Sau khi xin "hoãn binh" vào sáng nay với Ủy ban Cạnh tranh Quốc gia, Công ty VNG đã bất ngờ tung ra "Thông báo về việc cập nhật Điều khoản sử dụng" vào lúc giữa trưa (13h16' - 31/12/2025).
Theo giải thích của VNG, việc cập nhật Điều khoản sử dụng Zalo là để giúp người dùng hiểu rõ hơn về cách dữ liệu cá nhân được xử lý, tăng cường bảo vệ quyền riêng tư, cũng như đảm bảo sự tuân thủ các quy định của pháp luật Việt Nam.
Thông báo này dẫn người sử dụng đến bài viết "Các vấn đề thường được quan tâm về điều khoản sử dụng" - Hướng dẫn sử dụng (help.zalo.me), với 6 nội dung như để giải thích với người đọc. Tuy nhiên, bài viết này không ghi, không thể hiện công khai về thời gian xuất bản.
Zalo bất ngờ tung ra "Thông báo về việc cập nhật Điều khoản sử dụng" vào lúc giữa trưa, sau khi đề xuất lùi lịch làm việc theo yêu cầu của Ủy ban Cạnh tranh Quốc gia.
Hãy cùng Tạp chí Thương Trường tiếp tục đối chiếu nội dung bản "cập nhật Điều khoản sử dụng" của Zalo vào trưa nay so với Nghị định 13/2023/NĐ-CP và Luật Bảo vệ dữ liệu cá nhân 2025 (Luật BVDLCN, hiệu lực từ 1/1/2026), để rõ hơn về những "lỗ hổng" hay đúng hơn là những điểm bất lợi/rủi ro tiềm ẩn đối với người dùng sẽ ra sao?
Về cơ chế "Đồng ý trọn gói" (Take it or Leave it)
Mặc dù pháp luật quy định sự đồng ý của chủ thể dữ liệu phải dựa trên sự tự nguyện và được biết rõ nội dung (Điều 9 Luật BVDLCN và Điều 11 Nghị định 13), nhưng cách tiếp cận của Zalo đặt người dùng vào tình thế "được ăn cả, ngã về không".
Zalo vẫn tuyên bố nếu người dùng không đồng ý với Điều khoản sử dụng mới, họ sẽ không đủ cơ sở pháp lý để cung cấp dịch vụ và buộc phải xóa dữ liệu của người dùng.
Như vậy, Người dùng vẫn không có quyền đàm phán hay lựa chọn chỉ đồng ý một phần (ví dụ: đồng ý cho xử lý số điện thoại để chat, nhưng không đồng ý cung cấp thông tin thiết bị để cải thiện hiệu năng). Điều này tạo ra một áp lực "cưỡng ép" gián tiếp: Hoặc chấp nhận toàn bộ, hoặc mất tài khoản và toàn bộ lịch sử liên lạc.
Sự mơ hồ trong định nghĩa "Trường hợp giới hạn" khi thu thập dữ liệu cá nhân
Zalo nêu rõ họ cần thu thập thông tin Căn cước công dân (CCCD) và quan hệ gia đình (đối với người dưới 16 tuổi).
"Thông tin CCCD chỉ được thu thập trong một số trường hợp giới hạn khi cần xác minh, bảo vệ tài khoản, chống lừa đảo. Việc xử lý các thông tin này luôn tuân thủ quy định của pháp luật. Ngoài ra, Zalo có nghĩa vụ phải yêu cầu thông tin về quan hệ gia đình, nhằm xác minh người giám hộ và bảo đảm quyền lợi với người dưới 16 tuổi." Zalo cam kết chỉ thu thập CCCD trong "một số trường hợp giới hạn" như xác minh tài khoản, chống lừa đảo.
Tuy nhiên, cụm từ "trường hợp giới hạn" hay "bảo vệ tài khoản" chỉ mang tính định tính. Người dùng khó kiểm soát được khi nào Zalo cho rằng tài khoản của họ cần xác minh. Một khi đã đồng ý với Điều khoản sử dụng chung, người dùng đã trao cho Zalo quyền quyết định thời điểm yêu cầu cung cấp dữ liệu cá nhân cơ bản. Nếu từ chối cung cấp tại thời điểm đó, người dùng có thể bị gián đoạn dịch vụ dù đã đồng ý điều khoản ban đầu.
Tóm tắt nội dung "Thông báo về việc cập nhật Điều khoản sử dụng" của Zalo vào trưa ngày 31/12.
Rủi ro chia sẻ dữ liệu với "Bên thứ ba" trong hệ sinh thái
Zalo tích hợp nhiều tiện ích (Mini Apps) và cho phép chia sẻ dữ liệu khi người dùng truy cập ứng dụng bên thứ ba; đẩy quyền quyết định cho người dùng bằng cách hiển thị màn hình xác nhận.
Đây là lỗ hổng về "nhận thức người dùng" (User Awareness). Với thói quen bấm "Đồng ý" nhanh chóng để sử dụng dịch vụ tiện ích, người dùng có thể vô tình chia sẻ dữ liệu cá nhân cho các bên thứ ba mà Zalo không kiểm soát trực tiếp. Khi dữ liệu đã sang bên thứ ba, Zalo hết trách nhiệm trực tiếp, và người dùng phải tự đối mặt với rủi ro lộ lọt từ các ứng dụng con này.
Ngoài ra, Zalo cũng đưa ra khẳng định "Zalo chủ động không lưu trữ nội dung tin nhắn, cuộc gọi giữa các cá nhân. Chúng tôi cam kết không sử dụng nội dung tin nhắn, cuộc gọi giữa các cá nhân cho mọi mục đích.".
Tuy nhiên, trên thực tế qua 24 giờ sử dụng, khi người dùng thực hiện thu hồi tin nhắn trên Zalo đều nhận được thông báo "Bạn chỉ có thể thu hồi tin nhắn trong 1 ngày sau khi gửi.". Vậy, Zalo đã chủ động hay không chủ động lưu trữ nội dung tin nhắn?
Tình trạng pháp lý của mã hóa đầu cuối (E2EE)
Zalo khẳng định họ không lưu trữ nội dung tin nhắn và đang thực hiện thủ tục xin phép để triển khai mã hóa đầu cuối (E2EE).
Việc Zalo nói "đang thực hiện các thủ tục xin phép cơ quan chức năng để triển khai" cho thấy tính năng bảo mật cao nhất này có thể chưa/đã được áp dụng toàn diện hoặc chưa hoàn tất về mặt pháp lý tại thời điểm thông báo.
Trong khoảng thời gian "chờ xin phép" này, dù Zalo cam kết không lưu trữ tin nhắn, nhưng về mặt kỹ thuật, dữ liệu trên đường truyền có thể chưa đạt được mức độ bảo mật tuyệt đối như chuẩn E2EE mà người dùng kỳ vọng. Điều này đặt ra rủi ro trong trường hợp có yêu cầu truy xuất từ cơ quan nhà nước hoặc sự cố tấn công mạng trước khi E2EE được hợp thức hóa hoàn toàn.
Quyền rút lại sự đồng ý đi kèm "cái giá" quá đắt
Pháp luật (Điều 10 Luật BVDLCN và Điều 12 Nghị định 13) cho phép người dùng rút lại sự đồng ý.
Zalo tuân thủ việc cho phép người dùng điều chỉnh quyền riêng tư hoặc liên hệ để giải quyết. Tuy nhiên, Zalo cũng nêu rõ nếu không có sự đồng ý (tương đương với việc rút lại sự đồng ý cốt lõi), họ phải xóa dữ liệu.
Việc thực thi quyền "rút lại sự đồng ý" trên thực tế đồng nghĩa với việc tự hủy tài khoản. Không có "vùng xám" cho việc người dùng muốn tiếp tục sử dụng dịch vụ cơ bản nhưng rút lại quyền xử lý đối với một số dữ liệu không thiết yếu (như dữ liệu hành vi để tối ưu hóa trải nghiệm).
Tóm lại, việc cập nhật này về mặt câu chữ là để tuân thủ Nghị định 13/2023/NĐ-CP và hướng tới Luật Bảo vệ dữ liệu cá nhân 2025, nhưng nó tạo ra một "hợp đồng gia nhập" (adhesion contract) chặt chẽ hơn.
Để dễ hình dung, việc này giống như bạn thuê một căn nhà (dùng Zalo): Trước đây chủ nhà chỉ cần bạn trả tiền (xem quảng cáo/dùng dịch vụ), nay chủ nhà yêu cầu bạn phải ký cam kết cung cấp cả sơ yếu lý lịch và chìa khóa phòng ngủ (dữ liệu riêng tư) với lý do "để đảm bảo an ninh tòa nhà". Nếu bạn không ký, bạn buộc phải dọn ra khỏi nhà ngay lập tức, không có lựa chọn đàm phán nào khác.
Hải Phòng