Zalo và TikTok Bị Phạt Gần 1,7 Tỷ Đồng: 5 Sự Thật Gây Sốc Về Quyền Dữ Liệu Của Bạn

Bạn đã bao giờ dừng lại đọc hết bản điều khoản dịch vụ về quyền dữ liệu dài hàng chục trang trước khi nhấn nút “Đồng ý” chưa? Nếu câu trả lời là “chưa”, bạn không hề đơn độc. Trong nhiều năm, đây là thói quen phổ biến, một giao dịch ngầm mà chúng ta chấp nhận để đổi lấy các dịch vụ miễn phí. Nhưng một sự kiện pháp lý quan trọng vừa diễn ra, báo hiệu rằng kỷ nguyên của những cú nhấp chuột vô tư đã kết thúc. Vào ngày 22 tháng 1 năm 2026, Ủy ban Cạnh tranh Quốc gia đã ra quyết định xử phạt hai trong số những nền tảng công nghệ lớn nhất Việt Nam: Zalo (thuộc VNG) bị phạt 810 triệu đồng và TikTok bị phạt 880 triệu đồng. Đây không chỉ là câu chuyện về hai ông lớn và một khoản phạt. Sự kiện này là kết quả của việc áp dụng Nghị định 356/2025/NĐ-CP và Luật Bảo vệ dữ liệu cá nhân 2025, đánh dấu một sự chuyển dịch căn bản trong cách nhà nước quản lý dữ liệu: chuyển từ giai đoạn “khuyến nghị, hướng dẫn” sang giai đoạn “thực thi nghiêm ngặt, chế tài mạnh mẽ”.Bài viết này sẽ chắt lọc 5 bài học quan trọng nhất về quyền dữ liệu mà mọi người dùng cần phải biết từ vụ việc mang tính bước ngoặt này. Chúng là những quyền lực mới, được pháp luật bảo vệ, nằm ngay trong tay bạn.

1. “Đồng ý hoặc Mất tài khoản” – Hành vi ép buộc nay đã là bất hợp pháp

Vi phạm cốt lõi của Zalo nằm ở chiến thuật “tối hậu thư” 45 ngày. Vào cuối năm 2025, nền tảng này đã buộc người dùng phải đồng ý với chính sách mới, nếu không tài khoản của họ sẽ bị khóa vĩnh viễn. Hành vi đặt người dùng vào thế “chấp nhận tất cả hoặc không có gì cả” này được các cơ quan quản lý xác định là hành vi cưỡng ép.

Theo quy định mới của Luật Bảo vệ dữ liệu cá nhân 2025 và Nghị định 356/2025/NĐ-CP, sự đồng ý hợp lệ phải thỏa mãn hai nguyên tắc cốt lõi mà Zalo đã vi phạm: “Tự nguyện” và “Tính chi tiết”. Nguyên tắc “Tự nguyện” yêu cầu người dùng phải có một lựa chọn thực sự, không bị đe dọa. Quan trọng hơn, nguyên tắc “Tính chi tiết” cấm các doanh nghiệp gộp chung nhiều mục đích khác nhau vào một nút “Đồng ý” duy nhất. Hành vi “gộp” này – buộc người dùng phải chấp nhận cả việc thu thập dữ liệu cho quảng cáo để được sử dụng tính năng nhắn tin cơ bản – nay đã bị cấm.

Ủy ban Cạnh tranh Quốc gia đã kết luận rất rõ ràng:

“Zalo không có cơ chế cho phép người tiêu dùng lựa chọn hoặc từ chối việc sử dụng thông tin cá nhân cho mục đích quảng cáo, tiếp thị; không tách bạch rõ giữa dữ liệu phục vụ hoạt động cốt lõi… với dữ liệu phục vụ mục đích thương mại”

Điều này có ý nghĩa vô cùng quan trọng: Giờ đây, bạn có quyền từ chối cho phép sử dụng dữ liệu của mình cho các mục đích không cần thiết như quảng cáo mà không bị đe dọa mất quyền truy cập vào các dịch vụ cơ bản.

2. Quảng cáo đeo bám không còn là mặc định

TikTok bị phạt vì tự động sử dụng dữ liệu hành vi của người dùng cho quảng cáo nhắm mục tiêu mà không cung cấp một lựa chọn rõ ràng để từ chối. Nền tảng này hoạt động dựa trên giả định rằng khi bạn sử dụng dịch vụ, bạn mặc nhiên đồng ý bị theo dõi để nhận quảng cáo cá nhân hóa.

Luật Bảo vệ dữ liệu cá nhân 2025 và Nghị định 356/2025/NĐ-CP đã chấm dứt giả định này. Theo quy định mới, việc phân tích hồ sơ hành vi của bạn để hiển thị quảng cáo được xem là một hoạt động xử lý dữ liệu riêng biệt, không phải là một phần thiết yếu của việc cung cấp dịch vụ xem video. Do đó, nó đòi hỏi phải có sự đồng ý chủ động từ người dùng. Nói cách khác, các nền tảng phải hỏi bạn một cách rõ ràng: “Bạn có cho phép chúng tôi sử dụng dữ liệu của bạn để hiển thị quảng cáo phù hợp không?”. Và mặc định câu trả lời phải là “Không”.

Điều này không có nghĩa là quảng cáo sẽ biến mất. Bạn vẫn có thể thấy các quảng cáo theo ngữ cảnh (ví dụ: xem video nấu ăn, thấy quảng cáo dụng cụ nhà bếp). Nhưng luật pháp giờ đây trao cho bạn quyền từ chối bị theo dõi và phân tích hành vi cá nhân cho mục đích thương mại.

3. Doanh nghiệp không thể “phủi” trách nhiệm nếu bạn bị hack

Đáng quan ngại hơn cả là họ tự miễn trừ mọi trách nhiệm pháp lý nếu dữ liệu người dùng bị rò rỉ do hacker tấn công trong điều khoản chính sách của Zalo.

“trong trường hợp thông tin cá nhân của Người dùng bị lộ do bị hack hoặc các nguyên nhân khác nằm ngoài tầm kiểm soát của VNG thì Người dùng theo đây đồng ý miễn cho VNG toàn bộ trách nhiệm có liên quan.”

Theo Điều 25 của Luật Bảo vệ quyền lợi người tiêu dùng 2023, điều khoản này hoàn toàn vô hiệu. Pháp luật Việt Nam hiện nay nghiêm cấm các doanh nghiệp đơn phương loại trừ trách nhiệm pháp lý của mình đối với những rủi ro mà họ có nghĩa vụ phải quản lý, chẳng hạn như an ninh mạng.

Gánh nặng bảo vệ dữ liệu giờ đây thuộc về doanh nghiệp. Họ không thể đẩy rủi ro về phía người tiêu dùng một cách đơn phương. Khi xảy ra sự cố rò rỉ dữ liệu, chính doanh nghiệp phải chứng minh rằng họ đã áp dụng đầy đủ các biện pháp bảo mật cần thiết, chứ không thể chỉ đổ lỗi cho hacker.

4. Luật pháp đã có cơ chế đặc thù cho cho trẻ em và người tiêu dùng dễ bị tổn thương

Luật Bảo vệ quyền lợi người tiêu dùng 2023 lần đầu tiên đưa ra khái niệm Người tiêu dùng dễ bị tổn thương: bao gồm trẻ em, người cao tuổi, người khuyết tật và những nhóm yếu thế khác. Luật pháp yêu cầu các doanh nghiệp phải có trách nhiệm cao hơn khi giao dịch với nhóm đối tượng này. Và Luật Bảo vệ dữ liệu cá nhân 2025 chính là công cụ thực thi quyền năng đó, buộc các doanh nghiệp phải thiết lập những vùng an toàn kỹ thuật số riêng biệt cho nhóm người tiêu dùng này.

Trong bối cảnh pháp lý mới này, sai phạm của TikTok bị đánh giá là đặc biệt nghiêm trọng, thể hiện qua ba nội dung cụ thể: (1) Không có cơ chế xác minh độ tuổi người dùng một cách đáng tin cậy; (2) Thiếu cơ chế để cha mẹ đồng ý cho con cái sử dụng dịch vụ; và (3) Không cung cấp chính sách bảo mật bằng ngôn ngữ đơn giản, phù hợp với trẻ em. Trên thực tế, nền tảng này chỉ dựa vào sự tự khai báo, một biện pháp lỏng lẻo và không thể chấp nhận được.

Theo quy định mới, việc xử lý dữ liệu của trẻ em (dưới 16 tuổi) giờ đây bắt buộc phải có sự đồng ý rõ ràng của cha mẹ hoặc người giám hộ. Điều này cho thấy việc áp dụng một chính sách “một chính sách cho tất cả” đầy rủi ro cho mọi người dùng, từ người lớn đến trẻ em, đã không còn được pháp luật chấp nhận.

5. Số tiền phạt không lớn, nhưng ý nghĩa thì khổng lồ

Tổng số tiền phạt gần 1,7 tỷ đồng có vẻ không đáng kể so với doanh thu khổng lồ của Zalo và TikTok. Tuy nhiên, tầm quan trọng của vụ việc này không nằm ở con số, mà ở thông điệp quản lý mà nó gửi đi. Như báo cáo của cơ quan chức năng đã nhận định, đây là:

“cột mốc đánh dấu sự chuyển dịch căn bản trong phương thức quản trị dữ liệu quốc gia, chuyển từ giai đoạn ‘khuyến nghị, hướng dẫn’ sang giai đoạn ‘thực thi nghiêm ngặt, chế tài mạnh mẽ’.”

Điều này khẳng định một sự thật rõ ràng: Kỷ nguyên “thu thập dữ liệu hoang dã” tại Việt Nam đã chính thức kết thúc. Việc tuân thủ pháp luật về bảo vệ dữ liệu giờ đây không còn là một lựa chọn, mà là một yêu cầu bắt buộc để được phép kinh doanh tại thị trường này.

Vụ việc Zalo và TikTok là một lời khẳng định đanh thép rằng cán cân quyền lực trong thế giới số đang thay đổi. Những thay đổi lớn nhất đã được luật hóa: sự đồng ý của bạn phải hoàn toàn tự nguyện và chi tiết; trách nhiệm bảo mật dữ liệu thuộc về doanh nghiệp; bạn có quyền từ chối quảng cáo đeo bám; và các nhóm yếu thế như trẻ em được pháp luật bảo vệ đặc biệt. Dữ liệu cá nhân không còn là tài sản “miễn phí” để các doanh nghiệp tùy ý khai thác. Đối với các công ty, việc tuân thủ quy định không chỉ là gánh nặng chi phí, mà còn là lợi thế cạnh tranh cốt lõi để xây dựng niềm tin với người dùng. Khi cán cân quyền lực đã thay đổi, bạn sẽ làm gì để chủ động bảo vệ “dấu chân số” của mình trong kỷ nguyên mới này?

📩 Liên hệ ngay với VPLS MDVN ngay hôm nay để được tư vấn và rà soát pháp lý dữ liệu trước khi rủi ro xảy ra. Bởi bảo vệ dữ liệu cá nhân không phải là việc “làm sau”, mà là việc phải làm ngay – và làm đúng.