Vào ngày 22 tháng 1 năm 2026, thị trường công nghệ và dư luận Việt Nam chấn động trước thông tin Ủy ban Cạnh tranh Quốc gia chính thức ban hành quyết định xử phạt vi phạm hành chính đối với Công ty Cổ phần Tập đoàn VNG (đơn vị vận hành nền tảng Zalo) với số tiền 810 triệu đồng. Sự kiện này không chỉ đơn thuần là một con số tài chính; nó đánh dấu cột mốc lịch sử khi một “ông lớn” công nghệ trong nước bị chế tài nghiêm khắc dựa trên hệ thống pháp luật mới nhất vừa có hiệu lực, bao gồm Luật Bảo vệ dữ liệu cá nhân 2025 và Nghị định 356/2025/NĐ-CP. Vụ việc là kết tinh của những mâu thuẫn kéo dài giữa mô hình kinh doanh dựa trên dữ liệu và quyền riêng tư của người tiêu dùng, đồng thời mở ra những lớp phân tích sâu sắc về cấu trúc sở hữu phức tạp của VNG cùng những rủi ro an ninh quốc gia tiềm ẩn khi dữ liệu của 80 triệu người dân nằm trong tầm ảnh hưởng của các dòng vốn ngoại. Thông qua bài viết này, các độc giả có thể nhìn thấy bức tranh toàn cảnh hơn về vụ việc dữ liệu cá nhân của Zalo lần này không chỉ dừng lại ở việc đơn giản như “mất một vài thông tin” hoặc “tạm thời bị xâm phạm đời tư một chút” mà còn ảnh hưởng nghiêm trọng đến tầm cơ an ninh dữ liệu cá nhân quốc gia.

Để đảm bảo dung lượng và chất lượng, bài viết này được chia làm 02 Phần, tập trung phân (i) làm rõ bối cảnh và diễn biến xảy ra vụ việc xử phạt Zalo do vi phạm quy định bảo vệ dữ liệu cá nhân; (ii) phân tích sâu vào mô hình cơ cấu bộ máy của Zalo; (iii) từ đó phân tích sâu hơn vào các rủi ro về vấn đề dữ liệu cá nhân mang tính quốc gia; và (iv) phân tích các góc nhìn từ một số quốc gia khác trên thế giới và khuyến nghị cho Việt Nam.

Đây là Phần 02 của bài viết, trong đó sẽ (iii) phân tích sâu hơn vào các rủi ro về vấn đề dữ liệu cá nhân mang tính quốc gia; và (iv) phân tích các góc nhìn từ một số quốc gia khác trên thế giới và khuyến nghị cho Việt Nam.

1. Phân tích rủi ro an ninh Quốc gia từ chiến lược dữ liệu cá nhân của Zalo

Với cấu trúc sở hữu bị chi phối bởi dòng vốn Trung Quốc và quyền lực thu thập dữ liệu khổng lồ, Zalo hiện đang đứng trước ba kịch bản rủi ro an ninh hệ thống.

1.1. Sự hình thành Zalo ID và “Hồ sơ người dùng 360 độ”

Chiến lược của VNG trong những năm gần đây là phá bỏ các “ốc đảo dữ liệu” để xây dựng một định danh số thống nhất mang tên Zalo ID. Thông qua Zalo ID, VNG có thể xâu chuỗi dữ liệu từ tin nhắn (Zalo), tài chính (ZaloPay), giải trí (Games), thương mại (Zalo Mini Apps) và định danh thực tế (CCCD). Điều này tạo ra một bộ hồ sơ chi tiết chưa từng có về hành vi, thói quen và tài sản của 80 triệu người dân Việt Nam. Rủi ro nằm ở việc nếu hệ thống này bị tổn thương, toàn bộ “vòng đời số” của công dân sẽ bị phơi bày.

1.2. Kịch bản Trích xuất Dữ liệu cá nhân và “Cửa hậu” Công nghệ

Mặc dù VNG khẳng định dữ liệu được lưu trữ tại Việt Nam, nhưng sự phụ thuộc về mặt tài chính và công nghệ vào Tencent tạo ra những rủi ro vô hình.

Rủi ro trích xuất trực tiếp: Tuy được đánh giá ở mức thấp do các rào cản kỹ thuật và pháp lý của Nghị định 53/2022, nhưng việc di chuyển dữ liệu xuyên biên giới vẫn có thể diễn ra dưới các hình thức tinh vi như sao lưu hoặc tối ưu hóa thuật toán.
Rủi ro “Cửa hậu” (Backdoor): Việc sử dụng các module hoặc thư viện mã nguồn từ các đối tác chiến lược nước ngoài có thể chứa các lỗ hổng vô tình hoặc cố ý, cho phép truy cập dữ liệu mà không thông qua các cổng kiểm soát thông thường.
Sự ngộ nhận về mã hóa E2EE: Zalo quảng cáo mã hóa đầu cuối, nhưng thực tế nó không phải mặc định và các metadata (thông tin về việc ai chat với ai, lúc nào, ở đâu) vẫn được lưu trữ dưới dạng văn bản rõ trên máy chủ của VNG.

1.3. Quyền lực mềm và an ninh kinh tế về dữ liệu cá nhân

Đây được đánh giá là rủi ro hiện hữu nhất (Rating: CAO). Khi các tập đoàn Trung Quốc nắm giữ “két sắt” của VNG, họ có quyền lực mềm để định hướng chính sách phát triển của nền tảng này. Điều này có thể dẫn đến việc kìm hãm sự phát triển của các dịch vụ thay thế an toàn hơn hoặc tạo ra sự phụ thuộc chiến lược vào hạ tầng công nghệ của nước ngoài.

2. Sự can thiệp của Cơ quan Nhà nước và các căn cứ xử phạt theo Luật Bảo vệ dữ liệu cá nhân 2025

Quyết định xử phạt 810 triệu đồng là minh chứng rõ nét cho sự vào cuộc quyết liệt của Chính phủ Việt Nam nhằm bảo vệ quyền lợi người tiêu dùng và an ninh dữ liệu. Các cơ quan như Ủy ban Cạnh tranh Quốc gia, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) đã phối hợp chặt chẽ để thực thi các chế tài mới.

2.1. Các chế tài nghiêm khắc từ Luật Dữ liệu cá nhân 2025

Từ ngày 01/01/2026, các doanh nghiệp như VNG sẽ không còn đối mặt với những án phạt “tượng trưng” như trước đây. Luật Bảo vệ dữ liệu cá nhân 2025 quy định các mức phạt cực kỳ nặng nề:

Phạt tiền theo doanh thu: Vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới có thể bị phạt tới 5% doanh thu của năm trước liền kề của tổ chức. Với doanh thu hàng nghìn tỷ đồng của VNG, mức phạt này có thể lên tới hàng trăm tỷ đồng.
Phạt tiền theo khoản thu bất chính: Hành vi mua bán dữ liệu cá nhân có thể bị phạt gấp 10 lần khoản thu có được từ hành vi vi phạm, tối đa lên tới 3 tỷ đồng nếu không xác định được khoản thu.
Các hình thức bổ sung: Đình chỉ hoạt động xử lý dữ liệu, yêu cầu xóa dữ liệu, hoặc truy cứu trách nhiệm hình sự đối với các cá nhân trực tiếp gây ra sai phạm.

Cần lưu ý rằng án phạt 810 triệu đồng đối với Zalo chủ yếu dựa trên các sai phạm về quyền lợi người tiêu dùng trong quá trình cập nhật điều khoản. Nếu các cơ quan chức năng tiếp tục phát hiện các sai phạm liên quan đến việc chuyển dữ liệu xuyên biên giới hoặc xử lý dữ liệu nhạy cảm trái phép theo Luật 2025, VNG sẽ phải đối mặt với rủi ro tài chính khủng khiếp từ quy định “phạt 5% doanh thu”.

3. Các vụ việc điển hình về dữ liệu cá nhân và bài học kinh nghiệm quốc tế (2024-2025)

Việc nhìn lại các án lệ quốc tế gần đây giúp doanh nghiệp Việt Nam hình dung rõ hơn về quy mô rủi ro và các “điểm nóng” pháp lý.

Meta (Facebook): Nhận mức phạt kỷ lục 1,2 tỷ EUR (tháng 5/2023) từ cơ quan bảo vệ dữ liệu Ireland vì chuyển dữ liệu người dùng EEA sang Mỹ mà không đảm bảo mức độ bảo vệ tương đương theo phán quyết Schrems II.

TikTok: Bị phạt 530 triệu EUR (tháng 3/2025) do các kỹ sư tại Trung Quốc có thể truy cập định kỳ vào dữ liệu nhạy cảm của người dùng Châu Âu và thiếu các đánh giá rủi ro thỏa đáng về luật giám sát của nước sở tại.

Quảng cáo ẩn danh: Google LLC bị CNIL (Pháp) phạt 200 triệu EUR vì lồng ghép quảng cáo giả dạng email vào hộp thư Gmail mà không có sự đồng ý hợp lệ, vi phạm quy định về tiếp thị trực tiếp.

3.2. Hàn Quốc (PIPA): Siết chặt AI và dữ liệu cá nhân nhạy cảm

Kakao Pay & Alipay: Một vụ việc chấn động vào tháng 1/2025 khi Kakao Pay gửi dữ liệu của 40 triệu người dùng cho Alipay để xây dựng thuật toán chấm điểm tín dụng mà không thông báo rõ ràng. Cơ quan quản lý (PIPC) không chỉ phạt 8,3 tỷ KRW mà còn ra lệnh tiêu hủy hoàn toàn thuật toán/mô hình AI được xây dựng trên dữ liệu bất hợp pháp này.

Meta: Nhận án phạt 21,6 tỷ KRW (tháng 11/2024) vì tự ý suy luận quan điểm tôn giáo và chính trị của người dùng từ hoạt động trên nền tảng để chạy quảng cáo mà không có sự đồng ý riêng biệt cho dữ liệu nhạy cảm.

3.3. Nhật Bản (APPI): Cảnh báo rủi ro từ lỗi con người

Gia tăng sự cố do sai sót vận hành: Trong nửa đầu năm tài chính 2024, Nhật Bản ghi nhận 7.735 vụ rò rỉ dữ liệu, tăng mạnh so với năm 2023. Nguyên nhân chủ yếu đến từ lỗi con người như gửi nhầm tài liệu chứa thông tin nhạy cảm tại các bệnh viện, hiệu thuốc và các vụ lừa đảo chiếm đoạt thông tin.

4. Khuyến nghị toàn diện cho doanh nghiệp Việt Nam về tuân thủ bảo vệ dữ liệu cá nhân

Dựa trên các quy định mới của Luật 2025 và bài học từ các án lệ quốc tế, doanh nghiệp Việt Nam cần thực hiện lộ trình tuân thủ sau:

4.1. Quản trị và Nhân sự

Data Mapping: Thực hiện rà soát và kiểm kê toàn bộ dòng chảy dữ liệu. Phân loại rõ ràng dữ liệu cơ bản và nhạy cảm (đặc biệt là dữ liệu hành vi không gian mạng) để áp dụng mức bảo vệ tương ứng.

Bổ nhiệm DPO: Thiết lập bộ phận hoặc nhân sự chuyên trách bảo vệ dữ liệu (DPO) bằng văn bản chính thức, đảm bảo nhân sự này có năng lực chuyên môn và được đào tạo bài bản.

4.2. Pháp lý và Quy trình nội bộ

Minh bạch hóa cơ chế đồng ý: Loại bỏ các hình thức “đồng ý mặc định” hoặc tích sẵn. Xây dựng thông báo quyền riêng tư (Privacy Notice) rõ ràng, tách biệt các mục đích xử lý dữ liệu để người dùng lựa chọn.

Xây dựng hồ sơ DPIA/TIA: Chủ động lập hồ sơ đánh giá tác động xử lý dữ liệu và đánh giá tác động chuyển dữ liệu xuyên biên giới. Đây là bằng chứng quan trọng nhất để chứng minh trách nhiệm giải trình khi có thanh tra.

Quy trình phản hồi chủ thể: Thiết lập hệ thống kỹ thuật để đáp ứng các quyền của khách hàng (xóa, chỉnh sửa, rút lại đồng ý) trong thời hạn nghiêm ngặt từ 10 đến 30 ngày.

4.3. An ninh kỹ thuật và Đào tạo

Cơ chế thông báo sự cố 72 giờ: Doanh nghiệp phải có quy trình phát hiện và thông báo vi phạm dữ liệu cá nhân cho Cục An ninh mạng trong vòng 72 giờ kể từ khi phát hiện sự cố.

Đào tạo nhân viên: Tập trung vào việc giảm thiểu rủi ro từ lỗi con người – nguyên nhân hàng đầu gây rò rỉ dữ liệu. Tổ chức các buổi đào tạo định kỳ về nhận diện lừa đảo (phishing) và quy trình xử lý tài liệu an toàn.

Quản lý bên thứ ba: Rà soát các hợp đồng với đối tác xử lý dữ liệu (Vendor), yêu cầu họ cam kết tuân thủ Luật 2025 và thực hiện các biện pháp bảo mật tương đương.

5. Kết luận:

Vụ việc Zalo bị xử phạt 810 triệu đồng là sự kiện “phát súng hiệu” báo hiệu rằng Chính phủ Việt Nam sẽ không nương tay với bất kỳ hành vi xâm phạm dữ liệu cá nhân nào, dù đó là một tập đoàn công nghệ hàng đầu trong nước. Phân tích từ cấu trúc sở hữu VIE cho thấy VNG đang đứng ở tâm điểm của một cuộc chiến về quyền lực kinh tế và an ninh dữ liệu giữa các dòng vốn ngoại.

Luật Bảo vệ dữ liệu cá nhân 2025 và Nghị định 356/2025/NĐ-CP đã cung cấp một khung pháp lý vững chắc để bảo vệ người dân, nhưng sự thành công của công cuộc này phụ thuộc rất lớn vào sự quyết liệt trong khâu thực thi của các cơ quan nhà nước và sự tỉnh táo của người tiêu dùng. Zalo và VNG cần phải nhận thức rằng, trong thế giới hiện đại, dữ liệu cá nhân không phải là một loại “hàng hóa” để cưỡng ép trao đổi, mà là một phần của chủ quyền quốc gia cần được bảo vệ với tiêu chuẩn cao nhất. Vụ việc này chính là bước lùi cần thiết để VNG tự chấn chỉnh, hướng tới một mô hình kinh doanh minh bạch và có trách nhiệm hơn, thay vì tiếp tục lún sâu vào mê cung của sự kiểm soát từ các dòng vốn ngoại và các chiến lược thu thập dữ liệu gây tranh cãi.

Xem thêm tại:

Dữ liệu cá nhân - Góc nhìn sâu từ vụ xử phạt Zalo - Phần 2