Zalo và TikTok bị phạt, dữ liệu cá nhân của người dùng sẽ xử lý ra sao?

Theo chuyên gia luật, Zalo và TikTok có trách nhiệm chấm dứt ngay việc xử lý dữ liệu cá nhân của người dùng dựa trên những điều khoản vi phạm.

Ủy ban Cạnh tranh Quốc gia vừa xử phạt Tập đoàn VNG - đơn vị chủ quản của Zalo - 810 triệu đồng và TikTok 880 triệu đồng do vi phạm quy định về bảo vệ quyền lợi người tiêu dùng, trong việc thu thập và sử dụng thông tin, dữ liệu cá nhân.

Theo quyết định xử phạt, VNG có 6 vi phạm, gồm không cho người dùng lựa chọn phạm vi cung cấp thông tin, không cho từ chối sử dụng dữ liệu cho quảng cáo, và đưa điều khoản không hợp lệ vào điều kiện giao dịch chung. TikTok cũng bị xác định không có cơ chế để người dùng đồng ý hoặc từ chối việc sử dụng dữ liệu cá nhân cho mục đích quảng cáo, cung cấp thông tin chưa đầy đủ và có điều khoản vi phạm.

Ủy ban Cạnh tranh Quốc gia yêu cầu hai doanh nghiệp chấm dứt vi phạm, rà soát và hoàn thiện lại các chính sách liên quan.

Trước đó, việc Zalo cập nhật điều khoản sử dụng dịch vụ mới đã vấp phải phản ứng từ nhiều người dùng, gây tranh cãi quanh cơ chế buộc người dùng phải "bấm chấp nhận" toàn bộ điều khoản hoặc rời khỏi nền tảng.

Nền tảng số phải khắc phục hậu quả vi phạm dữ liệu

Luật sư Trần Đình Phúc (Công ty Đông Phương Luật) cho rằng, cần xem xét lại tính hiệu lực của sự "đồng ý" mà người dùng đã xác lập trong các giao dịch liên quan đến dữ liệu cá nhân. Theo Điều 117 và Điều 123 Bộ luật Dân sự 2015, một giao dịch dân sự chỉ có hiệu lực khi các bên hoàn toàn tự nguyện và nội dung không vi phạm điều cấm của luật. Trong trường hợp của Zalo, cơ chế "đồng ý tất cả hoặc bị xóa tài khoản" đã xâm phạm nghiêm trọng nguyên tắc tự nguyện này.

Theo luật sư Phúc, khi sự "đồng ý" được đưa ra trong trạng thái bị áp đặt, hoặc khi người dùng không được cung cấp đầy đủ thông tin về mục đích xử lý dữ liệu, thì về mặt pháp lý, sự "đồng ý" đó có thể bị xem là vô hiệu do vi phạm điều cấm của luật, trái đạo đức xã hội.

Quan điểm này cũng phù hợp với Điều 11 Nghị định 13/2023/NĐ-CP. Theo đó, việc "đồng ý" của chủ thể dữ liệu chỉ có hiệu lực khi họ tự nguyện và biết rõ loại dữ liệu được xử lý, mục đích xử lý, tổ chức, cá nhân xử lý dữ liệu cũng như quyền và nghĩa vụ của mình.

Việc Zalo không làm rõ mục đích sử dụng dữ liệu cá nhân và không thiết lập cơ chế để người dùng lựa chọn phạm vi thông tin "đồng ý" đã làm mất đi tính hợp pháp của hoạt động thu thập dữ liệu ngay từ thời điểm xác lập, bất kể người dùng có nhấn nút "đồng ý" trên ứng dụng hay không.

Xét về hệ quả pháp lý, khi một điều khoản trong hợp đồng theo mẫu bị xác định là vi phạm pháp luật, Điều 131 Bộ luật Dân sự quy định các bên phải khôi phục lại tình trạng ban đầu nếu giao dịch dân sự vô hiệu.

"Đối với dữ liệu cá nhân, 'khôi phục tình trạng ban đầu' đồng nghĩa với việc doanh nghiệp phải chấm dứt ngay việc xử lý dữ liệu dựa trên các điều khoản vi phạm. Đơn vị vận hành không được tiếp tục khai thác những thông tin đã thu thập trái quy định cho đến khi ban hành điều khoản mới phù hợp pháp luật", ông Phúc phân tích.

Bên cạnh trách nhiệm hành chính đã bị xử phạt, Zalo còn có thể phải đối mặt với trách nhiệm dân sự đối với người dùng. Theo yêu cầu của cơ quan quản lý, doanh nghiệp phải rà soát toàn bộ hệ thống điều khoản sử dụng, đồng thời có trách nhiệm thông báo, giải thích rõ nội dung điều khoản và yêu cầu người dùng xác nhận lại sự "đồng ý" trên cơ sở các lựa chọn cụ thể, thay vì cơ chế áp đặt như trước.

Biểu tượng ứng dụng Zalo trên điện thoại. Ảnh: Chụp màn hình

Cùng quan điểm, luật sư Nguyễn Danh Huế (Đoàn luật sư Hà Nội) cho rằng đây không phải là "lỗi kỹ thuật" mà là hành vi xâm phạm quyền cơ bản của người tiêu dùng. Về bản chất pháp lý, vi phạm của Zalo và TikTok không nằm ở giao diện hay câu chữ điều khoản, mà ở việc tước bỏ quyền lựa chọn và quyền tự quyết đối với dữ liệu cá nhân.

Theo ông Huế, Luật Bảo vệ quyền lợi người tiêu dùng 2023 đã thể hiện rõ sự chuyển dịch tư duy, từ chỗ "doanh nghiệp thông báo là đủ" sang yêu cầu "người tiêu dùng phải được lựa chọn một cách thực chất". Việc buộc người dùng "đồng ý để tiếp tục sử dụng dịch vụ" trong khi không cho phép từ chối riêng việc sử dụng dữ liệu cho quảng cáo, thương mại có thể bị xem là sự đồng ý bị cưỡng ép, không còn giá trị pháp lý để bảo vệ người tiêu dùng.

Dữ liệu cá nhân ngày càng được nhìn nhận như một lợi ích kinh tế gắn với quảng cáo, thương mại và định giá dịch vụ. Do đó, hành vi thu thập dữ liệu nhưng che giấu hoặc đánh tráo mục đích sử dụng được coi là xâm phạm lợi ích kinh tế hợp pháp của người tiêu dùng - thuộc phạm vi điều chỉnh trực tiếp của pháp luật về cạnh tranh và bảo vệ người tiêu dùng.

"Dù mức xử phạt chưa lớn, quyết định này mang ý nghĩa 'định hướng luật chơi', khẳng định doanh nghiệp nền tảng không được đặt mình lên trên quyền lựa chọn của người tiêu dùng trong môi trường số", ông Huế nêu quan điểm.

Người dùng cần tự kiểm soát dữ liệu cá nhân

Luật sư Nguyễn Danh Huế cho rằng, bên cạnh trách nhiệm của nền tảng, người tiêu dùng cần chủ động quản lý dữ liệu cá nhân trên Zalo một cách hợp pháp và an toàn. Trước hết, người dùng nên rà soát các nhóm dữ liệu mà ứng dụng thường thu thập như danh bạ, số điện thoại, ảnh, video, tệp đa phương tiện, thông tin thiết bị, vị trí... để thực hiện đúng quyền "được biết" và "được kiểm soát" dữ liệu của mình, thay vì mặc nhiên chấp nhận vì đã sử dụng dịch vụ.

Theo khuyến nghị, người dùng chỉ nên bật quyền truy cập danh bạ, vị trí, micro, camera khi thật sự cần thiết; đồng thời xóa lịch sử tìm kiếm, tin nhắn cũ hoặc dữ liệu không còn nhu cầu lưu trữ.

Luật Bảo vệ quyền lợi người tiêu dùng 2023 cũng cho phép người dùng yêu cầu doanh nghiệp giải thích rõ dữ liệu nào đang được thu thập, mục đích sử dụng và việc có chia sẻ cho bên thứ ba hay không. Khi phát hiện dấu hiệu vi phạm, người tiêu dùng có thể phản ánh trực tiếp đến doanh nghiệp hoặc cơ quan quản lý như Ủy ban Cạnh tranh Quốc gia, Cục Bảo vệ người tiêu dùng.

Trong bối cảnh Zalo là nền tảng phổ biến, gắn với quan hệ xã hội và công việc, luật sư Huế cho rằng "rời đi" hoàn toàn không dễ, nhưng người dùng có thể giảm mức độ phụ thuộc, hạn chế sử dụng cho các giao dịch nhạy cảm, không lưu trữ giấy tờ quan trọng và tách bạch tài khoản dùng cho liên lạc, công việc nếu có điều kiện.

"Dữ liệu cá nhân là tài sản vô hình của mỗi người, không ai có thể bảo vệ nó tốt hơn chính mình", luật sư Huế nói.

Dẫn căn cứ Điều 9 và Điều 12 Nghị định 13/2023/NĐ-CP, luật sư Trần Đình Phúc cho biết người dùng có quyền yêu cầu Zalo, TikTok xóa bỏ dữ liệu cá nhân đã bị thu thập trái quy định hoặc rút lại sự "đồng ý" bất kỳ lúc nào mà không cần sự chấp thuận của doanh nghiệp. Trường hợp doanh nghiệp không thực hiện hoặc chậm trễ thực hiện, hành vi này tiếp tục bị xem là vi phạm nghĩa vụ của bên kiểm soát dữ liệu cá nhân.

"Đối với những trường hợp người dùng chứng minh được việc dữ liệu bị sử dụng trái phép gây thiệt hại về vật chất hoặc tinh thần, họ hoàn toàn có quyền khởi kiện yêu cầu bồi thường", luật sư Phúc nói, nêu căn cứ theo Điều 584 Bộ luật Dân sự.

Hải Duyên