Hình minh họa sử dụng công nghệ AI. Thực hiện: T.ĐẠT
Trong khi Zalo lại không "đưa ra bất kỳ bảo đảm nào" về tính ổn định của dịch vụ, bảo mật an toàn thông tin và yêu cầu đồng ý, nếu không đồng ý sẽ xóa tài khoản.
Câu chuyện này cũng đặt ra vấn đề dữ liệu cá nhân không thể thu thập, sử dụng tùy tiện, nhất là khi Luật Bảo vệ dữ liệu cá nhân sẽ có hiệu lực từ 1-1-2026.
Dấu hiệu vi phạm cạnh tranh, xâm phạm quyền người dùng
Trao đổi với Tuổi Trẻ, đại biểu Nguyễn Hữu Thông, thành viên Ủy ban Pháp luật và Tư pháp của Quốc hội, cho hay việc Zalo cập nhật điều khoản sử dụng là một hoạt động phổ biến đối với các ứng dụng công nghệ để cung cấp thông tin cho người dùng và tuân thủ kịp thời các quy định pháp luật.
Tuy nhiên theo ông Thông, việc Zalo chỉ cho người dùng lựa chọn "đồng ý tất cả" hoặc không đồng ý sẽ bị xóa tài khoản sau 45 ngày là chưa phù hợp.
Ngoài ra theo ông Thông, việc áp đặt trên của Zalo cũng có thể chưa đảm bảo các quy định về sự đồng ý của chủ thể dữ liệu cá nhân quy định tại Luật Bảo vệ dữ liệu cá nhân có hiệu lực từ 1-1-2026. Theo đó, sự đồng ý của chủ thể dữ liệu cá nhân chỉ có hiệu lực khi dựa trên sự tự nguyện và biết rõ các thông tin...
Như thể hiện sự đồng ý đối với từng mục đích; không được kèm theo điều kiện bắt buộc phải đồng ý với các mục đích khác với nội dung thỏa thuận; sự đồng ý có hiệu lực cho đến khi chủ thể dữ liệu cá nhân thay đổi sự đồng ý đó hoặc theo quy định của pháp luật; sự im lặng hoặc không phản hồi không được coi là sự đồng ý.
Bên cạnh đó, ông Thông cũng phân tích sự đồng ý tất cả đó cũng không đồng nghĩa với việc Zalo hay bất cứ ứng dụng nào có quyền được thu thập dữ liệu cá nhân rồi tùy ý chia sẻ dữ liệu đó một cách thoải mái. Thay vào đó, việc này phải đảm bảo tuân thủ các quy định của pháp luật, trong đó có Luật Bảo vệ dữ liệu cá nhân sẽ có hiệu lực từ 1-1-2026.
Còn đứng trên góc nhìn chuyên gia an ninh mạng, ông Võ Đỗ Thắng, Giám đốc Trung tâm an ninh mạng Athena, cũng nhìn nhận cách Zalo đang thực hiện là chưa phù hợp. Bởi trong thông báo của Zalo, các thông tin dữ liệu cá nhân do người dùng cung cấp nhằm định danh người dùng khi khởi tạo tài khoản cũng như trong suốt quá trình người dùng sử dụng dịch vụ bao gồm: số điện thoại, họ và tên, tuổi, giới tính, mối quan hệ gia đình, thông tin CMND/CCCD/hộ chiếu, hình ảnh cá nhân, thư điện tử.
Thậm chí, ông Thắng chỉ ra điều khoản mới cũng cho phép Zalo tiếp nhận và chia sẻ, chuyển giao thông tin tài khoản với các công ty thuộc VNG bao gồm công ty con, công ty thành viên, công ty liên kết... cùng rất nhiều điều khoản khác liên quan đến việc chỉnh sửa nội dung dữ liệu mà người dùng cung cấp.
Đáng chú ý, trong phần "từ chối trách nhiệm đảm bảo", Zalo nêu rằng nếu sự cố xảy ra do hacker hoặc nguyên nhân ngoài tầm kiểm soát thì doanh nghiệp có thể được miễn trách nhiệm.
"Tôi cho rằng việc Zalo thu thập dữ liệu cá nhân rồi lại dùng để phát triển cho các sản phẩm khác trong hệ sinh thái của họ có thể dẫn đến cạnh tranh không lành mạnh. Thêm vào đó, doanh nghiệp sử dụng dữ liệu cá nhân để tạo ra lợi nhuận nhưng lại cho rằng không chịu trách nhiệm nếu sự cố xảy ra do hacker hoặc nguyên nhân ngoài tầm kiểm soát thì rõ ràng đang đá toàn bộ rủi ro sang người dùng. Điều này càng không thể chấp nhận", ông Thắng nêu.
Ứng dụng miễn phí, cách 'ông chủ' Zalo kiếm tiền từ hệ sinh thái đồ sộ?
Zalo có đang làm trái quy định pháp luật?
Gần 80 triệu người dùng, người đứng sau Zalo kiếm tiền ra sao?
Tiến sĩ, luật sư Đặng Văn Cường, Đoàn luật sư Hà Nội, cũng cho hay việc Zalo yêu cầu cung cấp quá nhiều thông tin, dữ liệu cá nhân riêng tư, thậm chí mối quan hệ gia đình là không phù hợp, vượt quá yêu cầu cần thiết. bởi theo ông Cường, Luật Bảo vệ dữ liệu cá nhân có hiệu lực từ 1-1-2026 đã quy định không được yêu cầu cung cấp hình ảnh, video chứa nội dung đầy đủ hoặc một phần giấy tờ tùy thân làm yếu tố xác thực tài khoản.
Các nền tảng mạng xã hội, dịch vụ truyền thông trực tuyến phải thông báo rõ cho người dùng biết dữ liệu nào thu thập, chỉ được thu thập theo thỏa thuận với khách hàng và không được thu thập trái phép. Luật cũng cấm nghe lén, ghi âm cuộc gọi, đọc tin nhắn nếu không có sự đồng ý của người dùng, trừ trường hợp pháp luật quy định khác.
Luật sư Cường chỉ rõ việc cung cấp dữ liệu cá nhân phải dựa trên thỏa thuận đồng ý giữa người dùng và nhà cung cấp mạng xã hội. Nhưng ở đây trong thông báo lại dường như đưa ra "tối hậu thư" cho người dùng là phải đồng ý, nếu không đồng ý sẽ bị xóa tài khoản. "Đây là thỏa thuận bất bình đẳng, có dấu hiệu vi phạm cạnh tranh, xâm phạm đến quyền lợi của người dùng. Do đó, Ủy ban Cạnh tranh quốc gia vào cuộc là hoàn toàn chính xác", ông Cường nhận định.
Nâng cao ý thức bảo vệ dữ liệu cá nhân ở mỗi người dân
Đồ họa: TẤN ĐẠT
Đại biểu Nguyễn Hữu Thông chỉ rõ dữ liệu cá nhân có vai trò đặc biệt quan trọng, là nguồn dữ liệu chiến lược, tác động trực tiếp, toàn diện đến chính trị, kinh tế, xã hội, quốc phòng, an ninh và đối ngoại của một quốc gia.
Tuy nhiên, dữ liệu cá nhân ở nước ta trong nhiều năm qua đã không được coi trọng và thực tế rất nhiều cá nhân cũng xem nhẹ dữ liệu của mình khi dễ dàng cung cấp thông tin cá nhân cho các dịch vụ trực tuyến, thương mại điện tử, ứng dụng...
Chính vì sự vô tư cung cấp các thông tin đó, theo ông Thông, đã khiến dữ liệu cá nhân được mua bán, trao đổi và lộ lọt ra bên ngoài, trở thành "miếng mồi rất ngon" cho các dịch vụ lừa đảo trực tuyến, qua điện thoại nở rộ trong thời gian dài vừa qua.
Bên cạnh đó, nhiều tổ chức, doanh nghiệp cũng chưa tôn trọng và bảo vệ dữ liệu cá nhân của người dùng.
Họ sẵn sàng mua bán, trao đổi và cung cấp thông tin cho bên thứ 3 để khai thác, cung cấp và quảng cáo các dịch vụ. Do vậy, từ vụ việc trên, ông Thông nhấn mạnh đây là lời cảnh báo cho người dân cần nâng cao nhận thức, ý thức trong việc bảo vệ dữ liệu cá nhân của mình.
Dưới góc độ chuyên gia công nghệ, ông Võ Đỗ Thắng đề nghị Zalo cần sớm có phản hồi chính thức, minh bạch các thông tin liên quan việc cập nhật này.
Trong đó, phải minh bạch việc sử dụng, cũng như không sử dụng dữ liệu cá nhân này cho các sản phẩm khác của mình. Đồng thời, phải cam kết rõ ràng về vấn đề bảo vệ, bảo mật dữ liệu cá nhân.
Nếu dữ liệu bị tấn công, rò rỉ ra cần có cam kết trách nhiệm, đồng hành cùng người tiêu dùng để tìm kiếm nguyên nhân, thậm chí đền bù nếu có lỗi theo quy định của pháp luật...
Không dùng Zalo để trao đổi những thông tin nhạy cảm
Trao đổi với Tuổi Trẻ, chuyên gia Ngô Minh Hiếu (Hiếu PC) đánh giá việc làm này của Zalo không phải cá biệt mà các nền tảng lớn như Facebook, Google, TikTok... đều cập nhật điều khoản định kỳ để phù hợp với luật và mô hình kinh doanh.
Tuy nhiên ông Hiếu cũng nhận thấy vấn đề nằm ở cách trình bày điều khoản dễ gây hiểu nhầm, tạo cảm giác "ép buộc". Điều quan trọng là minh bạch và giải thích rõ ràng cho người dùng hiểu quyền và nghĩa vụ của mình, thay vì để họ tự suy đoán.
Ông Ngô Minh Hiếu cũng nhấn mạnh chính nền tảng phải tuân thủ về bảo mật an ninh thông tin và sử dụng cơ chế mã hóa dữ liệu đầu, cuối. "Bản thân tôi không sử dụng Zalo để trao đổi những thông tin nhạy cảm", ông Hiếu khẳng định.
Mức phạt vi phạm dữ liệu cá nhân
Luật Bảo vệ dữ liệu cá nhân mới quy định nhiều quyền của người dùng trong vấn đề liên quan về dữ liệu cá nhân. Trong đó, người dùng có quyền yêu cầu chỉnh sửa hoặc xóa dữ liệu trong trường hợp dữ liệu không còn cần thiết cho mục đích thu thập ban đầu. Rút lại đồng ý cho phép xử lý dữ liệu cá nhân trước đó; khiếu nại, khởi kiện và yêu cầu bồi thường thiệt hại...
Luật cũng quy định mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với hành vi mua bán dữ liệu cá nhân là 10 lần khoản thu có được từ hành vi vi phạm.
Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với tổ chức có hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới là 5% doanh thu của năm trước liền kề của tổ chức đó; trường hợp không có doanh thu của năm trước liền kề hoặc mức phạt tính theo doanh thu thấp hơn mức phạt tiền tối đa theo quy định.
Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với các hành vi vi phạm khác trong lĩnh vực bảo vệ dữ liệu cá nhân là 3 tỉ đồng. Cá nhân thực hiện cùng hành vi vi phạm thì mức phạt tiền tối đa bằng 1/2 mức phạt tiền đối với tổ chức.
Zalo không thể tự ý sử dụng dữ liệu người dùng
Người dân băn khoăn khi đọc thông báo mà Zalo ép người dùng phải đồng ý các điều khoản mà mình đưa ra - Ảnh: BÉ HIẾU
Ngày 30-12, trao đổi với Tuổi Trẻ, ông Nguyễn Thanh Hà - Chủ tịch Công ty luật SBLAW - cho rằng tính đến thời điểm hiện tại thì nghị định 13 của Chính phủ trước đó vẫn đang là văn bản có giá trị áp dụng.
Do đó, "nếu Zalo thu thập dữ liệu nhạy cảm (như vị trí hiển thị thời gian thực, thông tin thanh toán hoặc tình trạng sức khỏe/quan điểm chính trị nếu có) mà không phục vụ trực tiếp cho tính năng người dùng đang dùng, đó là vi phạm", ông Hà nói.
Trong vụ việc Zalo, nhiều ý kiến đặt câu hỏi về ranh giới giúp phân biệt giữa "đồng thuận tự nguyện" và "đồng thuận bị ép buộc" trong quan hệ giữa người dùng và doanh nghiệp công nghệ.
Theo chủ tịch Công ty luật SBLAW, về góc độ thực tế, trong quan hệ với các big tech như Zalo, ranh giới này thường nằm ở quyền lựa chọn. Đồng thuận tự nguyện, tức là người dùng có quyền đồng ý cho phép thu thập từng loại dữ liệu riêng biệt.
Ví dụ, bạn có thể dùng Zalo để nhắn tin nhưng từ chối cho truy cập danh bạ hoặc vị trí mà vẫn sử dụng được các tính năng cơ bản khác.
Còn đồng thuận bị ép buộc (bundled consent) xảy ra khi nền tảng đưa ra thông điệp: "Nếu bạn không đồng ý cho chúng tôi thu thập toàn bộ dữ liệu (kể cả những thứ không liên quan đến nhắn tin), bạn không được sử dụng ứng dụng này".
Nghị định 13 và Luật Bảo vệ dữ liệu cá nhân năm 2025 đều quy định sự im lặng hoặc không phản hồi không được coi là đồng ý. Sự đồng ý phải được thể hiện qua một hành động cụ thể, tự nguyện.
"Có thể nói người dùng chỉ có hai lựa chọn: đồng ý các điều khoản do Zalo đơn phương đưa ra dù cho rằng có bất lợi cho mình hoặc lựa chọn không sử dụng dịch vụ. Điều này cho thấy dù thực tế việc chấp thuận điều khoản dịch vụ Zalo đưa ra là "tự nguyện" nhưng người dùng gần như phải chấp nhận các điều khoản này nếu muốn tiếp tục sử dụng nền tảng; trong khi đó việc sử dụng Zalo đang là nền tảng được sử dụng rộng rãi phục vụ công việc cũng như giao tiếp tại Việt Nam", ông Hà nêu rõ.
Một điểm rất đáng chú ý là hiện Zalo đang tham gia vào rất nhiều dịch vụ công trực tuyến tại Việt Nam, thậm chí có những đóng góp không hề nhỏ. Dữ liệu phát sinh từ dịch vụ công thường là dữ liệu định danh pháp lý (số CCCD, hồ sơ tư pháp...). "Đây là tài sản quốc gia và quyền riêng tư tối thượng của công dân. Doanh nghiệp lúc này không chỉ chịu điều chỉnh bởi nghị định 13 mà còn phải tuân thủ các quy định về an toàn thông tin mạng và Luật Giao dịch điện tử về tính bảo đảm an toàn thông tin, bảo mật thông điệp dữ liệu điện tử", ông Hà khẳng định.
Chưa hết, khi dữ liệu người dùng được chia sẻ trong nội bộ hệ sinh thái doanh nghiệp, ranh giới pháp lý giữa "chia sẻ phục vụ vận hành" và "khai thác thương mại" cũng là vấn đề được nhiều người quan tâm.
"Đây là "vùng xám" mà nhiều tập đoàn lớn đang khai thác, nói một cách đơn giản, dữ liệu chia sẻ để phục vụ vận hành nghĩa là doanh nghiệp cần có dữ liệu đó của người dùng mới có thể cung cấp được dịch vụ cho người dùng; còn khai thác thương mại chính là hoạt động sử dụng thu thập xử lý dữ liệu của người dùng nhằm mục đích thương mại, tạo ra lợi nhuận.
Do đó, trong mọi trường hợp doanh nghiệp lạm quyền sử dụng dữ liệu của người dùng từ việc sử dụng để phục vụ vận hành, lại dùng chính các dữ liệu này để khai thác thương mại mà không có sự thông báo, đồng ý của chủ thể dữ liệu là hành vi vi phạm pháp luật", ông Hà kết luận.
Bạn đọc vui khi cơ quan chức năng vào cuộc
Vấn đề Zalo ép khách hàng cung cấp thông tin riêng tư đã nhận được hàng trăm bình luận, phản hồi của bạn đọc báo Tuổi Trẻ. Độc giả có địa chỉ email truo****@gmail.com viết: Tôi có hai con nhỏ đang đi học và các thầy cô giáo đều liên hệ qua Zalo nên buộc phải dùng! Chứ ép buộc người dùng chia sẻ dữ liệu cá nhân trong tình trạng lừa đảo qua mạng ngày càng gia tăng thì đẩy người dùng vào thế rất nguy hiểm!
Vì bức xúc trước ứng xử trên, không ít bạn đọc đã dứt khoát tẩy chay Zalo, chuyển sang dùng ứng dụng khác. Độc giả Tiên viết: "Tôi đã xóa Zalo ra khỏi điện thoại. Tôi dùng rất nhiều ứng dụng công nghệ khác và không có ứng dụng nào đưa ra yêu cầu vô lý như Zalo. Họ đều có những điều khoản mà người dùng cần đồng ý nhưng không phải theo kiểu bắt buộc và mưu đồ thâu tóm mọi thông tin cá nhân (đến cả nhạy cảm) của người dùng như vậy".
Dưới bài báo "Ủy ban Cạnh tranh quốc gia mời VNG làm việc về thu thập thông tin người dùng trên Zalo" (Tuổi Trẻ Online ngày 29-12) nhận được gần 50 bình luận của bạn đọc. Như độc giả Khai Phong viết: "Hoan nghênh Ủy ban Cạnh tranh quốc gia đã vào cuộc. Tuy nhiên, vấn đề này cần phải làm rõ hơn ở khía cạnh Zalo cần sử dụng thông tin cá nhân của người dùng để nhằm vào mục đích gì? Kinh doanh những gì? Bên thứ 3 mà Zalo đề cập là ai?... Đây nên được xem là ví dụ điển hình khi ứng xử với thông tin số, với thông tin cá nhân và quyền riêng tư được bảo vệ của người tiêu dùng hợp pháp".
