Zalo có vi phạm luật không?

Luật Bảo vệ dữ liệu cá nhân 2025 đưa ra nhiều quy định cụ thể về quyền của chủ thể dữ liệu cá nhân (người dùng - PV) song song với quyền, trách nhiệm của các tổ chức, doanh nghiệp thu thập và xử lý dữ liệu cá nhân. Theo đó, dữ liệu cá nhân được thu thập phải được sự đồng ý của người dùng trước khi thu thập. Đối với dịch vụ mạng xã hội, dịch vụ truyền thông trực tuyến có trách nhiệm thông báo rõ ràng nội dung dữ liệu cá nhân thu thập; không được yêu cầu cung cấp hình ảnh, video chứa nội dung đầy đủ hoặc một phần giấy tờ tùy thân làm yếu tố xác thực tài khoản…

Zalo thông báo điều khoản sử dụng dịch vụ mới trước ngày luật Bảo vệ dữ liệu cá nhân 2025 có hiệu lực Ảnh: M.P

Bất ngờ ngay trước thềm luật có hiệu lực, Zalo - mạng xã hội có đông người sử dụng nhất VN - hiển thị thông báo cập nhật các điều khoản sử dụng dịch vụ khiến nhiều người dùng băn khoăn. Trong đó, không ít bày tỏ nghi ngại vì điều khoản mới có liên quan đến quyền tự chủ đối với dữ liệu cá nhân nhưng nếu không bấm đồng ý, người dùng sẽ không thể tiếp tục sử dụng ứng dụng Zalo.

Chẳng hạn, tại điều "Thu thập, bảo vệ và sử dụng thông tin người dùng", khi người dùng đăng nhập tài khoản Zalo đồng nghĩa họ cho phép, chấp thuận để VNG (đơn vị phát hành ứng dụng) có quyền sử dụng những biện pháp kỹ thuật cho mục đích thu thập và xử lý các dữ liệu liên quan đến tài khoản của người dùng. Dữ liệu cá nhân cơ bản do người dùng cung cấp nhằm định danh bao gồm số điện thoại, căn cước công dân, họ tên, tuổi, giới tính, mối quan hệ gia đình, thư điện tử (email), hình ảnh cá nhân. Hay thông báo nêu quy định VNG tiếp nhận và chia sẻ, chuyển giao dữ liệu cá nhân người dùng với công ty thành viên, công ty liên kết của VNG cũng khiến nhiều người dùng lo ngại thông tin cá nhân có khả năng bị lọt ra ngoài...

Theo ông Võ Đỗ Thắng - Giám đốc Trung tâm đào tạo an ninh mạng Athena, Zalo yêu cầu được quyền tiếp cận, được quyền xử lý các dữ liệu cá nhân người dùng nhưng thông báo mới không nói rõ quyền lợi khi người dân đồng ý cho phép cung cấp, sử dụng dữ liệu cá nhân của mình hay những giá trị mà Zalo mang lại. Nếu xảy ra trường hợp dữ liệu bị rò rỉ ra ngoài, gây thiệt hại cho người dùng thì Zalo đền bù như thế nào? Chính điều này khiến người dùng ứng dụng lo lắng. Vì thế, Zalo cần ghi rõ nghĩa vụ và quyền lợi của người dùng, đồng thời cũng phải ghi rõ trách nhiệm đền bù, nếu dữ liệu bị rò rỉ. Chưa kể sau ngày 1.1.2026, những dữ liệu cá nhân mà Zalo thu thập được của người dùng cũ trước đó sẽ được công ty lưu trữ và sử dụng như thế nào? Và liệu sẽ có sự khác biệt về mặt quyền lợi giữa người "đồng ý" trước ngày 1.1.2026 với những người dùng sau hay không? Bên cạnh đó, nếu Zalo muốn thay đổi thì cũng cần phải thông báo trước ít nhất 30 ngày để người dùng có sự chuẩn bị. Đây là những điều mà ứng dụng mạng xã hội này cần phải thông tin minh bạch hơn để người sử dụng biết rõ.

Chuyên gia an ninh mạng Nguyễn Văn Thứ thì hiểu thông báo của Zalo là cập nhật lại theo tinh thần nội dung của luật Bảo vệ dữ liệu cá nhân 2025 sắp có hiệu lực. Từ trước đến nay, nhiều mạng xã hội cũng như nhiều ứng dụng khác đều yêu cầu người dùng khi đăng ký sử dụng phải đồng ý với những điều kiện, thỏa thuận mà doanh nghiệp đưa ra. Trước đây, nhiều người không để ý, không đọc hết, đọc kỹ mà cứ tự động đồng ý hoặc có khi bỏ qua điều khoản liên quan đến dữ liệu cá nhân và các doanh nghiệp cũng "lơ" không quy định rõ, không bắt buộc người dùng phải chọn đồng ý. Thế nhưng khi luật Bảo vệ dữ liệu cá nhân 2025 có hiệu lực thì bắt buộc khi người dùng đồng ý, các doanh nghiệp mới có thể thu thập thông tin cá nhân người dùng để khởi tạo được tài khoản sử dụng. Hơn nữa, trong quá trình sử dụng ứng dụng, mạng xã hội kể từ năm 2026, nếu người dùng phát hiện dữ liệu cá nhân bị xử lý, sử dụng vì các mục đích khác với thông báo mà mình đã đồng ý thì có quyền yêu cầu Zalo nói riêng hay các doanh nghiệp khác phải xóa dữ liệu, thậm chí có quyền khởi kiện yêu cầu bồi thường khi quyền lợi bị ảnh hưởng.

Góp phần hạn chế lừa đảo

Một trong những quy định khác của luật Bảo vệ dữ liệu cá nhân 2025 được quan tâm là nêu rõ 7 hành vi bị nghiêm cấm liên quan đến dữ liệu cá nhân. Đó là sử dụng dữ liệu cá nhân của người khác để thực hiện hành vi trái quy định của pháp luật hay mua bán dữ liệu cá nhân… Trên thực tế thời gian qua, việc mua bán dữ liệu cá nhân khá tràn lan, công khai và đây là nguồn gốc của hàng loạt vụ lừa đảo diễn ra khắp nơi. Dữ liệu bị các đối tượng mua bán, trao đổi công khai trong thời gian dài, với số lượng lớn trên không gian mạng thông qua nhiều trang web, tài khoản, nhóm trên mạng xã hội Facebook, Zalo, Telegram, diễn đàn tin tặc… Đặc biệt, dữ liệu chứa thông tin rất chi tiết về cá nhân như: họ tên, ngày sinh, số căn cước công dân, địa chỉ, số điện thoại, số tài khoản ngân hàng (bao gồm cả số dư), thân nhân, chức vụ, vị trí công tác…

Ứng dụng mạng xã hội không được yêu cầu cung cấp hình ảnh, video chứa nội dung đầy đủ hoặc một phần giấy tờ tùy thân làm yếu tố xác thực tài khoản Ảnh: Ngọc Dương

Ông Ngô Minh Hiếu, Giám đốc dự án Chống lừa đảo, cũng cho rằng luật Bảo vệ dữ liệu cá nhân có hiệu lực từ ngày 1.1.2026 mặc dù chưa thể chấm dứt ngay tình trạng lừa đảo trực tuyến nở rộ trong thời gian qua nhưng sẽ góp phần làm thuyên giảm và tiến tới hạn chế từng bước. Ông phân tích: Luật này sẽ tạo ra khung pháp lý mạnh hơn cho việc bảo vệ dữ liệu cá nhân. Ví dụ như thiết lập quyền của cá nhân đối với dữ liệu riêng tư, cá nhân có quyền yêu cầu xóa dữ liệu khi không còn cần thiết nữa. Đồng thời, luật quy định chặt chẽ về việc thu thập dữ liệu, xử lý dữ liệu; các tổ chức, doanh nghiệp phải tôn trọng quy trình, tôn trọng quyền riêng tư của khách hàng, phải thường xuyên đánh giá bảo mật an toàn thông tin, an ninh mạng trên các hệ thống, các ứng dụng.

"Trường hợp hệ thống của tổ chức, doanh nghiệp bị tấn công thì phải thông báo ngay cho cơ quan chức năng nếu không muốn bị phạt. Một số trường hợp nhân viên, cán bộ của doanh nghiệp, tổ chức đem bán thông tin ra bên ngoài thì luật này cũng quy định rất rõ các biện pháp chế tài xử lý rõ ràng, có thể xử phạt đến mức hình sự, hoặc sẽ phạt hành chính rất nặng dựa trên doanh thu hằng năm. Thời gian vừa qua nở rộ tình trạng lừa đảo giả mạo shipper, điện lực hoặc mua hàng online… đều xuất phát từ dữ liệu lộ lọt, rồi nạn nhân mất tiền hoặc bị dẫn dụ vào những đường link, tải ứng dụng giả mạo để cướp sạch tài khoản, gây hậu quả nghiêm trọng. Với việc siết chặt các rào cản pháp lý, tình trạng lộ lọt thông tin mặc dù không thể ngăn chặn triệt để nhưng đây là cơ sở rất tốt để phòng chống, ngăn ngừa lừa đảo trực tuyến", ông Ngô Minh Hiếu đúc kết.

Chuyên gia Nguyễn Văn Thứ cũng đồng tình trước đây khi chưa có luật, bất kỳ công ty nào cũng thu thập thông tin khách hàng và sử dụng, chia sẻ tràn lan, gây nhiều hệ lụy cho cá nhân và cả xã hội. Vì vậy, khi luật chính thức được áp dụng thì vấn đề này theo thời gian sẽ giảm đi, đồng thời nhận thức của người dân lẫn doanh nghiệp trong việc bảo vệ dữ liệu cá nhân sẽ được gia tăng. Người dân sẽ gia tăng bảo vệ chính mình khi chia sẻ thông tin cá nhân trên không gian mạng. Khi mọi người đều có ý thức bảo vệ thì sẽ góp phần hạn chế tình trạng chia sẻ thông tin công khai trên mạng cũng như kịp thời phát hiện các hành vi đánh cắp, mua bán dữ liệu cá nhân để báo cáo cơ quan quản lý nhà nước xử lý kịp thời. Từ đó sẽ làm hạn chế nạn mua bán thông tin cá nhân, góp phần làm giảm tình trạng lừa đảo.

Người dùng có quyền yêu cầu xóa dữ liệu, yêu cầu bồi thường

Luật Bảo vệ dữ liệu cá nhân 2025 nêu rõ hàng loạt quyền của người dùng trong vấn đề liên quan về dữ liệu cá nhân. Trong đó, người dùng có quyền yêu cầu chỉnh sửa hoặc xóa dữ liệu trong trường hợp dữ liệu không còn cần thiết cho mục đích thu thập ban đầu; rút lại đồng ý cho phép xử lý dữ liệu cá nhân trước đó; khiếu nại, khởi kiện và yêu cầu bồi thường thiệt hại… Ví dụ trước đây người dùng đã đồng ý cho phép doanh nghiệp sử dụng thông tin cá nhân như số điện thoại, địa chỉ khi đăng ký dịch vụ. Sau đó người dùng không sử dụng dịch vụ thì các dữ liệu này vẫn bị doanh nghiệp lưu trữ, sử dụng để quảng cáo tiếp thị. Từ nay, người dùng có thể yêu cầu doanh nghiệp xóa thông tin cá nhân của mình.

Đáng chú ý, luật cũng cụ thể hóa phân loại dữ liệu cá nhân thông thường và dữ liệu cá nhân nhạy cảm. Theo đó, dữ liệu cá nhân nhạy cảm bao gồm các thông tin như tình trạng sức khỏe, tài chính, dữ liệu sinh trắc học, đời sống riêng tư, quan điểm chính trị... và việc xử lý loại dữ liệu này phải tuân thủ các yêu cầu bảo vệ nghiêm ngặt hơn.

Chuyên gia Ngô Minh Hiếu nhấn mạnh, luật mới sẽ có tác động đến hầu hết người dân vì thông tin, dữ liệu cá nhân ngày càng trở nên quan trọng, nhất là trong thời đại AI phát triển bùng nổ. Trong số những điều khoản quy định mới, người dùng có quyền xóa hoặc yêu cầu xóa dữ liệu cá nhân của mình. Người dân nên chú ý đến những quy định mới này để yêu cầu đơn vị, tổ chức quản lý dữ liệu xóa bỏ thông tin của mình khi không còn nhu cầu sử dụng nữa trong các lĩnh vực tài chính, viễn thông…

"Quy định này chắc chắn nhiều người đang gặp phiền phức khi liên tục bị chào mời mua bất động sản, chứng khoán hay hỏi cho vay mà không biết phải chấm dứt như thế nào. Khi luật có hiệu lực thì người dùng sẽ có căn cứ pháp lý để yêu cầu giải quyết", ông Ngô Minh Hiếu chia sẻ thêm.

Theo chuyên gia an ninh mạng Nguyễn Văn Thứ, các doanh nghiệp sẽ là đối tượng chịu tác động lớn nhất trong thời gian đầu khi luật được thực thi. Doanh nghiệp thu thập, lưu trữ thông tin cá nhân được xem là "kho" dữ liệu khổng lồ nên luôn là đích nhắm của hacker để tấn công đánh cắp dữ liệu nhằm sử dụng cho các hành vi, mục đích khác như lừa đảo, tấn công đánh cắp tài khoản, tiền… Vì vậy, để tuân thủ quy định, bảo vệ dữ liệu cá nhân khách hàng thì các doanh nghiệp bắt buộc sẽ phải xây dựng quy trình thu thập, xử lý và bảo vệ dữ liệu nội bộ. Song song đó, phải kèm theo giải pháp kỹ thuật như phần cứng, phần mềm ngăn chặn tình trạng sao chép để giảm thiểu nguy cơ

bị tấn công từ bên ngoài hay ngăn chặn việc nhân viên nội bộ đánh cắp dữ liệu và phát tán ra ngoài. Những điều đó sẽ khiến chi phí của doanh nghiệp có thể gia tăng. Tuy nhiên, điều này hoàn toàn tốt cho người dùng và bản thân doanh nghiệp cũng sẽ gia tăng bảo mật, an ninh mạng trong quá trình hoạt động. Về phía các cơ quan quản lý nhà nước cũng có đủ cơ sở để thực hiện kiểm tra, kiểm soát và thực hiện chế tài đối với các tổ chức, doanh nghiệp vi phạm nhằm bảo vệ người dùng tốt hơn.

Phạt tối đa đến 5% doanh thu năm liền kề đối với hành vi xâm phạm dữ liệu cá nhân Luật Bảo vệ dữ liệu cá nhân 2025 quy định: Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với hành vi mua, bán dữ liệu cá nhân là 10 lần khoản thu có được từ hành vi vi phạm. Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với tổ chức có hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới là 5% doanh thu của năm trước liền kề của tổ chức đó; trường hợp không có doanh thu của năm trước liền kề hoặc mức phạt tính theo doanh thu thấp hơn mức phạt tiền tối đa theo quy định. Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với các hành vi vi phạm khác trong lĩnh vực bảo vệ dữ liệu cá nhân là 3 tỉ đồng. Cá nhân thực hiện cùng hành vi vi phạm thì mức phạt tiền tối đa bằng một phần hai mức phạt tiền đối với tổ chức.

Nghiêm cấm hành vi mua bán dữ liệu cá nhân ĐỒ HỌA: BẢO NGUYỄN



