ICO reddit phạt vì GDPR đặt việc kiểm tra tuổi và bảo vệ dữ liệu trẻ em dưới sự xem xét kỹ lưỡng mới

Cơ quan quản lý đã làm sống lại cuộc tranh luận về quyền riêng tư, an toàn trẻ em trực tuyến và khoản phạt GDPR của Reddit sau khi cơ quan giám sát của Vương quốc Anh xử phạt nền tảng này về dữ liệu của trẻ dưới 13 tuổi.

ICO xử phạt Reddit về dữ liệu trẻ em và kiểm tra độ tuổi

Cơ quan Thông tin của Vương quốc Anh (ICO) đã phạt Reddit 14,47 triệu bảng Anh (19,6 triệu USD) vì vi phạm GDPR liên quan đến trẻ em, trong quyết định được công bố vào ngày 24 tháng 2 năm 2026. Tuy nhiên, các nhà bảo vệ quyền riêng tư cảnh báo rằng cách thực thi này có thể làm suy yếu tính ẩn danh và an toàn của người dùng trên các nền tảng trực tuyến.

Cơ quan quản lý cho biết khoản phạt của ICO dựa trên hai lỗi chính. Thứ nhất, Reddit thiếu các biện pháp đảm bảo độ tuổi “chắc chắn”, khiến nền tảng này không có cơ sở hợp pháp để xử lý dữ liệu cá nhân của người dùng dưới 13 tuổi. Thứ hai, Reddit không hoàn thành đánh giá tác động bảo vệ dữ liệu (DPIA) chính thức để xác định và giảm thiểu các rủi ro đối với trẻ em trên dịch vụ trước tháng 1 năm 2025.

Theo ICO, số tiền phạt phản ánh nhiều yếu tố, bao gồm số lượng lớn trẻ em sử dụng nền tảng, các hậu quả tiềm tàng, thời gian các lỗi tồn tại và doanh thu toàn cầu của Reddit. Hơn nữa, các nhà điều tra nhấn mạnh về tính chất của nội dung mà trẻ em có thể đã tiếp xúc.

Cơ quan quản lý: Reddit thất bại với người dùng trẻ tuổi

Giám đốc ICO, ông John Edwards, cho biết trẻ dưới 13 tuổi đã bị thu thập và sử dụng thông tin cá nhân theo cách mà các em không thể hiểu hoặc kiểm soát hoàn toàn. Điều này có thể khiến các em tiếp xúc với nội dung không phù hợp với độ tuổi của mình, ông lập luận trong một tuyên bố mạnh mẽ.

“Trẻ dưới 13 tuổi đã bị thu thập và sử dụng thông tin cá nhân theo cách mà các em không thể hiểu, đồng ý hoặc kiểm soát. Điều này có thể khiến các em tiếp xúc với nội dung không phù hợp với lứa tuổi của mình. Điều này là không thể chấp nhận được và đã dẫn đến khoản phạt ngày hôm nay,” ông Edwards nói. Ông nhấn mạnh rằng các công ty phải thiết kế dịch vụ phù hợp với trẻ em từ đầu.

Edwards bổ sung rằng các dịch vụ trực tuyến có khả năng thu hút trẻ em có trách nhiệm rõ ràng trong việc bảo vệ các em. Để làm được điều này, họ phải biết, với mức độ tin cậy hợp lý, độ tuổi của người dùng và triển khai các biện pháp kiểm tra độ tuổi phù hợp, hiệu quả. Tuy nhiên, ông không đề xuất công nghệ cụ thể nào, mà tập trung vào kết quả và giảm thiểu rủi ro.

Phản hồi của Reddit và các phản đối dựa trên quyền riêng tư

Reddit phản bác, lập luận rằng các lựa chọn thiết kế lâu dài của họ ưu tiên tính ẩn danh và an toàn của người dùng. Trong một tuyên bố, công ty nói rằng “không yêu cầu người dùng chia sẻ thông tin về danh tính của họ, bất kể độ tuổi, vì chúng tôi cam kết sâu sắc về quyền riêng tư và an toàn của họ.” Tuy nhiên, họ không phủ nhận rằng trẻ em đã truy cập nền tảng.

Nền tảng đã giới thiệu các cổng độ tuổi để truy cập “nội dung trưởng thành” vào tháng 7 năm 2025 và bắt đầu yêu cầu người dùng mới khai báo độ tuổi khi tạo tài khoản. ICO ghi nhận những thay đổi này nhưng cho rằng việc tự khai báo chỉ là quá dễ để vượt qua và không đáp ứng tiêu chuẩn GDPR về xử lý dữ liệu có rủi ro cao liên quan đến trẻ vị thành niên.

Các chuyên gia quyền riêng tư ủng hộ quan điểm của Reddit, lập luận rằng các biện pháp kiểm tra nghiêm ngặt hơn có thể làm gia tăng lo ngại về xác thực độ tuổi. Họ cảnh báo rằng việc sao chép các yêu cầu nhận dạng xâm phạm đối với một số trang web nội dung người lớn có thể làm tăng diện tấn công của tội phạm mạng và làm yếu đi các biện pháp bảo vệ quyền riêng tư tổng thể.

Các chuyên gia cảnh báo về mối lo ngại quyền riêng tư trong xác thực độ tuổi

Paul Bischoff, nhà vận động quyền riêng tư người tiêu dùng tại Comparitech, hy vọng Reddit sẽ chống lại áp lực thực hiện các biện pháp xác thực danh tính nặng nề. Ông lập luận rằng các chế độ xác thực bắt buộc chuyển gánh nặng chứng minh cho người dùng, những người không bị nghi ngờ phạm lỗi, gây ra các vấn đề về tự do dân sự rộng lớn.

“Vấn đề với xác thực danh tính bắt buộc là nó đặt gánh nặng chứng minh không hợp lý lên phần lớn người không bị nghi ngờ phạm lỗi,” Bischoff cảnh báo. Hơn nữa, ông cho biết ít có bằng chứng rõ ràng rằng các hệ thống này mang lại lợi ích an toàn như tuyên bố, đặc biệt khi áp dụng quy mô lớn.

Ông còn nói rằng các biện pháp kiểm tra cưỡng chế có thể gây ảnh hưởng tiêu cực đến tự do biểu đạt và tự do hội nhóm. Theo ông, cha mẹ cần chịu trách nhiệm nhiều hơn trong việc giám sát hoạt động trực tuyến của con cái, thay vì chuyển giao nhiệm vụ đó cho các công ty tư nhân, chính phủ hoặc cộng đồng rộng lớn hơn.

Pieter Arntz, nhà nghiên cứu cao cấp tại Malwarebytes, cũng cảnh báo rằng các công nghệ đánh giá độ tuổi mang theo rủi ro đáng kể. Đặc biệt, ông nhấn mạnh các hệ thống dựa trên phân tích sinh trắc học, dữ liệu tài chính hoặc các kho dữ liệu danh tính tập trung, nói rằng mỗi lựa chọn đều mở ra các lỗ hổng mới cho lạm dụng, giám sát hoặc rò rỉ dữ liệu.

Arntz đề cập đến các công cụ như ước tính độ tuổi qua nhận dạng khuôn mặt bằng sinh trắc học, kiểm tra ngân hàng mở dựa trên dữ liệu tài chính, ví danh tính kỹ thuật số và đối chiếu giấy tờ tùy thân qua ảnh là các ví dụ có thể tập trung dữ liệu nhận dạng cực kỳ nhạy cảm. Ngay cả các cơ chế đơn giản hơn như kiểm tra thẻ tín dụng, suy luận qua email hoặc xác minh qua mạng di động cũng có thể gây lo ngại về loại trừ, phân tích hồ sơ và độ tin cậy, ông lưu ý.

Mô hình xác thực hai lớp như một giải pháp tạm thời

Để cân bằng giữa quyền riêng tư trong xác thực độ tuổi và mục tiêu an toàn trẻ em, Arntz đề xuất mô hình xác thực “hai lớp” nhằm bảo vệ quyền riêng tư hơn. Trong mô hình này, một bên thứ ba đáng tin cậy xác nhận xem người dùng có đạt độ tuổi quy định, ví dụ 18+, rồi cấp một mã ẩn danh cho trang web dựa vào đó.

Theo cách này, trang web chỉ nhận được một chỉ báo đơn giản rằng người dùng, ví dụ, “18+”, mà không biết danh tính đầy đủ hoặc dịch vụ xác thực cụ thể mà họ đã sử dụng. Điều này giúp giảm thiểu rủi ro rò rỉ dữ liệu, hạn chế theo dõi chéo dịch vụ và tránh tạo ra các “bẫy mật” chứa dữ liệu nhạy cảm hấp dẫn hacker.

Theo Arntz, các kiến trúc như vậy có thể cung cấp các biện pháp bảo vệ quyền riêng tư mạnh hơn nhiều so với nhiều hệ thống hiện tại trong khi vẫn đáp ứng yêu cầu của quy định. Tuy nhiên, chúng đòi hỏi thiết kế kỹ thuật cẩn thận, quản trị rõ ràng và giám sát chặt chẽ để đảm bảo hạn chế thu thập dữ liệu thực sự, tránh tái tạo rủi ro qua tích hợp phía sau.

Cam kết tuân thủ và bài học từ khoản phạt GDPR của Reddit cho ngành

Khoản phạt GDPR của Reddit cũng nhấn mạnh các nghĩa vụ rộng hơn về bảo vệ dữ liệu trẻ em đối với bất kỳ dịch vụ trực tuyến nào dành cho trẻ vị thành niên, dù họ có phải là đối tượng mục tiêu hay không. Các thất bại trong chiến lược và quản trị liên quan đến DPIA và kiểm tra độ tuổi có khả năng thu hút sự chú ý nhiều hơn của các cơ quan quản lý khi việc thực thi ngày càng chặt chẽ hơn.

Chris Linnell, phó giám đốc về quyền riêng tư dữ liệu tại Bridewell, cho biết khi xử lý dữ liệu của trẻ em, việc thực hiện DPIA không phải là tùy chọn. Thay vào đó, đây là yêu cầu bắt buộc về pháp lý nhằm đảm bảo các tổ chức đánh giá, ghi lại và giảm thiểu rủi ro trước khi gây hại, đặc biệt khi liên quan đến profiling hoặc nhắm mục tiêu nội dung.

Linnell lập luận rằng việc thiếu một DPIA vững chắc cho thấy các rủi ro đối với trẻ em không được xác định hoặc xử lý đúng mức từ đầu. Hơn nữa, ông nói rằng chỉ dựa vào điều khoản và điều kiện quy định trẻ dưới 13 tuổi không được sử dụng dịch vụ không phải là biện pháp bảo vệ hiệu quả nếu không có các biện pháp kỹ thuật hỗ trợ.

“Nếu không có các biện pháp kỹ thuật hoặc vận hành hiệu quả để thực thi quy tắc đó, tổ chức không thể lập luận một cách đáng tin cậy rằng họ đã thực hiện các bước hợp lý để ngăn chặn truy cập,” ông nói. “Tuân thủ không thể chỉ dựa vào các điều khoản hợp đồng; nó phải phản ánh trong các biện pháp thực tế.” Các ý kiến này cho thấy rằng các chính sách dựa trên giấy tờ sẽ không đủ trong các hành động thực thi trong tương lai.

Các quy định mới và hướng dẫn cho các nền tảng trực tuyến

Quyết định của Reddit theo sau một vụ việc khác của Vương quốc Anh liên quan đến dữ liệu trẻ em. Chỉ vài tuần trước, MediaLab, công ty mẹ của nền tảng chia sẻ hình ảnh Imgur, đã bị phạt hơn 247.000 bảng Anh vì không sử dụng hợp pháp luật về thông tin của trẻ em. Cả hai vụ việc cho thấy ICO đang tăng cường giám sát cách các nền tảng xã hội và nội dung xử lý người dùng trẻ.

Linnell khuyến nghị các nhà cung cấp dịch vụ trực tuyến hành động ngay để tránh các kết quả tương tự. Đầu tiên, họ cần xác định nơi trẻ em có thể truy cập dịch vụ của mình, ngay cả khi những người dùng này không phải là đối tượng mục tiêu. Thứ hai, họ phải thực hiện DPIA cho các xử lý có rủi ro cao và đảm bảo các đánh giá này được xem xét và cập nhật định kỳ.

Ông cũng khuyên các công ty thiết lập và ghi lại cơ sở hợp pháp rõ ràng cho việc xử lý dữ liệu của trẻ em và triển khai các biện pháp kiểm soát phù hợp, hiệu quả thay vì chỉ dựa vào các chính sách. Tuy nhiên, các biện pháp này cần cân bằng với nguyên tắc quyền riêng tư theo thiết kế để tránh thu thập quá mức dữ liệu, điều này có thể tạo ra các rủi ro mới.

Triển vọng cho các nền tảng cân bằng giữa an toàn, quyền riêng tư và tuân thủ

Hành động của ICO chống lại Reddit báo hiệu một giai đoạn thực thi nghiêm ngặt hơn về quyền trẻ em và bảo vệ dữ liệu trong năm 2026 và những năm tới. Các nền tảng phụ thuộc nhiều vào nội dung do người dùng tạo ra sẽ phải đối mặt với áp lực ngày càng tăng để cân bằng giữa an toàn, quyền riêng tư và nghĩa vụ pháp lý, đồng thời duy trì mô hình kinh doanh khả thi và lòng tin cộng đồng.

Trong thực tế, điều này đòi hỏi xây dựng các thiết kế nhận thức về độ tuổi, thực hiện DPIA có ý nghĩa và khám phá các mô hình xác thực bảo vệ quyền riêng tư hơn, thay vì mặc định sử dụng kiểm tra danh tính toàn diện. Khi các cơ quan quản lý và ngành công nghiệp thử nghiệm các phương pháp này, kết quả của cuộc tranh luận về tuân thủ GDPR của Reddit có khả năng định hình tiêu chuẩn toàn cầu về bảo vệ trẻ vị thành niên trực tuyến.

Tổng thể, vụ việc của Reddit là một cảnh báo cao cấp rằng việc bảo vệ dữ liệu liên quan đến trẻ em đang chuyển từ hướng dẫn sang thực thi, thúc đẩy các nền tảng tăng cường các biện pháp bảo vệ đồng thời bảo vệ quyền riêng tư của người dùng.