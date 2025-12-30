Ngày 29/12, Ủy ban Cạnh tranh Quốc gia mời Công ty Cổ phần Tập đoàn VNG làm việc về việc thu thập, sử dụng thông tin người dùng và cung cấp dịch vụ trên nền tảng Zalo. Kết quả cuộc làm việc như thế nào chúng ta chờ thông tin chính thức từ cơ quan chức năng.

Câu chuyện phần nào liên quan đến việc những ngày vừa qua, hàng triệu người dùng tại Việt Nam bật điện thoại lên và nhận được thông báo từ ứng dụng nhắn tin họ vẫn dùng hàng ngày. Nội dung ngắn gọn, đại ý: cập nhật điều khoản mới, đồng ý hoặc tài khoản sẽ bị xóa sau 45 ngày. Không có lựa chọn thứ ba. Không có ô đánh dấu riêng cho từng mục đích thu thập dữ liệu.

Đây có phải là sự đồng ý tự nguyện mà pháp luật yêu cầu? Nhất là trong bối cảnh nền tảng số này đã trở thành một trong những hạ tầng thiết yếu trong cuộc sống của hàng chục triệu người dùng. Trong phạm vi bài viết này, tôi không đưa ra kết luận vì đây là công việc của cơ quan chức năng như trên đã nêu, mà chỉ thử nhìn nhận câu chuyện từ góc độ một người sử dụng dịch vụ cũng như hàng triệu người khác.

Ứng dụng Zalo phổ biến ở Việt Nam bên cạnh loạt ứng dụng mạng xã hội khác (Ảnh: Zalo).

Khoản 2 Điều 9 Luật Bảo vệ dữ liệu cá nhân 2025 có hiệu lực từ 1/1/2026 quy định: “Sự đồng ý của chủ thể dữ liệu cá nhân chỉ có hiệu lực khi dựa trên sự tự nguyện và biết rõ các thông tin theo luật định”. Tưởng chừng đơn giản nhưng nguyên tắc này đang đối mặt với một thực tế phức tạp. Khi nền tảng mạng xã hội chiếm tỷ trọng 75,2% dân số theo báo cáo Digital 2025 của We Are Social & Meltwater công bố đầu năm 2025, khi 95,4% người dùng Internet Việt Nam sử dụng ít nhất một nền tảng mạng xã hội, thì ranh giới giữa tự nguyện và bắt buộc liệu có lúc nào đó trở nên mờ nhạt?

Trong lý thuyết pháp luật, “sự đồng ý tự nguyện” giả định một tình huống lý tưởng: người dùng có đủ thông tin, có thời gian cân nhắc và quan trọng nhất là có khả năng từ chối mà không phải trả giá quá đắt. Nhưng thực tế của thị trường nền tảng số Việt Nam cho thấy một bức tranh khác. Với các ứng dụng nhắn tin có hàng chục triệu người dùng thường xuyên mỗi tháng, với mạng xã hội kết nối hầu hết dân số làm việc và giao tiếp, việc không đồng ý đồng nghĩa với việc tự cắt đứt khỏi mạng lưới xã hội, mất kênh liên lạc chính với đồng nghiệp, khách hàng, thậm chí người thân.

Đây chính là hiện tượng mà kinh tế học gọi là “chi phí chuyển đổi cấm đoán” (prohibitive switching costs). Người dùng không phải không có lựa chọn kỹ thuật khác, nhưng họ không có nhiều lựa chọn thực tế. Toàn bộ hệ sinh thái công việc, quan hệ xã hội, thói quen giao tiếp đã được xây dựng trên một hoặc một đến hai nền tảng. Chuyển sang ứng dụng khác nghĩa là phải thuyết phục hàng trăm người trong danh bạ cùng chuyển, nghĩa là mất đi các nhóm làm việc đã hoạt động nhiều năm, nghĩa là không thể tiếp cận thông tin từ cộng đồng mà mình đang tham gia.

Trong bối cảnh này, với rất nhiều người, nút “Đồng ý” trở thành lựa chọn không thể tránh khỏi. Nhiều người dùng nhấn “Đồng ý” có thể không hẳn vì họ thực sự đồng ý với việc dữ liệu cá nhân của mình được thu thập với phạm vi rộng như vậy, mà vì họ không còn lựa chọn khả thi nào khác.

Nghịch lý càng sâu sắc hơn khi xem xét cấu trúc thị trường nền tảng số. Khác với các thị trường truyền thống, nền tảng số hoạt động theo quy luật hiệu ứng mạng lưới, giá trị của dịch vụ tăng theo cấp số nhân khi có thêm người dùng. Trong môi trường như vậy, nguyên tắc “nếu không thích thì chuyển sang nơi khác” của thị trường cạnh tranh ít nhiều không còn hiệu lực. Giá trị của dịch vụ không chỉ nằm ở sản phẩm mà nằm ở chính khối lượng người dùng khác đang sử dụng nó.

Vấn đề còn trở nên nghiêm trọng hơn khi các nền tảng áp dụng cơ chế “đồng ý gói” (bundled consent), tức là nền tảng gom nhiều mục đích thu thập – sử dụng – chia sẻ dữ liệu vào một lần bấm đồng ý, không để người dùng chọn theo từng mục đích, nên về bản chất nó làm giảm tính “cụ thể” của sự đồng ý theo các chuẩn bảo vệ dữ liệu.

Khoản 4 Điều 9 Luật Bảo vệ dữ liệu cá nhân 2025 yêu cầu sự đồng ý phải tách theo từng mục đích và không được gắn điều kiện buộc đồng ý thêm các mục đích khác. Nhưng trong thực tế, người dùng thường phải đồng ý với tất cả các điều khoản thu thập dữ liệu cùng một lúc, từ dữ liệu cần thiết để vận hành dịch vụ cơ bản (như số điện thoại để đăng nhập) đến dữ liệu nhạy cảm phục vụ mục đích quảng cáo (như vị trí địa lý, thói quen sử dụng, thậm chí hình ảnh giấy tờ tùy thân).

Điều đáng lo ngại hơn là khoảng trống pháp lý trong việc xác định ranh giới giữa dịch vụ thông thường và dịch vụ hạ tầng thiết yếu. Luật hiện hành được thiết kế dựa trên giả định về thị trường cạnh tranh, nơi người tiêu dùng có nhiều lựa chọn tương đương. Nhưng với các nền tảng số có hiệu ứng mạng lưới mạnh mẽ, giả định này không còn đúng. Khi một ứng dụng nhắn tin đạt hàng chục triệu người dùng trong tổng số 100 triệu dân, khi rất nhiều tổ chức, cơ quan, doanh nghiệp sử dụng nền tảng đó làm kênh giao tiếp chính, liệu nó còn là dịch vụ tùy chọn hay đã trở thành hạ tầng số thiết yếu?

Câu hỏi này không chỉ mang tính học thuật mà có ý nghĩa thực tiễn sâu sắc. Nếu một dịch vụ được coi là hạ tầng thiết yếu, quyền thu thập và xử lý dữ liệu của nó cần bị giới hạn chặt chẽ hơn, ngay cả khi có sự đồng ý hình thức từ người dùng. Tương tự như dịch vụ điện nước không thể tùy tiện thu thập dữ liệu cá nhân của khách hàng chỉ vì khách hàng đồng ý trong hợp đồng, các nền tảng số với vị thế như nêu trên cũng cần phải chịu ràng buộc đặc biệt về bảo vệ dữ liệu.

Một số quốc gia đã bắt đầu nhận ra vấn đề này. Quy định bảo vệ dữ liệu chung của Liên minh châu Âu (GDPR), mặc dù cũng dựa trên nguyên tắc sự đồng ý, đã bổ sung điều khoản coi sự đồng ý là không hợp lệ nếu không có lựa chọn thực sự hoặc nếu việc từ chối đồng ý dẫn đến hậu quả bất lợi rõ ràng. Tòa án châu Âu đã nhiều lần phán quyết rằng các nền tảng số không thể dùng cơ chế đồng ý hoặc không sử dụng dịch vụ để buộc người dùng chấp nhận thu thập dữ liệu không cần thiết.

Việt Nam cần học hỏi kinh nghiệm này để vá lỗ hổng trong khung pháp lý hiện tại. Cụ thể, pháp luật cần phân biệt rõ giữa “sự đồng ý thực sự tự nguyện” và “sự đồng ý dưới áp lực cấu trúc”. Với các nền tảng dịch vụ số có vị thế rộng lớn (có thể định lượng bằng thị phần hoặc số lượng người dùng), cần áp đặt các ràng buộc bổ sung: chỉ được thu thập dữ liệu tối thiểu cần thiết để vận hành dịch vụ cơ bản; nghiêm cấm cơ chế “đồng ý gói”; bắt buộc phải cung cấp tùy chọn từ chối các mục đích thu thập không thiết yếu mà vẫn được sử dụng dịch vụ.

Hơn nữa, cần có cơ chế giám sát đặc biệt đối với việc cập nhật điều khoản dịch vụ của các nền tảng có vị thế lớn trên thị trường. Cuối cùng, cần tích hợp chính sách bảo vệ dữ liệu với chính sách cạnh tranh. Dùng cạnh tranh thị trường làm động lực bảo vệ dữ liệu cá nhân của người dùng. Cơ quan cạnh tranh cần xem xét thực tiễn thu thập dữ liệu quá mức như một dấu hiệu lạm dụng vị thế, còn cơ quan bảo vệ dữ liệu cần tính đến vị thế thị trường khi đánh giá tính tự nguyện của sự đồng ý.

Tác giả: Hoàng Hà là Luật sư thuộc Đoàn Luật sư TPHCM, Luật gia thuộc Hội Luật gia Việt Nam. Anh tốt nghiệp Đại học Luật Hà Nội, thạc sĩ Luật Kinh tế tại Đại học Kinh tế TPHCM.

