Privacy Policy

CHÍNH SÁCH BẢO MẬT DỮ LIỆU CÁ NHÂN

(Ban hành kèm theo quy định nội bộ của Công ty Cổ phần Xuất Nhập Khẩu SG LINK)

LỜI MỞ ĐẦU

Công ty Cổ Phần Xuất Nhập Khẩu SG LINK (vận hành dưới thương hiệu "ShipX", sau đây gọi là "ShipX" hoặc "Chúng tôi") cam kết tôn trọng và bảo vệ quyền riêng tư cũng như dữ liệu cá nhân của Quý Khách hàng trong suốt quá trình cung cấp dịch vụ logistics và vận chuyển quốc tế.

Chính sách Bảo mật này ("Chính sách") được xây dựng trên cơ sở tuân thủ:

• Nghị định số 13/2023/NĐ-CP ngày 17/04/2023 của Chính phủ về bảo vệ dữ liệu cá nhân;
• Luật An ninh mạng số 24/2018/QH14;
• Luật Giao dịch điện tử số 51/2005/QH11 (sửa đổi, bổ sung 2023);
• Nghị định số 72/2013/NĐ-CP và các văn bản hướng dẫn về quản lý, cung cấp, sử dụng dịch vụ Internet;
• Các quy định pháp luật Việt Nam hiện hành có liên quan.

Bằng việc sử dụng website, ứng dụng hoặc dịch vụ của ShipX, Bạn xác nhận đã đọc, hiểu rõ và đồng ý với toàn bộ nội dung của Chính sách này.

ĐIỀU 1. ĐỊNH NGHĨA

• 1.1. "Dữ liệu cá nhân": Là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể, bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm theo Điều 2 Nghị định 13/2023.
• 1.2. "Chủ thể dữ liệu": Là cá nhân được dữ liệu cá nhân phản ánh.
• 1.3. "Xử lý dữ liệu cá nhân": Là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, bao gồm: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan.
• 1.4. "Sự đồng ý": Là việc thể hiện rõ ràng, tự nguyện, khẳng định của Chủ thể dữ liệu về việc cho phép xử lý dữ liệu cá nhân của mình theo Điều 11 Nghị định 13/2023.
• 1.5. "Bên kiểm soát dữ liệu": Là ShipX – tổ chức quyết định mục đích và phương tiện xử lý dữ liệu cá nhân.
• 1.6. "Bên xử lý dữ liệu": Là tổ chức, cá nhân thực hiện xử lý dữ liệu thay mặt Bên kiểm soát dữ liệu theo hợp đồng.
• 1.7. "Bên thứ ba": Là tổ chức, cá nhân ngoài Chủ thể dữ liệu và ShipX.

ĐIỀU 2. PHẠM VI DỮ LIỆU CÁ NHÂN THU THẬP

2.1. Dữ liệu cá nhân cơ bản (Điều 2 khoản 3 Nghị định 13/2023)

• Họ, chữ đệm và tên khai sinh, bí danh (nếu có);
• Ngày, tháng, năm sinh; giới tính;
• Nơi sinh, nơi thường trú, nơi tạm trú, địa chỉ liên hệ, quốc tịch;
• Số điện thoại, số CMND/CCCD/số định danh cá nhân, hộ chiếu, giấy phép lái xe, mã số thuế cá nhân;
• Địa chỉ thư điện tử (email), tài khoản số;
• Thông tin ngân hàng, thông tin thẻ tín dụng, thông tin thanh toán điện tử;
• Thông tin khác gắn liền hoặc giúp xác định một cá nhân cụ thể.

2.2. Dữ liệu cá nhân nhạy cảm (Điều 2 khoản 4 Nghị định 13/2023) Trong một số trường hợp bắt buộc theo yêu cầu pháp luật hoặc để cung cấp dịch vụ theo yêu cầu của Bạn, ShipX có thể thu thập:

• Thông tin sinh trắc học (khi cần xác thực danh tính người nhận hàng giá trị cao);
• Thông tin tài chính chi tiết khi xử lý thanh toán, hoàn tiền, đối soát công nợ.

⚠ Lưu ý: Việc xử lý Dữ liệu cá nhân nhạy cảm chỉ được thực hiện khi có sự đồng ý rõ ràng của Bạn hoặc theo quy định pháp luật (Điều 9 khoản 2 Nghị định 13/2023).

2.3. Thông tin kỹ thuật và hành vi sử dụng

• Địa chỉ IP, loại trình duyệt, hệ điều hành, thông số thiết bị;
• Lịch sử truy cập website/ứng dụng, cookies, session ID, thời gian truy cập;
• Dữ liệu vị trí (GPS) khi Bạn cấp phép trong quá trình sử dụng ứng dụng ShipX để theo dõi đơn hàng.

ĐIỀU 3. MỤC ĐÍCH XỬ LÝ DỮ LIỆU CÁ NHÂN

ShipX xử lý Dữ liệu cá nhân của Bạn cho các mục đích sau ("Mục đích"):

• Thực hiện hợp đồng và cung cấp dịch vụ logistics, vận chuyển hàng hóa trong nước và quốc tế, bao gồm: lấy hàng chặng đầu, xử lý kho, thông quan hải quan, vận chuyển đường dài, giao nhận chặng cuối và các dịch vụ giá trị gia tăng;
• Xử lý đăng ký tài khoản, quản lý tài khoản và cung cấp các dịch vụ theo yêu cầu của Bạn trên website shipx.asia;
• Xử lý thanh toán, lập hóa đơn VAT, hoàn tiền, đối soát công nợ, hoạt động kế toán và tài chính;
• Thực hiện nghĩa vụ pháp lý: khai báo hải quan, thuế, phòng chống rửa tiền, sàng lọc chế tài quốc tế, báo cáo cơ quan có thẩm quyền;
• Chăm sóc khách hàng: hỗ trợ, giải đáp thắc mắc, xử lý khiếu nại, tra soát đơn hàng qua hotline 1900 633027 và email info@shipx.asia;
• Quản lý chương trình khách hàng thân thiết, chính sách ưu đãi, tích lũy điểm thưởng;
• Nghiên cứu, phân tích, cải thiện chất lượng dịch vụ; phát triển sản phẩm và dịch vụ mới;
• Hoạt động tiếp thị trực tiếp — gửi bản tin, khuyến mại, lời mời sự kiện — chỉ khi Bạn đã đồng ý và Bạn có thể rút lại sự đồng ý bất cứ lúc nào;
• Bảo đảm an ninh mạng, phát hiện và ngăn chặn gian lận, bảo vệ quyền và lợi ích hợp pháp của ShipX, khách hàng và các bên liên quan;
• Sử dụng cookies và công nghệ tương tự để cải thiện trải nghiệm người dùng, phân tích lưu lượng truy cập và đo lường hiệu quả marketing.

ĐIỀU 4. XỬ LÝ DỮ LIỆU TỰ ĐỘNG VÀ TRÍ TUỆ NHÂN TẠO

ShipX sử dụng trí tuệ nhân tạo và các công nghệ xử lý tự động để nâng cao chất lượng dịch vụ và hiệu quả vận hành. Điều này mô tả cách các công nghệ này tương tác với dữ liệu của Bạn.

4.1. CRM và Quản Lý Khách Hàng Tiềm Năng Hệ thống Quản lý Quan hệ Khách hàng (CRM) nội bộ của chúng tôi sử dụng các tính năng AI để quản lý quan hệ kinh doanh, bao gồm: làm giàu thông tin khách hàng tiềm năng bằng AI từ các nguồn dữ liệu công khai; tự động cập nhật thông tin liên lạc để duy trì hồ sơ chính xác về các đối tác kinh doanh; và phân tích hợp đồng bằng AI để trích xuất các điều khoản quan trọng, ngày tháng và các mốc chính từ các tài liệu kinh doanh được tải lên (định dạng PDF và Word).

4.2. Phân Tích Email Thông Minh Các liên lạc kinh doanh được xử lý qua hệ thống của chúng tôi có thể được phân tích bằng AI để trích xuất thông tin liên quan như giọng điệu của thư, các chủ đề chính, thực thể được đặt tên và các đề xuất hành động tiếp theo. Quá trình xử lý này chỉ áp dụng cho liên lạc giữa các doanh nghiệp và nhằm mục đích cải thiện khả năng phản hồi và chất lượng dịch vụ.

4.3. Phân Tích và Thông Tin Chi Tiết Chúng tôi sử dụng các công cụ phân tích được hỗ trợ bởi AI nội bộ để rút ra các thông tin vận hành từ dữ liệu tổng hợp. Các công cụ này có thể chuyển đổi các truy vấn ngôn ngữ tự nhiên thành truy vấn cơ sở dữ liệu được thực thi với các kiểm soát truy cập nghiêm ngặt, đảm bảo người dùng chỉ truy cập dữ liệu họ được phép xem.

4.4. Các Biện Pháp Bảo Vệ Xử Lý Dữ Liệu Tất cả quá trình xử lý AI đều tuân theo các biện pháp bảo vệ sau:

• Dữ liệu làm giàu bằng AI được lưu trữ tạm thời tối đa 30 ngày trước khi cần xác minh lại;
• Kết quả xử lý tự động được con người xem xét trước khi đưa ra các quyết định kinh doanh quan trọng;
• Kiểm soát truy cập theo vai trò hạn chế ai có thể truy cập dữ liệu đã qua xử lý AI trong tổ chức;
• Giới hạn tốc độ được áp dụng để ngăn chặn xử lý dữ liệu tự động quá mức;
• Bộ nhớ đệm phân tích hợp đồng không tự động làm mới; tài liệu được phân tích một lần trừ khi được người dùng có thẩm quyền kích hoạt lại.

ĐIỀU 5. CƠ SỞ PHÁP LÝ XỬ LÝ DỮ LIỆU

ShipX xử lý Dữ liệu cá nhân của Bạn dựa trên một hoặc nhiều cơ sở sau, phù hợp với Điều 17 Nghị định 13/2023:

• Sự đồng ý của Bạn (Điều 11 Nghị định 13/2023);
• Thực hiện hợp đồng mà Bạn là một bên hoặc các bước tiền hợp đồng theo yêu cầu của Bạn;
• Tuân thủ nghĩa vụ pháp luật của ShipX (Điều 17 khoản 1 điểm c Nghị định 13/2023);
• Bảo vệ tính mạng, sức khỏe của Bạn hoặc người khác trong tình huống khẩn cấp;
• Phục vụ hoạt động của cơ quan nhà nước theo quy định của pháp luật chuyên ngành;
• Phục vụ lợi ích công cộng, nghiên cứu khoa học, thống kê mà không gây tổn hại đến quyền và lợi ích hợp pháp của Chủ thể dữ liệu.

ĐIỀU 6. THỜI GIAN LƯU TRỮ DỮ LIỆU

6.1. ShipX lưu trữ Dữ liệu cá nhân trong thời gian cần thiết để thực hiện các Mục đích nêu tại Điều 3, cụ thể:

6.2. Khi hết thời gian lưu trữ, ShipX sẽ xóa hoặc ẩn danh hóa Dữ liệu cá nhân của Bạn theo quy định tại Điều 16 Nghị định 13/2023.

ĐIỀU 7. CHIA SẺ VÀ TIẾT LỘ DỮ LIỆU

Dữ liệu cá nhân của Bạn có thể được chia sẻ, tiết lộ hoặc chuyển giao cho các bên thứ ba sau nhằm thực hiện các Mục đích đã nêu tại Điều 3:

• Đối tác vận chuyển và logistics: các hãng hàng không, hãng tàu, nhà cung cấp chặng cuối, đại lý giao nhận tại điểm đến trong nước và quốc tế;
• Cơ quan hải quan và cơ quan nhà nước có thẩm quyền tại Việt Nam và các quốc gia điểm đến;
• Ngân hàng, tổ chức thanh toán, cổng thanh toán điện tử phục vụ xử lý giao dịch tài chính;
• Công ty mẹ, cổ đông chiến lược và các công ty thành viên trong tập đoàn, phục vụ quản trị và cung cấp dịch vụ xuyên biên giới;
• Nhà cung cấp dịch vụ công nghệ: hạ tầng điện toán đám mây, phần mềm CRM, hệ thống quản trị vận tải TMS, marketing automation, phân tích dữ liệu, nhà cung cấp dịch vụ AI;
• Cố vấn chuyên môn: cố vấn pháp lý, kiểm toán viên, tư vấn thuế, tư vấn tài chính, tư vấn bảo hiểm;
• Đối tác nghiên cứu thị trường, sự kiện, quảng cáo: chỉ sau khi đã được ẩn danh hoặc có sự đồng ý rõ ràng của Bạn;
• Cơ quan nhà nước có thẩm quyền khi có yêu cầu bằng văn bản theo quy định pháp luật;
• Các thực thể kế thừa trong trường hợp sáp nhập, mua lại hoặc chuyển nhượng tài sản.

⚠ Cam kết của ShipX: Tất cả các bên thứ ba đều được yêu cầu ký thỏa thuận bảo mật và chỉ xử lý Dữ liệu cá nhân trong phạm vi Mục đích đã nêu. ShipX KHÔNG bán Dữ liệu cá nhân của Bạn cho bất kỳ bên thứ ba nào.

ĐIỀU 8. CHUYỂN DỮ LIỆU CÁ NHÂN RA NƯỚC NGOÀI

Do đặc thù dịch vụ vận chuyển quốc tế, Dữ liệu cá nhân của Bạn có thể được chuyển đến các quốc gia khác tùy theo hành trình hàng hóa và yêu cầu của Bạn. Các quốc gia mà dữ liệu của Bạn có thể được chuyển đến bao gồm, nhưng không giới hạn: Việt Nam, Singapore, Thái Lan, Malaysia, Indonesia, Philippines và Hoa Kỳ.

Cam kết tuân thủ của ShipX theo Điều 25 và Điều 27 Nghị định 13/2023:

• Lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và Hồ sơ chuyển dữ liệu ra nước ngoài theo quy định;
• Gửi hồ sơ cho Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao (A05 – Bộ Công an) trong thời hạn 60 ngày kể từ ngày xử lý dữ liệu;
• Áp dụng các điều khoản hợp đồng tiêu chuẩn (SCC) với đối tác nước ngoài để đảm bảo mức độ bảo vệ tương đương;
• Giám sát định kỳ mức độ tuân thủ của bên tiếp nhận dữ liệu tại nước ngoài.

ĐIỀU 9. QUYỀN CỦA CHỦ THỂ DỮ LIỆU

Theo Chương II Nghị định 13/2023, Bạn có đầy đủ các quyền sau đối với Dữ liệu cá nhân của mình:

Thực hiện quyền: Để thực hiện các quyền trên, Bạn vui lòng liên hệ ShipX qua kênh liên hệ tại Điều 17. ShipX sẽ phản hồi trong vòng 72 giờ và hoàn tất xử lý yêu cầu trong vòng tối đa 15 ngày làm việc, trừ trường hợp có lý do chính đáng cần kéo dài thời gian và sẽ được thông báo bằng văn bản.

ĐIỀU 10. BẢO MẬT VÀ AN TOÀN DỮ LIỆU

10.1. Biện pháp kỹ thuật và quản lý ShipX áp dụng các biện pháp sau để bảo vệ Dữ liệu cá nhân của Bạn:

• Mã hóa dữ liệu khi truyền (TLS 1.2 trở lên) và khi lưu trữ (AES-256);
• Kiểm soát truy cập theo nguyên tắc đặc quyền tối thiểu (least privilege);
• Xác thực hai yếu tố (2FA) cho nhân sự truy cập hệ thống chứa Dữ liệu cá nhân;
• Giám sát an ninh mạng 24/7, sao lưu và khôi phục định kỳ;
• Đào tạo nhân viên định kỳ về bảo mật thông tin và bảo vệ dữ liệu cá nhân;
• Ký thỏa thuận bảo mật (NDA) với toàn bộ nhân viên, nhà thầu và đối tác;
• Đánh giá và kiểm toán an toàn thông tin định kỳ theo tiêu chuẩn ISO/IEC 27001;
• Các tệp tải lên được xử lý qua luồng URL presigned bảo mật trực tiếp đến bộ nhớ đối tượng, bỏ qua các máy chủ trung gian.

10.2. Thông báo vi phạm (Điều 23 Nghị định 13/2023) Trong trường hợp xảy ra sự cố liên quan đến Dữ liệu cá nhân, ShipX sẽ:

• Thông báo cho Cục A05 – Bộ Công an trong vòng 72 giờ kể từ thời điểm phát hiện;
• Thông báo cho Chủ thể dữ liệu bị ảnh hưởng trong thời gian sớm nhất có thể;
• Phối hợp với cơ quan chức năng để điều tra và xử lý sự cố.

ĐIỀU 11. CÔNG NGHỆ COOKIES VÀ CÔNG NGHỆ THEO DÕI

Website shipx.asia và các ứng dụng của ShipX sử dụng cookies và công nghệ tương tự nhằm:

• Duy trì phiên đăng nhập và bảo mật tài khoản;
• Ghi nhớ tùy chọn người dùng (ngôn ngữ, múi giờ, đơn vị tiền tệ);
• Phân tích lưu lượng truy cập và hiệu quả chiến dịch marketing;
• Cá nhân hóa nội dung và quảng cáo liên quan.

Chúng tôi có thể sử dụng các dịch vụ phân tích bao gồm Google Analytics (GA4) và các pixel theo dõi quảng cáo để hiểu hành vi người dùng và tối ưu hóa các nỗ lực tiếp thị của chúng tôi.

Bạn có thể tắt hoặc quản lý cookies thông qua cài đặt trình duyệt. Tuy nhiên, một số tính năng của website có thể bị ảnh hưởng khi cookies bị tắt.

ĐIỀU 12. DỮ LIỆU CÁ NHÂN CỦA TRẺ EM

ShipX không chủ động thu thập Dữ liệu cá nhân của trẻ em dưới 16 tuổi.

Trong trường hợp cần xử lý dữ liệu của trẻ em (ví dụ người nhận hàng là trẻ em theo ủy quyền của cha mẹ), ShipX sẽ thực hiện theo Điều 20 Nghị định 13/2023:

• Xin sự đồng ý của cha mẹ hoặc người giám hộ hợp pháp;
• Áp dụng các biện pháp bảo vệ phù hợp với lợi ích tốt nhất của trẻ;
• Hạn chế tối đa phạm vi và mục đích xử lý dữ liệu liên quan đến trẻ em.

ĐIỀU 13. NGƯỜI PHỤ TRÁCH BẢO VỆ DỮ LIỆU CÁ NHÂN (DPO)

Theo Điều 28 Nghị định 13/2023, ShipX chỉ định Bộ phận phụ trách bảo vệ dữ liệu cá nhân (Data Protection Officer – DPO) chịu trách nhiệm:

• Giám sát việc tuân thủ các quy định về bảo vệ dữ liệu cá nhân;
• Tiếp nhận và xử lý yêu cầu của Chủ thể dữ liệu;
• Phối hợp với cơ quan quản lý nhà nước về bảo vệ dữ liệu cá nhân;
• Đánh giá tác động bảo vệ dữ liệu cá nhân định kỳ theo Điều 24 Nghị định 13/2023.

ĐIỀU 14. THAY ĐỔI CHÍNH SÁCH

ShipX có quyền sửa đổi, bổ sung Chính sách này bất cứ lúc nào để phù hợp với thay đổi của pháp luật, hoạt động kinh doanh hoặc công nghệ. Phiên bản cập nhật sẽ được công bố trên website shipx.asia kèm ngày hiệu lực. Đối với thay đổi trọng yếu, ShipX sẽ thông báo trước tối thiểu 30 ngày cho Bạn qua email hoặc thông báo nổi bật trên website trước khi áp dụng. Việc Bạn tiếp tục sử dụng dịch vụ của chúng tôi sau thời hạn thông báo cấu thành sự chấp nhận của Bạn đối với các điều khoản đã sửa đổi.

ĐIỀU 15. LIÊN KẾT VÀ DỊCH VỤ BÊN THỨ BA

Website của chúng tôi có thể chứa các liên kết đến hoặc tích hợp với các dịch vụ bên thứ ba. Các bên thứ ba này hoàn toàn độc lập với ShipX và các thực hành bảo mật của họ không được bao gồm trong Chính sách này. Chúng tôi khuyến khích Bạn xem xét các chính sách bảo mật của họ một cách độc lập trước khi cung cấp thông tin cá nhân.

ĐIỀU 16. MIỄN TRỪ TRÁCH NHIỆM

Trong phạm vi tối đa được pháp luật Việt Nam cho phép, ShipX miễn trừ trách nhiệm đối với bất kỳ thiệt hại gián tiếp, ngẫu nhiên, đặc biệt hoặc do hậu quả nào phát sinh từ việc truy cập trái phép, sử dụng sai mục đích hoặc tiết lộ dữ liệu, đặc biệt trong các trường hợp nằm ngoài tầm kiểm soát hợp lý của chúng tôi.

ĐIỀU 17. THÔNG TIN LIÊN HỆ

Mọi thắc mắc, yêu cầu hoặc khiếu nại liên quan đến Chính sách này và việc xử lý Dữ liệu cá nhân, Bạn vui lòng liên hệ:

ĐIỀU 18. ĐIỀU KHOẢN CHUNG

18.1. Ngôn ngữ Chính sách này được lập thành tiếng Việt. Trong trường hợp có bản dịch sang ngôn ngữ khác, bản tiếng Việt sẽ là bản có giá trị pháp lý ưu tiên.

18.2. Luật áp dụng Chính sách này được điều chỉnh bởi pháp luật Việt Nam. Mọi tranh chấp phát sinh sẽ được giải quyết thông qua thương lượng, hòa giải thiện chí; nếu không thành, sẽ được giải quyết tại Tòa án có thẩm quyền tại Thành phố Hồ Chí Minh, Việt Nam.

18.3. Khả năng tách rời Nếu bất kỳ điều khoản nào của Chính sách này bị coi là vô hiệu hoặc không thể thi hành bởi cơ quan có thẩm quyền, các điều khoản còn lại vẫn tiếp tục có giá trị và hiệu lực pháp lý đầy đủ.

18.4. Không từ bỏ quyền Việc ShipX không thực hiện hoặc chậm trễ thực hiện quyền của mình theo Chính sách này không được xem là sự từ bỏ quyền đó.

18.5. Đăng ký và nộp hồ sơ ShipX cam kết thực hiện đầy đủ nghĩa vụ đăng ký, nộp hồ sơ đánh giá tác động xử lý dữ liệu cá nhân cho cơ quan nhà nước có thẩm quyền theo đúng thời hạn quy định tại Nghị định 13/2023.

Ngày ban hành: 30/04/2026 | Phiên bản: 2.1 | Hiệu lực từ: 01/05/2026 Chính sách này thay thế toàn bộ các phiên bản Chính sách bảo mật trước đây của ShipX.