Lùm xùm Zalo vi phạm: Thông tin của người 'cập nhật điều khoản mới' có bị lộ?

Ứng dụng nhắn tin Zalo - một trong những nền tảng số phổ biến nhất Việt Nam, vừa bị Ủy ban Cạnh tranh Quốc gia (Bộ Công Thương) xử phạt 810 triệu đồng vì vi phạm pháp luật bảo vệ quyền lợi người tiêu dùng liên quan đến thu thập và sử dụng dữ liệu cá nhân.

Cụ thể, cơ quan quản lý xác định Zalo không thiết lập được cơ chế để người dùng chọn phạm vi thông tin đồng ý cung cấp, đồng thời thiếu tùy chọn cho phép hoặc từ chối việc sử dụng dữ liệu cá nhân cho mục đích quảng cáo hay thương mại. Đây là những yêu cầu bắt buộc đối với các nền tảng số theo quy định hiện hành.

Hồi chuông cảnh báo

Trả lời PV Dân Việt về vấn đề này, luật sư Diệp Năng Bình - Trưởng văn phòng Luật sư Tinh Thông Luật, Đoàn Luật sư TPHCM - cho biết, vụ việc Zalo bị Ủy ban Cạnh tranh Quốc gia xử phạt 810 triệu đồng không chỉ là câu chuyện cạnh tranh mà còn gióng lên hồi chuông về trách nhiệm bảo vệ dữ liệu cá nhân trong thời đại kinh tế số.

Theo luật sư Bình, quyền của người dùng hiện nay đã được luật hóa khá rõ ràng, chứ không phải chỉ là “hứa bảo vệ cho có”.

Theo Điều 4 và Điều 9 Luật Bảo vệ dữ liệu cá nhân 2025, mọi cá nhân đều có quyền được thông báo, được biết rõ ai đang thu thập dữ liệu của mình, thu thập để làm gì, và có quyền nói “không” nếu không đồng ý. Người dùng cũng có quyền rút lại sự đồng ý bất cứ lúc nào, hoặc yêu cầu xóa, chỉnh sửa, hạn chế xử lý dữ liệu nếu thấy bị xâm phạm.

Nếu doanh nghiệp sử dụng dữ liệu trái mục đích căn cứ vào Điều 23 của Luật này cho phép người dùng khiếu nại, tố cáo hoặc khởi kiện ra tòa để đòi bồi thường. Song song đó thì theo Điều 27 Luật Cạnh tranh 2018 còn coi việc lợi dụng vị thế thị trường để ép người tiêu dùng chia sẻ dữ liệu cá nhân là hành vi bị cấm.

"Nói một cách dễ hiểu, quyền của người dùng giờ không còn là “quyền đạo đức nữa”, mà đã là “quyền có chế tài”, nếu dám xâm phạm là phải chịu trách nhiệm", luật sư Bình nhấn mạnh.

Phía VNG - công ty chủ quản của Zalo - cho biết sẽ chủ động phối hợp với cơ quan quản lý để rà soát lại toàn bộ chính sách.

Trước câu hỏi liệu doanh nghiệp đưa cam kết này có đủ để khôi phục niềm tin người dùng, hay cần thêm cơ chế giám sát độc lập và chế tài cụ thể hơn, luật sư Bình cho rằng cam kết là điều nên làm, nhưng chỉ hứa suông thì không tin được.

"Luật quy định rất rõ tại Điều 31 và Điều 33 Nghị định 356/2025/NĐ-CP bắt buộc các nền tảng như Zalo phải kiểm toán dữ liệu định kỳ, báo cáo kết quả cho cơ quan quản lý, và chịu giám sát ngẫu nhiên. Nếu tái phạm, mức phạt có thể lên đến 5% doanh thu từ hành vi vi phạm hoặc bị đình hoạt động hệ thống xử lý dữ liệu", luật sư Bình nêu.

Nói thẳng ra, nếu muốn khôi phục niềm tin xã hội doanh nghiệp phải “mở cửa” để được soi. Rà soát nội bộ là chưa đủ và phải có bàn tay giám sát độc lập từ bên thứ ba. Họ cần công khai kết quả kiểm toán dữ liệu, minh bạch quy trình xin - rút - xóa dữ liệu người dùng. Chỉ khi nào doanh nghiệp coi việc minh bạch thông tin như điều kiện sống còn, còn cơ quan quản lý kiểm tra thực sự chứ không trên giấy, thì có thể người dùng mới tin tưởng trở lại".

Dữ liệu người dùng không phải “mỏ vàng vô chủ”

Cũng theo luật sư Bình, vụ của Zalo là một cú cảnh tỉnh. Với doanh nghiệp công nghệ, thông điệp rất rõ rằng dữ liệu người dùng không phải “mỏ vàng vô chủ”, mà là tài sản pháp lý được Hiến pháp và luật bảo vệ. Bất kỳ hành vi thu thập, phân tích hay chia sẻ nào cũng phải có sự đồng thuận rõ ràng của người dùng.

"Quyền riêng tư bây giờ không còn là khái niệm mơ hồ, mà là ranh giới đỏ. Doanh nghiệp nào vượt rào, sớm muộn cũng phải trả giá, không chỉ bằng tiền phạt, mà bằng cả uy tín", ông Bình nói.

Ngoài ra với người dùng, luật sư Bình cũng thẳng thắn: Bài học là đừng bấm “đồng ý” cho nhanh nữa. Một cú click có thể khiến dữ liệu của bạn được chia sẻ cho hàng chục bên thứ ba mà không hay. Hãy chủ động đọc kỹ chính sách, giới hạn quyền truy cập, và biết yêu cầu xóa hoặc rút lại dữ liệu. Nếu ai cũng hiểu và sử dụng hết các quyền mà luật đã trao, các doanh nghiệp sẽ phải “tỉnh” lại ngay.

"Tôi nghĩ rằng nền kinh tế số chỉ thật sự bền vững khi cả hai phía cùng thay đổi tư duy: doanh nghiệp đặt minh bạch và trách nhiệm lên trước lợi nhuận, còn người dùng coi quyền riêng tư là quyền cơ bản cần được bảo vệ. Khi dữ liệu được tôn trọng giống như tài sản, công nghệ mới thật sự phục vụ con người chứ không kiểm soát con người", luật sư Bình nói thêm.

Trong khi đó, chuyên gia công nghệ Dương Ngô Anh chia sẻ về việc những người dùng đã phải cập nhật điều khoản dịch vụ mới của Zalo để tiếp tục sử dụng ứng dụng. Theo ông Ngô Anh, điều quan trọng trước hết là chủ động kiểm soát lại dữ liệu cá nhân của mình.

"Người dùng cần rà soát kỹ các thiết lập quyền riêng tư, giới hạn tối đa những quyền truy cập không cần thiết như danh bạ, vị trí, micro, camera hay lịch sử hoạt động, đồng thời tránh chia sẻ thông tin nhạy cảm qua nền tảng số", vị chuyên gia công nghệ cho biết.

Người dùng cũng hoàn toàn có quyền yêu cầu Zalo cung cấp thông tin về dữ liệu cá nhân đang được lưu giữ, yêu cầu hạn chế hoặc chấm dứt việc sử dụng cho mục đích thương mại, thậm chí yêu cầu xóa dữ liệu theo quy định. Việc chủ động thực hiện các quyền này không chỉ để bảo vệ bản thân, mà còn góp phần buộc các nền tảng số phải tuân thủ nghiêm túc chuẩn mực bảo vệ dữ liệu cá nhân.

Ông Ngô Anh nêu, rủi ro lớn nhất không nằm ở việc người dùng “đã bấm đồng ý”, mà ở cách dữ liệu được lưu trữ, xử lý và chia sẻ phía sau hệ thống. Khi một nền tảng có lượng người dùng lớn, chỉ cần một lỗ hổng nhỏ trong thiết kế hệ thống, phân quyền truy cập hoặc quản lý đối tác thứ ba cũng có thể dẫn tới nguy cơ lộ lọt dữ liệu trên diện rộng.

"Người dùng cần coi dữ liệu cá nhân như một loại “tài sản số”. Ngoài việc kiểm soát quyền truy cập trong ứng dụng, người dùng nên tách bạch tài khoản, hạn chế dùng một số điện thoại hay email cho quá nhiều dịch vụ, đồng thời bật các lớp bảo mật bổ sung như xác thực hai yếu tố để giảm thiểu rủi ro bị khai thác chéo dữ liệu", ông Ngô Anh khuyến nghị.

---

Link nguồn: https://danviet.vn/zalo-bi-xu-phat-nguoi-dung-tung-cap-nhat-dieu-khoan-moi-co-the-yen-tam-ve-du-lieu-ca-nhan-d1397605.html?