Trong bối cảnh các nền tảng mạng xã hội liên tục cập nhật chính sách người dùng, Báo Pháp Luật TP.HCM tổ chức Talkshow với chủ đề “Hiểu đúng về điều khoản khi người dùng tham gia mạng xã hội”. Chương trình diễn ra chiều nay (31-12) tại trụ sở tòa soạn và sẽ được phát trực tuyến trên các nền tảng số của báo.
Sự kiện xuất phát từ thực tế nhiều người dùng hiện nay thường tiếp cận các điều khoản sử dụng một cách thụ động, chấp thuận theo quán tính để được dùng dịch vụ mà chưa lường hết các hệ quả pháp lý. Đặc biệt, vấn đề này càng trở nên cấp thiết khi Luật Bảo vệ dữ liệu cá nhân sẽ chính thức có hiệu lực từ ngày 1-1-2026.
Tại buổi tọa đàm, các diễn giả đã thảo luận về giá trị pháp lý của việc bấm nút "đồng ý", quyền kiểm soát dữ liệu cá nhân của người dùng, cũng như trách nhiệm của các nền tảng khi xảy ra sự cố rò rỉ thông tin.
Chương trình có sự tham gia của các khách mời: Tiến sĩ (TS) Trần Quý, Viện trưởng Viện Phát triển Kinh tế số Việt Nam; ông Nguyễn Tấn Phong, Giám đốc Trung tâm tư vấn pháp luật, Hiệp hội Thương mại Điện tử Việt Nam (VECOM); ông Võ Đỗ Thắng, Giám đốc Trung tâm An ninh mạng Athena và Luật sư (LS) Nguyễn Văn Hậu, Chủ tịch Trung tâm Trọng tài Thương mại Luật gia Việt Nam.
Không có bữa trưa miễn phí
Mở đầu tọa đàm, TS Trần Quý khẳng định trong nền kinh tế số, không có bữa trưa nào miễn phí. Khi người dùng bấm nút "Đồng ý", bản chất họ đang ký kết một hợp đồng trao đổi ngang giá. Người dùng nhận quyền sử dụng tiện ích như nhắn tin, giải trí và thanh toán lại cho nền tảng bằng sự riêng tư, sự chú ý của mình.
Về định giá, TS Quý dẫn chứng báo cáo tài chính của các tập đoàn lớn như Meta. Doanh thu bình quân trên một người dùng ở khu vực Châu Á - Thái Bình Dương khoảng 5,5 USD/quý. Tức là mỗi năm, riêng việc một cá nhân "tồn tại" trên Facebook đã mang lại cho nền tảng khoảng 600.000 đồng. Với 70-80 triệu người dùng tại Việt Nam, đây là "mỏ vàng" hàng tỉ USD.
Tuy nhiên, giá trị gián tiếp từ Big Data mới là cái giá đắt hơn. Khi bấm đồng ý, người dùng cho phép nền tảng thu thập danh tính, suy nghĩ, lịch trình và sở thích. Dữ liệu này được dùng huấn luyện AI và bán quảng cáo định hướng. "Trong thương vụ này, chúng ta không phải là khách hàng, chúng ta là nguyên liệu để các nền tảng khai thác lợi nhuận", TS Quý nhấn mạnh.
Dưới góc độ kỹ thuật, ông Võ Đỗ Thắng cảnh báo về những "cửa hậu" khi cấp quyền truy cập danh bạ, ghi âm hay hình ảnh. Nhà phát triển có thể truy cập trực tiếp dữ liệu trên thiết bị. Đáng lo ngại hơn, ứng dụng có thể sao chép thông tin và âm thầm gửi về máy chủ bên ngoài mà không cảnh báo.
Ông Thắng cho biết nhiều nạn nhân các vụ lừa đảo có điểm chung là điện thoại nhiễm mã độc. Mã độc theo dõi thói quen, nội dung trao đổi để kẻ gian xây dựng kịch bản lừa đảo cá nhân hóa, khiến nạn nhân dễ sập bẫy.
Nỗi lo từ những điều khoản bất bình đẳng
Một vấn đề nóng được thảo luận là sự "bất bình đẳng" trong điều khoản sử dụng của các ông lớn công nghệ, điển hình như thông tin Zalo thiết lập các điều khoản thu thập dữ liệu gần đây. LS Nguyễn Văn Hậu nhận định các điều khoản này có phạm vi thu thập dữ liệu quá lớn, không phân biệt dữ liệu cơ bản và nhạy cảm, buộc người dùng chỉ có hai lựa chọn: đồng ý tất cả hoặc ngừng sử dụng.
LS Hậu phân tích hành vi này có dấu hiệu chưa phù hợp với Luật Bảo vệ dữ liệu cá nhân, Hiến pháp và Bộ luật Dân sự. Thứ nhất, nền tảng có xu hướng hợp thức hóa mọi hoạt động xử lý dữ liệu chỉ bằng một lần bấm nút "Đồng ý tất cả", bao gồm cả dữ liệu vị trí, hành vi và nội dung tương tác. Điều này không phù hợp với Điều 9 Luật Bảo vệ dữ liệu cá nhân, vốn yêu cầu việc thu thập phải có mục đích cụ thể và sự đồng ý không được kèm điều kiện bắt buộc.
Thứ hai, nền tảng tự trao quyền kiểm duyệt nội dung gần như tuyệt đối, có thể xử lý nội dung người dùng dựa trên tiêu chí nội bộ mà không cần giải thích. Cách tiếp cận này đi ngược lại nguyên tắc bất khả xâm phạm về đời sống riêng tư và bí mật thư tín được quy định tại Điều 21 Hiến pháp 2013.
Thứ ba, các điều khoản miễn trừ trách nhiệm được xây dựng quá rộng và gây bất lợi cho người dùng. Nền tảng thường tuyên bố không chịu trách nhiệm nếu lộ lọt dữ liệu do nguyên nhân "ngoài tầm kiểm soát". Tuy nhiên, theo Bộ luật Dân sự 2015, chỉ khi chứng minh được sự kiện bất khả kháng thì mới được miễn trách nhiệm. Doanh nghiệp vẫn phải bồi thường nếu lỗi thuộc về quy trình quản lý.
LS Hậu cũng chỉ ra sự mất cân bằng quyền lực khi người dùng không có khả năng thương lượng. Ông nhấn mạnh theo nguyên tắc của Bộ luật Dân sự, các điều khoản gây bất lợi cho người dùng phải được giải thích theo hướng có lợi cho bên yếu thế. Việc đơn phương chấm dứt cung cấp dịch vụ khi khách hàng không đồng ý cung cấp thông tin (mà không có thỏa thuận trước) là vi phạm quy định pháp luật.
Đồng quan điểm, ông Nguyễn Tấn Phong cho rằng việc mở rộng phạm vi thu thập dữ liệu vượt quá mục đích cung cấp dịch vụ cốt lõi là không cần thiết. Theo nguyên tắc bảo vệ dữ liệu, doanh nghiệp chỉ được thu thập thông tin tương xứng với mục đích. Việc lạm dụng thu thập có thể khiến doanh nghiệp đối mặt với rủi ro pháp lý nghiêm trọng theo Nghị định 13/2023/NĐ-CP.
Luật mới: Phạt nặng hành vi mua bán dữ liệu
Đề cập đến hành lang pháp lý sắp tới, LS Nguyễn Văn Hậu cho biết Luật Bảo vệ dữ liệu cá nhân (có hiệu lực từ 1-1-2026) sẽ là bước ngoặt quan trọng. Luật nghiêm cấm các hành vi mua bán dữ liệu cá nhân, làm lộ lọt thông tin hoặc sử dụng dữ liệu trái phép. Đặc biệt, Điều 8 của Luật quy định mức phạt mang tính răn đe cao, có thể lên tới hơn 3 tỉ đồng hoặc tính theo tỉ lệ doanh thu đối với các hành vi vi phạm nghiêm trọng như chuyển dữ liệu trái phép ra nước ngoài.
Luật cũng quy định rõ về quyền "đồng ý" của chủ thể dữ liệu. Sự im lặng hoặc không phản hồi không được coi là sự đồng ý. Trong quan hệ lao động, người sử dụng lao động cũng phải tuân thủ nghiêm ngặt việc thu thập, lưu trữ và hủy bỏ dữ liệu của ứng viên, nhân viên.
Trả lời câu hỏi về "quyền được lãng quên" (quyền xóa dữ liệu), TS Trần Quý nhận định đây là vùng xám giữa pháp lý và kỹ thuật. Về luật, từ năm 2026, người dùng có quyền yêu cầu xóa dữ liệu và nền tảng phải thực hiện trong 72 giờ. Tuy nhiên, về kỹ thuật, việc xóa sạch ngay lập tức là rất khó do cơ chế sao lưu (backup) và quy định lưu vết phục vụ an ninh mạng. Dữ liệu có thể vẫn tồn tại trong các bản sao lưu từ 30 đến 90 ngày trước khi bị ghi đè hoàn toàn.
Lời khuyên cho "người dùng số"
Trước thềm năm 2026, các chuyên gia đưa ra lời khuyên thiết thực cho người dùng. Ông Nguyễn Tấn Phong khuyến nghị người dùng cần hiểu đúng bản chất mạng xã hội là môi trường công cộng, không phải nơi riêng tư tuyệt đối. Cần tách bạch tài khoản công việc và cá nhân, hạn chế chia sẻ dữ liệu nhạy cảm.
Ông Võ Đỗ Thắng chia sẻ mẹo nhỏ khi đọc điều khoản sử dụng: Nếu không thể đọc hết văn bản dài hàng chục trang, hãy tập trung vào các mục về quyền truy cập dữ liệu, chia sẻ thông tin với bên thứ ba và quyền thay đổi chính sách. Quan trọng hơn, không nên phụ thuộc hoàn toàn vào một nền tảng duy nhất để tránh bị động khi chính sách thay đổi.
Kết lại, LS Nguyễn Văn Hậu nhấn mạnh người dùng cần thận trọng khi công khai thông tin, tránh tiết lộ dữ liệu chưa kiểm chứng. Trong trường hợp bị xâm phạm quyền lợi hoặc khóa tài khoản vô lý, người dùng có quyền khiếu nại tới Bộ Công Thương hoặc Bộ Công an để được bảo vệ. Hiểu luật và tự điều chỉnh hành vi chính là "lá chắn" tốt nhất trong kỷ nguyên số.
