Quy định bảo vệ dữ liệu trẻ em trên không gian mạng của các quốc gia và kinh nghiệm cho Việt Nam

Không gian mạng đã trở thành một phần không thể thiếu trong cuộc sống của trẻ em. Từ việc học tập trực tuyến, giải trí qua mạng xã hội, đến chơi game và tiếp cận dịch vụ y tế kỹ thuật số, trẻ em đang tạo ra và chia sẻ một lượng dữ liệu cá nhân khổng lồ. Tuy nhiên, trẻ em thường thiếu nhận thức về rủi ro liên quan đến việc thu thập, sử dụng và chia sẻ dữ liệu này, dẫn đến các vấn đề như lạm dụng thông tin, quảng cáo nhắm mục tiêu, hoặc thậm chí là các mối đe dọa an ninh mạng. Vì vậy, việc bảo vệ dữ liệu cá nhân của trẻ em trên không gian mạng đã trở thành ưu tiên hàng đầu trong các khung pháp lý quốc tế.

Trong bài viết này, chúng tôi sẽ tập trung phân tích và so sánh các quy định bảo vệ dữ liệu cá nhân của trẻ em tại bốn khu vực đại diện: Châu Âu (với Quy định Chung về Bảo vệ Dữ liệu - GDPR), Singapore (Luật Bảo vệ Dữ liệu Cá nhân - PDPA và hướng dẫn của Ủy ban Bảo vệ Dữ liệu Cá nhân - PDPC), Trung Quốc (Luật Bảo vệ Thông tin Cá nhân - PIPL và các quy định liên quan), và Hoa Kỳ (các luật chuyên ngành như COPPA cho môi trường trực tuyến, FERPA cho giáo dục, và HIPAA cho y tế). Bài viết cũng sẽ tập trung vài các lĩnh vực cụ thể như nền tảng trực tuyến, giáo dục, y tế, mạng xã hội, và trò chơi trực tuyến.

1. Nền tảng trực tuyến (dịch vụ Internet, website, ứng dụng)

Nền tảng trực tuyến là môi trường phổ biến nhất nơi dữ liệu cá nhân của trẻ em được thu thập, từ thông tin đăng ký đến dữ liệu hành vi. Các quy định tại các khu vực khác nhau đều nhấn mạnh sự cần thiết của sự đồng ý từ cha mẹ và bảo vệ đặc biệt cho trẻ em, nhưng có sự khác biệt về độ tuổi và mức độ nghiêm ngặt.

Tại Châu Âu, GDPR định nghĩa trẻ em thường dưới 16 tuổi, nhưng cho phép các quốc gia thành viên hạ thấp độ tuổi của trẻ em nhưng không thấp hơn mức 13 tuổi[1]. Nếu dịch vụ trực tuyến xử lý dữ liệu dựa trên sự đồng ý, phải có sự chấp thuận từ người có trách nhiệm giám hộ đối với trẻ dưới tuổi quy định. GDPR nhấn mạnh rằng trẻ em cần được bảo vệ đặc biệt vì ít nhận thức về rủi ro, do đó việc thu thập dữ liệu phải minh bạch, giới hạn ở mức cần thiết, và cấm sử dụng cho quảng cáo nhắm mục tiêu hoặc xây dựng hồ sơ cá nhân. Từ năm 2024, EU còn cấm các nền tảng lớn chạy quảng cáo dựa trên dữ liệu cá nhân của trẻ vị thành niên[2]. Vi phạm có thể dẫn đến phạt hành chính lên đến 20 triệu € hoặc 4% doanh thu toàn cầu, với các vụ liên quan trẻ em được coi là tình tiết tăng nặng.

Singapore áp dụng PDPA, coi trẻ em dưới 18 tuổi, nhưng phân biệt rõ trẻ dưới 13 luôn cần cha mẹ đồng ý, trong khi 13-17 tuổi có thể tự đồng ý nếu hiểu rõ hậu quả. Dữ liệu trẻ em được xem là nhạy cảm, đòi hỏi bảo vệ cao hơn, với nguyên tắc tối thiểu hóa thu thập và ưu tiên an toàn[3]. Ví dụ như tài khoản mặc định riêng tư, tắt định vị buộc các tổ chức phải thiết lập biện pháp "Privacy by Design" như ngôn ngữ dễ hiểu và tính năng giám sát cho phụ huynh. Trường hợp vi phạm, các tổ chức có thể bị phạt vi phạm lên đến 1 triệu SGD hoặc 10% doanh thu hàng năm, kèm theo yêu cầu dừng thu thập hoặc xóa dữ liệu.

Trung Quốc qua PIPL định nghĩa trẻ em dưới 14 tuổi cần bảo vệ đặc biệt, coi dữ liệu của họ là nhạy cảm cao. Phải có sự đồng ý từ cha mẹ trước khi xử lý dữ liệu, kèm theo quy chế bảo vệ chuyên biệt và xác minh danh tính phụ huynh. Thu thập dữ liệu bị kiểm soát chặt chẽ, chỉ cho mục đích hợp pháp, và cha mẹ có quyền rút lại đồng ý hoặc yêu cầu xóa. Hành vi vi phạm bị phạt nặng đến 50 triệu RMB hoặc 5% doanh thu, có thể đình chỉ hoạt động hoặc truy cứu hình sự[4].

Tại Hoa Kỳ, COPPA áp dụng cho trẻ dưới 13 tuổi, yêu cầu "sự đồng ý có thể xác minh" từ phụ huynh thông qua ký số, điện thoại hoặc form trước khi thu thập, sử dụng hoặc chia sẻ dữ liệu. Trang web/app phải có chính sách quyền riêng tư rõ ràng, chỉ thu thập thông tin cần thiết, và cho phép phụ huynh kiểm tra/xóa dữ liệu. Không được điều kiện hóa tham gia bằng việc bắt buộc cung cấp dữ liệu không liên quan. Phạt lên đến khoảng 53.000 USD mỗi vi phạm mỗi trẻ, với các vụ vi phạm nghiêm trọng như trường hợp của YouTube vi phạm về thu thập dữ liệu trẻ em thì mức phạt lên tới 170 triệu USD vào năm 2019[5].

Có một sự tương đồng rất lớn giữa các khu vực trong việc bảo vệ dữ liệu của trẻ em là vai trò trung tâm và quan trọng của cha mẹ và nguyên tắc tối thiểu hóa dữ liệu trẻ em khi thu thập và xử lý. Tuy nhiên, COPPA cố định tuổi dưới 13 và tập trung vào xác minh, trong khi GDPR linh hoạt hơn về tuổi nhưng cấm quảng cáo nhắm mục tiêu cụ thể vào trẻ em. PIPL và PDPA coi dữ liệu trẻ em nhạy cảm, dẫn đến kiểm soát chặt chẽ hơn so với Mỹ.

2. Giáo dục (trường học, dữ liệu học sinh)

Trong lĩnh vực giáo dục, bảo vệ dữ liệu học sinh tập trung vào hồ sơ học vụ, thành tích và thông tin cá nhân. Các quy định nhằm đảm bảo dữ liệu chỉ phục vụ mục đích giáo dục, với quyền kiểm soát của phụ huynh.

Châu Âu áp dụng GDPR cho học sinh dưới 18 tuổi, không bắt buộc đồng ý cha mẹ cho hoạt động giáo dục cần thiết dựa trên nhiệm vụ công hoặc lợi ích hợp pháp, nhưng phải có đồng ý nếu tiết lộ dữ liệu ra ngoài. Dữ liệu học sinh phải được xử lý minh bạch, giới hạn mục đích, và không dùng cho thương mại. Các mức phạt tương tự như mức phạt chung của GDPR, nhưng trường công lập thường chỉ bị yêu cầu khắc phục.

Singapore coi học sinh dưới 18 tuổi là trẻ em, khuyến cáo lấy đồng ý phụ huynh ngay cả với trẻ 13 tuổi trong giáo dục. Trường phải tuân thủ PDPA như giới hạn sử dụng, bảo mật cao, và không tiết lộ cho bên thứ ba trừ khi có phép. Phạt lên đến 1 triệu SGD hoặc 10% doanh thu nếu lộ dữ liệu.

Trung Quốc định nghĩa vị thành niên dưới 18 tuổi, với dữ liệu dưới 14 là nhạy cảm theo PIPL. Nhà trường phải bảo vệ thông tin theo Luật Bảo vệ Trẻ vị thành niên, không tiết lộ thành tích nhạy cảm. Phụ huynh đồng ý cho chia sẻ ngoài, với biện pháp an ninh tăng cường. Phạt theo PIPL, kèm kỷ luật giáo dục.

Hoa Kỳ có FERPA áp dụng cho học sinh tại trường nhận quỹ liên bang, quyền kiểm soát chuyển từ phụ huynh sang học sinh khi 18 tuổi. Yêu cầu đồng ý văn bản để chia sẻ hồ sơ giáo dục ra ngoài trừ trường hợp học sinh chuyển trường. "Thông tin danh bạ" có thể công bố nếu không bị phản đối. Nếu trường dùng dịch vụ trực tuyến cho học sinh dưới 13, có thể đại diện đồng ý theo COPPA, nhưng không dùng dữ liệu cho thương mại.

3. Mạng xã hội

Mạng xã hội như Facebook, TikTok, Instagram chứa rủi ro cao với dữ liệu trẻ em.

Tại Châu Âu, GDPR yêu cầu sự đồng ý từ cha mẹ cho trẻ dưới 13-16. Các nền tảng mạng xã hội phải thiết kế an toàn mặc định như yêu cầu riêng tư cao, tắt định vị. Cấm quảng cáo dựa trên dữ liệu thu thập của trẻ em dưới 18 theo DSA. Trường hợp vi phạm sẽ bị phạt với số tiền lớn như Instagram bị Ủy ban Châu Âu phạt 405 triệu € năm 2022 do vi phạm trong việc thu thập dữ liệu trẻ em.

Singapore: PDPC khuyến cáo bảo vệ mặc định cho trẻ dưới 18. Đồng ý cha mẹ cho dưới 13. Phạt theo PDPA.

Trung Quốc: Chế độ "Thanh thiếu niên" cho dưới 18, xác thực danh tính, giới hạn tính năng cho dưới 14. Đồng ý giám hộ cho đăng nội dung. Phạt và rút giấy phép nếu vi phạm.

Hoa Kỳ: COPPA cấm dưới 13 trừ khi có đồng ý phụ huynh; hầu hết MXH cấm dưới 13. Một số bang cấm bán dữ liệu dưới 16. Phạt như TikTok 5,7 triệu USD năm 2019.

4. Trò chơi trực tuyến (game online)

Game online không chỉ thu thập dữ liệu hành vi của trẻ em, mà sâu hơn còn có những yêu cầu nhập thông tin cá nhân khác như địa chỉ nơi ở, trường học, số điện thoại cá nhân/người thân. Do đó, các yêu cầu bảo vệ dữ liệu cá nhân cũng tương tự các lĩnh vực khác.

Châu Âu yêu cầu sự đồng ý cha mẹ cho trẻ dưới tuổi 13, giới hạn quảng cáo có mục đích nhắm vào trẻ em. Trong khi đó, Singapore áp dụng PDPA, yêu cầu sự đồng ý của cha mẹ cho trẻ nhỏ tham gia các trò chơi trực tuyến, thông báo rõ phạm vi thu thập dữ liệu cá nhân của trẻ em. Còn Trung Quốc yêu cầu xác thực tên thật, hạn chế giờ chơi dưới 18 từ 1-2 giờ/ngày, cấm trò chơi điện tử yêu cầu trẻ em nạp tiền nếu trẻ em dưới 8 tuổi. Tại Hoa Kỳ, với quy định tại COPPA không cho phép trò chơi trực tuyến nhắm vào đối tượng trẻ dưới 13, cùng với các yêu cầu nghiêm ngặt khác để bảo đảm an toàn của trẻ em trên không gian mạng.

5. Kinh nghiệm cho Việt Nam

Các quy định tại Châu Âu, Singapore, Trung Quốc và Hoa Kỳ đều nhấn mạnh sự đồng ý của cha mẹ, nguyên tắc tối thiểu hóa việc thu thập và lưu trữ dữ liệu để bảo vệ đặc biệt cho trẻ em, phản ánh mục tiêu chung là giảm rủi ro trên mạng cho nhóm đối tượng bị tổn thương. Yêu cầu của các quốc gia này khá tương đồng nhau bao gồm yêu cầu phân loại dữ liệu trẻ em nhạy cảm vai trò trung tâm của phụ huynh, và cấm sử dụng các thông tin của trẻ em trong hoạt động thương mại không cần thiết. Khác biệt nằm ở cách tiếp cận nếu EU linh hoạt và bao quát rộng, Mỹ với các yêu cầu xác minh rõ ràng trong phạm vi thu thập và xử lý dữ liệu trẻ em, thì Singapore đưa ra các hướng dẫn thực tiễn để thực thi.

Đối với Việt Nam, bài học đầu tiên là cần xây dựng luật chuyên sâu về bảo vệ dữ liệu trẻ em trên mạng, tương tự PIPL hoặc COPPA, với định nghĩa rõ ràng về độ tuổi, chẳng hạn dưới 14 như Trung Quốc và yêu cầu đồng ý cha mẹ. Điều 24 Luật Bảo vệ Dữ liệu cá nhân 2025 của Việt Nam cũng yêu cầu giới hạn việc khai thác và xử lý dữ liệu của trẻ em phải được sự đồng ý của trẻ em và người đại diện theo pháp luật của trẻ em. Tuy nhiên về xác định độ tuổi của trẻ em, Luật này chưa có đề cập. Thứ hai, Việt Nam hoàn toàn có thể học hỏi từ EU và Singapore về "Privacy by Design" – yêu cầu nền tảng thiết kế an toàn mặc định cho trẻ em, như chế độ riêng tư cao và tắt theo dõi. Thứ ba, áp dụng chế tài nghiêm khắc trong vi phạm về xử lý dữ liệu của trẻ em để răn đe. Thứ tư, các cơ quan chức năng cần trao quyền cho phụ huynh truy cập dữ liệu con cái trong trường học/y tế để có thể giám sát và bảo vệ dữ liệu và trẻ em trước các mối đe dọa từ môi trường internet. Cuối cùng, Việt Nam nên hợp tác quốc tế để xử lý nền tảng xuyên biên giới, tránh tình trạng trẻ em tiếp cận dịch vụ nước ngoài không tuân thủ. Việc áp dụng các bài học này sẽ giúp Việt Nam tạo môi trường mạng an toàn hơn cho thế hệ trẻ, thúc đẩy phát triển số bền vững trong thời gian tới.

Bảo vệ dữ liệu cá nhân của trẻ em trên không gian mạng là thách thức toàn cầu, đòi hỏi sự cân bằng giữa đổi mới và quyền lợi. Các quy định tại Luật Bảo vệ dữ liệu cá nhân 2025 chưa thật sự đầy đủ đối với các quy định về bảo vệ dữ liệu trẻ em. Chúng tôi mong rằng trong Nghị định hướng dẫn sẽ ban hành trong thời gian tới, các nội dung liên quan đến việc bảo vệ và xử lý các hành vi vi phạm trong quá trình thu thập và xử lý dữ liệu trẻ em sẽ được làm rõ với những quy định chi tiết, hiệu quả. Vì chỉ khi trẻ em được bảo vệ tốt, xã hội số mới thực sự bền vững và công bằng.