao dịch tài chính và Cài đặt dịch vụ

  1. Thông tin định danh cơ bản: Địa chỉ thư điện tử, tên hiển thị (handle) và mật khẩu truy cập đã qua mã hóa băm một chiều do hệ thống xác thực Supabase quản lý. Phiên đăng nhập được duy trì qua cookie và mã phiên bảo mật trên thiết bị sau khi bạn xác thực tại auth.rafetus.vn.
  2. Thông tin gói dịch vụ và hạn mức: Loại gói (miễn phí, trả phí), thời hạn đăng ký, hạn mức token trợ lý Rafai và cài đặt thanh toán theo mức sử dụng (nếu có).
  3. Cài đặt thanh toán linh hoạt (Rafai): Khi bạn bật tính năng, hệ thống có thể lưu trần token tiêu thụ hàng tháng (soft cap) và lựa chọn thanh toán theo mức sử dụng (pay-as-you-go) — chỉ là thông số vận hành tài khoản, không phải thông tin thẻ ngân hàng.
  4. Thông tin đối soát giao dịch: Khi người dùng nâng cấp gói dịch vụ thông qua đối tác liên kết thanh toán SePay hoặc VNPAY, hệ thống chỉ tiếp nhận và lưu trữ gói thông tin phản hồi thanh toán tức thời bao gồm mã hóa đơn, số tiền chuyển khoản, trạng thái giao dịch, mốc thời gian và (đối với SePay) bản ghi phản hồi IPN kỹ thuật phục vụ đối soát. Rafetus cam kết không thu thập, không lưu trữ thông tin thẻ ngân hàng, số thẻ tín dụng hoặc mật khẩu ứng dụng tài chính của bạn dưới bất kỳ hình thức nào.

Điều 4. Tài liệu học tập và Tập tin vật lý

  1. Khu vực lưu trữ độc lập: Toàn bộ tệp tin do người dùng tải lên hệ thống như tài liệu nghiên cứu, sách điện tử cá nhân, hình ảnh hoặc các ghi chú định dạng thô được lưu trữ cách ly hoàn toàn tại hệ thống lưu trữ đối tượng đám mây Cloudflare R2.
  2. Cơ chế kiểm soát quyền truy cập: Hệ thống tự động thiết lập các đường liên kết truy cập được ký xác thực có thời hạn. Chỉ tài khoản của chính bạn sau khi đăng nhập hợp lệ mới có quyền yêu cầu hệ thống sinh mã và tải tệp từ kho lưu trữ.

Điều 5. Dữ liệu phát sinh tự động và Nhật ký kỹ thuật

  1. Dữ liệu sử dụng: Nhật ký tương tác với tài nguyên và nội dung ghi chú cá nhân (khi bạn sử dụng các tính năng tương ứng trên ứng dụng).
  2. Nhật ký hệ thống: Địa chỉ mạng, loại thiết bị sử dụng, mốc thời gian truy cập được ghi nhận tự động thông qua hệ thống tường lửa và vận hành Cloudflare Workers. Các thông tin này chỉ nhằm phục vụ mục đích ngăn chặn tấn công từ chối dịch vụ, chống hành vi tự động cào dữ liệu trái phép, gỡ lỗi vận hành và đáp ứng nghĩa vụ lưu vết kỹ thuật của Luật An ninh mạng.
  3. Rafetus hiện không triển khai công cụ quảng cáo theo dõi hành vi (remarketing) hoặc phân tích marketing bên thứ ba trên trang web chính thức.

Điều 6. Dữ liệu lưu trữ cục bộ trên thiết bị của bạn

  1. Khóa bảo mật cá nhân: Khóa giải mã và cụm từ khôi phục gồm hai mươi tư từ khóa phục vụ tính năng mã hóa đầu cuối nâng cao chỉ được tạo lập và lưu trữ cục bộ duy nhất trên thiết bị cá nhân của bạn. Máy chủ của Rafetus hoàn toàn không lưu trữ và không thể can thiệp vào các khóa bảo mật này.
  2. Công cụ hỗ trợ trình duyệt: Mã định danh phiên đăng nhập Supabase, tùy chọn ngôn ngữ hiển thị (rafetus-locale) và giao diện sáng/tối (rafetus-theme) được lưu trên cookie và/hoặc bộ nhớ cục bộ của trình duyệt nhằm tối ưu trải nghiệm. Mã phiên xác thực được xóa khi bạn chọn đăng xuất khỏi hệ thống.

Điều 7. Cookie và công nghệ tương tự

  1. Cookie bắt buộc: Duy trì phiên đăng nhập, bảo mật tuyến đường và chống lạm dụng (ví dụ Cloudflare Turnstile khi được bật trên cổng đăng nhập).
  2. Cookie chức năng: Lưu ngôn ngữ và chủ đề giao diện theo lựa chọn của bạn.
  3. Tài nguyên bên ngoài: Trang web có thể tải phông chữ hoặc biểu tượng từ nhà cung cấp bên thứ ba (ví dụ Google Fonts) — trình duyệt của bạn có thể gửi yêu cầu kèm thông tin kỹ thuật tiêu chuẩn tới máy chủ đó.
  4. Bạn có thể xóa cookie qua cài đặt trình duyệt; một số tính năng (đăng nhập, ngôn ngữ) có thể không hoạt động đúng nếu cookie bị vô hiệu hóa.

Điều 8. Chương trình khảo sát và đóng góp nghiên cứu

  1. Khảo sát gán nhãn tri thức (có thể không yêu cầu đăng nhập): Khi bạn tham gia khảo sát cộng đồng trên website, bạn có thể cung cấp địa chỉ email làm định danh phiên, thông tin nhân khẩu học tự khai báo (vai trò nhận thức, mật độ thông tin, công cụ tư duy, nhóm tuổi), lựa chọn quan hệ giữa các mệnh đề, lý do lựa chọn, thời gian hoàn thành và số lần thao tác bàn phím. Dữ liệu này chỉ được xử lý khi bạn chủ động gửi biểu mẫu và đồng ý mục đích nghiên cứu được nêu tại thời điểm tham gia.
  2. Đóng góp nghiên cứu (yêu cầu đăng nhập): Khi đã đăng nhập, bạn có thể gán nhãn quan hệ tri thức giữa các mệnh đề cố định; hệ thống lưu mã định danh tài khoản, nhãn quan hệ và văn bản bổ sung do bạn nhập (nếu có).
  3. Mục đích: Cải thiện mô hình hiểu quan hệ tri thức và chất lượng sản phẩm Rafetus; không dùng email khảo sát để gửi quảng cáo không liên quan nếu bạn không đồng ý riêng.
  4. Bạn có thể yêu cầu xóa dữ liệu khảo sát gắn với email của mình bằng cách liên hệ support@rafetus.vn.

Điều 9. Siêu dữ liệu tài nguyên từ nguồn bên thứ ba

  1. Khi bạn tra cứu hoặc thêm tài nguyên, Rafetus có thể hiển thị siêu dữ liệu (tiêu đề, tác giả, bìa, mô tả ngắn) lấy từ thư viện công khai hoặc đối tác hợp pháp (ví dụ Open Library). Rafetus không tuyên bố sở hữu bản quyền nội dung của bên thứ ba; bạn vẫn chịu trách nhiệm về tính hợp pháp của tài nguyên bạn tự tải lên.

PHẦN IIICHÍNH SÁCH BẢO VỆ BẢN QUYỀN VÀ XỬ LÝ TÀI LIỆU LẬU

Điều 10. Áp dụng Nguyên tắc miễn trừ trách nhiệm pháp lý

  1. Rafetus hoạt động với tư cách là bên cung cấp dịch vụ lưu trữ trung gian trực tuyến, tạo ra không gian lưu trữ và quản lý tri thức cho người dùng. Người dùng là người trực tiếp tải lên và sử dụng các tài liệu cá nhân, do đó người dùng phải tự chịu trách nhiệm trước pháp luật về tính hợp pháp của mọi tệp tin mình tải lên hệ thống. Rafetus được miễn trừ toàn bộ trách nhiệm liên đới đối với các hành vi vi phạm bản quyền do người dùng thực hiện, với điều kiện chúng tôi tuân thủ nghiêm ngặt quy trình gỡ bỏ nội dung khi có thông báo vi phạm hợp lệ.

Điều 11. Các hành vi nghiêm cấm tuyệt đối

  1. Hệ thống Rafetus kiên quyết từ chối hỗ trợ và nghiêm cấm người dùng thực hiện các hành vi tải lên, lưu trữ hoặc chia sẻ:
    1. Các loại sách điện tử, tài liệu học tập, giáo trình vi phạm quyền tác giả, không có sự cho phép của chủ sở hữu bản quyền hoặc không có nguồn gốc hợp pháp (tài liệu sao chép lậu).
    2. Các văn bản có nội dung đồi trụy, xuyên tạc danh dự người khác hoặc xâm phạm an ninh quốc gia.
    3. Các tệp chứa mã độc, virus máy tính hoặc các công cụ phá hoại hệ thống an ninh mạng.

Điều 12. Quy trình tiếp nhận báo cáo và gỡ bỏ tài liệu vi phạm

  1. Nhằm bảo vệ tối đa lợi ích của tác giả và các nhà xuất bản, Rafetus thiết lập quy trình gỡ bỏ nội dung vi phạm bản quyền nhanh chóng như sau:
    1. Phương thức tiếp nhận: Khi chủ sở hữu quyền tác giả phát hiện tác phẩm của mình bị đăng tải trái phép trên hệ thống của chúng tôi, vui lòng gửi văn bản yêu cầu gỡ bỏ tới địa chỉ thư điện tử support@rafetus.vn kèm theo chứng nhận quyền sở hữu hợp pháp và chỉ dẫn chính xác vị trí tệp tin vi phạm.
    2. Thời hạn xử lý: Rafetus cam kết tiến hành xác minh thông tin và thực hiện biện pháp đình chỉ quyền truy cập, ẩn hoặc xóa bỏ vĩnh viễn tệp tin vi phạm khỏi hệ thống trong vòng tối đa từ hai mươi tư đến bốn mươi tám giờ làm việc kể từ khi tiếp nhận yêu cầu hợp lệ.
    3. Hình thức xử lý người dùng tái phạm: Đối với các tài khoản có hành vi cố ý tải lên tài liệu vi phạm bản quyền hoặc lưu trữ sách lậu từ hai lần trở lên, hệ thống sẽ tiến hành khóa tài khoản vĩnh viễn, từ chối cung cấp dịch vụ và không hoàn trả bất kỳ khoản phí nào đã đóng.

PHẦN IVCÔNG NGHỆ BẢO MẬT, BÊN THỨ BA VÀ TRÍ TUỆ NHÂN TẠO

Điều 13. Tiêu chuẩn bảo mật đường truyền và cách ly cơ sở dữ liệu

  1. Bảo vệ đường truyền: Toàn bộ dữ liệu chuyển động giữa thiết bị cá nhân của người dùng và máy chủ Rafetus bắt buộc phải đi qua lớp bảo mật mã hóa đường truyền tiêu chuẩn cao cấp nhất của Cloudflare (TLS).
  2. Mã hóa khi lưu trữ tĩnh: Mọi tệp tài liệu lưu tại hệ thống lưu trữ đối tượng Cloudflare R2 và thông tin tại hệ thống cơ sở dữ liệu Supabase đều được mã hóa tự động ở tầng vật lý bằng thuật toán mã hóa đối xứng tiên tiến với khóa bảo mật độ dài hai trăm năm mươi sáu bit.
  3. Tính năng phân quyền cấp hàng dữ liệu: Hệ thống áp dụng quy tắc kiểm soát nghiêm ngặt đối với từng truy vấn của người dùng (Row Level Security). Mỗi tài khoản chỉ có quyền đọc hoặc ghi những dữ liệu thuộc về chính mình thông qua khóa định danh phiên làm việc dạng chuỗi bảo mật, loại bỏ hoàn toàn khả năng rò rỉ thông tin chéo giữa các người dùng.

Điều 14. Tính năng Mã hóa đầu cuối nâng cao

  1. Đối với ghi chú cá nhân hoặc nội dung nhạy cảm khác mà người dùng chủ động kích hoạt tính năng mã hóa đầu cuối:
    1. Nội dung văn bản gốc sẽ được chuyển đổi thành chuỗi ký tự mật mã ngay trên trình duyệt hoặc thiết bị cá nhân của bạn (thuật toán AES-256-GCM) trước khi chuyển lên máy chủ lưu trữ đám mây.
    2. Máy chủ của Rafetus chỉ ghi nhận các ký tự đã được mã hóa và không có khả năng đọc được nội dung gốc. Người dùng cần lưu ý rằng nếu làm mất cụm từ khôi phục bảo mật, dữ liệu sẽ bị mất vĩnh viễn và trợ lý trí tuệ nhân tạo sẽ không thể phân tích các nội dung này.

Điều 15. Cam kết về Dữ liệu đối với Trợ lý Trí tuệ nhân tạo (Rafai)

  1. Rafetus chỉ xử lý nội dung của bạn qua Rafai khi bạn chủ động bật hoặc gọi tính năng tương ứng; mỗi lần sử dụng phải có mục đích được thông báo rõ ràng.
  2. Rafetus cam kết không sử dụng ghi chú hoặc nội dung riêng tư khác chưa được bạn công khai để làm tài liệu huấn luyện cho bất kỳ mô hình ngôn ngữ lớn nào của hệ thống hoặc của bên thứ ba.
  3. Khi bạn sử dụng trợ lý Rafai, dữ liệu trong phạm vi phiên làm việc có thể được truyền sang máy chủ của đối tác công nghệ thông qua cổng kết nối dành cho doanh nghiệp. Rafetus áp dụng cam kết không lưu trữ dữ liệu nội dung tại máy chủ dịch vụ của đối tác để huấn luyện mô hình: dữ liệu chỉ được xử lý tạm thời để trả về kết quả và không được dùng làm tập huấn luyện từ nội dung riêng tư của bạn.
  4. Bạn có thể rút đồng ý hoặc tắt Rafai theo cài đặt sản phẩm; việc tắt không ảnh hưởng các chức năng cốt lõi không phụ thuộc AI.

Điều 16. Bên xử lý dữ liệu và chuyển dữ liệu xuyên biên giới

  1. Rafetus có thể chia sẻ dữ liệu với các bên xử lý dữ liệu sau, chỉ trong phạm vi cần thiết cho vận hành dịch vụ:
    1. Supabase (xác thực, cơ sở dữ liệu ứng dụng).
    2. Cloudflare (CDN, Workers, R2, bảo vệ và chống bot).
    3. SePay và VNPAY (thanh toán và đối soát).
    4. Nhà cung cấp mô hình AI (chỉ khi bạn bật và sử dụng Rafai).
  2. Rafetus không bán danh sách email hoặc hồ sơ cá nhân cho bên quảng cáo. Các máy chủ của đối tác có thể đặt tại ngoài lãnh thổ Việt Nam; Rafetus yêu cầu các bên này tuân thủ nghĩa vụ bảo mật và chỉ xử lý theo hướng dẫn của Rafetus.

PHẦN VQUYỀN CHỦ THỂ DỮ LIỆU VÀ ĐIỀU KHOẢN THI HÀNH

Điều 17. Các quyền hợp pháp của Người dùng

  1. Quy chiếu theo các quy định của Luật Bảo vệ dữ liệu cá nhân, người dùng có các quyền năng pháp lý đầy đủ bao gồm: Quyền được biết về hoạt động xử lý dữ liệu; Quyền yêu cầu cung cấp dữ liệu cá nhân đã thu thập; Quyền truy cập và tự chỉnh sửa thông tin; Quyền yêu cầu xóa bỏ, hạn chế xử lý hoặc phản đối trong các trường hợp pháp luật cho phép; Quyền rút lại sự đồng ý sử dụng các tính năng trí tuệ nhân tạo và chương trình khảo sát; Quyền thay đổi trạng thái riêng tư/công khai của nội dung nếu tính năng hỗ trợ; và Quyền gửi khiếu nại hành vi xử lý dữ liệu trái luật. Mọi yêu cầu thực thi quyền xin vui lòng gửi về support@rafetus.vn; chúng tôi sẽ xử lý và phản hồi trong thời hạn không quá bảy mươi hai giờ làm việc, trừ trường hợp pháp luật cho phép gia hạn có thông báo lý do.

Điều 18. Trẻ em và người chưa đủ năng lực hành vi dân sự

  1. Dịch vụ không hướng tới trẻ em dưới mười ba tuổi. Người từ mười ba đến mười sáu tuổi cần có sự đồng ý hoặc giám sát của cha, mẹ hoặc người giám hộ hợp pháp theo quy định tại Điều khoản sử dụng Rafetus.

Điều 19. Quy chế cung cấp dữ liệu cho Cơ quan quản lý Nhà nước

  1. Rafetus tôn trọng tối đa quyền tự do cá nhân và cam kết không bán dữ liệu của bạn cho bất kỳ đơn vị quảng cáo nào. Chúng tôi chỉ thực hiện việc trích xuất và bàn giao dữ liệu người dùng cho các Cơ quan chức năng có thẩm quyền của Nhà nước khi nhận được văn bản yêu cầu chính thức hoặc lệnh điều tra hợp pháp của cơ quan tiến hành tố tụng hình sự, tuân thủ đúng quy định của Luật An ninh mạng và các văn bản luật chuyên ngành.
  2. Bạn có quyền khiếu nại với Cục An toàn thông tin (Bộ Thông tin và Truyền thông) hoặc cơ quan có thẩm quyền khác theo Luật Bảo vệ dữ liệu cá nhân nếu cho rằng quyền của mình bị xâm phạm.

Điều 20. Quy trình hủy bỏ tài khoản và Ngoại lệ lưu trữ tài chính

  1. Xử lý lệnh xóa tài khoản: Khi bạn thực hiện thao tác xóa tài khoản trên hệ thống, toàn bộ tệp tin cá nhân lưu trên Cloudflare R2 và thông tin lưu trên Supabase sẽ được chuyển sang chế độ ẩn vĩnh viễn và tự động xóa bỏ hoàn toàn khỏi các phân khu lưu trữ vật lý sau ba mươi ngày nhằm đề phòng tranh chấp phát sinh, trừ dữ liệu phải giữ theo nghĩa vụ pháp lý.
  2. Nghĩa vụ lưu trữ chứng từ tài chính: Riêng các thông tin hóa đơn và nhật ký giao dịch liên quan đến việc thanh toán thông qua hệ thống SePay hoặc VNPAY buộc phải được lưu giữ tối thiểu từ năm đến mười năm theo quy định bắt buộc của Luật Kế toán và Luật Quản lý Thuế Việt Nam để phục vụ công tác thanh tra tài chính trực tiếp từ Nhà nước.

Điều 21. Sửa đổi nội dung và Hiệu lực áp dụng

  1. Văn bản này có hiệu lực chính thức kể từ ngày 25/05/2026 được công bố công khai trên trang chủ của dịch vụ. Rafetus có toàn quyền chỉnh sửa, bổ sung nội dung của chính sách này để đảm bảo tính phù hợp với các cải tiến về mặt kỹ thuật hoặc sự thay đổi trong hệ thống pháp luật của Việt Nam. Mọi thay đổi quan trọng sẽ được thông báo cụ thể đến người dùng trước khi áp dụng.
  2. Chính sách này được lập bằng tiếng Việt và được bảo vệ tối đa theo pháp luật Việt Nam. Nếu có bản dịch sang ngôn ngữ khác, bản tiếng Việt là bản gốc có giá trị pháp lý cao nhất khi phát sinh tranh chấp.