CoStory Policies

Personal Data Privacy Policy

PERSONAL DATA PRIVACY POLICY

CÔNG TY TNHH DỊCH VỤ COSTORY
Effective Date: January 1, 2026
Last Updated: June 30, 2026

1. General Provisions & Legal Basis

Công ty TNHH Dịch Vụ CoStory (hereinafter referred to as “CoStory”, “We”, or “Our”) is committed to protecting the privacy and personal data of our Content Creators, Influencers, Brand Clients, and visitors to our digital platforms.
This Privacy Policy regulates how CoStory collects, stores, uses, processes, shares, and deletes personal data in strict compliance with:

  • The Law on Personal Data Protection No. 91/2025/QH15 (PDPL).
  • The guiding Decree No. 356/2025/ND-CP of the Government of Vietnam.
  • The Law on Accounting and applicable tax regulations of the Socialist Republic of Vietnam.

2. Categories of Personal Data Collected

In accordance with Vietnamese law, CoStory explicitly categorizes and processes the following two tiers of personal data:

A. Basic Personal Data

  • Content Creators / Influencers: Full legal name, stage name/alias, gender, date of birth, contact phone number, personal email address, social media profile links, public content metrics, and personal images or video materials.
  • Brand Clients & Corporate Partners: Corporate representative's full name, job title, corporate email address, business phone number, and company operational address.

B. Sensitive Personal Data (Heightened Security Measures)

  • Creator Financial Identity: Citizen Identity Card (CCCD) or Passport numbers, personal Tax Identification Numbers (TIN), and bank account details (account numbers, bank names, branch details) collected solely for contract execution and Personal Income Tax (PIT) withholding.
  • Cyberspace Behavior Data: IP addresses, device information, browser types, and digital behavior tracking data collected automatically from users visiting our main site and subdomains via analytical infrastructure.

3. Channels of Collection & Platform Disclaimers

CoStory operates a highly communicative, decentralized workflow. We collect personal data directly from you across the following digital communication channels:

  • Official Corporate Email: Electronic mail routed via info@costory.studio.
  • Instant Messaging & Social Platforms: Official interactions across Zalo, Telegram, Facebook Messenger, Threads, Instagram Direct Messages, and TikTok chat utilities.
  • Voice and SMS: Direct telephonic conversations and standard cellular messages.
  • Platform Analytics: Automatically triggered scripts deployed directly on costory.studio and its associated subdomains.

Third-Party Platform Disclaimer: While CoStory guarantees the complete security of data once it enters our internal systems, we do not control the underlying data infrastructure of external communication platforms (such as Meta platforms, ByteDance, or Zalo). Users interact on these platforms at their own risk and are bound by the respective providers' privacy frameworks. Unsolicited sensitive data sent to us via these chats that is not required for contract execution will be permanently purged within thirty (30) days.

4. Purposes of Data Processing

CoStory processes your personal data strictly for legitimate business operations, restricted to the following defined scopes:

  • Talent Matching & Booking: Analyzing public creator metrics to pitch optimized profiles to Brand Clients for upcoming campaigns.
  • Contractual Fulfillment: Executing legal management and booking agreements between CoStory and Content Creators.
  • Financial Remuneration: Executing private payment transfers, payouts, and tracking campaign fees.
  • Statutory Tax Obligations: Calculating, withholding, and declaring Personal Income Tax (PIT) on behalf of creators to the General Department of Taxation of Vietnam.
  • Platform Optimization: Evaluating technical performance, tracking user conversions, and refining the user experience on costory.studio.

5. Third-Party Disclosures & The "Middleman Firewall"

CoStory operates under a strict intermediary framework designed to maximize privacy for our talent:

  • Absolute Non-Disclosure to Brands: Brand Clients are only provided with a Creator’s public stage name, profile handles, and campaign metrics. CoStory enforces a zero-exception firewall: no real names, private phone numbers, Citizen IDs, or banking details are ever shared with corporate clients.
  • External Professional Accounting: To fulfill mandatory tax and accounting standards, CoStory shares the minimum necessary sensitive data (Real Names, CCCD, TIN, and Banking Details) with an authorized external Vietnamese freelance accountant. This professional operates under a binding Data Processing & Confidentiality Agreement and is legally prohibited from utilizing this data for any independent purpose.

6. Simultaneous Recording & Internal Data Governance

To maintain absolute corporate transparency, error correction, and to satisfy statutory state audit requirements, CoStory runs a parallel internal data tracking system:

  • System Safeguards: All internal copies of payment sheets, identity numbers, and creator tax records are stored inside encrypted local hardware and restricted-access cloud systems.
  • Personnel Access Control: Access to files holding Sensitive Personal Data is strictly blocked for unauthorized personnel and is reserved solely for core managing partners managing payouts.

7. Website Tracking & Cross-Border Data Transfers (Google Analytics)

CoStory operates Google Analytics tracking infrastructure across costory.studio and all related subdomains.

  • Prior-Consent Mechanism: Analytical tracking cookies are entirely disabled by default. Tracking scripts will not deploy unless the user actively triggers the "Accept" button on our cookie pop-up banner.
  • Outbound Routing: By clicking "Accept", users explicitly acknowledge that their cyberspace behavior tracking data will be transferred and stored across global server arrays operated by Google LLC outside the territory of Vietnam. Users may fully withdraw this consent at any time by wiping their browser cache or adjusting cookie parameters.

8. Data Subject Rights & Mandatory Legal Timelines

In strict adherence to the response windows defined by Decree No. 356/2025/ND-CP, data subjects can trigger their legal rights by writing directly to info@costory.studio.
Because our workflow coordinates internal operations with an external accounting professional, our statutory completion windows are structured as follows:

Legal RightCoStory Response AcknowledgmentFull Execution Deadline
Right to View, Extract, or Correct DataWithin 2 working daysCompleted within 15 days
Right to Restrict Processing / ObjectWithin 2 working daysCompleted within 20 days
Right to Data Erasure / DeletionWithin 2 working daysCompleted within 30 days

Legal Exception to Deletion: Financial logs, identity details bound to contracts, and transaction trails cannot be deleted upon user request if they are subject to the mandatory 10-year retention period dictated by the Vietnamese Law on Accounting for corporate tax audits.

9. Security Incident Commitments

In the event of a suspected system compromise, data leak, or unauthorized exposure of personal data within our internal systems or our external accountant’s infrastructure, CoStory will:

  1. Immediately isolate the breach and implement mitigation patches.
  2. Formally report the incident to the Department for Cybersecurity and High-tech Crime Prevention (A05) under the Ministry of Public Security within the legally mandated timeframe.
  3. Formally contact all affected data subjects via their registered email addresses outlining the nature of the leak and recommended defensive actions.

10. Contact Information

For all questions, complaints, consent withdrawals, or adjustments regarding your personal data rights, please contact our dedicated data handling portal at:
Công ty TNHH Dịch Vụ CoStory
Primary Compliance Email: info@costory.studio

CHÍNH SÁCH BẢO MẬT DỮ LIỆU CÁ NHÂN

CÔNG TY TNHH DỊCH VỤ COSTORY
Ngày hiệu lực: ngày 1 tháng 1 năm 2026
Cập nhật lần cuối: ngày 30 tháng 6 năm 2026

1. Quy định chung & Cơ sở pháp lý

Công ty TNHH Dịch Vụ CoStory (sau đây gọi tắt là “CoStory” hoặc “Chúng tôi”) cam kết bảo vệ quyền riêng tư và dữ liệu cá nhân của các Nhà sáng tạo nội dung, Người có ảnh hưởng (Influencers), Khách hàng thương hiệu (Brands) và khách truy cập vào các nền tảng kỹ thuật số của chúng tôi.
Chính sách bảo mật này quy định cách thức CoStory thu thập, lưu trữ, sử dụng, xử lý, chia sẻ và xóa dữ liệu cá nhân theo tuân thủ nghiêm ngặt đối với:

  • Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 (PDPL).
  • Nghị định số 356/2025/NĐ-CP hướng dẫn thi hành Luật Bảo vệ dữ liệu cá nhân của Chính phủ Việt Nam.
  • Luật Kế toán và các quy định pháp luật về thuế hiện hành của nước Cộng hòa Xã hội Chủ nghĩa Việt Nam.

2. Phân loại dữ liệu cá nhân được thu thập

Theo quy định của pháp luật Việt Nam, CoStory phân loại rõ ràng và xử lý hai nhóm dữ liệu cá nhân sau:

A. Dữ liệu cá nhân cơ bản

  • Nhà sáng tạo nội dung / Người có ảnh hưởng: Họ và tên khai sinh, nghệ danh/bí danh, giới tính, ngày tháng năm sinh, số điện thoại liên hệ, địa chỉ email cá nhân, đường dẫn hồ sơ mạng xã hội, các chỉ số tương tác nội dung công khai, và hình ảnh hoặc video cá nhân.
  • Khách hàng thương hiệu & Đối tác doanh nghiệp: Họ và tên người đại diện doanh nghiệp, chức vụ, địa chỉ email doanh nghiệp, số điện thoại làm việc và địa chỉ hoạt động của công ty.

B. Dữ liệu cá nhân nhạy cảm (Áp dụng các biện pháp bảo mật tăng cường)

  • Thông tin định danh tài chính của Nhà sáng tạo: Số Căn cước công dân (CCCD) hoặc số Hộ chiếu, Mã số thuế cá nhân (MST), và thông tin tài khoản ngân hàng (số tài khoản, tên ngân hàng, chi nhánh) được thu thập chỉ nhằm mục đích thực hiện hợp đồng và khấu trừ Thuế thu nhập cá nhân (TNCN).
  • Dữ liệu về hành vi trên không gian mạng: Địa chỉ IP, thông tin thiết bị, loại trình duyệt và dữ liệu theo dõi hành vi kỹ thuật số được thu thập tự động từ người dùng truy cập trang web chính và các tên miền phụ thông qua cơ sở hạ tầng phân tích.

3. Kênh thu thập & Tuyên bố miễn trừ trách nhiệm của nền tảng

CoStory vận hành một quy trình làm việc phi tập trung và có tính tương tác cao. Chúng tôi thu thập dữ liệu cá nhân trực tiếp từ bạn thông qua các kênh truyền thông kỹ thuật số sau:

  • Email chính thức của công ty: Thư điện tử được định tuyến qua info@costory.studio.
  • Ứng dụng nhắn tin & Nền tảng xã hội: Các tương tác chính thức trên Zalo, Telegram, Facebook Messenger, Threads, Instagram Direct Message và các công cụ trò chuyện của TikTok.
  • Cuộc gọi thoại và SMS: Các cuộc hội thoại qua điện thoại trực tiếp và tin nhắn di động tiêu chuẩn.
  • Công cụ phân tích nền tảng: Các đoạn mã theo dõi tự động được triển khai trực tiếp trên costory.studio và tất cả các tên miền phụ liên quan.

Tuyên bố miễn trừ trách nhiệm đối với bên thứ ba: Mặc dù CoStory bảo đảm an toàn tuyệt đối cho dữ liệu khi đã vào hệ thống nội bộ của chúng tôi, chúng tôi không kiểm soát cơ sở hạ tầng dữ liệu của các nền tảng truyền thông bên ngoài (như Meta, ByteDance hoặc Zalo). Người dùng tương tác trên các nền tảng này phải tự chịu rủi ro và tuân theo chính sách bảo mật của các nhà cung cấp đó. Dữ liệu nhạy cảm không mong muốn được gửi cho chúng tôi qua các kênh chat này mà không bắt buộc cho việc thực hiện hợp đồng sẽ được xóa vĩnh viễn trong vòng ba mươi (30) ngày.

4. Mục đích xử lý dữ liệu

CoStory xử lý dữ liệu cá nhân của bạn nghiêm ngặt cho các hoạt động kinh doanh hợp pháp, giới hạn trong các phạm vi được định nghĩa sau:

  • Kết nối & Đặt dịch vụ (Booking): Phân tích các chỉ số công khai của nhà sáng tạo để đề xuất hồ sơ tối ưu cho Khách hàng thương hiệu trong các chiến dịch sắp tới.
  • Thực hiện nghĩa vụ hợp đồng: Ký kết và thực hiện các hợp đồng quản lý và đặt dịch vụ (booking) giữa CoStory và Nhà sáng tạo nội dung.
  • Thanh toán tài chính: Thực hiện các giao dịch chuyển khoản thanh toán riêng tư, chi trả thù lao và theo dõi phí chiến dịch.
  • Nghĩa vụ thuế theo quy định: Tính toán, khấu trừ và kê khai Thuế thu nhập cá nhân (TNCN) thay mặt cho nhà sáng tạo gửi lên Tổng cục Thuế Việt Nam.
  • Tối ưu hóa nền tảng: Đánh giá hiệu suất kỹ thuật, theo dõi chuyển đổi của người dùng và cải thiện trải nghiệm người dùng trên costory.studio.

5. Tiết lộ cho bên thứ ba & "Bức tường lửa trung gian"

CoStory hoạt động theo một mô hình trung gian nghiêm ngặt được thiết kế nhằm tối đa hóa quyền riêng tư cho tài năng của chúng tôi:

  • Không tiết lộ thông tin cho Thương hiệu: Khách hàng thương hiệu chỉ được cung cấp nghệ danh công khai, tài khoản mạng xã hội và các chỉ số chiến dịch của Nhà sáng tạo. CoStory thực thi một bức tường lửa không ngoại lệ: không chia sẻ tên thật, số điện thoại cá nhân, CCCD hoặc thông tin ngân hàng cho khách hàng doanh nghiệp.
  • Dịch vụ kế toán chuyên nghiệp bên ngoài: Để đáp ứng các tiêu chuẩn bắt buộc về thuế và kế toán, CoStory chia sẻ dữ liệu nhạy cảm ở mức tối thiểu cần thiết (Tên thật, CCCD, MST và Thông tin ngân hàng) với một kế toán viên tự do hợp pháp tại Việt Nam. Chuyên viên này hoạt động theo một Thỏa thuận bảo mật và Xử lý dữ liệu ràng buộc, và bị cấm pháp lý trong việc sử dụng dữ liệu này cho bất kỳ mục đích độc lập nào khác.

6. Ghi nhận song song & Quản trị dữ liệu nội bộ

Để duy trì tính minh bạch tuyệt đối của doanh nghiệp, sửa lỗi và đáp ứng các yêu cầu kiểm toán nhà nước theo quy định, CoStory vận hành một hệ thống theo dõi dữ liệu nội bộ song song:

  • Biện pháp bảo vệ hệ thống: Tất cả các bản sao nội bộ của bảng tính thanh toán, số định danh và hồ sơ thuế của nhà sáng tạo được lưu trữ bên trong phần cứng cục bộ được mã hóa và hệ thống đám mây bị giới hạn quyền truy cập.
  • Kiểm soát truy cập của nhân sự: Quyền truy cập vào các tệp chứa Dữ liệu cá nhân nhạy cảm bị chặn nghiêm ngặt đối với nhân sự không được ủy quyền và chỉ dành riêng cho các đối tác quản lý cốt lõi phụ trách chi trả.

7. Theo dõi trang web & Chuyển dữ liệu xuyên biên giới (Google Analytics)

CoStory vận hành cơ sở hạ tầng theo dõi Google Analytics trên costory.studio và tất cả các tên miền phụ liên quan.

  • Cơ chế đồng ý trước (Prior-Consent): Các cookie theo dõi phân tích hoàn toàn bị vô hiệu hóa theo mặc định. Các đoạn mã theo dõi sẽ không triển khai trừ khi người dùng chủ động bấm nút "Chấp nhận" trên biểu ngữ pop-up cookie của chúng tôi.
  • Định tuyến ra nước ngoài: Bằng cách nhấp vào "Chấp nhận", người dùng xác nhận và đồng ý rõ ràng rằng dữ liệu theo dõi hành vi trên không gian mạng của họ sẽ được truyền và lưu trữ trên các máy chủ toàn cầu do Google LLC vận hành bên ngoài lãnh thổ Việt Nam. Người dùng có thể rút lại sự đồng ý này bất kỳ lúc nào bằng cách xóa bộ nhớ đệm trình duyệt hoặc điều chỉnh các tùy chọn cookie.

8. Quyền của chủ thể dữ liệu & Thời hạn pháp lý bắt buộc

Tuân thủ nghiêm ngặt các thời hạn phản hồi được quy định bởi Nghị định số 356/2025/NĐ-CP, chủ thể dữ liệu có thể kích hoạt các quyền pháp lý của mình bằng cách viết thư trực tiếp đến info@costory.studio.
Vì quy trình làm việc của chúng tôi phối hợp hoạt động nội bộ với một chuyên gia kế toán bên ngoài, thời hạn hoàn thành theo luật định của chúng tôi được cấu trúc như sau:

Quyền pháp lýThời hạn xác nhận phản hồi của CoStoryThời hạn hoàn thành thực hiện
Quyền xem, trích xuất hoặc chỉnh sửa dữ liệuTrong vòng 02 ngày làm việcHoàn thành trong vòng 15 ngày
Quyền hạn chế xử lý / Phản đối xử lýTrong vòng 02 ngày làm việcHoàn thành trong vòng 20 days
Quyền xóa dữ liệuTrong vòng 02 ngày làm việcHoàn thành trong vòng 30 ngày

Ngoại lệ pháp lý đối với việc xóa dữ liệu: Nhật ký tài chính, thông tin định danh gắn liền với hợp đồng và lịch sử giao dịch không thể bị xóa theo yêu cầu của người dùng nếu chúng thuộc đối tượng phải tuân thủ thời hạn lưu trữ bắt buộc 10 năm được quy định bởi Luật Kế toán Việt Nam phục vụ cho việc kiểm toán thuế doanh nghiệp.

9. Cam kết khi xảy ra sự cố bảo mật

Trong trường hợp nghi ngờ hệ thống bị xâm nhập, rò rỉ dữ liệu hoặc lộ thông tin cá nhân trái phép trong hệ thống nội bộ của chúng tôi hoặc cơ sở hạ tầng của kế toán bên ngoài, CoStory sẽ:

  1. Ngay lập tức cô lập vùng vi phạm và triển khai các bản vá giảm thiểu rủi ro.
  2. Báo cáo chính thức vụ việc cho Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao (A05) trực thuộc Bộ Công an trong thời hạn do pháp luật quy định.
  3. Liên hệ chính thức với tất cả các chủ thể dữ liệu bị ảnh hưởng qua địa chỉ email đã đăng ký của họ để nêu rõ bản chất của việc rò rỉ và các hành động phòng vệ khuyên dùng.

10. Thông tin liên hệ

Đối với tất cả các câu hỏi, khiếu nại, rút lại sự đồng ý hoặc điều chỉnh liên quan đến quyền dữ liệu cá nhân của bạn, vui lòng liên hệ với cổng xử lý dữ liệu chuyên trách của chúng tôi tại:
Công ty TNHH Dịch Vụ CoStory
Email tuân thủ chính: info@costory.studio