canonical_url: https://yycode.net/custom/vi/data-processing-agreement
lang: vi
updated_at: 2026-07-04T13:33:48.616Z
source_html: https://yycode.net/custom/vi/data-processing-agreement

# Thỏa thuận xử lý dữ liệu của Youyun API

Cập nhật lần cuối: ngày 3 tháng 7 năm 2026

Thỏa thuận xử lý dữ liệu này (sau đây gọi là "Thỏa thuận") áp dụng cho các tình huống doanh nghiệp, nhà phát triển hoặc khách hàng khác (sau đây gọi là "khách hàng" hoặc "bạn") sử dụng Youyun API (sau đây gọi là "nền tảng này" hoặc "chúng tôi") để xử lý yêu cầu API, thao tác bảng điều khiển và dịch vụ liên quan có chứa thông tin cá nhân, dữ liệu kinh doanh, mã, văn bản, hình ảnh, tệp, Prompt hoặc dữ liệu khác.

Thỏa thuận này là phần bổ sung của "Điều khoản dịch vụ" và "Chính sách quyền riêng tư". Nếu Thỏa thuận này xung đột với "Điều khoản dịch vụ" hoặc "Chính sách quyền riêng tư", đối với các vấn đề khách hàng ủy thác xử lý dữ liệu, Thỏa thuận này sẽ được ưu tiên áp dụng.

## 1. Phân chia vai trò

Đối với dữ liệu do khách hàng tự gửi, tải lên, truyền hoặc xử lý thông qua lệnh gọi API, khách hàng thường đóng vai trò bên xử lý thông tin cá nhân, bên kiểm soát dữ liệu hoặc vai trò tương tự, quyết định mục đích xử lý, phương thức xử lý, nguồn dữ liệu, cơ sở hợp pháp và thông báo cho chủ thể dữ liệu.

Khi nền tảng này cung cấp trung chuyển API, gọi mô hình, tính phí, ghi nhật ký, kiểm soát rủi ro và hỗ trợ kỹ thuật theo chỉ thị của khách hàng, chúng tôi thường đóng vai trò bên được ủy thác xử lý, bên xử lý dữ liệu hoặc vai trò tương tự.

Đối với dữ liệu cần thiết cho hoạt động vận hành riêng của nền tảng như đăng ký tài khoản, nạp tiền, kế toán, kiểm soát rủi ro bảo mật, chăm sóc khách hàng, xử lý tranh chấp, kiểm toán tuân thủ, chúng tôi có thể xử lý thông tin liên quan với tư cách bên xử lý thông tin cá nhân độc lập.

## 2. Mục đích xử lý

Chúng tôi chỉ xử lý dữ liệu khách hàng cho các mục đích sau:

- Cung cấp trung chuyển API, gọi mô hình, chuyển tiếp yêu cầu và trả phản hồi
- Thống kê Token, tính hệ số, khấu trừ chi phí, hiển thị hóa đơn và bản ghi gọi
- Thực hiện giới hạn tốc độ, kiểm soát rủi ro, bảo vệ an toàn, phát hiện bất thường và phòng thủ tấn công
- Cung cấp khắc phục sự cố, chăm sóc khách hàng, ticket, hỗ trợ kỹ thuật và xử lý tranh chấp
- Thực hiện pháp luật và quy định, yêu cầu quản lý, yêu cầu hợp pháp của cơ quan tư pháp hoặc hành chính
- Các mục đích khác được khách hàng ủy quyền riêng hoặc pháp luật áp dụng cho phép

Chúng tôi sẽ không chủ động sử dụng dữ liệu khách hàng cho mục đích không liên quan đến các mục đích trên.

Chúng tôi sẽ không dùng Prompt, ngữ cảnh, mã, hình ảnh, tệp hoặc nội dung đầu ra mô hình mà khách hàng gửi qua API cho huấn luyện mô hình, lập hồ sơ người dùng, quảng cáo tiếp thị hoặc mục đích không liên quan đến Thỏa thuận này. Trừ khi khách hàng chủ động gửi nội dung liên quan qua chăm sóc khách hàng, ticket, email hoặc kênh hỗ trợ khác, hoặc pháp luật, quy định, yêu cầu quản lý có quy định khác, chúng tôi sẽ không lưu bền vững nội dung ngữ cảnh hoặc nội dung đầu ra mô hình trong lệnh gọi API của khách hàng.

Phát hiện an toàn, nhận diện nội dung nhạy cảm hoặc chặn bởi nhà cung cấp mô hình thượng nguồn thuộc quy trình xử lý thời gian thực trong quá trình gọi mô hình và kiểm soát rủi ro dịch vụ. Ngoài metadata gọi cần thiết, mã lỗi, trạng thái chặn và nhật ký bảo mật, chúng tôi sẽ không lưu bền vững nội dung yêu cầu API, nội dung ngữ cảnh hoặc nội dung đầu ra mô hình của khách hàng đã được kiểm tra hoặc bị chặn.

## 3. Loại dữ liệu được xử lý

Tùy theo cách khách hàng sử dụng, dữ liệu khách hàng có thể bao gồm:

- Nội dung yêu cầu API: Prompt, ngữ cảnh, mã, văn bản, hình ảnh, tệp, tham số và đầu vào khác; loại nội dung này chỉ được xử lý tạm thời trong quá trình chuyển tiếp yêu cầu và trả phản hồi, không được lưu làm nhật ký bền vững
- Nội dung đầu ra API: phản hồi mô hình, nội dung tạo ra, thông tin lỗi và metadata trả về; ngoài trạng thái lỗi và metadata trả về cần thiết, nội dung đầu ra mô hình không được lưu làm nhật ký bền vững
- Metadata gọi: tên mô hình, thời gian yêu cầu, đường dẫn yêu cầu, lượng dùng Token, chi phí, nhóm, hệ số, mã trạng thái, mã lỗi, IP, User-Agent, mã yêu cầu
- Dữ liệu tài khoản và quyền: ID người dùng, API Key, nhóm, vai trò, hạn mức, số dư, trạng thái kiểm soát rủi ro
- Dữ liệu ticket và hỗ trợ: mô tả vấn đề, ảnh chụp màn hình, nhật ký, bản ghi trao đổi và kết quả xử lý

Khách hàng không nên thông qua nền tảng này gửi thông tin cá nhân nhạy cảm không liên quan đến dịch vụ, thông tin cá nhân chưa được ủy quyền, bí mật nhà nước, bí mật thương mại, dữ liệu chịu kiểm soát xuất khẩu hoặc dữ liệu bị hạn chế khác.

## 4. Trách nhiệm của khách hàng

Khách hàng cần bảo đảm:

- Có cơ sở xử lý hợp pháp và ủy quyền cần thiết đối với dữ liệu gửi tới nền tảng này
- Đã thông báo cho chủ thể dữ liệu theo luật và nhận được sự đồng ý cần thiết hoặc đáp ứng cơ sở hợp pháp khác
- Dữ liệu đã gửi, tình huống sử dụng, lệnh gọi mô hình và cách sử dụng đầu ra tuân thủ pháp luật, quy định áp dụng và quy tắc bên thứ ba
- Không thông qua nền tảng này xử lý dữ liệu bất hợp pháp, xâm phạm quyền, chưa được ủy quyền, thu thập quá mức hoặc không liên quan đến mục đích kinh doanh
- Thực hiện rà soát thủ công cần thiết đối với đầu ra mô hình, đặc biệt trong tình huống rủi ro cao hoặc ảnh hưởng đến quyền lợi cá nhân
- Bảo quản đúng cách tài khoản, API Key, khóa, token truy cập và môi trường máy khách

Khách hàng tự chịu trách nhiệm đối với trách nhiệm phát sinh do nguồn dữ liệu, ủy quyền, thông báo, tình huống sử dụng, chỉ thị hoặc cách dùng đầu ra của khách hàng không hợp pháp.

## 5. Nghĩa vụ xử lý của nền tảng này

Chúng tôi sẽ xử lý dữ liệu khách hàng theo chỉ thị hợp pháp, rõ ràng và hợp lý của khách hàng, đồng thời áp dụng biện pháp an toàn hợp lý để bảo vệ dữ liệu, bao gồm:

- Kiểm soát truy cập và quản lý quyền
- Mã hóa truyền tải và bảo vệ lưu trữ cần thiết
- Kiểm toán nhật ký và giám sát bất thường
- Ràng buộc bảo mật cần thiết đối với nhân viên và nhà cung cấp dịch vụ
- Xử lý tối thiểu và truy cập trong phạm vi cần thiết
- Ứng phó sự cố bảo mật và khắc phục lỗ hổng

Nếu chúng tôi cho rằng chỉ thị của khách hàng có thể vi phạm pháp luật và quy định, quy tắc bên thứ ba hoặc yêu cầu bảo mật của nền tảng, chúng tôi có quyền từ chối thực hiện, yêu cầu khách hàng chỉnh sửa, tạm dừng xử lý hoặc áp dụng biện pháp kiểm soát rủi ro cần thiết.

## 6. Bên xử lý phụ và dịch vụ bên thứ ba

Để cung cấp dịch vụ, chúng tôi có thể sử dụng các loại bên xử lý phụ hoặc dịch vụ bên thứ ba sau:

- Nhà cung cấp mô hình thượng nguồn hoặc nhà cung cấp dịch vụ API
- Máy chủ đám mây, lưu trữ đối tượng, cơ sở dữ liệu, CDN, WAF, nhà cung cấp dịch vụ xác minh bảo mật
- Nhà cung cấp dịch vụ thanh toán, SMS, email, nhật ký, giám sát, chăm sóc khách hàng và ticket
- Nhà cung cấp dịch vụ liên quan đến tuân thủ, kiểm toán, pháp lý hoặc giải quyết tranh chấp

Chúng tôi sẽ cung cấp dữ liệu liên quan cho bên xử lý phụ trong phạm vi cần thiết, đồng thời yêu cầu họ xử lý dữ liệu theo mục đích của Thỏa thuận này và yêu cầu bảo mật hợp lý.

## 7. Xử lý xuyên biên giới

Khách hàng hiểu và đồng ý rằng một số dịch vụ mô hình, API thượng nguồn, hạ tầng đám mây hoặc dịch vụ bảo mật có thể đặt ở nước ngoài. Để hoàn tất lệnh gọi mô hình do khách hàng chủ động khởi tạo, trả kết quả, tính phí, khắc phục sự cố hoặc bảo vệ an toàn, chúng tôi có thể cần truyền nội dung yêu cầu và metadata gọi cần thiết tới nhà cung cấp dịch vụ tương ứng để xử lý.

Việc truyền này chỉ dùng để hoàn thành yêu cầu dịch vụ do khách hàng chủ động khởi tạo, không có nghĩa là chúng tôi sẽ lưu bền vững nội dung lệnh gọi API, cũng không có nghĩa là chúng tôi sẽ dùng Prompt, ngữ cảnh, mã, hình ảnh, tệp hoặc nội dung đầu ra mô hình của khách hàng cho huấn luyện mô hình, quảng cáo tiếp thị hoặc mục đích không liên quan khác.

Khách hàng cần đánh giá việc truyền xuyên biên giới theo pháp luật và quy định áp dụng cho chính mình, đồng thời hoàn tất thông báo, đồng ý, hợp đồng, đăng ký, đánh giá hoặc thủ tục tuân thủ cần thiết khác. Khách hàng không nên gửi bí mật nhà nước, bí mật thương mại, thông tin cá nhân chưa được ủy quyền, thông tin cá nhân nhạy cảm, dữ liệu chịu nghĩa vụ bảo mật hoặc dữ liệu khác không nên truyền xuyên biên giới. Việc khách hàng chủ động gửi dữ liệu nêu trên, chưa nhận được ủy quyền cần thiết hoặc chưa thực hiện nghĩa vụ thông báo, đồng ý, bảo mật, rà soát tuân thủ của mình dẫn đến rò rỉ, tranh chấp, khiếu nại, xử phạt hoặc tổn thất sẽ do khách hàng tự chịu; trừ khi pháp luật và quy định có quy định khác. Chúng tôi sẽ cung cấp hỗ trợ cần thiết trong phạm vi hợp lý.

## 8. Lưu giữ và xóa dữ liệu

Chúng tôi sẽ lưu các dữ liệu tài khoản, kế toán, metadata gọi và nhật ký bảo mật cần thiết trong thời gian cần thiết để cung cấp dịch vụ, tính phí, kiểm soát rủi ro, khắc phục sự cố, xử lý tranh chấp và kiểm toán tuân thủ. Chúng tôi sẽ không lưu bền vững Prompt, ngữ cảnh, mã, hình ảnh, tệp hoặc nội dung đầu ra mô hình trong lệnh gọi API của khách hàng, trừ khi khách hàng chủ động gửi cho chăm sóc khách hàng, ticket, email và các kênh hỗ trợ khác, hoặc pháp luật, quy định, yêu cầu quản lý có quy định khác.

Khách hàng có thể tự xóa API Key, dọn cấu hình tài khoản hoặc gửi yêu cầu xóa theo chức năng nền tảng. Sau khi dịch vụ chấm dứt, chúng tôi sẽ xóa hoặc ẩn danh hóa dữ liệu khách hàng trong thời hạn hợp lý theo yêu cầu pháp luật và quy định, tài chính thuế vụ, kiểm toán bảo mật, giải quyết tranh chấp và khôi phục sao lưu.

Dữ liệu trong hệ thống sao lưu có thể bị chậm xóa trong chu kỳ sao lưu do giới hạn kỹ thuật, nhưng chúng tôi sẽ hạn chế truy cập và xóa sau khi bản sao lưu hết hạn.

## 9. Sự cố bảo mật

Nếu xảy ra sự cố có thể ảnh hưởng đến an toàn dữ liệu khách hàng, sau khi xác nhận sự cố, chúng tôi sẽ thông báo kịp thời cho khách hàng bị ảnh hưởng theo yêu cầu của pháp luật và quy định áp dụng, đồng thời cung cấp loại sự cố, khả năng ảnh hưởng, biện pháp đã áp dụng hoặc dự kiến áp dụng, biện pháp khuyến nghị khách hàng có thể thực hiện và các thông tin khác.

Khách hàng cần kịp thời phối hợp kiểm tra, giảm thiểu tổn thất và thực hiện nghĩa vụ thông báo. Nếu sự cố bảo mật do rò rỉ tài khoản khách hàng, rò rỉ khóa, cấu hình sai, gọi vi phạm hoặc máy khách bên thứ ba gây ra, khách hàng cần chịu trách nhiệm tương ứng.

## 10. Yêu cầu của chủ thể dữ liệu

Nếu chủ thể dữ liệu đưa ra yêu cầu truy vấn, chỉnh sửa, xóa, rút lại đồng ý, sao chép hoặc quyền khác đối với dữ liệu khách hàng, khách hàng cần chịu trách nhiệm phản hồi. Chúng tôi sẽ hỗ trợ khách hàng xử lý yêu cầu liên quan trong phạm vi hợp lý, nhưng có thể cần khách hàng cung cấp bối cảnh yêu cầu, kết quả xác minh danh tính và chỉ thị xử lý cụ thể.

## 11. Hỗ trợ kiểm toán và tuân thủ

Trong điều kiện không ảnh hưởng đến an toàn của nền tảng này, bí mật thương mại, quyền lợi của khách hàng khác và độ ổn định hệ thống, chúng tôi có thể cung cấp cho khách hàng giải thích tuân thủ hợp lý, tóm tắt biện pháp an toàn, giải thích quy trình xử lý hoặc tài liệu cần thiết khác.

Nếu khách hàng yêu cầu kiểm toán tại chỗ hoặc rà soát chuyên sâu, cần thông báo bằng văn bản trước và chịu chi phí hợp lý phát sinh. Chúng tôi có quyền thay thế kiểm toán tại chỗ bằng báo cáo kiểm toán bên thứ ba, giải thích bảo mật hoặc tài liệu tương đương.

## 12. Giới hạn trách nhiệm

Trừ khi pháp luật và quy định có quy định bắt buộc khác, bất kỳ bên nào cũng không chịu trách nhiệm đối với tổn thất gián tiếp, mất lợi nhuận, gián đoạn kinh doanh, mất dữ liệu, mất uy tín thương mại, khiếu nại của bên thứ ba hoặc thiệt hại mang tính trừng phạt.

Giới hạn trách nhiệm của chúng tôi theo Thỏa thuận này áp dụng điều khoản giới hạn trách nhiệm trong "Điều khoản dịch vụ".

## 13. Chấm dứt thỏa thuận

Khi khách hàng ngừng sử dụng nền tảng này, hủy tài khoản, dịch vụ chấm dứt hoặc "Điều khoản dịch vụ" chấm dứt, Thỏa thuận này đồng thời chấm dứt, trừ các điều khoản bảo mật, xóa dữ liệu, giới hạn trách nhiệm, giải quyết tranh chấp và các điều khoản cần tiếp tục có hiệu lực theo pháp luật.

## 14. Thông tin liên hệ

- Thương hiệu: Youyun API
- Website: https://yycode.net
- Liên hệ: yycodenet@gmail.com
