Chính sách bảo mật

1. Chủ thể xử lý dữ liệu

GửiLẹ (guile.vn) là nền tảng chia sẻ thông tin tạm thời được vận hành tại Việt Nam. Dịch vụ hoạt động theo Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân và Luật An ninh mạng 2018.

2. Dữ liệu chúng tôi thu thập

Chúng tôi chỉ thu thập metadata tối thiểu cần thiết để vận hành dịch vụ và tuân thủ yêu cầu pháp lý. Không có thông tin định danh cá nhân nào được thu thập.

• IP đã hash (SHA-256) — địa chỉ IP gốc được băm một chiều ngay tại điểm tiếp nhận, không thể truy ngược.
• Dấu thời gian (timestamp) — thời điểm tạo, xem, và xóa tin nhắn.
• User agent — loại trình duyệt và thiết bị (không định danh cá nhân).
• Hành động (action log) — created, viewed, expired, deleted, reported.
• Lý do báo cáo — nếu bạn sử dụng tính năng báo cáo vi phạm.

3. Dữ liệu chúng tôi không thu thập

4. Mục đích xử lý dữ liệu

• Vận hành dịch vụ chia sẻ tạm thời (tạo link, trả về nội dung, tự động xóa).
• Rate limiting — giới hạn tốc độ tạo link để ngăn lạm dụng tự động.
• Xử lý báo cáo vi phạm nội dung theo quy định của Luật An ninh mạng 2018.
• Cung cấp metadata cho cơ quan chức năng khi có yêu cầu pháp lý hợp lệ.

5. Bảo vệ dữ liệu

• Mã hóa nội dung: AES-256-GCM với IV ngẫu nhiên cho mỗi tin nhắn.
• Data localization: Máy chủ đặt tại Việt Nam, tuân thủ điều kiện lưu trữ dữ liệu trong nước theo Luật An ninh mạng 2018.
• HTTPS bắt buộc: Toàn bộ kết nối được mã hóa TLS, có HSTS.
• Security headers: X-Frame-Options, X-Content-Type-Options, CSP, Referrer-Policy.
• Không log nội dung: Access log chỉ chứa metadata, không bao giờ chứa nội dung tin nhắn.

6. Thời gian lưu trữ

Bản chất ephemeral của dịch vụ tự nhiên tuân thủ nguyên tắc "giới hạn lưu trữ" (storage limitation) theo Nghị định 13/2023/NĐ-CP — dữ liệu chỉ được lưu trong thời gian cần thiết cho mục đích xử lý đã khai báo.

7. Quyền của bạn

Theo Nghị định 13/2023/NĐ-CP và PDPL (hiệu lực 01/01/2026), bạn có các quyền sau:

• Quyền được thông báo — biết dữ liệu nào về bạn được thu thập và mục đích xử lý.
• Quyền xóa dữ liệu — đối với tin nhắn, bạn có thể xóa ngay bằng creator token được cấp khi tạo link.
• Quyền khiếu nại — với Cục An toàn thông tin, Bộ Thông tin & Truyền thông (mic.gov.vn).

Do dịch vụ ẩn danh (không thu thập danh tính), chúng tôi không thể xác minh yêu cầu xóa metadata sau khi đã hash. Mọi yêu cầu liên quan đến dữ liệu, liên hệ qua email bên dưới.

8. Chia sẻ dữ liệu với bên thứ ba

Chúng tôi không bán, trao đổi, hoặc chia sẻ dữ liệu người dùng với bên thứ ba vì mục đích thương mại.

Chúng tôi chỉ cung cấp metadata (IP hash, timestamp, action log) cho cơ quan có thẩm quyền của Việt Nam khi nhận được yêu cầu pháp lý hợp lệ (lệnh của Tòa án, yêu cầu điều tra của cơ quan an ninh) theo quy trình pháp lý được quy định. Chúng tôi sẽ thông báo cho người dùng nếu pháp luật cho phép.

9. Thông báo vi phạm dữ liệu

Nếu xảy ra sự cố bảo mật có thể ảnh hưởng đến dữ liệu người dùng, chúng tôi sẽ:

• Thông báo cho cơ quan chức năng trong vòng 72 giờ theo quy định của PDPL.
• Công bố thông tin về sự cố trên website trong giới hạn cho phép.
• Thực hiện các biện pháp khắc phục ngay lập tức.

10. Cookie & Lưu trữ phía trình duyệt

Dịch vụ không sử dụng cookie theo dõi, cookie phân tích hành vi, hay bất kỳ cookie bên thứ ba nào.

Chỉ session storage phía client (không gửi lên server) được sử dụng tạm thời trong phiên làm việc để lưu creator token — token này mất đi ngay khi bạn đóng tab.

11. Cập nhật chính sách

Chính sách này có thể được cập nhật để phản ánh thay đổi pháp lý hoặc kỹ thuật. Ngày hiệu lực của phiên bản hiện tại luôn được hiển thị ở đầu trang. Tiếp tục sử dụng dịch vụ sau khi chính sách được cập nhật đồng nghĩa với việc bạn chấp nhận phiên bản mới.

12. Liên hệ