Trong những ngày qua, nhiều người dùng Zalo nhận được thông báo cập nhật điều khoản sử dụng, liên quan đến dữ liệu cá nhân. Điểm đáng chú ý, người dùng chỉ có lựa chọn "đồng ý tất cả", không thể chọn lọc từng phần. Nếu từ chối, tài khoản sẽ bị xóa sau 45 ngày.
Động thái của Zalo khiến người dùng rơi vào cảnh tiến thoái lưỡng nan và dấy lên làn sóng bình luận mạnh mẽ trên mạng xã hội.
Vấn đề đặt ra không chỉ là quyền riêng tư của hàng triệu người dân, mà còn là trách nhiệm pháp lý của doanh nghiệp công nghệ trong việc tuân thủ các quy định hiện hành.
Dưới góc độ pháp lý, VietTimes đã có cuộc trò chuyện với Luật sư Trần Xuân Tiền, Trưởng Văn phòng Luật sư Đồng Đội, Đoàn Luật sư TP Hà Nội.
- Thưa luật sư, ông đánh giá thế nào về việc Zalo yêu cầu người dùng xác thực tài khoản và cập nhật điều khoản sử dụng liên quan đến dữ liệu cá nhân thời gian gần đây
- Việc một nền tảng số như Zalo yêu cầu người dùng xác thực tài khoản và cập nhật điều khoản sử dụng, về nguyên tắc, không phải là hành vi trái pháp luật. Trong bối cảnh gia tăng các hành vi lừa đảo, giả mạo, việc xác thực danh tính có thể góp phần nâng cao an toàn cho hệ sinh thái số.
Tuy nhiên, vấn đề pháp lý cốt lõi không nằm ở việc “có được thu thập dữ liệu hay không”, mà nằm ở phạm vi dữ liệu được thu thập, mục đích sử dụng, cách thức xử lý và mức độ tự nguyện của người dùng khi chấp thuận. Nếu các yếu tố này không được bảo đảm minh bạch, cân xứng và cần thiết, thì rủi ro vi phạm pháp luật là hoàn toàn có thể phát sinh.
- Dưới góc độ Luật An ninh mạng và các quy định hiện hành về bảo vệ dữ liệu cá nhân, việc thu thập và xử lý dữ liệu người dùng cần tuân thủ những nguyên tắc pháp lý nào?
- Theo Luật An ninh mạng, việc thu thập và xử lý dữ liệu cá nhân phải tuân thủ một số nguyên tắc cơ bản, bao gồm: Điều 4 của Luật an ninh mạng và Điều 3 của Luật Bảo vệ dữ liệu cá nhân 2025, những nguyên tắc này có thể được tóm tắt ngắn gọn bằng các từ khóa pháp lý cốt lõi sau:
Nguyên tắc hợp pháp: Mọi hoạt động xử lý dữ liệu phải tuân thủ tuyệt đối Hiến pháp và pháp luật.
Nguyên tắc đúng mục đích: Chỉ được thu thập và xử lý trong phạm vi, mục đích cụ thể, rõ ràng đã xác định từ đầu.
Nguyên tắc chính xác & giới hạn lưu trữ: Dữ liệu phải đảm bảo chính xác, được cập nhật và chỉ lưu trữ trong thời gian cần thiết phù hợp với mục đích.
Nguyên tắc bảo mật: Phải áp dụng đồng bộ các biện pháp bảo vệ về cả 3 mặt: thể chế, kỹ thuật và con người.
Nguyên tắc chủ động phòng ngừa: Phải chủ động phát hiện, ngăn chặn và xử lý nghiêm minh các vi phạm.
Nguyên tắc hài hòa lợi ích: Phải cân bằng giữa việc bảo vệ dữ liệu cá nhân với an ninh quốc gia và quyền lợi hợp pháp của các tổ chức, cá nhân khác.
- Luật Bảo vệ dữ liệu cá nhân 2025 (có hiệu lực từ 1/1/2026) nhấn mạnh nguyên tắc “sự đồng ý phải tự nguyện, minh bạch”. Ông nhìn nhận thế nào về việc Zalo yêu cầu cung cấp CCCD kèm điều kiện xóa tài khoản sau 45 ngày nếu người dùng không chấp thuận?
- Luật Bảo vệ dữ liệu cá nhân 2025 nhấn mạnh nguyên tắc “sự đồng ý phải tự nguyện, minh bạch và có thể rút lại”. Trong bối cảnh đó, việc đặt ra lựa chọn “cung cấp CCCD hoặc bị xóa tài khoản” cần được xem xét rất thận trọng.
Nếu CCCD không phải là dữ liệu thực sự cần thiết cho việc cung cấp dịch vụ, thì việc gắn điều kiện xóa tài khoản có thể bị coi là tạo áp lực, làm suy giảm tính tự nguyện của sự đồng ý. Đây là điểm có nguy cơ xung đột với tinh thần bảo vệ quyền riêng tư mà luật mới hướng tới.
- Trong trường hợp người dùng vì lo sợ mất kênh liên lạc nên buộc phải đồng ý cung cấp dữ liệu, theo ông, sự đồng ý này có đủ giá trị pháp lý và có thể được tòa án chấp nhận nếu phát sinh tranh chấp hay không?
- Nếu người dùng đồng ý cung cấp dữ liệu chỉ vì lo sợ mất kênh liên lạc, ảnh hưởng đến công việc, đời sống, thì sự đồng ý này có thể bị xem là không hoàn toàn tự nguyện. Trong trường hợp phát sinh tranh chấp, tòa án có khả năng xem xét bản chất của sự đồng ý, chứ không chỉ dựa vào việc người dùng đã “bấm chấp thuận”. Nếu chứng minh được yếu tố ép buộc thực tế, sự đồng ý đó hoàn toàn có thể bị tuyên là không có giá trị pháp lý.
- Nhiều người dùng lo ngại nguy cơ lộ lọt hoặc bị lạm dụng dữ liệu cá nhân. Theo ông, rủi ro lớn nhất trong các trường hợp thu thập dữ liệu quy mô lớn hiện nay nằm ở đâu?
- Chuyên gia an ninh mạng Ngô Minh Hiếu đã nói: Không có dịch vụ nào an toàn tuyệt đối. Vậy nên đối với việc thu thập dữ liệu quy mô lớn, nguy cơ lớn nhất là rủi ro rò rỉ dữ liệu cá nhân, gây ảnh hưởng đến quyền riêng tư và an toàn của hàng triệu người dùng. Không chỉ Zalo mà các nền tảng khác như Youtube, Tiktok, Facebook đều đang khai thác dữ liệu của người dùng. Vậy nên các doanh nghiệp cần cam kết minh bạch về trách nhiệm của bản thân nếu xảy ra rủi ro về thông tin gây thiệt hại cho người dùng.
- Nhiều ý kiến cho rằng việc Zalo “chạy nước rút” thu thập dữ liệu trước thời điểm Luật Bảo vệ dữ liệu cá nhân có hiệu lực để tận dụng kẽ hở của các quy định chuyển tiếp. Ông nhìn nhận vấn đề này ra sao?
- Điều 39 của Luật Bảo vệ dữ liệu cá nhân 2025 có quy định chuyển tiếp: các hoạt động xử lý dữ liệu đã có sự đồng ý trước khi luật có hiệu lực thì không phải xin phép lại.
Việc triển khai cập nhật vào cuối năm 2025 có thể được hiểu là nỗ lực của doanh nghiệp nhằm “hợp thức hóa” kho dữ liệu hiện có theo khuôn khổ pháp lý cũ, vốn có tiêu chuẩn về sự đồng ý linh hoạt hơn.
Tuy nhiên, cần nhấn mạnh rằng sự đồng ý chỉ là một phần. Khi luật mới có hiệu lực, các hành vi bị cấm sẽ áp dụng cho tất cả. Nếu pháp luật xác định việc yêu cầu ảnh CCCD là hành vi bị cấm đối với mạng xã hội, thì dù doanh nghiệp đã có sự đồng ý từ trước, vẫn buộc phải điều chỉnh cách thức vận hành. Sự đồng ý không thể đứng trên điều cấm của luật pháp.
Tuy nhiên, tôi cần nhấn mạnh: Sự đồng ý chỉ là một phần. Khi Luật Bảo vệ dữ liệu cá nhân 2025 có hiệu lực, các "hành vi bị cấm" sẽ áp dụng cho tất cả. Nếu việc yêu cầu ảnh CCCD là hành vi bị cấm đối với mạng xã hội theo Điều 29, thì dù doanh nghiệp có giữ trong tay sự đồng ý của người dùng từ trước đó, họ vẫn phải điều chỉnh cách thức vận hành để phù hợp với Luật. "Sự đồng ý" không thể đứng trên "Điều cấm" của luật pháp.
- Về mặt pháp lý, trách nhiệm của doanh nghiệp được xác định ra sao nếu xảy ra rủi ro?
- Doanh nghiệp là chủ thể quyết định mục đích và phương thức xử lý dữ liệu, vì vậy phải chịu trách nhiệm chính nếu xảy ra rủi ro. Trách nhiệm này bao gồm trách nhiệm hành chính, trách nhiệm dân sự bồi thường thiệt hại cho người dùng và trách nhiệm khắc phục hậu quả. Doanh nghiệp có thể viện dẫn lý do lỗi kỹ thuật hay bị tấn công mạng nhưng cần chứng minh được bản thân đã áp dụng đầy đủ, kịp thời các biện pháp bảo mật cần thiết
- Nếu việc thu thập hoặc sử dụng dữ liệu cá nhân bị xác định là trái quy định, doanh nghiệp có thể đối mặt với những chế tài pháp lý nào?
- Nếu việc thu thập hoặc sử dụng dữ liệu cá nhân bị xác định là trái pháp luật, doanh nghiệp có thể đối mặt với các chế tài như: phạt tiền, đình chỉ hoạt động, buộc xóa dữ liệu đã thu thập trái phép, thậm chí bồi thường thiệt hại dân sự. Trong trường hợp hành vi có tính chất nghiêm trọng, cố ý, gây hậu quả lớn hoặc thu lợi bất chính, hoàn toàn có khả năng phát sinh trách nhiệm hình sự đối với cá nhân có liên quan theo các tội danh về xâm phạm quyền riêng tư, an toàn thông tin
- Người dùng có những quyền gì để kiểm soát dữ liệu cá nhân của mình và có thể khiếu nại, yêu cầu xử lý theo cơ chế pháp lý nào nếu cho rằng dữ liệu bị thu thập hoặc sử dụng trái phép?
- Người dùng có quyền được biết, quyền đồng ý hoặc từ chối, quyền truy cập, chỉnh sửa, xóa dữ liệu, quyền hạn chế xử lý và quyền rút lại sự đồng ý đối với dữ liệu cá nhân của mình.
Khi cho rằng dữ liệu bị thu thập hoặc sử dụng trái phép, người dùng có thể khiếu nại đến doanh nghiệp, cơ quan quản lý Nhà nước có thẩm quyền, yêu cầu bồi thường thiệt hại hoặc khởi kiện ra tòa án để bảo vệ quyền và lợi ích hợp pháp của mình.
- Luật sư có lời khuyên nào cho người dùng Zalo hiện nay?
- Người dùng nên tỉnh táo. Hãy đọc kỹ các điều khoản về việc dữ liệu của bạn sẽ được dùng vào mục đích gì, có chia sẻ cho bên thứ ba không. Nếu cảm thấy quyền lợi bị xâm phạm, người dùng có quyền khiếu nại lên các cơ quan chức năng hoặc kiến nghị thông qua các tổ chức bảo vệ người tiêu dùng.
Về phía doanh nghiệp, việc bảo mật dữ liệu là cần thiết, nhưng cần được thực hiện bằng các giải pháp công nghệ tiên tiến và tuân thủ nguyên tắc tối thiểu hóa của pháp luật. Thay vì ép buộc, doanh nghiệp nên tạo ra cơ chế để người dùng tin tưởng và tự nguyện chia sẻ thông tin.
Xin cảm ơn ông!
