Bảo vệ dữ liệu cá nhân của trẻ em: quy định và thách thức thực thi

Ảnh minh họa. Nguồn: vneconomy.vn.

1. Đặt vấn đề

Quyền riêng tư là một trong những quyền cơ bản của con người¹. Sự phát triển mạnh mẽ của công nghệ ngày nay đã tác động không nhỏ tới tính toàn vẹn của quyền riêng tư². Dữ liệu cá nhân (DLCN) - một trong những yếu tố cốt lõi cấu thành quyền riêng tư³, không nằm ngoài xu hướng trên. Ngày nay, DLCN đã và đang được thu thập, xử lý và khai thác theo nhiều cách khác nhau⁴, trong đó bao gồm cả dữ liệu cá nhân của trẻ em.

So với trước kia, trẻ em được tiếp xúc Internet từ rất sớm⁵, đặc biệt kể từ COVID-19⁶. Song song với đó là những rủi ro mà trẻ em gặp phải ngày càng gia tăng, đặc biệt là các vấn đề xâm phạm quyền riêng tư, thu thập và khai thác DLCN trái phép, nguy cơ lạm dụng trực tuyến và bóc lột dữ liệu của trẻ em vào các mục đích thương mại hoặc tội phạm⁷. Trong khi đó, trẻ em được xem là nhóm đối tượng dễ bị tổn thương và chưa có đủ khả năng tự bảo vệ mình trước những nguy cơ từ không gian mạng⁸. Đối với quyền riêng tư, nhận thức của trẻ em còn hạn chế⁹ trong khi đó các nền tảng trực tuyến lại có xu hướng thu thập dữ liệu mà không cung cấp đầy đủ thông tin hoặc đảm bảo sự đồng ý hợp lệ từ cha mẹ hoặc người giám hộ. Chính vì vậy, hơn 70% các quốc gia trên thế giới đã có khung pháp luật về bảo vệ DLCN¹⁰, trong đó có nhiều quốc gia có quy định nghiêm ngặt riêng về DLCN của trẻ em.

Tại Việt Nam, khung pháp lý về bảo vệ DLCN nói chung và của trẻ em nói riêng dù còn nhiều tồn tại và hạn chế¹¹, song, những năm gần đây đã có những bước tiến quan trọng¹² đặc biệt với sự ra đời của Nghị định số 13/2023/NĐ-CP và dự thảo Luật Bảo vệ DLCN¹³. Tuy nhiên, trước bối cảnh Việt Nam đang đẩy mạnh chuyển đổi số quốc gia¹⁴, cùng với sự bùng nổ của các nền tảng trực tuyến, mạng xã hội, thương mại điện tử, tình trạng mua bán, lộ lọt DLCN tại Việt Nam diễn ra tràn lan¹⁵. Cụ thể, trong năm 2024, DLCN của hơn 66% người dùng Internet bị sử dụng trái phép¹⁶.

Cha mẹ vốn được coi là chủ thể quan trọng giúp trẻ khỏi sự xâm phạm quyền riêng tư¹⁷. Tuy nhiên, không phải cha mẹ nào cũng có nhận thức rõ ràng về vấn đề này để bảo vệ trẻ, thậm chí còn chia sẻ công khai về những thông tin cá nhân, nhạy cảm của trẻ trên nền tảng số (sharenting)¹⁸. Bên cạnh đó, sự thiếu hụt các cơ chế giám sát xử lý DLCN có thể làm gia tăng tình trạng nhiều tổ chức, doanh nghiệp thu thập và xử lý DLCN của trẻ mà không tuân thủ đầy đủ các quy định pháp luật. Do đó, việc bảo vệ DLCN của trẻ em trước bối cảnh trên là một mục tiêu quan trọng nhằm đảm bảo quyền riêng tư, sự an toàn và phát triển toàn diện của trẻ.

2. Sự cần thiết phải bảo vệ dữ liệu cá nhân của trẻ em

DLCN là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể¹⁹. DLCN bao gồm DLCN cơ bản (họ tên, ngày tháng năm sinh, địa chỉ, số điện thoại, email...) và DLCN nhạy cảm (dữ liệu sinh trắc học, thông tin sức khỏe, thông tin tài chính, vị trí địa lý, lịch sử giao dịch). Theo quy định của pháp luật Việt Nam, trẻ em “là người dưới 16 tuổi”²⁰. Như vậy, DLCN của trẻ em là toàn bộ thông tin thuộc hai nhóm dữ liệu nêu trên, khi thông tin đó gắn liền với cá nhân dưới 16 tuổi. Xuất phát tính chất và đặc điểm đặc thù của đối tượng là trẻ em so với nhóm đối tượng khác, DLCN của trẻ em cần được bảo vệ vì:

Thứ nhất, chủ thể của dữ liệu là nhóm đối tượng dễ bị tổn thương. Theo Liên hợp quốc, nhóm dễ bị tổn thương bao gồm những cá nhân có nguy cơ cao hơn về sức khỏe thể chất, tinh thần và xã hội²¹. Là nhóm dễ bị tổn thương trong xã hội, trẻ em được cho là chưa đủ khả năng nhận thức những rủi ro khi bị vi phạm thông tin cá nhân và những vấn đề pháp lý phức tạp²². Trong khi đó, trẻ em được tiếp xúc với Internet ngày càng sớm nhưng lại thiếu kiến thức và kĩ năng tự bảo vệ mình²³ đặc biệt là giai đoạn còn nhỏ trong cuộc đời, khi trẻ chưa hình thành ý niệm, phản kháng gì về việc dữ liệu của mình bị khai thác hay xâm phạm.

Thứ hai, tính không thể đảo ngược của hậu quả từ vi phạm DLCN đối với trẻ em. Khác với người lớn với thể trạng ổn định, trẻ em có sự phát triển cả về thể chất lẫn tâm lý khác biệt trong tương lai. Nếu DLCN bị sử dụng để bắt nạt trực tuyến, bôi nhọ danh dự hoặc xâm phạm quyền riêng tư, trẻ có thể phải đối mặt với hậu quả tâm lý nghiêm trọng như lo âu, trầm cảm hoặc sợ hãi khi lớn lên²⁴. DLCN bị lộ có thể theo trẻ suốt cuộc đời và không thể hoàn toàn xóa bỏ. Vì vậy, bảo vệ DLCN của trẻ em không chỉ là vấn đề trước mắt mà còn là bảo vệ tương lai của trẻ trong môi trường số hóa với những biến động khó lường.

3. Quy định pháp luật về bảo vệ dữ liệu cá nhân của trẻ em

a) Pháp luật quốc tế

Hiện chưa có một điều ước quốc tế (ĐƯQT) chuyên biệt nào điều chỉnh riêng về bảo vệ DLCN của trẻ em. Tuy nhiên, quyền riêng tư của trẻ đã được ghi nhận như một quyền cơ bản trong nhiều ĐƯQT về nhân quyền của Liên hợp quốc²⁵ như Tuyên ngôn phổ quát về quyền con người năm 1948 (Điều 12), Công ước quốc tế về các quyền dân sự và chính trị năm 1966 (Điều 12,17), Công ước về quyền của người khuyết tật năm 2007 (Điều 22) và công ước quan trọng nhất là Công ước về quyền trẻ em năm 1989 (UNCRC)²⁶. Điều 16 UNCRC quy định “Pháp luật cần phải bảo vệ cuộc sống riêng tư và gia đình của trẻ, bao gồm bảo vệ trẻ khỏi sự tấn công bất hợp pháp ảnh hưởng đến danh dự của các em”. Nhìn chung, hầu hết các ĐƯQT đều ghi nhận mọi trẻ em có quyền riêng tư như một quyền cơ bản của con người cần được bảo vệ. Quyền đối với đời sống riêng tư và quyền bảo vệ dữ liệu được xem là hai quyền khác nhau²⁷. Tuy nhiên, quyền riêng tư là một khái niệm rộng, bao gồm quyền đối với thông tin cá nhân²⁸. Do đó, bảo vệ DLCN có thể tiếp cận như là một khía cạnh của quyền riêng tư²⁹. Pháp luật quốc tế về quyền riêng tư chính là cơ sở nền tảng để các quốc gia xây dựng cơ chế bảo vệ DLCN cho trẻ em ngay cả khi không có khung pháp luật quốc tế riêng biệt. Tuy nhiên, cũng phải nhìn nhận rằng trước sự phát triển nhanh chóng của công nghệ, pháp luật quốc tế về DLCN của trẻ em còn khá chậm và tụt hậu³⁰.

b) Pháp luật Việt Nam

Tại Việt Nam, pháp luật về bảo vệ DLCN cho trẻ em cũng được tiếp cận và bảo vệ dưới cơ chế quyền riêng tư nói chung. Điều 21 Hiến pháp năm 2013 khẳng định “Mọi người có quyền bất khả xâm phạm về đời sống riêng tư”. Đây là cơ sở pháp lý bao trùm để xây dựng các quy định bảo vệ DLCN của trẻ em trong nhiều luật khác nhau³¹. Đối với đối tượng là trẻ em, pháp luật Việt Nam cũng có quy định riêng về quyền riêng tư của trẻ. Luật trẻ em năm 2016 quy định “Trẻ em có quyền bất khả xâm phạm về đời sống riêng tư, bí mật cá nhân và bí mật gia đình vì lợi ích tốt nhất của trẻ em”³². Theo đó, hành vi công bố, tiết lộ thông tin về đời sống riêng tư, bí mật cá nhân của trẻ em mà không được sự đồng ý của trẻ em từ đủ 07 tuổi trở lên và của cha, mẹ, người giám hộ của trẻ em là một hành vi bị nghiêm cấm³³. Ngoài ra, Luật An ninh mạng năm 2018 cũng quy định “Trẻ em có quyền được bảo vệ... giữ bí mật cá nhân, đời sống riêng tư và các quyền khác khi tham gia trên không gian mạng”³⁴ nhằm bảo vệ trẻ em những thách thức và diễn biến phức tạp trên không gian mạng.

   Bên cạnh những quy định pháp luật về quyền riêng tư nói chung, pháp luật Việt Nam cũng có quy định cụ thể về bảo vệ DLCN của trẻ em tại Nghị định số 13/2023/NĐ-CP. Cụ thể, Điều 20 Nghị định đã đưa ra những nguyên tắc cụ thể khi xử lý DLCN của trẻ em. Xử lý DLCN là một hoặc nhiều hoạt động tác động tới DLCN, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy DLCN hoặc các hành động khác có liên quan. Theo đó, DLCN của trẻ em khi xử lý cần đảm bảo:

Thứ nhất, nguyên tắc bảo vệ các quyền và vì lợi ích tốt nhất của trẻ em

Nguyên tắc bảo vệ quyền và lợi ích tốt nhất của trẻ em được phản ánh xuyên suốt trong Luật Trẻ em năm 2016³⁶ nhưng chưa có quy định về cách áp dụng và giải thích thế nào là lợi ích tốt nhất của trẻ em. Nguyên tắc này bắt nguồn từ luật quốc tế. Theo Điều 3 UNCRC, “Trong tất cả những hành động liên quan đến trẻ em... thì lợi ích tốt nhất của trẻ em phải là mối quan tâm hàng đầu”³⁷. Nguyên tắc này được hiểu rằng (i) trong vụ việc có nhiều lợi ích xung đột thì lợi ích tốt nhất của trẻ em phải được ưu tiên xem xét, (ii) nếu quy định pháp luật không rõ ràng và có nhiều cách hiểu, thì nên chọn cách giải thích có lợi nhất cho trẻ em³⁸.

Thực tiễn chỉ ra rằng, việc áp dụng và cam kết Điều 3 UNCRC có thể dẫn đến sự thiếu rõ ràng và để mở nhiều khả năng giải thích có lợi nhất cho trẻ em. Ở góc độ luật quốc tế, việc quy định thế nào là lợi ích tốt nhất của trẻ em phụ thuộc vào quan điểm của từng quốc gia dựa trên yếu tố văn hóa, cộng đồng, môi trường, bối cảnh và giá trị xã hội khác nhau của từng quốc gia³⁹. Nội luật hóa UNCRC là một biện pháp hiệu quả để thực thi UNCRC nhưng trên thực tế không phải quốc gia nào cũng nội luật hóa công ước này trong pháp luật quốc gia để thực thi ở góc độ quốc gia⁴⁰. Ở góc độ áp dụng pháp luật quốc gia, việc áp dụng nguyên tắc này còn phụ thuộc vào yếu tố chủ quan của chủ thể áp dụng và giải thích. Do nguyên tắc thường có phạm vi áp dụng rộng và có sự thiếu nhất quán trong nhiều trường hợp và lĩnh vực khác nhau (gia đình, giáo dục, y tế, phúc lợi xã hội, di trú...)⁴¹. Hơn nữa, bản thân nguyên tắc không mang tính tuyệt đối mà cần cân bằng với các lợi ích của chủ thể khác (cha mẹ, người giám hộ, gia đình) hoặc lợi ích khác trong một số trường hợp (lợi ích xã hội, lợi ích quốc gia, tổ chức...)⁴². Trong vụ án ZH (Tanzania) vs Secretary of State for the Home Department (2011), Tòa án Tối cao Anh khẳng định rằng “Lợi ích của trẻ em phải được xem xét đầu tiên (nhưng không phải duy nhất) và chỉ có thể bị vượt qua bởi những yếu tố cực trọng khác”⁴³. Tuy nhiên cần phải hiểu rằng, nội hàm nguyên tắc này không yêu cầu đặt quyền trẻ em lên trên mọi quyền khác, mà yêu cầu bất kỳ quyết định nào cũng phải được đánh giá với sự quan tâm đặc biệt đến lợi ích tốt nhất của trẻ⁴⁴.

Do đó, khoản 1 Điều 20 Nghị định số 13/2023/NĐ - CP đưa ra nguyên tắc lợi ích tốt nhất của trẻ em trong bối cảnh bảo vệ DLCN tại Việt Nam có thể được hiểu: Thứ nhất, khi đặt trong bối cảnh với những lợi ích khác, doanh nghiệp, tổ chức khi xử lý DLCN của trẻ em phải ưu tiên bảo vệ quyền của trẻ và đặt lợi ích tốt nhất của trẻ lên hàng đầu. Không phải lúc nào lợi ích của trẻ cũng tuyệt đối, nhưng bất kỳ quyết định nào liên quan đến DLCN của trẻ cũng phải được cân nhắc đến lợi ích của trẻ trước các yếu tố khác. Thứ hai, trong trường hợp có mâu thuẫn về xử lý dữ liệu của trẻ, cơ quan thực thi phải ưu tiên phương án bảo vệ trẻ tốt nhất, thay vì ưu tiên lợi ích của doanh nghiệp hoặc tổ chức thu thập dữ liệu.

Thứ hai, quy định về sự đồng ý kép

Khoản 2 Điều 20 Nghị định quy định đối với trẻ từ đủ 07 tuổi trở lên, khi xử lý DLCN cần phải có sự đồng ý của cả 2 đối tượng (i) trẻ em và (ii) cha mẹ/người giám hộ của trẻ (trừ một số trường hợp ngoại lệ⁴⁵).

Sự đồng ý của trẻ: việc yêu cầu trẻ từ 07 tuổi trở lên phải đồng ý với việc xử lý DLCN thể hiện sự ghi nhận quyền tự chủ của trẻ trong môi trường số khi trẻ em ngày càng tiếp cận sớm với Internet, mạng xã hội, ứng dụng giáo dục, giải trí và các nền tảng số khác. Quy định này cũng phù hợp với Điều 12 UNCRC khi trẻ em có quyền được bày tỏ ý kiến về những vấn đề ảnh hưởng đến mình⁴⁶. Về mặt pháp lý, mốc 07 tuổi phù hợp với quy định hiện hành trong pháp luật Việt Nam. Bộ luật Dân sự năm 2015 quy định trẻ từ đủ 6 tuổi trở lên có thể tự mình xác lập và thực hiện giao dịch dân sự phù hợp với lứa tuổi (Điều 21).  Luật Trẻ em năm 2016 cũng công nhận rằng trẻ em từ đủ 07 tuổi có quyền bày tỏ ý kiến đối với các vấn đề liên quan đến mình⁴⁷.

Như vậy, Nghị định đề cao và tôn trọng quyền riêng tư và quyền cá nhân của trẻ em từ khá sớm. So sánh với quy định của một số quốc gia phát triển khác có thể thấy rằng quy định của Việt Nam yêu cầu trẻ từ 07 tuổi trở lên phải tự đồng ý, thấp hơn đáng kể so với tiêu chuẩn quốc tế (thường là 13-16 tuổi). Ví dụ, Điều 8 quy định Bảo vệ Dữ liệu Chung (GDPR) của EU quy định rằng trẻ em từ 16 tuổi trở lên (có thể được hạ xuống 13 tuổi tùy theo quy định của quốc gia thành viên) mới có thể tự mình đưa ra sự đồng ý; dưới độ tuổi này, sự đồng ý của cha mẹ hoặc người giám hộ là bắt buộc. Mặc dù Điều 8 GDPR không điều chỉnh toàn bộ hoạt động xử lý dữ liệu cá nhân của trẻ em, mà chỉ áp dụng trong bối cảnh cung cấp dịch vụ xã hội thông tin trực tuyến (information society services), quy định này vẫn phản ánh chuẩn mực quốc tế về độ tuổi đồng ý.

Việc yêu cầu sự đồng ý của trẻ cũng giúp nâng cao nhận thức của trẻ về quyền riêng tư và DLCN ngay từ nhỏ thay vì để cha mẹ quyết định mọi thứ thay trẻ. Nếu chỉ yêu cầu sự đồng ý của cha mẹ, các chủ thể xử lý dữ liệu có thể chỉ tập trung vào đối tượng là cha mẹ/người giám hộ, thay vì quan tâm đến trẻ em. Trong khi đó trẻ em mới là đối tượng bị ảnh hưởng trực tiếp. Điều này cũng buộc bên xử lý dữ liệu phải minh bạch hơn, cung cấp thông tin rõ ràng, dễ hiểu cho trẻ, thay vì chỉ đưa ra những điều khoản cho cha mẹ/người giám hộ. Tuy nhiên, trên thực tế, quy định trên cũng đặt ra những thách thức không nhỏ trong quá trình xử lý dữ liệu của trẻ. Cụ thể:

- Xác minh độ tuổi: bên xử lý dữ liệu cần xác định xem trẻ dưới hay trên 07 tuổi để biết liệu có cần chỉ sự đồng ý của cha mẹ/người giám hộ hay cả sự đồng ý của chính trẻ. Điều này là rất khó khăn để tuân thủ trên thực tế vì không phải mọi nền tảng, dịch vụ đều có hệ thống xác minh độ tuổi chặt chẽ, dễ dẫn đến sai sót hoặc khai báo sai thông tin. Trên thực tế, các hình thức thu thập đồng ý xử lý dữ liệu thường vắng bóng sự giao tiếp trực tiếp của trẻ. Bố mẹ/người giám hộ chủ yếu là chủ thể cung cấp sự đồng ý cho phép dữ liệu DLCN của trẻ. Rất khó để đảm bảo rằng sự đồng ý chung đó đã bao gồm một phần hay tách bạch khỏi đồng ý của trẻ nếu không có cơ chế xác minh. Ngoài ra, ngay cả khi chính trẻ là chủ thể cung cấp dữ liệu cũng rất khó để xác minh tính chính xác của dữ liệu vì trẻ em có thể sử dụng thông tin của người khác hoặc khai báo tuổi không chính xác để truy cập dịch vụ mà không có sự đồng ý của cha mẹ. Chưa kể đến việc xử lý dữ liệu mang tính biến động khi dữ liệu cần được cập nhật thường xuyên để đảm bảo quyền lợi của trẻ. Ví dụ, tại thời điểm trẻ 04 tuổi, cha mẹ có quyền quyết định cho phép dữ liệu của con. Nhưng dữ liệu tiếp tục được sử dụng đến khi trẻ 07 tuổi, trẻ cũng cần được xin ý kiến riêng theo quy định. Trẻ em phát triển nhanh về nhận thức và suy nghĩ, nên quan điểm của trẻ về việc chia sẻ dữ liệu có thể thay đổi theo thời gian. Việc thu thập giấy tờ xác minh độ tuổi (như giấy khai sinh, CCCD) có thể làm tăng gánh nặng tuân thủ đối với doanh nghiệp và gây phiền hà cho người dùng. Do đó, mặc dù quy định pháp luật chặt chẽ, tuy nhiên, để thực thi hiệu quả trên thực tế, đây là một bài toán khó gây áp lực cũng như gánh nặng cho bên kiểm soát dữ liệu trong việc xác định độ tuổi của trẻ.

- Hỗ trợ trẻ đưa ra quyết định: trẻ em được cho là chưa có đủ hiểu biết và nhận thức chưa đủ phát triển để đánh giá được rủi ro có thể xảy ra khi DLCN của mình được xử lý bởi bất kỳ bên nào, dẫn đến những khó khăn trong thực tế áp dụng quy định này. Ở độ tuổi này, trẻ em thường có xu hướng chia sẻ thông tin cá nhân trực tuyến mà không dự liệu hậu quả hay vì lợi ích ngắn hạn⁴⁸ chẳng hạn như đăng tải hình ảnh, vị trí địa lý mà không nghĩ đến hậu quả có thể xảy ra. Các nền tảng số có thể sử dụng ngôn ngữ "gài bẫy" (dark patterns) để khiến trẻ bấm đồng ý mà không thực sự hiểu điều mình nội dung đồng ý⁴⁹. Giải pháp được cho hiệu quả là cần có hướng dẫn minh bạch, có cơ chế hỗ trợ trẻ trong việc đưa ra đồng ý xử lý dữ liệu của mình⁵⁰. Do vậy, điều này làm cản trở chủ thể xử lý dữ liệu phải hướng dẫn trẻ để trẻ hiểu rõ và đưa ra quyết định để có được sự đồng ý của trẻ.

Có thể thấy, việc thu thập sự đồng ý hợp lệ của trẻ em trước khi xử lý DLCN là một yêu cầu quan trọng. Tuy nhiên, cần lưu ý rằng sự đồng ý không nên là cơ sở duy nhất cho việc xử lý DLCN⁵¹. Bên kiểm soát dữ liệu cần có thêm các cơ sở pháp lý và hợp lý khác để đảm bảo tính ổn định và bền vững trong hoạt động xử lý dữ liệu của tổ chức.

Sự đồng ý của cha mẹ: bên cạnh yêu cầu sự đồng ý của trẻ, khoản 2 Điều 20 Nghị định cũng yêu cầu cần có sự đồng ý của cha, mẹ hoặc người giám hộ khi xử lý dữ liệu cá nhân của trẻ.  Quy định này nhằm đảm bảo rằng trẻ em không bị khai thác hoặc lạm dụng DLCN do thiếu hiểu biết về các rủi ro liên quan. Lý do xuất phát từ việc (i) trẻ em dưới 16 tuổi vẫn chưa có đủ nhận thức đầy đủ về những rủi ro pháp lý và hậu quả của việc chia sẻ thông tin cá nhân, đặc biệt là trên không gian mạng, (ii) nâng cao trách nhiệm của cha mẹ/người giám hộ, (iii) ngăn chặn việc các bên xử lý dữ liệu lợi dụng sự hiểu biết của trẻ. Điều này cũng phù hợp với Điều 5 UNCR quy định cha mẹ có vai trò hướng dẫn trẻ trong việc thực hiện các quyền của mình phù hợp với năng lực của trẻ.

Quy định “đồng ý kép” được hiểu rằng nếu một trong các bên không đồng ý, dữ liệu không được xử lý. Trên thực tế, có thể xảy ra nhiều tình huống xung đột giữa ý chí của trẻ và cha mẹ, gây khó khăn cho bên xử lý dữ liệu. Ví dụ trẻ 10 tuổi muốn sử dụng một nền tảng học tập trực tuyến yêu cầu thu thập DLCN (tên, tuổi, địa chỉ nhà...), nhưng cha mẹ lo ngại về quyền riêng tư và từ chối đồng ý. Tuy nhiên, bên xử lý dữ liệu phải tôn trọng quyết định của cha mẹ, ngay cả khi trẻ muốn tiếp tục sử dụng dịch vụ. Trong tình huống đàm phán với bố mẹ/người giám hộ, trẻ em không thể trong quan hệ bình đẳng một bên như một quan hệ hợp đồng để có thể đàm phán, thuyết phục cha mẹ của mình. Không chỉ vậy, thách thức đặt ra khi dữ liệu đã được xử lý nhưng sau đó một trong các bên bên đổi quyết định. Lúc này, bên xử lý dữ liệu phải ngay lập tức ngừng xử lý và xóa dữ liệu của trẻ theo yêu cầu. Điều này dẫn đến thách thức nếu dữ liệu đã được chia sẻ hoặc sử dụng thì việc xóa bỏ hoàn toàn có thể khó thực hiện. Do đó, trong trường hợp nếu có tranh chấp giữa trẻ và cha mẹ về sự đồng ý, bên xử lý dữ liệu không có quyền quyết định theo ý kiến của bên nào mà phải tạm dừng xử lý dữ liệu. Như vậy, việc quy định sự đồng ý của cả “cha và mẹ” thách thức cho bên kiểm soát dữ liệu trong việc xử lý DLCN của trẻ.

Thứ ba, quyền yêu cầu xóa, hủy DLCN của trẻ em

Khoản 3 Điều 20 Nghị định 13/2023/NĐ - CP quy định DLCN của trẻ em phải được ngừng xử lý và xóa không thể khôi phục nhằm ngăn chặn nguy cơ dữ liệu bị lạm dụng trong một số trường hợp cụ thể khi:

- Xử lý dữ liệu không đúng mục đích hoặc đã hoàn thành mục đích xử lý: Bên xử lý dữ liệu chỉ được thu thập và sử dụng dữ liệu đúng với mục đích ban đầu mà trẻ và cha mẹ/người giám hộ đã đồng ý. Khi mục đích đó đã hoàn thành, dữ liệu phải bị xóa hoàn toàn, trừ khi có quy định pháp luật khác cho phép lưu trữ tiếp. Tuy nhiên, việc xác định “mục đích đã hoàn thành” là một thách thức: Một số dữ liệu có thể liên tục được cập nhật và sử dụng trong thời gian dài (ví dụ: dữ liệu học tập, y tế) khiến cho việc xác định “hoàn thành mục đích” có thể gây tranh cãi. Hay như rủi ro lưu trữ dữ liệu dư thừa. Một số hệ thống có khả năng làm cho thông tin tồn tại dưới bất kỳ hình thức (sao lưu, cache, dữ liệu ẩn...) mà không hoàn toàn mất đi sau khi đạt mục đích gây rủi ro cho dữ liệu có thể bị vi phạm trong tương lai. Do không có cơ chế giám sát dữ liệu của mình, cả trẻ và cha mẹ đều không có khả năng theo dõi xem dữ liệu của mình có đang bị lưu trữ quá thời gian cần thiết hay không.

- Rút lại sự đồng ý: Quyền rút lại sự đồng ý là quyền hợp pháp của chủ thể dữ liệu. Sự đồng ý có thể được thu hồi bất cứ lúc nào với điều kiện không ảnh hưởng đến tính hợp pháp của việc xử lý dữ liệu đã được đồng ý trước khi rút lại sự đồng ý. Như vậy, nếu cha mẹ/người giám hộ quyết định rút lại sự đồng ý, bên xử lý dữ liệu phải ngừng ngay lập tức và xóa dữ liệu của trẻ. Tuy nhiên, Nghị định chỉ cho phép chủ thể là cha mẹ/người giám hộ quyền này. Liệu điều này có gây ra xung đột với khoản 2 Điều 20 không, khi xử lý dữ liệu, cả trẻ từ đủ 07 tuổi trở lên và cha mẹ/người giám hộ đều phải đồng ý nhưng khi rút lại, chỉ cha mẹ hoặc người giám hộ có quyền quyết định mà không đề cập đến quyền của trẻ? Nếu trẻ muốn tiếp tục chia sẻ dữ liệu nhưng cha mẹ/người giám hộ không đồng ý, bên xử lý dữ liệu sẽ làm theo ý kiến của ai? Theo khoản 3(b) Điều 20 Nghị định số 13/2023/NĐ-CP, dù trẻ em muốn tiếp tục chia sẻ dữ liệu, cha mẹ/người giám hộ vẫn có quyền đơn phương rút lại sự đồng ý, dẫn đến việc xử lý dữ liệu phải dừng ngay lập tức. Điều này hạn chế quyền tự quyết của trẻ và có thể xung đột với khoản 2 Điều 20 Nghị định 13/2023/NĐ-CP, vốn trao cho trẻ em quyền đồng ý với việc xử lý dữ liệu.

Việc quyết định rút lại sự đồng ý có thể khiến bên kiểm soát dữ liệu sẽ đối mặt với nhiều thách thức đáng kể, bao gồm: (i) DLCN có thể đã được xử lý và chuyển giao cho nhiều tổ chức, cá nhân khác trong quá trình hoạt động; (ii) dữ liệu tồn tại trong nhiều hệ thống và cơ sở dữ liệu khác nhau, khiến việc bóc tách và xóa bỏ hoàn toàn trở nên khó khăn; (iii) DLCN có thể đã trở thành một phần của dữ liệu hoạt động của tổ chức, doanh nghiệp, và việc xóa bỏ có thể ảnh hưởng đến tính chính xác, toàn vẹn của hệ thống thông tin. Hơn nữa, Điều 16 Nghị định 13/2023/NĐ-CP yêu cầu việc xóa dữ liệu phải được thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu. Điều này càng đặt thêm áp lực cho bên kiểm soát DLCN trong việc xóa DLCN của trẻ.

Có thể thấy quy định cho phép cha mẹ hoặc người giám hộ rút lại sự đồng ý nhằm bảo vệ trẻ em khỏi những rủi ro tiềm ẩn khi chúng chưa đủ nhận thức để đánh giá hậu quả của việc chia sẻ DLCN. Đây là một cơ chế hợp lý để đảm bảo quyền lợi và sự an toàn cho trẻ. Tuy nhiên, quy định này cũng đặt ra thách thức đáng kể trong thực tiễn thực thi. Việc giới hạn quyền rút lại sự đồng ý chỉ dành cho cha mẹ/người giám hộ có thể mâu thuẫn với quyền tự quyết của trẻ theo khoản 2 Điều 20. Đồng thời, nó tạo ra áp lực lớn cho bên xử lý dữ liệu, từ việc xác định trách nhiệm pháp lý khi có sự mâu thuẫn giữa trẻ và cha mẹ, đến việc thực hiện xóa dữ liệu trong thời gian ngắn theo yêu cầu, đặc biệt khi dữ liệu đã được chia sẻ rộng rãi hoặc tích hợp vào hệ thống thông tin của tổ chức. Vì vậy, cần có hướng dẫn cụ thể hơn để đảm bảo cân bằng giữa bảo vệ quyền trẻ em và tính khả thi trong thực hiện quy định.

- Cơ quan chức năng có thẩm quyền yêu cầu: Nếu phát hiện việc xử lý dữ liệu gây tổn hại đến quyền và lợi ích hợp pháp của trẻ, cơ quan chức năng có thể yêu cầu bên xử lý dữ liệu ngừng xử lý và xóa dữ liệu ngay lập tức. Quy định này nhằm dự phòng trường hợp cha mẹ hoặc trẻ em đã yêu cầu xóa, hủy DLCN của trẻ nhưng nếu chủ thể dữ liệu vẫn có thể cố tình trì hoãn hoặc tìm cách biện minh để tiếp tục sử dụng dữ liệu thì cơ quan chức năng có thể can thiệp và ngăn chặn các hành vi lạm dụng, khai thác dữ liệu trẻ em trái phép hoặc gây nguy hiểm cho trẻ. Ngoài dự phòng trường hợp bên xử lý dữ liệu không tuân thủ yêu cầu xóa từ cha mẹ/trẻ, khoản 3 Điều 20 cũng bảo vệ trẻ em trong các tình huống nguy hiểm thông qua nâng cao vai trò của cơ quan chức năng trong việc bảo vệ dữ liệu. Nếu DLCN của trẻ bị lộ hoặc sử dụng trong các hoạt động nguy hiểm (ví dụ: bị tội phạm mạng thu thập, bị quấy rối trực tuyến...), cơ quan chức năng có thể can thiệp khẩn cấp và yêu cầu xóa dữ liệu ngay lập tức.

Tóm lại, Điều 20 của Nghị định 13/2023/NĐ-CP là một bước tiến quan trọng trong việc bảo vệ DLCN của trẻ em, yêu cầu sự đồng ý kép của cả trẻ từ đủ 07 tuổi trở lên và cha mẹ/người giám hộ nhằm đảm bảo trẻ không bị xâm phạm quyền riêng tư. Quy định cũng cho phép cha mẹ/người giám hộ rút lại sự đồng ý để bảo vệ trẻ khỏi những rủi ro mà bản thân trẻ chưa đủ nhận thức. Tuy nhiên, quy định này đặt ra một số thách thức trong thực thi, đặc biệt là mâu thuẫn giữa quyền quyết định của trẻ và cha mẹ khi rút lại sự đồng ý, áp lực tuân thủ đối với bên kiểm soát dữ liệu trong việc xác minh và thu thập sự đồng ý kép, cũng như khó khăn trong việc xóa dữ liệu khi dữ liệu đã được chia sẻ rộng rãi hoặc tích hợp vào hoạt động của tổ chức.

4. Kết luận

Việt Nam đã có những bước tiến đáng ghi nhận trong việc thiết lập khuôn khổ pháp luật bảo vệ quyền riêng tư của trẻ em trong môi trường số. Việc yêu cầu sự đồng ý kép, xác lập nguyên tắc xử lý thận trọng đối với dữ liệu trẻ em, cùng với cơ chế yêu cầu xóa dữ liệu, phản ánh rõ định hướng lấy trẻ em làm trung tâm và tiếp cận dần với chuẩn mực quốc tế. Có thể nói, xét về mặt quy định, Việt Nam đã bước đầu xây dựng được một nền tảng pháp lý có yêu cầu và tiêu chuẩn cao.

Tuy vậy, những phân tích trong bài viết cũng cho thấy chính các quy định chặt chẽ khi bước vào thực tế, lại đặt ra không ít thách thức trong thực thi. Việc xác định tính hợp lệ và thời hạn của sự đồng ý, kiểm soát dòng chảy dữ liệu trong môi trường kỹ thuật số phân tán, hay khả năng phối hợp giữa các bên liên quan... đều là những vấn đề phức tạp. Bên cạnh đó, còn tồn tại nguy cơ mâu thuẫn giữa các chủ thể đồng ý và thu hồi đồng ý, đặc biệt khi trẻ em đã có nhận thức nhưng chưa thực sự được trao quyền quyết định độc lập.

Để thực thi tốt đòi hỏi cần có sự tham gia chủ động và hiệu quả hơn từ tất cả các bên liên quan. Cơ quan nhà nước không chỉ đóng vai trò xây dựng pháp luật mà còn cần tăng cường hướng dẫn thực thi, giám sát và xử lý vi phạm một cách nghiêm minh. Các tổ chức, doanh nghiệp phải coi việc tuân thủ pháp luật bảo vệ dữ liệu là trách nhiệm pháp lý và đạo đức, đồng thời đầu tư vào năng lực quản trị dữ liệu để tránh vi phạm. Cha mẹ, người giám hộ và cả trẻ em cũng cần được trang bị đầy đủ nhận thức và công cụ để thực hiện quyền của mình một cách thực chất.

Bài viết kêu gọi sự tham gia thực chất, trách nhiệm mạnh mẽ của cả xã hội trong việc bảo vệ DLCN của trẻ em trước bối cảnh công nghệ phát triển. Chỉ khi các chủ thể liên quan cùng ý thức được vai trò và trách nhiệm của mình, đồng thời có những cơ chế thực thi hiệu quả và khả thi, thì quyền được bảo vệ DLCN của trẻ em mới thực sự được đảm bảo - không chỉ trên văn bản, mà trong chính đời sống số đang ngày càng mở rộng của thế hệ trẻ hôm nay.

Nguyễn Đức Anh

Giảng viên, Khoa Luật Quốc tế, Trường Đại học Luật, Đại học Quốc gia Hà Nội.

Nguyễn Trang Linh

Sinh viên, Khoa Luật Quốc tế, Học viện Ngoại giao

Bài viết được đăng trên Tạp chí Pháp luật về quyền con người số 46 (6/2024)

---

Tài liệu trích dẫn

(1)   Diggelmann, O., & Cleis, M. N. (2014). How the right to privacy became a human right. Human Rights Law Review, 14(3), 441-458.

(2) Nyst, C., & Falchetta, T. (2017). The right to privacy in the digital age. Journal of Human Rights Practice, 9(1), 104-118.

(3) Suduł, P., & Piękoś, D. (2024). Personal data protection as an element of the right to privacy. Scientific Journal of Bielsko-Biala School of Finance and Law, 28(2), 58-67.

(4) Estrada-Galiñanes, V., & Wac, K. (2020). Collecting, exploring and sharing personal data: why, how and where. Data Science, 3(2), 79-106.

(5) Bozzola, E., Spina, G., Agostiniani, R., Barni, S., Russo, R., Scarpato, E., ... & Staiano, A. (2022). The use of social media in children and adolescents: Scoping review on the potential risks. International journal of environmental research and public health, 19(16), 9960.

(6) Deslandes, S. F., & Coutinho, T. (2020). The intensive use of the internet by children and adolescents in the context of COVID-19 and the risks for self-inflicted violence. Ciencia & saude coletiva, 25, 2479-2486.

(7) Stoilova, M., Livingstone, S., & Nandagiri, R. (2020). Digital by default: Children's capacity to understand and manage online data and privacy. Media and Communication, 8(4), 197-207.

(8) Kennedy, A. M., Jones, K., & Williams, J. (2019). Children as vulnerable consumers in online environments. Journal of Consumer Affairs, 53(4), 1478-1506.

(9) Stoilova, M., Nandagiri, R., & Livingstone, S. (2021), Children’s understanding of personal data and privacy online–a systematic evidence mapping. Information, Communication & Society, 24(4), 557-575.

(10)  UNTAD (2025), Data Protection and Privacy Legislation Worldwide. https://unctad.org/page/data-protection-and-privacy-legislation-worldwide.

(11) Long, N. T. (2022). Thực trạng pháp luật Việt Nam về bảo vệ dữ liệu cá nhân trong thời kỳ hội nhập. Tạp chí Khoa học Kiểm sát, 3(57).

(12) Trần Quốc Thái & Nguyễn Thị Kim Thanh (2025), Bước tiến và thách thức về bảo vệ dữ liệu cá nhân, Kinh tế Sài Gòn, https://thesaigontimes.vn/buoc-tien-va-thach-thuc-ve-bao-ve-du-lieu-ca-nhan/.

(13) Cổng thông tin Chính phủ (2025), Dự thảo Luật bảo vệ dữ liệu cá nhân, https://chinhphu.vn/du-thao-vbqppl/du-thao-luat-bao-ve-du-lieu-ca-nhan-6957.

(14) Nguyễn Văn Cường (2025), Tổng quan chuyển đổi số tại Việt Nam, Tạp chí Cộng sản. https://www.tapchicongsan.org.vn/web/guest/kinh-te/-/2018/1044702/tong-quan-ve-chuyen-doi-so-viet-nam.aspx.

(15) Nguyễn Hoàng Lâm (2024), Việc mua bán dữ liệu cá nhân diễn ra công khai trên mạng xã hội, Tạp chí Luật sư Việt Nam https://lsvn.vn/viec-mua-ban-du-lieu-ca-nhan-dien-ra-cong-khai-tren-mang-xa-hoi-1709523654-a141476.html.

(16) Duy Anh (2024), Dữ liệu cá nhân của hơn 66% người dùng Internet bị sử dụng trái phép trong năm 2024, Tạp chí Luật sư Việt Nam, https://lsvn.vn/du-lieu-ca-nhan-cua-hon-66-nguoi-dung-internet-bi-su-dung-trai-phep-trong-nam-2024-a151492.html.

(17) Gligorijević, J. (2019), Children’s privacy: The role of parental control and consent. Human Rights Law Review, 19(2), 201-229.

(18) Barnes, R., & Potter, A. (2021), Sharenting and parents’ digital literacy: an agenda for future research. Communication research and practice, 7(1), 6-20.

(19) Khoản 1 Điều 2 Nghị định số 13/2023.

(20) Điều 1 Luật trẻ em năm 2016.

(21) United Nations (2025), Vulnerable Groups: Who are they? https://www.un.org/en/fight-racism/vulnerable-groups.

(22) Stoilova, M., Nandagiri, R., & Livingstone, S. (2021). Children’s understanding of personal data and privacy online–a systematic evidence mapping. Information, Communication & Society, 24(4), 557-575.

(23) Rahman, N. A. A., Sairi, I. H., Zizi, N. A. M., & Khalid, F. (2020). The importance of cybersecurity education in school. International Journal of Information and Education Technology, 10(5), 378-382.

(24) Kilovaty, I. (2021). Psychological data breach harms. NCJL & Tech., 23, 1.

(25) Tobin, J. (Ed.). (2019), The UN Convention on the Rights of the Child: A commentary. OUP Oxford.

(26) Van Bueren, G. (2021), The international law on the rights of the child (Vol. 35). Martinus Nijhoff Publishers.

(27) Gellert, R., & Gutwirth, S. (2013). The legal construction of privacy and data protection. Computer Law & Security Review, 29(5), 522-530

(28) Hà, T. T. D. (2022), Bàn về khái niệm quyền riêng tư trong pháp luật Việt Nam, Tạp chí Luật học và Thực tiễn, (51), tr.53.

(29) Bygrave, L. A. (1998), Data protection pursuant to the right to privacy in human rights treaties. International Journal of Law and Information Technology, 6(3), 247-284.

(30) Vũ Công Giao & Lê Trần Như Tuyên (2020), Bảo vệ quyền đối với dữ liệu cá nhân trong pháp luật quốc tế, pháp luật ở một số quốc gia và giá trị tham khảo cho Việt Nam, Tạp chí nghiên cứu lập pháp, Số 09 (409).

(31) Đào Mai Linh (2024), Pháp luật quốc tế về bảo vệ quyền riêng tư của cá nhân trong bối cảnh chuyển đổi số và những khuyến nghị cho Việt Nam, Tạp chí Dân chủ và Pháp luật. https://danchuphapluat.vn/phap-luat-quoc-te-ve-bao-ve-quyen-rieng-tu-cua-ca-nhan-trong-boi-canh-chuyen-doi-so-va-nhung-khuyen-nghi-cho-viet-nam.

(32) Điều 21 Luật Trẻ em năm 2016.

(33) Khoản 11 Điều 6 Luật Trẻ em năm 2016.

(34) Điều 29 Luật An ninh mạng năm 2018.

(35) Khoản 7 Điều 2 Nghị định số 13/2023/NĐ-CP.

(36) Khoản 3 Điều 5 Luật Trẻ em năm 2016.

(37) Điều 3 Công ước quốc tế về quyền trẻ em năm 1989.

(38) Nguyễn Tiến Đức (2017), Nguyên tắc vì lợi ích tốt nhất của trẻ em trong pháp luật hình sự Việt Nam, Tạp chí Nhà nước và Pháp luật, số 15(343) T8/2017.

(39) Skivenes, M., & Sørsdal, L. M. (2018), The child’s best interest principle across child protection jurisdictions. Human rights in child protection: Implications for professional practice and policy, 59-88.

(40) Lundy, L., Kilkelly, U., & Byrne, B. (2013). Incorporation of the United Nations Convention on the Rights of the Child in law: A comparative review. The International Journal of Children's Rights, 21(3), 442-463.

(41) George, M., & Awal, N. A. M. (2019), The best interest principle within article 3 (1) of the united nations convention on the rights of the child. International Journal of Business, Economics and Law, 19(4), 30-37.

(42) Eekelaar, J., & Tobin, J. (2019), Article 3: The best interests of the child. In The UN convention on the rights of the child: A commentary (pp. 73-107). Oxford: Oxford University Press.

(43) UK Supreme Court. (2011). ZH (Tanzania) v. Secretary of State for the Home Department [2011] UKSC 4. https://supremecourt.uk/uploads/uksc_2010_0002_judgment_6aef7c94ef.pdf .

(44) Eekelaar, J., & Tobin, J. (2019), Article 3: The best interests of the child. In The UN convention on the rights of the child: A commentary (pp. 73-107) Oxford: Oxford University Press.

(45) Điều 17 Nghị định số 13/2023/NĐ - CP.

(46) Điều 12 UNCRC.

(47) Điều 34 Luật Trẻ em năm 2016.