Luật chơi bất cân xứng của Zalo: Sự đồng ý 'bị ép buộc'

Những ngày gần đây, các điều khoản dữ liệu mới của Zalo tiếp tục gây tranh luận trong dư luận, đặc biệt xoay quanh yêu cầu người dùng phải chấp nhận toàn bộ điều khoản hoặc chấm dứt sử dụng dịch vụ, đồng nghĩa với việc tài khoản sẽ bị xóa sau 45 ngày.

Các chuyên gia cho rằng điều này có dấu hiệu chưa đảm bảo nguyên tắc "tự nguyện", thiếu tôn trọng người dùng, nhất là việc này diễn ra ngay trước thời điểm Luật Bảo vệ dữ liệu cá nhân có hiệu lực.

Phóng viên Một Thế Giới đã có cuộc trao đổi với Luật sư Trần Minh Hùng, Văn phòng Luật sư Gia Đình, Đoàn Luật sư TP.HCM xoay quanh vấn đề này.

- Những ngày qua, Zalo trở thành tâm điểm tranh cãi khi bất ngờ yêu cầu người dùng phải chấp nhận điều khoản dịch vụ mới nếu muốn tiếp tục sử dụng nền tảng, nếu không sẽ bị khoá tài khoản. Ông nhìn nhận điều này thế nào? Dưới góc nhìn pháp lý, Zalo có vi phạm pháp luật?

Luật sư Trần Minh Hùng: Dưới góc nhìn pháp lý, việc Zalo yêu cầu người dùng phải chấp nhận điều khoản dịch vụ mới để tiếp tục sử dụng nền tảng, nếu không sẽ bị khóa tài khoản, không đương nhiên là hành vi vi phạm pháp luật, nhưng chỉ hợp pháp khi đáp ứng đầy đủ các điều kiện rất chặt chẽ của pháp luật Việt Nam về hợp đồng, bảo vệ người tiêu dùng và quyền riêng tư dữ liệu.

Nếu không đáp ứng các điều kiện này, Zalo hoàn toàn có thể bị xem xét là vi phạm pháp luật ở một hoặc nhiều khía cạnh.

Trước hết, về bản chất pháp lý, mối quan hệ giữa Zalo và người dùng là quan hệ hợp đồng dịch vụ điện tử. Điều khoản dịch vụ (Terms of Service) được coi là hợp đồng theo mẫu do Zalo soạn sẵn, người dùng chỉ có quyền chấp nhận hoặc không chấp nhận. Pháp luật Việt Nam cho phép doanh nghiệp sửa đổi hợp đồng theo mẫu, tuy nhiên quyền này không phải là quyền tuyệt đối.

Theo Bộ luật Dân sự 2015 và Luật Bảo vệ quyền lợi người tiêu dùng 2023, việc sửa đổi điều khoản chỉ hợp pháp khi đáp ứng đồng thời các yêu cầu: phải thông báo rõ ràng, minh bạch, phải cho người dùng thời gian hợp lý để xem xét, và nội dung sửa đổi không được xâm phạm quyền, lợi ích hợp pháp của người tiêu dùng hoặc tạo ra sự mất cân bằng nghiêm trọng giữa các bên.

Vấn đề pháp lý quan trọng nằm ở nội dung điều khoản mới, chứ không chỉ ở việc “bắt buộc phải chấp nhận”. Nếu điều khoản mới mở rộng quyền thu thập, khai thác, chia sẻ dữ liệu cá nhân; hạn chế quyền khiếu nại, khởi kiện của người dùng; cho phép Zalo đơn phương khóa tài khoản, chấm dứt dịch vụ mà không cần lý do chính đáng; hoặc miễn trừ trách nhiệm của Zalo trong những trường hợp gây thiệt hại cho người dùng, thì các điều khoản đó có nguy cơ vô hiệu; trong trường hợp này, dù người dùng có bấm “đồng ý”, điều khoản vi phạm pháp luật vẫn không có giá trị áp dụng.

Tiếp theo, xét dưới góc độ bảo vệ dữ liệu cá nhân, Nghị định 13/2023/NĐ-CP quy định rất rõ nguyên tắc xử lý dữ liệu cá nhân là phải dựa trên sự đồng ý tự nguyện.

Việc đặt người dùng vào tình thế “chấp nhận hoặc bị khóa tài khoản” có thể bị xem là sự đồng ý bị ép buộc, đặc biệt nếu điều khoản mới cho phép xử lý dữ liệu vượt quá mục đích ban đầu mà người dùng đã đồng ý trước đó. Trong trường hợp đó, Zalo có nguy cơ vi phạm quy định về bảo vệ dữ liệu cá nhân và có thể bị xử phạt hành chính, thậm chí bị buộc khắc phục hậu quả.

Ngoài ra, nếu Zalo đang giữ vai trò gần như nền tảng thiết yếu đối với hoạt động liên lạc, kinh doanh, làm việc của nhiều cá nhân, tổ chức, thì việc khóa tài khoản hàng loạt chỉ vì người dùng không đồng ý điều khoản mới, mà không có cơ chế bảo lưu dữ liệu, chuyển tiếp thông tin, hoặc giải pháp thay thế hợp lý, cũng có thể bị xem xét dưới góc độ lạm dụng vị thế thị trường hoặc hành vi gây thiệt hại cho người tiêu dùng, tùy từng trường hợp cụ thể.

- Trong phần “từ chối trách nhiệm đảm bảo”, Zalo nêu rằng nếu sự cố xảy ra do hacker hoặc nguyên nhân ngoài tầm kiểm soát thì doanh nghiệp có thể được miễn trách nhiệm. Liệu điều này có đang chối bỏ trách nhiệm, đẩy rủi ro về phía khách hàng?

Luật sư Trần Minh Hùng: Về nguyên tắc, pháp luật cho phép doanh nghiệp được miễn hoặc giảm trách nhiệm trong các trường hợp bất khả kháng hoặc nguyên nhân khách quan ngoài khả năng kiểm soát hợp lý.

Tuy nhiên, điều khoản này chỉ hợp pháp khi được giới hạn chặt chẽ. Nếu Zalo dùng lý do “bị hacker tấn công” hay “ngoài tầm kiểm soát” để loại trừ toàn bộ trách nhiệm, kể cả trong trường hợp sự cố xuất phát từ việc không áp dụng biện pháp bảo mật cần thiết, quản lý hệ thống lỏng lẻo hoặc vi phạm nghĩa vụ bảo vệ dữ liệu cá nhân, thì điều khoản đó có nguy cơ bị xem là chối bỏ trách nhiệm, trái với Luật Bảo vệ quyền lợi người tiêu dùng và Nghị định về bảo vệ dữ liệu cá nhân.

Như vậy, Zalo chỉ được miễn trách nhiệm với các rủi ro khách quan thực sự, còn nếu rủi ro phát sinh từ lỗi quản trị, bảo mật hay nghĩa vụ pháp lý của chính doanh nghiệp, thì không thể đẩy rủi ro đó sang cho khách hàng bằng điều khoản hợp đồng.

- Theo Luật Bảo vệ dữ liệu cá nhân, sự đồng ý của chủ thể dữ liệu chỉ hợp pháp khi mang tính tự nguyện, rõ ràng và không bị ép buộc. Vậy việc Zalo cập nhật điều khoản thu thập dữ liệu cá nhân ngay trước thời điểm Luật Bảo vệ dữ liệu cá nhân liệu có vi phạm luật này?

Luật sư Trần Minh Hùng: Về nguyên tắc pháp lý, thời điểm cập nhật điều khoản không phải là yếu tố quyết định có vi phạm hay không. Vấn đề cốt lõi nằm ở chỗ sự đồng ý của người dùng có thực sự tự nguyện, rõ ràng và không bị ép buộc hay không, như Luật Bảo vệ dữ liệu cá nhân quy định.

Nếu Zalo chỉ cập nhật, thông báo minh bạch, nêu rõ phạm vi, mục đích thu thập dữ liệu, cho người dùng thời gian cân nhắc và quyền lựa chọn phù hợp, thì không thể coi là vi phạm, dù việc cập nhật diễn ra sát thời điểm luật có hiệu lực.

Ngược lại, nếu việc cập nhật đi kèm cơ chế “chấp nhận hoặc bị khóa tài khoản”, trong khi nội dung mở rộng đáng kể phạm vi xử lý dữ liệu so với trước đây, khiến người dùng không còn lựa chọn nào khác, thì sự đồng ý đó có thể bị đánh giá là không tự nguyện.

Trong trường hợp này, Zalo có nguy cơ vi phạm quy định về bảo vệ dữ liệu cá nhân, bất kể thời điểm ban hành điều khoản là trước hay sau khi luật có hiệu lực.

Xin cảm ơn ông!

Lam Thanh