Tối hậu thư của Zalo sẽ bị phạt nặng... nếu ở châu Âu
Tại châu Âu, "tối hậu thư" xóa tài khoản vì người dùng từ chối chia sẻ dữ liệu phụ trợ sẽ bị coi là vi phạm nghiêm trọng nguyên tắc tự do ý chí và có thể đối mặt với những án phạt khổng lồ.
Phải thừa nhận Zalo đã trở thành một "siêu ứng dụng" thâm nhập sâu vào mọi ngõ ngách của đời sống người Việt, từ liên lạc gia đình, điều hành công việc hành chính cho đến kinh doanh thương mại. Thế nên, việc đặt người dùng vào thế "được ăn cả, ngã về không" đã làm dấy lên câu hỏi lớn về quyền tự quyết của chủ thể dữ liệu.
Để trả lời cho câu hỏi liệu hành vi này có được chấp nhận trong một xã hội số văn minh hay không, chúng ta cần soi chiếu nó qua lăng kính của các nền pháp lý phát triển trên thế giới, nơi ranh giới của sự "tự nguyện" đã được định hình rất rõ ràng.
Châu Âu và lằn ranh đỏ về sự bất cân xứng quyền lực
Nhìn ra thế giới, Tiến sĩ Nguyễn Tấn Sơn - Chủ nhiệm cấp cao bộ môn Kế toán và Luật tại Đại học RMIT Việt Nam cho rằng các hệ thống pháp luật phát triển đã sớm nhận diện rủi ro từ việc “buộc đồng ý” trong môi trường số, và Liên minh châu Âu (EU) là nơi đi đầu trong việc thiết lập các chuẩn mực khắt khe này. Tại đây, Quy định Bảo vệ Dữ liệu Chung (GDPR), văn bản được coi là "tiêu chuẩn vàng" về quyền riêng tư quy định cực kỳ nghiêm ngặt về tính hợp lệ của sự đồng ý. Theo đó, sự đồng ý của người dùng chỉ có giá trị pháp lý nếu nó được đưa ra một cách hoàn toàn tự nguyện, cụ thể, có đầy đủ thông tin và thể hiện rõ ràng ý chí của chủ thể.
Điểm mấu chốt mà các nhà làm luật châu Âu nhấn mạnh nằm ở khái niệm "sự tự nguyện". Luật pháp tại đây chỉ ra rằng, sự đồng ý không thể được coi là tự nguyện nếu tồn tại sự chênh lệch quyền lực rõ rệt giữa chủ thể dữ liệu (người dùng cá nhân) và bên kiểm soát dữ liệu (nền tảng công nghệ). Mối quan hệ giữa người dùng và một nền tảng thống lĩnh thị trường như Zalo tại Việt Nam (hay Facebook/WhatsApp tại châu Âu) chính là ví dụ điển hình cho sự bất cân xứng này. Khi một ứng dụng trở thành hạ tầng thiết yếu cho đời sống xã hội, người dùng thực chất không có quyền đàm phán.
Trên cơ sở đó, Ủy ban Bảo vệ Dữ liệu Châu Âu (EDPB) đã nhiều lần khẳng định quan điểm cứng rắn đối với các mô hình kiểu “đồng ý thì được dùng, không đồng ý thì bị loại khỏi dịch vụ”. Các cơ quan này cho rằng việc buộc người dùng phải chấp nhận chia sẻ dữ liệu (cho các mục đích không thực sự cần thiết để vận hành dịch vụ cốt lõi) để đổi lấy quyền tiếp cận dịch vụ là một hình thức cưỡng ép.
Đặc biệt, khi dịch vụ đó mang tính thiết yếu đối với đời sống, doanh nghiệp không được phép dùng việc cắt quyền tiếp cận làm "đòn bẩy" kinh tế hay kỹ thuật để buộc người dùng từ bỏ quyền riêng tư. Nói cách khác, tại châu Âu, "tối hậu thư" xóa tài khoản vì người dùng từ chối chia sẻ dữ liệu phụ trợ sẽ bị coi là vi phạm nghiêm trọng nguyên tắc tự do ý chí và có thể đối mặt với những án phạt khổng lồ.
Từ Úc đến Canada: Trách nhiệm minh bạch thuộc về doanh nghiệp
Không chỉ tại châu Âu, các quốc gia phát triển khác cũng đang siết chặt vòng kim cô đối với các hành vi thu thập dữ liệu mang tính ép buộc. Tại Australia, nguyên tắc cốt lõi trong bảo vệ quyền riêng tư là tính "cần thiết và hợp lý". Việc thu thập thông tin cá nhân,nhất là các thông tin nhạy cảm hoặc dữ liệu phái sinh, chỉ được phép thực hiện khi nó thực sự cần thiết cho các hoạt động chức năng của doanh nghiệp.
Cách tiếp cận của Australia đặt gánh nặng chứng minh lên vai doanh nghiệp. Zalo, nếu hoạt động tại thị trường này, sẽ phải chứng minh rằng việc chia sẻ dữ liệu người dùng cho bên thứ ba là điều kiện tiên quyết không thể thiếu để gửi một tin nhắn hay thực hiện một cuộc gọi. Nếu không chứng minh được mối quan hệ nhân quả trực tiếp này, việc yêu cầu người dùng đồng ý dưới sức ép xóa tài khoản sẽ bị coi là thu thập dữ liệu trái phép và lạm quyền. Người dùng không phải tự đi chứng minh mình bị xâm phạm; chính doanh nghiệp phải giải trình sự hợp lý trong yêu cầu của mình.
Tương tự, tại Canada, pháp luật về quyền riêng tư đã nâng cấp tiêu chuẩn lên mức “đồng ý có ý nghĩa” (meaningful consent). Khái niệm này đòi hỏi người dùng không chỉ đơn thuần là bấm vào một nút "Tôi đồng ý" vô hồn để cho qua chuyện, mà họ phải thực sự hiểu rõ dữ liệu của mình sẽ đi về đâu, được sử dụng vào mục đích gì và có thể dẫn đến những hệ quả rủi ro nào. Văn phòng Ủy viên Quyền riêng tư của Canada (OPC) đã nêu rõ rằng, các điều khoản sử dụng dài lê thê, ngôn ngữ phức tạp và được đặt trong bối cảnh người dùng bị dồn vào thế “không còn lựa chọn” sẽ không bao giờ tạo ra sự đồng ý hợp lệ.
Việc tiếp tục sử dụng dịch vụ vì sợ bị mất liên lạc, hay bấm đồng ý vì sợ tài khoản bị xóa sau 45 ngày, theo luật pháp Canada, là hành động bị chi phối bởi hoàn cảnh chứ không phải là sự đồng thuận thực sự. Do đó, bất kỳ dữ liệu nào thu thập được từ sự "đồng ý cưỡng bức" này đều bị coi là bất hợp pháp.
Soi chiếu từ các lăng kính pháp lý quốc tế này trở về Việt Nam, có thể thấy "tối hậu thư" của Zalo đang đi ngược lại xu thế văn minh chung của nhân loại về bảo vệ quyền con người trong kỷ nguyên số. Khi Luật Bảo vệ dữ liệu cá nhân 2025 của Việt Nam chính thức có hiệu lực, với nhiều quy định tiệm cận các chuẩn mực quốc tế nêu trên, hành động của Zalo không chỉ là một rủi ro về mặt truyền thông mà còn là một canh bạc pháp lý đầy rủi ro. Người dùng Việt Nam, với sự bảo hộ của luật mới, xứng đáng được đối xử công bằng và tôn trọng hơn, thay vì bị đặt lên bàn cân để đánh đổi giữa sự tiện ích và quyền riêng tư.