Zalo và phép thử của Luật Bảo vệ dữ liệu cá nhân 2025

Cuối tháng 12/2025, hàng triệu người dùng Zalo lên tiếng phản đối trước thông báo mà nhiều người cho là "ép buộc" từ ứng dụng nhắn tin hàng đầu Việt Nam. Ứng dụng Zalo (thuộc Công ty Cổ phần Tập đoàn VNG) đưa ra yêu cầu cập nhật điều khoản dịch vụ mới, trong đó người dùng chỉ có hai lựa chọn: chấp nhận toàn bộ điều khoản hoặc tài khoản sẽ biến mất sau 45 ngày. Thời điểm xuất hiện chỉ vài ngày trước khi Luật Bảo vệ dữ liệu cá nhân 2025 chính thức có hiệu lực từ ngày 1/1/2026.

Theo TS. Nguyễn Tấn Sơn, Chủ nhiệm cấp cao bộ môn Kế toán và Luật tại Đại học RMIT Việt Nam, vụ việc lần này quan trọng hơn rất nhiều so với một lần cập nhật điều khoản bình thường. Cách Zalo "ép" người dùng chấp nhận toàn bộ điều khoản mới trở thành phép thử lớn đối với hiệu lực thực tế của Luật Bảo vệ dữ liệu cá nhân 2025.

Ảnh minh họa

Người dùng ở thế "yếu" trước công nghệ

TS. Nguyễn Tấn Sơn cho hay, trong mọi quan hệ kinh tế, người tiêu dùng luôn là bên yếu thế cần được pháp luật bảo vệ. Kỷ nguyên số khiến tình trạng này càng trở nên nghiêm trọng bởi doanh nghiệp biết quá nhiều về người dùng, trong khi người dùng gần như không biết gì về những gì đang xảy ra với dữ liệu của mình. Doanh nghiệp nắm giữ hạ tầng công nghệ, thuật toán và khả năng phân tích dữ liệu từ hàng triệu người dùng mỗi ngày. Người dùng hầu như không biết dữ liệu của mình đang bị thu thập, khai thác và chia sẻ theo cách nào.

Zalo đang tận dụng triệt để vị thế thống trị của mình trên thị trường. Với vai trò là "siêu ứng dụng" gần như không thể thay thế tại Việt Nam, Zalo biết rõ người dùng khó có thể từ bỏ dịch vụ. Khi người dùng không hiểu thông tin của mình bị thu thập ra sao, được sử dụng để tạo ra các "hồ sơ số" mới thông qua công nghệ trí tuệ nhân tạo và phân tích dữ liệu lớn như thế nào, họ gần như mất khả năng tự bảo vệ mình.

TS. Nguyễn Tấn Sơn nhấn mạnh pháp luật cần đóng vai trò như một 'tấm khiên', điều chỉnh quyền lực thị trường và bảo vệ quyền lợi của bên yếu thế trước những áp lực như Zalo đang đặt ra cho người dùng.

Zalo đưa ra lựa chọn 'chấp nhận hoặc bị xóa tài khoản' đã gỡ bỏ tính tự nguyện trong quyết định của người dùng. Mà tính tự nguyện chính là điều kiện cơ bản để một hợp đồng dân sự được coi là công bằng. Zalo đã trở thành hạ tầng liên lạc thiết yếu của xã hội Việt Nam, từ giao tiếp cá nhân, kinh doanh đến trao đổi công việc. Chính vì vậy, khi Zalo "ép" xóa tài khoản để buộc người dùng chia sẻ dữ liệu cá nhân, Zalo có thể bị xem là lợi dụng vị thế độc tôn trên thị trường để cưỡng ép người dùng từ bỏ quyền riêng tư.

Theo Luật Bảo vệ dữ liệu cá nhân năm 2025, sự đồng ý cho phép xử lý dữ liệu cá nhân của chủ thể dữ liệu chỉ có hiệu lực khi được đưa ra trên cơ sở tự nguyện, có đầy đủ thông tin và không bị điều kiện hóa. Đặt trong khuôn khổ này, khi quyền tiếp cận một dịch vụ thiết yếu được mang ra để trao đổi với việc chủ thể đồng ý cho phép xử lý dữ liệu cá nhân của họ, sự đồng ý này khó được xem là “tự nguyện” theo yêu cầu của khoản 2 Điều 9, bởi nó đã bị chi phối bởi hoàn cảnh và nỗi sợ không thể tiếp cận được dịch vụ thiết yếu.

Hơn nữa, một sự “đồng ý” được hình thành trong bối cảnh người dùng đứng trước lựa chọn “chấp nhận hoặc bị xóa tài khoản” đặt ra dấu hiệu xung đột trực tiếp với điểm b khoản 4 Điều 9, theo đó doanh nghiệp không được kèm theo điều kiện bắt buộc phải đồng ý với các mục đích khác với nội dung thỏa thuận.

Thế giới đã xử lý "buộc đồng ý" thế nào?

Các hệ thống pháp luật phát triển đã sớm nhận diện rủi ro từ việc "buộc đồng ý" trong môi trường số. Tại Liên minh châu Âu, pháp luật bảo vệ dữ liệu quy định sự đồng ý của người dùng chỉ hợp lệ nếu được đưa ra một cách tự nguyện, cụ thể, có đầy đủ thông tin và thể hiện rõ ràng ý chí. Luật nhấn mạnh sự đồng ý không thể được coi là tự nguyện khi một bên quá mạnh so với bên kia, nhất là khi người dùng không có lựa chọn thực tế nào khác ngoài việc chấp nhận.

Cơ quan bảo vệ dữ liệu của châu Âu đã nhiều lần khẳng định các mô hình kiểu "đồng ý thì được dùng, không đồng ý thì bị loại khỏi dịch vụ" rất khó đáp ứng tiêu chuẩn đồng ý hợp lệ, đặc biệt khi dịch vụ mang tính thiết yếu đối với đời sống xã hội. Doanh nghiệp không được phép dùng việc cắt quyền tiếp cận dịch vụ làm đòn bẩy để buộc người dùng từ bỏ quyền riêng tư.

Tại Australia, quy định pháp luật chỉ cho phép doanh nghiệp thu thập thông tin cá nhân, đặc biệt là thông tin nhạy cảm, khi việc này thực sự cần thiết và hợp lý cho hoạt động kinh doanh. Doanh nghiệp phải tự chứng minh sự cần thiết đó, người dùng không cần chứng minh họ bị xâm phạm

Tương tự, tại Canada, quy định pháp luật yêu cầu người dùng phải đồng ý một cách có ý nghĩa. Nói cách khác, người dùng phải hiểu rõ doanh nghiệp sẽ làm gì với dữ liệu của họ và điều này ảnh hưởng đến cuộc sống của họ ra sao. Khi doanh nghiệp ép người dùng vào thế không còn lựa chọn, việc người dùng tiếp tục sử dụng dịch vụ không có ý nghĩa gì, Canada không bao giờ coi đó là sự đồng ý hợp lệ.

....Liệu có hợp pháp?

TS. Nguyễn Tấn Sơn nhận định cách tiếp cận “tất cả hoặc không có gì” của Zalo không chỉ đi ngược lại tinh thần của Luật Bảo vệ dữ liệu cá nhân, mà còn cho thấy một khoảng cách đáng lo ngại giữa thực tiễn kinh doanh tại Việt Nam và các chuẩn mực bảo vệ quyền riêng tư trên thế giới.

Việc tuyên bố xóa tài khoản nếu người dùng không "bấm đồng ý" không chỉ đặt ra vấn đề về tính hợp lệ của sự đồng ý. Nó còn cho thấy dấu hiệu xung đột trực tiếp với các quy định cốt lõi của Luật Bảo vệ dữ liệu cá nhân 2025.

Theo Điều 14, Luật Bảo vệ dữ liệu cá nhân 2025, việc xóa dữ liệu cá nhân chỉ được thực hiện trong những trường hợp nhất định như hoàn thành mục đích xử lý, hết thời hạn lưu trữ, hoặc theo yêu cầu hợp lệ của chính chủ thể dữ liệu. Luật không trao cho doanh nghiệp quyền sử dụng "xóa tài khoản" như một biện pháp gây sức ép nhằm buộc người dùng phải chấp nhận việc xử lý dữ liệu cá nhân.

Điều khoản dịch vụ của Zalo ngày 2/1/2026. Ảnh chụp màn hình

Cách tiếp cận đó còn làm vô hiệu hóa các quyền cơ bản của chủ thể dữ liệu theo khoản 1 Điều 4, đặc biệt là quyền không đồng ý hoặc rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân. Việc đặt người dùng trước "tối hậu thư 45 ngày" khó có thể được xem là hành vi tạo điều kiện thuận lợi cho việc thực thi quyền như yêu cầu tại khoản 4 Điều 4. Trái lại, nó có thể bị xem là cản trở hoạt động bảo vệ dữ liệu cá nhân - một hành vi bị nghiêm cấm theo khoản 2 Điều 7 Luật Bảo vệ dữ liệu cá nhân 2025.

Trong bối cảnh các nền tảng số ngày càng đóng vai trò như hạ tầng xã hội thiết yếu, doanh nghiệp không thể tự trao cho mình quyền đơn phương chấm dứt sự tồn tại của tài khoản gắn với dữ liệu cá nhân của người dùng chỉ vì họ lựa chọn bảo vệ quyền riêng tư của mình.

Người dùng thường chỉ nghĩ rằng họ đang chia sẻ số điện thoại hay ảnh đại diện. Nhưng thông qua phân tích dữ liệu và thuật toán, doanh nghiệp có thể tạo ra các dữ liệu phái sinh như thói quen chi tiêu, mối quan hệ xã hội, thậm chí là quan điểm cá nhân hay tình trạng sức khỏe. Nguy cơ vì thế không chỉ nằm ở những gì người dùng biết mình đã cung cấp. Nó còn ở những dữ liệu được tạo ra một cách âm thầm từ quá trình xử lý.

Zalo tuyên bố thu thập dữ liệu nhằm nâng cao chất lượng dịch vụ, nhưng người dùng không được thông tin rõ ràng về phạm vi dữ liệu phái sinh được tạo ra, cũng như việc các dữ liệu này có thể được chuyển giao cho những bên thứ ba nào.

Trong khi đó, Điều 11 Luật Bảo vệ dữ liệu cá nhân 2025 chỉ cho phép việc phân tích, tổng hợp dữ liệu khi có sự đồng ý hợp lệ của chủ thể dữ liệu, điều không thể đạt được nếu người dùng không hiểu đầy đủ hệ quả của việc xử lý dữ liệu. Đồng thời, Điều 17 yêu cầu việc chuyển giao dữ liệu cá nhân chỉ được thực hiện khi có sự đồng ý của chủ thể dữ liệu, mà sự đồng ý này, theo Điều 9, phải dựa trên thông tin cụ thể và minh bạch.

TS. Nguyễn Tấn Sơn chỉ ra các điều khoản hiện hành của Zalo, với cách diễn đạt chung chung về mục đích và đối tượng nhận dữ liệu, khó có thể đáp ứng tiêu chuẩn đó.

Từ ngày 1/1/2026, Luật Bảo vệ dữ liệu cá nhân chính thức buộc các doanh nghiệp công nghệ phải xin phép người dùng trước khi thu thập và xử lý dữ liệu cá nhân, thay vì để họ tự do quyết định như trước đây, và luật nhằm bảo vệ người dùng khỏi những hệ thống phân tích dữ liệu và thuật toán ngày càng phức tạp mà họ không thể kiểm soát.

Cơ quan quản lý phải giám sát chặt chẽ việc thực thi luật và xử phạt nghiêm khắc bất kỳ doanh nghiệp nào vi phạm, bởi vì nếu họ không hành động quyết liệt ngay từ những trường hợp đầu tiên như vụ Zalo, các doanh nghiệp khác sẽ học theo và biến luật mới thành một tờ giấy vô nghĩa, và quan trọng hơn, không một doanh nghiệp nào, dù lớn hay có nhiều người dùng đến đâu, được phép dùng tiện ích của dịch vụ làm lý do để ép người dùng từ bỏ quyền riêng tư hay đặt mình lên trên pháp luật.

Zalo lọt top những nền tảng tin nhắn doanh nghiệp nổi bật Đây là kết quả khảo sát vừa được Adtima thực hiện để đánh giá mức độ tin tưởng và sử dụng của khách hàng đối ...

Hệ sinh thái số Zalo: Chuyển mình từ ứng dụng nhắn tin sang nền tảng đa dịch vụ Zalo đã vượt xa giới hạn của một công cụ liên lạc thuần túy để trở thành siêu ứng dụng hàng đầu tại Việt Nam. ...

Zalo lọt TOP 10 nền tảng tin nhắn phổ biến nhất thế giới Đồng thời tiếp tục khẳng định vị thế là nền tảng tin nhắn phổ biến tại Việt Nam.