Việc Zalo cập nhật điều khoản sử dụng dịch vụ mới những ngày qua đã vấp phải phản ứng gay gắt từ người dùng, gây nhiều tranh cãi về cách thức buộc người dùng phải “nhấp chuột chấp nhận” hoặc rời khỏi nền tảng. Trong khi đó, các điều khoản do Zalo đơn phương thiết lập được cho là đưa ra “luật chơi mới”, đặc biệt trong việc nền tảng này sử dụng dữ liệu cá nhân của người dùng.

Khảo sát của VnExpress từ ngày 28 đến chiều 31/12 với hơn 28.000 lượt tham gia cho thấy 86% người được hỏi phản đối cách làm của Zalo, cho rằng nền tảng nên có cách thông báo khác; 10% coi việc này “bình thường” vì các nền tảng khác vẫn cập nhật mà không thông báo cho người dùng.

Đến 31/12, phía Zalo lần đầu phản hồi liên quan đến quyền riêng tư của người dùng và một số thay đổi trong điều khoản sử dụng, giải thích về vấn đề lưu trữ, chia sẻ dữ liệu và tuyên bố đảm bảo tính bảo mật. Tuy nhiên, các chuyên gia luật cho rằng các điều khoản trong hợp đồng mẫu của Zalo đưa ra trước đó vẫn bao hàm những nội dung rất rộng, “có dấu hiệu phạm luật và chứa nhiều rủi ro” cho cả người dùng và nhà cung cấp.

Điều khoản hợp đồng mẫu và nghi vấn thiếu tính tự nguyện

Phân tích các điều khoản sử dụng mới của Zalo, thạc sĩ luật Nguyễn Đức Hiếu (giảng viên Đại học Quốc tế – ĐHQG TP HCM) nói, về bản chất đây là hợp đồng mẫu theo Điều 405 Bộ luật Dân sự 2015. Doanh nghiệp đã soạn sẵn toàn bộ nội dung, người dùng chỉ có quyền chấp nhận hoặc từ chối, không có khả năng thương lượng hay sửa đổi các điều khoản cơ bản. Việc không chấp nhận đồng nghĩa với việc không thể tiếp tục sử dụng dịch vụ.

Hợp đồng mẫu được Luật Bảo vệ quyền lợi người tiêu dùng 2023 thừa nhận, song đồng thời đặt ra các giới hạn pháp lý. Điều 26 của luật này quy định nhiều nhóm điều khoản có thể bị vô hiệu nếu: loại trừ trách nhiệm của doanh nghiệp, cho phép đơn phương thay đổi hợp đồng hoặc hạn chế quyền người tiêu dùng một cách bất hợp lý.

Còn Luật Giao dịch điện tử 2023 công nhận giá trị pháp lý của hành vi “nhấp chuột chấp nhận”, song việc công nhận hiệu lực về hình thức không đồng nghĩa với hợp pháp hóa mọi nội dung. Nguyên tắc tự do, tự nguyện giao kết hợp đồng theo Bộ luật Dân sự 2015 vẫn phải được bảo đảm.

“Trong thực tiễn, việc buộc người dùng chấp nhận toàn bộ điều khoản mới hoặc bị loại khỏi nền tảng đặt ra nghi vấn về tính tự nguyện thực chất. Khi không có lựa chọn thay thế khả thi hoặc cơ chế chấp thuận từng phần, sự đồng ý dễ mang tính hình thức”, ông Hiếu nhận định.

Đặc biệt, theo quy định về bảo vệ dữ liệu cá nhân, việc xử lý dữ liệu phải dựa trên sự đồng ý rõ ràng, cụ thể và có thể rút lại. Nếu hợp đồng mẫu buộc người dùng chấp nhận toàn bộ mục đích xử lý dữ liệu, kể cả việc mở rộng hoặc chia sẻ cho bên thứ ba mà không cho phép lựa chọn riêng lẻ, thì hợp đồng đó mang dấu hiệu của hợp đồng mẫu áp đặt, không được hình thành trên cơ sở đàm phán bình đẳng.

Vấn đề pháp lý then chốt không nằm ở việc hợp đồng mẫu có được phép hay không, mà ở giới hạn nội dung của hợp đồng mẫu trong mối quan hệ với quyền cơ bản của người dùng, đặc biệt là quyền đối với dữ liệu cá nhân. Hợp đồng mẫu không bị cấm, nhưng phải tuân thủ các nguyên tắc của pháp luật dân sự, bảo vệ người tiêu dùng và quy định chuyên ngành về dữ liệu cá nhân, nhất là Luật Bảo vệ dữ liệu cá nhân có hiệu lực từ hôm nay – ngày 1/1.

“Hợp đồng mẫu nếu chứa điều khoản trái pháp luật hoặc xâm phạm quyền cơ bản của người dùng, các điều khoản đó có thể bị tuyên vô hiệu, thậm chí toàn bộ hợp đồng có thể không được tòa án công nhận”, ông Hiếu nêu quan điểm.

Cùng quan điểm, luật sư Nguyễn Minh Hùng (Đoàn luật sư TP HCM) đặt vấn đề, theo Luật Bảo vệ dữ liệu cá nhân vừa có hiệu lực, sự đồng ý của chủ thể dữ liệu chỉ hợp pháp khi mang tính tự nguyện, rõ ràng và không bị ép buộc. Trong trường hợp này, Zalo có nguy cơ vi phạm các quy định về bảo vệ dữ liệu cá nhân, bất kể điều khoản được ban hành trước hay sau khi luật có hiệu lực.

Ông Hùng phân tích, về nguyên tắc pháp lý, thời điểm cập nhật điều khoản không phải là yếu tố quyết định có vi phạm pháp luật hay không. Vấn đề cốt lõi nằm ở việc sự đồng ý của người dùng có thực sự tự nguyện, rõ ràng và không bị ép buộc, đúng như yêu cầu của pháp luật về bảo vệ dữ liệu cá nhân quy định.

Nếu Zalo chỉ cập nhật điều khoản theo hướng minh bạch, nêu rõ phạm vi và mục đích thu thập dữ liệu, đồng thời cho người dùng thời gian cân nhắc và quyền lựa chọn phù hợp, thì không thể coi là vi phạm, dù việc cập nhật (cuối tháng 12/2025) diễn ra sát thời điểm luật có hiệu lực.

Ngược lại, nếu việc cập nhật đi kèm cơ chế “chấp nhận hoặc bị khóa tài khoản”, trong khi nội dung mở rộng đáng kể phạm vi xử lý dữ liệu so với trước đây, khiến người dùng không còn lựa chọn thực chất nào khác, thì sự đồng ý đó có thể bị đánh giá là không tự nguyện.

Điều khoản mới chứa nội dung bao trùm, khó kiểm chứng

Các chuyên gia luật cũng cho rằng, điều khoản sử dụng mới của Zalo cho thấy xu hướng mở rộng đáng kể phạm vi thu thập và xử lý dữ liệu cá nhân. Ngoài các thông tin cơ bản như số điện thoại, họ tên hay danh bạ, phạm vi dữ liệu còn bao gồm nhiều dữ liệu nhạy cảm như thông tin định danh (CCCD/ID), dữ liệu vị trí, dữ liệu hành vi, lịch sử tương tác và dữ liệu phát sinh trong quá trình sử dụng dịch vụ.

Đáng chú ý, điều khoản còn đề cập khả năng chia sẻ dữ liệu với các công ty liên kết, đối tác trong cùng hệ sinh thái, làm dấy lên lo ngại dữ liệu người dùng có thể bị khai thác vượt ra ngoài kỳ vọng ban đầu khi sử dụng ứng dụng nhắn tin.

Đồng quan điểm, giảng viên Nguyễn Đức Hiếu cho rằng, vấn đề pháp lý cốt lõi không nằm ở việc thu thập bao nhiêu dữ liệu, mà ở mục đích sử dụng và mức độ minh bạch.

Theo các nguyên tắc của Luật Bảo vệ dữ liệu cá nhân, dữ liệu chỉ được xử lý cho mục đích cụ thể, rõ ràng, hợp pháp và trong phạm vi cần thiết. “Nội hàm các điều khoản không thể đưa ra theo hướng ‘thu gom trước, giải thích sau’ hoặc mở rộng mục đích thông qua các điều khoản mang tính bao trùm, khó kiểm chứng”, ông Hiếu nói.

Đối với dữ liệu nhạy cảm và dữ liệu định danh, pháp luật yêu cầu điều kiện nghiêm ngặt hơn, trong đó người dùng phải được thông tin rõ dữ liệu nào được thu thập, dùng vào mục đích gì, trong thời gian bao lâu và có chia sẻ cho bên thứ ba hay không. Nếu các nội dung này chỉ được mô tả khái quát hoặc gộp chung trong một sự đồng ý toàn phần, nguy cơ vi phạm nguyên tắc minh bạch là rất lớn.

Ngoài ra, việc buộc người dùng “chấp nhận toàn bộ điều khoản hoặc ngừng sử dụng dịch vụ” có thể làm suy giảm khả năng thực thi các quyền kiểm soát dữ liệu như quyền biết, rút lại sự đồng ý, hạn chế xử lý hoặc yêu cầu xóa dữ liệu, khiến quyền của người dùng chỉ mang tính hình thức.

Rủi ro pháp lý cho người dùng và cả Zalo

Từ góc độ quản lý dữ liệu, ông Hiếu cho rằng, việc chưa minh bạch về phạm vi chia sẻ dữ liệu trong hệ sinh thái doanh nghiệp và cơ chế bảo vệ dữ liệu khi chuyển cho bên thứ ba không chỉ tiềm ẩn rủi ro pháp lý, mà còn ảnh hưởng trực tiếp đến niềm tin của người dùng trong môi trường số.

Lợi thế của các hợp đồng mẫu là tiện lợi và thống nhất, nhưng nhược điểm là dễ tạo ra sự mất cân bằng quyền và nghĩa vụ. Ví dụ, một số điều khoản miễn trừ trách nhiệm của Zalo đối với tính ổn định dịch vụ hoặc an toàn thông tin khiến người dùng cảm thấy bị đặt ở thế bất lợi – nhất là trong các tình huống dữ liệu bị lộ, sử dụng trái phép hoặc bị chia sẻ với bên thứ ba.

Một hợp đồng mẫu chứa điều khoản “miễn trừ trách nhiệm rộng” như vậy có thể bị coi là điều khoản vô hiệu một phần. Nếu phát sinh tranh chấp, tòa án sẽ xem xét là loại trừ trách nhiệm một cách phi lý và ảnh hưởng đến quyền lợi cơ bản của người dùng.

Ông Hiếu đánh giá, điều khoản sử dụng mới của Zalo có thể được xác định là một hợp đồng mẫu theo đúng nghĩa pháp lý, song điều đó không đồng nghĩa với việc mọi nội dung trong hợp đồng đều đương nhiên hợp pháp. Trong bối cảnh pháp luật bảo vệ dữ liệu cá nhân ngày càng được siết chặt, các nền tảng số buộc phải tái cân bằng giữa lợi ích kinh doanh và quyền cơ bản của người dùng. Nếu không, chính đề nghị “đồng ý toàn bộ hoặc rời đi” sẽ trở thành điểm rủi ro pháp lý lớn nhất đối với các hợp đồng mẫu trong nền kinh tế số.

“Do đó, để đảm bảo quyền lợi thực sự của người dùng, Zalo cần phải chứng minh cho các lời giải thích bằng việc điều chỉnh các điều khoản này cho phù hợp với pháp luật hơn”, ông Nguyễn Đức Hiếu nêu quan điểm.

Zalo hiện là nền tảng nhắn tin, mạng xã hội có lượng người dùng lớn nhất Việt Nam, với khoảng 80 triệu người dùng thường xuyên mỗi tháng và gần 2 tỷ tin nhắn được gửi đi mỗi ngày, theo số liệu do nền tảng công bố.

Ngày 31/12/2025, Ủy ban Cạnh tranh Quốc gia (Bộ Công Thương) cho biết đã nhận đề xuất lùi lịch làm việc của Công ty VNG liên quan việc thu thập, sử dụng thông tin người dùng và cung cấp dịch vụ trên nền tảng Zalo. Buổi làm việc dự kiến diễn ra trong ngày, song VNG cho biết cần thêm thời gian chuẩn bị do nội dung liên quan nhiều mảng nghiệp vụ.

Để hạn chế rủi ro và bảo vệ quyền lợi người tiêu dùng, Ủy ban Cạnh tranh Quốc gia yêu cầu VNG rà soát, điều chỉnh cách triển khai thỏa thuận sử dụng dịch vụ Zalo. Theo đó, ứng dụng không được đặt người dùng vào tình thế buộc phải đồng ý cho thu thập, lưu trữ, sử dụng thông tin cá nhân để tiếp tục sử dụng dịch vụ, đồng thời phải bảo đảm quyền lựa chọn, thể hiện sự đồng ý hoặc không đồng ý của người dùng.

Theo sohoa