Xử lý dữ liệu cá nhân của trẻ em theo Luật 2025 cần điều kiện gì?

Xử lý dữ liệu cá nhân của trẻ em theo luật mới đòi hỏi các điều kiện chặt chẽ về sự đồng ý, biện pháp bảo vệ tăng cường và phải luôn vì lợi ích tốt nhất của trẻ. Để đảm bảo tuân thủ và vận hành an toàn, DPO.VN mang đến giải pháp toàn diện giúp doanh nghiệp đáp ứng mọi yêu cầu pháp lý. Việc bảo vệ thông tin trẻ vị thành niên là tuân thủ pháp luật về quyền riêng tư và an toàn trực tuyến.

Nguyên tắc cốt lõi khi xử lý dữ liệu cá nhân của trẻ em là gì?

Nguyên tắc cao nhất và bao trùm mọi hoạt động là phải “bảo vệ các quyền và vì lợi ích tốt nhất của trẻ em”, được quy định tại Điều 20 Nghị định 13/2023/NĐ-CP và Điều 24 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15. Điều này có nghĩa là mọi quyết định xử lý dữ liệu phải ưu tiên sự an toàn, phát triển lành mạnh và quyền riêng tư của trẻ hơn lợi ích thương mại của doanh nghiệp.

Nguyên tắc này không chỉ là một quy định pháp lý mà còn là một tiêu chuẩn đạo đức, yêu cầu các tổ chức phải có trách nhiệm cao hơn khi xử lý dữ liệu của nhóm đối tượng dễ bị tổn thương này. Thay vì chỉ xem xét liệu một hoạt động có hợp pháp hay không, doanh nghiệp cần tự đặt câu hỏi: Hoạt động này có thực sự mang lại lợi ích và an toàn cho trẻ không? Ví dụ, việc thu thập dữ liệu vị trí của trẻ cho một ứng dụng trò chơi có thể hợp pháp nếu có sự đồng ý của phụ huynh, nhưng nếu nó tạo ra rủi ro về an toàn cho trẻ, thì hoạt động đó có thể vi phạm nguyên tắc “vì lợi ích tốt nhất”. Do đó, mọi chính sách và quy trình phải được xây dựng xoay quanh việc giảm thiểu rủi ro và tối đa hóa sự bảo vệ cho trẻ.

Điều kiện về sự đồng ý khi xử lý dữ liệu cá nhân của trẻ em được quy định như thế nào?

Sự đồng ý hợp lệ là điều kiện tiên quyết. Theo quy định, việc xử lý dữ liệu của trẻ em phải có sự đồng ý của cha, mẹ hoặc người giám hộ. Đặc biệt, đối với trẻ từ đủ 7 tuổi trở lên, ngoài sự đồng ý của người đại diện, còn phải có cả sự đồng ý của chính trẻ em đó trong một số trường hợp nhất định.

Đây là một trong những yêu cầu quan trọng và phức tạp nhất, đòi hỏi doanh nghiệp phải thiết lập một cơ chế thu thập sự đồng ý kép (dual consent) và xác thực chặt chẽ.

Ai là người có thẩm quyền cho phép xử lý dữ liệu của trẻ?

Cha, mẹ hoặc người giám hộ hợp pháp là những người duy nhất có thẩm quyền cho phép xử lý dữ liệu cá nhân của trẻ em. Doanh nghiệp không được phép xử lý dữ liệu chỉ dựa trên sự đồng ý của một mình trẻ.

Điều 20 Nghị định 13/2023/NĐ-CP và Điều 24 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 quy định rất rõ ràng về vai trò của người đại diện theo pháp luật. Trách nhiệm của doanh nghiệp là phải xác thực được mối quan hệ này. Bất kỳ hoạt động xử lý dữ liệu nào nếu không có sự cho phép từ người có thẩm quyền này đều là vi phạm pháp luật, trừ các trường hợp được miễn trừ theo Điều 17 Nghị định 13/2023/NĐ-CP (ví dụ như để bảo vệ tính mạng, sức khỏe trong trường hợp khẩn cấp).

Trẻ từ bao nhiêu tuổi cần có cả sự đồng ý của chính các em?

Pháp luật yêu cầu phải có sự đồng ý của trẻ em từ đủ 7 tuổi trở lên, bên cạnh sự đồng ý của cha, mẹ hoặc người giám hộ. Yêu cầu này đặc biệt quan trọng khi xử lý dữ liệu nhằm công bố hoặc tiết lộ thông tin về đời sống riêng tư, bí mật cá nhân của trẻ.

Quy định này tại Điều 20.2 Nghị định 13/2023/NĐ-CP và Điều 24.2 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 thừa nhận rằng trẻ em từ độ tuổi này đã bắt đầu có nhận thức về quyền riêng tư của mình. Do đó, các nền tảng trực tuyến, trường học, hoặc tổ chức khi muốn công khai hình ảnh, video, hoặc các thông tin cá nhân khác của học sinh trên 7 tuổi phải đảm bảo có được sự đồng ý từ cả hai phía. Thông báo xin phép phải được viết bằng ngôn ngữ đơn giản, phù hợp với lứa tuổi để trẻ có thể hiểu và tự đưa ra quyết định.

Làm thế nào để thu thập sự đồng ý hợp lệ?

Sự đồng ý hợp lệ phải dựa trên sự tự nguyện và chủ thể dữ liệu (người đại diện và trẻ em nếu có) phải được thông báo đầy đủ về loại dữ liệu, mục đích xử lý, bên xử lý và các quyền của mình. Sự im lặng hoặc không phản hồi không được coi là đồng ý.

Dựa trên Điều 11 Nghị định 13/2023/NĐ-CP, doanh nghiệp cần đảm bảo quy trình thu thập sự đồng ý đáp ứng các tiêu chí sau:

• Rõ ràng và Cụ thể: Sử dụng các hộp kiểm (checkbox) không được đánh dấu sẵn, các nút bấm rõ ràng hoặc các cơ chế tương tự.
• Tách biệt: Sự đồng ý cho từng mục đích xử lý khác nhau phải được thu thập riêng biệt. Ví dụ, sự đồng ý cho việc xử lý dữ liệu để cung cấp dịch vụ giáo dục phải tách biệt với sự đồng ý cho mục đích tiếp thị.
• Có thể chứng minh: Doanh nghiệp phải lưu lại bằng chứng về việc đã nhận được sự đồng ý (ví dụ: log hệ thống ghi lại thời gian và địa chỉ IP, bản sao văn bản đồng ý) để phục vụ cho chứng minh sự đồng ý của chủ thể dữ liệu khi có tranh chấp.
• Dễ dàng rút lại: Quy trình rút lại sự đồng ý phải đơn giản như quy trình cho phép ban đầu.

Doanh nghiệp cần thực hiện các biện pháp kỹ thuật và quy trình nào để tuân thủ?

Để tuân thủ, doanh nghiệp phải triển khai quy trình xác minh tuổi, cơ chế thu thập và xác thực sự đồng ý của phụ huynh một cách đáng tin cậy, đồng thời áp dụng các biện pháp bảo mật tăng cường để bảo vệ dữ liệu của trẻ.

Việc tuân thủ không chỉ dừng lại ở lý thuyết mà phải được thể hiện qua các hành động cụ thể, có hệ thống.

Hướng dẫn xác minh tuổi của trẻ em một cách hợp lý?

Doanh nghiệp phải có biện pháp xác minh tuổi của trẻ trước khi xử lý dữ liệu cá nhân, theo yêu cầu tại Điều 20.2 Nghị định 13/2023/NĐ-CP. Các biện pháp này cần hợp lý, hiệu quả và cân bằng với nguyên tắc tối thiểu hóa dữ liệu.

Pháp luật yêu cầu xác minh tuổi nhưng không quy định một phương pháp duy nhất. Do đó, doanh nghiệp có thể lựa chọn các giải pháp phù hợp với mức độ rủi ro của hoạt động xử lý dữ liệu:

• Cổng Tuổi (Age Gate): Yêu cầu người dùng tự khai báo ngày tháng năm sinh. Đây là biện pháp đơn giản nhưng kém tin cậy, chỉ phù hợp với các dịch vụ có rủi ro thấp.
• Xác nhận của Phụ huynh: Kết hợp cổng tuổi với việc gửi email hoặc thông báo đến phụ huynh để họ xác nhận độ tuổi của con.
• Sử dụng Trí tuệ Nhân tạo (AI): Một số công nghệ AI có thể ước tính độ tuổi qua hình ảnh hoặc hành vi sử dụng, tuy nhiên cần đảm bảo tính chính xác và minh bạch.

Xác minh qua tài liệu: Yêu cầu tải lên giấy tờ tùy thân là biện pháp có độ tin cậy cao nhưng lại vi phạm nguyên tắc tối thiểu hóa dữ liệu và không được khuyến khích trừ khi thật sự cần thiết và có cơ sở pháp lý rõ ràng. 💡 Luật sư Nguyễn Tiến Hảo chia sẻ: Thay vì yêu cầu giấy tờ tùy thân, một giải pháp thực tế được nhiều doanh nghiệp áp dụng là quy trình xác nhận hai bước. Bước một, người dùng tự khai báo độ tuổi. Bước hai, hệ thống gửi email xác nhận đến phụ huynh, yêu cầu họ tạo một tài khoản giám hộ và phê duyệt hoạt động của con. Điều này vừa tuân thủ luật, vừa giảm thiểu rủi ro thu thập dữ liệu nhạy cảm không cần thiết.

Doanh nghiệp cần áp dụng biện pháp bảo vệ đặc thù nào cho dữ liệu của trẻ?

Doanh nghiệp phải áp dụng các biện pháp bảo vệ dữ liệu cá nhân theo nguyên tắc mặc định và theo thiết kế, đặc biệt là đối với dữ liệu của trẻ em. Các biện pháp này cần được tích hợp ngay từ khi bắt đầu phát triển sản phẩm, dịch vụ.

Các biện pháp bảo vệ dữ liệu cá nhân tăng cường cho trẻ em bao gồm:

Doanh nghiệp có nghĩa vụ gì sau khi thu thập, đặc biệt là về việc xóa và hủy dữ liệu?

Trách nhiệm của doanh nghiệp không kết thúc sau khi thu thập dữ liệu. Doanh nghiệp phải ngừng xử lý và xóa, hủy dữ liệu của trẻ em khi mục đích xử lý đã hoàn thành, cha mẹ/người giám hộ rút lại sự đồng ý, hoặc theo yêu cầu của cơ quan chức năng.

Điều 20.3 Nghị định 13/2023/NĐ-CP quy định cụ thể các trường hợp doanh nghiệp phải thực hiện nghĩa vụ này. Đây là một phần quan trọng của nguyên tắc giới hạn lưu trữ và quyền được lãng quên của chủ thể dữ liệu.

Khi nào doanh nghiệp bắt buộc phải xóa dữ liệu của trẻ?

Việc xóa hoặc hủy dữ liệu cá nhân của trẻ em là bắt buộc trong ba trường hợp chính: (1) Đã hoàn thành mục đích xử lý ban đầu, (2) Cha, mẹ hoặc người giám hộ rút lại sự đồng ý, và (3) Có yêu cầu từ cơ quan nhà nước có thẩm quyền.

Các tình huống cụ thể bao gồm:

• Kết thúc dịch vụ: Khi một trẻ ngừng sử dụng một ứng dụng học tập, dữ liệu về tiến trình học tập của trẻ đó phải được xóa sau một khoảng thời gian hợp lý.
• Rút lại sự đồng ý: Nếu phụ huynh không còn muốn con mình tham gia một hoạt động ngoại khóa và rút lại sự đồng ý cho việc sử dụng hình ảnh, nhà trường phải xóa các hình ảnh đó khỏi website và các tài liệu quảng cáo.
• Yêu cầu của cơ quan chức năng: Khi cơ quan có thẩm quyền xác định việc xử lý dữ liệu gây ảnh hưởng tiêu cực đến quyền và lợi ích của trẻ, họ có quyền yêu cầu doanh nghiệp xóa ngay lập tức.

Quy trình xóa, hủy dữ liệu của trẻ em cần tuân thủ những yêu cầu gì?

Pháp luật yêu cầu việc xóa, hủy dữ liệu cá nhân của trẻ em phải được thực hiện theo cách “xóa không thể khôi phục”. Điều này nhằm đảm bảo dữ liệu không thể bị truy cập hoặc sử dụng trái phép sau khi đã bị xóa.

Việc chỉ đơn thuần nhấn nút “Delete” hoặc di chuyển vào thùng rác là không đủ. Doanh nghiệp cần áp dụng các biện pháp kỹ thuật để đảm bảo dữ liệu bị phá hủy vĩnh viễn, chẳng hạn như:

• Ghi đè dữ liệu (Data Overwriting): Ghi dữ liệu ngẫu nhiên lên vùng lưu trữ chứa dữ liệu cần xóa nhiều lần.
• Khử từ (Degaussing): Sử dụng từ trường mạnh để phá hủy dữ liệu trên các phương tiện lưu trữ từ tính như ổ cứng.
• Phá hủy vật lý (Physical Destruction): Nghiền, băm nhỏ hoặc nấu chảy các thiết bị lưu trữ.

Việc lựa chọn phương pháp phụ thuộc vào loại phương tiện lưu trữ và mức độ nhạy cảm của dữ liệu. Doanh nghiệp cần có một chính sách rõ ràng về việc hủy dữ liệu và ghi lại bằng chứng về việc đã thực hiện để phục vụ trách nhiệm giải trình.

Trách nhiệm của doanh nghiệp sẽ ra sao khi xảy ra sự cố rò rỉ dữ liệu của trẻ em?

Khi xảy ra sự cố, doanh nghiệp phải chịu trách nhiệm pháp lý cao hơn. Doanh nghiệp bắt buộc phải thông báo cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) trong vòng 72 giờ và có thể đối mặt với các mức phạt hành chính nghiêm khắc, thậm chí là truy cứu trách nhiệm hình sự và bồi thường thiệt hại.

Sự cố liên quan đến dữ liệu của trẻ em luôn được xem xét ở mức độ nghiêm trọng cao. Theo Điều 23 Nghị định 13/2023/NĐ-CP, ngay khi phát hiện vi phạm, doanh nghiệp phải:

1. Hành động ngay lập tức: Triển khai các biện pháp để ngăn chặn, giảm thiểu tác hại của hành vi vi phạm.
2. Thông báo cho A05: Gửi thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân theo Mẫu số 03a trong vòng 72 giờ. Thông báo phải mô tả rõ bản chất, quy mô, hậu quả và các biện pháp đã, đang và sẽ áp dụng.
3. Thông báo cho chủ thể dữ liệu (nếu cần): Mặc dù pháp luật Việt Nam chưa quy định bắt buộc, việc thông báo cho phụ huynh về sự cố là một thông lệ tốt, giúp họ có biện pháp bảo vệ con em mình và thể hiện sự minh bạch, trách nhiệm của doanh nghiệp.
4. Hợp tác điều tra: Phối hợp đầy đủ với cơ quan chức năng trong quá trình điều tra, xử lý vi phạm.

Việc không tuân thủ các nghĩa vụ này không chỉ làm tăng nặng các chế tài pháp lý mà còn gây tổn hại nghiêm trọng đến uy tín và niềm tin của khách hàng đối với thương hiệu.

Các Câu Hỏi Thường Gặp Về Xử Lý Dữ Liệu Cá Nhân Của Trẻ Em

Tài liệu tham khảo

• Nghị định 13/2023/NĐ-CP của Chính phủ về bảo vệ dữ liệu cá nhân.
• Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15
• Luật Trẻ em 2016.
• UNICEF Việt Nam – Quyền trẻ em trên không gian mạng.
• Cổng Dịch vụ công Quốc gia – Các thủ tục liên quan đến bảo vệ dữ liệu cá nhân.