Thu thập dữ liệu người dùng, chính sách mới của Zalo có đúng?
Những ngày vừa qua, người dùng mạng xã hội Zalo đang có nhiều ý kiến trái chiều, trong đó phần lớn là ý kiến không đồng tình về việc ứng dụng này đưa ra chính sách thu thập dữ liệu cá nhân của người dùng, và lựa chọn duy nhất người dùng có thể thực hiện là “đồng ý”.
Zalo có đang làm đúng quy định pháp luật?
Liên quan đến vụ việc gây tranh cãi này, trao đổi với PV Báo Công lý, Luật sư Hoàng Trọng Giáp, Giám đốc Công ty luật Hoàng Sa cho biết, việc Zalo yêu cầu người dùng phải “đồng ý toàn bộ” điều khoản mới để tiếp tục sử dụng dịch vụ, nếu không sẽ bị hạn chế hoặc xóa tài khoản, đặt ra nghi vấn về tính tự nguyện thực sự của sự đồng ý.
Sự đồng ý trong trường hợp người dùng không có lựa chọn thay thế hợp lý rất dễ bị xem là sự đồng ý mang tính ép buộc, không đáp ứng đầy đủ tinh thần bảo vệ quyền của chủ thể dữ liệu theo Nghị định 13/2023/NĐ-CP bảo vệ dữ liệu cá nhân.
Theo Luật sư Giáp, pháp luật bảo vệ dữ liệu cá nhân cũng đặt ra nguyên tắc thu thập dữ liệu phù hợp với mục đích xử lý đã được thông báo tại khoản 3; 4 Điều 3 Nghị định 13/2023/NĐ-CP quy định nguyên tắc bảo vệ dữ liệu cá nhân.
“Điều này có nghĩa là nền tảng mạng xã hội chỉ được yêu cầu những dữ liệu thực sự cần thiết cho việc cung cấp dịch vụ. Trong khi đó, theo phản ánh, điều khoản mới của Zalo cho phép thu thập và xử lý nhiều loại dữ liệu cá nhân, bao gồm cả những thông tin có mức độ nhạy cảm cao. Việc mở rộng phạm vi dữ liệu được thu thập, nếu không chứng minh được sự cần thiết, phù hợp tương xứng với mục đích cung cấp dịch vụ cần xử lý như nhắn tin và mạng xã hội, có thể bị xem là không phù hợp với nguyên tắc bảo vệ dữ liệu cá nhân theo quy định tại Nghị định 13/2023/NĐ-CP”, Luật sư Giáp nêu ý kiến.
Cũng theo Luật sư Giáp, Luật Bảo vệ dữ liệu cá nhân 2025 sẽ chính thức có hiệu lực từ ngày 01/01/2026 quy định rõ: mạng xã hội không được yêu cầu người dùng cung cấp hình ảnh hoặc thông tin từ giấy tờ tùy thân (như CCCD, CMND) để xác thực tài khoản.
Cụ thể, tại khoản 2 Điều 29 Bảo vệ dữ liệu cá nhân đối với các nền tảng mạng xã hội, dịch vụ truyền thông trực tuyến “Không được yêu cầu cung cấp hình ảnh, video chứa nội dung đầy đủ hoặc một phần giấy tờ tùy thân làm yếu tố xác thực tài khoản”.
Quy định này cho thấy luật siết chặt hơn nữa việc bảo vệ dữ liệu cá nhân trên môi trường không gian mạng, đặc biệt đối với các nền tảng có số lượng người dùng lớn như Zalo. Do đó, ngay cả khi một số cách làm hiện nay của Zalo chưa bị coi là vi phạm trực tiếp, thì về dài hạn, các yêu cầu xác thực dựa trên giấy tờ tùy thân chắc chắn sẽ không còn phù hợp trong khuôn khổ pháp lý mới.
Mặt khác, theo Điều 9 Luật Bảo vệ dữ liệu cá nhân 2025 có hiệu lực từ ngày 1/1/2026 quy định sự đồng ý của chủ thể dữ liệu cá nhân chỉ có hiệu lực khi dựa trên sự tự nguyện và biết rõ các thông tin được quy định tại Khoản 2 Điều này.
“Sự đồng ý của chủ thể dữ liệu phải mang tính tự nguyện, cụ thể theo từng mục đích xử lý và có thể rút lại. Điều này có nghĩa là người dùng phải có quyền lựa chọn thực chất, chứ không phải chỉ là lựa chọn hình thức. Trong trường hợp Zalo yêu cầu người dùng chỉ có sự lựa chọn duy nhất là “đồng ý toàn bộ điều khoản” nếu muốn tiếp tục sử dụng dịch vụ thì có thể phát sinh vấn đề về tính tự nguyện của sự đồng ý. Khi người dùng bị đặt vào tình thế “hoặc chấp nhận hoặc không được sử dụng dịch vụ” có thể bị coi là vi phạm nguyên tắc “tự nguyện” sự đồng ý theo luật Bảo vệ dữ liệu cá nhân năm 2025.
Thêm vào đó việc người dùng chọn đồng ý với các điều khoản để được tiếp tục sử dụng nền tảng không đồng nghĩa với việc doanh nghiệp được toàn quyền thu thập và xử lý dữ liệu cá nhân”, Luật sư Giáp nhận định.
Cần điều chỉnh phù hợp với chuẩn mực pháp lý thay vì theo hướng gây tranh cãi
Đồng quan điểm với Luật sư Hoàng Trọng Giáp, Thượng tá – Tiến sĩ Đào Trung Hiếu, Chuyên gia Tội phạm học, Thành viên Hiệp hội An ninh mạng Quốc gia cho hay nếu việc Zalo yêu cầu người dùng cung cấp giấy tờ tùy thân mang tính áp đặt, bắt buộc, gắn với điều kiện “không cung cấp thì bị hạn chế hoặc chấm dứt quyền sử dụng dịch vụ”, thì hành vi này không phù hợp với tinh thần và định hướng của Luật Bảo vệ dữ liệu cá nhân.
Đặc biệt, trong bối cảnh luật đã được thông qua, dù chưa có hiệu lực, thì các doanh nghiệp công nghệ lớn càng cần chủ động điều chỉnh hành vi để phù hợp với chuẩn mực pháp lý sắp áp dụng, thay vì “đi trước một bước” theo hướng gây tranh cãi.
Thượng tá Hiếu cho rằng, từ thực tiễn điều tra, nghiên cứu và phòng ngừa tội phạm công nghệ cao, người dùng mạng xã hội cần tuân thủ một nguyên tắc rất quan trọng: chỉ cung cấp dữ liệu cá nhân khi thật sự cần thiết, có căn cứ pháp lý rõ ràng và hiểu đầy đủ mục đích sử dụng dữ liệu đó.
Cụ thể, người dùng chỉ nên cung cấp thông tin cá nhân trong một số trường hợp sau:
Thứ nhất, khi có yêu cầu bằng văn bản hoặc thông báo chính thức từ cơ quan Nhà nước có thẩm quyền, phục vụ hoạt động điều tra, tố tụng, hoặc quản lý theo quy định pháp luật.
Thứ hai, khi sử dụng các dịch vụ tài chính, ngân hàng, chứng khoán, ví điện tử, nơi việc xác thực danh tính là yêu cầu bắt buộc theo luật chuyên ngành, và đơn vị cung cấp dịch vụ có cơ chế bảo mật, lưu trữ, xử lý dữ liệu rõ ràng, minh bạch.
Thứ ba, trong trường hợp người dùng tự nguyện tham gia các dịch vụ có yếu tố định danh cao, đã được giải thích đầy đủ về mục đích thu thập dữ liệu, phạm vi sử dụng, thời hạn lưu trữ và quyền rút lại sự đồng ý.
Ngược lại, với các nền tảng mạng xã hội - vốn không phải dịch vụ định danh bắt buộc theo luật - người dùng không nên tùy tiện cung cấp hình ảnh giấy tờ tùy thân, dữ liệu sinh trắc học, hoặc thông tin quá chi tiết về đời sống cá nhân, đặc biệt khi không có sự bảo đảm rõ ràng về mặt pháp lý và kỹ thuật.
“Vụ việc liên quan đến Zalo cho thấy một vấn đề lớn hơn, đó là xung đột giữa nhu cầu quản lý người dùng của các nền tảng số và quyền bảo vệ dữ liệu cá nhân của công dân. Trong kỷ nguyên số, việc xác thực là cần thiết, nhưng không thể đánh đổi bằng việc mở rộng thu thập dữ liệu riêng tư một cách thiếu kiểm soát”, Thượng tá - Tiến sĩ Hiếu quan điểm.
Theo Thượng tá - Tiến sĩ Đào Trung Hiếu, về lâu dài, các nền tảng mạng xã hội cần chuyển từ tư duy “thu thập càng nhiều càng tốt” sang tư duy thu thập tối thiểu - sử dụng đúng mục đích - bảo vệ tối đa, đúng với tinh thần của Luật Bảo vệ dữ liệu cá nhân. Đồng thời, người dùng cũng cần được trang bị kiến thức pháp lý và kỹ năng tự vệ số để không vô tình trở thành “nguồn dữ liệu miễn phí” cho các rủi ro trong tương lai.
Khoản 3; 4 Điều 3 Nghị định 13/2023/NĐ-CP quy định nguyên tắc bảo vệ dữ liệu cá nhân:
“ ...3.Dữ liệu cá nhân chỉ được xử lý đúng với mục đích đã được Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba đăng ký, tuyên bố về xử lý dữ liệu cá nhân.
4. Dữ liệu cá nhân thu thập phải phù hợp và giới hạn trong phạm vi, mục đích cần xử lý. Dữ liệu cá nhân không được mua, bán dưới mọi hình thức, trừ trường hợp luật có quy định khác...”
Khoản 2 Điều 29 Bảo vệ dữ liệu cá nhân đối với các nền tảng mạng xã hội, dịch vụ truyền thông trực tuyến “Không được yêu cầu cung cấp hình ảnh, video chứa nội dung đầy đủ hoặc một phần giấy tờ tùy thân làm yếu tố xác thực tài khoản;”
Điều 9 Luật Bảo vệ dữ liệu cá nhân 2025 có hiệu lực từ ngày 1/1/2026 quy định sự đồng ý của chủ thể dữ liệu cá nhân chỉ có hiệu lực khi dựa trên sự tự nguyện và biết rõ các thông tin được quy định tại khoản 2 Điều này:
“....2. Sự đồng ý của chủ thể dữ liệu cá nhân chỉ có hiệu lực khi dựa trên sự tự nguyện và biết rõ các thông tin sau đây:
a) Loại dữ liệu cá nhân được xử lý, mục đích xử lý dữ liệu cá nhân;
b) Bên kiểm soát dữ liệu cá nhân hoặc bên kiểm soát và xử lý dữ liệu cá nhân;
c) Các quyền, nghĩa vụ của chủ thể dữ liệu cá nhân...”
Điều khoản này cũng quy định rõ sự đồng ý của chủ thể dữ liệu cá nhân phải bảo đảm các nguyên tắc được quy định tại khoản 4 bao gồm:
“...4. Sự đồng ý của chủ thể dữ liệu cá nhân phải bảo đảm các nguyên tắc sau đây:
a) Thể hiện sự đồng ý đối với từng mục đích;
b) Không được kèm theo điều kiện bắt buộc phải đồng ý với các mục đích khác với nội dung thỏa thuận;
c) Sự đồng ý có hiệu lực cho đến khi chủ thể dữ liệu cá nhân thay đổi sự đồng ý đó hoặc theo quy định của pháp luật;
d) Sự im lặng hoặc không phản hồi không được coi là sự đồng ý...”
Điều 3 luật Bảo vệ dữ liệu cá nhân năm 2025 quy định Nguyên tắc bảo vệ dữ liệu cá nhân: “1. Tuân thủ quy định của Hiến pháp, quy định của Luật này và quy định khác của pháp luật có liên quan.
2. Chỉ được thu thập, xử lý dữ liệu cá nhân đúng phạm vi, mục đích cụ thể, rõ ràng, bảo đảm tuân thủ quy định của pháp luật.
3. Bảo đảm tính chính xác của dữ liệu cá nhân và được chỉnh sửa, cập nhật, bổ sung khi cần thiết; được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu cá nhân, trừ trường hợp pháp luật có quy định khác.
4. Thực hiện đồng bộ có hiệu quả các biện pháp, giải pháp về thể chế, kỹ thuật, con người phù hợp để bảo vệ dữ liệu cá nhân.
5. Chủ động phòng ngừa, phát hiện, ngăn chặn, đấu tranh, xử lý kịp thời, nghiêm minh mọi hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.
6. Bảo vệ dữ liệu cá nhân gắn với bảo vệ lợi ích quốc gia, dân tộc, phục vụ phát triển kinh tế - xã hội, bảo đảm quốc phòng, an ninh và đối ngoại; bảo đảm hài hòa giữa bảo vệ dữ liệu cá nhân với bảo vệ quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân”