Chuyển đến nội dung chính

 ·  Tác giả: Chu Thanh Tùng  ·  Tham vấn bởi: Luật sư Nguyễn Văn Thành  ·  Doanh nghiệp  ·  10 phút đọc

Dữ liệu cá nhân - Góc nhìn sâu từ vụ xử phạt Zalo - Phần 1

Xử phạt Zalo khi vi phạm quy định bảo vệ dữ liệu cá nhân trên nền tảng. Tìm hiểu về những rủi ro to lớn đối với dữ liệu mà có thể bạn không lường trước được

Xử phạt Zalo khi vi phạm quy định bảo vệ dữ liệu cá nhân trên nền tảng. Tìm hiểu về những rủi ro to lớn đối với dữ liệu mà có thể bạn không lường trước được

Vào ngày 22 tháng 1 năm 2026, thị trường công nghệ và dư luận Việt Nam chấn động trước thông tin Ủy ban Cạnh tranh Quốc gia chính thức ban hành quyết định xử phạt vi phạm hành chính đối với Công ty Cổ phần Tập đoàn VNG (đơn vị vận hành nền tảng Zalo) với số tiền 810 triệu đồng. Sự kiện này không chỉ đơn thuần là một con số tài chính; nó đánh dấu cột mốc lịch sử khi một “ông lớn” công nghệ trong nước bị chế tài nghiêm khắc dựa trên hệ thống pháp luật mới nhất vừa có hiệu lực, bao gồm Luật Bảo vệ dữ liệu cá nhân 2025 và Nghị định 356/2025/NĐ-CP. Vụ việc là kết tinh của những mâu thuẫn kéo dài giữa mô hình kinh doanh dựa trên dữ liệu và quyền riêng tư của người tiêu dùng, đồng thời mở ra những lớp phân tích sâu sắc về cấu trúc sở hữu phức tạp của VNG cùng những rủi ro an ninh quốc gia tiềm ẩn khi dữ liệu của 80 triệu người dân nằm trong tầm ảnh hưởng của các dòng vốn ngoại. Thông qua bài viết này, các độc giả có thể nhìn thấy bức tranh toàn cảnh hơn về vụ việc dữ liệu cá nhân của Zalo lần này không chỉ dừng lại ở việc đơn giản như “mất một vài thông tin” hoặc “tạm thời bị xâm phạm đời tư một chút” mà còn ảnh hưởng nghiêm trọng đến tầm cơ an ninh dữ liệu cá nhân quốc gia.

Để đảm bảo dung lượng và chất lượng, bài viết này được chia làm 02 Phần, tập trung phân (i) làm rõ bối cảnh và diễn biến xảy ra vụ việc xử phạt Zalo do vi phạm quy định bảo vệ dữ liệu cá nhân; (ii) phân tích sâu vào mô hình cơ cấu bộ máy của Zalo; (iii) từ đó phân tích sâu hơn vào các rủi ro về vấn đề dữ liệu cá nhân mang tính quốc gia; và (iv) phân tích các góc nhìn từ một số quốc gia khác trên thế giới và khuyến nghị cho Việt Nam.

Đây là Phần 01 của bài viết, trong đó sẽ (i) làm rõ bối cảnh và diễn biến xảy ra vụ việc xử phạt Zalo do vi phạm quy định bảo vệ dữ liệu cá nhân; và (ii) phân tích sâu vào mô hình cơ cấu bộ máy của Zalo.

1. Bối cảnh và Hệ quy chiếu Pháp lý mới: Luật Bảo vệ dữ liệu cá nhân 2025

Sự kiện xử phạt Zalo diễn ra ngay trong những ngày đầu năm 2026, thời điểm Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 chính thức đi vào đời sống (có hiệu lực từ ngày 01/01/2026). Đây là văn bản pháp lý nền tảng, lần đầu tiên nâng tầm quy định về bảo vệ dữ liệu từ cấp Nghị định (Nghị định 13/2023/NĐ-CP) lên cấp Luật, khẳng định chủ quyền số quốc gia và thiết lập một kỷ nguyên mới về bảo vệ quyền riêng tư.

Luật Bảo vệ dữ liệu cá nhân 2025 và văn bản hướng dẫn chi tiết là Nghị định 356/2025/NĐ-CP đã tạo ra một khung khổ khắt khe mà các doanh nghiệp công nghệ như VNG buộc phải tuân thủ. Một trong những thay đổi mang tính cách mạng là việc phân loại rạch ròi giữa dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm, kèm theo đó là các nguyên tắc về sự đồng ý tự nguyện của chủ thể dữ liệu.

1.1. Bảng so sánh các loại dữ liệu cá nhân theo Nghị định 356/2025/NĐ-CP

Bảng so sánh các loại dữ liệu cá nhân

Sự phân loại này đóng vai trò là căn cứ pháp lý cốt lõi để các cơ quan chức năng soi xét hành vi thu thập dữ liệu của Zalo. Việc Zalo yêu cầu thu thập dữ liệu gương mặt, giọng nói và vị trí định vị thực tế mà không có cơ chế cho phép người dùng từ chối một cách linh hoạt đã trực tiếp chạm vào ngưỡng bảo vệ của dữ liệu nhạy cảm theo quy định mới.

1.2. Diễn biến Vụ việc và “Tối hậu thư” 45 ngày của Zalo

Chính sách dữ liệu cá nhân của Zalo

Vụ việc bắt đầu âm ỉ từ cuối tháng 12 năm 2025, khi người dùng Zalo đồng loạt nhận được thông báo cập nhật điều khoản dịch vụ mới. Điểm gây tranh cãi nhất là cơ chế “đồng ý cưỡng bức”: Zalo đưa ra thời hạn 45 ngày để người dùng bấm nút chấp nhận toàn bộ các chính sách mới, bao gồm việc mở rộng phạm vi thu thập dữ liệu nhạy cảm. Nếu không đồng ý, người dùng sẽ bị xóa tài khoản hoặc hạn chế quyền truy cập vào các dữ liệu cá nhân đã tích lũy nhiều năm trên nền tảng.

Cộng đồng mạng và các chuyên gia pháp lý đã phản ứng dữ dội trước động thái này, gọi đây là tình trạng “chấp nhận trong cưỡng ép” hoặc biến người dùng thành “con tin số”. Đối với một ứng dụng có tới 85% người dân Việt Nam sử dụng, đóng vai trò quan trọng trong cả liên lạc cá nhân, công việc và giao tiếp với chính quyền, việc đặt ra lựa chọn “đồng ý hoặc biến mất” bị coi là hành vi lạm dụng vị thế thống lĩnh thị trường.

1.3. Phân tích 6 Sai phạm dẫn đến án phạt 810 triệu đồng của Zalo

Dưới sự chỉ đạo của Chính phủ và Bộ Công Thương, Ủy ban Cạnh tranh Quốc gia đã tiến hành kiểm tra và xác định VNG mắc phải 6 nhóm hành vi vi phạm pháp luật về bảo vệ quyền lợi người tiêu dùng và dữ liệu cá nhân :

  • Không thiết lập phương thức lựa chọn phạm vi dữ liệu: VNG đã gói gọn tất cả các loại thông tin vào một nút “Đồng ý” duy nhất. Theo Luật Bảo vệ dữ liệu cá nhân 2025, sự đồng ý phải được đưa ra một cách tự nguyện cho từng mục đích cụ thể, không được “bán kèm” dữ liệu không thiết yếu với dịch vụ cốt lõi.
  • Thiếu cơ chế từ chối quảng cáo: Zalo không cho phép người dùng lựa chọn việc cho phép hoặc không cho phép sử dụng thông tin của họ để quảng cáo, giới thiệu sản phẩm.
  • Sử dụng điều khoản cấm trong điều kiện giao dịch chung: VNG đã đưa vào các điều khoản không hợp lệ, có thể bao gồm việc miễn trừ trách nhiệm của doanh nghiệp đối với an toàn dữ liệu hoặc tước bỏ các quyền cơ bản của chủ thể dữ liệu.
  • Mập mờ về thời điểm áp dụng: Các điều kiện giao dịch chung không quy định cụ thể thời điểm có hiệu lực, tạo ra sự nhầm lẫn và rủi ro pháp lý cho người tiêu dùng.
  • Thiếu minh bạch trong quy trình khiếu nại: Doanh nghiệp không công khai quy trình tiếp nhận và giải quyết phản ánh, khiếu nại của người dùng tại các địa điểm kinh doanh hoặc trên ứng dụng theo đúng biểu mẫu pháp luật.
  • Bỏ quên nhóm người tiêu dùng dễ bị tổn thương: VNG chưa công khai các chính sách bảo vệ đặc thù cho các đối tượng như trẻ em, người khuyết tật hay người cao tuổi, vi phạm nghiêm trọng quy định về trách nhiệm xã hội và pháp lý của nền tảng số.

Án phạt 810 triệu đồng được áp dụng cho 6 hành vi này không chỉ là một lời cảnh cáo đối với VNG mà còn là hồi chuông báo động cho toàn bộ hệ sinh thái kinh tế số tại Việt Nam rằng kỷ nguyên “khai thác dữ liệu tùy tiện” đã chấm dứt.

2. Cấu trúc Sở hữu VNG: Giải mã Mê cung VIE và Sự chi phối của Dòng vốn ngoại

Một trong những khía cạnh quan trọng nhất của bài phân tích này là mối liên hệ giữa các sai phạm về dữ liệu và cấu trúc sở hữu của VNG Corporation. VNG không đơn thuần là một công ty Việt Nam; nó là một thực thể được vận hành thông qua mô hình tài chính quốc tế tinh vi mang tên VIE (Variable Interest Entity - Thực thể có quyền lợi biến đổi).

2.1. Mô hình VIE và Sự tách biệt Quyền lực

VNG đã thiết kế cấu trúc này để thực hiện hai mục tiêu đối lập: huy động vốn ngoại khổng lồ từ các thị trường quốc tế và tuân thủ giới hạn sở hữu nước ngoài nghiêm ngặt tại Việt Nam (thường là 49% đối với ngành dịch vụ internet).

  • VNG Limited (ListCo): Đặt tại Quần đảo Cayman, là thực thể niêm yết trên sàn chứng khoán (như dự định IPO tại Mỹ). Đây là nơi các “ông lớn” như Tencent và GIC rót vốn trực tiếp.
  • VNG Corporation (VN OpCo): Đặt tại Việt Nam, nắm giữ mọi giấy phép kinh doanh, tài sản và vận hành Zalo, ZaloPay. VNG Limited sở hữu trực tiếp tối đa 49% thực thể này để đảm bảo tính pháp lý về mặt hình thức.
  • Hợp đồng Hợp tác (Cooperation Agreement): Đây là “sợi dây” vô hình cho phép VNG Limited (Cayman) hưởng toàn bộ lợi ích kinh tế từ phần cổ phần còn lại do các công ty trung gian tại Việt Nam (như Big V) nắm giữ. Kết quả là khối ngoại kiểm soát thực tế tới 70.3% lợi ích kinh tế tại VNG Corporation.

2.2. Bảng phân bổ Lợi ích Kinh tế tại VNG Limited (Dựa trên hồ sơ SEC)

Bảng cấu trúc sở hữu VNG

Mặc dù các nhà sáng lập Việt Nam (ông Lê Hồng Minh và ông Vương Quang Khải) vẫn nắm giữ quyền biểu quyết áp đảo (51%) thông qua cơ chế cổ phiếu hạng B (1 cổ phiếu đổi 10 quyền biểu quyết), nhưng về mặt kinh tế, VNG gần như đã thuộc về các tổ chức nước ngoài. Sự chi phối đặc biệt lớn từ Tencent (43%) và Ant Group (5.7%) - hai tập đoàn công nghệ hàng đầu của Trung Quốc - đã đặt ra những câu hỏi hóc búa về an ninh dữ liệu cá nhân quốc gia.

Tại Phần 2 tiếp theo của bài viết, chúng tôi sẽ phân tích sâu hơn về việc từ cơ cấu sở hữu “thuần ngoại” của Zalo (thuộc sở hữu của VNG) như trên sẽ dẫn đến các rủi ro pháp lý như thế nào đến an ninh dữ liệu cá nhân quốc gia. Từ đó, các độc giả có thể nhìn thấy bức tranh toàn cảnh hơn về vụ việc dữ liệu cá nhân của Zalo lần này không chỉ dừng lại ở việc đơn giản như “mất một vài thông tin” hoặc “tạm thời bị xâm phạm đời tư một chút”.

Xem thêm tại:

  1. https://yplawfirm.vn/phap-ly/du-lieu-ca-nhan-goc-nhin-sau-tu-vu-xu-phat-zalo-phan-2
  2. https://yplawfirm.vn/phap-ly/du-lieu-ca-nhan-su-chuyen-giao-ve-phap-ly-2026-phan-1
  3. https://yplawfirm.vn/phap-ly/du-lieu-ca-nhan-su-chuyen-giao-ve-phap-ly-2026-phan-2
  4. https://baochinhphu.vn/xu-phat-vi-pham-hanh-chinh-810-trieu-dong-cong-ty-van-hanh-nen-tang-zalo-10226012215522757.htm
Share:
Trở về chuyên trang

Bài viết liên quan

Xem tất cả »
Chát Zalo với chúng tôi