Tóm tắt nội dung 

Có hiệu lực từ ngày 01/07/2026, Bộ Công an sẽ bắt đầu thực thi nghiêm ngặt QCVN 11:2026/BCA (quy chuẩn về camera giám sát IP) và QCVN 12:2026/BCA (quy chuẩn về hệ thống lưu trữ tài liệu điện tử). Mặc dù hai khung pháp lý này nhắm vào các lớp hạ tầng công nghệ khác nhau, chúng lại có mối liên kết chặt chẽ về mặt thương mại. 

Dù QCVN 12 chính thức áp dụng cho các hệ thống thông tin trong các tổ chức thuộc khu vực công, việc thực thi quy chuẩn này sẽ tạo ra một yêu cầu gia nhập thị trường thực tế (de facto) đối với khu vực tư nhân. Hệ quả là, các doanh nghiệp thương mại tham gia đấu thầu công, mua sắm công, hoặc đóng vai trò là nhà thầu phụ cho các cơ quan nhà nước hiện nay bắt buộc phải chứng minh sự tuân thủ đầy đủ các tiêu chuẩn an ninh này. Sự thay đổi này biến việc tuân thủ các giao thức bảo mật trở thành một “cổng kỹ thuật” bắt buộc đối với bất kỳ doanh nghiệp nào muốn cung cấp dịch vụ qua các kênh do nhà nước quản lý. 

Các điểm mấu chốt cần lưu ý 

• Rào cản gia nhập thị trường khắt khe hơn: Việc tuân thủ không còn là một lựa chọn “khuyến khích thực hiện” mà là điều kiện tiên quyết để tham gia thị trường. Sau thời hạn quy định, việc không tuân thủ sẽ dẫn đến việc bị tước quyền tham gia thầu công ngay lập tức và có thể khiến các lô hàng phần cứng hưa được chứng nhận bị tạm giữ tại cửa khẩu. Hơn nữa, các doanh nghiệp không đáp ứng được các tiêu chuẩn định chế này còn đối mặt với rủi ro ghiêm trọng về trách nhiệm vi phạm hợp đồng từ phía các khách hàng doanh nghiệp – những đơn vị vốn yêu cầu hạ tầng đã được chứng nhận để phục vụ cho hoạt động kinh doanh bị quản lý của chính họ. 

• Sự thay đổi về trách nhiệm pháp lý đối với thiết bị đầu cuối: Nghĩa vụ pháp lý về “bảo mật thiết bị đầu cuối” (endpoint security) – tức là việc bảo vệ các thiết bị riêng lẻ kết nối với mạng – đã được chuyển trực tiếp sang nhà sản xuất và đơn vị nhập khẩu. Quy định này loại bỏ khả năng tồn tại thương mại của các loại phần cứng thông thường hoặc không được cập nhật bản vá, vì các bên liên quan hiện nay phải chịu trách nhiệm trực tiếp trước pháp luật về tính toàn vẹn của thiết bị, đồng thời phải cung cấp thông tin xác thực mã hóa riêng biệt và hỗ trợ kỹ thuật xuyên suốt vòng đời sản phẩm. 

• Sự thu hẹp của chuỗi cung ứng B2G: Phân khúc “Doanh nghiệp tới Chính phủ” (B2G), bao gồm cả các dịch vụ cung cấp cho các đơn vị chịu sự quản lý của nhà nước như ngân hàng thương mại, đang đối mặt với sự thu hẹp đột ngột. Các nhà cung cấp phần mềm tư nhân, dịch vụ đám mây và trung tâm dữ liệu sẽ bị loại trừ nếu hạ tầng nền tảng của họ sử dụng mạng sao lưu đám mây đặt tại nước ngoài. Theo quy định mới về lưu trữ dữ liệu trong nước (onshore hosting), tất cả các trung tâm dữ liệu chính và dự phòng phải được đặt vật lý trên lãnh thổ Việt Nam để duy trì đủ điều kiện ký kết các hợp đồng được quản lý. 

• Bắt buộc thực thi ngay từ “ngày đầu tiên”: Trong khi các cấu trúc hạ tầng cũ của nhà nước có thể được chuyển đổi dần dần theo các quy hoạch tổng thể quốc gia, thì khu vực tư nhân không có sự ưu ái này. Tất cả các lắp đặt mới của khu vực tư nhân dành cho các dự án công hoặc các kênh B2G phải đạt được sự tuân thủ đầy đủ ngay từ ngày đầu tiên quy định có hiệu lực. Điều này đòi hỏi các doanh nghiệp phải tiến hành rà soát ngay lập tức các gói thầu hiện tại và chuỗi cung ứng phần cứng để đảm bảo đáp ứng các tiêu chuẩn áp dụng từ ngày 01/07/2026. 

Thông tin chi tiết 

1. Camera giámsát IP (QCVN 11:2026/BCA) 

QCVN 11 chuyển nghĩa vụ bảo mật thiết bị đầu cuối trực tiếp sang các nhà sản xuất và đơn vị nhập khẩu. Quy chuẩn này nhắm vào các lỗ hổng phần cứng thông qua một số yêu cầu bắt buộc nghiêm ngặt: 

• Loại bỏ mật khẩu mặc định: Nghiêm cấm sử dụng các mật khẩu chung do nhà máy thiết lập. Thiết bị phải có thông tin xác thực mã hóa riêng biệt được thiết lập cứng cho từng đơn vị sản phẩm, hoặc phải chạy quy trình thiết lập ban đầu bắt buộc để buộc người dùng tạo mật khẩu mạnh và tùy chỉnh. 

• Hỗ trợ vòng đời và xử lý lỗ hổng: Doanh nghiệp phải duy trì Chính sách Công bố Lỗ hổng bảo mật minh bạch và cung cấp các bản vá phần mềm an toàn, được ký số trong suốt khoảng thời gian hỗ trợ theo quy định. 

• Chủ quyền dữ liệu và tính minh bạch: Phần mềm (firmware) của camera phải hỗ trợ mặc định việc định tuyến lưu trữ nội địa, đảm bảo tất cả luồng dữ liệu vẫn nằm trong lãnh thổ Việt Nam. Tài liệu kỹ thuật cũng phải cung cấp các nội dung công bố có tính ràng buộc pháp lý về tính minh bạch của cảm biến – chi tiết chính xác cách thức dữ liệu âm thanh, hình ảnh và sinh trắc học được thu thập, xử lý và truyền đi. 

Trường hợp minh họa  

Trên thực tế, một đơn vị phân phối đấu thầu cung cấp 5.000 camera thông minh cho dự án giao thông đô thị sẽ bị tước quyền thầu và bị hải quan từ chối nhập hàng sau ngày 01/07/2026, nếu phần cứng đó vẫn sử dụng hệ thống mật khẩu gốc (master-password) để thiết lập hàng loạt hoặc tự động truyền dữ liệu thô về máy chủ đám mây đặt tại nước ngoài. 

2. Lưu trữ tài liệu điện tử (QCVN 12:2026/BCA) 

QCVN 12 áp dụng các yêu cầu hạ tầng khắt khe nhằm bảo vệ chủ quyền dữ liệu và tính toàn vẹn về mặt chứng cứ của các bản ghi điện tử. Trụ cột cốt lõi của khung pháp lý này là việc bắt buộc áp dụng các cấu trúc bảo mật, cách ly và dự phòng dữ liệu theo tiêu chuẩn. 

Lời khuyên dành cho các doanh nghiệp 

Để bảo vệ quyền tiếp cận thị trường và cách ly lợi ích của doanh nghiệp khỏi các nguy cơ bị loại khỏi thầu, hội đồng quản trị và đội ngũ lãnh đạo kỹ thuật nên triển khai ngay các biện pháp sau: