"Đồng ý hoặc bị khóa tài khoản" - khó có thể coi là tự nguyện
Luật Bảo vệ dữ liệu cá nhân đã được Quốc hội thông qua ngày 25/6/2025, có hiệu lực từ ngày 1/1/2026 quy định, việc xử phạt theo doanh thu đối với một số hành vi đặc biệt nghiêm trọng trong hoạt động xử lý dữ liệu cá nhân, vi phạm quy định bảo vệ dữ liệu cá nhân.
Mức phạt tối đa đến 5% doanh thu năm liền kề đối với vi phạm chuyển dữ liệu cá nhân xuyên biên giới; phạt tối đa gấp 10 lần khoản thu lợi bất chính nếu kinh doanh, mua bán dữ liệu trái phép. Các vi phạm khác có thể bị phạt tiền tới 3 tỷ đồng đối với tổ chức, chưa kể trách nhiệm hình sự nếu đủ yếu tố cấu thành tội phạm.
Khi nền kinh tế số bùng nổ, dữ liệu cá nhân trở thành “tài nguyên” mới, nhưng cũng là lĩnh vực nhạy cảm nhất, đòi hỏi sự kiểm soát nghiêm ngặt của pháp luật. Việc Zalo, nền tảng nhắn tin có khoảng 79 triệu người dùng tại Việt Nam, buộc người dùng chấp nhận điều khoản mới, trong đó mở rộng đáng kể phạm vi thu thập dữ liệu cá nhân, đang đặt ra nhiều vấn đề pháp lý đáng lo ngại.
Trao đổi với Tiền Phong về nội dung này, Luật sư Nguyễn Anh Tuấn (Đoàn Luật sư TP Hà Nội) cho rằng, vấn đề cốt lõi không nằm ở việc doanh nghiệp có được thu thập dữ liệu hay không, mà ở cách thức thu thập và căn cứ pháp lý của sự đồng ý. “Khoản 2 Điều 9 Luật Bảo vệ dữ liệu cá nhân năm 2025 quy định rõ, sự đồng ý của chủ thể dữ liệu chỉ hợp pháp khi tự nguyện, cụ thể, có hiểu biết và có quyền lựa chọn thực sự. Việc đặt người dùng vào tình thế ‘đồng ý hoặc bị khóa tài khoản’ khó có thể coi là tự nguyện”.
Luật sư Tuấn nhấn mạnh, khi Zalo đã trở thành hạ tầng liên lạc thiết yếu, phục vụ cả hoạt động hành chính, kinh doanh và đời sống xã hội, thì việc buộc người dùng chấp nhận điều khoản mới để duy trì tài khoản mang dấu hiệu ép buộc gián tiếp. Về mặt pháp lý, nếu sự đồng ý được xác lập trong điều kiện bị đe dọa hạn chế quyền lợi cơ bản, thì hoàn toàn có nguy cơ bị tuyên vô hiệu khi phát sinh tranh chấp sau thời điểm Luật Bảo vệ dữ liệu cá nhân 2025 có hiệu lực (từ 1/1/2026).
Trong khi đó, Luật sư Nguyễn Thị Sâm – Đoàn luật sư TP Hà Nội nhấn mạnh, thu thập dữ liệu phải tuân thủ nguyên tắc tối thiểu hóa. Ở góc độ bảo vệ quyền riêng tư, Luật sư Nguyễn Thị Sâm cho rằng yêu cầu người dùng cung cấp ảnh chụp CCCD để định danh tài khoản đặt ra dấu hỏi lớn về nguyên tắc tối thiểu hóa dữ liệu.
Theo Khoản 2 Điều 3 Luật Bảo vệ dữ liệu cá nhân 2025, dữ liệu cá nhân chỉ được thu thập trong phạm vi thực sự cần thiết cho mục đích xử lý. “Nếu mục tiêu là xác thực người dùng, thì xác thực qua số điện thoại đã liên thông với Cơ sở dữ liệu quốc gia về dân cư hoặc thông qua VNeID là đủ. Việc yêu cầu ảnh chụp đầy đủ hai mặt CCCD, chứa dữ liệu sinh trắc học, quê quán, đặc điểm nhận dạng, có thể bị coi là thu thập vượt quá nhu cầu”.
Đặc biệt, Điều 29 Luật Bảo vệ dữ liệu cá nhân 2025 quy định rõ đối với mạng xã hội và dịch vụ truyền thông trực tuyến: Không được yêu cầu cung cấp hình ảnh, video chứa toàn bộ hoặc một phần giấy tờ tùy thân làm yếu tố xác thực tài khoản, trừ trường hợp pháp luật có quy định khác. Nếu vẫn duy trì yêu cầu này sau ngày 1/1/2026, Zalo có thể đối mặt với rủi ro vi phạm trực tiếp điều cấm của luật.
Lạm dụng vị thế thống lĩnh, xâm phạm quyền lợi người tiêu dùng?
Theo Tiến sĩ Luật Ngô Ngọc Diễm, việc Zalo triển khai cập nhật điều khoản sát thời điểm Luật Bảo vệ dữ liệu cá nhân 2025 có hiệu lực cho thấy dấu hiệu của chiến lược “chạy nước rút” pháp lý. Vị tiến sĩ phân tích, Điều 39 của Luật có quy định chuyển tiếp đối với các hoạt động xử lý dữ liệu đã được sự đồng ý trước đó. Tuy nhiên: “Sự đồng ý không thể đứng trên các hành vi bị cấm của luật. Khi luật đã cấm mạng xã hội thu thập ảnh giấy tờ tùy thân, thì dù có sự đồng ý trước đó, doanh nghiệp vẫn phải điều chỉnh hoạt động xử lý dữ liệu cho phù hợp.”
Ở góc độ cạnh tranh, Tiến sĩ Ngô Ngọc Diễm cho rằng, Zalo đang nắm giữ vị thế thống lĩnh thị trường theo Luật Cạnh tranh 2018. Việc áp đặt điều khoản bất lợi, buộc người dùng “đánh đổi quyền riêng tư để được tiếp tục sử dụng dịch vụ”, có thể bị xem xét dưới góc độ lạm dụng vị thế thống lĩnh, xâm phạm quyền lợi người tiêu dùng.
Luật Bảo vệ dữ liệu cá nhân 2025 thiết lập khung chế tài rất nghiêm khắc, phạt tới 5% tổng doanh thu năm liền kề đối với vi phạm chuyển dữ liệu cá nhân xuyên biên giới; Phạt tối đa gấp 10 lần khoản thu lợi bất chính nếu kinh doanh, mua bán dữ liệu trái phép; Các vi phạm khác có thể bị phạt tiền tới 3 tỷ đồng đối với tổ chức, chưa kể trách nhiệm hình sự nếu đủ yếu tố cấu thành tội phạm.
Tiến sĩ Ngô Ngọc Diễm kết luận, Zalo có quyền thu thập dữ liệu để vận hành dịch vụ, nhưng không có quyền toàn năng đối với dữ liệu cá nhân của người dùng. Trong bối cảnh pháp luật Việt Nam đang tiệm cận các chuẩn mực quốc tế về bảo vệ dữ liệu, mọi hành vi thu thập, xử lý, lưu trữ thông tin cá nhân đều phải dựa trên ba trụ cột: minh bạch, tối thiểu và tự nguyện.
Với vị thế là “hạ tầng số” của hàng chục triệu người, Zalo càng phải tuân thủ chuẩn mực pháp lý cao hơn mức tối thiểu, nếu không muốn rủi ro pháp lý trở thành cái giá phải trả cho sự thiếu thận trọng trong quản trị dữ liệu cá nhân.
Luật Bảo vệ dữ liệu cá nhân đã được Quốc hội thông qua ngày 25/6/2025, có hiệu lực từ ngày 1/1/2026 quy định, việc xử phạt theo doanh thu đối với một số hành vi đặc biệt nghiêm trọng trong hoạt động xử lý dữ liệu cá nhân, vi phạm quy định bảo vệ dữ liệu cá nhân.
Mức phạt tối đa đến 5% doanh thu năm liền kề đối với vi phạm chuyển dữ liệu cá nhân xuyên biên giới; phạt tối đa gấp 10 lần khoản thu lợi bất chính nếu kinh doanh, mua bán dữ liệu trái phép. Các vi phạm khác có thể bị phạt tiền tới 3 tỷ đồng đối với tổ chức, chưa kể trách nhiệm hình sự nếu đủ yếu tố cấu thành tội phạm.
