(KTSG) - Vụ việc Zalo có thể được xem là một phép thử sớm cho năng lực thích ứng của doanh nghiệp trong kỷ nguyên quản trị dữ liệu cá nhân tại Việt Nam.
- Zalo, Tiktok bị phạt vì vi phạm quy định về dữ liệu người dùng
- Cuộc chơi bất bình đẳng trên nền tảng Zalo
Khi Luật Bảo vệ quyền lợi người tiêu dùng lên tiếng thay cho Luật Bảo vệ dữ liệu cá nhân
Ngày 22-1-2026, Ủy ban Cạnh tranh quốc gia ban hành quyết định xử phạt vi phạm hành chính 810 triệu đồng đối với Công ty cổ phần Tập đoàn VNG - đơn vị quản lý nền tảng Zalo - do vi phạm các quy định về bảo vệ quyền lợi người tiêu dùng. Các hành vi bị xử phạt liên quan đến việc thu thập, sử dụng thông tin người dùng trái quy định và thiếu minh bạch trong chính sách điều khoản dịch vụ.
Quyết định này lập tức thu hút sự chú ý, không chỉ bởi quy mô người dùng của Zalo, mà còn bởi một nghịch lý pháp lý đáng chú ý: hành vi liên quan trực tiếp đến dữ liệu cá nhân lại được xử lý chủ yếu dưới góc độ pháp luật bảo vệ quyền lợi người tiêu dùng, chứ không phải pháp luật bảo vệ dữ liệu cá nhân.
Điều này không phải là ngẫu nhiên. Thời điểm Zalo cập nhật chính sách điều khoản (26-12-2025) rơi đúng vào “vùng giao thời pháp lý” trước khi Luật Bảo vệ dữ liệu cá nhân 2025 chính thức có hiệu lực vào ngày 1-1-2026.
Trong bối cảnh đó, cơ quan quản lý lựa chọn áp dụng Luật Bảo vệ quyền lợi người tiêu dùng để xử lý các vấn đề về điều khoản không công bằng, sửa đổi đơn phương và sự yếu thế của người dùng. Cách tiếp cận này là cần thiết trong ngắn hạn, tuy nhiên, nếu chỉ dừng lại ở đó, quyết định xử phạt mới chỉ chạm tới phần ngọn của vấn đề, trong khi cấu trúc quyền lực dữ liệu phía sau vẫn gần như chưa được đặt câu hỏi.
Vì sao xử phạt theo Luật Bảo vệ quyền lợi người tiêu dùng là... chưa đủ?
Trước hết, việc áp dụng Luật Bảo vệ quyền lợi người tiêu dùng chỉ giúp khắc phục những vấn đề nhìn thấy từ “bề mặt hợp đồng”. Cách tiếp cận này cho phép xử lý các vấn đề về điều khoản không công bằng trong quan hệ giao dịch.
Quyết định xử phạt tập trung vào một nhóm hành vi vi phạm điển hình trong quan hệ giao dịch tiêu dùng, bao gồm việc Zalo áp đặt và thay đổi điều khoản mà người dùng không có khả năng đàm phán, thiếu minh bạch trong chính sách sử dụng dữ liệu, không công khai đầy đủ cơ chế khiếu nại, cũng như việc gắn sự chấp thuận điều khoản mới với nguy cơ bị hạn chế hoặc chấm dứt dịch vụ.
Tuy nhiên, Luật Bảo vệ quyền lợi người tiêu dùng không đi sâu vào câu hỏi dữ liệu cá nhân được sử dụng như thế nào sau khi đã được thu thập, cũng như không có công cụ để đánh giá giá trị pháp lý của sự đồng ý của chủ thể dữ liệu (tức người dùng) trong bối cảnh xử lý dữ liệu cá nhân.
Cụ thể, khung pháp lý này không trả lời được những câu hỏi cốt lõi của nền kinh tế dữ liệu, chẳng hạn: dữ liệu có bị sử dụng để lập hồ sơ hành vi (profiling) hay không; dữ liệu có được luân chuyển trong nội bộ tập đoàn hoặc chia sẻ cho bên thứ ba; việc gộp dữ liệu nhắn tin, thanh toán, giải trí vào một định danh duy nhất (Zalo ID) có hợp pháp và tương xứng hay không.
Quan trọng hơn, Luật Bảo vệ quyền lợi người tiêu dùng không đặt ra câu hỏi về giá trị pháp lý của sự đồng ý khi người dùng chỉ có một lựa chọn duy nhất là “chấp nhận hoặc ngừng sử dụng dịch vụ”. Nó cũng không giải quyết được vấn đề liệu chủ thể dữ liệu có thực sự có khả năng rút lại sự đồng ý hay không, khi việc rút lại đó đồng nghĩa với nguy cơ bị loại khỏi một nền tảng giao tiếp đã trở nên thiết yếu trong đời sống xã hội.
Tiếp đến, dữ liệu không chỉ là điều kiện giao dịch, mà là hạ tầng quyền lực. Trong nền kinh tế số, dữ liệu cá nhân không còn là phụ phẩm của dịch vụ. Nó là tài sản chiến lược, nền tảng cho quảng cáo nhắm mục tiêu, chấm điểm tín nhiệm, dự đoán hành vi và kiểm soát hệ sinh thái.
Khi một nền tảng buộc người dùng phải chấp nhận một chính sách dữ liệu bao trùm để tiếp tục sử dụng một dịch vụ giao tiếp cơ bản như nhắn tin, vấn đề không còn dừng ở quyền lợi của từng người tiêu dùng riêng lẻ. Trọng tâm chuyển sang câu hỏi ai kiểm soát dữ liệu, kiểm soát trong phạm vi nào, và người dùng còn bao nhiêu không gian thực tế để nói “không” hoặc rút lại sự đồng ý của mình.
Đây là dạng quyền lực phát sinh từ việc tập trung và hợp nhất dữ liệu ở quy mô lớn - một dạng quyền lực vượt ra ngoài khung phân tích truyền thống của pháp luật hợp đồng và pháp luật bảo vệ người tiêu dùng, và chỉ có thể được nhận diện đầy đủ dưới lăng kính pháp luật dữ liệu cá nhân.
Nếu soi dưới lăng kính pháp luật bảo vệ dữ liệu cá nhân: Quyết định xử phạt có thể đã bỏ sót điều gì?
Từ “điều khoản không công bằng” đến “đồng thuận cưỡng bức”: hai ngôn ngữ pháp lý khác nhau
Dưới góc độ bảo vệ người tiêu dùng, câu chuyện Zalo được diễn giải bằng những khái niệm quen thuộc của pháp luật hợp đồng và giao dịch tiêu dùng, như hợp đồng theo mẫu, điều khoản sửa đổi đơn phương, sự bất cân xứng về vị thế thương lượng, hay tình trạng người tiêu dùng yếu thế trước hiệu ứng mạng lưới của các nền tảng số lớn.
Trong cách tiếp cận này, người dùng chủ yếu được nhìn nhận như bên mua dịch vụ bị áp đặt các điều kiện bất lợi. Hệ quả pháp lý vì vậy tập trung vào việc đánh giá tính vô hiệu của điều khoản, cũng như nghĩa vụ minh bạch, thiện chí và bảo vệ người tiêu dùng của doanh nghiệp.
Tuy nhiên, nếu chuyển sang ngôn ngữ của pháp luật bảo vệ dữ liệu cá nhân, bản chất vấn đề thay đổi một cách căn bản. Trọng tâm không còn là việc điều khoản sử dụng có “công bằng” hay không, mà là: sự đồng ý của người dùng đối với việc xử lý dữ liệu cá nhân có được thiết lập một cách hợp pháp hay không; và quyền tự quyết của chủ thể dữ liệu đối với dữ liệu của chính mình có bị vô hiệu hóa trên thực tế hay không.
Dưới lăng kính này, chính sách “đồng ý tất cả hoặc ngừng sử dụng” của Zalo không chỉ đơn thuần là một điều khoản bất lợi trong quan hệ tiêu dùng. Nó thể hiện một dạng đồng thuận cưỡng bức (forced consent) - sự đồng ý được hình thành trong bối cảnh người dùng không có lựa chọn thực chất, và vì vậy thường không được các hệ thống pháp luật dữ liệu hiện đại thừa nhận là cơ sở pháp lý hợp lệ cho việc xử lý dữ liệu cá nhân.
Sự đồng ý bị “đóng gói” và đánh tráo mục đích xử lý dữ liệu
Chính sách dữ liệu của Zalo gộp chung nhiều mục đích xử lý khác nhau, bao gồm cả các mục đích thiết yếu để cung cấp dịch vụ nhắn tin, liên lạc, và các mục đích không thiết yếu như phân tích hành vi người dùng, chia sẻ dữ liệu trong hệ sinh thái hoặc phục vụ các mục đích thương mại khác. Người dùng không được trao khả năng lựa chọn hoặc từ chối từng lớp xử lý dữ liệu một cách độc lập.
Cách thiết kế này làm mờ ranh giới giữa nhu cầu kỹ thuật tối thiểu để vận hành dịch vụ và hoạt động khai thác dữ liệu mở rộng vì lợi ích của doanh nghiệp. Dưới góc độ pháp luật bảo vệ dữ liệu cá nhân, đây là dấu hiệu điển hình của sự đồng ý không được tách biệt theo mục đích, vốn bị coi là không hợp lệ vì đánh tráo bản chất tự nguyện của sự đồng ý.
Quyền rút lại sự đồng ý: tồn tại trên giấy, bị vô hiệu hóa trên thực tế
Mặc dù chính sách của Zalo thừa nhận về mặt hình thức quyền rút lại sự đồng ý của người dùng, nhưng quyền này lại bị gắn với những hệ quả bất lợi đáng kể. Việc rút lại sự đồng ý có thể dẫn tới nguy cơ bị hạn chế hoặc mất quyền tiếp cận dịch vụ, đồng thời doanh nghiệp tự trao cho mình quyền từ chối yêu cầu rút lại nếu “đánh giá thấy rủi ro pháp lý”.
Dưới góc độ pháp luật bảo vệ dữ liệu cá nhân, đây không còn là vấn đề kỹ thuật hay vận hành nội bộ, mà là sự vô hiệu hóa quyền bằng điều kiện. Khi việc thực thi quyền riêng tư kéo theo những hậu quả bất lợi không tương xứng, quyền đó về thực chất không còn tồn tại, dù vẫn được ghi nhận trên văn bản.
Từ ứng dụng OTT sang chủ thể kiểm soát dữ liệu cá nhân quy mô lớn
Với quy mô hàng chục triệu người dùng và việc xử lý đồng thời dữ liệu định danh, dữ liệu xã hội và dữ liệu thanh toán, Zalo không còn là một ứng dụng OTT (Over-The-Top messaging service - dịch vụ nhắn tin hoạt động trên nền Internet, không dựa trên hạ tầng viễn thông truyền thống) theo nghĩa hẹp.
Trên thực tế, nền tảng này vận hành như một hệ thống dữ liệu xã hội tập trung, trong đó mỗi người dùng được cấu trúc thành một hồ sơ số đa chiều, có thể được liên kết, phân tích và khai thác trên phạm vi toàn bộ hệ sinh thái.
Trong bối cảnh đó, Zalo không chỉ đóng vai trò là nhà cung cấp dịch vụ giao tiếp, mà tiệm cận với tư cách chủ thể kiểm soát dữ liệu cá nhân quy mô lớn, nắm giữ quyền lực dữ liệu có ảnh hưởng sâu rộng đến đời sống số của người dùng. Cách tiếp cận thuần túy dựa trên pháp luật bảo vệ người tiêu dùng vì vậy khó có thể phản ánh đầy đủ các rủi ro phát sinh từ mức độ tập trung quyền lực dữ liệu này.
Những vấn đề mà quyết định xử phạt chưa giải quyết
Từ góc độ pháp luật bảo vệ dữ liệu cá nhân, quyết định xử phạt Zalo đã làm rõ các vi phạm liên quan đến “điều khoản không công bằng” trong quan hệ tiêu dùng. Tuy nhiên, cách tiếp cận này vẫn để ngỏ nhiều vấn đề mang tính cấu trúc, vốn chỉ có thể được nhận diện đầy đủ khi đặt trong khuôn khổ pháp luật bảo vệ dữ liệu cá nhân.
Thứ nhất, không xác định giá trị pháp lý của sự đồng ý đối với việc xử lý dữ liệu cá nhân. Quyết định xử phạt không trả lời câu hỏi then chốt: liệu sự đồng ý của người dùng trong bối cảnh bị đặt trước lựa chọn “chấp nhận hoặc rời khỏi nền tảng” có còn là sự đồng ý hợp lệ hay không? Việc né tránh câu hỏi này khiến bản chất của hiện tượng đồng thuận cưỡng bức chưa được làm rõ.
Thứ hai, không phân biệt giữa dữ liệu thiết yếu và dữ liệu khai thác mở rộng. Quyết định xử phạt coi chính sách dữ liệu như một khối điều khoản thống nhất, thay vì tách bạch giữa dữ liệu cần thiết để cung cấp dịch vụ giao tiếp và dữ liệu được sử dụng cho các mục đích phân tích hành vi, mở rộng hệ sinh thái hoặc khai thác thương mại, qua đó bỏ qua nguyên tắc giới hạn mục đích - một trụ cột của pháp luật bảo vệ dữ liệu cá nhân.
Thứ ba, không xem xét việc hợp nhất dữ liệu ở cấp độ hệ sinh thái. Zalo không chỉ xử lý dữ liệu nhắn tin, mà còn kết nối dữ liệu thanh toán, giải trí và định danh số. Tuy nhiên, quyết định xử phạt không đặt ra vấn đề về rủi ro quyền lực phát sinh khi các lớp dữ liệu này bị gộp lại dưới sự kiểm soát của một chủ thể duy nhất.
Thứ tư, không đánh giá tác động xã hội của việc cắt hoặc hạn chế dịch vụ. Trong thực tế, việc “ngừng sử dụng Zalo” không phải là một lựa chọn trung tính đối với nhiều nhóm người dùng. Quyết định xử phạt không xem xét hậu quả xã hội của việc buộc cá nhân rời khỏi một hạ tầng giao tiếp đã trở nên gần như thiết yếu.
Thứ năm, không đặt ra các nghĩa vụ đặc biệt tương xứng với quy mô quyền lực dữ liệu. Với hàng chục triệu người dùng, Zalo vận hành như một hạ tầng dữ liệu quốc gia không chính thức. Tuy nhiên, quyết định xử phạt vẫn xử lý Zalo như một doanh nghiệp cung cấp dịch vụ thông thường, chưa gắn với các nghĩa vụ tăng cường tương xứng với mức độ quyền lực dữ liệu mà nền tảng này nắm giữ.
Nhìn ra quốc tế: vì sao nhiều quốc gia không xử lý vấn đề dữ liệu cá nhân theo logic “người tiêu dùng”?
Kinh nghiệm từ Liên minh châu Âu (EU) cho thấy, các hành vi tương tự mô hình “đồng ý tất cả hoặc rời khỏi nền tảng” hiếm khi được xử lý chủ yếu dưới lăng kính pháp luật bảo vệ người tiêu dùng. Thay vào đó, chúng thường thuộc thẩm quyền trực tiếp của các cơ quan bảo vệ dữ liệu độc lập, trên cơ sở coi dữ liệu cá nhân là một quyền cơ bản gắn với nhân thân, chứ không đơn thuần là một điều kiện giao dịch có thể mặc cả trong quan hệ hợp đồng.
Cách tiếp cận này xuất phát từ nhận thức rằng bất cân xứng quyền lực trong xử lý dữ liệu không chỉ là vấn đề thị trường, mà là vấn đề pháp định và cấu trúc. Khi dữ liệu cá nhân trở thành điều kiện để tiếp cận các hạ tầng số thiết yếu, việc đánh giá tính hợp pháp của hành vi xử lý dữ liệu không thể dừng ở việc điều khoản có minh bạch hay công bằng theo chuẩn mực tiêu dùng hay không, mà phải trực tiếp xem xét liệu quyền tự quyết dữ liệu của cá nhân có bị vô hiệu hóa trên thực tế hay không.
Một ví dụ điển hình là vụ việc Clearview AI do Cơ quan Bảo vệ dữ liệu Hà Lan (Autoriteit Persoonsgegevens) xử lý. Tháng 9-2024, cơ quan này đã ra quyết định phạt Clearview AI 30,5 triệu euro, đồng thời ban hành lệnh buộc chấm dứt hành vi vi phạm và xóa dữ liệu liên quan, với lý do công ty đã thu thập và xử lý dữ liệu sinh trắc học (hình ảnh khuôn mặt) của công dân EU mà không có cơ sở pháp lý và không có sự đồng ý tự nguyện, cụ thể của chủ thể dữ liệu.
Điều đáng chú ý là Clearview AI không cung cấp dịch vụ trực tiếp cho người dùng EU theo nghĩa truyền thống của “người tiêu dùng”. Công ty này không ký kết hợp đồng, không thu phí từ cá nhân, và không đặt cá nhân vào vị trí khách hàng.
Tuy nhiên, điều đó không ngăn cản việc Clearview AI bị xử lý nghiêm khắc, bởi hành vi vi phạm được nhìn nhận ở cấp độ xâm phạm quyền dữ liệu cá nhân mang tính cấu trúc, thông qua việc xây dựng và khai thác một cơ sở dữ liệu nhận diện khuôn mặt quy mô lớn mà cá nhân không hề có khả năng kiểm soát hay phản kháng thực chất.
Về mặt pháp lý, mức phạt 30,5 triệu euro được xác định trên cơ sở điều 83 của GDPR - Quy định bảo vệ dữ liệu chung, cho phép áp dụng mức phạt lên tới 20 triệu euro hoặc 4% tổng doanh thu toàn cầu, tùy theo mức nào cao hơn, đồng thời cân nhắc tổng thể từng hành vi vi phạm.
Trong vụ việc này, Clearview AI bị xác định vi phạm đồng thời nhiều quy định trọng yếu của GDPR, bao gồm: xử lý dữ liệu cá nhân không có cơ sở pháp lý; xử lý dữ liệu sinh trắc học - một loại dữ liệu đặc biệt nhạy cảm - mà không đáp ứng các điều kiện nghiêm ngặt; thiếu minh bạch thông tin đối với chủ thể dữ liệu; không bảo đảm quyền tiếp cận dữ liệu; và không chỉ định đại diện tại EU theo yêu cầu pháp luật.
Trên cơ sở đánh giá tính chất nghiêm trọng, quy mô và tác động hệ thống của các vi phạm này, cơ quan bảo vệ dữ liệu đã xác định mức phạt vượt ngưỡng cơ bản 20 triệu euro, đồng thời gắn kèm các nghĩa vụ khắc phục bắt buộc, với chế tài bổ sung nếu tiếp tục không tuân thủ.
Từ các vụ việc như Clearview AI có thể thấy rằng, trong cách tiếp cận của EU, câu hỏi pháp lý trung tâm không còn dừng lại ở việc điều khoản sử dụng có công bằng hay minh bạch theo chuẩn mực giao dịch tiêu dùng hay không.
Các vấn đề phát sinh từ chính sách “đồng ý tất cả hoặc rời khỏi nền tảng” không bị quy giản thành tranh chấp về điều khoản hợp đồng hay nghĩa vụ bảo vệ người tiêu dùng, mà được xem xét trong khuôn khổ bảo vệ quyền đối với dữ liệu cá nhân như một quyền nền tảng của cá nhân trong môi trường số.
Cách nhìn này cho phép pháp luật phản ánh đầy đủ hơn các dạng bất cân xứng quyền lực mới, vốn không còn giới hạn trong quan hệ mua - bán dịch vụ, mà gắn với việc kiểm soát, phân tích và khai thác dữ liệu ở quy mô hệ thống.
Trong bối cảnh đó, kinh nghiệm của EU gợi mở một xu hướng dịch chuyển quan trọng: từ việc xử lý các nền tảng số chủ yếu bằng công cụ pháp luật bảo vệ người tiêu dùng, sang việc đặt chúng trong khuôn khổ pháp luật về dữ liệu và bảo vệ dữ liệu cá nhân, với các nghĩa vụ tương xứng với mức độ ảnh hưởng xã hội và quyền lực dữ liệu mà các chủ thể này nắm giữ.
Đây không hẳn là sự phủ nhận vai trò của pháp luật bảo vệ người tiêu dùng, mà là sự bổ sung và tái định vị, trong đó pháp luật về dữ liệu dần trở thành trụ cột chính để điều chỉnh các quan hệ quyền lực phát sinh từ nền kinh tế dữ liệu.
Cách tiếp cận của EU không chỉ phản ánh lựa chọn chính sách hiện tại, mà còn cho thấy một quỹ đạo phát triển pháp luật có khả năng trở thành điểm tham chiếu cho các hệ thống pháp luật đang trong quá trình hoàn thiện khung pháp lý về dữ liệu cá nhân, trong đó có Việt Nam, khi pháp luật về dữ liệu và bảo vệ dữ liệu cá nhân đi vào giai đoạn thực thi đầy đủ.
Vụ Zalo là phép thử cho giai đoạn tuân thủ mới của các nền tảng số
Chính trong mạch dịch chuyển đó, vụ việc Zalo tại Việt Nam có thể được nhìn nhận như một trường hợp điển hình của giai đoạn chuyển tiếp: khi các công cụ của pháp luật bảo vệ người tiêu dùng vẫn còn được sử dụng, nhưng những câu hỏi cốt lõi mà nó đặt ra đã vượt sang địa hạt của pháp luật bảo vệ dữ liệu cá nhân.
Đối với các nền tảng số có quy mô lớn như Zalo, vụ việc này có thể được xem như một tín hiệu sớm về kỳ vọng tuân thủ trong giai đoạn pháp luật dữ liệu đi vào thực thi. Quyết định xử phạt vừa qua không chỉ khép lại một vụ việc cụ thể, mà còn mở ra một thông điệp có tính định hướng: khi khung pháp luật dữ liệu đã được thiết lập, các nền tảng số cần chủ động điều chỉnh hành vi theo các chuẩn mực mới, thay vì chỉ phản ứng khi bị can thiệp.
Việc thiết kế chính sách dữ liệu, cơ chế xin - rút lại sự đồng ý và cấu trúc hệ sinh thái xử lý dữ liệu sẽ không còn được xem là vấn đề kỹ thuật nội bộ, mà trở thành yếu tố pháp lý then chốt quyết định mức độ rủi ro tuân thủ của doanh nghiệp. Theo nghĩa này, vụ việc Zalo có thể được xem là một phép thử sớm cho năng lực thích ứng của doanh nghiệp trong kỷ nguyên quản trị dữ liệu cá nhân tại Việt Nam.
(*) Giảng viên khoa Luật, trường Đại học Kinh tế - Luật, ĐHQG TPHCM.
Các quan điểm nêu trong bài là của tác giả, không phản ánh quan điểm của cơ quan nơi tác giả công tác.
