Mục lục bài viết

Trong cấu trúc của pháp luật nhân quyền hiện đại, quyền riêng tư của trẻ em không chỉ dừng lại ở quyền tự quyết thông tin thông thường mà còn mang tính chất của một quyền được bảo vệ chủ động trước các rủi ro tiềm ẩn của công nghệ. Trẻ em, với sự hạn chế nhất định về nhận thức và khả năng tự bảo vệ, dễ trở thành mục tiêu của các hành vi khai thác dữ liệu bất chính, định hướng hành vi hoặc các nguy cơ xâm hại trực tuyến. Chính vì vậy, hệ thống pháp luật Việt Nam đã thiết lập một "bức tường lửa" pháp lý vững chắc, trong đó quy định rõ rệt các kịch bản bắt buộc phải chấm dứt mọi hoạt động xử lý dữ liệu đối với nhóm đối tượng yếu thế này.

Việc xác lập các trường hợp ngừng xử lý dữ liệu cá nhân của trẻ em không chỉ là nghĩa vụ tuân thủ của doanh nghiệp mà còn là thước đo đạo đức dữ liệu của tổ chức. Khi mục đích xử lý ban đầu không còn phù hợp, hoặc khi sự đồng ý của cha mẹ, người giám hộ bị rút lại, việc tiếp tục lưu trữ hay khai thác thông tin sẽ ngay lập tức chuyển hóa từ hành vi hợp pháp sang hành vi vi phạm nghiêm trọng quyền trẻ em. 

1. Chủ thể có quyền yêu cầu ngừng xử lý dữ liệu cá nhân của trẻ em

Xác định đúng chủ thể có quyền yêu cầu là bước tiên quyết trong quy trình thực thi quyền riêng tư. Theo tinh thần của Luật Bảo vệ dữ liệu cá nhân 2025 và các văn bản pháp luật liên quan như Luật Trẻ em 2016, trẻ em được xác định là người dưới 16 tuổi. Do năng lực hành vi dân sự chưa đầy đủ, việc thực hiện các quyền đối với dữ liệu cá nhân của trẻ em được xây dựng trên cơ chế phối hợp giữa ý chí của trẻ và sự giám sát của người đại diện theo pháp luật.

1.1. Vai trò của người đại diện theo pháp luật

Người đại diện theo pháp luật (thông thường là cha, mẹ hoặc người giám hộ) giữ vai trò trung tâm trong việc bảo vệ quyền lợi dữ liệu của trẻ. Luật Bảo vệ dữ liệu cá nhân 2025 đặt ra nghĩa vụ cho Bên Kiểm soát dữ liệu phải lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (DPIA) theo Điều 24, trong đó phải mô tả rõ các biện pháp bảo vệ và sự tham gia của các bên liên quan.

Vai trò của người đại diện được thể hiện qua ba phương diện chính:

  • Chủ thể đưa ra quyết định thay thế: Đối với trẻ em dưới 07 tuổi, mọi quyết định liên quan đến việc đồng ý xử lý, rút lại sự đồng ý hoặc yêu cầu ngừng xử lý đều thuộc thẩm quyền của người đại diện.
  • Chủ thể giám sát và bảo vệ: Người đại diện có nghĩa vụ theo dõi các hoạt động xử lý dữ liệu của doanh nghiệp để đảm bảo chúng không đi chệch khỏi mục đích ban đầu đã thỏa thuận. Khi phát hiện các dấu hiệu xâm phạm, người đại diện là bên đứng ra thực hiện các thủ tục pháp lý với doanh nghiệp hoặc cơ quan chức năng.
  • Chủ thể xác thực tư cách: Trong các quy trình của doanh nghiệp, người đại diện phải cung cấp các giấy tờ chứng minh quan hệ (như giấy khai sinh) để thực hiện quyền yêu cầu ngừng xử lý, đảm bảo yêu cầu đó là hợp pháp và vì lợi ích tốt nhất của trẻ.

1.2. Điều kiện về sự đồng ý đối với trẻ em từ đủ 07 tuổi trở lên

Một điểm nhấn nhân văn và khoa học trong Luật Bảo vệ dữ liệu cá nhân 2025 là việc công nhận sự phát triển nhận thức của trẻ em thông qua ngưỡng 07 tuổi. Khi trẻ đạt độ tuổi này, pháp luật yêu cầu cơ chế "đồng ý kép".

Hoạt động xử lý dữ liệu (và theo logic là việc ngừng xử lý) đối với nhóm trẻ từ đủ 07 tuổi đến dưới 16 tuổi phải đáp ứng:

  • Sự đồng ý rõ ràng của bản thân trẻ em.
  • Sự đồng ý của cha, mẹ hoặc người giám hộ.

Cơ chế này đảm bảo trẻ em bước đầu được tham gia vào các quyết định liên quan đến bản sắc số của mình, phù hợp với nguyên tắc trẻ em có quyền bày tỏ ý kiến về các vấn đề liên quan đến bản thân. Tuy nhiên, trong thực tế thực thi quyền ngừng xử lý, nếu một trong hai bên (trẻ em hoặc phụ huynh) rút lại sự đồng ý, doanh nghiệp về nguyên tắc phải ngừng việc xử lý vì điều kiện "đồng ý kép" không còn được duy trì.

Độ tuổi của trẻ em Điều kiện đồng ý/Ngừng xử lý Căn cứ pháp lý
Dưới 07 tuổi Chỉ cần người đại diện theo pháp luật

Khoản 2 Điều 24
Từ đủ 07 tuổi đến dưới 16 tuổi Cả trẻ em và người đại diện theo pháp luật

Khoản 2 Điều 24
Từ đủ 16 tuổi trở lên Tự quyết định như người trưởng thành

Điều 2 Luật Trẻ em

2. Các trường hợp ngừng xử lý dữ liệu cá nhân của trẻ em 

Khoản 3 Điều 24 của Luật Bảo vệ dữ liệu cá nhân 2025 quy định các tình huống cụ thể buộc hoạt động xử lý dữ liệu trẻ em phải chấm dứt. Việc ngừng xử lý này thường gắn liền với nghĩa vụ xóa không thể khôi phục hoặc hủy dữ liệu để triệt tiêu mọi rủi ro tiềm ẩn.

2.1. Rút lại sự đồng ý cho phép xử lý dữ liệu

Đây là quyền tự quyết cơ bản nhất của chủ thể dữ liệu. Khi nhận thấy dịch vụ không còn cần thiết hoặc lo ngại về tính an toàn, trẻ em (từ 07 tuổi) hoặc người đại diện có quyền rút lại sự đồng ý đã cung cấp trước đó. Quy trình pháp lý cho trường hợp này bao gồm:

  • Định dạng yêu cầu: Việc rút lại phải được thể hiện ở một định dạng có thể kiểm chứng được, chẳng hạn như văn bản in ấn, email hoặc thông qua các thiết lập kỹ thuật trên ứng dụng.
  • Nghĩa vụ của doanh nghiệp: Ngay khi nhận được yêu cầu, doanh nghiệp phải thông báo cho chủ thể về các hậu quả (như việc ngừng cung cấp dịch vụ học tập trực tuyến) và thực hiện việc ngừng xử lý trong thời hạn quy định.
  • Tính liên đới: Doanh nghiệp phải có trách nhiệm yêu cầu các bên thứ ba (nhà thầu phụ, đối tác quảng cáo) cũng phải ngừng xử lý dữ liệu của trẻ đó.

2.2. Theo yêu cầu của cơ quan có thẩm quyền khi có căn cứ xâm phạm quyền lợi trẻ em

Trong nhiều trường hợp, sự can thiệp của Nhà nước là cần thiết để bảo vệ trẻ em khi doanh nghiệp cố tình vi phạm hoặc khi có rủi ro hệ thống. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao - A05 thuộc Bộ Công an) có vai trò chủ trì.

Căn cứ để cơ quan chức năng đưa ra lệnh ngừng xử lý bao gồm:

  • Xử lý dữ liệu sai mục đích: Doanh nghiệp thu thập dữ liệu để phục vụ giáo dục nhưng lại dùng để quảng cáo định hướng hoặc bán cho bên thứ ba trái phép.
  • Gây tổn hại cho trẻ em: Các hoạt động xử lý dẫn đến việc trẻ bị bắt nạt qua mạng, tiếp xúc với nội dung độc hại hoặc bị đe dọa an toàn thể chất và tinh thần.
  • Vi phạm quy định về bảo mật: Doanh nghiệp không áp dụng các biện pháp kỹ thuật cần thiết, để xảy ra tình trạng rò rỉ dữ liệu quy mô lớn.

Khi có yêu cầu từ cơ quan có thẩm quyền, lệnh ngừng xử lý mang tính cưỡng chế và doanh nghiệp phải thực hiện ngay lập tức để ngăn chặn thiệt hại lan rộng.

3. Khi nào việc rút lại sự đồng ý không làm ngừng xử lý dữ liệu?

Quyền riêng tư của cá nhân không phải là tuyệt đối và phải được đặt trong mối tương quan với lợi ích chung của xã hội và an ninh quốc gia. Luật Bảo vệ dữ liệu cá nhân 2025 sử dụng cụm từ "trừ trường hợp pháp luật có quy định khác" tại nhiều điều khoản để thiết lập ranh giới này.

Dữ liệu cá nhân của trẻ em vẫn có thể tiếp tục được xử lý bất chấp việc rút lại sự đồng ý trong các kịch bản khẩn cấp và đặc thù được quy định tại Khoản 1 Điều 19 :

  • Bảo vệ tính mạng và sức khỏe: Trong tình huống trẻ em bị tai nạn hoặc mắc bệnh hiểm nghèo cần cứu chữa ngay lập tức mà người đại diện không có mặt hoặc không thể đưa ra ý kiến, các cơ sở y tế có quyền xử lý dữ liệu lâm sàng và định danh để phục vụ cấp cứu.
  • Quốc phòng, an ninh quốc gia và trật tự an toàn xã hội: Trong các tình trạng khẩn cấp, thảm họa, dịch bệnh nguy hiểm hoặc để phòng chống khủng bố, bạo loạn, cơ quan chức năng được phép xử lý dữ liệu để bảo vệ cộng đồng.
  • Thực hiện nghĩa vụ luật định: Nếu dữ liệu đó cần được lưu trữ để phục vụ hoạt động tố tụng, điều tra tội phạm hoặc theo quy định của các luật chuyên ngành (như Luật Kế toán, Luật Lưu trữ), yêu cầu ngừng xử lý có thể bị từ chối.
  • Hoạt động của cơ quan nhà nước: Xử lý dữ liệu phục vụ các nhiệm vụ công đã được pháp luật quy định cụ thể cho các cơ quan hành chính.

Doanh nghiệp có nghĩa vụ chứng minh việc mình thuộc các trường hợp ngoại lệ này nếu từ chối yêu cầu của chủ thể dữ liệu. Sự lạm dụng các ngoại lệ này để tiếp tục khai thác dữ liệu trái phép sẽ bị xử lý nghiêm minh theo quy định của pháp luật.

 

Kết luận

Quy định về hai trường hợp ngừng xử lý dữ liệu cá nhân của trẻ em chính là sự cụ thể hóa nguyên tắc "Lợi ích tốt nhất của trẻ em" trong kỷ nguyên kinh tế số. Việc buộc các tổ chức phải dừng ngay lập tức mọi thao tác xử lý khi điều kiện pháp lý không còn thỏa mãn là một cơ chế phòng ngừa rủi ro quyết liệt, nhằm ngăn chặn việc hình thành các "hồ sơ số" bất lợi có thể đeo bám trẻ em suốt quãng đời trưởng thành. Đây không chỉ là một yêu cầu kỹ thuật về quản trị dữ liệu, mà còn là bản cam kết của xã hội về việc dành cho trẻ em một không gian an toàn để phát triển mà không bị giám sát hay trục lợi trái phép.

Trong tương lai, khi các ứng dụng giáo dục trực tuyến, trò chơi điện tử và mạng xã hội ngày càng khai thác sâu vào hành vi của trẻ nhỏ, trách nhiệm của các Bên kiểm soát dữ liệu sẽ càng nặng nề hơn. Việc ngừng xử lý dữ liệu đúng lúc, đúng quy trình và đúng đối tượng chính là minh chứng rõ nét nhất cho sự chuyên nghiệp và tính nhân văn của một đơn vị vận hành. Các doanh nghiệp cần hiểu rằng, việc bảo vệ dữ liệu trẻ em không chỉ giúp họ tránh khỏi những chế tài xử phạt nghiêm khắc nhất, mà còn giúp xây dựng niềm tin vững chắc từ các bậc phụ huynh và cộng đồng. Cuối cùng, một môi trường số an toàn cho trẻ em bắt đầu từ chính việc chúng ta biết dừng lại đúng lúc khi quyền riêng tư của các em cần được trả về trạng thái nguyên bản.

Mọi vướng mắc pháp lý vui lòng liên hệ Luật sư tư vấn pháp luật trực tuyến qua điện thoại gọi: 1900.6162 để được đội ngũ luật sư giàu kinh nghiệm của Công ty luật Minh Khuê tư vấn, giải đáp chi tiết.Chúng tôi rất hân hạnh khi nhận được sự hợp tác của quý khách hàng. Xin chân thành cảm ơn!