1. Phạm vi & đơn vị quản lý dữ liệu
Chính sách này áp dụng cho tất cả các website, ứng dụng, dịch vụ và cổng thông tin do Công ty Cổ phần Quản lý Quỹ Đầu tư Fudubank (đơn vị quản lý hệ sinh thái Lĩnh Nam Group) và các đơn vị thành viên cung cấp, bao gồm:
- linhnam.vn — Website chính của Tập đoàn
- cdrestop.com & cdrestop.io — Hệ sinh thái CD Restop
- vnyc.io — Vietnam Yacht Cruise
- erp.linhnam.vn — Hệ thống quản trị nội bộ
- Ứng dụng di động VNYC, CD Restop, FuduBank, Lĩnh Nam Cosmos
- Các điểm chạm khác: email tiếp thị, Zalo OA, Facebook Pages, hotline (+84) 902 579 311
Đơn vị quản lý dữ liệu (Data Controller):
- 📍 Trụ sở: Số 114, Đường Nguyễn Cửu Vân, Phường Gia Định, TP. Hồ Chí Minh
- ✉️ Email: hi@linhnam.vn
- ☎️ Hotline: (+84) 902 579 311
2. Dữ liệu chúng tôi thu thập
Chúng tôi chỉ thu thập những thông tin cần thiết cho mục đích cụ thể, được phân loại như sau:
2.1 Dữ liệu định danh cơ bản
- Họ tên, ngày sinh, giới tính
- Email, số điện thoại
- Địa chỉ (cho khách hàng đã đặt dịch vụ/sản phẩm)
- Avatar (tùy chọn)
2.2 Dữ liệu nhận biết & xác thực
- Số CMND/CCCD/Hộ chiếu (chỉ khi cần KYC: đầu tư, tài khoản hội viên Black Card, hợp đồng thuê du thuyền)
- Mã số thuế (cho khách hàng doanh nghiệp)
- Thông tin tài khoản ngân hàng (chỉ với giao dịch hoàn tiền/chi trả cổ tức)
2.3 Dữ liệu hành vi & giao dịch
- Lịch sử đặt tour/du thuyền/sản phẩm
- Lịch sử thanh toán (qua VNPay, MoMo, Zalo Pay — chúng tôi không lưu trữ số thẻ)
- Tương tác với website (trang đã xem, thời gian, đường dẫn)
- Thiết bị: User-Agent, IP, hệ điều hành (qua log nginx)
2.4 Dữ liệu nhân sự (chỉ áp dụng cho ứng viên/nhân viên)
- CV, ảnh thẻ, học vấn, kinh nghiệm
- Hợp đồng lao động, lương thưởng, BHXH
- Đánh giá hiệu suất nội bộ
2.5 Dữ liệu cổ đông/nhà đầu tư
- Tỷ lệ sở hữu, lịch sử cổ phần
- Biên bản họp cổ đông, quyết định bổ nhiệm
- Báo cáo tài chính được chia sẻ riêng
Chúng tôi KHÔNG thu thập: dữ liệu y tế, tôn giáo, chính trị, xu hướng tình dục — trừ khi luật yêu cầu (ví dụ: thẻ BHYT cho nhân viên).
3. Mục đích sử dụng & cơ sở pháp lý
Mỗi mục đích thu thập đều có cơ sở pháp lý cụ thể theo Nghị định 13/2023/NĐ-CP và GDPR (đối với người dùng EU):
| Mục đích | Dữ liệu | Cơ sở pháp lý |
|---|---|---|
| Cung cấp dịch vụ (đặt tour, thuê yacht, mua sản phẩm) | Tên, liên hệ, địa chỉ, lịch sử giao dịch | Hợp đồng (Điều 9 — NĐ 13) |
| Xử lý thanh toán | Hoá đơn, mã giao dịch (KHÔNG có số thẻ) | Hợp đồng + nghĩa vụ pháp lý (kế toán) |
| KYC định danh khách hàng VIP | CMND/CCCD, hộ chiếu, mã số thuế | Nghĩa vụ pháp lý (Luật Phòng chống rửa tiền) |
| Tiếp thị (newsletter, sự kiện) | Email, tên, sở thích đã lưu | Sự đồng ý (có thể rút bất kỳ lúc nào) |
| Phân tích website (Google Analytics) | IP đã ẩn 1 octet, trang xem, thiết bị | Lợi ích chính đáng + sự đồng ý cookie |
| Bảo mật & phát hiện gian lận | Log truy cập, IP, hành vi bất thường | Lợi ích chính đáng + nghĩa vụ pháp lý |
| Nhân sự nội bộ | CV, đánh giá, lương, BHXH | Hợp đồng lao động + nghĩa vụ pháp lý |
4. Chia sẻ với bên thứ ba
Chúng tôi chỉ chia sẻ dữ liệu khi cần thiết và có hợp đồng bảo mật ràng buộc:
4.1 Đơn vị thành viên Lĩnh Nam Group
Dữ liệu có thể được chia sẻ giữa 7 đơn vị thành viên (CD Restop, VNYC, Cosmos, FuduBank, Trading, TimezZones, Holding) với điều kiện chỉ cho mục đích đã đồng ý ban đầu. Ví dụ: thông tin khách hàng VNYC charter du thuyền không được dùng cho marketing FuduBank trừ khi bạn đồng ý.
4.2 Bên xử lý dữ liệu (Data Processor)
- Hostinger (Lithuania) — hosting + lưu trữ
- Google LLC — Google Analytics, Workspace email
- VNPay / MoMo / Zalo Pay — cổng thanh toán
- Anthropic (Mỹ) — AI assistant cho hỗ trợ khách (anonymized)
- Cloudflare — CDN + chống DDoS
- Meta (Facebook, Zalo) — quảng cáo & messaging (chỉ hashed audience)
Tất cả các đối tác trên đều ký Data Processing Agreement (DPA) theo chuẩn GDPR.
4.3 Cơ quan nhà nước
Chúng tôi sẽ chia sẻ dữ liệu khi có yêu cầu hợp pháp từ:
- Cơ quan thuế (Tổng cục Thuế Việt Nam)
- Cảnh sát điều tra (theo lệnh tòa án)
- Cục An ninh mạng & Phòng chống tội phạm Công nghệ cao (A05)
- Bộ Công Thương (đối với cấp phép thương mại điện tử)
Chúng tôi KHÔNG bán dữ liệu cho bất kỳ ai.
5. Cookie & công nghệ theo dõi
Chi tiết xem tại Chính sách Cookie. Tóm tắt:
- Cookie thiết yếu — bắt buộc (đăng nhập, giỏ hàng, ngôn ngữ)
- Cookie phân tích — Google Analytics 4 (đã ẩn 1 octet IP, không cá nhân hóa)
- Cookie tùy chọn — theme dark/light, ngôn ngữ ưa thích
- Cookie quảng cáo — chỉ khi bạn đồng ý ở banner cookie
Bạn có thể từ chối qua banner khi vào lần đầu, hoặc xóa cookie qua trình duyệt bất kỳ lúc nào.
6. Quyền của bạn
Theo Nghị định 13/2023/NĐ-CP và GDPR, bạn có 8 quyền sau:
- Quyền được biết — về dữ liệu nào đang được xử lý (xem chính sách này)
- Quyền truy cập — yêu cầu copy dữ liệu của mình (trả lời trong 30 ngày)
- Quyền chỉnh sửa — yêu cầu sửa thông tin sai/lỗi thời
- Quyền xóa — yêu cầu xóa dữ liệu (trừ khi luật yêu cầu lưu, ví dụ hoá đơn 10 năm)
- Quyền hạn chế xử lý — tạm dừng xử lý trong khi tranh chấp
- Quyền chuyển dữ liệu — nhận dữ liệu định dạng máy đọc được (JSON/CSV)
- Quyền phản đối — phản đối xử lý cho mục đích marketing/phân tích
- Quyền rút sự đồng ý — bất kỳ lúc nào, không cần lý do
Cách thực hiện: gửi email dpo@linhnam.vn kèm bản sao CMND/CCCD để xác minh. Chúng tôi sẽ phản hồi trong vòng 72 giờ làm việc.
7. Thời hạn lưu trữ
| Loại dữ liệu | Thời gian lưu | Lý do |
|---|---|---|
| Tài khoản người dùng | Khi tài khoản còn hoạt động + 12 tháng sau xóa | Khôi phục, chống lừa đảo |
| Hoá đơn, chứng từ | 10 năm | Luật Kế toán Việt Nam |
| Hợp đồng lao động | Suốt thời gian làm việc + 75 năm sau (BHXH) | Luật Lao động + BHXH |
| Log truy cập website | 90 ngày (raw), 13 tháng (aggregated GA4) | Bảo mật + phân tích |
| Email tiếp thị | Đến khi bạn unsubscribe | Sự đồng ý đang còn hiệu lực |
| Dữ liệu KYC (CMND, CCCD) | 5 năm sau khi quan hệ kết thúc | Luật Phòng chống rửa tiền |
8. Bảo mật dữ liệu
Chúng tôi áp dụng các biện pháp bảo mật đa lớp:
- Mã hóa truyền tải — TLS 1.3 cho tất cả website (A+ SSL Labs rating)
- Mã hóa tại chỗ — Postgres + at-rest encryption + bcrypt cho mật khẩu
- Token xác thực — JWT với rotation 15 phút + refresh token httpOnly cookie
- Backup hàng ngày — sao lưu tự động → AWS S3 (encrypted)
- Audit log — mọi truy cập dữ liệu nhạy cảm đều ghi lại trong
core.activity_log - Phân quyền — RBAC 8 cấp + Phase 80b/c/d migration đến Identity Spine canonical
- Pen-test — kiểm thử hàng quý (đối tác bảo mật bên thứ ba)
- Phản hồi sự cố — Cam kết thông báo trong 72 giờ nếu có vi phạm dữ liệu (theo NĐ 13)
Hệ thống tuân thủ ISO 27001 và đang trong quy trình hoàn tất chứng nhận chính thức.
9. Chuyển giao quốc tế
Một số đối tác xử lý dữ liệu của chúng tôi đặt ngoài Việt Nam:
- Mỹ — Google (Analytics + email), Anthropic (AI), Meta — bảo vệ qua Standard Contractual Clauses (SCCs)
- Lithuania — Hostinger — bảo vệ qua GDPR adequacy
- Singapore — Cloudflare APAC — bảo vệ qua APEC CBPR
Tuân thủ Điều 25 NĐ 13 về chuyển giao xuyên biên giới — đã đăng ký với Cục An ninh mạng (A05).
10. Quyền riêng tư trẻ em
Dịch vụ của chúng tôi không hướng đến trẻ em dưới 16 tuổi. Chúng tôi không cố ý thu thập dữ liệu trẻ em. Nếu bạn là cha/mẹ phát hiện con mình đã cung cấp dữ liệu cho chúng tôi, vui lòng email dpo@linhnam.vn — chúng tôi sẽ xóa ngay lập tức.
Đối với hội viên gia đình (Family Membership của VNYC, Cosmos), thông tin trẻ em chỉ được thu thập từ phụ huynh có sự đồng ý rõ ràng.
11. Thay đổi chính sách
Chúng tôi có thể cập nhật chính sách này khi:
- Có sản phẩm/dịch vụ mới (mở rộng phạm vi thu thập)
- Pháp luật thay đổi (ví dụ: ban hành luật mới về AI)
- Đối tác xử lý dữ liệu thay đổi
Mọi thay đổi đáng kể sẽ được:
- Đăng tải trên trang này (ngày cập nhật ở đầu trang)
- Email thông báo đến tất cả tài khoản hoạt động (30 ngày trước khi áp dụng)
- Banner hiển thị lần đăng nhập đầu tiên sau cập nhật
12. Liên hệ Cán bộ Bảo vệ Dữ liệu (DPO)
Cán bộ Bảo vệ Dữ liệu (Data Protection Officer)
- ✉️ Email: dpo@linhnam.vn
- ☎️ Điện thoại: (+84) 902 579 311 (giờ hành chính, máy lẻ DPO)
- ✍ Bưu điện: Số 114, Nguyễn Cửu Vân, P. Gia Định, TP.HCM — k.t. Cán bộ DPO
Đối với khiếu nại không được xử lý thỏa đáng, bạn có thể liên hệ:
- Cục An ninh mạng & Phòng chống tội phạm Công nghệ cao (A05) — Bộ Công an
- Sở Tư pháp TP.HCM — đối với người tiêu dùng tại TP.HCM