Chuyện gì sẽ xảy ra với zalo nếu như họ thu thập dữ liệu cá nhân sau ngày 1/1/2026

Sự việc Zalo yêu cầu người dùng cập nhật điều khoản dịch vụ mới với lựa chọn “chấp nhận hoặc bị xóa tài khoản” diễn ra mấy ngày qua, đã và đang vấp phải sự phản đối vô cùng mạnh mẽ từ đông đảo người dùng trên cả nước, thổi bùng lên làn sóng đòi tẩy chay ứng dụng này.

Bước đệm cho sự minh bạch hay hành vi cưỡng ép số?

Zalo mới đây đã khiến hơn 78 triệu người dùng xôn xao khi cập nhật Điều 5 và Điều 8 trong Thỏa thuận dịch vụ. Theo đó, đơn vị phát hành (VNG) yêu cầu quyền thu thập một danh mục dữ liệu đồ sộ: từ số điện thoại, CCCD đến mối quan hệ gia đình, vị trí và thông tin thanh toán. Đáng chú ý, nếu người dùng không nhấn đồng ý, tài khoản của họ sẽ bị xóa trong vòng 45 ngày.

Dưới góc độ công nghệ, việc cập nhật điều khoản là hoạt động bình thường của các nền tảng lớn. Tuy nhiên, việc gắn kèm điều kiện “xóa tài khoản” đã đẩy người dùng vào thế khó. Tại Việt Nam, Zalo không chỉ là ứng dụng nhắn tin mà đã trở thành một hệ sinh thái gắn liền với công việc, học tập và giao dịch hành chính. Việc buộc phải đồng ý để duy trì liên lạc thiết yếu đang bị các chuyên gia pháp lý đặt dấu hỏi về tính “tự nguyện” – một nguyên tắc vàng trong bảo vệ dữ liệu.

Bắt đầu từ ngày 1/1/2026, khi Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 bắt đầu có hiệu lực, lúc đó mọi hoạt động xử lý dữ liệu của các nền tảng như Zalo sẽ bị soi chiếu dưới các điều khoản nghiêm ngặt của luật. Dựa trên bản thảo luật, Zalo có thể đối mặt với 3 nhóm sai phạm lớn.

Trong Luật quy định rõ tại Điều 9: Sự đồng ý chỉ có hiệu lực khi dựa trên sự tự nguyện và biết rõ. Đặc biệt, khoản 4 Điều 9 nhấn mạnh sự đồng ý "không được kèm theo điều kiện bắt buộc phải đồng ý với các mục đích khác với nội dung thỏa thuận". Việc Zalo gộp tất cả các quyền thu thập dữ liệu nhạy cảm (như CCCD, vị trí) vào một nút "Đồng ý" duy nhất và đe dọa xóa tài khoản nếu từ chối chính là hành vi vi phạm trực tiếp nguyên tắc này. Người dùng có quyền từ chối cung cấp dữ liệu không thiết yếu mà vẫn được sử dụng dịch vụ cơ bản.

ảnh minh họa.

Theo nguyên tắc tối thiểu hóa dữ liệu, doanh nghiệp chỉ được thu thập dữ liệu đúng phạm vi và mục đích cụ thể. Một ứng dụng nhắn tin cần số điện thoại để định danh, nhưng liệu có cần thiết phải thu thập số CCCD hay mối quan hệ gia đình của tất cả người dùng? Nếu Zalo không chứng minh được tính cần thiết của các loại dữ liệu này cho dịch vụ cốt lõi, dấu hiệu họ sẽ bị vi phạm Điều 11 về thu thập dữ liệu trái quy định.

Điều khoản hiện tại của Zalo cho phép hãng "từ chối yêu cầu rút lại sự đồng ý" nếu không đáp ứng điều kiện của hãng. Điều này hoàn toàn đi ngược lại Điều 10 của Luật, vốn quy định bên kiểm soát dữ liệu phải tạo điều kiện thuận lợi và kịp thời thực hiện yêu cầu rút lại sự đồng ý của chủ thể dữ liệu.

Zalo đã tiết kiệm rất nhiều tỷ đồng tiền phạt?

Nếu những vi phạm trên tiếp diễn sau mốc 1/1/2026, cái giá phải trả cho các nền tảng số sẽ không còn là những con số mang tính tượng trưng. Theo Điều 8 về xử lý vi phạm, khung hình phạt được thiết kế có tính răn đe rất cao. Cụ thể, phạt tiền đến 3 tỷ đồng: Đối với các hành vi vi phạm quy định chung về xử lý dữ liệu cá nhân (áp dụng cho tổ chức)

Phạt 5% doanh thu. Đây là đòn giáng mạnh nhất. Nếu hành vi vi phạm liên quan đến việc chuyển dữ liệu cá nhân xuyên biên giới không đúng quy định (ví dụ lưu trữ trên máy chủ nước ngoài mà hồ sơ đánh giá tác động không chuẩn xác), Zalo có thể bị phạt tới 5% doanh thu năm trước liền kề. Với quy mô doanh thu hàng nghìn tỷ đồng của VNG, con số này sẽ là một tổn thất kinh tế khổng lồ.

Phạt 10 lần khoản thu bất chính: Nếu cơ quan chức năng chứng minh được việc thu thập dữ liệu ép buộc này nhằm mục đích mua bán hoặc trục lợi từ bên thứ ba. Ngoài ra  tổ chức vi phạm có thể bị truy cứu trách nhiệm hình sự và phải bồi thường thiệt hại cho hàng triệu người dùng nếu xảy ra sự cố lộ lọt dữ liệu từ những thông tin thu thập trái phép.

Sau khi zalo có hành động áp đặt, làn sóng tảy chay ứng dụng này ngày càng lớn. Nhiều người đang chuyển sang các úng dựng như Signal, Viber, Whats App các nền tảng này có tính bảo mật cao và tôn trọng khách hàng hơn.

Hành vi của Zalo không chỉ là cá biệt. Nó là hồi chuông cảnh báo cho tất cả các doanh nghiệp đang vận hành dựa trên dữ liệu người dùng tại Việt Nam. Để không vướng vào vòng lao lý sau năm 2026, các nền tảng cần thực hiện hai thay đổi mang tính sống còn:

Thay vì một nút đồng ý chung, hãy cho phép người dùng lựa chọn từng loại dữ liệu muốn chia sẻ. Chẳng hạn, người dùng có thể đồng ý chia sẻ số điện thoại nhưng từ chối chia sẻ vị trí mà không bị khóa tài khoản. Doanh nghiệp phải thực hiện đánh giá rủi ro và gửi hồ sơ cho Bộ Công an để chứng minh rằng quy trình xử lý dữ liệu của mình là an toàn và cần thiết (theo Điều 21).

Dữ liệu cá nhân là tài sản của mỗi công dân, không phải là đặc quyền khai thác vô tận của doanh nghiệp. Việc Luật Bảo vệ dữ liệu cá nhân sắp có hiệu lực sẽ chấm dứt thời kỳ "ép" người dùng vào thế yếu. Zalo và các nền tảng khác cần hiểu rằng, niềm tin của người dùng mới là tài sản quý giá nhất, và niềm tin đó chỉ được xây dựng trên sự tôn trọng quyền riêng tư thực chất, thay vì những dòng điều khoản mang tính áp đặt.