Quy định về bảo vệ dữ liệu cá nhân của trẻ em đặt ra những yêu cầu tuân thủ nghiêm ngặt nhất, đòi hỏi sự đồng ý của cha mẹ và các biện pháp bảo vệ đặc thù. Tại DPVN, chúng tôi cung cấp hướng dẫn thực hiện chi tiết, giúp doanh nghiệp xử lý dữ liệu của trẻ em một cách an toàn, có trách nhiệm và đúng pháp luật.
Những quy định pháp luật nào về bảo vệ dữ liệu cá nhân của trẻ em mà doanh nghiệp cần biết?
Khung pháp lý chính được quy định tại Điều 20 của Nghị định 13/2023/NĐ-CP và được củng cố tại Điều 24 của Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15. Các quy định này thiết lập một chế độ bảo vệ đặc biệt cho trẻ em, dựa trên nguyên tắc cốt lõi là “bảo vệ các quyền và vì lợi ích tốt nhất của trẻ em”.
Trẻ em là nhóm chủ thể dữ liệu dễ bị tổn thương nhất trên không gian mạng. Nhận thức được điều này, pháp luật Việt Nam đã xây dựng một hành lang pháp lý riêng và nghiêm ngặt để bảo vệ các em. Các doanh nghiệp cung cấp dịch vụ hoặc sản phẩm hướng tới đối tượng trẻ em (ví dụ: nền tảng giáo dục trực tuyến, ứng dụng game, mạng xã hội cho trẻ em) phải đặc biệt lưu tâm đến các quy định này.
Về chuyên môn sâu, việc có một điều luật riêng cho trẻ em cho thấy cách tiếp cận dựa trên rủi ro của nhà làm luật. Dữ liệu của trẻ em, dù là cơ bản hay nhạy cảm, đều được xem là có mức độ rủi ro cao. Do đó, các nghĩa vụ của Bên Kiểm soát Dữ liệu sẽ được nâng cao hơn so với khi xử lý dữ liệu của người trưởng thành. Cách tiếp cận này hoàn toàn tương thích với các quy định quốc tế như Đạo luật Bảo vệ Quyền riêng tư Trực tuyến của Trẻ em (COPPA) tại Hoa Kỳ và các quy định tại Điều 8 của GDPR Châu Âu.
Doanh nghiệp cần tuân thủ hướng dẫn thực hiện bảo vệ dữ liệu cá nhân của trẻ em như thế nào?
Để tuân thủ, doanh nghiệp phải thực hiện một quy trình 3 bước cốt lõi: (1) Thực hiện các biện pháp xác minh tuổi của trẻ em trước khi xử lý dữ liệu; (2) Có được “sự đồng ý kép” từ cả trẻ em (nếu từ đủ 7 tuổi trở lên) và từ cha, mẹ hoặc người giám hộ của trẻ; và (3) Ngừng xử lý và xóa dữ liệu của trẻ em trong các trường hợp luật định.
Đây là những yêu cầu đặc thù và bắt buộc, tạo nên sự khác biệt cơ bản so với việc xử lý dữ liệu của người trưởng thành.
Bước 1: Xác minh tuổi của trẻ em
Khoản 2, Điều 20 Nghị định 13 yêu cầu các bên xử lý dữ liệu phải “xác minh tuổi của trẻ em trước khi xử lý dữ liệu cá nhân của trẻ em”. Đây là một nghĩa vụ chủ động.
Các phương pháp xác minh tuổi có thể áp dụng:
- Tự khai báo (Self-declaration): Yêu cầu người dùng nhập ngày, tháng, năm sinh. Đây là phương pháp cơ bản nhất nhưng dễ bị khai báo không trung thực.
- Xác minh qua phụ huynh (Parental confirmation): Gửi một email hoặc thông báo đến phụ huynh để họ xác nhận tuổi của con mình.
- Sử dụng các giải pháp kỹ thuật: Các công nghệ tiên tiến hơn có thể ước tính độ tuổi qua phân tích hình ảnh hoặc giọng nói (đòi hỏi phải tuân thủ nghiêm ngặt các quy định khác).
Bước 2: Có được “Sự đồng ý kép”
Đây là yêu cầu pháp lý quan trọng và đặc thù nhất. Việc xử lý dữ liệu cá nhân của trẻ em phải có sự đồng ý của cha, mẹ hoặc người giám hộ.
💡 Luật sư Nguyễn Lâm Sơn chia sẻ: “Một điểm rất mới và tiến bộ của luật Việt Nam là yêu cầu phải có thêm sự đồng ý của chính trẻ em trong trường hợp trẻ từ đủ 7 tuổi trở lên. Điều này công nhận quyền được lắng nghe và thể hiện ý kiến của trẻ. Trong quá trình tư vấn, chúng tôi luôn khuyên các nền tảng EdTech (công nghệ giáo dục) phải thiết kế một luồng đăng ký hai bước: Bước một là cho trẻ xem các thông tin đơn giản, hình ảnh hóa và nhấn nút ‘Con đồng ý’; Bước hai là gửi một yêu cầu đến email của phụ huynh để họ xác nhận và cho phép.”
Bước 3: Ngừng xử lý và Xóa dữ liệu của trẻ em
Khoản 3, Điều 20 Nghị định 13 quy định doanh nghiệp phải ngừng xử lý và xóa không thể khôi phục dữ liệu cá nhân của trẻ em trong 3 trường hợp:
- Khi mục đích xử lý đã hoàn thành.
- Khi cha, mẹ hoặc người giám hộ rút lại sự đồng ý.
- Khi có yêu cầu của cơ quan chức năng vì việc xử lý gây ảnh hưởng tiêu cực đến trẻ.
Doanh nghiệp cần áp dụng các biện pháp kỹ thuật và công cụ nào để hỗ trợ bảo vệ dữ liệu của trẻ em?
Để bảo vệ trẻ em, doanh nghiệp cần tích hợp các biện pháp kỹ thuật theo nguyên tắc “Bảo vệ quyền riêng tư ngay từ khâu thiết kế” (Privacy by Design). Các công cụ hỗ trợ chính bao gồm: cơ chế xác minh tuổi (age-gating), bảng điều khiển dành cho phụ huynh (parental dashboards), cài đặt mặc định riêng tư nhất, và các bộ lọc nội dung không phù hợp.
Việc tuân thủ không chỉ nằm ở chính sách mà còn phải được thể hiện qua các tính năng kỹ thuật của sản phẩm, dịch vụ.
| Biện pháp Kỹ thuật | Ví dụ thực tế |
|---|---|
| Cổng xác minh tuổi (Age Gate) | Khi một người dùng mới đăng ký, hệ thống sẽ hiển thị một màn hình yêu cầu nhập ngày sinh trước khi cho phép tiếp tục. |
| Bảng điều khiển cho Phụ huynh | Cung cấp cho phụ huynh một tài khoản riêng để họ có thể xem và quản lý các cài đặt quyền riêng tư, thời gian sử dụng của con mình (ví dụ: Google Family Link). |
| Cài đặt Mặc định An toàn nhất | Khi một tài khoản được xác định là của trẻ em, các cài đặt mặc định phải được thiết lập ở mức riêng tư cao nhất (ví dụ: hồ sơ không công khai, tắt tính năng chia sẻ vị trí). |
DPVN: Dịch Vụ Tư Vấn Tuân Thủ Toàn Diện Cho Các Dịch Vụ Hướng Tới Trẻ Em
Việc tuân thủ các quy định về bảo vệ dữ liệu trẻ em là một lĩnh vực có rủi ro pháp lý và uy tín rất cao. Một sai sót nhỏ có thể gây ra những hậu quả nghiêm trọng.
Đội ngũ chuyên gia của DPVN có kinh nghiệm sâu sắc trong việc tư vấn cho các công ty EdTech, các nền tảng giải trí và các dịch vụ khác hướng tới trẻ em. Hãy liên hệ với Luật sư Nguyễn Lâm Sơn để được hỗ trợ:
Hotline: 0982976486
Email: lamson@baovedlcn.vn
Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Quận Cầu Giấy, Thành Phố Hà Nội
Câu hỏi thường gặp về bảo vệ dữ liệu cá nhân của trẻ em
1. Các trường hợp vi phạm và xử lý vi phạm liên quan đến dữ liệu trẻ em có bị phạt nặng hơn không?
Có. Do trẻ em là đối tượng yếu thế cần được bảo vệ đặc biệt, các hành vi vi phạm liên quan đến dữ liệu của các em thường bị xem là tình tiết tăng nặng. Các mức phạt và chế tài có thể sẽ được áp dụng ở khung cao nhất.
2. Các trường học có phải tuân thủ các quy định này không?
Chắc chắn có. Các trường học (cả công lập và tư thục) là một trong những Bên Kiểm soát dữ liệu trẻ em lớn nhất. Họ phải tuân thủ nghiêm ngặt các quy định về việc thu thập, lưu trữ và chia sẻ thông tin của học sinh.
3. “Lợi ích tốt nhất của trẻ em” được hiểu như thế nào trong thực tế?
Đây là một nguyên tắc chỉ đạo. Nó có nghĩa là khi đứng trước một quyết định về việc xử lý dữ liệu của trẻ, doanh nghiệp phải luôn đặt câu hỏi: “Liệu điều này có thực sự mang lại lợi ích và an toàn cho đứa trẻ không?”. Bất kỳ hoạt động nào có nguy cơ gây hại, dù nhỏ, cho sự phát triển thể chất và tinh thần của trẻ đều phải được xem xét lại.
4. Ai là cơ quan có thẩm quyền về bảo vệ dữ liệu của trẻ em?
Cơ quan chuyên trách chung vẫn là Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05). Ngoài ra, các cơ quan khác như Bộ Lao động – Thương binh và Xã hội (với vai trò quản lý nhà nước về trẻ em) và Bộ Giáo dục và Đào tạo cũng có trách nhiệm liên quan trong phạm vi của mình.
5. Nếu cha mẹ và con (từ 7 tuổi) có ý kiến trái ngược nhau về sự đồng ý thì sao?
Đây là một tình huống phức tạp. Tuy nhiên, nguyên tắc an toàn nhất là nếu một trong hai bên (cha mẹ hoặc con) từ chối đồng ý, thì doanh nghiệp không nên tiến hành xử lý dữ liệu. Sự đồng thuận của cả hai là điều kiện cần để đảm bảo tính hợp lệ.
Nguồn tham khảo:
- Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân: https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Nghi-dinh-13-2023-ND-CP-bao-ve-du-lieu-ca-nhan-562955.aspx
- Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15: https://thuvienphapluat.vn/
- Luật Trẻ em 2016: https://thuvienphapluat.vn/van-ban/Quyen-dan-su/Luat-tre-em-2016-309833.aspx
- Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân: https://baovedlcn.gov.vn
- Children’s Online Privacy Protection Act (COPPA) – Federal Trade Commission (US): https://www.ftc.gov/legal-library/browse/rules/childrens-online-privacy-protection-rule-coppa
