Dữ liệu sức khoẻ được giữ chặt.

Chúng tôi phân loại dữ liệu thế nào

Không phải mọi dữ liệu đều giống nhau. AN Care chia ba mức nhạy cảm — mỗi mức có quy tắc xử lý riêng:

Theo Google Play Data Safety

Bảng dưới khớp với khai báo chính thức của chúng tôi trên Google Play:

Luồng dữ liệu — từ thiết bị đến nơi lưu

Khi bạn nhập một chỉ số hay chụp một bức ảnh trong AN Care, dữ liệu đi qua bốn chặng dưới đây:

Mã hoá & lưu trữ chi tiết

Mã hoá khi truyền

• TLS 1.2 trở lên cho mọi kết nối client–server.
• HSTS bật ở mọi domain công khai (ancare.vn, api.ancare.vn).
• Certificate pinning trong app mobile để chống man-in-the-middle.

Mã hoá khi lưu

• Cơ sở dữ liệu chính: AES-256 at-rest, key quản lý qua KMS.
• Ảnh: lưu trên object storage có server-side encryption, ACL chặt.
• Sao lưu (backup) cũng được mã hoá AES-256, lưu ở vùng địa lý khác.

Mật khẩu

• Băm bằng bcrypt (work factor ≥ 12).
• Không bao giờ lưu plaintext, không bao giờ đi qua log.
• Đăng nhập 2 lớp (TOTP) là tuỳ chọn — khuyến nghị bật.

Vùng lưu trữ

• Vùng chính: Singapore (ap-southeast-1).
• Sao lưu thảm hoạ: một vùng AP khác, mã hoá độc lập.
• CDN tĩnh: chỉ phục vụ ảnh tĩnh marketing, không phục vụ dữ liệu cá nhân.

Quản lý truy cập nội bộ

• Nguyên tắc đặc quyền tối thiểu — chỉ kỹ sư có lý do nghiệp vụ mới được cấp quyền.
• SSO bắt buộc + 2FA cho mọi nhân viên truy cập production.
• Mọi truy cập tới dữ liệu khách hàng đều được audit log; log giữ tối thiểu 12 tháng.
• Không kỹ sư nào được quyền đọc nội dung chat AI Coach hay ảnh y tế trừ khi điều tra sự cố và có ticket được phê duyệt.

Nhà cung cấp AI — chúng tôi gửi gì & họ giữ gì

AN Care dùng mô hình ngôn ngữ và mô hình nhận diện ảnh từ nhà cung cấp chuyên nghiệp để chạy AI Coach, đọc cân Tanita, và phân tích ảnh bữa ăn. Chúng tôi cam kết:

1. Chỉ gửi dữ liệu cần thiết tối thiểu cho yêu cầu hiện tại — không gửi cả lịch sử sức khoẻ.
2. Loại bỏ thông tin định danh trực tiếp (tên, email, SĐT) khỏi yêu cầu khi khả thi.
3. Chỉ làm việc với nhà cung cấp ký hợp đồng không huấn luyện trên dữ liệu của chúng tôi (zero-retention / no-training agreement).
4. Truyền dữ liệu qua TLS, xác thực API key luân chuyển định kỳ.
5. Theo dõi lỗi và lạm dụng phía nhà cung cấp; tạm dừng tích hợp nếu phát hiện vi phạm.

Khi bạn liên kết với HLV

Liên kết HLV là một cú nhấn có chủ đích — bạn quét QR của HLV hoặc nhận lời mời, và xác nhận trong app. Sau đó:

• HLV thấy được chỉ số cơ thể (cân, mỡ, BMI, vòng…), lộ trình tuần, tin nhắn bạn gửi cho họ.
• HLV không thấy tin nhắn AI Coach của bạn, không thấy ảnh bữa ăn trừ khi bạn chia sẻ, không thấy thanh toán.
• Mọi hành vi của HLV với hồ sơ của bạn được ghi vào audit log mà bạn xem được trong Cài đặt → HLV của tôi → Lịch sử truy cập.
• Bạn có thể thu hồi quyền bất kỳ lúc nào — HLV mất quyền xem dữ liệu mới ngay lập tức.

Nếu bạn nghi ngờ HLV lạm dụng — chia sẻ thông tin cho bên thứ ba, quấy rối, ép mua hàng — báo cho chúng tôi tại abuse@ancare.vn. Chúng tôi điều tra trong 5 ngày làm việc và áp dụng biện pháp tương xứng.

Tanita & Herbalife — không liên kết

AN Care đọc màn hình của cân Tanita bằng OCR, để bạn không phải gõ tay. Chúng tôi không truyền số đo của bạn ngược lại Tanita, không nhận tài trợ từ Tanita Corp.

Tương tự, AN Care có module hỗ trợ khách hàng dùng sản phẩm Herbalife theo dõi lộ trình. Module này không liên kết với Herbalife Nutrition Ltd — chúng tôi không nhận hoa hồng, không gửi dữ liệu của bạn cho họ, không tự ý đề xuất sản phẩm cụ thể nếu bạn không yêu cầu.

Xoá dữ liệu & xoá tài khoản

Xoá từng phần

Trong Cài đặt → Dữ liệu của tôi, bạn có thể xoá:

• Một bản đo cụ thể (cân, vòng eo…).
• Toàn bộ ảnh bữa ăn / ảnh Tanita.
• Lịch sử chat AI Coach.
• Liên kết với HLV (cũ hoặc mới).

Xoá từng phần có hiệu lực ngay trên thiết bị, đồng bộ tới máy chủ trong vòng vài phút.

Xoá toàn bộ tài khoản

Cài đặt → Tài khoản → Xoá tài khoản. Sau khi xác nhận:

1. Tức thời: tài khoản bị vô hiệu hoá, đăng xuất khỏi mọi thiết bị, HLV mất quyền xem.
2. Trong 30 ngày: dữ liệu cá nhân bị xoá khỏi hệ thống production.
3. Trong 90 ngày: dữ liệu cá nhân bị xoá khỏi mọi bản sao lưu.
4. Giữ lại có điều kiện: hoá đơn / giao dịch giữ 10 năm theo pháp luật kế toán; crash logs ẩn danh giữ 13 tháng.

Bạn cũng có thể yêu cầu xoá qua email privacy@ancare.vn — hữu ích khi bạn không còn truy cập được tài khoản.

Xuất dữ liệu của bạn

Bạn có quyền lấy bản sao toàn bộ dữ liệu cá nhân chúng tôi giữ — miễn phí, định dạng máy đọc được:

• JSON đầy đủ — chỉ số, lộ trình, chat, metadata.
• CSV cho các bảng đo (cân, mỡ, vòng…) để mở trong Excel / Google Sheets.
• ZIP chứa toàn bộ ảnh bữa ăn / Tanita đã upload.

Yêu cầu trong Cài đặt → Dữ liệu của tôi → Xuất dữ liệu. File được tạo trong tối đa 14 ngày, gửi qua email kèm liên kết tải có hạn 7 ngày, mã hoá bằng mật khẩu bạn đặt.

Khi xảy ra sự cố bảo mật

Không hệ thống nào miễn nhiễm. Quy trình của chúng tôi khi phát hiện sự cố ảnh hưởng dữ liệu cá nhân:

1. Trong 1 giờ: đội an ninh xác nhận, cô lập tài nguyên bị ảnh hưởng.
2. Trong 24 giờ: điều tra sơ bộ, đánh giá phạm vi và mức nghiêm trọng.
3. Trong 72 giờ: nếu xác nhận có rò rỉ dữ liệu cá nhân, thông báo tới (a) cơ quan có thẩm quyền theo pháp luật và (b) người dùng bị ảnh hưởng qua email + thông báo trong app.
4. Trong 30 ngày: công bố báo cáo hậu sự cố tóm tắt tại trang status, mô tả nguyên nhân gốc và biện pháp ngăn tái diễn.

Báo cáo lỗ hổng bảo mật: vui lòng gửi tới security@ancare.vn (PGP key có sẵn theo yêu cầu). Chúng tôi tôn trọng và phản hồi báo cáo có thiện chí trong 5 ngày làm việc.

Liên hệ Cán bộ Bảo vệ Dữ liệu

Mọi câu hỏi cụ thể, yêu cầu kiểm tra, hoặc khiếu nại về xử lý dữ liệu — xin gửi tới:

• DPO & quyền riêng tư: privacy@ancare.vn
• Báo cáo lỗ hổng bảo mật: security@ancare.vn
• Báo cáo lạm dụng từ HLV: abuse@ancare.vn
• Hỗ trợ chung: support@ancare.vn

Trang này là phần bổ sung kỹ thuật của Chính sách quyền riêng tư. Khi có xung đột giữa hai trang, chính sách quyền riêng tư là văn bản gốc.

Phiên bản 1.0 · Có hiệu lực từ ngày 30 tháng 4, 2026 · Bản tiếng Việt là bản chuẩn.