Từ ngày 1/7/2026, camera IP bán và lắp đặt tại Việt Nam bước vào một khung quản lý mới, chặt hơn và do Bộ Công an trực tiếp phụ trách. Với nhà thầu và chủ đầu tư đang chuẩn bị hồ sơ cho các dự án giám sát, việc chọn thiết bị không còn chỉ là bài toán độ phân giải hay giá — mà là bài toán tuân thủ. Bài viết tổng hợp hai trục quan trọng nhất hiện nay: quy chuẩn trong nước QCVN 11:2026/BCA và tiêu chí xuất xứ NDAA 889 (không thuộc danh sách hạn chế).
QCVN 11:2026/BCA là gì?
QCVN 11:2026/BCA là quy chuẩn kỹ thuật quốc gia về thiết bị camera giám sát sử dụng giao thức Internet — các yêu cầu an ninh mạng cơ bản, ban hành kèm Thông tư 48/2026/TT‑BCA và có hiệu lực từ 1/7/2026. Kể từ thời điểm này, quy chuẩn cũ QCVN 135:2024/BTTTT (do Bộ Thông tin và Truyền thông ban hành trước đây) hết hiệu lực.
Một điểm đáng chú ý về mặt định hướng: thẩm quyền quản lý camera IP được chuyển về Bộ Công an, cho thấy thiết bị giám sát kết nối Internet được nhìn nhận là sản phẩm liên quan trực tiếp đến an ninh quốc gia, chứ không còn là thiết bị viễn thông đầu cuối thông thường.
Quy chuẩn xây dựng 11 nhóm yêu cầu kỹ thuật bắt buộc, lấy bộ tiêu chuẩn quốc tế ETSI EN 303 645 (an ninh mạng cho thiết bị IoT tiêu dùng) và ETSI TS 103 701 (phương pháp đánh giá sự phù hợp) làm tài liệu viện dẫn chủ đạo.
Ai chịu tác động?
Phạm vi áp dụng rất rộng: mọi tổ chức, cá nhân trong và ngoài nước có hoạt động sản xuất, kinh doanh — bao gồm cả nhập khẩu — camera thuộc phạm vi điều chỉnh, trên toàn lãnh thổ Việt Nam. Nói cách khác, cả chuỗi cung ứng từ hãng sản xuất đến nhà phân phối đều phải đối chiếu sản phẩm với 11 nhóm yêu cầu trước khi đưa ra thị trường — bất kể thương hiệu đến từ đâu.
Các nhóm nội dung trọng tâm
Dù chi tiết cần tra cứu ở văn bản gốc, các nội dung quy chuẩn nhấn mạnh gồm:
- Bảo vệ dữ liệu trên thiết bị và mã hóa dữ liệu trao đổi giữa camera với các dịch vụ liên kết (ứng dụng di động, đám mây, API bên thứ ba).
- Cơ chế thu hồi sự đồng ý của người dùng đối với việc xử lý dữ liệu.
- Khả năng cấu hình lưu trữ dữ liệu tại Việt Nam — điểm gắn chặt với yêu cầu về dữ liệu cá nhân và chủ quyền dữ liệu.
- Quản lý lỗ hổng và cập nhật: nhà sản xuất phải công bố chính sách tiếp nhận, xử lý lỗ hổng; bản cập nhật firmware phải có cơ chế kiểm tra tính xác thực và toàn vẹn qua kết nối tin cậy.
- Xác thực, ghi nhật ký, chống can thiệp trái phép theo tinh thần ETSI EN 303 645.
Công bố hợp quy và tài liệu IXIT
Thiết bị camera thuộc nhóm rủi ro trung bình và rủi ro cao phải được công bố hợp quy theo quy chuẩn, dựa trên kết quả thử nghiệm tại tổ chức được chỉ định. Trong quá trình đánh giá, nhà sản xuất cung cấp tài liệu IXIT — một dạng bảng câu hỏi mô tả cách thiết bị đáp ứng từng mục tiêu an toàn. Với thiết bị nhập khẩu, nhà phân phối cần làm việc sớm với hãng để có IXIT và tài liệu kỹ thuật phù hợp trước thời điểm hiệu lực.
NDAA 889, FCC, EU và thiết bị không thuộc danh sách hạn chế
Song song với quy chuẩn trong nước, nhiều dự án — đặc biệt khối FDI Mỹ–Âu, ngân hàng, năng lượng và quốc phòng — yêu cầu thiết bị không thuộc danh sách hạn chế:
- NDAA 2019, Mục 889: loại trừ một số nhà sản xuất thiết bị giám sát khỏi hệ thống của cơ quan/chuỗi liên quan đến chính phủ Hoa Kỳ.
- FCC Covered List: danh sách thiết bị bị xem là rủi ro an ninh tại Mỹ.
- EU Sanctions: các biện pháp hạn chế của Liên minh châu Âu.
Thiết bị không thuộc danh sách hạn chế (non‑listed) là thiết bị không nằm trong các danh sách trên — chứ không đơn thuần dựa vào nhãn nơi sản xuất. Đây là khác biệt quan trọng khi lập hồ sơ: cần chứng minh bằng tài liệu của hãng, không chỉ bằng nhãn xuất xứ.
Lưu trữ dữ liệu tại Việt Nam
Yêu cầu cấu hình lưu trữ dữ liệu trong nước trong QCVN 11:2026/BCA không đứng riêng lẻ; nó đồng bộ với khung pháp luật mới về an ninh mạng và dữ liệu cá nhân. Với hệ thống cho khối nhà nước, khả năng giữ dữ liệu hình ảnh trong lãnh thổ và kiểm soát luồng kết nối ra ngoài là tiêu chí cần kiểm tra ngay từ khâu thiết kế.
Checklist chuẩn bị cho nhà thầu
- Rà soát danh mục thiết bị đang chào: lập bảng đối chiếu với 11 nhóm yêu cầu của QCVN 11:2026/BCA.
- Yêu cầu hãng cung cấp IXIT và hồ sơ hợp quy cho từng model.
- Thu thập chứng cứ non‑listed: tài liệu NDAA/FCC/EU của hãng cho đúng model.
- Kiểm tra khả năng lưu trữ nội địa và cấu hình kiểm soát kết nối.
- Chuẩn bị bảng so sánh đáp ứng yêu cầu kỹ thuật theo từng gói thầu — đưa vào hồ sơ dự thầu khi được yêu cầu.
- Bám mốc thời gian: làm sớm trước 1/7/2026 để tránh gián đoạn nguồn hàng.
Câu hỏi thường gặp
QCVN 11:2026/BCA thay thế quy chuẩn nào? Thay thế QCVN 135:2024/BTTTT kể từ khi Thông tư 48/2026/TT‑BCA có hiệu lực (1/7/2026).
Thiết bị nhập khẩu có phải tuân thủ không? Có. Phạm vi áp dụng bao gồm hoạt động nhập khẩu.
“Không thuộc danh sách hạn chế” và “đạt QCVN” có phải là một? Không. Đây là hai trục độc lập: một bên là xuất xứ/danh sách hạn chế (NDAA/FCC/EU), một bên là an ninh mạng theo quy chuẩn Việt Nam. Một dự án có thể yêu cầu cả hai.
Kết luận
Năm 2026 là bước ngoặt về tuân thủ cho thị trường camera giám sát Việt Nam. Nhà thầu chuẩn bị hồ sơ sớm — vừa đạt QCVN 11:2026/BCA, vừa chứng minh được xuất xứ non‑listed — sẽ rút ngắn thời gian xét thầu và giảm rủi ro bị loại vì lý do kỹ thuật.
Nguồn: ViLink
