Khi người dùng Zalo không có sự lựa chọn
Chiều 31.12, khi 80 triệu người dùng Zalo vẫn đang tranh cãi về yêu cầu "đồng ý hoặc mất tài khoản", nền tảng này đưa ra lập luận pháp lý đầy toan tính: không có sự đồng ý, Zalo không còn cơ sở pháp lý để xử lý dữ liệu, do đó buộc phải xóa tài khoản sau 45 ngày. Nghe có vẻ hợp lý, nhưng liệu đây có phải là cách giải thích duy nhất của pháp luật?
Một người dùng Zalo theo dõi cập nhật mới từ nền tảng chiều 31.12
ẢNH: ANH QUÂN
Câu trả lời nằm ngay trong luật Bảo vệ dữ liệu cá nhân 2025 có hiệu lực từ 1.1.2026. Theo quy định tại điểm d khoản 1 điều 19: cơ quan, tổ chức, cá nhân được xử lý dữ liệu cá nhân không cần sự đồng ý trong trường hợp để thực hiện thỏa thuận của chủ thể dữ liệu cá nhân với cơ quan, tổ chức, cá nhân có liên quan theo quy định của pháp luật. Đây chính là cơ sở pháp lý thực hiện hợp đồng, một nguyên tắc phổ biến trong các luật bảo vệ dữ liệu hiện đại trên thế giới.
Với quy định này, Zalo hoàn toàn có thể lập luận rằng khi người dùng đăng ký tài khoản và sử dụng dịch vụ nhắn tin, giữa 2 bên đã hình thành một thỏa thuận. Để thực hiện thỏa thuận đó, Zalo cần xử lý các dữ liệu tối thiểu như tên, số điện thoại, danh bạ liên hệ. Việc xử lý này không nhất thiết phải dựa trên sự đồng ý như một cơ sở pháp lý riêng biệt mà có thể dựa vào thực hiện thỏa thuận theo điều 19.
Vậy tại sao Zalo lại chọn sự đồng ý làm cơ sở pháp lý duy nhất, rồi dùng chính nó để buộc người dùng vào thế không còn lựa chọn? Có 3 giả thuyết có thể giải thích.
Giả thuyết thứ nhất là Zalo muốn thu thập và xử lý dữ liệu vượt xa phạm vi cần thiết để thực hiện thỏa thuận. Nếu chỉ để cung cấp dịch vụ nhắn tin cơ bản, Zalo không cần đến thông tin căn cước công dân, không cần theo dõi hành vi sử dụng của người dùng trên các ứng dụng liên kết, không cần phân tích nội dung để phục vụ quảng cáo được cá nhân hóa.
Những hoạt động này vượt ra ngoài thực hiện thỏa thuận và do đó bắt buộc phải có sự đồng ý riêng. Khi đó việc Zalo gộp tất cả các mục đích xử lý vào một điều khoản "đồng ý tất cả hoặc không" trở nên dễ hiểu hơn từ góc độ kinh doanh.
Giả thuyết thứ hai liên quan đến khả năng Zalo chưa phân loại rõ ràng các loại dữ liệu và mục đích xử lý tương ứng. Luật Bảo vệ dữ liệu cá nhân 2025 quy định tại khoản 1 điều 21: bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân phải lập, lưu trữ và gửi 1 bản chính hồ sơ đánh giá tác động xử lý dữ liệu cá nhân cho cơ quan chuyên trách trong 60 ngày kể từ ngày đầu tiên xử lý dữ liệu cá nhân.
Việc phân loại dữ liệu nào cần sự đồng ý, dữ liệu nào có thể xử lý theo thực hiện thỏa thuận đòi hỏi một hệ thống quản trị dữ liệu chặt chẽ. Có thể Zalo đã chọn cách đơn giản hơn, lấy sự đồng ý làm cơ sở pháp lý cho mọi hoạt động xử lý.
Giả thuyết thứ ba, và cũng đáng lo ngại nhất, là Zalo đang tận dụng sự mơ hồ trong luật Bảo vệ dữ liệu cá nhân 2025 để tạo ra một cơ chế "khóa" người dùng. Khi sự đồng ý trở thành cơ sở pháp lý duy nhất, việc rút lại sự đồng ý sẽ đồng nghĩa với việc chấm dứt toàn bộ dịch vụ.
Đối với một nền tảng có 80 triệu người dùng và 2 tỉ tin nhắn mỗi ngày (theo báo cáo Cloudflare 2025), việc "chuyển nhà" sang ứng dụng khác là gần như không khả thi đối với đa số người dùng. Sự đồng ý lúc này không còn tính chất tự nguyện như luật yêu cầu.
Khoảng trống của luật
Yêu cầu của Zalo bộc lộ một khoảng trống nghiêm trọng trong luật Bảo vệ dữ liệu cá nhân 2025, đó là luật không hướng dẫn cụ thể khi nào doanh nghiệp nên sử dụng sự đồng ý, khi nào nên sử dụng thực hiện thỏa thuận làm cơ sở pháp lý. Điều 19 liệt kê các trường hợp có thể xử lý dữ liệu không cần sự đồng ý, nhưng không có hướng dẫn ràng buộc doanh nghiệp phải ưu tiên sử dụng các cơ sở pháp lý này khi có thể.
Điều đặc biệt đáng lo ngại là cách luật quy định về sự đồng ý. Khoản 4 điều 9 yêu cầu sự đồng ý phải "thể hiện sự đồng ý đối với từng mục đích" và "không được kèm theo điều kiện bắt buộc phải đồng ý với các mục đích khác".
Thoạt nghe, đây là quy định bảo vệ người dùng. Nhưng trong thực tế, khi doanh nghiệp chọn sự đồng ý làm cơ sở pháp lý cho cả những dữ liệu cần thiết để cung cấp dịch vụ, họ có thể biện minh rằng tất cả các mục đích đều cần thiết, do đó người dùng phải đồng ý tất cả hoặc không sử dụng dịch vụ. Đây chính là cách Zalo đã làm.
Quy định chung về bảo vệ dữ liệu của Liên minh châu Âu (GDPR) quy định rõ: sự đồng ý chỉ là 1 trong 6 cơ sở pháp lý có thể sử dụng. Quan trọng hơn, GDPR yêu cầu doanh nghiệp phải chọn cơ sở pháp lý phù hợp nhất với từng mục đích xử lý. Nếu dữ liệu cần thiết để thực hiện hợp đồng, doanh nghiệp không được yêu cầu sự đồng ý riêng vì điều này tạo ra ảo tưởng về quyền lựa chọn. Người dùng không thể vừa muốn sử dụng dịch vụ, vừa từ chối cung cấp dữ liệu cần thiết cho dịch vụ đó.
Nguyên tắc này được gọi là cơ sở pháp lý phù hợp nhất (appropriate legal basis). Ý nghĩa sâu xa của nguyên tắc là bảo vệ tính tự nguyện thực sự của sự đồng ý. Nếu người dùng không có lựa chọn nào khác ngoài đồng ý, vì họ cần dịch vụ thì đó không phải là sự đồng ý tự nguyện. Khi đó doanh nghiệp phải sử dụng thực hiện hợp đồng làm cơ sở pháp lý, và sự đồng ý chỉ dành cho những xử lý dữ liệu không bắt buộc, mang lại lợi ích bổ sung cho người dùng.
Luật Bảo vệ dữ liệu cá nhân 2025 đang thiếu đi cơ chế này. Kết quả là doanh nghiệp có thể lựa chọn cơ sở pháp lý theo lợi ích của mình, chứ không phải theo nguyên tắc bảo vệ quyền người dùng tốt nhất. Một nền tảng có thể chọn sự đồng ý cho tất cả, rồi biến nó thành công cụ để ép người dùng chấp nhận các điều khoản rộng hơn mức cần thiết.
Hệ quả của khoảng trống này không chỉ ảnh hưởng đến Zalo. Từ 1.1.2026, hàng nghìn doanh nghiệp Việt Nam cung cấp dịch vụ số sẽ phải tuân thủ luật mới. Nếu không có hướng dẫn rõ ràng, nhiều doanh nghiệp sẽ đi theo con đường an toàn nhất: yêu cầu người dùng đồng ý tất cả để tránh rủi ro pháp lý. Điều này biến sự đồng ý từ một quyền tự chủ của người dùng thành một thủ tục hành chính vô nghĩa.
Vụ việc Zalo cũng đặt ra câu hỏi về vai trò của cơ quan quản lý nhà nước. Ủy ban Cạnh tranh Quốc gia đã mời VNG làm việc vào sáng 31.12, nhưng trọng tâm dường như chỉ là làm rõ thông tin chứ chưa có động thái can thiệp sâu hơn.
Trong khi đó, Cơ quan chuyên trách bảo vệ dữ liệu cá nhân (thuộc Bộ Công an) sẽ chỉ chính thức hoạt động từ 1.1.2026. Khoảng trống quản lý này tạo điều kiện cho các doanh nghiệp chạy đua với luật mới bằng cách áp đặt điều khoản có lợi cho mình trước khi cơ quan giám sát kịp can thiệp.
Giải pháp để ngăn doanh nghiệp lạm dụng
Để khắc phục những vấn đề trên, cần có 3 giải pháp cụ thể.
Một là, Chính phủ cần ban hành nghị định hướng dẫn chi tiết về các cơ sở pháp lý xử lý dữ liệu cá nhân, quy định rõ khi nào doanh nghiệp phải sử dụng thực hiện thỏa thuận thay vì sự đồng ý, đặc biệt đối với các dịch vụ số thiết yếu.
Hai là, Cơ quan chuyên trách bảo vệ dữ liệu cá nhân cần chủ động rà soát các điều khoản dịch vụ của các nền tảng có vị thế thống lĩnh ngay từ những tháng đầu năm 2026, không chỉ chờ đến khi có khiếu nại.
Ba là, cần bổ sung quy định về quyền không đồng ý từng phần - cho phép người dùng từ chối một số điều khoản không cần thiết cho dịch vụ cơ bản mà vẫn được tiếp tục sử dụng.
Zalo có thể biện minh rằng lập luận của mình hoàn toàn hợp pháp. Nhưng hợp pháp không đồng nghĩa với đúng đắn. Khi một nền tảng chiếm gần 80% thị phần nhắn tin tại Việt Nam lợi dụng khoảng trống luật để đặt 80 triệu người dùng vào thế chấp nhận hoặc mất kết nối, đó không phải là thực thi pháp luật - đó là lạm dụng quyền lực thị trường dưới vỏ bọc tuân thủ.
Bình luận (0)