Zalo가 최근 서비스 이용 약관을 업데이트한 것에 대해 사용자들로부터 강한 반발이 일어나고 있으며, 사용자가 “동의 버튼을 클릭하지 않으면 플랫폼을 떠나야 하는” 방식에 대한 논란이 커지고 있다. Zalo가 일방적으로 설정한 약관은 사용자 개인 데이터를 사용하는 방식에서 “새로운 규칙”을 제시하고 있다는 평가를 받고 있다. VnExpress의 조사에 따르면 12월 28일부터 31일 오후까지 28,000명이 넘는 참여자 중 86%가 Zalo의 방식에 반대하며, 플랫폼이 다른 통지 방법을 사용해야 한다고 주장했다. 반면 10%는 다른 플랫폼들도 업데이트를 하면서 사용자에게 알리지 않는 경우가 많기 때문에 이를 “보통”으로 간주하고 있다.
12월 31일까지 Zalo는 사용자 개인 정보와 이용 약관 변경에 대한 첫 번째 답변을 내놓으며, 데이터 저장 및 공유 문제에 대해 설명하고 보안성을 보장하겠다고 밝혔다. 그러나 법률 전문가들은 Zalo가 이전에 제시한 표준 계약서의 약관이 여전히 매우 광범위한 내용을 포함하고 있어, “법 위반의 징후가 있고 사용자와 공급자 모두에게 많은 위험을 내포하고 있다”고 지적했다.
약관의 자발성 부족에 대한 의문도 제기되고 있다. Zalo의 새로운 이용 약관을 분석한 법학 석사인 응우옌득 히에우(호치민시 국제대학교 강사)는 “본질적으로 이는 2015년 민법 제405조에 따른 표준 계약서”라고 설명했다. 기업이 모든 내용을 미리 작성해 두었고, 사용자는 이를 수용하거나 거부할 수 있을 뿐 기본 약관을 협상하거나 수정할 수 있는 권한이 없다. 동의를 거부하면 서비스를 더 이상 이용할 수 없다는 것이다.
2023년 소비자 권리 보호법은 표준 계약서를 인정하지만 동시에 법적 한계를 설정하고 있다. 이 법 제26조는 기업의 책임을 배제하거나 계약을 일방적으로 변경하거나 소비자의 권리를 부당하게 제한하는 여러 조항이 무효가 될 수 있다고 규정하고 있다. 2023년 전자 거래법은 “동의 버튼 클릭” 행위의 법적 효력을 인정하지만, 형식적으로 인정된다고 해서 모든 내용을 합법화하는 것은 아니다. 2015년 민법의 계약 자유 원칙은 여전히 보장되어야 한다.
히에우는 “실제로 사용자가 새로운 약관을 전부 수용해야 하거나 플랫폼에서 제외되는 상황은 자발성에 대한 의문을 제기한다. 대안 선택이나 부분 동의가 없을 때, 동의는 형식적일 수 있다”고 말했다. 특히 개인 데이터 보호 규정에 따라 데이터 처리에는 명확하고 구체적이며 철회 가능한 동의가 필요하다. 만약 표준 계약서가 사용자가 데이터 처리 목적을 전부 수용하도록 강제하는 경우, 이는 평등한 협상 기반에서 형성되지 않은 강제적인 계약서로 간주될 수 있다.
법적 문제의 핵심은 표준 계약서가 허용되느냐가 아니라, 사용자 기본 권리와의 관계에서 표준 계약서의 내용 한계에 있다. 표준 계약서는 금지되지 않지만, 민법, 소비자 보호 법칙 및 개인 데이터 관련 전문 규정을 준수해야 하며, 특히 오늘부터 시행되는 개인 데이터 보호법을 따라야 한다. 히에우는 “표준 계약서에 법 위반 조항이 포함되거나 사용자의 기본 권리를 침해하는 경우, 해당 조항은 무효로 선언될 수 있으며, 전체 계약이 법원에서 인정되지 않을 수 있다”고 밝혔다.
비슷한 의견을 가진 변호사 응우옌민흥(호치민시 변호사협회)은 “개인 데이터 보호법에 따르면, 데이터 주체의 동의는 자발적이고 명확하며 강압을 받아서는 안 된다”며 “이 경우 Zalo는 개인 데이터 보호 규정을 위반할 위험이 있다”고 지적했다. 민흥은 법적 원칙에 따르면 약관 업데이트 시점이 법 위반 여부를 결정하는 요소가 아니라고 강조하며, 핵심 문제는 사용자의 동의가 실제로 자발적이고 명확하며 강압을 받지 않는지에 달려 있다고 덧붙였다.
Zalo가 투명하게 약관을 업데이트하고, 데이터 수집의 범위와 목적을 명확히 하며, 사용자에게 충분한 시간을 주고 선택권을 제공한다면 위반으로 간주되지 않을 수 있다. 반면, “동의하지 않으면 계정이 차단된다”는 방식으로 업데이트가 이루어지고, 내용이 이전보다 데이터 처리 범위를 대폭 확장한다면, 사용자의 동의는 자발적이지 않은 것으로 평가될 수 있다.
법률 전문가들은 Zalo의 새로운 이용 약관이 개인 데이터 수집 및 처리 범위를 상당히 확대하고 있음을 지적하고 있다. 전화번호, 이름, 연락처와 같은 기본 정보 외에도 민감한 데이터인 신분증 정보(CCCD/ID), 위치 데이터, 행동 데이터, 상호작용 기록 및 서비스 이용 과정에서 발생하는 데이터까지 포함하고 있다. 특히, 약관에는 데이터 공유 가능성이 언급되어 있어, 사용자의 데이터가 원래 기대했던 것보다 더 광범위하게 활용될 수 있다는 우려를 낳고 있다.
히에우는 “법적 문제의 핵심은 얼마나 많은 데이터를 수집하는가가 아니라, 사용 목적과 투명성의 정도에 있다”고 강조했다. 개인 데이터 보호법의 원칙에 따르면, 데이터는 특정하고 명확하며 합법적인 목적을 위해 필요 범위 내에서만 처리되어야 한다. 그는 “약관의 내용은 ‘먼저 수집하고 나중에 설명한다’거나, 검증하기 어려운 포괄적인 조항으로 목적을 확장할 수 없다”고 말했다.
민감한 데이터와 신분 데이터에 대해서는 법이 더 엄격한 조건을 요구하며, 사용자는 어떤 데이터가 수집되고, 무엇을 위해 사용되며, 얼마나 오랫동안 저장되고, 제3자에게 공유되는지를 명확히 통지받아야 한다. 만약 이러한 내용이 포괄적으로 설명되거나 전체 동의로 통합된다면, 투명성 원칙을 위반할 위험이 크다.
또한, 사용자가 “전체 약관을 수용하거나 서비스를 중단해야 한다”는 방식은 데이터 통제 권한, 즉 알 권리, 동의 철회, 처리 제한 또는 데이터 삭제 요청 권한을 실질적으로 약화시킬 수 있으며, 이는 사용자의 권리가 형식적일 수 있음을 의미한다.
Zalo의 사용자와 Zalo 자체에 대한 법적 위험에 대해 히에우는 “기업 생태계 내 데이터 공유 범위와 제3자에게 전송 시 데이터 보호 메커니즘이 투명하지 않은 것은 법적 위험을 초래할 뿐만 아니라, 디지털 환경에서 사용자 신뢰에도 직접적인 영향을 미친다”고 밝혔다. 표준 계약서의 장점은 편리하고 일관성이 있지만, 단점은 권리와 의무의 불균형을 초래할 수 있다는 것이다. Zalo가 서비스의 안정성이나 정보 보안에 대한 책임을 면책하는 일부 조항이 사용자를 불리한 상황에 두게 할 수 있으며, 특히 데이터 유출, 불법 사용 또는 제3자와의 공유 사건에서 문제가 발생할 수 있다.
이러한 조항이 포함된 표준 계약서는 부분적으로 무효로 간주될 수 있으며, 분쟁이 발생할 경우 법원은 책임 배제를 비합리적이라고 판단하고 기본 권리에 영향을 미친다고 볼 수 있다. 히에우는 Zalo의 새로운 이용 약관이 법적 의미에서 표준 계약서로 정의될 수 있지만, 이는 모든 내용이 자동으로 합법적이라는 것을 의미하지 않는다고 강조했다. 개인 데이터 보호법이 점점 강화되는 가운데, 디지털 플랫폼은 비즈니스 이익과 사용자 기본 권리 사이에서 균형을 다시 맞춰야 한다. 그렇지 않으면 “전부 동의하거나 나가라”는 제안이 디지털 경제에서 표준 계약서의 가장 큰 법적 위험이 될 수 있다.
따라서 사용자 권리를 실제로 보장하기 위해 Zalo는 이러한 약관을 법률에 맞도록 조정해야 한다는 것이 히에우의 주장이다. 현재 Zalo는 베트남에서 가장 많은 사용자 수를 가진 메신저와 소셜 미디어 플랫폼으로, 매달 약 8천만 명의 사용자가 있으며 하루에 20억 개의 메시지가 전송되고 있다고 플랫폼이 발표한 바 있다. 2025년 12월 31일, 국가 경쟁 위원회(산업부)는 VNG가 사용자 정보 수집 및 Zalo 플랫폼에서 서비스 제공과 관련하여 작업 일정을 연기하겠다는 제안을 받았다고 밝혔다. 회의는 당일 진행될 예정이지만, VNG는 여러 업무 영역과 관련된 내용으로 준비 시간이 더 필요하다고 밝혔다.
소비자 권리를 보호하고 위험을 줄이기 위해 국가 경쟁 위원회는 VNG에게 Zalo 서비스 이용 약관의 실행 방식을 재검토하고 조정할 것을 요구했다. 이에 따라 이 애플리케이션은 사용자가 개인 정보 수집, 저장 및 사용에 동의하도록 강제하는 상황을 만들어서는 안 되며, 사용자 동의의 표현과 비동의의 권리를 보장해야 한다.