Từ 1/7, camera IP chịu sự quản lý trực tiếp của Bộ Công an: Các tổ chức và cá nhân cần lưu ý rà soát

Vừa qua, Bộ trưởng Bộ Công an Lương Tam Quang đã ký ban hành Thông tư số 48/2026/TT-BCA kèm theo Quy chuẩn kỹ thuật quốc gia QCVN 11:2026/BCA về thiết bị camera giám sát sử dụng giao thức Internet và các yêu cầu an ninh mạng cơ bản.

Theo quy định mới, camera IP chính thức trở thành nhóm sản phẩm chịu sự quản lý trực tiếp của Bộ Công an với 11 nhóm yêu cầu kỹ thuật bắt buộc, có hiệu lực từ ngày 1/7/2026.

QCVN 11:2026/BCA được xây dựng dựa trên tiêu chuẩn quốc tế ETSI EN 303 645 phiên bản 2.1.1 ban hành năm 2020 của châu Âu về an ninh mạng đối với thiết bị Internet vạn vật tiêu dùng, đồng thời kết hợp tiêu chuẩn ETSI TS 103 701 phiên bản 1.1.1 năm 2021 liên quan phương pháp đánh giá sự phù hợp.

Trong đó, nhóm yêu cầu đầu tiên và được ưu tiên hàng đầu là quy định về khởi tạo mật khẩu duy nhất, gồm 5 tiêu chí cụ thể. Theo quy chuẩn, mật khẩu của camera IP ở mọi trạng thái hoạt động, ngoại trừ trạng thái mặc định xuất xưởng, phải là mật khẩu riêng cho từng thiết bị hoặc do người dùng chủ động thiết lập. Trường hợp mật khẩu được cài đặt sẵn bởi nhà sản xuất, cơ chế tạo mật khẩu phải có khả năng chống lại các cuộc tấn công tự động, đồng thời cơ chế xác thực phải đủ năng lực ngăn chặn hành vi tấn công vét cạn thông qua giao diện mạng.

Nhóm yêu cầu thứ hai quy định nhà sản xuất phải công khai chính sách quản lý lỗ hổng bảo mật. Chính sách này cần nêu rõ thông tin liên hệ tiếp nhận báo cáo lỗ hổng, cam kết xác nhận việc tiếp nhận phản ánh và thường xuyên cập nhật tiến độ xử lý cho đến khi lỗ hổng được khắc phục hoàn toàn.

Đối với nhóm quản lý cập nhật phần mềm, quy chuẩn đưa ra 7 yêu cầu bắt buộc. Theo đó, nhà sản xuất phải thông báo tới người dùng khi có bản cập nhật mới, áp dụng cơ chế mã hóa an toàn trong quá trình cài đặt, công bố thời hạn hỗ trợ bảo hành theo từng dòng thiết bị và cho phép người dùng tra cứu thông tin về mã sản phẩm, chủng loại thiết bị thông qua nhãn dán hoặc giao diện vật lý trực tiếp trên camera.

Bốn nhóm yêu cầu tiếp theo bao gồm lưu trữ tham số an toàn nhạy cảm, quản lý kênh giao tiếp an toàn, phòng chống tấn công qua giao diện thiết bị và bảo vệ dữ liệu người dùng. Quy chuẩn nêu rõ mọi giao diện mạng và giao diện logic không sử dụng trên camera phải được vô hiệu hóa. Trong trạng thái hoạt động ban đầu, giao diện mạng của thiết bị phải hạn chế tối đa việc để lộ các thông tin liên quan đến an ninh trước khi xác thực thành công.

Ba nhóm yêu cầu còn lại gồm khả năng tự khôi phục sau sự cố, xóa dữ liệu người dùng trên thiết bị và xác thực dữ liệu đầu vào, tạo thành bộ tiêu chuẩn kỹ thuật được đánh giá là toàn diện nhất từ trước đến nay đối với camera IP tại Việt Nam.

Đáng chú ý, trong nhóm yêu cầu bảo vệ dữ liệu trên thiết bị camera, nội dung tại mục 2.11.5 quy định camera phải có chức năng cho phép cấu hình lưu trữ dữ liệu tại Việt Nam. Quy định này đi kèm với các yêu cầu bắt buộc khác như nhà sản xuất phải cung cấp đầy đủ thông tin liên quan mục đích, phương thức thu thập, xử lý và lưu trữ dữ liệu cá nhân; thiết bị phải hỗ trợ người dùng xác nhận hoặc thu hồi sự đồng ý đối với việc xử lý dữ liệu cá nhân; đồng thời dữ liệu đo đạc từ xa cần được mô tả rõ mục đích sử dụng, đối tượng thu thập và vị trí lưu trữ.

Đây cũng là lần đầu tiên một quy chuẩn kỹ thuật tại Việt Nam đưa yêu cầu lưu trữ dữ liệu trong nước vào nhóm quy định kỹ thuật bắt buộc áp dụng đối với thiết bị phần cứng camera IP, qua đó tạo nền tảng kỹ thuật phục vụ việc triển khai các quy định liên quan chủ quyền dữ liệu theo các văn bản pháp luật hiện hành.

Theo quy chuẩn, dữ liệu cá nhân nhạy cảm được trao đổi giữa camera và các dịch vụ liên kết phải được bảo vệ bằng cơ chế mã hóa phù hợp với mục đích sử dụng và đặc tính công nghệ. Bên cạnh đó, toàn bộ chức năng cảm biến bên ngoài của thiết bị cũng phải được mô tả đầy đủ, rõ ràng để người dùng nắm được thông tin.

QCVN 11:2026/BCA áp dụng đối với mọi tổ chức, cá nhân trong và ngoài nước hoạt động sản xuất, kinh doanh, bao gồm cả nhập khẩu các thiết bị camera thuộc phạm vi điều chỉnh trên lãnh thổ Việt Nam. Điều này đồng nghĩa toàn bộ doanh nghiệp phân phối camera IP tại Việt Nam, bao gồm các thương hiệu lớn đến từ Trung Quốc, Hàn Quốc, Nhật Bản và nhiều quốc gia khác, đều phải rà soát sản phẩm theo 11 nhóm yêu cầu kỹ thuật bắt buộc của quy chuẩn mới.

Theo phân công, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao là đơn vị trực tiếp theo dõi, kiểm tra và đôn đốc việc thực hiện Thông tư. Trong khi đó, Cục Khoa học, chiến lược và lịch sử Công an chịu trách nhiệm phổ biến quy chuẩn, chỉ định tổ chức đánh giá sự phù hợp và định kỳ cập nhật danh sách các thiết bị đã công bố hợp quy nhằm phục vụ công tác quản lý.