Ngày 29-12, Ủy ban Cạnh tranh quốc gia, Bộ Công Thương có giấy mời gửi Công ty CP Tập đoàn VNG, về việc thu thập, sử dụng thông tin người dùng và cung cấp các dịch vụ trên nền tảng Zalo. Dự kiến, buổi làm việc diễn ra vào sáng 31-12, nhằm làm rõ thông tin phục vụ công tác quản lý nhà nước về bảo vệ quyền lợi người tiêu dùng.

Người dùng hoang mang

Trong giấy mời, cơ quan này yêu cầu VNG phối hợp báo cáo, cung cấp nhiều nhóm thông tin, tài liệu liên quan trực tiếp đến người dùng cá nhân. Cụ thể, thông tin pháp lý cơ bản của doanh nghiệp (DN), bao gồm tư cách pháp lý, vai trò của VNG trong việc sở hữu, quản lý, vận hành nền tảng Zalo tại Việt Nam, cũng như đối tượng người dùng của nền tảng này. Cùng với đó, VNG cần cung cấp toàn bộ các văn bản, tài liệu liên quan đến điều khoản sử dụng Zalo hiện đang áp dụng đối với người dùng cá nhân tại Việt Nam; các phiên bản điều khoản sử dụng đã được áp dụng trong thời gian 12 tháng gần nhất.

Bên cạnh đó, VNG cần cung cấp thông tin, tài liệu liên quan đến việc sửa đổi, cập nhật các điều khoản sử dụng, bao gồm: Cách thức thông báo cho người dùng, việc yêu cầu người dùng chấp nhận điều khoản mới và các hệ quả phát sinh trong trường hợp người dùng không chấp nhận các nội dung cập nhật.

VNG cũng được yêu cầu cung cấp toàn bộ văn bản, tài liệu hiện hành quy định về việc thu thập, xử lý, lưu trữ, chia sẻ và bảo vệ thông tin người dùng Zalo. Trường hợp công ty không ban hành một văn bản riêng về chính sách bảo vệ thông tin người dùng Zalo, thì phải làm rõ hình thức thể hiện, vị trí công bố và cách thức để người dùng có thể tiếp cận, tìm hiểu đầy đủ các nội dung liên quan đến dữ liệu cá nhân của mình.

Người dùng cần thận trọng nếu điều khoản chung chung, dùng cụm như “toàn quyền xử lý” hay “áp dụng toàn hệ sinh thái”. Ảnh: LÊ TỈNH

Ngoài các nội dung trên, Ủy ban Cạnh tranh quốc gia còn yêu cầu VNG báo cáo về cách thức tổ chức, vận hành và cung cấp dịch vụ cho người dùng cá nhân trên môi trường trực tuyến; quy trình cung cấp thông tin cho người dùng trong suốt quá trình sử dụng dịch vụ; các lựa chọn mà người dùng được đưa ra khi chấp nhận hoặc không chấp nhận điều khoản, chính sách liên quan đến thông tin cá nhân…

Trước đó, Zalo khiến dư luận hoang mang, thậm chí bực tức khi ra thông báo "ép" họ chấp nhận những điều khoản dịch vụ mới, sau đó mới được tiếp tục sử dụng dịch vụ. Trường hợp từ chối, chủ tài khoản Zalo sẽ bị tạm khóa và bị xóa tài khoản sau 45 ngày nếu không thay đổi quyết định.

Điều đáng nói là những điều khoản mới mà Zalo đưa ra "đụng chạm" khá nhiều đến quyền riêng tư của người dùng. Cụ thể, Zalo có quyền thu thập, sử dụng và chia sẻ dữ liệu cá nhân của người dùng, gồm: số điện thoại, họ tên, giới tính, quan hệ gia đình và cả dữ liệu nhạy cảm như CMND/CCCD, vị trí địa lý, hành vi sử dụng, nội dung tương tác. Trong khi nền tảng này lại không "đưa ra bất kỳ bảo đảm nào" về tính ổn định của dịch vụ, bảo mật an toàn thông tin (tại điều số 14 trong bản Thỏa thuận điều khoản dịch vụ).

Thu thập nhưng phải bảo mật

Theo tìm hiểu, không riêng Zalo mà hiện nay, nhiều nền tảng, dịch vụ khác như Facebook, TikTok, ngân hàng, đơn vị logistics, ví điện tử hay sàn thương mại điện tử cũng yêu cầu người dùng xác thực danh tính bằng CCCD, eKYC hoặc cung cấp thêm thông tin cá nhân mới được sử dụng dịch vụ.

Không ít người dùng cho rằng việc ngày càng nhiều tổ chức, nền tảng cùng thu thập dữ liệu cá nhân đang làm gia tăng nguy cơ rò rỉ thông tin, tạo điều kiện cho các đối tượng xấu lợi dụng để lừa đảo. Thực tế cho thấy, nhiều vụ lừa đảo được thực hiện dựa trên dữ liệu cá nhân rất chi tiết, như họ tên, số điện thoại, lịch sử giao dịch hoặc đơn hàng của nạn nhân, từ đó dựng kịch bản tinh vi khiến người dùng mất cảnh giác.

Anh Nguyễn Minh Tâm, nhân viên văn phòng tại TP HCM, cho biết anh từng suýt trở thành nạn nhân. Khi chờ nhận hồ sơ từ đối tác, anh bất ngờ nhận nhiều cuộc gọi từ số lạ thúc giục chuyển khoản 10.000 đồng để "hoàn tất giao hàng", trong khi theo thông lệ khoản phí này do đối tác thanh toán. Nghi ngờ bất thường, anh Tâm kiểm tra lại trên ứng dụng và phát hiện đơn hàng vẫn ở bưu cục nên không bị lừa.

Ông Võ Đỗ Thắng, Giám đốc Trung tâm An ninh mạng Athena, nhận định việc Zalo cập nhật điều khoản dịch vụ, buộc người dùng chấp nhận toàn bộ để tiếp tục sử dụng, là thiếu tôn trọng quyền lựa chọn của người dùng. Đặc biệt, điều này xảy ra khi Luật Bảo vệ dữ liệu cá nhân sắp có hiệu lực từ ngày 1-1-2026.

Theo ông, các nền tảng lớn như Facebook, Google thường thông báo thay đổi quyền riêng tư trước 30 ngày hoặc lâu hơn để người dùng có thời gian cân nhắc và tìm phương án thay thế. Trong khi Zalo áp dụng đột ngột, đặt người dùng vào thế "đồng ý hoặc rời bỏ", khiến sự chấp thuận khó coi là tự nguyện.

Đáng lo hơn, Zalo mở rộng phạm vi thu thập dữ liệu, từ thông tin cơ bản đến nhạy cảm như giấy tờ tùy thân, hình ảnh khuôn mặt, thông tin tài chính. Đồng thời, DN thu hẹp trách nhiệm pháp lý, miễn trừ nếu dữ liệu rò rỉ do hacker hoặc nguyên nhân ngoài kiểm soát là cách làm chưa phù hợp với chuẩn mực bảo vệ dữ liệu hiện đại.

Chuyên gia này nhấn mạnh khi DN khai thác dữ liệu cá nhân của người dùng để kinh doanh và tạo lợi nhuận thì trách nhiệm bảo vệ cũng phải tương xứng. Không thể xem dữ liệu là tài nguyên khai thác còn rủi ro lại đẩy cho người dùng. "DN phải chứng minh tính cần thiết thu thập, mục đích cụ thể, thời gian lưu trữ rõ ràng và chịu trách nhiệm nghiêm ngặt nếu vi phạm. Miễn trừ chung chung gần như không chấp nhận được" - ông Thắng nêu quan điểm.

Đại diện một DN công nghệ cho rằng việc tăng cường xác thực dữ liệu (CCCD, eKYC) là xu hướng tất yếu trong kinh tế số, nhằm bảo đảm an toàn, chống gian lận, giả mạo và bảo vệ người dùng, đặc biệt với dịch vụ tài chính, logistics, thương mại điện tử. Bởi, chỉ một sự cố rò rỉ cũng có thể gây tổn hại uy tín DN, rủi ro pháp lý và mất lòng tin với người dùng. Tuy nhiên, đại diện DN thừa nhận: "Thu thập dữ liệu phải kèm trách nhiệm bảo vệ tương xứng. Người dùng cần được thông báo rõ ràng về loại dữ liệu, mục đích, phạm vi xử lý, thay vì chỉ chọn đồng ý toàn bộ hoặc ngừng dịch vụ".

Các chuyên gia khuyên người dùng trước khi chấp nhận điều khoản cần chú ý 3 điểm then chốt: Phạm vi dữ liệu thu thập (cơ bản hay nhạy cảm như căn cước, sinh trắc học, vị trí, tài chính); Mục đích sử dụng (vận hành dịch vụ hay quảng cáo, phân tích hành vi, chia sẻ bên thứ ba); Quyền kiểm soát (thời gian lưu trữ, chỉnh sửa, xóa dữ liệu). Nếu điều khoản chung chung, dùng cụm như "toàn quyền xử lý" hay "áp dụng toàn hệ sinh thái" thì người dùng nên thận trọng.

Theo luật sư Bùi Thị Ánh Tuyết (Đoàn Luật sư TP HCM), việc Zalo buộc người dùng chấp nhận toàn bộ điều khoản mới để tiếp tục sử dụng có dấu hiệu vi phạm nguyên tắc tự nguyện tại Điều 9 Luật Bảo vệ dữ liệu cá nhân 2025. Theo bà, sự đồng ý chỉ hợp pháp khi tự nguyện, có hiểu biết và quyền lựa chọn thực sự. Ép buộc "chấp nhận hoặc ngừng" có thể làm suy giảm tính tự nguyện. Ngoài ra, DN cũng không được toàn quyền với dữ liệu cá nhân thu thập được. "Mọi hành vi thu thập, xử lý, sử dụng hoặc chia sẻ dữ liệu trái quy định đều bị xử lý theo pháp luật, từ phạt hành chính đến truy cứu hình sự tùy mức độ" - bà Tuyết nhấn mạnh.

Không được đọc trộm, nghe lén người dùng

Theo Điều 9 và Điều 16 của Luật Bảo vệ dữ liệu cá nhân 2025 có hiệu lực từ ngày 1-1-2026, trong trường hợp dữ liệu không còn cần thiết cho mục đích ban đầu hoặc người dùng rút lại sự đồng ý, cá nhân có quyền yêu cầu xóa dữ liệu. Lúc này, DN với tư cách là bên kiểm soát, xử lý dữ liệu có nghĩa vụ xem xét và thực hiện yêu cầu này, trừ các trường hợp pháp luật cho phép tiếp tục lưu trữ.

Luật cũng đặt ra hàng loạt nghĩa vụ mới với các tổ chức, cá nhân cung cấp dịch vụ trên không gian số, trong đó có mạng xã hội và dịch vụ truyền thông trực tuyến. Một trong những quy định là siết chặt hoạt động thu thập, xử lý dữ liệu cá nhân của người dùng, đặc biệt là dữ liệu nhạy cảm liên quan đến giấy tờ tùy thân. Theo Điều 29, các nền tảng mạng xã hội có trách nhiệm thông báo rõ ràng cho người dùng về nội dung dữ liệu cá nhân được thu thập ngay khi cài đặt và sử dụng dịch vụ, đồng thời không được thu thập dữ liệu trái phép hoặc ngoài phạm vi đã thỏa thuận. "Không được yêu cầu cung cấp hình ảnh, video chứa nội dung đầy đủ hoặc một phần giấy tờ tùy thân làm yếu tố xác thực tài khoản. Không nghe lén, nghe trộm hoặc ghi âm cuộc gọi và đọc tin nhắn văn bản khi không có sự đồng ý của chủ thể dữ liệu cá nhân, trừ trường hợp pháp luật có quy định khác…" - Điều 29 của luật nêu.

Để bảo đảm tính răn đe, đối với hành vi vi phạm quy định về chuyển dữ liệu cá nhân xuyên biên giới, các nền tảng có thể bị phạt tới 5% tổng doanh thu của năm tài chính liền kề trước đó. Hành vi kinh doanh, mua bán dữ liệu cá nhân trái phép, mức phạt được quy định tối đa gấp 10 lần khoản thu lợi bất chính. Còn với hành vi khác, mức phạt tiền tối đa có thể lên tới 3 tỉ đồng đối với tổ chức.

Theo luật sư Nguyễn Thị Huyền, Văn phòng Luật sư Hà Hải và Cộng sự, trước khi Luật Bảo vệ dữ liệu cá nhân năm 2025 được ban hành thì Nghị định số 13/2023/NĐ-CP (có hiệu lực từ ngày 1-7-2023) được xem là hành lang pháp lý quan trọng, quy định tương đối về quyền, nghĩa vụ của chủ thể dữ liệu và trách nhiệm của các bên liên quan trong hoạt động bảo vệ dữ liệu cá nhân. Tuy nhiên, trong quá trình thực thi, Nghị định này đã bộc lộ một số hạn chế chẳng hạn như pháp luật chưa ghi nhận quyền được khôi phục dữ liệu cá nhân.

Luật Bảo vệ dữ liệu cá nhân năm 2025 đã khắc phục một phần các hạn chế trên, tập trung định nghĩa đầy đủ các khái niệm liên quan đến dữ liệu cá nhân, phân loại dữ liệu cá nhân nhạy cảm, quy định nguyên tắc xử lý dữ liệu và mở rộng quyền của chủ thể dữ liệu. Việc tập hợp các quy định trong một đạo luật riêng được xem là bước tiến quan trọng trong hoàn thiện khung pháp lý về bảo vệ dữ liệu cá nhân. Tuy nhiên, để luật đi vào cuộc sống, vẫn cần các nghị định hướng dẫn chi tiết, đặc biệt đối với các lĩnh vực phức tạp như trí tuệ nhân tạo, phân tích dữ liệu lớn và cung cấp dịch vụ xuyên biên giới.