Những ngày cuối năm 2025, hàng triệu người dùng của Việt Nam bất ngờ nhận được thông báo cập nhật điều khoản dịch vụ của Zalo.
Tự nguyện nằm ở đâu khi sự lựa chọn là "đồng ý hoặc biến mất"?
Zalo yêu cầu người dùng phải chấp thuận các điều khoản mới về thu thập và chia sẻ dữ liệu trong vòng 45 ngày. Hệ quả của sự từ chối được vạch ra lạnh lùng và dứt khoát: tài khoản sẽ bị khóa và xóa vĩnh viễn. Với xấp xỉ 78 triệu người dùng thường xuyên, chiếm tới 85% thị phần nhắn tin và thâm nhập sâu vào mọi ngõ ngách từ hành chính công đến liên lạc gia đình, thông báo này là một tối hậu thư.
Bạn cần Zalo để nhận thông báo từ cô giáo của con, để trao đổi công việc với sếp, thậm chí để nhận thông tin từ công an phường qua Zalo OA. Việc Zalo ra tối hậu thư ép người dùng như vậy không khác gì một sự xâm nhập sâu rộng vào dữ liệu đời tư, phục vụ cho các mục đích mà bạn có thể không hề mong muốn: quảng cáo và huấn luyện AI.
Điều 9 của Luật Bảo vệ dữ liệu cá nhân quy định rất rõ: Sự đồng ý chỉ có hiệu lực khi chủ thể dữ liệu được biết rõ thông tin và tự nguyện đưa ra quyết định. Nhưng ở đây, sự tự nguyện nằm ở đâu khi sự lựa chọn là "đồng ý hoặc biến mất"?
Zalo đang áp dụng một chiến thuật mà giới công nghệ gọi là “đồng ý gộp”. Họ buộc người dùng chấp nhận toàn bộ gói điều khoản - bao gồm cả những tính năng thiết yếu (nhắn tin) lẫn những tính năng kinh doanh (quảng cáo, chia sẻ dữ liệu cho bên thứ ba, huấn luyện AI) - trong một cú nhấp chuột duy nhất.
Tại sao Zalo lại làm vậy? Câu trả lời nằm ở "mỏ vàng" dữ liệu. Trong kỷ nguyên mới, Zalo không còn chỉ là ứng dụng chat. Họ đang chuyển mình sang tích hợp AI và tài chính. Để huấn luyện các mô hình ngôn ngữ lớn tiếng Việt như Kiki hay KiLM, họ cần quyền truy cập hợp pháp vào kho dữ liệu khổng lồ từ tin nhắn và hành vi người dùng.
Để phát triển chấm điểm tín dụng cho mảng ZaloPay, họ cần dữ liệu về vị trí, quan hệ gia đình và thói quen thanh toán. Họ dùng vị thế thống lĩnh của mình để buộc người dùng ký tên.
Khi thế giới nói "không" với thực đơn cưỡng ép
Nhìn ra thế giới, chúng ta thấy một làn sóng phản đối mạnh mẽ mô hình "bán bia kèm lạc" này. Các quốc gia tiên tiến đã và đang xây dựng những hàng rào pháp lý để bảo vệ quyền của người dân.
Tại Liên minh châu Âu (EU), nơi có tiêu chuẩn bảo vệ dữ liệu cao nhất thế giới, mô hình "Pay or Consent" (trả tiền hoặc đồng ý) của Meta (công ty mẹ Facebook) đã bị vạch trần. Meta từng buộc người dùng chọn: hoặc trả phí thuê bao để không bị theo dõi, hoặc dùng miễn phí nhưng phải bán dữ liệu.
Tháng 4/2024, Ủy ban Bảo vệ dữ liệu châu Âu (EDPB) đã ra phán quyết gây chấn động: đối với các nền tảng lớn, việc chỉ đưa ra lựa chọn như vậy là không hợp lệ. EDPB lập luận rằng do sự mất cân bằng quyền lực, sự đồng ý trong trường hợp này không phải là "tự do". Nền tảng phải cung cấp một "lựa chọn tương đương" không yêu cầu trả phí và không thu thập dữ liệu hành vi.
So với Meta, Zalo còn không đưa ra lựa chọn trả phí để bảo vệ dữ liệu, chỉ có một lựa chọn duy nhất: "đồng ý hoặc rời đi". Đây là sự vi phạm thô bạo quyền tự quyết của người dùng.
Tại Ấn Độ, năm 2021, WhatsApp cũng tung ra bản cập nhật buộc người dùng chia sẻ dữ liệu với Facebook, đe dọa xóa tài khoản nếu không chấp nhận. Ấn Độ đã không ngồi yên. Sau cuộc điều tra, tháng 11/2024, họ phạt Meta 25,3 triệu USD và kết luận chính sách “chấp nhận hoặc rời đi” là hành vi lạm dụng vị thế thống lĩnh. Quan trọng hơn, Ấn Độ cấm WhatsApp chia sẻ dữ liệu cho mục đích quảng cáo trong 5 năm và buộc phải có cơ chế từ chối cho các mục đích phi dịch vụ.
Tại quê hương của siêu ứng dụng WeChat cũng có những quy định cực kỳ nghiêm ngặt. Luật Bảo vệ thông tin cá nhân (PIPL) của Trung Quốc quy định khái niệm "sự đồng ý riêng biệt" trong đó WeChat không được phép gộp chung tất cả vào một chính sách dài lê thê. Họ phải xin sự đồng ý riêng cho từng mục đích như chia sẻ danh bạ hay chuyển dữ liệu.
Luật Việt Nam đã đầy đủ để xử lý
Hệ thống văn bản pháp luật hiện hành của Việt Nam hoàn toàn có đủ công cụ để xử lý vấn đề này.
Thứ nhất, Luật Bảo vệ dữ liệu cá nhân cho phép người dùng "rút lại sự đồng ý" bất cứ lúc nào (Điều 10). Tuy nhiên, chính sách của Zalo đe dọa xóa tài khoản nếu không duy trì sự đồng ý đã tạo ra một rào cản kỹ thuật và tâm lý, vô hiệu hóa quyền này trên thực tế. Zalo, với tư cách là bên kiểm soát dữ liệu, đang có dấu hiệu vi phạm nghĩa vụ "không được gây khó khăn, cản trở" người dùng thực hiện quyền của mình.
Thứ hai, quan trọng hơn, là Luật Cạnh tranh 2018. Với 85% thị phần, không nghi ngờ gì nữa, Zalo là doanh nghiệp có vị trí thống lĩnh thị trường. Điều 27 Luật Cạnh tranh nghiêm cấm doanh nghiệp thống lĩnh "áp đặt điều kiện bất lợi cho khách hàng" hoặc "ngăn cản việc tham gia thị trường".
Việc buộc người dùng phải chấp nhận chia sẻ dữ liệu sâu rộng - một điều kiện không công bằng để được sử dụng dịch vụ cơ bản chính là hành vi lạm dụng vị trí thống lĩnh.
Bài học từ Đức là một tham chiếu quý giá khi Cơ quan cạnh tranh liên bang (Bundeskartellamt) từng phán quyết rằng việc Facebook thu thập dữ liệu người dùng trái với ý muốn tự nguyện chính là hành vi cạnh tranh không lành mạnh, ngay cả khi đó là vấn đề về dữ liệu.
Vậy tại sao người dùng Việt Nam dù bức xúc có thể vẫn phải cắn răng bấm "đồng ý"? Bởi vì chi phí chuyển đổi quá lớn. Các doanh nghiệp vừa và nhỏ dùng Zalo để điều hành. Cơ quan nhà nước dùng Zalo để liên lạc. Việc xóa tài khoản đồng nghĩa với việc tự cắt đứt mình khỏi hạ tầng xã hội và kinh tế.
Trong bối cảnh đó, sự "tự nguyện" này là “ép buộc”. Khái niệm "dữ liệu cá nhân là bất khả xâm phạm" tại Việt Nam đang bị thử thách bởi quyền lực của các nền tảng công nghệ. Tối hậu thư 45 ngày của Zalo không chỉ là chuyện của một doanh nghiệp, nó là phép thử đầu tiên và quan trọng nhất cho hiệu lực của Luật Bảo vệ dữ liệu cá nhân.
Vì vậy, cơ quan chức năng cần yêu cầu Zalo giải trình về sự phù hợp của thời hạn 45 ngày. Cần xem xét dấu hiệu lạm dụng vị trí thống lĩnh, coi dữ liệu người dùng là một loại "tài sản" mà doanh nghiệp đang buộc chuyển giao với giá rẻ.
Về dài hạn, Việt Nam cần học hỏi mô hình của Trung Quốc và EU để quy định về "sự đồng ý tách biệt". Người dùng phải có quyền bấm vào các ô riêng biệt: "Đồng ý nhắn tin" nhưng "không đồng ý chia sẻ dữ liệu cho AI/quảng cáo". Hai quyền này phải độc lập. Zalo không được phép ngừng cung cấp dịch vụ cơ bản chỉ vì người dùng từ chối chia sẻ dữ liệu nâng cao.
Cần xem xét đưa Zalo vào danh mục "nền tảng số quan trọng" hoặc "dịch vụ thiết yếu số", từ đó áp đặt các nghĩa vụ cao hơn về tính trung lập và phục vụ cộng đồng. Nền tảng số phải tồn tại và phát triển vì những giá trị nhân văn và cốt lõi nhất của mỗi con người.
