Zalo chạy nước rút trước ngày Luật Bảo vệ dữ liệu cá nhân 2025 có hiệu lực?

Với 79 triệu người dùng thường xuyên, Zalo không chỉ là một ứng dụng nhắn tin mà đã trở thành "hạ tầng số" thiết yếu tại Việt Nam.

Tuy nhiên, chiến dịch yêu cầu người dùng cung cấp ảnh chụp căn cước công dân (CCCD) để định danh tài khoản ngay sát thời điểm Luật Bảo vệ dữ liệu cá nhân 2025 có hiệu lực đang vấp phải nhiều ý kiến trái chiều từ giới chuyên gia pháp lý.

Việc đặt người dùng vào tình thế "đồng ý hoặc bị khóa tài khoản" đang làm dấy lên những thảo luận về ranh giới giữa bảo mật và quyền riêng tư. Để làm rõ vấn đề này dưới lăng kính pháp luật, phóng viên báo Dân trí đã có cuộc trò chuyện với Luật sư Trần Xuân Tiền, Trưởng Văn phòng Luật sư Đồng Đội, Đoàn Luật sư TP Hà Nội.

Nguyên tắc "tự nguyện"

Thưa luật sư, điểm mới quan trọng nhất của Luật Bảo vệ dữ liệu cá nhân 2025 (có hiệu lực từ ngày 1/1/2026) là sự đề cao quyền của chủ thể dữ liệu. Trong đó, sự đồng ý phải là "tự nguyện và rõ ràng". Ông nhìn nhận thế nào về việc một nền tảng đưa ra "tối hậu thư" khóa tài khoản sau 45 ngày nếu người dùng không cung cấp CCCD?

- Để hiểu đúng vấn đề này, trước hết chúng ta phải nhìn vào bản chất của sự "tự nguyện" trong kỷ nguyên số. Theo Khoản 2 Điều 9 của Luật Bảo vệ dữ liệu cá nhân 2025, sự đồng ý chỉ có giá trị pháp lý khi người dùng có quyền lựa chọn thực sự và không bị đe dọa về việc bị hạn chế các quyền lợi cơ bản nếu họ từ chối.

Khi một nền tảng nắm giữ hạ tầng liên lạc của 79 triệu người - bao gồm cả các giao dịch công vụ và kinh doanh - đưa ra thông báo khóa tài khoản, người dùng thực tế không có quyền mặc cả.

Trong trường hợp này, Zalo đang giữ một vai trò gần như chủ yếu trong việc liên lạc tại Việt Nam. Khi một nền tảng nắm giữ hạ tầng liên lạc của 79 triệu người - bao gồm cả giao dịch công vụ và kinh doanh - đưa ra thông báo khóa tài khoản, người dùng thực tế không có quyền mặc cả. Họ buộc phải "bấm nút" đồng ý để không bị gián đoạn cuộc sống và công việc.

Dưới góc độ pháp lý, sự đồng ý thu được thông qua việc đặt điều kiện kèm theo một hình thức "chế tài" (khóa tài khoản) có thể bị xem là thiếu tính tự nguyện.

Điều 9 cũng nêu rõ sự đồng ý không được kèm theo các điều kiện bất hợp lý. Nếu việc thu thập CCCD không phải là điều kiện kỹ thuật bắt buộc để gửi một tin nhắn văn bản, thì việc gắn nó với quyền truy cập tài khoản là một dấu hỏi lớn về tính tuân thủ nguyên tắc tự nguyện.

Trường hợp người dùng vì lo sợ mất liên lạc mà buộc phải đồng ý, liệu sự đồng ý đó có "đứng vững" trước tòa nếu xảy ra tranh chấp khi luật mới có hiệu lực?

- Đây là một vấn đề thú vị về mặt tố tụng. Sau ngày 1/1/2026, mọi hoạt động xử lý dữ liệu sẽ bị soi xét dưới các tiêu chuẩn mới của Luật Bảo vệ dữ liệu cá nhân 2025.

Nếu người dùng có thể chứng minh rằng tại thời điểm đó, họ không có lựa chọn thay thế tương đương và việc nhấn "Đồng ý" là hành vi miễn cưỡng để bảo vệ lợi ích hợp pháp (như duy trì công việc), thì sự đồng ý này có nguy cơ bị tuyên là vô hiệu.

Khi sự đồng ý vô hiệu, bên thu thập dữ liệu sẽ mất đi căn cứ pháp lý để lưu trữ và khai thác kho dữ liệu đó, đồng thời phải chịu trách nhiệm về các rủi ro phát sinh.

Doanh nghiệp có cần giữ "bản sao" CCCD?

Thưa ông, một trong những lo ngại lớn nhất là việc hình thành các "kho dữ liệu CCCD" tại các doanh nghiệp tư nhân. Trong khi chúng ta đã có hệ thống VNeID và định danh qua số điện thoại, việc Zalo yêu cầu ảnh chụp CCCD có vi phạm nguyên tắc "tối thiểu hóa dữ liệu" không?

- Nguyên tắc tối thiểu hóa được quy định tại Khoản 2 điều 3 của Luật Bảo vệ dữ liệu cá nhân, yêu cầu dữ liệu thu thập phải "đúng phạm vi, mục đích và chỉ thu thập những gì thực sự cần thiết".

Chúng ta cần phân tích: Mục đích của Zalo là gì? Nếu là định danh để ngăn chặn tài khoản ảo, thì việc xác thực qua số điện thoại (vốn đã được chuẩn hóa với cơ sở dữ liệu quốc gia về dân cư) hoặc liên kết qua cổng VNeID là giải pháp ít xâm phạm hơn nhiều.

Việc yêu cầu người dùng gửi ảnh chụp đầy đủ hai mặt CCCD - nơi chứa đựng những thông tin cực kỳ nhạy cảm như đặc điểm nhận dạng, quê quán, số định danh - có thể bị xem là thu thập "quá mức cần thiết".

Đặc biệt, tôi muốn lưu ý đến Khoản 2 Điều 29 của Luật Bảo vệ dữ liệu cá nhân 2025. Đây là điều khoản dành riêng cho các mạng xã hội và dịch vụ truyền thông trực tuyến. Luật quy định rất rõ: Không được yêu cầu cung cấp hình ảnh, video chứa nội dung giấy tờ tùy thân làm yếu tố xác thực tài khoản.

Quy định này ra đời chính là để ngăn chặn việc các doanh nghiệp tư nhân tự xây dựng những "kho chứa" dữ liệu gốc của Nhà nước, nhằm giảm thiểu rủi ro khi các kho dữ liệu này bị tấn công mạng hoặc rò rỉ. Nếu Zalo vẫn tiếp tục yêu cầu ảnh chụp CCCD sau khi Luật Bảo vệ dữ liệu cá nhân 2025 có hiệu lực, họ sẽ đối mặt với rủi ro pháp lý trực diện từ điều khoản này.

Chiến thuật "chạy nước rút" và quy định chuyển tiếp

Có ý kiến cho rằng việc Zalo thực hiện cập nhật này chỉ vài tuần trước khi Luật mới có hiệu lực là một chiến thuật "tiền trảm hậu tấu" nhằm tận dụng kẽ hở của các quy định chuyển tiếp. Ông nghĩ sao về góc nhìn này?

- Thực tế, Điều 39 của Luật Bảo vệ dữ liệu cá nhân 2025 có quy định về việc chuyển tiếp: Những hoạt động xử lý dữ liệu đã được sự đồng ý trước khi Luật có hiệu lực thì không phải xin phép lại.

Việc triển khai cập nhật vào thời điểm cuối năm 2025 có thể được hiểu là một nỗ lực của doanh nghiệp để "hợp thức hóa" kho dữ liệu hiện có dưới hành lang pháp lý cũ (Nghị định 13/2023), vốn có những tiêu chuẩn về sự đồng ý linh hoạt hơn.

Nếu Zalo có được sự đồng ý của 79 triệu người dùng trước ngày 1/1/2026, về lý thuyết, họ không cần phải thực hiện lại quy trình xác thực theo tiêu chuẩn khắt khe của Luật Bảo vệ dữ liệu cá nhân 2025.

Tuy nhiên, tôi cần nhấn mạnh: Sự đồng ý chỉ là một phần. Khi Luật Bảo vệ dữ liệu cá nhân 2025 có hiệu lực, các "hành vi bị cấm" sẽ áp dụng cho tất cả. Nếu việc yêu cầu ảnh CCCD là hành vi bị cấm đối với mạng xã hội theo Điều 29, thì dù doanh nghiệp có giữ trong tay sự đồng ý của người dùng từ trước đó, họ vẫn phải điều chỉnh cách thức vận hành để phù hợp với Luật. "Sự đồng ý" không thể đứng trên "Điều cấm" của luật pháp.

Vị thế thống lĩnh và Luật Cạnh tranh

Dưới góc độ kinh tế và cạnh tranh, việc một nền tảng có sức ảnh hưởng quá lớn như Zalo áp đặt các điều khoản bất lợi cho người dùng nên được đánh giá như thế nào?

- Với quy mô 79 triệu người dùng, Zalo rõ ràng đang giữ vị thế thống lĩnh thị trường trong phân khúc ứng dụng nhắn tin tại Việt Nam. Theo Luật Cạnh tranh 2018, doanh nghiệp ở vị thế này có những nghĩa vụ đặc biệt, trong đó cấm hành vi áp đặt điều kiện bất lợi cho khách hàng.

Việc yêu cầu người dùng phải "đổi" quyền riêng tư lấy quyền được liên lạc có thể được coi là một dạng lạm dụng vị thế. Người dùng không thể dễ dàng từ bỏ Zalo vì đó là nơi họ làm việc với đối tác, nhận thông báo từ chính quyền địa phương, hay liên lạc với gia đình.

Tôi cho rằng các cơ quan quản lý cạnh tranh và bảo vệ người tiêu dùng cần có những đánh giá độc lập về việc liệu các điều khoản mới của Zalo có tạo ra sự bất bình đẳng quá lớn giữa doanh nghiệp và khách hàng hay không. Một nền tảng càng có tầm ảnh hưởng như "hạ tầng thiết yếu" thì trách nhiệm bảo vệ người dùng của họ càng phải cao hơn các doanh nghiệp thông thường.

Trong bối cảnh "tranh sáng tranh tối" này, luật sư có lời khuyên nào cho người dùng Zalo hiện nay?

- Người dùng nên tỉnh táo. Hãy đọc kỹ các điều khoản về việc dữ liệu của bạn sẽ được dùng vào mục đích gì, có chia sẻ cho bên thứ ba không. Nếu cảm thấy quyền lợi bị xâm phạm, người dùng có quyền khiếu nại lên các cơ quan chức năng hoặc kiến nghị thông qua các tổ chức bảo vệ người tiêu dùng.

Về phía doanh nghiệp, việc bảo mật dữ liệu là cần thiết, nhưng cần được thực hiện bằng các giải pháp công nghệ tiên tiến và tuân thủ nguyên tắc tối thiểu hóa của pháp luật. Thay vì ép buộc, doanh nghiệp nên tạo ra cơ chế để người dùng tin tưởng và tự nguyện chia sẻ thông tin.

Xin cảm ơn Luật sư!