Chính sách bảo mật thông tin cá nhân
Công cảm giác (sau đây gọi là ‘công ty’) theo Điều 30 của 「Luật Bảo vệ Thông tin Cá nhân」 bảo vệ thông tin cá nhân của chủ thể dữ liệu và thiết lập, công bố chính sách bảo mật thông tin cá nhân như sau để xử lý nhanh chóng và suôn sẻ các khiếu nại liên quan đến việc xử lý thông tin cá nhân.
Điều 1 (Mục đích xử lý thông tin cá nhân)
- Đăng ký thành viên·Quản lý tài khoản: xác định danh tính, liên kết đăng nhập xã hội, xác minh độ tuổi, quản lý phiên, ngăn chặn sử dụng bất hợp pháp
- Cung cấp dịch vụ: tìm kiếm bản nhạc·Xem trước·Mua·Xem·Tải xuống, phát âm thanh, Thư viện·Nhóm·Đặt hàng tùy chỉnh và hỗ trợ khách hàng
- Hợp đồng và thanh toán: đặt hàng, thanh toán, tín dụng, thành viên, hoàn trả, biên lai và quản lý quyền
- Chức năng AI: xử lý đầu vào·tệp đính kèm theo sự đồng ý của người dùng, tạo kết quả, kiểm tra an toàn, quản lý hạn mức và ghi chép sử dụng
- Cải thiện và phân tích dịch vụ: thống kê sử dụng dựa trên sự đồng ý của người dùng, luồng sử dụng dịch vụ, phân tích lỗi và hiệu năng
- Nghĩa vụ pháp lý và an toàn: tuân thủ pháp luật, phản hồi sự cố bảo mật, giải quyết tranh chấp, ngăn chặn vi phạm quyền và sử dụng bất hợp pháp
- Tiếp thị: chỉ cung cấp thông tin sự kiện và quảng cáo khi có sự đồng ý riêng
Điều 2 (Các mục thông tin cá nhân được xử lý và phương pháp thu thập)
| Phân loại | Mục thông tin | Phương pháp thu thập |
|---|---|---|
| Đăng ký·Đăng nhập xã hội | Tên hoặc nickname, email, ảnh hồ sơ, định danh của nhà cung cấp OAuth và định danh riêng của nhà cung cấp | Google, Kakao, Naver, Apple hoặc Meta OAuth |
| Chứng chỉ cấp bởi quản trị viên | Tên người dùng, giá trị băm một chiều của mật khẩu | Chỉ cấp và xử lý khi đăng nhập trên tài khoản được công ty phê duyệt |
| Đăng ký·Cài đặt tài khoản | Ngôn ngữ ưu tiên, xác nhận trên 14 tuổi và thời gian xác nhận, lịch sử đồng ý và rút lại các điều khoản·bảo mật·xử lý AI | Nhập liệu của người dùng và ghi chép dịch vụ |
| Đặt hàng·Thanh toán | Số đơn hàng, sản phẩm, số tiền, tiền tệ, quốc gia, loại phương thức thanh toán, trạng thái thanh toán·hủy·hoàn trả, lịch sử tín dụng·thành viên | Quá trình thanh toán·mua hàng và phản hồi của PG |
| Sử dụng dịch vụ | Lịch sử mua·xem·tải xuống·nhóm·đặt hàng tùy chỉnh·hỏi đáp, tìm kiếm·tương tác UI, lỗi và ghi chép bảo mật | Tạo ra trong quá trình sử dụng dịch vụ |
| AI và công cụ tạo | Prompt, hội thoại, hình ảnh·tệp tải lên, kết quả tạo, mô hình·sử dụng·ghi chép xử lý an toàn | Nhập liệu hoặc tạo ra khi người dùng sử dụng chức năng |
| Thông tin kỹ thuật·phân tích | Địa chỉ IP, user agent, cookie·định danh phiên, định danh phân tích được tạo ngẫu nhiên, định danh nội bộ phân tích của người dùng đã đăng nhập, đường dẫn trang·sự kiện sử dụng dịch vụ·cài đặt ngôn ngữ·thời gian truy cập | Tự động thu thập khi sử dụng web·app |
Điều 3 (Thời gian xử lý và lưu trữ)
Công ty sẽ tiêu hủy thông tin cá nhân ngay khi đạt được mục đích xử lý. Tuy nhiên, các thông tin sau có thể được lưu trữ riêng trong thời gian cần thiết để thực hiện nghĩa vụ pháp luật, đối phó tranh chấp hoặc ngăn chặn sử dụng bất hợp pháp.
| Thông tin | Tiêu chuẩn lưu trữ |
|---|---|
| Tài khoản và hồ sơ thành viên | Cho đến khi hoàn tất việc rút khỏi thành viên. Khi rút khỏi hoàn tất, phiên đăng nhập và quyền truy cập dịch vụ sẽ ngay lập tức chấm dứt, và các thông tin cần lưu giữ theo quy định pháp luật sẽ được bảo quản trong thời gian pháp định. |
| Hồ sơ hợp đồng·rút lại đề nghị·thanh toán·cung cấp | 5 năm theo Luật Thương mại Điện tử |
| Hồ sơ khiếu nại người tiêu dùng hoặc xử lý tranh chấp | 3 năm theo Luật Thương mại Điện tử |
| Hồ sơ hiển thị·quảng cáo | 6 tháng theo Luật Thương mại Điện tử |
| Hồ sơ truy cập | 3 tháng nếu cần thiết theo Luật Bảo mật Thông tin Liên lạc và các luật liên quan |
| Phiên đăng nhập hoạt động | Cho đến khi hết hạn hoặc đăng xuất·rút khỏi |
| Lịch sử lưu trữ AI profile·poster·công cụ Vision | 90 ngày kể từ ngày tạo hoặc cho đến khi người dùng tự xóa |
| Tệp xuất khẩu thông tin cá nhân | 24 giờ sau khi tạo |
| Hồ sơ đồng ý·rút lại và bảo mật·kiểm toán | Thời gian cần thiết cho nghĩa vụ pháp lý và đối phó tranh chấp·sử dụng bất hợp pháp |
Hiện tại việc rút khỏi thành viên sẽ ngay lập tức chấm dứt truy cập dịch vụ và phiên hoạt động. Hồ sơ giao dịch·đồng ý·kiểm toán có thể được giữ lại một cách hạn chế theo luật và mục đích đối phó tranh chấp, trong khi quy trình xóa vật lý·ẩn danh tài khoản và hồ sơ sẽ được thực hiện theo chính sách vòng đời dữ liệu riêng. Người dùng có thể yêu cầu xem, xuất khẩu và xóa thông tin qua mục ‘Thông tin cá nhân và dữ liệu’ trong tài khoản.
Điều 4 (Cung cấp thông tin cá nhân cho bên thứ ba)
Công ty nguyên tắc không cung cấp thông tin cá nhân của người dùng cho bên thứ ba. Chỉ khi có sự đồng ý riêng của chủ thể dữ liệu hoặc có căn cứ pháp lý đặc biệt, công ty mới cung cấp trong phạm vi cần thiết. Việc xử lý của các nhà cung cấp bên ngoài liên quan đến thanh toán, lưu trữ, xác thực, email, phân tích và chức năng AI có thể thuộc dạng ủy thác xử lý, cung cấp cho bên thứ ba hoặc chuyển ra nước ngoài tùy theo hợp đồng thực tế và mục đích xử lý; chi tiết sẽ được nêu trong các điều và mục liên quan.
Điều 5 (Xử lý qua nhà cung cấp bên ngoài)
| Nhà cung cấp bên ngoài | Công việc liên quan |
|---|---|
| Toss Payments Co., Ltd. | Phê duyệt thanh toán nội địa, thanh toán, hủy, hoàn trả và ngăn chặn giao dịch bất hợp pháp |
| PayPal, Inc. | Phê duyệt, thanh toán, hủy, hoàn trả và ngăn chặn giao dịch bất hợp pháp cho các thanh toán quốc tế được hỗ trợ |
| Cloudflare, Inc. | CDN·chuyển giao lưu lượng web·bảo mật, chạy ứng dụng Workers, lưu trữ đối tượng R2, thống kê web dựa trên đồng ý, trung gian AI Gateway và xử lý Workers AI |
| Neon, Inc. | Lưu trữ cơ sở dữ liệu PostgreSQL |
| Google LLC | Xác thực đăng nhập tài khoản Google và liên kết tài khoản |
| Google LLC | Phân tích thống kê sử dụng Google Analytics 4 dựa trên đồng ý của người dùng |
| Google LLC | Xử lý đầu vào và kết quả của chức năng AI dựa trên Gemini khi người dùng chọn |
| Kakao Corp., NAVER Corp., Apple Inc., Meta Platforms, Inc. | Xác thực đăng nhập xã hội và liên kết tài khoản khi người dùng chọn |
| Anthropic PBC | Xử lý chức năng Claude AI khi người dùng chọn |
| OpenAI, L.L.C. | Xử lý chức năng AI của OpenAI khi người dùng chọn |
| Resend, Inc. | Gửi email giao dịch·tài khoản và dịch vụ |
Điều 6 (Chuyển giao thông tin cá nhân ra nước ngoài)
Công ty có thể chuyển và lưu trữ các thông tin cá nhân dưới đây ra nước ngoài trong quá trình sử dụng dịch vụ. Khi người dùng sử dụng chức năng tương ứng hoặc khi cần thiết để thực hiện hợp đồng, dữ liệu sẽ được chuyển thường xuyên qua mạng được mã hoá TLS. Cơ sở pháp lý cho mỗi lần chuyển giao áp dụng dựa trên Điều 28-8 của Luật Bảo vệ Thông tin Cá nhân và các luật liên quan, dựa trên sự đồng ý, thực hiện hợp đồng hoặc ủy thác xử lý thực tế.
| Người nhận·Liên hệ | Quốc gia/Khu vực | Mục chuyển giao | Mục đích chuyển giao | Thời điểm·Phương pháp | Cơ sở pháp lý | Thời gian lưu trữ·Sử dụng | Cách từ chối và ảnh hưởng |
|---|---|---|---|---|---|---|---|
| Cloudflare, Inc. (privacyquestions@cloudflare.com) | Hoa Kỳ và các khu vực mạng toàn cầu của Cloudflare. Vị trí xử lý·lưu trữ có thể thay đổi tùy sản phẩm, cài đặt tài khoản và đường dẫn yêu cầu | Hồ sơ tài khoản·dịch vụ, IP·thiết bị·thông tin phân tích, tệp đối tượng, thông tin người dùng nhập vào AI | Lưu trữ·bảo mật·phân tích dựa trên đồng ý·truyền trung AI | Chuyển thường xuyên trong quá trình sử dụng dịch vụ·lưu trữ, truyền qua TLS | Thực hiện hợp đồng và ủy thác xử lý | Theo thời gian lưu trữ trong nước cho từng mục hoặc theo thời gian cài đặt hợp đồng·sản phẩm | Phân tích·AI tùy chọn có thể từ chối bằng việc rút lại đồng ý, nhưng chức năng sẽ bị hạn chế. Từ chối lưu trữ bắt buộc sẽ làm khó cung cấp dịch vụ. |
| Neon, Inc. (privacy@neon.tech) | Singapore (AWS ap-southeast-1) | Hồ sơ thành viên, giao dịch, đồng ý, sử dụng dịch vụ | Lưu trữ cơ sở dữ liệu PostgreSQL | Chuyển thường xuyên trong quá trình sử dụng dịch vụ·lưu trữ, truyền qua TLS | Thực hiện hợp đồng và ủy thác xử lý | Theo thời gian lưu trữ trong nước cho từng mục hoặc cho đến khi hợp đồng ủy thác kết thúc | Từ chối lưu trữ bắt buộc sẽ làm khó cung cấp dịch vụ dựa trên tài khoản. |
| Google LLC (googlekrsupport@google.com) | Hoa Kỳ và các khu vực xử lý của Google | Thông tin định danh OAuth, định danh·sự kiện phân tích, hoặc đầu vào·đính kèm·đầu ra AI | Xác thực OAuth, phân tích GA4 dựa trên đồng ý, chức năng Gemini được chọn | Truyền qua TLS khi sử dụng chức năng tương ứng | Đồng ý theo chức năng hoặc thực hiện hợp đồng | Thời gian cần thiết cho cung cấp xác thực·phân tích·chức năng và theo chính sách Google | Có thể không sử dụng chức năng đã chọn hoặc rút lại đồng ý; chức năng sẽ bị hạn chế. |
| Apple Inc., Meta Platforms, Inc. | Hoa Kỳ và các khu vực xử lý của từng nhà cung cấp | Định danh nhà cung cấp, tên, email, thông tin hồ sơ | Xác thực OAuth và liên kết tài khoản được chọn | Truyền qua TLS khi đăng nhập·liên kết | Thực hiện hợp đồng | Thời gian sau khi ngắt kết nối tài khoản·rút khỏi hoặc theo chính sách nhà cung cấp | Có thể không chọn phương thức đăng nhập này; khi đó không thể sử dụng cách xác thực đó. |
| PayPal, Inc. (privacy@paypal.com) | Hoa Kỳ và các khu vực xử lý của PayPal | Thông tin định danh người thanh toán, số đơn hàng, số tiền, tiền tệ, trạng thái thanh toán·hủy·hoàn trả | Xử lý thanh toán quốc tế được người dùng chọn | Truyền qua TLS khi yêu cầu thanh toán | Thực hiện hợp đồng | Theo thời gian lưu trữ theo Luật Thương mại Điện tử và chính sách PayPal | Có thể không chọn thanh toán quốc tế; khi đó phương thức thanh toán này không khả dụng. |
| Anthropic PBC (privacy@anthropic.com) | Hoa Kỳ | Thông tin đầu vào·đầu ra AI và xử lý an toàn | Xử lý chức năng Claude khi người dùng chọn | Truyền qua TLS khi sử dụng chức năng | Đồng ý xử lý AI tùy chọn | Thời gian cần thiết cho cung cấp chức năng và theo hợp đồng·chính sách Anthropic | Có thể không sử dụng chức năng AI này hoặc rút lại đồng ý; chức năng sẽ bị hạn chế. |
| OpenAI, L.L.C. (privacy@openai.com) | Hoa Kỳ | Thông tin đầu vào·đầu ra AI và xử lý an toàn | Xử lý chức năng OpenAI khi người dùng chọn | Truyền qua TLS khi sử dụng chức năng | Đồng ý xử lý AI tùy chọn | Thời gian cần thiết cho cung cấp chức năng và theo hợp đồng·chính sách OpenAI | Có thể không sử dụng chức năng AI này hoặc rút lại đồng ý; chức năng sẽ bị hạn chế. |
| Resend, Inc. (privacy@resend.com) | Hoa Kỳ | Email nhận, tên, tin nhắn và lịch sử gửi | Gửi email giao dịch·tài khoản và dịch vụ | Truyền qua TLS khi gửi | Thực hiện hợp đồng và ủy thác xử lý | Thời gian cần thiết cho gửi và phản hồi sự cố và theo hợp đồng·chính sách Resend | Nếu từ chối xử lý email giao dịch·tài khoản bắt buộc, dịch vụ liên quan có thể khó cung cấp. |
Người dùng có thể từ chối chuyển giao ra nước ngoài bằng cách không sử dụng các chức năng AI tùy chọn, phân tích tùy chọn hoặc thanh toán quốc tế, hoặc rút lại đồng ý liên quan. Nếu từ chối các xử lý cần thiết cho xác thực đăng nhập, lưu trữ, cơ sở dữ liệu hoặc gửi email bắt buộc, có thể gây khó khăn trong việc cung cấp chức năng hoặc dịch vụ. Yêu cầu và việc rút khỏi thành viên có thể được thực hiện qua mục ‘Thông tin cá nhân và dữ liệu’ trong tài khoản hoặc qua support@sheetmusic.kr.
Điều 7 (Xử lý thông tin cá nhân trong chức năng AI)
- Chức năng AI xử lý văn bản·hình ảnh·tệp do người dùng nhập và kết quả tạo ra cho mục đích cung cấp chức năng, kiểm tra an toàn, phản hồi lỗi và quản lý hạn mức sử dụng.
- Người dùng không được nhập thông tin nhạy cảm, số định danh cá nhân theo Luật Bảo vệ Thông tin Cá nhân Hàn Quốc hoặc thông tin cá nhân của người khác mà không có quyền hợp pháp vào chức năng AI.
- Dịch vụ không sử dụng đầu vào·đầu ra AI của người dùng làm dữ liệu huấn luyện mô hình chung. Công ty sử dụng API của nhà cung cấp AI bên ngoài hoặc cài đặt doanh nghiệp; khi nhà cung cấp hỗ trợ, đầu vào và đầu ra sẽ được cấu hình để không được dùng cho huấn luyện mô hình chung. Thời gian lưu trữ và cách kiểm tra an toàn của mỗi nhà cung cấp phụ thuộc vào mô hình và điều kiện hợp đồng đã chọn.
- Đồng ý xử lý AI có thể rút lại bất kỳ lúc nào trong mục ‘Thông tin cá nhân và dữ liệu’ của tài khoản. Việc rút lại không ảnh hưởng đến tính hợp pháp của việc xử lý đã thực hiện trước đó, nhưng sau đó chức năng AI sẽ bị hạn chế.
- Khiếu nại về kết quả AI không phù hợp hoặc liên quan đến thông tin cá nhân có thể gửi tới support@sheetmusic.kr.
Điều 8 (Thông tin hành vi và cookie·lưu trữ cục bộ)
- Dịch vụ sử dụng cookie và lưu trữ cục bộ·phiên của trình duyệt để duy trì đăng nhập, bảo mật, cài đặt ngôn ngữ, giỏ hàng và trạng thái chức năng.
- Google Analytics 4 có thể xử lý định danh phân tích được tạo ngẫu nhiên, định danh nội bộ của người dùng đã đăng nhập, đường dẫn trang, sự kiện sử dụng dịch vụ, cài đặt ngôn ngữ, thông tin thiết bị·trình duyệt và thời gian truy cập khi có sự đồng ý của người dùng.
- Cloudflare Web Analytics và chức năng phân tích hiệu năng dịch vụ có thể xử lý thông tin yêu cầu trang, thiết bị·trình duyệt và mạng; cách nhận dạng thực tế và phạm vi lưu trữ phụ thuộc vào cài đặt sản phẩm được áp dụng.
- Đồng ý phân tích có thể bị từ chối hoặc rút lại qua banner hoặc mục ‘Thông tin cá nhân và dữ liệu’ trong tài khoản. Việc từ chối không ảnh hưởng đến việc sử dụng dịch vụ cốt lõi.
- Người dùng có thể chặn cookie trong cài đặt trình duyệt, nhưng nếu chặn cookie bắt buộc, một số chức năng như đăng nhập·thanh toán có thể không hoạt động.
Điều 9 (Quyền của chủ thể dữ liệu và người đại diện pháp luật)
- Chủ thể dữ liệu có thể yêu cầu xem, sửa đổi·xóa, dừng xử lý và rút lại đồng ý trong phạm vi quy định của luật liên quan. Ngoài ra, người dùng có thể nhận bản sao thông tin cá nhân thông qua chức năng xuất khẩu dữ liệu cá nhân của công ty.
- Yêu cầu có thể thực hiện qua mục ‘Thông tin cá nhân và dữ liệu’ trong tài khoản, email hoặc điện thoại; công ty sẽ xác minh danh tính hoặc đại diện hợp pháp và xử lý theo luật liên quan.
- Nếu có nghĩa vụ lưu trữ theo luật hoặc có nguy cơ vi phạm quyền của người khác, một số yêu cầu có thể bị hạn chế và công ty sẽ thông báo lý do.
- Dịch vụ không cho phép người dùng dưới 14 tuổi đăng ký thành viên. Khi công ty phát hiện người dùng dưới 14 tuổi đã đăng ký, sẽ thực hiện xác minh độ tuổi, hạn chế sử dụng tài khoản và xóa thông tin cá nhân theo yêu cầu. Tuy nhiên, thông tin cần lưu trữ theo luật sẽ được giữ riêng trong thời gian quy định.
Điều 10 (Tiêu hủy thông tin cá nhân)
- Thông tin đã hết thời gian lưu trữ hoặc đã đạt mục đích xử lý sẽ được tiêu hủy ngay lập tức.
- Thông tin cần lưu trữ theo luật sẽ được bảo quản trong môi trường hạn chế truy cập và tiêu hủy khi thời gian kết thúc.
- Các tệp thông tin cá nhân dạng điện tử sẽ được xóa hoặc ẩn danh bằng phương pháp an toàn khiến việc khôi phục hoặc tái tạo trở nên khó khăn.
Điều 11 (Biện pháp đảm bảo an toàn)
- Biện pháp quản trị: giới hạn nhân viên có quyền truy cập thông tin cá nhân trong phạm vi cần thiết và quản lý quy trình công việc và tiêu chuẩn bảo vệ.
- Biện pháp kỹ thuật: quản lý quyền truy cập, xác thực và kiểm soát truy cập, mã hoá TLS trong truyền tải, lưu trữ riêng biệt thông tin quan trọng và kiểm tra lỗ hổng bảo mật.
- Biện pháp vật lý: áp dụng bảo mật vật lý và kiểm soát ra vào của nhà cung cấp cloud và trung tâm dữ liệu mà công ty sử dụng.
- Biện pháp phản ứng sự cố: phát hiện sự cố bảo mật, kiểm tra log, sao lưu·phục hồi và quy trình đánh giá·đối phó sự cố.
Điều 12 (Người chịu trách nhiệm bảo vệ thông tin cá nhân và tiếp nhận yêu cầu thực hiện quyền)
Người chịu trách nhiệm bảo vệ thông tin cá nhân: Jo Chang-hyun (Giám đốc)
Email: support@sheetmusic.kr
Điện thoại: 070-4617-6352
Điều 13 (Giải quyết vi phạm quyền)
- Trung tâm báo cáo vi phạm thông tin cá nhân: 118, privacy.kisa.or.kr
- Ủy ban hòa giải tranh chấp thông tin cá nhân: 1833-6972, www.kopico.go.kr
- Viện Kiểm sát tối cao: 1301, www.spo.go.kr
- Cảnh sát quốc gia: 182, ecrm.police.go.kr
Điều 14 (Thay đổi chính sách xử lý)
Khi chính sách xử lý thay đổi, ngày thực thi và nội dung thay đổi chính sẽ được công bố trong lịch sử thay đổi dịch vụ và chính sách. Các thay đổi có ảnh hưởng đáng kể đến quyền hoặc nghĩa vụ của chủ thể dữ liệu sẽ được thông báo riêng trước thời gian quy định của luật hoặc thời gian hợp lý.
Điều khoản phụ
Chính sách bảo mật thông tin cá nhân này có hiệu lực từ ngày 20 tháng 7 năm 2026.