🛡️ KỶ NGUYÊN DỮ LIỆU MỚI: Luật Bảo vệ Dữ liệu cá nhân có hiệu lực - Zalo bị "tuýt còi" vì tối hậu thư với 79 triệu người dùng

Ngày 1/1/2026 đánh dấu bước ngoặt lịch sử trong không gian mạng Việt Nam khi Luật Bảo vệ Dữ liệu Cá nhân chính thức có hiệu lực, thay đổi hoàn toàn cách các tổ chức xử lý dữ liệu của 100 triệu người dùng internet. Chính phủ cũng vừa ban hành Nghị định 356/2025/ND-CP vào ngày 31/12 để hướng dẫn chi tiết.

Tuy nhiên, tâm điểm dư luận lại đổ dồn về Zalo - nền tảng nhắn tin số 1 Việt Nam. Ủy ban Cạnh tranh Quốc gia đã yêu cầu VNG (công ty chủ quản Zalo) rà soát ngay lập tức chính sách yêu cầu người dùng chấp nhận thu thập dữ liệu mở rộng hoặc bị xóa tài khoản sau 45 ngày. Cơ quan này khẳng định cơ chế đồng ý phải là "tự nguyện, rõ ràng", không phải là điều kiện bắt buộc để sử dụng dịch vụ.

1. "So What?" – Chấm dứt thời kỳ "Dùng chùa thì phải đưa dữ liệu"

Sự kiện này thiết lập những tiền lệ quan trọng cho nền kinh tế số Việt Nam:

• Quyền lực của người dùng: Việc Ủy ban Cạnh tranh can thiệp vào chính sách của Zalo cho thấy kỷ nguyên "Take it or Leave it" (Chấp nhận hoặc biến đi) đã chấm dứt. Doanh nghiệp không thể lợi dụng vị thế thống lĩnh (79,2 triệu người dùng) để ép buộc người dùng trao quyền khai thác dữ liệu vô điều kiện.
• Chế tài "khủng" theo phong cách GDPR: Mức phạt lên tới 5% tổng doanh thu hàng năm đối với vi phạm chuyển dữ liệu qua biên giới trái phép hoặc gấp 10 lần lợi nhuận bất hợp pháp từ việc mua bán dữ liệu là những con số đủ sức răn đe cả các tập đoàn đa quốc gia.
• Trách nhiệm báo cáo 72 giờ: Bộ Công an (A05) yêu cầu thông báo vi phạm dữ liệu trong vòng 72 giờ. Điều này buộc các công ty phải có hệ thống giám sát an ninh mạng thời gian thực (Real-time monitoring) chứ không thể che giấu sự cố như trước.

2. Góc nhìn MPR: Chứng chỉ ISO không phải là "Kim bài miễn tử"

Góc nhìn MPR (Phân tích Pháp lý & Quản trị):

Phản hồi của Zalo về việc họ đạt chuẩn ISO/IEC 27001:2022 là đúng nhưng chưa đủ.

• Bảo mật (Security) ≠ Tuân thủ (Compliance): ISO 27001 chứng minh hệ thống của bạn khó bị hack, nhưng nó không chứng minh việc bạn thu thập dữ liệu là hợp pháp hay tự nguyện. Luật mới tập trung vào "Quyền con người", không chỉ là kỹ thuật.
• Rủi ro từ VNG: Việc VNG xin hoãn buổi làm việc ngày 31/12 cho thấy sự lúng túng của ông lớn công nghệ trước áp lực pháp lý mới. Nếu Zalo bị xử phạt làm án điểm, đây sẽ là cú sốc lớn cho toàn bộ hệ sinh thái startup Việt.

3. Khuyến nghị cho Doanh nghiệp Số tại Đà Nẵng

Đà Nẵng đang hướng tới thành phố thông minh và có nhiều doanh nghiệp làm app/web phục vụ du lịch và thương mại:

• Rà soát lại Terms of Service (ToS): Đừng sao chép chính sách của Zalo hay Facebook. Hãy đảm bảo mục "Đồng ý" (Consent) trên website/app của bạn là một lựa chọn tích vào (Opt-in), không được tích sẵn và tách biệt rõ ràng với các điều khoản sử dụng dịch vụ khác.
• Dữ liệu nhạy cảm: Nếu doanh nghiệp của bạn xử lý dữ liệu nhạy cảm (sức khỏe, tài chính, vị trí), luật yêu cầu phải chỉ định một Cán bộ Bảo vệ Dữ liệu (DPO). Đây là vị trí nhân sự mới mà các công ty Đà Nẵng cần bổ sung ngay trong Q1/2026.

Góc nhìn từ Trung tâm HTKNĐMST Đà Nẵng:

"Dữ liệu là dầu mỏ mới, nhưng giờ đây 'mỏ dầu' này đã được quy hoạch chặt chẽ. Các startup Đà Nẵng đừng nhìn vào án phạt mà sợ hãi, hãy coi đây là cơ hội để xây dựng lòng tin (Trust). Trong bối cảnh người dùng ngày càng lo ngại về quyền riêng tư, một sản phẩm cam kết bảo vệ dữ liệu minh bạch sẽ có lợi thế cạnh tranh rất lớn."

---