Zalo và phép thử đầu tiên của Luật Bảo vệ dữ liệu cá nhân 2025

Những ngày cuối năm 2025, cộng đồng người dùng Zalo dậy sóng trước một “tối hậu thư” gây tranh cãi: hoặc đồng ý với điều khoản sử dụng (bao gồm việc chia sẻ dữ liệu cá nhân), hoặc tài khoản sẽ bị xóa sau 45 ngày. Đây không đơn thuần là một cập nhật điều khoản sử dụng, mà là phép thử lớn đầu tiên đối với hiệu lực thực tế của Luật Bảo vệ dữ liệu cá nhân 2025, sẽ chính thức có hiệu lực từ ngày 1/1/2026. 

(Bài viết sau đây thể hiện quan điểm cá nhân của Tiến sĩ Nguyễn Tấn Sơn, Chủ nhiệm cấp cao bộ môn Kế toán và Luật, Đại học RMIT Việt Nam)

Quyền lực mất cân đối và sự “yếu thế” của người dùng 

Trong mọi quan hệ dân sự và kinh tế, người tiêu dùng là bên yếu thế cần được bảo vệ. Trong kỷ nguyên số, sự yếu thế này càng trở nên trầm trọng do sự bất cân xứng về thông tin. Doanh nghiệp nắm giữ hạ tầng công nghệ, thuật toán và khả năng phân tích dữ liệu ở quy mô lớn, trong khi người dùng hầu như không biết dữ liệu của mình đang bị thu thập, khai thác và chia sẻ ra sao. 

Zalo, với vị thế là một “siêu ứng dụng” gần như không thể thay thế tại Việt Nam, đang tận dụng triệt để sự mất cân đối này. Khi người dùng không biết thông tin của họ bị thu thập thế nào, được sử dụng để tạo ra các "hồ sơ số" mới ra sao thông qua công nghệ AI và phân tích dữ liệu lớn, họ gần như không có khả năng tự bảo vệ mình. Trong bối cảnh đó, pháp luật cần phải đóng vai trò như một “tấm khiên”, điều chỉnh quyền lực thị trường và bảo vệ quyền lợi của bên yếu thế. 

“Cưỡng ép kỹ thuật số” và sự đồng ý chỉ tồn tại trên hình thức 

Việc Zalo đưa ra lựa chọn “chấp nhận hoặc bị xóa tài khoản” đã triệt tiêu hoàn toàn tính tự nguyện, nền tảng của mọi giao dịch dân sự công bằng. Khi Zalo đã trở thành hạ tầng liên lạc thiết yếu của xã hội Việt Nam, từ giao tiếp cá nhân, kinh doanh đến trao đổi công việc, thì việc đe dọa cắt quyền sử dụng dịch vụ để buộc người dùng chia sẻ dữ liệu cá nhân có thể bị xem là lạm dụng vị thế áp đảo để khai thác quyền riêng tư. 

Theo Luật Bảo vệ dữ liệu cá nhân (Luật BVDLCN) năm 2025, sự đồng ý cho phép xử lý dữ liệu cá nhân của chủ thể dữ liệu chỉ có hiệu lực khi được đưa ra trên cơ sở tự nguyện, có đầy đủ thông tin và không bị điều kiện hóa. Đặt trong khuôn khổ này, khi quyền tiếp cận một dịch vụ thiết yếu được mang ra để trao đổi với việc chủ thể đồng ý cho phép xử lý dữ liệu cá nhân của họ, sự đồng ý này khó được xem là “tự nguyện” theo yêu cầu của khoản 2 Điều 9, bởi nó đã bị chi phối bởi hoàn cảnh và nỗi sợ không thể tiếp cận được dịch vụ thiết yếu.  

Hơn nữa, một sự “đồng ý” được hình thành trong bối cảnh người dùng đứng trước lựa chọn “chấp nhận hoặc bị xóa tài khoản” đặt ra dấu hiệu xung đột trực tiếp với điểm b khoản 4 Điều 9, theo đó doanh nghiệp không được kèm theo điều kiện bắt buộc phải đồng ý với các mục đích khác với nội dung thỏa thuận. 

Soi chiếu chuẩn mực quốc tế: Khi “đồng ý” không còn là tự nguyện 

Nhìn ra thế giới, các hệ thống pháp luật phát triển đã sớm nhận diện rủi ro từ việc “buộc đồng ý” trong môi trường số. 

Tại Liên minh châu Âu, pháp luật bảo vệ dữ liệu quy định rằng sự đồng ý của người dùng chỉ hợp lệ nếu được đưa ra một cách tự nguyện, cụ thể, có đầy đủ thông tin và thể hiện rõ ràng ý chí. Đặc biệt, luật nhấn mạnh rằng sự đồng ý không thể được coi là tự nguyện nếu tồn tại sự chênh lệch quyền lực rõ rệt giữa chủ thể dữ liệu và bên kiểm soát dữ liệu, nhất là khi người dùng không có lựa chọn thực tế nào khác ngoài việc chấp nhận. 

Trên cơ sở đó, cơ quan bảo vệ dữ liệu của châu Âu đã nhiều lần khẳng định rằng các mô hình kiểu “đồng ý thì được dùng, không đồng ý thì bị loại khỏi dịch vụ” rất khó đáp ứng tiêu chuẩn đồng ý hợp lệ, đặc biệt khi dịch vụ mang tính thiết yếu đối với đời sống xã hội. Doanh nghiệp không được phép dùng việc cắt quyền tiếp cận dịch vụ làm đòn bẩy để buộc người dùng từ bỏ quyền riêng tư. 

Tại Australia, việc thu thập thông tin cá nhân, nhất là thông tin nhạy cảm chỉ được phép khi thực sự cần thiết và hợp lý cho hoạt động của doanh nghiệp. Theo cách tiếp cận này, trách nhiệm chứng minh sự cần thiết thuộc về doanh nghiệp, chứ không phải người dùng phải tự đi chứng minh rằng mình bị xâm phạm. 

Tương tự, tại Canada, pháp luật yêu cầu sự đồng ý phải là “đồng ý có ý nghĩa”, tức là người dùng phải thực sự hiểu dữ liệu của mình sẽ được dùng vào đâu và có thể dẫn đến những hệ quả gì. Việc tiếp tục sử dụng dịch vụ trong bối cảnh bị đặt vào thế “không còn lựa chọn” không bao giờ được coi là sự đồng ý hợp lệ. 

Đặt trong bối cảnh đó, cách tiếp cận “tất cả hoặc không có gì” của Zalo không chỉ đi ngược lại tinh thần của Luật BVDLCN, mà còn cho thấy một khoảng cách đáng lo ngại giữa thực tiễn kinh doanh tại Việt Nam và các chuẩn mực bảo vệ quyền riêng tư trên thế giới. 

“Tối hậu thư 45 ngày”: Dấu hiệu xung đột với pháp luật 

Việc tuyên bố xóa tài khoản nếu người dùng không “bấm đồng ý” không chỉ đặt ra vấn đề về tính hợp lệ của sự đồng ý, mà còn cho thấy dấu hiệu xung đột trực tiếp với các quy định cốt lõi của Luật BVDLCN 2025. Theo Điều 14, việc xóa dữ liệu cá nhân chỉ được thực hiện trong những trường hợp nhất định, như hoàn thành mục đích xử lý, hết thời hạn lưu trữ, hoặc theo yêu cầu hợp lệ của chính chủ thể dữ liệu. Luật không trao cho doanh nghiệp quyền sử dụng “xóa tài khoản” như một biện pháp gây sức ép nhằm buộc người dùng phải chấp nhận việc xử lý dữ liệu cá nhân. 

Đáng chú ý hơn, cách tiếp cận này còn làm vô hiệu hóa các quyền cơ bản của chủ thể dữ liệu theo khoản 1 Điều 4, đặc biệt là quyền không đồng ý hoặc rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân. Đồng thời, việc đặt người dùng trước “tối hậu thư 45 ngày” khó có thể được xem là hành vi tạo điều kiện thuận lợi cho việc thực thi quyền, như yêu cầu tại khoản 4 Điều 4, mà trái lại, có thể bị xem là cản trở hoạt động bảo vệ dữ liệu cá nhân – một hành vi bị nghiêm cấm theo khoản 2 Điều 7 Luật BVDLCN 2025. 

Trong bối cảnh các nền tảng số ngày càng đóng vai trò như hạ tầng xã hội thiết yếu, doanh nghiệp không thể tự trao cho mình quyền đơn phương chấm dứt sự tồn tại của tài khoản gắn với dữ liệu cá nhân của người dùng chỉ vì họ lựa chọn bảo vệ quyền riêng tư của mình. 

Ma trận dữ liệu và những thông tin “phái sinh” nguy hiểm 

Người dùng thường chỉ nghĩ rằng họ đang chia sẻ số điện thoại hay ảnh đại diện. Nhưng thông qua phân tích dữ liệu và thuật toán, doanh nghiệp có thể tạo ra các dữ liệu phái sinh như thói quen chi tiêu, mối quan hệ xã hội, thậm chí là quan điểm cá nhân hay tình trạng sức khỏe. Nguy cơ vì thế không chỉ nằm ở những gì người dùng biết mình đã cung cấp, mà còn ở những dữ liệu được tạo ra một cách âm thầm từ quá trình xử lý.  

Zalo tuyên bố thu thập dữ liệu nhằm nâng cao chất lượng dịch vụ, nhưng người dùng không được thông tin rõ ràng về phạm vi dữ liệu phái sinh được tạo ra, cũng như việc các dữ liệu này có thể được chuyển giao cho những bên thứ ba nào. Trong khi đó, Điều 11 Luật BVDLCN 2025 chỉ cho phép việc phân tích, tổng hợp dữ liệu khi có sự đồng ý hợp lệ của chủ thể dữ liệu, điều không thể đạt được nếu người dùng không hiểu đầy đủ hệ quả của việc xử lý dữ liệu. Đồng thời, Điều 17 yêu cầu việc chuyển giao dữ liệu cá nhân chỉ được thực hiện khi có sự đồng ý của chủ thể dữ liệu, mà sự đồng ý này, theo Điều 9, phải dựa trên thông tin cụ thể và minh bạch. Các điều khoản hiện hành của Zalo, với cách diễn đạt chung chung về mục đích và đối tượng nhận dữ liệu, khó có thể đáp ứng tiêu chuẩn đó. 

Lời kết: Không thể đánh đổi tiện ích lấy tự do 

Ngày 1/1/2026 đánh dấu thời điểm các doanh nghiệp công nghệ không còn có thể tự ý quyết định việc xử lý dữ liệu cá nhân. Luật BVDLCN được thiết kế để giảm sự mất cân đối quyền lực, bảo vệ người dùng trước những “ma trận” dữ liệu và thuật toán ngày càng tinh vi. 

Các cơ quan quản lý cần theo dõi sát sao và sẵn sàng áp dụng đầy đủ các chế tài mà luật cho phép. Tiện ích không thể là cái cớ để đánh đổi tự do, và không một doanh nghiệp nào được phép đứng trên pháp luật khi xử lý dữ liệu của người dân.