Quy định mới về sử dụng camera từ ngày 1/7, tất cả người dân cần biết
Tất cả doanh nghiệp, người dân cần rà soát và kịp thời thay thế, nâng cấp thiết bị camera không đáp ứng quy chuẩn theo quy định mới.
Tất cả doanh nghiệp, người dân cần rà soát lại hệ thống camera đang sử dụng
Ngày 12/5/2026, Bộ Công an ban hành Thông tư số 48 quy định Quy chuẩn kỹ thuật quốc gia về thiết bị camera giám sát sử dụng giao thức Internet. Thông tư chính thức có hiệu lực từ ngày 1/7/2026.
Theo quy định mới, tất cả các thiết bị camera giám sát kết nối Internet được sản xuất, kinh doanh, nhập khẩu và sử dụng tại Việt Nam bắt buộc phải đáp ứng các yêu cầu kỹ thuật về an ninh mạng theo quy chuẩn QCVN 11:2026/BCA.
Quy chuẩn này nhằm bảo đảm an toàn thông tin ngay từ khâu thiết kế, sản xuất và cung cấp thiết bị; góp phần ngăn chặn nguy cơ bị xâm nhập, chiếm quyền điều khiển, đánh cắp dữ liệu hoặc theo dõi trái phép qua hệ thống camera.
Trong bối cảnh hiện nay, nhiều thiết bị camera không rõ nguồn gốc, giá rẻ tồn tại lỗ hổng bảo mật, tiềm ẩn nguy cơ mất an toàn thông tin, việc triển khai Thông tư số 48 có ý nghĩa quan trọng trong việc bảo vệ dữ liệu cá nhân, bảo đảm an ninh mạng và phòng ngừa các hành vi vi phạm pháp luật.
Các cơ quan, doanh nghiệp và người dân cần chủ động kiểm tra, rà soát hệ thống camera đang sử dụng; kịp thời thay thế, nâng cấp thiết bị không đáp ứng quy chuẩn theo quy định.
Khuyến cáo của cơ quan công an
Công an tỉnh Ninh Bình nhấn mạnh việc thực hiện nghiêm Thông tư số 48, đặc biệt lưu ý mốc thời gian ngày 1/7/2026, là trách nhiệm của các cơ quan, tổ chức, doanh nghiệp và mỗi người dân, góp phần bảo đảm an ninh mạng, bảo vệ dữ liệu cá nhân và giữ vững an ninh, trật tự trên địa bàn.
Qua đây, cơ quan công an khuyến cáo tới toàn bộ người dân khi lựa chọn, sử dụng sử dụng thiết bị camera như sau:
11 nhóm yêu cầu kỹ thuật bắt buộc theo quy chuẩn mới
Quy chuẩn kỹ thuật quốc gia QCVN 11:2026/BCA xây dựng 11 nhóm yêu cầu kỹ thuật bắt buộc, lấy chuẩn quốc tế ETSI EN 303 645 phiên bản 2.1.1 (năm 2020) của châu Âu về an ninh mạng cho thiết bị Internet of Things tiêu dùng làm tài liệu viện dẫn chủ đạo, kết hợp với ETSI TS 103 701 phiên bản 1.1.1 (năm 2021) về phương pháp đánh giá sự phù hợp.
Nhóm yêu cầu đầu tiên và được đặt hàng đầu trong quy chuẩn là khởi tạo mật khẩu duy nhất, gồm 5 yêu cầu cụ thể. Theo đó, mật khẩu camera IP trong bất kỳ trạng thái hoạt động nào, trừ trạng thái mặc định xuất xưởng, phải là duy nhất cho từng thiết bị hoặc do người dùng tự thiết lập. Mật khẩu được cài sẵn bởi nhà sản xuất phải được tạo ra bằng cơ chế có khả năng phòng chống các cuộc tấn công tự động, và cơ chế xác thực phải có khả năng ngăn chặn tấn công vét cạn qua các giao diện mạng.
Nhóm thứ hai yêu cầu nhà sản xuất công bố chính sách quản lý lỗ hổng bảo mật, trong đó phải ghi rõ thông tin liên hệ để nhận báo cáo lỗ hổng, cam kết xác nhận ban đầu về việc nhận được báo cáo và cập nhật liên tục trạng thái xử lý cho đến khi lỗ hổng được vá hoàn toàn.
Nhóm quản lý cập nhật gồm 7 yêu cầu đặt ra cho nhà sản xuất nghĩa vụ phải thông báo cho người dùng khi có bản cập nhật phần mềm, sử dụng mã hóa an toàn trong quá trình cài đặt, có chính sách quy định thời hạn hỗ trợ bảo hành cụ thể theo từng chủng loại thiết bị và cho phép người dùng tra cứu thông tin mã, chủng loại sản phẩm thông qua nhãn dán hoặc giao diện vật lý trực tiếp trên thiết bị.
Bốn nhóm tiếp theo bao gồm lưu trữ tham số an toàn nhạy cảm, quản lý kênh giao tiếp an toàn, phòng chống tấn công thông qua giao diện thiết bị và bảo vệ dữ liệu người dùng. Đáng chú ý, quy chuẩn yêu cầu tất cả giao diện mạng và logic của camera không được sử dụng phải được vô hiệu hóa; khi ở trạng thái hoạt động ban đầu, giao diện mạng phải giảm thiểu việc tiết lộ thông tin liên quan đến an ninh trước khi quá trình xác thực cho kết quả thành công.
Ba nhóm còn lại gồm khả năng tự khôi phục sau sự cố, xóa dữ liệu người dùng trên thiết bị và xác thực dữ liệu đầu vào, hoàn thiện bộ khung kỹ thuật toàn diện nhất từ trước đến nay mà Việt Nam áp dụng cho camera IP.
Trong 5 yêu cầu thuộc nhóm bảo vệ dữ liệu trên thiết bị camera, yêu cầu 2.11.5 là điểm đáng được chú ý nhất từ góc độ chính sách dữ liệu. Quy chuẩn quy định thiết bị camera phải có chức năng cho phép thiết lập cấu hình để lưu trữ dữ liệu tại Việt Nam. Yêu cầu này gắn liền với 4 yêu cầu còn lại trong nhóm, trong đó nhà sản xuất phải cung cấp đầy đủ thông tin về mục đích, cách thức thu thập, xử lý và lưu trữ dữ liệu cá nhân; camera phải có chức năng xác nhận và thu hồi sự đồng ý của người dùng đối với việc xử lý dữ liệu cá nhân; dữ liệu đo đạc từ xa phải được mô tả đầy đủ về mục đích, đối tượng thu thập và nơi lưu trữ.
Đây là lần đầu tiên một quy chuẩn kỹ thuật tại Việt Nam đưa yêu cầu lưu trữ dữ liệu nội địa trực tiếp vào phần quy định kỹ thuật bắt buộc của thiết bị phần cứng camera IP, tạo cơ sở kỹ thuật để thực thi các quy định về chủ quyền dữ liệu mà các văn bản pháp luật cấp cao hơn đặt ra.
Dữ liệu cá nhân nhạy cảm trao đổi giữa camera và các dịch vụ liên kết phải được bảo vệ bằng mã hóa an toàn phù hợp với mục đích sử dụng và đặc tính công nghệ, đồng thời toàn bộ chức năng cảm biến bên ngoài của camera phải được mô tả đầy đủ, rõ ràng cho người dùng.