Ngày 12/5/2026, Bộ trưởng Bộ Công an đã ban hành Thông tư số 48/2026/TT-BCA kèm theo Quy chuẩn kỹ thuật quốc gia về thiết bị camera giám sát sử dụng giao thức Internet - Các yêu cầu an ninh mạng cơ bản (QCVN 11:2026/BCA). Đây là văn bản pháp lý quan trọng nhằm nâng cao tiêu chuẩn an toàn kỹ thuật, khắc phục các lỗ hổng bảo mật và bảo vệ quyền riêng tư của người dùng trước các rủi ro trên không gian mạng.

1. Khái quát về văn bản và phạm vi điều chỉnh

Thông tư số 48/2026/TT-BCA quy định các yêu cầu kỹ thuật an ninh mạng cơ bản cho thiết bị camera giám sát sử dụng giao thức Internet được sản xuất, lưu hành tại thị trường Việt Nam. Quy chuẩn này được áp dụng bắt buộc cho các tổ chức, cá nhân Việt Nam và nước ngoài trên toàn lãnh thổ Việt Nam có hoạt động sản xuất, kinh doanh (bao gồm cả hoạt động nhập khẩu) các thiết bị camera thuộc phạm vi điều chỉnh của Quy chuẩn này.

2. Các nội dung, yêu cầu kỹ thuật trọng tâm

Nhằm bảo đảm an toàn thông tin và ngăn chặn triệt để nguy cơ thiết bị công nghệ bị lợi dụng, QCVN 11:2026/BCA đặt ra 11 nhóm yêu cầu kỹ thuật cốt lõi và nghiêm ngặt đối với các sản phẩm camera giám sát, cụ thể:

• Khởi tạo mật khẩu duy nhất: Mật khẩu thiết bị không được sử dụng ở trạng thái mặc định yếu, dễ đoán hoặc dùng chung; mật khẩu phải là duy nhất cho mỗi thiết bị hoặc do người dùng thiết lập. Cơ chế xác thực phải có khả năng ngăn chặn tấn công tự động và tấn công vét cạn qua giao diện mạng.
• Quản lý lỗ hổng bảo mật: Nhà sản xuất phải công bố chính sách lỗ hổng bảo mật rõ ràng, bao gồm thông tin liên hệ và thời gian xác nhận, xử lý báo cáo sự cố.
• Quản lý cập nhật: Thiết bị phải có cơ chế thông báo bản cập nhật, hỗ trợ cài đặt phần mềm an toàn, và có khả năng kiểm tra tính xác thực, tính toàn vẹn của từng bản cập nhật để tránh bị kẻ gian lợi dụng. Thiết bị camera cho phép người sử dụng tra cứu thông tin về mã, chủng loại sản phẩm thiết bị thông qua nhãn dán trên thiết bị hoặc qua giao diện vật lý.
• Lưu trữ các tham số an toàn nhạy cảm: Các tham số nhạy cảm (như mật khẩu, thông tin định danh, khóa mật mã) phải được lưu trữ an toàn trên bộ nhớ của thiết bị camera, có biện pháp bảo vệ chống lại sự thay đổi bởi các yếu tố vật lý, điện tử hoặc phần mềm.
• Quản lý kênh giao tiếp an toàn: Thiết bị phải sử dụng các mật mã an toàn để thiết lập kênh giao tiếp, đồng thời bảo đảm tính bảo mật của các tham số an toàn quan trọng khi truyền qua môi trường mạng. Nhà sản xuất tuân thủ các quy trình quản lý các tham số an toàn quan trọng liên quan đến thiết bị camera.
• Phòng chống tấn công thông qua các giao diện của thiết bị: Tất cả các giao diện mạng và logic của thiết bị camera không sử dụng, cũng như các giao diện gỡ lỗi (debug) có thể truy cập được ở mức vật lý đều phải được vô hiệu hóa bằng phần mềm. Khi ở trạng thái hoạt động ban đầu, giao diện mạng của thiết bị camera phải giảm thiểu việc tiết lộ các thông tin liên quan đến an toàn khi quá trình xác thực chưa cho kết quả thành công.
• Bảo vệ dữ liệu người sử dụng: Dữ liệu cá nhân nhạy cảm được trao đổi giữa thiết bị camera và các dịch vụ liên kết được bảo vệ bằng cách ứng dụng, các mật mã an toàn phù hợp với mục đích sử dụng và đặc tính công nghệ. Ngoài ra, tất cả các chức năng cảm biến bên ngoài của thiết bị camera yêu cầu phải được mô tả đầy đủ và rõ ràng cho người sử dụng.
• Khả năng tự khôi phục lại hoạt động bình thường sau sự cố: Thiết bị camera phải có cơ chế khôi phục lại hoạt động bình thường và kết nối mạng theo trình tự, ổn định sau khi xảy ra sự cố mất điện hoặc mất kết nối mạng.
• Xóa dữ liệu trên thiết bị camera: Thiết bị phải có chức năng cho phép xóa dữ liệu của người sử dụng ngay trên thiết bị.
•  Xác thực dữ liệu đầu vào: Thiết bị phải xác thực mọi dữ liệu đầu vào từ giao diện người sử dụng, hoặc được truyền qua các giao diện lập trình ứng dụng hoặc giữa các dịch vụ và thiết bị.
•  Bảo vệ dữ liệu trên thiết bị camera: Nhà sản xuất phải cung cấp thông tin minh bạch về mục đích, cách thức thu thập, xử lý và lưu trữ dữ liệu cá nhân được thu thập và xử lý bởi thiết bị camera, dịch vụ liên kết hoặc bên thứ ba (nếu có). Thiết bị phải có chức năng cho phép người dùng xác nhận hoặc thu hồi sự đồng ý thu thập dữ liệu cá nhân. Dữ liệu đo đạc từ xa được thu thập từ thiết bị camera được mô tả đầy đủ về mục đích, đối tượng thu thập và nơi lưu trữ. và đặc biệt phải có chức năng cho phép thiết lập cấu hình để lưu trữ dữ liệu tại Việt Nam.

3. Quy định về quản lý và công bố hợp quy

Các thiết bị camera giám sát có mức độ rủi ro trung bình và rủi ro cao (thuộc phạm vi điều chỉnh của Quy chuẩn) bắt buộc phải thực hiện công bố hợp quy và gắn dấu hợp quy (dấu CR) trước khi lưu thông trên thị trường. Quy trình công bố hợp quy được phân loại cụ thể theo mức độ rủi ro như sau:

- Đối với thiết bị camera có mức độ rủi ro trung bình:

Căn cứ công bố: Dựa trên kết quả tự đánh giá của tổ chức, cá nhân.

Cơ sở đánh giá: Trên cơ sở kết quả thử nghiệm của tổ chức thử nghiệm được chỉ định theo quy định pháp luật; hoặc kết quả đánh giá sự phù hợp của tổ chức quốc tế, khu vực, nước ngoài được thừa nhận.

- Đối với thiết bị camera có mức độ rủi ro cao:

Căn cứ công bố: Dựa trên kết quả chứng nhận hợp quy của tổ chức chứng nhận được chỉ định theo quy định của pháp luật.

Phương thức chứng nhận: Được thực hiện theo một trong hai phương thức: Phương thức 5, Phương thức 7.

- Quy định về sử dụng dấu hợp quy: Việc gắn và sử dụng dấu hợp quy (dấu CR) phải tuân thủ nghiêm ngặt theo các quy định của pháp luật hiện hành về công bố hợp quy.

4. Thời gian thi hành và trách nhiệm của các cơ quan, tổ chức

Thông tư số 48/2026/TT-BCA chính thức có hiệu lực thi hành kể từ ngày 01/07/2026 và thay thế Thông tư số 21/2024/TT-BTTTT ngày 31/12/2024 của Bộ trưởng Bộ Thông tin và Truyền thông (nay thuộc Bộ Khoa học và Công nghệ) ban hành Quy chuẩn kỹ thuật quốc gia về thiết bị camera giám sát sử dụng giao thức Internet - Các yêu cầu an toàn thông tin cơ bản (QCVN 135:2024/BTTTT).

Về trách nhiệm, các tổ chức, doanh nghiệp sản xuất, nhập khẩu và kinh doanh phải bảo đảm sản phẩm đáp ứng quy chuẩn kỹ thuật và hoàn thành công bố hợp quy (đối với sản phẩm có mức độ rủi ro trung bình và cao) trước khi lưu thông trên thị trường. Về phía cơ quan quản lý, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an) có trách nhiệm theo dõi, kiểm tra, đôn đốc việc thực hiện. Phối hợp cùng đó, Cục Khoa học, chiến lược và lịch sử Công an chịu trách nhiệm tổ chức phổ biến Quy chuẩn và chỉ định các tổ chức đánh giá sự phù hợp với Quy chuẩn này định kỳ; định kỳ cập nhật, chia sẻ danh sách các tổ chức, thiết bị đã hoàn thành công bố hợp quy để phục vụ công tác quản lý.

5. Ý nghĩa và tác động thực tiễn

Việc chuyển giao thẩm quyền ban hành và quản lý quy chuẩn an ninh mạng đối với camera giám sát sang Bộ Công an cho thấy yêu cầu bảo đảm an toàn thông tin đối với các thiết bị IoT đang được Nhà nước đặt ở mức độ ưu tiên rất cao.

Trong bối cảnh nhiều vụ việc rò rỉ dữ liệu nhạy cảm từ camera cá nhân và nơi công cộng, QCVN 11:2026/BCA được kỳ vọng sẽ thiết lập “màng lọc” hiệu quả, loại bỏ các sản phẩm kém chất lượng, giá rẻ nhưng mang nhiều lỗ hổng bảo mật. Thông tư không chỉ tạo cơ sở pháp lý vững chắc để siết chặt quản lý thị trường thiết bị công nghệ mà còn trực tiếp bảo vệ quyền riêng tư, an toàn của người dân và tổ chức, từ đó góp phần giữ vững an ninh mạng và trật tự an toàn xã hội trong kỷ nguyên số.

Văn bản đính kèm: Thông tư số 48/2026/TT-BCA.

Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao