Kể từ ngày 1/7/2026, toàn bộ các thiết bị camera giám sát sử dụng giao thức Internet (Camera IP) lưu hành trên thị trường Việt Nam sẽ chịu sự quản lý nghiêm ngặt theo các tiêu chuẩn kỹ thuật bắt buộc. Quy định mới này do Bộ Công an ban hành nhằm thắt chặt an toàn thông tin mạng và bảo vệ chủ quyền dữ liệu quốc gia.
Đại tướng Lương Tam Quang, Bộ trưởng Bộ Công an, đã ký ban hành Thông tư số 48/2026/TT-BCA đi kèm Quy chuẩn kỹ thuật quốc gia QCVN 11:2026/BCA. Đây là bộ khung pháp lý quy định chi tiết các tiêu chuẩn an ninh mạng áp dụng cho hệ thống camera IP.
Cơ sở xây dựng: Quy chuẩn được thiết lập dựa trên các tiêu chuẩn quốc tế uy tín của châu Âu về an toàn thông tin cho thiết bị IoT tiêu dùng, bao gồm tiêu chuẩn gốc ETSI EN 303 645 và phương pháp kiểm định sự phù hợp ETSI TS 103 701.
Đối tượng chịu tác động: Quy định có hiệu lực bao phủ toàn diện lên tất cả tổ chức, cá nhân tham gia vào hoạt động sản xuất, kinh doanh hoặc nhập khẩu camera giám sát tại Việt Nam. Mọi thương hiệu quốc tế (đến từ Trung Quốc, Nhật Bản, Hàn Quốc...) hay các doanh nghiệp nội địa đều phải rà soát và nâng cấp thiết bị để đạt chứng nhận hợp quy.
Bộ quy chuẩn mới phân tách rõ ràng các nhóm tiêu chuẩn nghiệp vụ, quản lý chặt chẽ cơ chế vận hành của camera thông qua các lớp phòng thủ kỹ thuật:
Khởi tạo mật mã duy nhất: Ngoại trừ trạng thái xuất xưởng ban đầu, mật khẩu vận hành của thiết bị phải là duy nhất cho từng máy hoặc do người dùng trực tiếp thiết lập. Hệ thống quản lý mã xác thực phải đủ mạnh để bẻ gãy các cuộc tấn công tự động và đòn tấn công vét cạn (brute-force) qua môi trường mạng.
Minh bạch chính sách lỗ hổng: Các đơn vị sản xuất phải công bố công khai chính sách quản lý lỗ hổng bảo mật, thiết lập kênh tiếp nhận báo cáo lỗi và cam kết cập nhật tiến độ khắc phục cho đến khi nguy cơ an ninh được xử lý triệt để.
Kiểm soát cập nhật phần mềm: Nhà sản xuất có trách nhiệm thông báo cho người dùng khi có phần mềm mới, áp dụng cơ chế mã hóa an toàn khi cài đặt và công bố rõ thời hạn bảo hành an ninh cho từng chủng loại máy.
Đóng các cổng dịch vụ thừa: Vô hiệu hóa hoàn toàn mọi giao diện logic và giao diện mạng không sử dụng. Ở trạng thái ban đầu, thiết bị phải che giấu tối đa các thông tin nhạy cảm trước khi người dùng đăng nhập thành công nhằm ngăn chặn hành vi tấn công qua giao diện.
Vận hành ổn định và xóa dữ liệu: Thiết bị phải có năng lực tự phục hồi sau sự cố, tích hợp tính năng xóa sạch hoàn toàn dữ liệu người dùng trực tiếp trên máy và có cơ chế xác thực chặt chẽ dữ liệu đầu vào.
Điểm cốt lõi và mang tính đột phá của quy chuẩn QCVN 11:2026/BCA nằm ở mục 2.11.5 thuộc danh mục bảo vệ dữ liệu.
Yêu cầu lưu trữ nội địa: Quy chuẩn bắt buộc các phần cứng camera IP phải tích hợp sẵn chức năng cho phép người dùng cấu hình lưu trữ dữ liệu ngay trên lãnh thổ Việt Nam.
Ý nghĩa chiến lược: Đây là lần đầu tiên một quy định kỹ thuật của Việt Nam áp đặt việc lưu trữ dữ liệu nội địa thành điều kiện bắt buộc đối với phần cứng camera, tạo bệ phóng kỹ thuật vững chắc để bảo vệ chủ quyền dữ liệu quốc gia.
Để thông tư được triển khai đồng bộ và hiệu quả, Bộ Công an đã phân định rõ vai trò của các đơn vị chuyên trách:
Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05): Chịu trách nhiệm chủ trì việc theo dõi, kiểm tra, giám sát và đôn đốc toàn diện quá trình thực hiện quy chuẩn trên thị trường.
Cục Khoa học, chiến lược và lịch sử Công an: Phụ trách công tác phổ biến nội dung quy chuẩn, chỉ định các phòng thí nghiệm (lab) hoặc tổ chức đủ năng lực đánh giá sự phù hợp, đồng thời định kỳ công bố danh sách các thiết bị camera đã đạt chứng nhận hợp quy.