Zalo và bộ điều khoản mới: Cú "lách luật" đầy quan ngại!

Vào ngày 26 tháng 12 năm 2025, Zalo đã đồng loạt triển khai thông báo yêu cầu hơn 78 triệu người dùng phải chấp thuận Thỏa Thuận Sử Dụng Dịch Vụ mới. Động thái này diễn ra trong một bối cảnh pháp lý cực kỳ đặc biệt. Chỉ còn đúng 05 ngày nữa là Luật Bảo vệ Dữ liệu Cá nhân 2025 sẽ chính thức có hiệu lực từ ngày 01/01/2026.

Sự kiện này đã kích hoạt một làn sóng phản ứng dữ dội từ cộng đồng và giới chuyên gia pháp lý. Người dùng bị đặt vào tình thế buộc phải chấp thuận hoặc ngừng sử dụng dịch vụ ngay lập tức. Họ không được cung cấp tùy chọn từ chối các điều khoản xâm phạm quyền riêng tư mà vẫn duy trì liên lạc cơ bản.

 

Phân tích cơ chế chấp thuận cưỡng ép của Zalo

Cơ chế đồng ý mà Zalo thiết kế mang tính chất nhị nguyên tuyệt đối là đồng ý tất cả hoặc không sử dụng. Người dùng không được cung cấp các hộp kiểm riêng biệt để lựa chọn mục đích xử lý dữ liệu. Điều này vi phạm nguyên tắc tách biệt trong việc thu thập thông tin cá nhân hiện đại.

Nút Đồng ý được thiết kế nổi bật, trong khi các liên kết đến văn bản pháp lý thường nhỏ và dài dòng. Không có tùy chọn Đồng ý một phần để người dùng bảo vệ những thông tin nhạy cảm. Đây là một ví dụ điển hình của thiết kế giao diện gây điều hướng người dùng theo ý muốn của doanh nghiệp.

Giao diện thông báo cập nhật điều khoản dịch vụ mới của Zalo xuất hiện trên thiết bị di động.

Thông báo đi kèm cảnh báo nếu không chấp thuận, tài khoản sẽ bị vô hiệu hóa và xóa vĩnh viễn trong vòng 45 ngày.

Điều này tạo ra áp lực tâm lý cực lớn khi Zalo đã trở thành công cụ làm việc chính tại Việt Nam. Sự bất cân xứng quyền lực giữa nền tảng và cá nhân thể hiện rõ nét qua tối hậu thư này.

Những điểm nóng pháp lý trong việc thu thập dữ liệu

Thỏa thuận mới chứa những quy định mở rộng quyền hạn của VNG một cách đáng kể tại Điều 5 và Điều 8. Zalo yêu cầu người dùng ủy quyền thu thập một danh mục dữ liệu khổng lồ bao gồm cả định danh nhà nước. Việc yêu cầu CCCD hoặc Hộ chiếu biến ứng dụng này thành một nền tảng quản lý danh tính sâu rộng.

Danh mục dữ liệu bị thu thập bao gồm:

• Dữ liệu định danh: Số điện thoại, họ tên, số CCCD hoặc Hộ chiếu.
• Dữ liệu nhạy cảm: Hình ảnh cá nhân và thông tin xác thực sinh trắc học.
• Dữ liệu xã hội: Thông tin về các mối quan hệ gia đình của người dùng.
• Dữ liệu vị trí và hành vi sử dụng các dịch vụ liên kết.

Đặc biệt gây tranh cãi là việc chia sẻ dữ liệu với các công ty con và đối tác liên kết trong hệ sinh thái VNG. Người dùng không thể kiểm soát cụ thể công ty nào sẽ nhận dữ liệu của mình. Dữ liệu từ hành vi chat có thể được dùng cho mục đích quảng cáo chéo hoặc chấm điểm tín dụng.

Đánh giá theo Luật Bảo vệ Dữ liệu Cá nhân 2025

Luật số 91/2025/QH15 quy định rất chặt chẽ về sự đồng ý của chủ thể dữ liệu tại Điều 9. Sự đồng ý chỉ có hiệu lực khi dựa trên sự tự nguyện và phải được tách biệt cho từng mục đích. Hành vi gộp nhiều mục đích xử lý lại với nhau của Zalo có dấu hiệu vi phạm trực diện quy định này.

Người dùng bị buộc phải đồng ý với mục đích không thiết yếu để đạt được mục đích thiết yếu là nhắn tin. Theo luật mới, sự đồng ý thu được theo cách cưỡng ép này có nguy cơ bị tuyên vô hiệu. Zalo cũng có thể bị coi là đang cản trở việc thực hiện quyền rút lại sự đồng ý của chủ thể.

Việc thu thập thông tin gia đình và CCCD đặt ra dấu hỏi lớn về nguyên tắc tối thiểu hóa dữ liệu. Một ứng dụng nhắn tin thuần túy không nhất thiết phải nắm giữ những thông tin định danh sâu sắc như vậy. Lập luận tích hợp ZaloPay để thu thập CCCD diện rộng được giới chuyên gia đánh giá là không tương xứng.

So sánh với tiêu chuẩn quốc tế và bài học từ Hàn Quốc

Tại Châu Âu, quy định GDPR nghiêm cấm tuyệt đối việc lấy hợp đồng dịch vụ làm điều kiện để ép buộc cung cấp dữ liệu. Nếu Zalo hoạt động tại khu vực này, họ có thể đối mặt với án phạt lên tới 4% doanh thu toàn cầu. Việt Nam đang dần tiệm cận các tiêu chuẩn này thông qua Luật 2025.

Tại Hàn Quốc, Đạo luật Bảo vệ Thông tin Cá nhân (PIPA) cũng cấm tuyệt đối việc từ chối dịch vụ khi người dùng không đồng ý cung cấp dữ liệu không cần thiết. Năm 2022, Google và Meta từng bị phạt hơn 70 triệu USD vì những hành vi tương tự. Cơ quan quản lý Hàn Quốc khẳng định người dùng phải có quyền từ chối quảng cáo mà vẫn được dùng dịch vụ chính.

Rủi ro pháp lý và trách nhiệm của chủ quản dữ liệu cốt lõi

Theo Quyết định 20/2025/QĐ-TTg, Zalo hiện được xếp vào nhóm chủ quản Dữ liệu Cốt lõi của quốc gia. Với hơn 78 triệu người dùng, cơ sở dữ liệu của họ vượt ngưỡng quy định gấp nhiều lần. Điều này đặt lên vai VNG những nghĩa vụ bảo mật và kiểm soát rủi ro vô cùng nặng nề.

Việc Zalo tuyên bố từ chối đảm bảo an toàn thông tin tại Điều 14 có thể xung đột với nghĩa vụ luật định. Chiến lược lấy lại sự đồng ý trước ngày 01/01/2026 được xem là một cách lách luật để hợp pháp hóa kho dữ liệu cũ. Tuy nhiên, nếu bị xác định là cưỡng ép, toàn bộ sự đồng ý này sẽ không có giá trị pháp lý.

Người dùng cần lưu ý các quyền hạn mới của mình để bảo vệ đời tư:

1. Quyền rút lại sự đồng ý đối với các mục đích xử lý dữ liệu không mong muốn.
2. Quyền yêu cầu xóa dữ liệu hoặc hạn chế chia sẻ với bên thứ ba trong hệ sinh thái.
3. Quyền khiếu nại tới Cục An ninh mạng (A05) nếu quyền lợi bị xâm phạm hoặc bị gây khó khăn.
4. Quyền yêu cầu giải trình về tính cần thiết của việc thu thập các thông tin định danh nhạy cảm.

Việc tuân thủ pháp luật cần phải đi đôi với sự tôn trọng thực sự đối với quyền riêng tư của khách hàng. Zalo cần sớm triển khai cơ chế đồng ý chi tiết để xây dựng lòng tin bền vững. Điều này không chỉ giúp doanh nghiệp tránh các án phạt hàng nghìn tỷ đồng mà còn đảm bảo an ninh dữ liệu quốc gia.

 

Thành Lộc - © Báo TIN TỨC VIỆT ĐỨC

---