Trong bối cảnh an toàn thông tin trở thành yêu cầu bắt buộc đối với mọi tổ chức và doanh nghiệp, các sản phẩm sử dụng thuật toán mật mã chuyên dụng đang được Nhà nước quản lý chặt chẽ nhằm bảo đảm an ninh quốc gia.Điều này dẫn đến việc kinh doanh, nhập khẩu hoặc cung cấp dịch vụ liên quan đến mật mã dân sự không thể thực hiện như các sản phẩm CNTT thông thường, mà cần tuân thủ đúng quy trình và điều kiện pháp lý.

Bài viết dưới đây cung cấp cái nhìn toàn diện về giấy phép mật mã dân sự, bao gồm định nghĩa, các nhóm sản phẩm phải đăng ký, sản phẩm không thuộc diện quản lý và hướng dẫn chi tiết thủ tục xin cấp theo quy định mới nhất. Việc nắm rõ các quy định này giúp doanh nghiệp chủ động trong quá trình kinh doanh, tránh các rủi ro pháp lý và đảm bảo hoạt động diễn ra đúng pháp luật.

Giấy phép mật mã dân sự là gì và tại sao doanh nghiệp phải đăng ký?

Theo Luật An toàn thông tin mạng 2015, mật mã dân sự là kỹ thuật mật mã được sử dụng để bảo vệ thông tin không thuộc phạm vi bí mật nhà nước, bao gồm các thuật toán, thiết bị, phần mềm và hệ thống mã hóa dùng cho mục đích dân sự. Luật định nghĩa rất rõ rằng các sản phẩm mật mã dân sự là “tài liệu, trang thiết bị kỹ thuật và nghiệp vụ mật mã dùng để bảo vệ thông tin không thuộc phạm vi bí mật nhà nước”.

Việc kinh doanh sản phẩm mật mã dân sự là ngành nghề kinh doanh có điều kiện. Theo Điều 31 Nghị định 58/2016/NĐ-CP, doanh nghiệp chỉ được phép kinh doanh khi được Ban Cơ yếu Chính phủ cấp Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự.

Nghị định 211/2025/NĐ-CP (văn bản mới cập nhật danh mục và điều kiện) tiếp tục khẳng định nguyên tắc quản lý chặt chẽ các sản phẩm có khả năng mã hóa chuyên dụng để bảo đảm an toàn thông tin quốc gia.

Doanh nghiệp bắt buộc phải xin giấy phép khi:

• Kinh doanh, phân phối, bán lẻ bất kỳ sản phẩm nào thuộc Danh mục sản phẩm mật mã dân sự.
• Nhập khẩu thiết bị có chức năng mã hóa chuyên dụng.
• Cung cấp dịch vụ mật mã dân sự (điều ước pháp luật quy định rõ cả sản phẩm và dịch vụ đều phải xin phép).

Giấy phép này không thay thế giấy chứng nhận đăng ký doanh nghiệp, mà là điều kiện bổ sung để doanh nghiệp hoạt động hợp pháp trong lĩnh vực mật mã dân sự.

Theo thực tiễn giải thích trên Cổng dịch vụ công NACIS: "mọi tổ chức kinh doanh các sản phẩm trong Danh mục – bao gồm cả nhà phân phối thứ cấp – đều phải xin giấy phép"

Danh mục sản phẩm mật mã dân sự phải đăng ký

Danh mục dưới đây tổng hợp theo Nghị định 211/2025/NĐ-CP và mô tả chi tiết từ Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã (NACIS).

1. Sản phẩm phải đăng ký

a. Nhóm thiết bị phần cứng mật mã

Bao gồm các thiết bị có module xử lý mật mã chuyên dụng, không phải chỉ sử dụng AES/TLS phổ thông:

• Thiết bị mã hóa/giải mã thông tin chuyên dụng (Encryption/Decryption Appliance)
• Thiết bị bảo mật đường truyền, thiết bị VPN chuyên dụng có tích hợp thuật toán mật mã đặc thù
• Thiết bị HSM (Hardware Security Module)
• Thiết bị sinh khóa và quản lý khóa mật mã
• USB token chứa thuật toán mật mã đặc thù (không phải USB ký số thông thường)
• Thiết bị bảo mật Wi-Fi/VPN cấp doanh nghiệp có chức năng mã hóa phần cứng chuyên dụng

Các thiết bị này được phân loại là sản phẩm có khả năng ảnh hưởng trực tiếp đến an ninh thông tin quốc gia, do đó thuộc diện quản lý đặc biệt.

b. Phần mềm mật mã chuyên dụng

Bao gồm các phần mềm không nằm trong phạm vi mật mã phổ thông, ví dụ:

• Phần mềm mã hóa dữ liệu chuyên sâu theo thuật toán không đại chúng
• Phần mềm bảo mật tích hợp cơ chế mật mã đặc thù
• Hệ thống mã hóa đầu cuối (E2EE) được phân phối thương mại
• Phần mềm tạo/chứng thực chữ ký số khi được cung cấp dưới dạng sản phẩm thương mại độc lập

Điểm cần lưu ý: phần mềm ký số thuộc hệ thống dịch vụ công cộng (chẳng hạn ký số nội bộ trong ngân hàng) hoặc sử dụng trong sản phẩm phần cứng đặc thù thường nằm trong danh mục phải đăng ký.

c. Thiết bị tích hợp chức năng mật mã chuyên dụng

Danh mục này rộng hơn so với nhóm A:

• Router, firewall, UTM có module mã hóa chuyên dụng, không phải chỉ hỗ trợ VPN thông thường
• Camera IP, thiết bị IoT, gateway có tích hợp chip hoặc thuật toán mật mã đặc thù
• Máy chủ, thiết bị lưu trữ (Storage) có chức năng mã hóa phần cứng
• Thiết bị POS, ATM, thiết bị thanh toán có mã hóa PIN/transaction theo thuật toán chuyên dụng

Những thiết bị trên nếu có module mã hóa cứng hoặc phần mềm mật mã đặc thù đều nằm trong Danh mục phải xin giấy phép kinh doanh và/hoặc giấy phép xuất nhập khẩu.

2. Những sản phẩm không phải đăng ký

Theo Luật ATTT 2015 và phân tích từ các hướng dẫn thực thi:

• Laptop, PC, smartphone, thiết bị IoT phổ thông
• Router, modem Wi-Fi phổ thông, không tích hợp module mật mã đặc thù
• Hệ điều hành Windows/macOS/Linux
• Trình duyệt web (Chrome, Firefox…)
• Phần mềm phổ thông có sử dụng AES/TLS theo tiêu chuẩn quốc tế
• Camera IP dân dụng, thiết bị gia đình
• Dịch vụ lưu trữ cloud thông thường

Nguyên nhân: các sản phẩm này chỉ dùng mật mã phổ thông (“commodity cryptography”), không phải mật mã chuyên dụng, và không thuộc Danh mục quản lý của Ban Cơ yếu Chính phủ.

Điều kiện để được cấp giấy phép mật mã dân sự

• Yêu cầu về đội ngũ nhân sự: Có tối thiểu 03 kỹ sư tốt nghiệp một trong các ngành điện tử - viễn thông, công nghệ thông tin, toán học, an toàn thông tin (đây là điều kiện quan trọng nhất).
• Cán bộ quản lý điều hành đáp ứng yêu cầu về chuyên môn bảo mật, an toàn thông tin.
• Có cơ sở vật chất, trang thiết bị phù hợp với quy mô kinh doanh.
• Có phương án kỹ thuật phù hợp với tiêu chuẩn, quy chuẩn kỹ thuật áp dụng đối với sản phẩm, dịch vụ mật mã dân sự.
• Có phương án kinh doanh sản phẩm, dịch vụ mật mã dân sự.

Hồ sơ xin giấy phép kinh doanh sản phẩm mật mã dân sự

Theo thông tin trên Cổng Dịch vụ công Quốc gia, bộ "Hồ sơ" bao gồm:

1. Đơn đề nghị cấp phép theo mẫu quy định tại Nghị định số 211/2025/NĐ-CP
2. Bản sao giấy Chứng nhận đăng ký doanh nghiệp hoặc giấy chứng nhận pháp nhân có giá trị tương đương
3. Bản sao văn bằng đại học và chứng chỉ liên quan đến bảo mật, an toàn thông tin của đội ngũ kỹ thuật và cán bộ quản lý
4. Phương án kỹ thuật (mô tả đặc tính kỹ thuật của sản phẩm, chất lượng dịch vụ, giải pháp kỹ thuật)
5. Phương án bảo mật an toàn thông tin mạng trong quá trình cung cấp sản phẩm, dịch vụ mật mã dân sự
6. Phương án kinh doanh sản phẩm, dịch vụ mật mã dân sự
7. Phương án bảo hành, bảo trì sản phẩm cung cấp ra thị trường.

Quy trình nộp hồ sơ và thời gian xử lý

1. Nơi tiếp nhận hồ sơ

• Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã (NACIS)
• Cơ quan cấp giấy phép: Ban Cơ yếu Chính phủ

2. Hình thức nộp hồ sơ

Trước đây, việc nộp hồ sơ xin giấy phép mật mã dân sự phải thực hiện bằng phương thức nộp hồ sơ giấy. Tuy nhiên, kể từ năm 2021, Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã đã triển khai tiếp nhận hồ sơ qua cổng thông tin một cửa.

Hiện tại, các dịch vụ công liên quan đến xin giấy phép mật mã dân sự đang ở mức độ 4 (đã bao gồm phần thanh toán lệ phí cấp phép bằng hình thức thanh toán trực tuyến).

3. Các bước thực hiện (mô tả chi tiết nhất có thể)

Dựa trên hướng dẫn của NACIS và thực tế thực hiện thủ tục:

• Đăng ký tài khoản tại cổng thông tin một cửa của Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã
  • https://dichvucong.nacis.gov.vn/
  • Tên tài khoản bắt buộc phải là mã số doanh nghiệp
• Đăng nhập tài khoản dịch vụ công của doanh nghiệp
• Ký tươi và đóng dấu các tài liệu của bộ hồ sơ xin giấy phép mật mã dân sự
• Ký số (bằng chữ ký số) lên bản scan của bộ hồ sơ xin giấy phép mật mã dân sự
• Upload các hồ sơ đã ký số lên cổng thông tin một cửa của Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã
• Sau khi hoàn thành các bước, doanh nghiệp sẽ nhận được email từ dichvucong@nacis.gov.vn thông báo đã đăng ký hồ sơ thành công kèm theo mã hồ sơ tạm thời
• Sau khi hồ sơ được thẩm định sơ bộ, nếu hồ sơ đã đúng và đầy đủ, Cục Quản lý mật mã dân sự và KĐ SPMM sẽ có email thông báo chính thức thụ lý hồ sơ kèm theo mã tiếp nhận chính thức và hẹn ngày trả kết quả.
• Khi tiếp nhận bản gốc giấy phép mật mã dân sự, doanh nghiệp thanh toán các phí liên quan và nhận biên lại phí điện tử gửi về địa chỉ email đã đăng ký vài ngày sau đó.

4. Thời gian xử lý

Theo quy định công bố:

• Thời hạn giải quyết: 30 ngày làm việc kể từ ngày hồ sơ hợp lệ.
• Giấy phép có thời hạn 10 năm.

5. Lệ phí

Căn cứ theo Thông tư 249/2016/TT-BTC của Bộ Tài chính, lệ phí cấp giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự và lệ phí cấp giấy phép nhập khẩu mật mã dân sự như sau: 

Lệ phí cấp giấy phép kinh doanh mật mã dân sự

• Lệ phí thẩm định cấp mới giấy phép mật mã dân sự (cấp mới lần đầu) là 8.000.000 VNĐ cho nhóm sản phẩm hoặc dịch vụ đầu tiên, 2.000.000 VNĐ cho mỗi nhóm sản phẩm tiếp theo (tối đa 8 nhóm sản phẩm và 3 nhóm dịch vụ)
• Lệ phí thẩm định cấp giấy phép mật mã dân sự bổ sung sản phẩm hoặc dịch vụ là 3.000.000 VNĐ cho nhóm sản phẩm hoặc dịch vụ đầu tiên, 1.000.000 VNĐ cho mỗi nhóm sản phẩm tiếp theo
• Trên thực tế, mức lệ phí điển hình cấp giấy phép mật mã dân sự lần đầu là 8.000.000 ~ 12.000.000 VNĐ, mức lệ phí điển hình cấp giấy phép bổ sung sản phẩm là 3.000.000 ~ 5.000.000 VNĐ, phụ thuộc vào số lượng sản phẩm cần xin cấp phép
• Tùy theo từng thời kỳ, Ban Cơ Yếu Chính Phủ có thể áp dụng mức hỗ trợ doanh nghiệp giảm 50% lệ phí cấp giấy phép.

Lệ phí cấp giấy phép xuất nhập khẩu mật mã dân sự

• Lệ phí cấp giấy phép nhập khẩu sản phẩm mật mã dân sự là 200.000 VNĐ / giấy phép (không phụ thuộc vào số lượng sản phẩm liệt kê trên giấy phép)

Quản lý mật mã dân sự là lĩnh vực có yêu cầu pháp lý cao và chịu sự giám sát chặt chẽ của Ban Cơ yếu Chính phủ. Vì vậy, doanh nghiệp kinh doanh sản phẩm hoặc dịch vụ liên quan đến mật mã chuyên dụng cần hiểu rõ danh mục sản phẩm, điều kiện cấp phép và quy trình xin cấp giấy phép để tránh rủi ro pháp lý trong quá trình hoạt động. Việc chuẩn bị hồ sơ đầy đủ, tuân thủ đúng quy định sẽ giúp rút ngắn thời gian thẩm định và đảm bảo mọi hoạt động kinh doanh diễn ra minh bạch, hợp pháp.

Nếu doanh nghiệp cần thêm thông tin, tài liệu tham khảo hoặc tư vấn về các sản phẩm CNTT – thiết bị văn phòng phù hợp với mô hình vận hành, Máy Tính CDC luôn sẵn sàng hỗ trợ với kinh nghiệm triển khai giải pháp cho khối doanh nghiệp nhiều năm. Bạn có thể liên hệ đội ngũ kỹ thuật của CDC để được hướng dẫn lựa chọn thiết bị hoặc giải đáp các thắc mắc liên quan đến quy định pháp lý về sản phẩm CNTT trong quá trình mua sắm và triển khai hạ tầng.