NworkNworkĐặt lịch demo

Chính sách quyền riêng tư

Hiệu lực từ ngày 14/05/2026

Công ty TNHH Nexus Labs VN (vận hành sản phẩm Nwork) tôn trọng quyền riêng tư của bạn và doanh nghiệp bạn. Chính sách này tuân thủ Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân (PDPL) và Luật An ninh mạng 2018.

1. Cam kết cốt lõi (3 lời hứa)

KHÔNG dùng dữ liệu của bạn để huấn luyện AI.
KHÔNG bán dữ liệu cho bên thứ ba.
KHÔNG đọc tin nhắn ngoài nhóm bạn cho phép.

Vi phạm 1 trong 3 → Khách hàng có quyền chấm dứt hợp đồng ngay + yêu cầu hoàn 100% phí cho thời gian còn lại.

2. Đơn vị xử lý dữ liệu

  • Tên công ty: CÔNG TY TNHH NEXUS LABS VN
  • Mã số thuế: (cập nhật sau khi hoàn tất đăng ký GPKD)
  • Vai trò theo PDPL: Bên xử lý dữ liệu (Data Processor) và Bên kiểm soát dữ liệu (Data Controller) tuỳ trường hợp
  • Email DPO: privacy@nexuslabs.vn
  • Trụ sở: TP. Hồ Chí Minh, Việt Nam
  • Đã đăng ký xử lý dữ liệu cá nhân với Cục An ninh mạng (PA05, Bộ Công an) theo quy định.

3. Dữ liệu chúng tôi thu thập

3.1. Dữ liệu khi đăng ký workspace (Khách hàng — admin SMB)

  • Tên doanh nghiệp, tên người liên hệ, email, số điện thoại
  • Mã số thuế, địa chỉ kinh doanh (khi xuất hoá đơn VAT)
  • Thông tin thanh toán (chỉ ID giao dịch MoMo / chuyển khoản — KHÔNG lưu số thẻ tín dụng)

3.2. Dữ liệu từ nhóm Zalo của bạn (sau khi bind)

Quan trọng: Chúng tôi chỉ thu thập SAU KHI bạn (admin SMB) chủ động: (1) thêm tài khoản Zalo của Nwork vào nhóm, VÀ (2) bind nhóm đó với workspace.

  • Nội dung tin nhắn text, voice (audio file), file metadata
  • Zalo UID (số định danh người gửi) và Zalo Group ID
  • Tên hiển thị (dName), thời gian gửi
  • Vị trí GPS khi nhân viên chấm công (chỉ tại thời điểm gõ @in/@out)
  • Selfie nếu bật tính năng (mặc định TẮT — chỉ Enterprise tier mới bật)
  • Hoá đơn (ảnh) khi gửi vào nhóm với caption "@chi" / "hoá đơn"

Chúng tôi KHÔNG truy cập:

  • Tin nhắn cá nhân (DM) của thành viên
  • Nhóm khác mà bạn không bind với workspace
  • Danh bạ, lịch sử cuộc gọi, hay bất kỳ dữ liệu nào ngoài WebSocket nhóm bạn cấp phép

3.3. Dữ liệu sử dụng (analytics)

  • Log truy cập dashboard (IP, browser, thời gian) — bảo mật + audit
  • Số lượng tin xử lý mỗi tháng — phục vụ tính phí + tier quota

4. Cách chúng tôi sử dụng dữ liệu

Chỉ dùng cho 3 mục đích:

  1. Vận hành Dịch vụ: tóm tắt, ghi task, chấm công, gửi báo cáo theo đúng yêu cầu của bạn.
  2. Hỗ trợ Khách hàng: đội ngũ hỗ trợ có thể truy cập dữ liệu KHI VÀ CHỈ KHI bạn gửi yêu cầu hỗ trợ + cấp quyền cụ thể trong 24 giờ.
  3. Tuân thủ pháp luật: nếu cơ quan nhà nước yêu cầu hợp pháp, chúng tôi sẽ thông báo cho bạn trước khi cung cấp (trừ trường hợp pháp luật cấm thông báo).

5. Những gì chúng tôi KHÔNG làm

5.1. Không huấn luyện AI

Dữ liệu của bạn KHÔNG được dùng để cải thiện, fine-tune, hay huấn luyện bất kỳ mô hình AI nào, bao gồm cả mô hình của chúng tôi và mô hình của bên thứ ba.

Chúng tôi sử dụng API của Google Gemini để xử lý tóm tắt, OCR, voice transcribe. Theo thoả thuận với Google, dữ liệu gửi qua API của Google sẽ KHÔNG được Google sử dụng để huấn luyện mô hình. Chúng tôi cũng có chế độ on-premise cho khách Enterprise nếu yêu cầu cách ly hoàn toàn khỏi cloud bên ngoài.

5.2. Không bán dữ liệu

Chúng tôi KHÔNG bán, cho thuê, trao đổi hay chia sẻ Dữ liệu Khách hàng cho bất kỳ bên thứ ba nào vì mục đích thương mại. Mô hình kinh doanh là thuê bao SaaS — không phải mô hình quảng cáo / data broker.

5.3. Không đọc lén

Đội ngũ Nwork không có quy trình đọc nội dung tin nhắn của Khách hàng vì mục đích nội bộ. Truy cập kỹ thuật vào DB sản xuất được audit log đầy đủ và chỉ cho 2 nhân sự DevOps được uỷ quyền (Giám đốc Lâm Quang Hiển và 1 DevOps).

6. Lưu trữ và bảo mật dữ liệu

  • Vị trí: Server đặt tại Việt Nam (giai đoạn beta: máy chủ riêng tại TP.HCM; production: Vietnix Data Center, Hà Nội), tuân thủ Nghị định 53/2022 về lưu trữ data localization.
  • Mã hoá: Dữ liệu mã hoá AES-256 khi lưu trữ và TLS 1.3 khi truyền tải.
  • Sao lưu: Hằng ngày 3am, mã hoá riêng biệt, giữ 30 ngày local + 90 ngày trên Google Drive (đã mã hoá).
  • Truy cập DB: Multi-factor authentication bắt buộc cho mọi nhân sự truy cập sản xuất.
  • Chuyển dữ liệu qua biên giới (TIA): Khi xử lý qua Gemini API (server Google ngoài VN), chúng tôi đã lập Đánh giá Tác động Chuyển dữ liệu (Transfer Impact Assessment) theo PDPL.

7. Thời gian lưu trữ

  • Tin nhắn và task: theo gói (Free 30 ngày, Starter 6 tháng, Team 12 tháng, Pro 24 tháng, Enterprise tuỳ hợp đồng).
  • Log audit: 12 tháng.
  • Sao lưu: 30 ngày local + 90 ngày remote.
  • Sau khi chấm dứt thuê bao: dữ liệu được giữ thêm 30 ngày để Khách hàng tải về, sau đó xoá vĩnh viễn (bao gồm bản backup).

8. Quyền của Chủ thể dữ liệu (theo Nghị định 13/2023)

Chủ thể dữ liệu (Khách hàng + thành viên trong nhóm Zalo) có các quyền:

  • Quyền được biết: được thông báo về việc dữ liệu cá nhân đang được xử lý.
  • Quyền truy cập: xem toàn bộ dữ liệu chúng tôi có về bạn. Liên hệ privacy@nexuslabs.vn hoặc dùng chức năng "Export dữ liệu" trên dashboard.
  • Quyền chỉnh sửa: sửa thông tin cá nhân không chính xác.
  • Quyền xoá: yêu cầu xoá hoàn toàn dữ liệu cá nhân của bạn (sẽ chấm dứt dịch vụ liên quan).
  • Quyền hạn chế xử lý: yêu cầu tạm ngừng xử lý dữ liệu cụ thể.
  • Quyền phản đối: phản đối cách xử lý dữ liệu nào đó (vd: không muốn AI tóm tắt tin nhắn của riêng mình).
  • Quyền rút lại sự đồng ý: hủy consent đã cung cấp bất kỳ lúc nào.
  • Quyền khiếu nại: khiếu nại đến Cục An ninh mạng (PA05, Bộ Công an) nếu cho rằng quyền của mình bị xâm phạm.

Cách thực hiện: gửi email tới privacy@nexuslabs.vn hoặc dùng UI "Quyền của tôi" trên dashboard. Chúng tôi phản hồi trong 7 ngày làm việc theo PDPL.

9. Bên thứ ba

Chúng tôi sử dụng các dịch vụ bên thứ ba sau, đã ký thoả thuận xử lý dữ liệu (DPA — Data Processing Agreement):

  • Google Gemini API — xử lý AI cho tóm tắt, trích task, voice transcribe, OCR. Cam kết không huấn luyện AI bằng input của khách hàng. Đã ký DPA.
  • Vietnix Data Center (khi scale lên VPS) — hạ tầng VPS lưu trữ tại Hà Nội.
  • MoMo / VNPay / ngân hàng — xử lý thanh toán. Chúng tôi chỉ nhận xác nhận thanh toán, KHÔNG nhận thông tin thẻ.
  • Cloudflare Inc. — proxy / DNS / DDoS protection. Không lưu nội dung tin nhắn, chỉ pass-through.
  • Vercel Inc. — hosting frontend Next.js. Chỉ phục vụ static assets, không xử lý dữ liệu cá nhân.

10. Cookies

Trang web Nwork sử dụng cookies cần thiết để duy trì phiên đăng nhập (session cookie HttpOnly). Chúng tôi KHÔNG dùng cookies quảng cáo hay tracking pixel của bên thứ ba.

11. Trẻ em dưới 16 tuổi

Dịch vụ chỉ dành cho doanh nghiệp và người trên 16 tuổi. Chúng tôi không chủ động thu thập dữ liệu trẻ em. Nếu phát hiện dữ liệu trẻ em đã được thu thập (vd: nhân viên SMB có người dưới 16 tuổi), vui lòng liên hệ DPO để xoá ngay.

12. Thay đổi chính sách

Mọi thay đổi quan trọng sẽ được thông báo qua email và banner trên dashboard ít nhất 14 ngày trước khi có hiệu lực.

13. Liên hệ DPO

Mọi câu hỏi về dữ liệu cá nhân hay yêu cầu thực hiện quyền:

  • Email DPO: privacy@nexuslabs.vn
  • Email hỗ trợ chung: support@nexuslabs.vn
  • Phản hồi trong vòng tối đa 7 ngày làm việc theo PDPL.

14. Khiếu nại lên cơ quan nhà nước

Nếu không thoả mãn với cách Chúng tôi giải quyết, bạn có quyền khiếu nại đến:

  • Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao (A05, Bộ Công an) — đầu mối tiếp nhận khiếu nại về dữ liệu cá nhân theo Nghị định 13/2023.
  • Portal Bảo vệ Dữ liệu Cá nhân: https://pdp.gov.vn