Mới đây, ứng dụng Zalo đã gửi thông báo yêu cầu chủ tài khoản phải cập nhật điều khoản dịch vụ mới được tiếp tục sử dụng. Trong đó có nhiều điều khoản đáng chú ý như: Zalo có quyền thu thập, chia sẻ dữ liệu cá nhân của người dùng, bao gồm dữ liệu cơ bản (số điện thoại, họ và tên, giới tính, mối quan hệ gia đình, thông tin CCCD...) và dữ liệu cá nhân nhạy cảm. Nếu không đồng ý thỏa thuận, chủ tài khoản Zalo sẽ không được tiếp tục sử dụng, hệ thống sẽ tự động xóa tài khoản sau 45 ngày nếu người dùng không thay đổi quyết định. Người dùng đã phản đối các điều khoản này vì họ cho rằng, làm như vậy là vi phạm quyền dữ liệu riêng tư của người dùng.
Cụ thể, tại Điều số 5 về "Thu thập, Bảo vệ và Sử dụng thông tin người dùng", khi người dùng đăng nhập tài khoản Zalo đồng nghĩa họ cho phép, chấp thuận để VNG (đơn vị phát hành ứng dụng) có quyền "sử dụng những biện pháp kỹ thuật cho mục đích thu thập và xử lý các dữ liệu liên quan đến Tài khoản của người dùng". Các dữ liệu này có thể bao gồm số điện thoại, căn cước công dân, họ tên, tuổi, giới tính, mối quan hệ gia đình, thư điện tử (email), hình ảnh cá nhân... hay thậm chí thông tin vị trí, thông tin thanh toán.
Tại Điều số 8 về "Quyền của chủ thể dữ liệu", VNG quy định người dùng có quyền rút lại sự đồng ý, hạn chế và phản đối xử lý dữ liệu cá nhân (đã đồng ý trước đó).
Tuy nhiên, VNG có quyền từ chối thực hiện yêu cầu trên nếu không đáp ứng điều kiện do hãng đưa ra, đồng thời việc rút lại sự đồng ý "không làm ảnh hưởng đến tính hợp pháp của việc xử lý dữ liệu cá nhân" đã thực hiện trước thời điểm hoàn tất việc chấm dứt hạn chế dữ liệu.
Điều 14 về "Từ chối trách nhiệm đảm bảo", VNG cũng quy định dù nỗ lực tối đa để duy trì tính ổn định của dịch vụ, tuy nhiên có thể không đáp ứng được mọi kỳ vọng của người dùng. Quy định này không mới trong các văn bản pháp lý dịch vụ công nghệ, nhưng khi đặt cạnh điều khoản dữ liệu, nó trở thành tâm điểm trong các cuộc thảo luận.
Người dùng không thể từ chối với những cập nhật mới vì điều này đồng nghĩa với việc Zalo sẽ xoá tài khoản người đó trong vòng 45 ngày. Vụ việc này thổi bùng "làn sóng" phản ứng trên mạng xã hội trong những ngày qua, nhiều người dùng tỏ ra không hài lòng với việc Zalo "ép" họ phải chấp nhận những điều khoản mang tính riêng tư.
Trước sự việc nêu trên, Ủy ban Cạnh tranh quốc gia (Bộ Công thương) vừa có giấy mời Công ty Cổ phần Tập đoàn VNG (đơn vị sở hữu nền tảng Zalo) làm việc về vấn đề thu thập, sử dụng thông tin người dùng và cung cấp dịch vụ trên nền tảng Zalo.
Ảnh minh họa. Nguồn: Internet.
VNG cần rà soát lại một số điều khoản
Liên quan đến vấn đề này, Luật sư Diệp Năng Bình, Đoàn Luật sư TP. HCM cho biết, theo quy định của khoản 1 Điều 15 Luật Bảo vệ quyền lợi người tiêu dùng 2023, tổ chức, cá nhân kinh doanh có trách nhiệm bảo đảm an toàn, bảo mật thông tin của người tiêu dùng khi thu thập, lưu trữ, sử dụng, chỉnh sửa, cập nhật hoặc chia sẻ thông tin. Việc thu thập thông tin người tiêu dùng chỉ được thực hiện khi được người tiêu dùng đồng ý, trừ trường hợp pháp luật có quy định khác cũng theo Điều 16 Luật Bảo vệ quyền lợi người tiêu dùng 2023. Ngoài ra luật còn quy định việc sử dụng thông tin người tiêu dùng phải đúng mục đích đã thông báo và được người tiêu dùng chấp thuận.
Về nghĩa vụ công khai, minh bạch điều khoản và chính sách, luật quy định tổ chức, cá nhân kinh doanh phải cung cấp đầy đủ, chính xác, kịp thời thông tin về điều kiện giao dịch chung, điều khoản hợp đồng, chính sách liên quan đến quyền và lợi ích của người tiêu dùng. Trường hợp sửa đổi, bổ sung điều khoản, chính sách, phải thông báo rõ ràng cho người tiêu dùng trước khi áp dụng.
Luật Bảo vệ quyền lợi người tiêu dùng cũng quy định quyền cơ bản của người tiêu dùng: "Được bảo đảm an toàn thông tin, bí mật đời sống riêng tư, bí mật cá nhân và quyền quyết định đối với thông tin của mình".
Do đó, theo Luật sư Bình, để đảm bảo quyền lợi cho người sử dụng, VNG cần rà soát lại Điều 5.3 theo hướng thu hẹp hoặc làm rõ phạm vi tại điểm (xi), (xii). Trường hợp vẫn muốn giữ quy định về ‘các mục đích khác’, thì tối thiểu phải bổ sung rõ rằng: Mọi mục đích xử lý dữ liệu phát sinh sau này, khác với mục đích đã thông báo, chỉ được thực hiện sau khi Zalo thông báo lại và nhận được sự đồng ý riêng biệt của người dùng, đúng với yêu cầu về mục đích cụ thể, minh bạch và nghĩa vụ xin lại sự đồng ý khi thay đổi mục đích xử lý dữ liệu theo khoản 1,2 Điều 18 Luật Bảo vệ quyền lợi người tiêu dùng 2023 và để phù hợp với Điều 3 Nghị định 13/2023/NĐ-CP và Điều 17 Luật Bảo vệ quyền lợi người tiêu dùng 2023.
Bên cạnh đó, cần bỏ hoặc thu hẹp phạm vi các điều khoản miễn trừ, bồi thường tại Điều 14 theo hướng “miễn trừ VNG khỏi mọi trách nhiệm” hoặc “người dùng đồng ý miễn toàn bộ trách nhiệm cho VNG” có nguy cơ cao bị xem là điều khoản không được phép quy định, do thuộc nhóm điều khoản bị cấm vì loại trừ hoặc hạn chế trách nhiệm của doanh nghiệp, đồng thời chuyển rủi ro pháp lý bất hợp lý sang phía người tiêu dùng (khoản 1 Điều 25 Luật Bảo vệ quyền lợi người tiêu dùng năm 2023).
"Về nguyên tắc, doanh nghiệp được phép giải thích rằng không tồn tại mức độ bảo mật tuyệt đối trong môi trường số. Tuy nhiên, việc thừa nhận rủi ro công nghệ không đồng nghĩa với việc được miễn trừ trách nhiệm pháp lý. Doanh nghiệp vẫn phải chịu trách nhiệm nếu không tuân thủ đầy đủ các nghĩa vụ về bảo vệ dữ liệu, an toàn thông tin theo chuẩn mực và yêu cầu mà pháp luật đặt ra, và không thể sử dụng điều khoản hợp đồng để thoát trách nhiệm trong các trường hợp vi phạm nghĩa vụ này", Luật sư nêu quan điểm.
Ngoài ra, Luật sư Bình kiến nghị cơ quan chức năng có thẩm quyền cần tiến hành rà soát thỏa thuận sử dụng dịch vụ của Zalo với tư cách là mạng xã hội trong nước theo quy định tại Điều 28, Điều 29 Nghị định 147/2024/NĐ-CP. Trọng tâm rà soát bao gồm: Đánh giá việc Zalo đã thực sự bảo đảm quyền quyết định của người dùng đối với việc thu thập, xử lý và cung cấp thông tin cá nhân hay chưa; Xem xét thỏa thuận sử dụng đã mô tả đầy đủ, rõ ràng và minh bạch các biện pháp bảo vệ thông tin người dùng theo yêu cầu pháp luật hay chưa. Trường hợp phát hiện các điều khoản không phù hợp, như quy định mục đích xử lý dữ liệu không rõ ràng, buộc người dùng phải chia sẻ thông tin vượt quá phạm vi cần thiết, hoặc đưa ra các điều khoản miễn trừ trách nhiệm quá mức cho doanh nghiệp, cơ quan quản lý có thể yêu cầu Zalo sửa đổi, bổ sung thỏa thuận; đồng thời xem xét xử lý vi phạm hành chính nếu có đủ căn cứ theo quy định pháp luật hiện hành.
Phối hợp kiểm tra, đánh giá mức độ tuân thủ pháp luật trong hoạt động thu thập, xử lý các dữ liệu cá nhân nhạy cảm theo Khoản 4 Điều 2 Nghị định 13/2023/NĐ-CP. Trường hợp phát hiện dấu hiệu lạm dụng, mua bán, chuyển giao trái phép hoặc làm rò rỉ dữ liệu cá nhân, cần kịp thời áp dụng các biện pháp xử lý theo thẩm quyền, bảo đảm tính răn đe và bảo vệ quyền, lợi ích hợp pháp của người dùng.
Một số lưu ý đối với người sử dụng
Thứ nhất, hiểu rõ quyền của mình theo pháp luật
Luật sư cho rằng, trước hết, người dân cần biết rằng pháp luật hiện hành đã trao nhiều quyền cho chủ thể dữ. Cụ thể, theo Điều 9 Nghị định 13/2023/NĐ-CP, mỗi người có quyền:
- Được biết về hoạt động xử lý dữ liệu cá nhân của mình;
- Được truy cập để xem, chỉnh sửa, yêu cầu chỉnh sửa lại dữ liệu cá nhân của mình;
- Được rút lại sự đồng ý, hạn chế xử lý dữ liệu, phản đối việc xử lý hoặc yêu cầu xóa dữ liệu cá nhân của mình;
- Được quyền tự bảo vệ, khiếu nại, tố cáo, khởi kiện hoặc yêu cầu bồi thường thiệu hại theo quy định cả pháp luật khi xảy ra vi phạm quy định về bảo vệ dữ liệu cá nhân của mình, trừ trường hợp các bên hoặc luật có quy định khác.
Bên cạnh đó, với tư cách là người tiêu dùng, cá nhân còn có quyền từ chối việc sử dụng thông tin cá nhân cho mục đích quảng cáo, tiếp thị; yêu cầu doanh nghiệp chấm dứt việc sử dụng hoặc chuyển giao thông tin nếu việc xử lý không đúng mục đích, phạm vi đã thông báo ban đầu.
Thứ hai, sử dụng Zalo (và các ứng dụng khác) theo nguyên tắc “tối thiểu hóa dữ liệu”
Trong thực tế sử dụng, người dùng nên chủ động kiểm soát lượng dữ liệu mình cung cấp: Chỉ cấp quyền truy cập vị trí (GPS), danh bạ, micro, camera… khi thực sự cần cho chức năng đang sử dụng; sau đó nên tắt lại; Hạn chế chia sẻ các thông tin nhạy cảm như giấy tờ tùy thân, thông tin tài chính, đời sống riêng tư qua các kênh không thật sự cần thiết; Định kỳ rà soát cài đặt quyền riêng tư trong ứng dụng: ai có thể xem số điện thoại, trạng thái, vị trí; có bật quảng cáo cá nhân hóa hay không.
Thứ ba, chủ động thực hiện quyền của chủ thể dữ liệu
Khi không đồng ý để dữ liệu cá nhân bị sử dụng cho quảng cáo hoặc chia sẻ với bên thứ ba, người dùng hoàn toàn có thể: Gửi yêu cầu rút lại sự đồng ý đối với các mục đích đó; Yêu cầu xóa một phần hoặc toàn bộ dữ liệu cá nhân, hoặc đóng tài khoản. Khi thực hiện các yêu cầu này, nên: Gửi bằng hình thức có thể lưu trữ lại (email, biểu mẫu trực tuyến, văn bản); Nêu rõ mình đang thực hiện quyền nào (rút đồng ý, hạn chế xử lý, xóa dữ liệu…), phạm vi dữ liệu liên quan, để tránh bị trả lời chung chung hoặc kéo dài thời gian giải quyết.
Thứ tư, khi quyền bị xâm phạm cần khiếu nại, không nên im lặng
Trong trường hợp nghi ngờ hoặc phát hiện quyền dữ liệu cá nhân bị xâm phạm, người dùng nên chủ động thực hiện các bước sau: Gửi khiếu nại trực tiếp đến Zalo/VNG, yêu cầu giải thích và khắc phục; Nếu không được giải quyết thỏa đáng, có thể: Gửi đơn đến Uỷ ban Cạnh tranh Quốc gia (Bộ Công thương). Trường hợp thiệt hại nghiêm trọng (lộ lọt dữ liệu, bị lừa đảo, thiệt hại tài chính…), người bị xâm phạm có thể khởi kiện dân sự yêu cầu bồi thường theo quy định của pháp luật.
