Thời gian qua, việc Zalo cập nhật điều khoản sử dụng làm dấy lên tranh luận về phạm vi dữ liệu cá nhân mà nền tảng có thể thu thập. Tâm điểm nằm ở nhóm dữ liệu nhạy cảm, khi điều khoản nhắc tới “thông tin liên quan tới thanh toán”. Dù câu chuyện đã lắng xuống phần nào, câu hỏi về minh bạch và an toàn dữ liệu vẫn chưa có lời giải.
Người dùng có toàn quyền với dữ liệu cá nhân
Ông Hoàng Hà, chuyên gia bảo mật dữ liệu, hiện là Founder & CEO Data Protectify, cho rằng tranh luận về điều khoản dữ liệu cần nhìn từ nguyên tắc "thu thập đúng phạm vi, đúng mục đích". Theo ông, trọng tâm không chỉ là thu thập bao nhiêu, mà là nền tảng có minh bạch và giải trình được việc thu thập đó hay không. Mục đích xử lý càng mơ hồ, khoảng trống niềm tin càng lớn.
Từ góc độ người dùng, ông Hoàng Hà cho rằng trước khi nền tảng thu thập dữ liệu, người dùng có quyền đồng ý hoặc từ chối nếu thấy mục đích sử dụng chưa hợp lý hoặc không đúng kỳ vọng. Kể cả khi dữ liệu đã được thu thập, người dùng vẫn có thể rút lại sự đồng ý hoặc yêu cầu hạn chế việc xử lý theo quy định. Cơ chế này buộc doanh nghiệp phải nói rõ họ thu thập dữ liệu gì và dùng để làm gì.
Ông Hoàng Hà phân loại dữ liệu người dùng trên nền tảng số thành ba nhóm.
Thứ nhất là thông tin người dùng tự cung cấp khi đăng ký tài khoản hoặc trong quá trình sử dụng.
Thứ hai là dữ liệu phát sinh khi tương tác với nền tảng như lịch sử truy cập, địa chỉ IP, hành vi sử dụng hoặc thông tin giao dịch.
Nhóm thứ ba là dữ liệu thể hiện mối liên hệ của người dùng với người khác trên cùng nền tảng.
Trong ba nhóm đó, ông cho rằng dữ liệu phát sinh trong quá trình sử dụng đáng chú ý nhất vì phụ thuộc vào thiết kế tính năng và cơ chế thu thập của doanh nghiệp.
Người dùng thường khó chịu không chỉ vì chữ "thu thập", mà vì không rõ dữ liệu nào bắt buộc, dữ liệu nào có thể lựa chọn và ai được quyền truy cập.
Ở góc nhìn an ninh mạng, chuyên gia Ngô Minh Hiếu (Hiếu PC) cho rằng việc ứng dụng đề cập khả năng thu thập dữ liệu liên quan tới thanh toán là điều thường gặp, nhất là khi có tính năng phát sinh giao dịch.
Theo ông, đưa nội dung này vào điều khoản có thể cần thiết để vận hành dịch vụ. Tuy nhiên, nếu nền tảng bảo mật yếu và để xảy ra rò rỉ, doanh nghiệp có thể đối mặt chế tài theo quy định, tùy mức độ vi phạm.
Nền tảng phải minh bạch với thông tin thanh toán của người dùng
Dù "thông tin liên quan tới thanh toán" thường được hiểu là chỉ phát sinh khi người dùng sử dụng tính năng có giao dịch, mối lo vẫn nằm ở độ an toàn của dữ liệu tài chính.
Những thông tin gắn với thẻ, ví điện tử hay lịch sử giao dịch khiến người dùng cảnh giác vì chỉ cần lộ một phần cũng có thể mở đường cho gian lận, lừa đảo. Với nhiều người, đây là vùng dữ liệu nhạy cảm.
Theo chuyên gia Hoàng Hà, cụm "thông tin liên quan tới thanh toán" không có một định nghĩa cố định, nên tùy vào cách mỗi dịch vụ vận hành mà phạm vi có thể khác nhau. Tuy vậy, nhóm dữ liệu gần với thanh toán thường gắn với thông tin thẻ, lịch sử giao dịch và các dữ liệu tài chính, tín dụng. Đây là loại dữ liệu nếu bị khai thác trái phép có thể gây hậu quả nghiêm trọng.
Ông Hoàng Hà cho rằng rủi ro lớn nhất không nằm ở việc điều khoản có nhắc đến thanh toán, mà ở chỗ nền tảng thu thập cụ thể những gì và kiểm soát ra sao.
Với dữ liệu nhạy cảm, nền tảng cần nói rõ thu thập đến mức nào, dùng vào mục đích gì, lưu trong bao lâu và những bộ phận nào được quyền truy cập. Khi các câu hỏi này không rõ ràng, người dùng khó biết mình đang "đồng ý" với điều gì.
Đáng chú ý, theo ông Hoàng Hà, việc người dùng trả phí cũng không đồng nghĩa được đặc quyền về quyền riêng tư. Ông cho rằng các quyền dữ liệu cơ bản phải áp dụng như nhau cho mọi tài khoản, từ miễn phí đến Business, Pro hay Premium. Nếu có khác biệt, thường chỉ là thêm tiện ích hoặc cải thiện trải nghiệm, chứ không phải tự động hạn chế thu thập hay chia sẻ dữ liệu.
Chuyên gia cho rằng nền tảng cần có các biện pháp tối thiểu để bảo vệ dữ liệu, gồm cả công nghệ và quy trình vận hành. Dữ liệu cần được mã hóa, quyền truy cập phân theo vai trò và có hệ thống theo dõi để phát hiện truy cập bất thường.
Nếu xảy ra rò rỉ, doanh nghiệp có thể chịu trách nhiệm theo quy định, mất niềm tin người dùng và tốn chi phí lớn để điều tra, khắc phục, hỗ trợ người bị ảnh hưởng.
Với người dùng, ông khuyến nghị đọc kỹ nền tảng thu thập gì và dùng vào việc gì, hạn chế chia sẻ thông tin tài chính trong hội thoại. Đồng thời cần cảnh giác khi thấy đăng nhập lạ, yêu cầu cung cấp thông tin bất thường hoặc các đường link đáng ngờ. Những thao tác đơn giản này giúp giảm rủi ro trong phạm vi người dùng có thể tự kiểm soát.
