Đối tượng áp dụng mật mã dân sự là câu hỏi đầu tiên doanh nghiệp cần giải đáp trước khi triển khai bất kỳ hoạt động nào liên quan đến sản phẩm hoặc dịch vụ mật mã. Nghị định mật mã dân sự 2026 xác định rõ tại Điều 2 các nhóm chủ thể phải tuân thủ – và phạm vi này rộng hơn nhiều người nghĩ.
Từ doanh nghiệp Việt Nam kinh doanh sản phẩm mật mã, đến công ty nước ngoài nhập khẩu phần cứng bảo mật dùng nội bộ, tất cả đều cần biết mình có thuộc diện điều chỉnh không. Bài viết này phân tích đầy đủ 4 nhóm đối tượng áp dụng mật mã dân sự kèm ví dụ thực tế.
Nghị định mật mã dân sự 2026: 4 nhóm đối tượng bắt buộc tuân thủ
Theo Dự thảo Nghị định mật mã dân sự 2026 (thay thế NĐ 58/2016/NĐ-CP và NĐ 15/2020/NĐ-CP), quy định này áp dụng cho bốn nhóm chủ thể:
- Cơ quan, tổ chức chính trị – xã hội có sử dụng sản phẩm hoặc dịch vụ mật mã dân sự trong hoạt động (Điều 2, khoản 1).
- Tổ chức kinh tế, tổ chức xã hội và cá nhân Việt Nam tham gia kinh doanh, sử dụng hoặc cung ứng dịch vụ mật mã dân sự (Điều 2, khoản 2).
- Doanh nghiệp nước ngoài mật mã và cá nhân nước ngoài có hoạt động liên quan đến mật mã dân sự trên lãnh thổ Việt Nam (Điều 2, khoản 3).
- Người không xác định quốc tịch cư trú tại Việt Nam và có liên quan đến hoạt động mật mã dân sự (Điều 2, khoản 4).
Nghị định không phân biệt mục đích sử dụng để xác định đối tượng áp dụng – chỉ cần có hoạt động liên quan đến sản phẩm mật mã thuộc Phụ lục I hoặc dịch vụ mật mã trên lãnh thổ Việt Nam là đã thuộc phạm vi điều chỉnh.
Tổ chức kinh doanh mật mã và tổ chức sử dụng mật mã: trách nhiệm khác nhau ra sao?
Đây là sự phân biệt quan trọng: doanh nghiệp kinh doanh sản phẩm mật mã phải xin giấy phép kinh doanh mật mã dân sự và tuân thủ toàn bộ Điều 5–11. Tổ chức chỉ sử dụng sản phẩm mua từ đơn vị cấp phép không cần giấy phép riêng, nhưng phải bảo đảm nguồn gốc sản phẩm hợp pháp theo quy định hiện hành.
Doanh nghiệp nước ngoài tại Việt Nam có phải tuân thủ không?
Có. Theo Điều 2, khoản 3, mọi tổ chức nước ngoài có hoạt động mật mã dân sự tại Việt Nam đều thuộc đối tượng áp dụng. Điều này bao gồm:
- Công ty đa quốc gia nhập khẩu thiết bị mật mã dân sự như USB Token HSM, thiết bị VPN, thiết bị hội nghị để dùng nội bộ tại văn phòng Việt Nam.
- Nhà phân phối nước ngoài bán phần cứng bảo mật vào thị trường Việt Nam qua thương mại điện tử hoặc đại lý.
- Công ty công nghệ nước ngoài cung cấp dịch vụ mật mã (cloud signing, PKI as a Service) cho khách hàng tại Việt Nam.
Doanh nghiệp nước ngoài cần đặc biệt lưu ý khi nhập khẩu sản phẩm thuộc Phụ lục II Nghị định mật mã dân sự 2026, vốn yêu cầu giấy phép xuất nhập khẩu riêng. Việc không biết quy định không phải lý do được miễn trách nhiệm theo pháp luật hiện hành.
Những trường hợp dễ nhầm lẫn về đối tượng áp dụng mật mã dân sự
Nhiều tổ chức không biết mình thuộc đối tượng áp dụng, dẫn đến vi phạm không cố ý. Dưới đây là các tình huống cần lưu ý:
- Startup tích hợp thư viện mã hóa vào sản phẩm thương mại – nếu sản phẩm cuối thuộc danh mục Phụ lục I NĐ 2026, việc kinh doanh sản phẩm đó cần giấy phép theo quy định.
- Cá nhân hóa mật mã dân sự phát triển phần mềm mã hóa và bán cho khách hàng – đây là hoạt động kinh doanh cần đăng ký và xin phép (Điều 2, khoản 2).
- Doanh nghiệp nhập khẩu thiết bị mật mã dân sự như máy chủ hoặc VPN Gateway phục vụ nội bộ – cần kiểm tra xem thiết bị có thuộc Phụ lục I không để xác định nghĩa vụ pháp lý.
Câu hỏi thường gặp về đối tượng áp dụng mật mã dân sự
Doanh nghiệp nước ngoài bán sản phẩm mật mã dân sự vào Việt Nam có cần giấy phép không?
Có. Theo Điều 2, khoản 3, tổ chức nước ngoài có hoạt động kinh doanh sản phẩm mật mã dân sự tại Việt Nam đều thuộc đối tượng áp dụng. Việc bán thiết bị mật mã vào thị trường Việt Nam yêu cầu giấy phép kinh doanh mật mã dân sự theo đúng trình tự pháp lý.
Cá nhân dùng phần mềm mã hóa miễn phí có vi phạm quy định mật mã không?
Không, nếu chỉ sử dụng cá nhân và không kinh doanh. Nghị định chủ yếu điều chỉnh hoạt động kinh doanh và xuất nhập khẩu sản phẩm mật mã dân sự. Tuy nhiên, nếu triển khai sản phẩm cho khách hàng hoặc đối tác, cần bảo đảm sản phẩm có nguồn gốc hợp pháp từ đơn vị cấp phép.
Startup nhỏ có thuộc đối tượng áp dụng mật mã dân sự không?
Có, nếu sản phẩm của startup có tính năng mật mã thuộc Phụ lục I NĐ 2026. Quy mô doanh nghiệp không phải tiêu chí miễn trừ – tiêu chí quan trọng là bản chất hoạt động có liên quan đến tổ chức kinh doanh mật mã hay không (Điều 2, khoản 2).
Công ty nước ngoài cung cấp dịch vụ cloud có mã hóa cho khách Việt Nam cần tuân thủ gì?
Nếu dịch vụ cung cấp chức năng mật mã dân sự cho người dùng Việt Nam, công ty nước ngoài thuộc đối tượng áp dụng theo Điều 2, khoản 3. Cần đánh giá kỹ xem dịch vụ có thuộc định nghĩa dịch vụ mật mã dân sự trong Nghị định hay không trước khi triển khai.
Xác định đúng đối tượng áp dụng mật mã dân sự là bước đầu tiên để xây dựng lộ trình tuân thủ đúng hướng. Dù là doanh nghiệp Việt Nam, công ty nước ngoài hay cá nhân phát triển sản phẩm mật mã, hiểu rõ Điều 2 Nghị định mật mã dân sự 2026 giúp tránh rủi ro pháp lý không đáng có. Để được tư vấn chi tiết hơn, hãy liên hệ SmartSign qua hotline 19006276.
Bài viết này thuộc series #ThietBiMatMaDanSu – MMDS: Hướng dẫn lựa chọn và triển khai đúng chuẩn. Theo dõi mmds.vn để không bỏ lỡ các bài tiếp theo trong series về thiết bị mật mã dân sự.
