Gần đây, việc cơ quan có thẩm quyền ban hành quyết định xử phạt vi phạm hành chính đối với VNG liên quan đến những vi phạm về cập nhật điều khoản người dùng trên Zalo đã thu hút sự quan tâm đáng kể của dư luận. Trên cơ sở thông tin công khai về quyết định xử phạt, bài viết chỉ rõ các quy định pháp luật mà nền tảng Zalo đã vi phạm trong hoạt động cung cấp dịch vụ theo Luật Bảo vệ quyền lợi người tiêu dùng (“LBVQLNTD”) và căn cứ xử phạt theo Nghị định số 24/2025/NĐ-CP sửa đổi, bổ sung Nghị định số 98/2020/NĐ-CP (“Nghị định 24”). Cụ thể:
1. Không thiết lập phương thức để người tiêu dùng lựa chọn phạm vi thông tin đồng ý cung cấp và bày tỏ sự đồng ý hoặc không đồng ý theo quy định đối với một số thông tin 
Theo quy định tại khoản 2 Điều 17 LBVQLNTD: “Tổ chức, cá nhân kinh doanh phải thiết lập phương thức rõ ràng để người tiêu dùng lựa chọn phạm vi thông tin đồng ý cung cấp và bày tỏ sự đồng ý hoặc không đồng ý, trừ trường hợp quy định tại khoản 3 Điều này, điểm b và điểm c khoản 3 Điều 18 của Luật này.”
Có thể thấy, hành vi của Zalo trong việc không thiết lập phương thức để người tiêu dùng lựa chọn phạm vi thông tin đồng ý cung cấp và bày tỏ sự đồng ý hoặc không đồng ý đã bị cơ quan có thẩm quyền xác định là vi phạm quy định tại Điều 17 LBVQLNTD, bất kể việc tổ chức kinh doanh có hay không thực hiện nghĩa vụ thông báo về thu thập, sử dụng thông tin.
Đối với hành vi vi phạm này, căn cứ điểm i khoản 1 Điều 46 Nghị định 24: “Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với một trong các hành vi vi phạm sau đây:… i) Không thiết lập phương thức để người tiêu dùng lựa chọn phạm vi thông tin đồng ý cung cấp và bày tỏ sự đồng ý hoặc không đồng ý theo quy định”, VNG bị xử phạt tiền trong khung từ 20.000.000 đồng đến 30.000.000 đồng. Do VNG là tổ chức thiết lập, vận hành nền tảng số lớn, mức phạt được áp dụng gấp bốn lần theo khoản 4 Điều 46 Nghị định 24: “Phạt tiền gấp bốn lần mức tiền phạt đối với hành vi vi phạm quy định tại khoản 1, khoản 2 Điều này trong trường hợp hành vi vi phạm do tổ chức thiết lập, vận hành nền tảng số lớn thực hiện.”
Ngoài ra, theo quy định chung tại điểm b khoản 4 Điều 4 Nghị định 24: “Mức phạt tiền quy định tại Chương II của Nghị định này là mức phạt tiền áp dụng đối với hành vi vi phạm hành chính do cá nhân thực hiện, trừ các hành vi vi phạm hành chính quy định tại Điều 33; Điều 34; Điều 35; khoản 4 Điều 46; khoản 2, 3 Điều 53a; khoản 5, 7, 8, 9 Điều 56; Điều 67; Điều 68; Điều 70 và khoản 6, 7, 8 Điều 77 của Nghị định này. Trường hợp hành vi vi phạm hành chính do tổ chức thực hiện thì phạt tiền gấp hai lần mức phạt tiền quy định đối với cá nhân.” Vì vậy, khi áp dụng chế tài đối với hành vi vi phạm theo khoản 4 Điều 46, cơ quan có thẩm quyền không áp dụng cơ chế nhân đôi mức phạt đối với tổ chức, mà áp dụng trực tiếp mức phạt được quy định tại điều khoản tương ứng.
2. Không có cơ chế để người tiêu dùng lựa chọn việc cho phép hoặc không cho phép thực hiện việc sử dụng thông tin của người tiêu dùng để quảng cáo, giới thiệu sản phẩm, hàng hóa, dịch vụ và hoạt động có tính chất thương mại khác.
Khoản 4 Điều 18 LBVQLNTD quy định: “Tổ chức, cá nhân kinh doanh thu thập, sử dụng thông tin của người tiêu dùng phải có cơ chế để người tiêu dùng lựa chọn việc cho phép hoặc không cho phép thực hiện các hành vi sau đây:…b) Sử dụng thông tin của người tiêu dùng để quảng cáo, giới thiệu sản phẩm, hàng hóa, dịch vụ và hoạt động có tính chất thương mại khác.”
Trong trường hợp của Zalo, việc không thiết lập cơ chế lựa chọn riêng biệt đối với mục đích sử dụng thông tin vào hoạt động quảng cáo, tiếp thị đã dẫn đến tình trạng người tiêu dùng không có khả năng kiểm soát thực chất đối với việc dữ liệu cá nhân của mình bị khai thác cho mục đích thương mại. Trên cơ sở đó, hành vi của Zalo đã bị xác định là vi phạm pháp luật về bảo vệ thông tin người tiêu dùng theo quy định tại Điều 18 LBVQLNTD.
Theo quy định tại điểm m khoản 1 Điều 46 Nghị định 24: “Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với một trong các hành vi vi phạm sau đây:… m) Không cho người tiêu dùng lựa chọn việc cho phép hoặc không cho phép thực hiện một trong các hành vi quy định tại điểm a, điểm b khoản 4 Điều 18 Luật Bảo vệ quyền lợi người tiêu dùng”. Việc nền tảng Zalo không cho người tiêu dùng lựa chọn việc cho phép hoặc không cho phép thực hiện một trong các hành vi quy định tại điểm a, điểm b khoản 4 Điều 18 LBVQLNTD sẽ bị áp dụng hình thức phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng và cũng bị áp dụng mức phạt gấp 4 lần tương tự như đối với hành vi vi phạm thứ nhất.
3. Quy định điều khoản không được phép trong điều kiện giao dịch chung
Khoản 14 Điều 25 LBVQLNTD quy định: “Trong hợp đồng giao kết với người tiêu dùng, hợp đồng theo mẫu, điều kiện giao dịch chung, tổ chức, cá nhân kinh doanh không được quy định các điều khoản sau đây:…14. Quy định người tiêu dùng phải đồng ý cho tổ chức, cá nhân kinh doanh thu thập, lưu trữ, sử dụng thông tin của người tiêu dùng là điều kiện để giao kết hợp đồng, điều kiện giao dịch chung, trừ trường hợp pháp luật có quy định khác;”
Trên thực tế, nền tảng Zalo đã yêu cầu người sử dụng phải chấp thuận cho việc thu thập, lưu trữ và sử dụng thông tin cá nhân thì mới có thể tiếp tục sử dụng ứng dụng. Cách thức này đã ép buộc người tiêu dùng đồng ý cho phép sử dụng dữ liệu cá nhân, nếu không sẽ bị hạn chế quyền tiếp cận hàng hóa, dịch vụ. Do đó, điều khoản này đã vi phạm nguyên tắc cấm quy định tại khoản 14 Điều 25 LBVQLNTD, bởi Zalo đã lợi dụng vị thế áp đảo của mình, trực tiếp gắn quyền tiếp cận dịch vụ của người tiêu dùng với nghĩa vụ chấp thuận việc xử lý dữ liệu cá nhân.
Áp dụng điểm q khoản 1 Điều 53a Nghị định 24: “Phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng đối với chủ thể kinh doanh thiết lập, vận hành, cung cấp dịch vụ nền tảng số có một trong các hành vi vi phạm sau đây:…q) Quy định điều khoản không được phép quy định trong hợp đồng giao kết với người tiêu dùng, hợp đồng theo mẫu, điều kiện giao dịch chung theo quy định;”, VNG bị xử phạt từ 50.000.000 đồng đến 70.000.000 đồng đối với chủ thể kinh doanh thiết lập, vận hành, cung cấp dịch vụ nền tảng số có hành vi quy định điều khoản không được phép trong điều kiện giao dịch chung.
4. Điều kiện giao dịch chung không quy định cụ thể thời điểm áp dụng
Theo khoản 2 Điều 27 LBVQLNTD: “Điều kiện giao dịch chung phải quy định rõ thời điểm áp dụng và phải được tổ chức, cá nhân kinh doanh công khai theo hình thức niêm yết ở vị trí dễ nhìn thấy tại trụ sở, địa điểm kinh doanh và đăng tải trên trang thông tin điện tử, phần mềm ứng dụng (nếu có) để người tiêu dùng biết về nội dung của điều kiện giao dịch chung.”
Trong trường hợp của Zalo, điều kiện giao dịch chung được xây dựng và công bố theo hướng thiếu thông tin về thời điểm bắt đầu có hiệu lực hoặc thời điểm áp dụng cụ thể, khiến người sử dụng không thể xác định chính xác liệu các điều kiện đó đang áp dụng cho mình từ thời điểm nào, cũng như không thể phân biệt giữa các phiên bản điều kiện giao dịch chung được ban hành ở các thời kỳ khác nhau, làm suy giảm mức độ bảo vệ người tiêu dùng trong nền tảng số.
Theo quy định tại điểm a khoản 2 Điều 50 Nghị định 24: “Phạt tiền từ 30.000.000 đồng đến 50.000.000 đồng đối với một trong các hành vi vi phạm sau đây:… a) Không thực hiện hoặc thực hiện không đúng việc công khai hợp đồng theo mẫu hoặc điều kiện giao dịch chung theo quy định, trừ trường hợp quy định tại khoản 2 Điều 51 và điểm b khoản 1 Điều 52 Nghị định này”, VNG bị phạt tiền từ 30.000.000 đồng đến 50.000.000 đồng đối với hành vi không thực hiện hoặc thực hiện không đúng việc công khai hợp đồng theo mẫu hoặc điều kiện giao dịch chung theo quy định.
5. Không công khai quy trình tiếp nhận và giải quyết phản ánh, yêu cầu, khiếu nại của người tiêu dùng theo hình thức niêm yết ở vị trí dễ nhìn thấy tại trụ sở, địa điểm kinh doanh và đăng tải trên trang thông tin điện tử, phần mềm ứng dụng theo quy định
Theo khoản 3 Điều 31 LBVQLNTD: “Tổ chức, cá nhân sản xuất, nhập khẩu sản phẩm, hàng hóa hoặc trực tiếp bán, cung cấp sản phẩm, hàng hóa, dịch vụ cho người tiêu dùng có trách nhiệm xây dựng, công khai quy trình tiếp nhận và giải quyết phản ánh, yêu cầu, khiếu nại của người tiêu dùng theo hình thức niêm yết ở vị trí dễ nhìn thấy tại trụ sở, địa điểm kinh doanh và đăng tải trên trang thông tin điện tử, phần mềm ứng dụng (nếu có).
Quy định tại khoản này không bắt buộc áp dụng đối với cá nhân hoạt động thương mại độc lập, thường xuyên, không phải đăng ký kinh doanh, tất cả doanh nghiệp siêu nhỏ theo quy định của pháp luật.”
Đối chiếu với quy định của pháp luật, Zalo là nền tảng phổ biển, thường xuyên phát sinh các tương tác liên quan đến tài khoản, dữ liệu cá nhân và không thuộc bất kỳ trường hợp ngoại lệ hoặc miễn trừ nghĩa vụ xây dựng và công khai quy trình tiếp nhận, giải quyết khiếu nại theo Điều 31 LBVQLNTD. Việc không xây dựng hoặc không công khai quy trình tiếp nhận và giải quyết khiếu nại theo đúng hình thức nêu trên khiến người tiêu dùng gặp khó khăn trong việc xác định đầu mối tiếp nhận, trình tự thực hiện và thời hạn giải quyết khi quyền lợi bị xâm phạm.
Căn cứ Điều 61 Nghị định 24: “Phạt tiền từ 20.000.000 đồng đến 40.000.000 đồng đối với một trong các hành vi sau đây:… 3. Không xây dựng hoặc không công khai quy trình tiếp nhận và giải quyết phản ánh, yêu cầu, khiếu nại của người tiêu dùng theo hình thức niêm yết ở vị trí dễ nhìn thấy tại trụ sở, địa điểm kinh doanh và đăng tải trên trang thông tin điện tử, phần mềm ứng dụng (nếu có) theo quy định”, đối với hành vi không xây dựng hoặc không công khai quy trình tiếp nhận và giải quyết phản ánh, yêu cầu, khiếu nại của người tiêu dùng theo đúng hình thức luật định, cơ quan quản lý nhà nước có thẩm quyền sẽ áp dụng biện pháp xử phạt vi phạm hành chính với mức phạt tiền từ 20.000.000 đồng đến 40.000.000 đồng.
6. Không công khai cho người tiêu dùng dễ bị tổn thương các nội dung, cơ chế, chính sách áp dụng với người tiêu dùng dễ bị tổn thương theo quy định
Theo quy định tại điểm e khoản 3 Điều 8 LBVQLNTD: “Khi giao dịch với người tiêu dùng dễ bị tổn thương, tổ chức, cá nhân kinh doanh có trách nhiệm sau đây:… e) Xây dựng, cập nhật, công khai cho người tiêu dùng dễ bị tổn thương các nội dung quy định tại khoản này theo hình thức niêm yết tại trụ sở, địa điểm kinh doanh hoặc đăng tải trên trang thông tin điện tử, phần mềm ứng dụng (nếu có) và đào tạo, tập huấn cho người lao động của mình về các nội dung đó.
Trách nhiệm quy định tại điểm này không bắt buộc áp dụng đối với cá nhân hoạt động thương mại độc lập, thường xuyên, không phải đăng ký kinh doanh; doanh nghiệp nhỏ, siêu nhỏ theo quy định của pháp luật, trừ trường hợp doanh nghiệp đó thực hiện giao dịch quy định tại Chương III của Luật này.”
Theo đó, Zalo là nền tảng số cung cấp dịch vụ cho lượng lớn người tiêu dùng, trong đó không loại trừ sự hiện diện của các nhóm người tiêu dùng dễ bị tổn thương và cũng không thuộc trường hợp được pháp luật miễn trừ nghĩa vụ xây dựng và công khai các cơ chế, chính sách bảo vệ người tiêu dùng dễ bị tổn thương theo quy định tại Điều 8 LBVQLNTD. Do đó, việc Zalo không xây dựng hoặc không công khai đầy đủ các cơ chế, chính sách bảo vệ người tiêu dùng dễ bị tổn thương đã làm cho nghĩa vụ bảo vệ tăng cường theo luật định không được thực thi trên thực tế.
Trên cơ sở xác định hành vi không xây dựng hoặc không công khai các cơ chế, chính sách bảo vệ người tiêu dùng dễ bị tổn thương là hành vi vi phạm nghĩa vụ quy định tại điểm e khoản 3 Điều 8 LBVQLNTD, cơ quan có thẩm quyền tiến hành áp dụng điểm g khoản 1 Điều 46a Nghị định 24: “Phạt tiền từ 30.000.000 đồng đến 50.000.000 đồng đối với một trong các hành vi vi phạm sau đây đối với người tiêu dùng dễ bị tổn thương:… g) Không xây dựng, không cập nhật hoặc không công khai cho người tiêu dùng dễ bị tổn thương các nội dung, cơ chế, chính sách áp dụng với người tiêu dùng dễ bị tổn thương theo quy định hoặc không đào tạo, tập huấn cho người lao động của mình về các nội dung, cơ chế, chính sách đó theo quy định” để xử phạt vi phạm hành chính đối với hành vi này.
Quyết định xử phạt đối với nền tảng Zalo cho thấy xu hướng siết chặt quản lý và tăng cường thực thi pháp luật bảo vệ quyền lợi người tiêu dùng trong môi trường số, đặc biệt đối với các nền tảng có quy mô lớn và ảnh hưởng rộng. Trong bối cảnh đó, doanh nghiệp cung cấp nền tảng số cần chủ động rà soát, điều chỉnh toàn bộ hệ thống điều kiện giao dịch, chính sách dữ liệu và cơ chế bảo vệ người tiêu dùng, coi tuân thủ pháp luật không chỉ là nghĩa vụ pháp lý mà còn là yếu tố cốt lõi để xây dựng niềm tin và phát triển bền vững trên thị trường số.
