Từ ngày 1/7/2026, tất cả doanh nghiệp và người dân sử dụng camera giám sát kết nối Internet tại Việt Nam phải tuân thủ quy chuẩn kỹ thuật mới theo Thông tư số 48 của Bộ Công an. Quy định này nhằm tăng cường an ninh mạng, bảo vệ dữ liệu cá nhân và ngăn chặn các nguy cơ xâm nhập trái phép.
Thông tư 48 và Quy chuẩn QCVN 11:2026/BCA
Ngày 12/5/2026, Bộ Công an ban hành Thông tư số 48, kèm theo Quy chuẩn kỹ thuật quốc gia QCVN 11:2026/BCA về thiết bị camera giám sát sử dụng giao thức Internet. Thông tư có hiệu lực từ ngày 1/7/2026, áp dụng cho mọi thiết bị camera IP được sản xuất, kinh doanh, nhập khẩu và sử dụng tại Việt Nam. Mục tiêu là bảo đảm an toàn thông tin ngay từ khâu thiết kế, sản xuất, ngăn chặn nguy cơ bị chiếm quyền điều khiển, đánh cắp dữ liệu hoặc theo dõi trái phép.
Trong bối cảnh nhiều thiết bị camera giá rẻ, không rõ nguồn gốc tồn tại lỗ hổng bảo mật, việc thực thi quy chuẩn này có ý nghĩa quan trọng trong bảo vệ dữ liệu cá nhân và an ninh mạng. Các cơ quan, doanh nghiệp và người dân cần chủ động kiểm tra, rà soát hệ thống camera, kịp thời thay thế hoặc nâng cấp thiết bị không đáp ứng yêu cầu.
Khuyến cáo từ cơ quan công an
Công an tỉnh Ninh Bình nhấn mạnh việc thực hiện nghiêm Thông tư số 48 là trách nhiệm của mọi tổ chức, cá nhân, góp phần bảo đảm an ninh mạng, bảo vệ dữ liệu cá nhân và giữ vững an ninh trật tự. Cơ quan công an khuyến cáo người dân khi lựa chọn và sử dụng camera cần lưu ý các yêu cầu kỹ thuật bắt buộc theo quy chuẩn mới.
11 nhóm yêu cầu kỹ thuật bắt buộc
Quy chuẩn QCVN 11:2026/BCA xây dựng 11 nhóm yêu cầu kỹ thuật bắt buộc, dựa trên chuẩn quốc tế ETSI EN 303 645 (2020) và ETSI TS 103 701 (2021) về an ninh mạng cho thiết bị Internet of Things tiêu dùng.
Nhóm 1: Khởi tạo mật khẩu duy nhất - Mật khẩu camera IP phải là duy nhất cho từng thiết bị hoặc do người dùng tự thiết lập, không được sử dụng mật khẩu mặc định. Cơ chế tạo mật khẩu phải chống được tấn công tự động và tấn công vét cạn qua giao diện mạng.
Nhóm 2: Chính sách quản lý lỗ hổng bảo mật - Nhà sản xuất phải công bố thông tin liên hệ nhận báo cáo lỗ hổng, cam kết xác nhận và cập nhật trạng thái xử lý cho đến khi lỗ hổng được vá.
Nhóm 3: Quản lý cập nhật - Nhà sản xuất phải thông báo cho người dùng khi có bản cập nhật, sử dụng mã hóa an toàn, có chính sách bảo hành cụ thể và cho phép tra cứu thông tin sản phẩm qua nhãn dán hoặc giao diện vật lý.
Nhóm 4-7: Lưu trữ tham số an toàn, quản lý kênh giao tiếp, phòng chống tấn công qua giao diện, bảo vệ dữ liệu người dùng - Tất cả giao diện mạng và logic không sử dụng phải bị vô hiệu hóa; giao diện mạng ở trạng thái ban đầu phải hạn chế tiết lộ thông tin an ninh trước khi xác thực thành công.
Nhóm 8-11: Khả năng tự khôi phục, xóa dữ liệu người dùng, xác thực dữ liệu đầu vào - Hoàn thiện bộ khung kỹ thuật toàn diện cho camera IP tại Việt Nam.
Yêu cầu lưu trữ dữ liệu tại Việt Nam
Đáng chú ý, trong nhóm bảo vệ dữ liệu, quy chuẩn yêu cầu camera phải có chức năng cho phép thiết lập cấu hình lưu trữ dữ liệu tại Việt Nam (yêu cầu 2.11.5). Đây là lần đầu tiên một quy chuẩn kỹ thuật đưa yêu cầu lưu trữ nội địa vào quy định bắt buộc đối với thiết bị phần cứng camera IP, tạo cơ sở thực thi chủ quyền dữ liệu. Nhà sản xuất phải cung cấp thông tin về mục đích, cách thức thu thập, xử lý dữ liệu cá nhân; camera phải có chức năng xác nhận và thu hồi sự đồng ý của người dùng; dữ liệu đo đạc từ xa phải được mô tả đầy đủ. Dữ liệu cá nhân nhạy cảm trao đổi giữa camera và dịch vụ liên kết phải được mã hóa an toàn, và toàn bộ chức năng cảm biến bên ngoài phải được mô tả rõ ràng cho người dùng.
Việc tuân thủ quy định mới không chỉ là trách nhiệm pháp lý mà còn góp phần bảo vệ an toàn thông tin cho mỗi cá nhân và tổ chức. Doanh nghiệp và người dân cần nhanh chóng rà soát, nâng cấp hệ thống camera để đáp ứng yêu cầu trước thời điểm 1/7/2026.
