Đẩy tối đa rủi ro cho người dùng

Cụ thể, theo luật sư Diệp Năng Bình (Đoàn luật sư TP.HCM) cho rằng phần có vấn đề ở đây là mục đích sử dụng. Theo đó, điều khoản của Zalo quy định: "...để phục vụ các mục đích khác có liên quan đến hoạt động kinh doanh của Zalo mà chúng tôi cho là phù hợp tại từng thời điểm.

Để phục vụ các mục đích khác theo thỏa thuận giữa người dùng và chúng tôi và/hoặc bên thứ ba tại từng thời điểm phù hợp với quy định pháp luật".

Cụ thể, pháp luật về bảo vệ dữ liệu cá nhân quy định việc xử lý dữ liệu phải dựa trên các nguyên tắc "xác định, minh bạch về mục đích xử lý, chỉ thu thập trong phạm vi cần thiết, không được xử lý cho mục đích khác với mục đích ban đầu khi chưa có sự đồng ý lại của chủ thể dữ liệu" Điều 3 Nghị định 13/2023/NĐ-CP.

Đồng thời, tổ chức, cá nhân kinh doanh chỉ được thu thập, sử dụng, chuyển giao thông tin người tiêu dùng đúng mục đích, phạm vi đã thông báo và được người tiêu dùng chấp thuận, nếu thay đổi mục đích phải thông báo lại và được người tiêu dùng đồng ý trước khi thực hiện Điều 17, 18 Luật Bảo vệ quyền lợi người tiêu dùng 2023.

Đối với mạng xã hội như Zalo, thỏa thuận cung cấp và sử dụng dịch vụ còn bắt buộc phải nêu rõ biện pháp bảo đảm quyền quyết định của người dùng trong việc cho phép thu thập và cung cấp thông tin của mình cho cơ quan, tổ chức, doanh nghiệp, cá nhân khác khoản 2 Điều 28 Nghị định 147/2024/NĐ-CP, và phải mô tả các biện pháp bảo vệ thông tin người dùng trong chính thỏa thuận sử dụng dịch vụ điểm d khoản 2 Điều 29 Nghị định 147/2024/NĐ-CP.

Với các căn cứ này, việc Zalo ghi chung "các mục đích khác có liên quan đến hoạt động kinh doanh… mà chúng tôi cho là phù hợp tại từng thời điểm" là không đáp ứng yêu cầu về mục đích cụ thể, minh bạch và quyền quyết định thực chất của người dùng.

Cạnh đó, điều 14 của thỏa thuận là một trong những phần "nặng" nhất về mặt pháp lý, vì nó cố gắng đẩy tối đa trách nhiệm và rủi ro sang người dùng, trong khi với quan hệ tiêu dùng thì pháp luật đặt rất nhiều giới hạn cho loại điều khoản này.

Cụ thể: khoản 14.1 (tuyên bố không bảo đảm ổn định, bảo mật tuyệt đối) về mặt nguyên tắc có thể chấp nhận ở mức: "Không có hệ thống nào an toàn tuyệt đối". Nhưng Zalo vẫn phải chịu nghĩa vụ bảo đảm an toàn thông tin người tiêu dùng ở mức luật yêu cầu, không thể vì câu này mà phủ nhận trách nhiệm nếu mình không thực hiện đầy đủ biện pháp cần thiết.

Khoản 14.2 và phần cuối 14.3: "Người dùng miễn trừ VNG khỏi mọi trách nhiệm…", "đồng ý miễn cho VNG toàn bộ trách nhiệm nếu bị hack hoặc nguyên nhân ngoài tầm kiểm soát") là những điều khoản loại trừ gần như toàn bộ trách nhiệm của doanh nghiệp đối với mọi tổn thất, thiệt hại của người dùng.

Khoản 14.4 (người dùng phải bồi thường cho VNG mọi trách nhiệm, chi phí liên quan đến bên thứ ba…) cũng là dạng chuyển toàn bộ rủi ro pháp lý sang người tiêu dùng, bao gồm cả các rủi ro mà lẽ ra VNG phải chịu trách nhiệm nếu có lỗi về bảo mật, vận hành dịch vụ.

Tóm lại, Điều 14 không chỉ là tuyên bố miễn trừ thông thường, mà ở nhiều chỗ đã vượt quá giới hạn mà pháp luật cho phép trong quan hệ với người tiêu dùng: loại trừ gần như toàn bộ trách nhiệm của VNG, buộc người dùng chịu "mọi hậu quả, thiệt hại", và thu hẹp thực chất các quyền dữ liệu cá nhân vốn là quyền luật định, nên có nguy cơ cao bị coi là điều khoản bất lợi, vô hiệu nếu xảy ra tranh chấp.

Cơ quan chức năng cần giám sát để đảm bảo quyền lợi của người tiêu dùng

Đó là ý kiến của luật sư Võ Công Hạnh (Đoàn luật sư TP Huế). Theo ông Hạnh thì quy định tại khoản 4 Điều 9 Luật Bảo vệ dữ liệu cá nhân 2025 (có hiệu lực từ ngày 1-1-2026):

"Sự đồng ý của chủ thể dữ liệu cá nhân phải bảo đảm các nguyên tắc sau đây: Thể hiện sự đồng ý đối với từng mục đích; Không được kèm theo điều kiện bắt buộc phải đồng ý với các mục đích khác với nội dung thỏa thuận; Sự đồng ý có hiệu lực cho đến khi chủ thể dữ liệu cá nhân thay đổi sự đồng ý đó hoặc theo quy định của pháp luật; Sự im lặng hoặc không phản hồi không được coi là sự đồng ý".

Cũng theo quy định tại Điều 29 Luật Bảo vệ dữ liệu cá nhân 2025 về bảo vệ dữ liệu cá nhân đối với các nền tảng mạng xã hội, dịch vụ truyền thông trực tuyến thì tổ chức, cá nhân cung cấp dịch vụ mạng xã hội, dịch vụ truyền thông trực tuyến có trách nhiệm: "Không được yêu cầu cung cấp hình ảnh, video chứa nội dung đầy đủ hoặc một phần giấy tờ tùy thân làm yếu tố xác thực tài khoản;…".

Ngoài ra theo quy định tại điểm e khoản 3 Điều 23 Nghị định 147/2024/NĐ-CP về quản lý, cung cấp, sử dụng dịch vụ Internet và thông tin trên mạng, người sử dụng mạng xã hội thực hiện việc xác thực tài khoản chỉ thông qua số điện thoại di động chính chủ tại Việt Nam. Chỉ trong trường hợp người sử dụng mạng xã hội không có số điện thoại tại Việt Nam và người sử dụng mạng xã hội sử dụng tính năng livestream với mục đích thương mại thì mới bắt buộc xác thực tài khoản mạng xã hội bằng căn cước công dân (tức là số định danh cá nhân).

Từ các quy định nêu trên, có thể thấy việc nền tảng mạng xã hội Zalo đưa ra điều khoản buộc người dùng phải chấp nhận nếu muốn tiếp tục sử dụng dịch vụ là không phù hợp với quy định của pháp luật về bảo vệ dữ liệu cá nhân. Trước những tranh cãi và bức xúc đang phát sinh, phía Zalo cần làm thêm rõ mục đích của việc áp dụng các điều khoản này nhằm bảo đảm quyền, lợi ích hợp pháp của người sử dụng.

Trong trường hợp Zalo vẫn tiếp tục áp dụng các điều khoản nêu trên, thì tùy theo tính chất, mức độ và hậu quả của hành vi, cơ quan quản lý nhà nước có thẩm quyền cụ thể là Bộ Khoa học và Công nghệ cùng các cơ quan liên quan, có thể xem xét xử phạt vi phạm hành chính hoặc truy cứu trách nhiệm hình sự theo quy định của pháp luật; trường hợp gây thiệt hại thì còn phải bồi thường cho người sử dụng.

Đồng thời, các cơ quan chức năng cần thực hiện giám sát, theo dõi thêm để bảo đảm quyền và lợi ích hợp pháp của người dùng mạng xã hội.

Zalo 'ép' người dùng cung cấp thông tin riêng tư?

Ngay trước khi Luật Bảo vệ dữ liệu cá nhân chính thức có hiệu lực (từ 1-1-2026), ứng dụng Zalo bất ngờ yêu cầu hàng triệu người dùng Việt Nam chấp nhận điều khoản dịch vụ mới.