Soi 'luật chơi' mới của Zalo dưới lăng kính pháp lý 29/12/2025 05:45

(PLO)- Các điều khoản sử dụng dịch vụ mới của mạng xã hội zalo phải tuân thủ các quy định của pháp luật về bảo vệ dữ liệu cá nhân người dùng.

Những ngày qua, người dùng mạng xã hội (MXH) Zalo xôn xao khi ứng dụng này thông báo cập nhật các điều khoản sử dụng dịch vụ mới. Cụ thể, nếu không đồng ý với toàn bộ điều khoản mới, ứng dụng này sẽ tự động xóa tài khoản của người dùng sau 45 ngày.

Lo lắng bị thu thập dữ liệu

Trong các điều khoản sử dụng mới của Zalo, điều nhận được sự quan tâm nhiều nhất liên quan đến việc Zalo sẽ thu thập sử dụng dữ liệu thông tin của khách hàng. Theo Điều 5, khi đăng nhập tài khoản, người dùng được hiểu là đã cho phép đơn vị phát hành ứng dụng - Công ty VNG - áp dụng các biện pháp kỹ thuật để thu thập và xử lý dữ liệu liên quan đến tài khoản. Phạm vi dữ liệu được nêu khá rộng, bao gồm số điện thoại, CCCD, họ tên, tuổi, giới tính, mối quan hệ gia đình, địa chỉ thư điện tử, hình ảnh cá nhân và một số thông tin khác.

Những điều khoản được Zalo đặt ra. Ảnh: TRẦN MINH

Bên cạnh đó, Điều 8 về quyền của chủ thể dữ liệu cũng nhận được nhiều sự chú ý. Điều khoản này nêu rõ người dùng có quyền rút lại sự đồng ý, hạn chế hoặc phản đối việc xử lý dữ liệu cá nhân (DLCN). Tuy nhiên, VNG có quyền không thực hiện yêu cầu nếu người dùng không đáp ứng các điều kiện do doanh nghiệp đưa ra. Đồng thời, việc rút lại sự đồng ý không ảnh hưởng đến tính hợp pháp của các hoạt động xử lý dữ liệu đã được thực hiện trước đó.

Ngoài các quy định liên quan đến dữ liệu, Điều 14 về từ chối trách nhiệm đảm bảo cũng được một số người dùng nhắc đến. Theo điều khoản này, dù Zalo khẳng định nỗ lực tối đa để duy trì sự ổn định của dịch vụ nhưng không cam kết sẽ đáp ứng toàn bộ kỳ vọng của người sử dụng.

Anh Trần Văn Thiện (TP.HCM) cho rằng người dùng đang bị đặt vào thế không có lựa chọn thực sự. “Zalo chỉ đưa ra hai phương án: Hoặc đồng ý toàn bộ để tiếp tục sử dụng hoặc không đồng ý thì không thể truy cập. Người dùng không được quyền chọn lọc từng nội dung trong điều khoản, mà buộc phải chấp nhận tất cả. Cách làm này khiến việc chủ động bảo vệ thông tin cá nhân trở nên rất bị động”.

Chị Nguyễn Thúy Vy (nhân viên văn phòng, TP.HCM) cho rằng việc thu thập DLCN ở mức độ nhất định là cần thiết để xác minh danh tính, hạn chế tình trạng mạo danh, lừa đảo trên môi trường mạng. Tuy nhiên, chị vẫn bày tỏ lo ngại khi phạm vi thông tin được nêu trong điều khoản khá rộng, bao gồm cả giấy tờ tùy thân và mối quan hệ gia đình. “Người dùng đọc thì thấy lo nhưng vẫn phải đồng ý vì công việc phụ thuộc vào Zalo. Tôi nghĩ nếu người dùng không chia sẻ, không đăng tải quá nhiều thông tin cá nhân lên MXH thì cũng phần nào hạn chế việc bị thu thập” - chị Vy nói.

Zalo cập nhật điều khoản mới. Ảnh: TIỂU MINH

Còn chị Nguyễn Thị Hồng (ngụ TP.HCM) bày tỏ lo ngại về việc mình đang quá vô tư chia sẻ thông tin cá nhân thông qua các cuộc trò chuyện. Việc chấp thuận cho ứng dụng thu thập dữ liệu có thể sẽ dẫn đến rủi ro là dữ liệu bị lộ, lọt. “Khi DLCN được thu thập với phạm vi rộng như vậy, điều tôi băn khoăn là mức độ an toàn ra sao, ai sẽ chịu trách nhiệm bảo vệ nếu thông tin bị lộ, bị sử dụng sai mục đích?” - chị Hồng đặt vấn đề.

Một số ý kiến khác bày tỏ lo ngại về khối lượng DLCN được thu thập, trong khi người dùng không được phép chọn lọc từng nội dung để chấp thuận. Dù vậy, nhiều người thừa nhận họ vẫn phải bấm đồng ý để tiếp tục sử dụng Zalo bởi đây là ứng dụng quen thuộc, đang phục vụ cho công việc, cuộc sống khá nhiều.

Bấm “đồng ý” không đồng nghĩa được toàn quyền xử lý dữ liệu

Trao đổi với PV dưới góc độ pháp lý, TS Trần Ngọc Tuấn, giảng viên khoa Luật dân sự Trường ĐH Luật TP.HCM, cho biết theo quy định tại theo Nghị định 13/2023/NĐ-CP về bảo vệ DLCN, doanh nghiệp chỉ được phép thu thập, xử lý, sử dụng và chia sẻ DLCN khi có sự đồng ý rõ ràng của chủ thể dữ liệu.

Về nguyên tắc, DLCN chỉ được xử lý đúng và trong phạm vi các mục đích đã được đăng ký, công bố hoặc tuyên bố với chủ thể dữ liệu. Mọi hành vi xử lý DLCN vượt quá phạm vi sự đồng ý của chủ thể dữ liệu, trừ trường hợp pháp luật có quy định khác, đều được xác định là hành vi vi phạm quy định về bảo vệ DLCN và tùy theo tính chất, mức độ vi phạm có thể bị xử phạt vi phạm hành chính hoặc truy cứu trách nhiệm hình sự theo quy định.

“Việc người dùng xác nhận đồng ý với điều khoản sử dụng có thể được coi là căn cứ pháp lý hợp lệ cho hoạt động xử lý DLCN. Tuy nhiên, doanh nghiệp vẫn phải bảo đảm đầy đủ các quyền của chủ thể dữ liệu theo quy định của pháp luật, bao gồm quyền được biết, quyền rút lại sự đồng ý, quyền yêu cầu xóa dữ liệu hoặc hạn chế việc xử lý DLCN” - TS Tuấn cho biết.

Còn theo ThS Nguyễn Nhật Khanh, Trường ĐH Kinh tế - Luật (ĐH Quốc gia TP.HCM), Điều 9 Luật Bảo vệ DLCN 2025 có hiệu lực từ ngày 1-1-2026 đã quy định chặt chẽ hơn.

Theo đó, luật mới quy định sự đồng ý của chủ thể DLCN chỉ có hiệu lực khi dựa trên sự tự nguyện và biết rõ các thông tin gồm: Loại DLCN được xử lý, mục đích xử lý DLCN; bên kiểm soát DLCN hoặc bên kiểm soát và xử lý DLCN; các quyền, nghĩa vụ của chủ thể DLCN.

Điều khoản này cũng quy định rõ sự đồng ý của chủ thể DLCN phải bảo đảm các nguyên tắc: Thể hiện sự đồng ý đối với từng mục đích; không được kèm theo điều kiện bắt buộc phải đồng ý với các mục đích khác với nội dung thỏa thuận; sự đồng ý có hiệu lực cho đến khi chủ thể DLCN thay đổi sự đồng ý đó hoặc theo quy định của pháp luật. Đáng chú ý, sự im lặng hoặc không phản hồi không được coi là sự đồng ý.

“Có thể thấy rằng luật quy định rất rõ rằng sự đồng ý của chủ thể dữ liệu phải mang tính tự nguyện, cụ thể theo từng mục đích xử lý và có thể rút lại. Điều này có nghĩa là người dùng phải có quyền lựa chọn thực chất, chứ không chỉ là lựa chọn hình thức.

Trong trường hợp Zalo yêu cầu người dùng chỉ có phương án duy nhất là “đồng ý toàn bộ điều khoản” nếu muốn tiếp tục sử dụng dịch vụ thì có thể phát sinh vấn đề về tính tự nguyện của sự đồng ý. Khi người dùng bị đặt vào tình thế “hoặc chấp nhận hoặc không được sử dụng dịch vụ”, đặc biệt với một nền tảng phổ biến và có vai trò lớn trong đời sống xã hội thì sự đồng ý đó khó có thể coi là hoàn toàn tự do và bình đẳng” - ThS Khanh nhận định.

Người dùng phản ứng trước những điều khoản mới cập nhật của Zalo. Ảnh: TRẦN MINH

Về việc sau khi người dùng đã đồng ý điều khoản, các quy định liên quan đến thu thập và xử lý dữ liệu của Zalo có bảo đảm tuân thủ Luật Bảo vệ DLCN 2025 hay không, ThS Khanh cho rằng theo luật này quy định doanh nghiệp không được gộp tất cả mục đích xử lý dữ liệu vào một sự đồng ý chung, mà phải cho phép người dùng được biết, được lựa chọn và được kiểm soát. Vì vậy, yêu cầu “đồng ý toàn bộ” không đương nhiên là phù hợp với quy định của pháp luật, nếu không bảo đảm quyền lựa chọn độc lập của người dùng.

Theo Luật Bảo vệ DLCN 2025, việc người dùng đã bấm “đồng ý” điều khoản không đồng nghĩa với việc doanh nghiệp được toàn quyền thu thập và xử lý DLCN.

Cụ thể, Điều 3 luật này quy định doanh nghiệp chỉ được thu thập, xử lý DLCN đúng phạm vi, đúng mục đích cụ thể, rõ ràng và phải tuân thủ quy định của pháp luật. Sự đồng ý của người dùng không làm hợp pháp hóa các hành vi xử lý dữ liệu trái luật.

Nói thêm, ThS Khanh cho biết đối với các nền tảng MXH, Điều 29 Luật Bảo vệ DLCN 2025 quy định rất nhiều điều kiện mà tổ chức, cá nhân cung cấp dịch vụ MXH, dịch vụ truyền thông trực tuyến phải tuân thủ.

Đơn cử như thông báo rõ ràng nội dung DLCN được thu thập, không thu thập DLCN trái phép hoặc ngoài phạm vi đã thỏa thuận, cung cấp lựa chọn cho phép người dùng từ chối thu thập và chia sẻ tệp dữ liệu (cookies), lựa chọn “không theo dõi”; không nghe lén, nghe trộm, ghi âm cuộc gọi hoặc đọc tin nhắn khi chưa có sự đồng ý, trừ trường hợp pháp luật có quy định khác…

“Tóm lại, Luật Bảo vệ DLCN 2025 khẳng định quyền kiểm soát DLCN thuộc về người dùng, không phải nền tảng số. Vì vậy, các điều khoản sử dụng nếu mang tính áp đặt hoặc mở rộng quyền thu thập dữ liệu quá mức đều có thể bị xem xét lại về tính hợp pháp theo quy định của pháp luật” - ThS Khanh nhận định.