VSF — Tiêu Chuẩn Kiểm Duyệt AI App

Áp dụng cho toàn bộ AI App (MCP Server, AI Agent, AI Plugin) trên nền tảng V-App

1. Thông tin và nội dung

1.1 Yêu cầu chung

1.1.1 Bản gửi kiểm duyệt phải hoàn thiện, mọi tool đã đăng ký đều gọi được.
1.1.2 Dịch vụ thực tế phải nhất quán với bản khai báo đã đăng ký.
1.1.3 Bản gửi phải kèm hướng dẫn kiểm tra gồm: tài khoản test (nếu cần xác thực), và cho mỗi tool — ít nhất 1 kịch bản chính (đầu vào hợp lệ + đầu ra mong đợi) cùng 1 kịch bản lỗi (đầu vào không hợp lệ + phản hồi lỗi mong đợi).
1.1.4 Kiểm duyệt hoàn tất trong 1–3 ngày làm việc kể từ khi nhận bản gửi hợp lệ. Các team cần gửi trước ít nhất 24 giờ so với thời điểm cần kết quả.
1.1.5 AI App phải đạt toàn bộ chỉ tiêu trên môi trường kiểm thử trước khi được nghiệm thu trên production.

1.2 Thông tin cơ bản

1.2.1 Đầy đủ, chính xác: tên, biểu tượng, mô tả ngắn (< 50 ký tự), mô tả đầy đủ, mô tả tool (≥ 20 từ/tool).
1.2.2 Không chứa nội dung vi phạm pháp luật, chính trị, tôn giáo, bạo lực, khiêu dâm, cờ bạc, vi phạm bản quyền, công kích cá nhân.
1.2.3 Không lẫn thuật ngữ bị cấm hoặc nội dung không liên quan chức năng.
1.2.4 Không xuất hiện nhãn hiệu, logo thuộc bản quyền VinGroup hoặc bên thứ ba chưa được ủy quyền.
1.2.5 Không chứa URL, số điện thoại, tài khoản mạng xã hội không liên quan.
1.2.6 Không chứa nội dung phân biệt đối xử theo giới tính, dân tộc, tôn giáo, khuyết tật hoặc bất kỳ đặc điểm cá nhân nào.

1.3 Nội dung bên trong

1.3.1 Nội dung bên trong (mô tả tool, skill, đầu ra) phải tuân thủ 1.2.2.
1.3.2 AI App phải có cơ chế giảm thiểu hallucination (trích nguồn, cảnh báo độ tin cậy). Không khẳng định thông tin chưa xác minh như sự thật.
1.3.3 Nội dung không phù hợp với trẻ vị thành niên phải có cơ chế lọc hoặc cảnh báo.
1.3.4 Mỗi tool phải có ít nhất 1 ví dụ sử dụng.
1.3.5 Cấm tạo hoặc phát tán deepfake mạo danh cá nhân hoặc tổ chức.
1.3.6 Cấm AI App tạo nội dung so sánh hoặc hạ thấp sản phẩm/dịch vụ khác trong hệ sinh thái VinGroup.
1.3.7 Đầu ra do AI tạo phải gắn nhãn rõ ràng, cấm trình bày như nội dung do con người viết.

1.4 Yêu cầu về skill

1.4.1 Skill phải tuân thủ cấu trúc chuẩn: phần đầu YAML + nội dung markdown.
1.4.2 Mô tả không chứa chỉ thị yêu cầu bỏ qua hướng dẫn an toàn.
1.4.3 AI App phải vượt qua bộ kiểm thử prompt injection chuẩn của V-App.
1.4.4 Không yêu cầu AI Agent tự gọi API bên ngoài ngoài danh sách được duyệt.

1.5 Đa ngôn ngữ

1.5.1 Hỗ trợ đa ngôn ngữ phải cung cấp đầy đủ thông tin kiểm duyệt cho mọi ngôn ngữ.
1.5.2 Nội dung trả về từ tools phải hỗ trợ ngôn ngữ theo ứng dụng chủ.

2. Kỹ thuật

2.1 Khung kỹ thuật

AI App phải tuân thủ tài liệu kỹ thuật của V-App.

2.2 An ninh bảo mật

2.2.1 Cho phép V-App kiểm thử an ninh phía máy chủ và mã nguồn.
2.2.2 Đáp ứng tiêu chuẩn VinSOC về an toàn thông tin.
2.2.3 Cấm khai thác lỗ hổng thiết bị, V-App, phần mềm/phần cứng khác.
2.2.4 Cấm qua mặt cơ chế giao thức của V-App, chạy mã thực thi ngoài phạm vi khai báo.
2.2.5 Cấm phát tán mã độc, virus.
2.2.6 Tuân thủ cô lập môi trường: không truy cập hệ thống tệp/tiến trình ngoài phạm vi khai báo.
2.2.7 Ghi nhật ký mỗi lần gọi tool (thời gian, mã người dùng, mã băm đầu vào, trạng thái). Lưu tối thiểu 90 ngày.

2.3 Sử dụng APIs

2.3.1 Không dùng APIs không công khai của V-App.
2.3.2 V-App có quyền thu hồi tools của AI App vi phạm.
2.3.3 Cấm sử dụng APIs/tools của AI App khác không được ủy quyền.

2.4 Ủy quyền đăng nhập

2.4.1 Nếu có định danh, phải dùng V-ID của V-App.
2.4.2 Người dùng từ chối ủy quyền → AI App phải hoạt động ở chế độ hạn chế. Ngoại lệ: AI App nội bộ được miễn nhưng phải phân quyền theo vai trò.
2.4.3 Không yêu cầu đăng ký ở ứng dụng khác.
2.4.4 Người dùng thu hồi ủy quyền, phải ngừng thu thập dữ liệu ngay.
2.4.5 Session phải được quản lý đúng cách, không để rò rỉ ngữ cảnh giữa các phiên.

2.5 Quản trị tool và skill

2.5.1 Thay đổi lớn (xóa/đổi tên tool, đổi tham số bắt buộc) → kiểm duyệt lại đầy đủ. Thay đổi nhỏ → duyệt nhanh (< 1 ngày) hoặc tự động.
2.5.2 Thay đổi nội dung skill phải đánh phiên bản. Chỉ gửi lại kiểm duyệt khi thay đổi logic hoặc định dạng đầu ra.
2.5.3 Hành vi thực tế phải khớp bản khai báo (khai báo chỉ đọc không được ghi).
2.5.4 Cấm tự động gọi tools/AI App khác khi chưa có yêu cầu rõ ràng từ Agent.
2.5.5 Cấm dùng ghi âm, camera mà không có đồng ý. Thu thập vị trí phải có ủy quyền.

2.6 Thanh toán

2.6.1 Khi AI nhận diện người dùng muốn mua hàng hoặc trả phí, AI App phải trả về kết quả (dạng widget hoặc deeplink) để điều hướng người dùng mở Mini App thanh toán.
2.6.2 Cấm MCP Server yêu cầu AI thu thập trực tiếp thông tin thẻ tín dụng, mật khẩu ngân hàng hoặc mã OTP qua luồng chat.
2.6.3 Không hướng dẫn AI đề xuất người dùng chuyển khoản trực tiếp, dùng tiền điện tử hoặc thanh toán qua các cổng ngoài hệ sinh thái V-App.

3. Thiết kế (trải nghiệm Agent)

3.1 Schema rõ ràng

3.1.1 Khuyến nghị đặt tên tool theo snake_case, bắt đầu bằng động từ hành động (VD: search_flights, get_weather).
3.1.2 Mô tả tool phải trung thực, đủ chi tiết để AI biết khi nào nên gọi. Cấm nhồi từ khóa ép AI chọn tool.
3.1.3 Tham số có kiểu dữ liệu rõ ràng, mô tả đầy đủ.
3.1.4 Tối giản tham số: chỉ yêu cầu các tham số thực sự cần thiết. Cấm yêu cầu AI gửi toàn bộ lịch sử trò chuyện.
3.1.5 Giá trị liệt kê (enum) đầy đủ.

3.2 Phản hồi dễ xử lý

3.2.1 Trả cấu trúc JSON nhất quán.
3.2.2 Có trường status (thành công/lỗi).
3.2.3 Lỗi trả về có mã lỗi và thông báo, không trả vết lỗi hệ thống.
3.2.4 Dấu thời gian, đơn vị tiền tệ theo chuẩn ISO.
3.2.5 Phản hồi không được chứa mã thực thi (JavaScript, lệnh hệ thống, SQL) có thể bị AI Agent tự động chạy.

3.3 Định danh chức năng

3.3.1 Mỗi tool làm 1 việc rõ ràng.
3.3.2 Không có tools trùng lặp gây nhầm lẫn.
3.3.3 Tools phụ thuộc nhau phải ghi rõ trong description.

3.4 Xử lý lỗi

3.4.1 Xử lý đầu vào không hợp lệ, trả lỗi có cấu trúc.
3.4.2 Không trả phản hồi rỗng hoặc lỗi nghiêm trọng khi đầu vào bất thường.
3.4.3 Giới hạn tần suất theo người dùng; khi đạt giới hạn trả 429 + retry_after.
3.4.4 Timeout có giá trị mặc định hợp lý.
3.4.5 AI App phải khai báo hạn mức sử dụng tối đa/người dùng/ngày và xử lý hợp lý khi vượt hạn mức.

3.5 Tính khả dụng cao

3.5.1 AI App phải hoạt động được với người dùng không định danh (trừ tool cần xác thực).
3.5.2 Tool chỉ đọc phải cho kết quả giống nhau khi gọi lại; tool ghi cần có khóa chống trùng lặp.
3.5.3 Khi dịch vụ phụ thuộc gặp sự cố, AI App phải hoạt động giới hạn thay vì ngừng hoàn toàn.
3.5.4 Kích thước phản hồi tối đa ≤ 1 MB/call. Phải hỗ trợ phân trang (cursor hoặc offset) khi > 100 KB hoặc nhiều mục.
3.5.5 V-App tự động ngắt kết nối nếu AI App không phản hồi sau 15 giây (hoặc theo ngưỡng Nhóm đã khai báo).

4. Vận hành

4.1 Phân loại sự cố

Mức	Định nghĩa	Ví dụ
P0	Ngừng hoạt động hoàn toàn hoặc rò rỉ dữ liệu	Toàn bộ tool không phản hồi; PII bị lộ ra ngoài
P1	Chức năng chính bị ảnh hưởng nghiêm trọng	Tool chủ lực trả kết quả sai; tỷ lệ lỗi > 10%
P2	Chức năng phụ bị ảnh hưởng, có cách xử lý tạm	1 trong nhiều tool lỗi; hiệu năng giảm rõ rệt nhưng vẫn hoạt động
P3	Lỗi nhỏ, không ảnh hưởng trải nghiệm chính	Sai chính tả trong phản hồi; log thiếu trường không quan trọng

4.1.1 Thời gian bắt đầu xử lý: P0 ≤ 1 giờ, P1 ≤ 4 giờ, P2 ≤ 24 giờ, P3 ≤ 72 giờ.
4.1.2 P0/P1 bắt buộc báo cáo sau sự cố: sơ bộ trong 5 ngày làm việc, đầy đủ trong 14 ngày làm việc.
4.1.3 Thông báo theo mẫu chuẩn: phạm vi ảnh hưởng, thời gian dự kiến khắc phục, cập nhật tiến độ.

4.2 Leo thang

4.2.1 3 cấp: L1 (nhà phát triển) → L2 (V-App) → L3 (VinSOC / Pháp chế / Ban Quản trị Tập đoàn).
4.2.2 Tự động lên L2 nếu nhà phát triển không phản hồi trong thời gian quy định tại 4.1.1.
4.2.3 L2 phải lên L3 trong vòng 4 giờ (24/7) khi liên quan pháp lý, rò rỉ dữ liệu quy mô lớn, hoặc ảnh hưởng ≥ 1.000 người dùng.

4.3 Gỡ khẩn cấp

4.3.1 V-App có quyền tạm ngưng AI App trong vòng 1 giờ khi phát hiện vi phạm P0.
4.3.2 Thông báo nhà phát triển và người dùng trong vòng 2 giờ sau khi gỡ.
4.3.3 Nhà phát triển có 72 giờ làm việc để khắc phục và gửi lại. Được gia hạn 1 lần (48 giờ) nếu V-App chấp thuận. Quá hạn → gỡ vĩnh viễn.

4.4 Giám sát

4.4.1 V-App giám sát sai lệch bản khai báo, bất thường hành vi, báo cáo từ người dùng.
4.4.2 Tái kiểm định định kỳ mỗi 12 tháng.
4.4.3 Tái kiểm định đột xuất khi: sai lệch so với schema, lỗ hổng bảo mật mới, ≥ 3 báo cáo an toàn, hoặc sự cố P0/P1.

Vi phạm sẽ bị cảnh báo, tạm ngưng hoặc gỡ AI App.

4.5 Khôi phục sau thảm họa

4.5.1 Khai báo thời gian khôi phục mục tiêu và chiến lược sao lưu khi gửi kiểm duyệt. AI App ≥ 1.000 người dùng/tháng phải có kế hoạch khôi phục được V-App duyệt.
4.5.2 Khi AI App không khả dụng, V-App tự động ngắt kết nối — trả lỗi có cấu trúc thay vì treo phiên.

5. Bảo vệ dữ liệu cá nhân

5.1 Thu thập dữ liệu

5.1.1 Có sự đồng thuận và khai báo đầy đủ mục đích trước khi thu thập.
5.1.2 Cấm thu thập trái phép mật khẩu hoặc PII.
5.1.3 AI App bị chấm dứt → xóa toàn bộ dữ liệu đã thu thập.
5.1.4 Lưu trữ: hội thoại xóa ngay sau phiên, nhật ký kiểm tra lưu tối thiểu 90 ngày, phân tích chỉ lưu ẩn danh.

5.2 Sử dụng dữ liệu

5.2.1 Cấm trả về/chia sẻ tên, SĐT, email, ngày sinh cho người dùng khác/bên thứ ba.
5.2.2 Cấm sử dụng PII không có ủy quyền.
5.2.3 Cấm sao chép, lưu trữ, truyền tải dữ liệu không có đồng thuận.
5.2.4 Cấm thu thập dữ liệu vị trí không có ủy quyền.
5.2.5 Dữ liệu vị trí chỉ dùng cho tính năng liên quan.
5.2.6 Dùng dữ liệu người dùng để huấn luyện mô hình phải được Ban quản trị dữ liệu tập đoàn duyệt. Phải ẩn danh hóa trước khi dùng.

5.3 Bảo mật dữ liệu

5.3.1 Không tiết lộ, chia sẻ dữ liệu cho bên thứ ba ngoài tập đoàn nếu chưa được phép.
5.3.2 Có trách nhiệm bảo vệ khỏi trộm cắp, rò rỉ.
5.3.3 Sự cố rò rỉ → xử lý ngay và báo cáo cơ quan có thẩm quyền theo Nghị định 13/2023.
5.3.4 Mọi dữ liệu (từ V-App hoặc tự thu thập) chỉ được dùng trong phạm vi AI App đó, trừ khi được Ban quản trị dữ liệu tập đoàn phê duyệt.

5.4 Dữ liệu trong AI Agent context

5.4.1 Tools không được lén lưu prompt hoặc ngữ cảnh ngoài phạm vi khai báo.
5.4.2 Output tools không chèn PII của người dùng khác.
5.4.3 Chỉ trả về thông tin cần thiết. Không đính kèm log nội bộ, session ID hay thông tin hệ thống.

5.5 Tuân thủ pháp luật Việt Nam

5.5.1 AI App xử lý dữ liệu nhạy cảm (y tế, sinh trắc, trẻ em) bắt buộc thực hiện Đánh giá tác động xử lý dữ liệu cá nhân (DPIA) theo Nghị định 13/2023.
5.5.2 Xử lý dữ liệu nhạy cảm phải chỉ định đầu mối bảo vệ dữ liệu cá nhân và thông báo Bộ Công an theo quy định.
5.5.3 Dữ liệu người dùng Việt Nam phải lưu trữ tại Việt Nam theo Điều 26 Luật An ninh mạng.
5.5.4 Phải có liên kết chính sách bảo mật, giải thích cách AI App xử lý dữ liệu giữa AI và máy chủ.

6. Đo lường chất lượng

4 nhóm chỉ số, ngưỡng chung cho mọi AI App. Đo bằng bộ kiểm thử V-App trong 30 ngày trên production.

6.1 Chức năng

Đo trên bộ test V-App (≥ 50 kịch bản/tool), kết hợp đánh giá tự động và rà soát thủ công.

#	Chỉ số	Ngưỡng
A1	Hoàn thành tác vụ	≥ 85%
A2	Trả lời có căn cứ (trích dẫn nguồn đầy đủ)	≥ 90%

6.2 An toàn

#	Chỉ số	Ngưỡng
B1	Chống injection và jailbreak	≥ 99%
B2	Không rò rỉ dữ liệu, PII	0 sự cố
B3	Không đầu ra độc hại (toxic, vi phạm pháp luật, NSFW) — đo trên bộ test V-App + giám sát production	0 sự cố
B4	Khả dụng (uptime)	≥ 99.9%

6.3 Hiệu năng

Nhà phát triển khai báo Nhóm, V-App xác nhận. Đo tại điểm gần người dùng nhất, không tính khởi động nguội.

Chỉ số	Nhóm A (đọc/tra cứu)	Nhóm B (ghi/gọi API ngoài)
p50	< 200ms	< 1s
p95	< 1s	< 3s
p99	< 2s	< 5s

#	Chỉ số	Ngưỡng
C1	Lỗi hệ thống (5xx + timeout)	≤ 1%
C2	TTFT (time-to-first-token)	< 1s

6.4 Vận hành

#	Chỉ số	Ngưỡng
D1	Tài liệu đầy đủ (mỗi tool có ví dụ, mỗi tham số có mô tả)	≥ 95%
D2	Thời gian phản hồi sự cố (bắt đầu xử lý)	Theo mức P0–P3

6.5 Quyết định kiểm duyệt

Kết quả	Điều kiện
Duyệt	Tất cả chỉ số (A, B, C, D) đạt ngưỡng
Duyệt có điều kiện	B1–B3 đạt; tối đa 2 chỉ số khác (A, B4, C, D) dưới ngưỡng nhưng B4 không dưới 99,5%. Phải khắc phục trong 30 ngày.
Yêu cầu chỉnh sửa	> 2 chỉ số dưới ngưỡng, hoặc B4 dưới 99,5%. Gửi lại sau khi sửa.
Từ chối	B1 dưới ngưỡng, hoặc B2/B3 có sự cố.

7. Thuật ngữ

Hallucination — Hiện tượng AI tạo ra thông tin sai nhưng trình bày như thật, không dựa trên dữ liệu đầu vào hoặc nguồn đáng tin cậy.
Mini App — Ứng dụng nhỏ chạy bên trong V-App, phục vụ chức năng cụ thể (thanh toán, mua hàng, dịch vụ) của công ty thành viên.
Tool poisoning — Tấn công trong đó tool trả về dữ liệu độc hại nhằm thao túng hành vi của AI Agent.
Prompt injection — Kỹ thuật tấn công bằng cách chèn chỉ thị vào đầu vào để AI Agent bỏ qua hướng dẫn gốc.
Jailbreak — Kỹ thuật vượt qua cơ chế căn chỉnh an toàn của mô hình AI để tạo nội dung bị cấm.
DPIA (Data Protection Impact Assessment) — Đánh giá tác động xử lý dữ liệu cá nhân theo Nghị định 13/2023.
Deepfake — Nội dung ảnh, video, hoặc giọng nói được tạo bởi AI để giả mạo hình ảnh hoặc lời nói của người thật.
V-ID — Hệ thống định danh người dùng thống nhất của V-App, dùng để xác thực và ủy quyền.
PII (Personally Identifiable Information) — Thông tin nhận dạng cá nhân: tên, số điện thoại, email, ngày sinh, địa chỉ, sinh trắc học, v.v.
TTFT (Time-To-First-Token) — Thời gian từ khi gửi request đến khi nhận token đầu tiên của phản hồi streaming.

1. Thông tin và nội dung​

1.1 Yêu cầu chung​

1.2 Thông tin cơ bản​

1.3 Nội dung bên trong​

1.4 Yêu cầu về skill​

1.5 Đa ngôn ngữ​

2. Kỹ thuật​

2.1 Khung kỹ thuật​

2.2 An ninh bảo mật​

2.3 Sử dụng APIs​

2.4 Ủy quyền đăng nhập​

2.5 Quản trị tool và skill​

2.6 Thanh toán​

3. Thiết kế (trải nghiệm Agent)​

3.1 Schema rõ ràng​

3.2 Phản hồi dễ xử lý​

3.3 Định danh chức năng​

3.4 Xử lý lỗi​

3.5 Tính khả dụng cao​

4. Vận hành​

4.1 Phân loại sự cố​

4.2 Leo thang​

4.3 Gỡ khẩn cấp​

4.4 Giám sát​

4.5 Khôi phục sau thảm họa​

5. Bảo vệ dữ liệu cá nhân​

5.1 Thu thập dữ liệu​

5.2 Sử dụng dữ liệu​

5.3 Bảo mật dữ liệu​

5.4 Dữ liệu trong AI Agent context​

5.5 Tuân thủ pháp luật Việt Nam​

6. Đo lường chất lượng​

6.1 Chức năng​

6.2 An toàn​

6.3 Hiệu năng​

6.4 Vận hành​

6.5 Quyết định kiểm duyệt​

7. Thuật ngữ​