Bộ Công an ban hành quy chuẩn camera IP an ninh mạng mới 2026

Ngày 12/5/2026, Bộ trưởng Bộ Công an Đại tướng Lương Tam Quang ký ban hành Thông tư số 48/2026/TT-BCA, kèm theo Quy chuẩn kỹ thuật quốc gia QCVN 11:2026/BCA về thiết bị camera giám sát sử dụng giao thức Internet, các yêu cầu an ninh mạng cơ bản. Camera IP trở thành sản phẩm chịu sự quản lý trực tiếp của Bộ Công an, với 11 nhóm yêu cầu kỹ thuật bắt buộc có hiệu lực từ ngày 1/7/2026.

Trước khi Thông tư 48/2026/TT-BCA ra đời, camera IP tại Việt Nam chịu sự điều chỉnh của QCVN 135:2024/BTTTT, quy chuẩn do Bộ Thông tin và Truyền thông ban hành theo Thông tư số 21/2024/TT-BTTTT ngày 31/12/2024, tập trung vào các yêu cầu an toàn thông tin cơ bản. Kể từ ngày 1/7/2026, toàn bộ quy chuẩn cũ đó hết hiệu lực và nhường chỗ cho QCVN 11:2026/BCA.

Quyết định giao quyền quản lý camera IP cho Bộ Công an thay vì tiếp tục để Bộ Thông tin và Truyền thông (nay là Bộ Khoa học và Công nghệ) phụ trách cho thấy Việt Nam xếp loại thiết bị giám sát kết nối Internet vào nhóm có liên quan trực tiếp đến an ninh quốc gia, thay vì được nhìn nhận như một sản phẩm thiết bị đầu cuối viễn thông thông thường. Quy chuẩn QCVN 11:2026/BCA ra đời trong bối cảnh Quy định pháp luật về an ninh mạng Việt Nam vừa được đổi mới toàn diện, cụ thể Luật An ninh mạng số 116/2025/QH15 và Nghị định số 22/2026/NĐ-CP ngày 16/01/2026 của Chính phủ.

Camera IP ngoài trời 360 độ do Dahua Technology (Trung Quốc) sản xuất được bán nhiều tại Việt Nam.

Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao là đơn vị trực tiếp và chịu trách nhiệm theo dõi, kiểm tra, đôn đốc việc thực hiện Thông tư. Cục Khoa học, chiến lược và lịch sử Công an đảm nhận công tác phổ biến quy chuẩn, chỉ định tổ chức đánh giá sự phù hợp và định kỳ cập nhật danh sách thiết bị đã công bố hợp quy để phục vụ công tác quản lý.

11 nhóm yêu cầu kỹ thuật bắt buộc: Camera IP phải đáp ứng những gì?

QCVN 11:2026/BCA xây dựng 11 nhóm yêu cầu kỹ thuật bắt buộc, lấy chuẩn quốc tế ETSI EN 303 645 phiên bản 2.1.1 (năm 2020) của châu Âu về an ninh mạng cho thiết bị Internet of Things tiêu dùng làm tài liệu viện dẫn chủ đạo, kết hợp với ETSI TS 103 701 phiên bản 1.1.1 (năm 2021) về phương pháp đánh giá sự phù hợp.

Nhóm yêu cầu đầu tiên và được đặt hàng đầu trong quy chuẩn là khởi tạo mật khẩu duy nhất, gồm 5 yêu cầu cụ thể. Theo đó, mật khẩu camera IP trong bất kỳ trạng thái hoạt động nào, trừ trạng thái mặc định xuất xưởng, phải là duy nhất cho từng thiết bị hoặc do người dùng tự thiết lập. Mật khẩu được cài sẵn bởi nhà sản xuất phải được tạo ra bằng cơ chế có khả năng phòng chống các cuộc tấn công tự động, và cơ chế xác thực phải có khả năng ngăn chặn tấn công vét cạn qua các giao diện mạng.

Nhóm thứ hai yêu cầu nhà sản xuất công bố chính sách quản lý lỗ hổng bảo mật, trong đó phải ghi rõ thông tin liên hệ để nhận báo cáo lỗ hổng, cam kết xác nhận ban đầu về việc nhận được báo cáo và cập nhật liên tục trạng thái xử lý cho đến khi lỗ hổng được vá hoàn toàn.

Nhóm quản lý cập nhật gồm 7 yêu cầu đặt ra cho nhà sản xuất nghĩa vụ phải thông báo cho người dùng khi có bản cập nhật phần mềm, sử dụng mã hóa an toàn trong quá trình cài đặt, có chính sách quy định thời hạn hỗ trợ bảo hành cụ thể theo từng chủng loại thiết bị và cho phép người dùng tra cứu thông tin mã, chủng loại sản phẩm thông qua nhãn dán hoặc giao diện vật lý trực tiếp trên thiết bị.

Bốn nhóm tiếp theo bao gồm lưu trữ tham số an toàn nhạy cảm (4 yêu cầu), quản lý kênh giao tiếp an toàn (4 yêu cầu), phòng chống tấn công thông qua giao diện thiết bị (3 yêu cầu) và bảo vệ dữ liệu người dùng (2 yêu cầu). Đáng chú ý, quy chuẩn yêu cầu tất cả giao diện mạng và logic của camera không được sử dụng phải được vô hiệu hóa; khi ở trạng thái hoạt động ban đầu, giao diện mạng phải giảm thiểu việc tiết lộ thông tin liên quan đến an ninh trước khi quá trình xác thực cho kết quả thành công.

Ba nhóm còn lại gồm khả năng tự khôi phục sau sự cố (3 yêu cầu), xóa dữ liệu người dùng trên thiết bị (1 yêu cầu) và xác thực dữ liệu đầu vào (1 yêu cầu), hoàn thiện bộ khung kỹ thuật toàn diện nhất từ trước đến nay mà Việt Nam áp dụng cho camera IP.

Yêu cầu lưu trữ dữ liệu tại Việt Nam

Trong 5 yêu cầu thuộc nhóm bảo vệ dữ liệu trên thiết bị camera, yêu cầu 2.11.5 là điểm đáng được chú ý nhất từ góc độ chính sách dữ liệu. Quy chuẩn quy định thiết bị camera phải có chức năng cho phép thiết lập cấu hình để lưu trữ dữ liệu tại Việt Nam. Yêu cầu này gắn liền với 4 yêu cầu còn lại trong nhóm, trong đó nhà sản xuất phải cung cấp đầy đủ thông tin về mục đích, cách thức thu thập, xử lý và lưu trữ dữ liệu cá nhân; camera phải có chức năng xác nhận và thu hồi sự đồng ý của người dùng đối với việc xử lý dữ liệu cá nhân; dữ liệu đo đạc từ xa phải được mô tả đầy đủ về mục đích, đối tượng thu thập và nơi lưu trữ.

Synology ra mắt bộ đôi camera tích hợp AI BC510 và TC510 tại Việt Nam

Đây là lần đầu tiên một quy chuẩn kỹ thuật tại Việt Nam đưa yêu cầu lưu trữ dữ liệu nội địa trực tiếp vào phần quy định kỹ thuật bắt buộc của thiết bị phần cứng camera IP, tạo cơ sở kỹ thuật để thực thi các quy định về chủ quyền dữ liệu mà các văn bản pháp luật cấp cao hơn đặt ra.

Dữ liệu cá nhân nhạy cảm trao đổi giữa camera và các dịch vụ liên kết phải được bảo vệ bằng mã hóa an toàn phù hợp với mục đích sử dụng và đặc tính công nghệ, đồng thời toàn bộ chức năng cảm biến bên ngoài của camera phải được mô tả đầy đủ, rõ ràng cho người dùng.

QCVN 11:2026/BCA áp dụng cho tổ chức, cá nhân Việt Nam và nước ngoài trên toàn lãnh thổ Việt Nam có hoạt động sản xuất, kinh doanh, bao gồm cả hoạt động nhập khẩu, các thiết bị camera thuộc phạm vi điều chỉnh của quy chuẩn. Điều đó có nghĩa là toàn bộ nhà phân phối camera IP tại Việt Nam, bao gồm các thương hiệu lớn từ Trung Quốc, Hàn Quốc, Nhật Bản và các nước khác, đều phải đối chiếu sản phẩm của mình với 11 nhóm yêu cầu kỹ thuật này.

Việc công bố hợp quy đối với sản phẩm theo QCVN 11:2026/BCA sẽ được áp dụng cụ thể khi Bộ Công an ban hành Danh mục sản phẩm, hàng hóa có mức độ rủi ro trung bình và mức độ rủi ro cao thuộc trách nhiệm quản lý. Điều khoản này cho thấy cơ quan soạn thảo có tính toán về lộ trình, tránh gây gián đoạn thị trường ngay lập tức, đồng thời giữ quyền chủ động phân loại rủi ro theo thực tiễn.

Trong quá trình triển khai, mọi vướng mắc từ phía công an các đơn vị, địa phương, tổ chức, cá nhân có liên quan đều phải báo cáo về Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao để được hướng dẫn kịp thời.

Với thời điểm hiệu lực chỉ còn chưa đầy 7 tuần kể từ ngày ký ban hành, QCVN 11:2026/BCA buộc toàn bộ chuỗi cung ứng camera IP tại Việt Nam, từ nhà sản xuất, nhập khẩu đến nhà phân phối, phải khẩn trương rà soát, kiểm định và chuẩn bị hồ sơ kỹ thuật theo yêu cầu của quy chuẩn mới do Bộ Công an ban hành.