Sự xuất hiện của Luật Bảo vệ dữ liệu cá nhân 2025 được kỳ vọng là tấm khiên bảo vệ người dân trong kỷ nguyên số.
Thế nhưng, ngay trước thềm luật có hiệu lực, “nền tảng quốc dân” Zalo lại tung ra một bộ điều khoản mới khiến hàng chục triệu người dùng hoang mang.
Đây không đơn thuần là một bản cập nhật kỹ thuật, mà là một phép thử về đạo đức kinh doanh và sự thượng tôn pháp luật.
Người dùng phản ứng
Một số người dùng cho biết họ cảm thấy không thỏa đáng với các điều khoản sử dụng nên đã từ chối. Ngay lập tức, họ nhận được thông báo không thể tiếp tục sử dụng dịch vụ và tài khoản sẽ bị khóa sau 45 ngày.
“Do tính chất công việc, cơ quan tôi thường nhắn tin trao đổi thông qua nền tảng Zalo. Sau khi thấy những điều khoản mới, tôi thấy không hợp lý nên đã không xác nhận.
Hệ thống sau đó thông báo sẽ xóa tài khoản của tôi sau 45 ngày vì không đồng ý với thỏa thuận trên. Việc này không khác gì đang “ép” người dùng chấp nhận yêu cầu của nền tảng. Tôi đang liên hệ với nhà cung cấp để có thể tiếp tục sử dụng dịch vụ, tránh ảnh hưởng đến công việc”, chị Ngọc Anh, một nhân viên văn phòng tại phường Thạnh Mỹ Tây, TPHCM, chia sẻ.
“Tôi sẽ dừng sử dụng Zalo, thỏa thuận này không khác gì việc Zalo “ép” tôi cho phép sử dụng tất cả dữ liệu cá nhân trên nền tảng và hệ sinh thái của ứng dụng này.
Việc tôi không chấp nhận cho một ứng dụng sử dụng quyền riêng tư cá nhân là việc hết sức bình thường, nhưng tại sao Zalo lại thông báo khoá tài khoản của tôi sau 45 ngày (nếu tôi không đồng ý)”, chị Hà Lan (Hà Nội) bức xúc.
Bên cạnh đó, nhiều người dùng trên mạng xã hội đã chia sẻ bài đăng phản đối về điều khoản mới của Zalo; đồng thời bày tỏ sự lo ngại về việc một nền tảng thu thập dữ liệu của hàng chục triệu người dùng, nếu xảy ra sự cố thì rất nghiêm trọng.
Sự tự nguyện?
Nguyên tắc vàng của Luật Bảo vệ dữ liệu cá nhân 2025 (có hiệu lực 1/1/2026) là sự tự nguyện. Người dùng phải được quyền lựa chọn đồng ý hoặc không đồng ý xử lý dữ liệu mà không bị tước đoạt quyền lợi chính đáng.
Theo phản ánh của một số người dùng, cách triển khai điều khoản mới của Zalo khiến họ cho rằng nguyên tắc tự nguyện chưa được bảo đảm đầy đủ. Theo đó, khi không đồng ý điều khoản mới, người dùng sẽ nhận được thông báo tài khoản sẽ bị khóa/xóa sau 45 ngày.
Trong bối cảnh Zalo không còn đơn thuần là một ứng dụng nhắn tin giải trí mà đã trở thành một nền tảng liên lạc được hàng chục triệu người sử dụng trong công việc, trao đổi với cơ quan nhà nước và vận hành doanh nghiệp, việc đặt người dùng trước lựa chọn giữa tiếp tục sử dụng dịch vụ hoặc bị gián đoạn liên lạc làm dấy lên lo ngại về nguy cơ lạm dụng vị thế trên thị trường, vấn đề cần được cơ quan quản lý xem xét, đánh giá một cách độc lập.
Câu hỏi đặt ra rằng, liệu một sự đồng ý thu được dưới áp lực bị xóa bỏ tài khoản có còn được coi là “tự nguyện” theo đúng tinh thần của Luật?
Chia sẻ với phóng viên báo Dân trí, Luật sư Trần Xuân Tiền – Trưởng Văn phòng luật sư Đồng Đội đoàn Luật sư thành phố Hà Nội cho biết: “Theo Luật Bảo vệ dữ liệu cá nhân năm 2025, sự đồng ý của chủ thể dữ liệu chỉ có giá trị pháp lý khi đáp ứng đồng thời các điều kiện: Tự nguyện, cụ thể, có thể kiểm chứng và rõ ràng.
Trong trường hợp người dùng bị đặt vào tình thế buộc phải lựa chọn giữa đồng ý cung cấp dữ liệu hoặc bị khóa tài khoản sau một thời hạn nhất định, thì yếu tố “tự nguyện” cần được xem xét hết sức thận trọng”.
Theo luật sư Tiền, nếu việc không đồng ý dẫn đến hậu quả nghiêm trọng như mất quyền liên lạc, gián đoạn công việc, ảnh hưởng đến sinh kế, thì về bản chất, đây có thể bị xem là sự đồng ý được hình thành trong điều kiện bị áp lực, không hoàn toàn xuất phát từ ý chí tự do của chủ thể dữ liệu.
Do đó, về mặt pháp lý, hành vi này có dấu hiệu của việc tạo sức ép để buộc chấp thuận, cần được cơ quan quản lý nhà nước đánh giá một cách độc lập và khách quan.
Zalo có đang “vượt quyền”?
Một điểm gây tranh cãi trong điều khoản là yêu cầu thu thập hình ảnh CCCD/Hộ chiếu để định danh và tích hợp Zalo ID.
Chiếu theo Nguyên tắc tối thiểu hóa dữ liệu của Luật Bảo vệ dữ liệu cá nhân 2025, bên xử lý dữ liệu chỉ được thu thập những thông tin thực sự cần thiết cho mục đích cung cấp dịch vụ.
Theo luật, tổ chức, cá nhân cung cấp dịch vụ mạng xã hội, dịch vụ truyền thông trực tuyến không được yêu cầu cung cấp hình ảnh, video chứa nội dung đầy đủ hoặc một phần giấy tờ tùy thân làm yếu tố xác thực tài khoản.
Zalo bản chất là một mạng xã hội và ứng dụng OTT, vậy tại sao một ứng dụng nhắn tin lại cần “nắm giữ” thông tin nhạy cảm của công dân như ảnh CCCD.
Điều khoản này được Zalo lập luận rằng, việc định danh để ngăn chặn lừa đảo. Câu hỏi đặt ra tại sao không sử dụng các giải pháp xác thực trung gian thông qua định danh điện tử (VNeID) mà phải trực tiếp lưu trữ bản quét CCCD của người dân vào máy chủ riêng?
“Luật Bảo vệ dữ liệu cá nhân xác lập Nguyên tắc tối thiểu hóa dữ liệu, theo đó tổ chức chỉ được thu thập những dữ liệu thực sự cần thiết và phù hợp với mục đích xử lý.
Trong bối cảnh Nhà nước đã triển khai hệ thống VNeID như một nền tảng định danh điện tử chính thống, việc một doanh nghiệp tư nhân yêu cầu người dùng cung cấp hình ảnh CCCD để xây dựng cơ sở dữ liệu riêng đặt ra dấu hỏi lớn về tính cần thiết và tương xứng. Nếu không chứng minh được tính cần thiết đó, yêu cầu thu thập hình ảnh CCCD có thể bị xem là không phù hợp với nguyên tắc tối thiểu hóa, từ đó tiềm ẩn nguy cơ vi phạm pháp luật về bảo vệ dữ liệu cá nhân”, Luật sư Trần Xuân Tiền cho biết.
Từ góc độ an toàn thông tin, việc tập trung dữ liệu nhạy cảm này vào tay một doanh nghiệp tư nhân có thể làm gia tăng lo ngại về quyền riêng tư và rủi ro an ninh thông tin nếu xảy ra sự cố rò rỉ.
Nỗi lo chia sẻ dữ liệu
Điều khoản cũng nêu rõ sau khi người dùng đồng ý, tài khoản Zalo thông thường sẽ được tích hợp/chuyển đổi thành Tài khoản Zalo ID.
Việc hợp nhất thành “Zalo ID” cho thấy tham vọng của VNG trong việc liên thông dữ liệu người dùng trên toàn bộ hệ sinh thái: Từ nhắn tin (Zalo), thanh toán (ZaloPay) đến trò chơi và các ứng dụng liên kết (Mini App).
Theo điều khoản mới, dữ liệu của người dùng không chỉ nằm ở Zalo. Nó có thể được chia sẻ với “các công ty trong cùng tập đoàn” và “đối tác chiến lược” nếu người dùng đồng ý. Điều này làm dấy lên lo ngại về nguy cơ phát sinh kẽ hở trong quản lý và chia sẻ dữ liệu.
Sử dụng các ứng dụng OTT, người dùng có thể đồng ý chia sẻ vị trí để phục vụ một nhu cầu cụ thể của họ (chẳng hạn như đặt xe), nhưng điều đó không đồng nghĩa với việc họ chấp thuận để dữ liệu này bị thu thập hoặc bán cho bên thứ ba.
Luật Bảo vệ Dữ liệu Cá nhân 2025 yêu cầu mục đích xử lý dữ liệu phải cụ thể, nhưng điều khoản của Zalo lại đang dùng những khái niệm chung chung để “rào” trước quyền khai thác dữ liệu vô hạn.
Đáng chú ý, Zalo triển khai bản cập nhật này vào thời điểm cuối năm 2025, ngay trước mốc ngày 01/01/2026, khi Luật Bảo vệ dữ liệu cá nhân chính thức có hiệu lực với các quy định và chế tài xử phạt nghiêm ngặt hơn.
Việc lựa chọn thời điểm này khiến dư luận đặt câu hỏi về mục đích của động thái cập nhật, đặc biệt trong bối cảnh quyền chấp thuận của người dùng đối với dữ liệu cá nhân đang được pháp luật siết chặt.
Trong trường hợp người dùng đã bấm “Đồng ý” từ trước, sự chấp thuận này có thể được Zalo xem là một cơ sở pháp lý để tiếp tục xử lý dữ liệu cá nhân ngay cả khi các quy định mới bắt đầu được áp dụng, tùy thuộc vào cách diễn giải và thực thi của pháp luật.
“Việc áp dụng các điều khoản thu thập dữ liệu cá nhân quy mô lớn trong bản cập nhật của Zalo ngay trước khi Luật Bảo vệ dữ liệu cá nhân 2025 có hiệu lực, trong khi các chế tài xử phạt nghiêm khắc sắp được áp dụng, dễ làm dấy lên nghi ngại về động cơ “đi trước một bước” nhằm giảm thiểu rủi ro pháp lý về sau”, Luật sư Trần Xuân Tiền chia sẻ.
Với khoảng 79 triệu người dùng, Zalo hiện không chỉ là một ứng dụng nhắn tin thông thường mà đã trở thành hạ tầng liên lạc quan trọng của cá nhân, tổ chức.
Luật sư Tiền cảnh báo: “Nếu một doanh nghiệp ở vị thế thống lĩnh thị trường buộc người dùng phải chấp nhận điều kiện bất lợi – ở đây là lựa chọn giữa mất quyền sử dụng dịch vụ thiết yếu hoặc phải cung cấp dữ liệu cá nhân nhạy cảm – thì hành vi đó có dấu hiệu của việc lạm dụng vị thế thị trường để áp đặt điều kiện giao dịch bất lợi, điều mà Luật Cạnh tranh nghiêm cấm”.
Dù chưa thể khẳng định động cơ chủ quan của doanh nghiệp, nhưng rõ ràng, cách làm này đặt người dùng vào thế bị động, đồng thời đòi hỏi cơ quan quản lý phải giám sát chặt chẽ hơn để bảo đảm quyền lợi hợp pháp của chủ thể dữ liệu.
Dữ liệu được ví như “dầu mỏ” hay nguồn lực cốt lõi của nền kinh tế số, song việc khai thác phải đặt trong khuôn khổ pháp luật và trên cơ sở tôn trọng quyền riêng tư của chủ thể dữ liệu. Sự phát triển bền vững của một doanh nghiệp công nghệ cần được xây dựng từ niềm tin của người dùng, thay vì dựa vào những điều khoản có thể tạo cảm giác bị áp đặt.
Việc Zalo “sử dụng những biện pháp kỹ thuật cho mục đích thu thập và xử lý các dữ liệu liên quan đến Tài khoản của người dùng” có phù hợp với pháp luật hay không, cần kết luận chính thức từ cơ quan có thẩm quyền, nhưng xét dưới góc độ pháp lý, đây là vấn đề không thể xem nhẹ.
Zalo là nền tảng có lượng người dùng khổng lồ tại Việt Nam. Theo số liệu tự công bố, tới tháng 9/2025 ứng dụng có 79 triệu người dùng thường xuyên mỗi tháng và khoảng 2 tỷ tin nhắn được gửi đi mỗi ngày.
Trên trang web chính thức, Zalo cho biết việc cập nhật điều khoản sử dụng là một hoạt động phổ biến đối với tất cả ứng dụng và nền tảng công nghệ trên thế giới, nhằm đảm bảo tuân thủ các quy định pháp luật và cung cấp thông tin rõ ràng cho người dùng về những thay đổi trong quá trình cung cấp dịch vụ.
https://dantri.com.vn/cong-nghe/zalo-va-toi-hau-thu-45-ngay-quyen-rieng-tu-bi-dat-truoc-lua-chon-kho-20251228004535132.htm
Đọc thêm: Zalo gây hoang mang khi cập nhật điều khoản dịch vụ
5 kiểu tin nhắn trên Zalo khiến nhiều người mất tiền mà không hiểu vì sao
