CCTVplanner.io
    Sự tuân thủThời gian đọc: 15 phút

    Phần mềm có nguồn gốc từ Nga trong các dự án CCTV của EU (2026): Đánh giá về tuân thủ, trừng phạt và mua sắm

    Bài viết này cung cấp cái nhìn thực tế, tập trung vào quy trình đấu thầu, dành cho các nhà thiết kế, tích hợp hệ thống CCTV và các cơ quan ký hợp đồng của EU, những người thường xuyên đặt ra câu hỏi tương tự vào năm 2026: các quy định về nguồn gốc, trừng phạt và lưu trữ dữ liệu được áp dụng như thế nào khi phần mềm thiết kế CCTV được sử dụng? Bài viết này tóm tắt khung pháp lý hiện hành. Đây không phải là tư vấn pháp lý — mọi quyết định đấu thầu cụ thể cần được xác nhận với luật sư tư vấn đấu thầu có chuyên môn.

    Lưu ý quan trọng: đây là bài đánh giá dựa trên sự thật, không phải lời khuyên pháp lý.

    Các lệnh trừng phạt, quy định kiểm soát xuất khẩu và quy tắc mua sắm công thường xuyên thay đổi và được hiểu khác nhau giữa các quốc gia thành viên EU. Không có nội dung nào trong bài viết này được coi là tư vấn pháp lý cho bất kỳ giao dịch cụ thể nào. Để có quyết định ràng buộc, hãy tham khảo ý kiến luật sư chuyên về mua sắm công có thẩm quyền tại khu vực pháp lý liên quan. Các tham chiếu đến các tiêu chuẩn, quy định và án lệ được công bố công khai là chính xác theo hiểu biết tốt nhất của chúng tôi tính đến tháng 5 năm 2026.

    Muc luc

    Tại sao câu hỏi này lại quan trọng trong quá trình mua sắm công của EU năm 2026?

    Kể từ năm 2022, EU đã thông qua nhiều gói trừng phạt liên tiếp nhắm vào Nga, song song với những thay đổi trong quy định đấu thầu công của các quốc gia thành viên. Tác động tích lũy đối với việc đấu thầu phần mềm là rất đáng kể: các cơ quan ký hợp đồng trước đây không yêu cầu thông tin về nguồn gốc phần mềm nay thường xuyên đưa ra yêu cầu công khai nguồn gốc ở giai đoạn thẩm định, và các hồ sơ dự thầu không chứng minh được nguồn gốc không bị trừng phạt thường bị loại bỏ trước khi xem xét thương mại.

    Phần mềm thiết kế hệ thống camera giám sát (CCTV) nằm trong một nhóm rủi ro đặc biệt vì các sản phẩm mà nó tạo ra — sơ đồ mặt bằng, vị trí đặt camera, cấu trúc mạng, danh sách BOM — đều nhạy cảm cả về mặt an ninh lẫn vận hành. Ngay cả khi một văn kiện trừng phạt không trực tiếp đề cập đến một công cụ lập kế hoạch CCTV cụ thể nào, các cơ quan ký hợp đồng vẫn thường áp dụng lập trường thận trọng, đặc biệt là trong lĩnh vực quốc phòng, hành chính công, cơ sở hạ tầng trọng yếu và các dự án y tế hoặc giao thông vận tải quy mô lớn.

    Bài viết này là lời giải thích mà chúng tôi mong muốn đã có khi các khách hàng tích hợp hệ thống bắt đầu hỏi chúng tôi về nguồn gốc phần mềm trong các hồ sơ dự thầu. Bài viết mang tính mô tả, không mang tính hướng dẫn — mục đích của nó là trình bày khuôn khổ bằng ngôn ngữ dễ hiểu để nhà thiết kế hệ thống CCTV có thể đặt những câu hỏi đúng đắn cho cố vấn mua sắm của họ, chứ không phải để thay thế cuộc đối thoại đó.

    Khung trừng phạt hiện hành của EU — Tóm tắt cấp cao

    Các biện pháp hạn chế của EU đối với Nga được thực hiện thông qua các Quy định của Hội đồng được công bố trên Công báo của Liên minh châu Âu và được cập nhật thông qua các gói sửa đổi liên tiếp. Khung pháp lý này hoạt động dựa trên ba trụ cột chính liên quan đến việc mua sắm phần mềm.

    Ba trụ cột liên quan đến phần mềm

    • Kiểm soát xuất khẩu. Các hạn chế đối với việc cung cấp hàng hóa, dịch vụ, công nghệ và phần mềm cụ thể cho Nga, tập trung vào các lĩnh vực lưỡng dụng, quốc phòng và một số ngành công nghiệp nhất định.
    • Các biện pháp trừng phạt tài chính. Việc đóng băng tài sản và cấm cung cấp tiền hoặc nguồn lực kinh tế cho các cá nhân và tổ chức nằm trong danh sách đen. Tiêu chí "quyền sở hữu và kiểm soát" phụ thuộc vào từng trường hợp cụ thể và được áp dụng ngay cả khi nhà cung cấp không nằm trong danh sách đen nhưng lại thuộc sở hữu hoặc do một tổ chức nằm trong danh sách đen kiểm soát.
    • Các bộ lọc đấu thầu công. Các điều khoản trong Quy định của Hội đồng (EU) 833/2014 (đã được sửa đổi) cấm trao các hợp đồng công cho một số cá nhân và tổ chức của Nga, được chuyển đổi và bổ sung bởi luật mua sắm công của các quốc gia thành viên theo những cách khác nhau.

    Bên cạnh khuôn khổ cấp độ EU, các quốc gia thành viên như Đức, Pháp, Ba Lan, các nước Bắc Âu và Baltic đã ban hành ngôn ngữ đấu thầu công riêng với các tiêu chí nghiêm ngặt hơn. Kết quả là, cùng một nhà cung cấp có thể được chấp nhận ở một khu vực pháp lý của EU nhưng lại bị loại bỏ ở khu vực khác, ngay cả khi không có văn bản nào nêu tên họ một cách rõ ràng. Do đó, các nhóm đấu thầu có xu hướng áp dụng ngôn ngữ nghiêm ngặt nhất của quốc gia thành viên làm tiêu chuẩn nội bộ của họ.

    Phía Hoa Kỳ: Sắc lệnh hành pháp NDAA §889 và ICTS

    Về phía Hoa Kỳ, hai văn kiện thường xuyên được các quan chức mua sắm của EU viện dẫn như những tiêu chuẩn không chính thức. Điều khoản 889 của Đạo luật Ủy quyền Quốc phòng John S. McCain cho năm tài chính 2019 ( NDAA §889) cấm các cơ quan liên bang và nhà thầu liên bang mua hoặc sử dụng thiết bị viễn thông và giám sát video thuộc phạm vi điều chỉnh của một số nhà sản xuất Trung Quốc được nêu tên. Các sắc lệnh hành pháp về Công nghệ Thông tin và Truyền thông (ICTS), chủ yếu là Sắc lệnh Hành pháp 13873 và các sắc lệnh kế tiếp, trao cho Bộ Thương mại Hoa Kỳ quyền hạn rộng rãi để xem xét các giao dịch liên quan đến các đối thủ nước ngoài.

    Cả hai văn bản này đều không áp dụng theo luật định đối với một quy trình mua sắm điển hình của EU. Tuy nhiên, chúng thường được sử dụng như ngôn ngữ mẫu trong các hợp đồng mua sắm. Một cơ quan ký kết hợp đồng của EU năm 2026 khi soạn thảo gói thầu hệ thống camera giám sát thường yêu cầu nhà cung cấp tuyên bố rằng phần mềm, dịch vụ lưu trữ và nhân sự của họ sẽ không bị loại trừ theo các quy định tương đương với Điều 889, ngay cả khi chính Điều 889 không liên quan đến hợp đồng. Các nhà cung cấp không thể đưa ra tuyên bố đó sẽ gặp bất lợi cạnh tranh bất kể tính hợp pháp cơ bản của đề xuất của họ.

    Tác động trực tiếp của việc mua sắm đến phần mềm thiết kế CCTV

    Bốn hạng mục dưới đây là những hạng mục mà chúng tôi nhận thấy các câu hỏi về nguồn gốc phần mềm xuất hiện thường xuyên nhất trong các dự án CCTV của EU năm 2026.

    Đấu thầu khu vực công

    Các gói thầu của chính phủ, quốc phòng, y tế và giáo dục ngày càng bao gồm các điều khoản công khai rõ ràng về "nguồn gốc phần mềm". Điều kiện kích hoạt thường là một trong những điều khoản sàng lọc trong quá trình đấu thầu đã được thảo luận ở trên, được áp dụng thông qua việc chuyển đổi luật quốc gia. Ngay cả khi ngưỡng pháp lý còn gây tranh cãi, thực tế là các hồ sơ dự thầu không thể chứng minh nguồn gốc chấp nhận được sẽ bị loại ở giai đoạn đánh giá năng lực. Các nhà thiết kế tham gia đấu thầu khu vực công vào năm 2026 nên chuẩn bị đưa ra các tuyên bố khẳng định về nguồn gốc cho mọi công cụ phần mềm được sử dụng trong quá trình thiết kế, không chỉ riêng phần cứng giám sát.

    Hợp đồng cơ sở hạ tầng trọng yếu

    Việc mua sắm trong lĩnh vực năng lượng, vận tải, ngân hàng và cấp nước được điều chỉnh bởi NIS2 (Chỉ thị (EU) 2022/2555) và các quy tắc ngành chồng chéo. Mặc dù bản thân NIS2 dựa trên rủi ro hơn là dựa trên nguồn gốc, nhưng các đánh giá rủi ro thường xác định nguồn gốc chuỗi cung ứng là một yếu tố liên quan, và các nhà điều hành dịch vụ thiết yếu đã đưa điều đó vào khuôn khổ mua sắm của họ. Tiêu chuẩn về bằng chứng nguồn gốc phần mềm trong các dự án cơ sở hạ tầng trọng yếu cao hơn đáng kể so với mua sắm thương mại thông thường.

    Kiểm toán tuân thủ của doanh nghiệp tư nhân

    Các doanh nghiệp lớn có khuôn khổ ESG, chuỗi cung ứng hoặc rủi ro mạng riêng thường xuyên kiểm toán các nhà cung cấp và nhà cung cấp phụ của họ. Ngay cả khi không có gói thầu cụ thể nào, một nhà tích hợp sử dụng phần mềm mà nguồn gốc không thể chứng minh được có thể bị loại khỏi danh sách nhà cung cấp ưu tiên trong quá trình đánh giá hàng năm. Xu hướng này đã tăng tốc đáng kể trong năm 2024 và 2025 và tiếp tục kéo dài sang năm 2026.

    Các hoạt động tích hợp xuyên biên giới

    Các nhà tích hợp hệ thống có hoạt động tại cả các quốc gia thuộc EU và ngoài EU phải đối mặt với sự phức tạp bổ sung do các tiêu chuẩn đấu thầu khác nhau. Một công cụ được chấp nhận cho một dự án thương mại tư nhân ở một quốc gia có thể không vượt qua được bộ lọc đấu thầu cho một dự án công cộng ở một quốc gia khác. Nhiều nhà tích hợp đã hợp lý hóa điều này bằng cách tiêu chuẩn hóa việc sử dụng các công cụ có nguồn gốc từ EU cho tất cả các dự án, đơn giản hóa việc đáp ứng bất kỳ gói thầu nào trong tương lai bất kể nó được thực hiện ở đâu.

    Người mua xác minh nguồn gốc phần mềm như thế nào?

    Một nhân viên thu mua thực hiện kiểm tra nguồn gốc hàng hóa thường có một bộ công cụ khá tiêu chuẩn. Không có công cụ nào trong số này tự mình chứng minh được nguồn gốc — chúng chỉ tập hợp lại thành một bức tranh tổng thể dựa trên thông tin công khai.

    • Thông tin đăng ký WHOIS về tên miền của nhà cung cấp — quốc gia đăng ký, tổ chức đăng ký, ASN máy chủ tên miền.
    • Nhà cung cấp phải cung cấp tên pháp nhân, quốc gia đăng ký và mã số thuế — thường được yêu cầu trong quá trình xét duyệt hồ sơ.
    • Đánh giá nhà cung cấp dịch vụ lưu trữ — khu vực đám mây nơi cơ sở hạ tầng SaaS hoạt động về mặt vật lý, được chứng minh bằng giấy xác nhận hoặc thỏa thuận lưu trữ của bên thứ ba.
    • Hồ sơ công khai của công ty — sổ đăng ký chủ sở hữu thực tế, cơ cấu công ty mẹ và bất kỳ thông tin đối chiếu nào với danh sách trừng phạt.
    • Chứng nhận chuỗi cung ứng — một tuyên bố bằng văn bản từ nhà cung cấp mô tả nơi phần mềm được thiết kế, lưu trữ và hỗ trợ, đồng thời nêu tên bất kỳ nhà thầu phụ nào.

    Đối với các hợp đồng mua sắm có rủi ro cao hơn (quốc phòng, cơ sở hạ tầng trọng yếu), việc đánh giá có thể mở rộng đến nguồn gốc mã nguồn, kiểm thử bảo mật của bên thứ ba và ý kiến pháp lý độc lập. Chi phí biên của việc đánh giá cấp cao hơn là không nhỏ và các cơ quan ký hợp đồng thường chỉ yêu cầu thực hiện việc này khi giá trị hoặc tính nhạy cảm của hợp đồng đòi hỏi điều đó.

    Góc độ chuyển giao dữ liệu sang nước thứ ba GDPR

    Các Điều 44 đến 49 GDPR quy định việc chuyển dữ liệu cá nhân đến các quốc gia ngoài Khu vực Kinh tế Châu Âu. Quy tắc mặc định là việc chuyển dữ liệu như vậy bị cấm trừ khi một trong các biện pháp bảo vệ được quy định được áp dụng: quyết định về tính đầy đủ của Ủy ban Châu Âu, cơ chế chuyển giao được phê duyệt như các điều khoản hợp đồng tiêu chuẩn với các biện pháp bổ sung thích hợp, hoặc ngoại lệ cho các tình huống cụ thể.

    Tòa án Công lý Châu Âu trong vụ Schrems II (Vụ án C-311/18, 2020) đã làm rõ rằng các điều khoản hợp đồng tiêu chuẩn phải được bổ sung bằng đánh giá tác động chuyển giao có tính đến luật pháp của quốc gia đích và liệu chúng có cung cấp sự bảo vệ tương đương về cơ bản hay không. Nga không nằm trong danh sách các quốc gia đủ điều kiện của Ủy ban Châu Âu, và quan điểm phổ biến là việc đạt được sự bảo vệ "tương đương về cơ bản" đối với các chuyển giao dữ liệu sang Nga là khó khăn do bối cảnh pháp lý ở đó. Hậu quả thực tế là bất kỳ công cụ thiết kế camera giám sát nào truyền dữ liệu cá nhân đến máy chủ ở Nga, hoặc đến các thực thể thuộc thẩm quyền của Nga, đều phải chịu gánh nặng đánh giá tác động chuyển giao đáng kể mà các công cụ được lưu trữ tại EU không phải chịu.

    Đối với các dự án CCTV, điều này rất quan trọng vì các công cụ thiết kế thường xuyên tiếp xúc với dữ liệu cá nhân hơn mọi người tưởng – siêu dữ liệu dự án, thông tin trang web của khách hàng cuối, địa chỉ email tài khoản, nội dung phiếu hỗ trợ. Người mua coi trọng GDPR sẽ muốn được đảm bảo rằng không có dữ liệu nào rời khỏi EU/EEA theo cách gây ra sự xem xét theo Chương V.

    Lý do CCTVplanner ra đời — Được lưu trữ và phát triển bởi EU

    CCTVplanner được vận hành bởi DEFENSAR, một công ty đăng ký tại Ba Lan, với giao diện người dùng được đặt tại Ba Lan và phần máy chủ được đặt trên cơ sở hạ tầng đám mây khu vực EU. Đó là ý nghĩa của tiêu đề "Được thiết kế và lưu trữ 100% tại EU" — pháp nhân, kỹ thuật và dịch vụ lưu trữ đều nằm trong Liên minh Châu Âu, và không có bất kỳ bên xử lý phụ nào ở nước thứ ba trong kiến trúc mặc định.

    Đối với các nhóm mua sắm, điều này có nghĩa là câu trả lời ngắn gọn, rõ ràng cho các câu hỏi về nguồn gốc dữ liệu được mô tả ở trên. Không có bất kỳ bên xử lý phụ nào thuộc thẩm quyền của Nga, Trung Quốc hoặc Hoa Kỳ trong toàn bộ chuỗi dữ liệu. Không có gánh nặng đánh giá tác động chuyển giao theo Chương V GDPR vì dữ liệu không rời khỏi EU. Không có điều khoản loại trừ tương đương với §889 trong chuỗi cung ứng. Được các nhà tích hợp trên toàn thế giới tin tưởng, kiến trúc mặc định của EU là tính năng duy nhất được đề cập thường xuyên nhất trong các cuộc thảo luận về mua sắm vào năm 2026.

    Lập trường của EU trong một đoạn văn

    • Công ty điều hành DEFENSAR được đăng ký và có trụ sở thuế tại Ba Lan.
    • Giao diện người dùng (frontend) được đặt tại Ba Lan; phần máy chủ (backend) được đặt trên nền tảng điện toán đám mây khu vực EU (eu-west).
    • Không có bộ xử lý phụ dữ liệu nước thứ ba nào trong kiến trúc mặc định.
    • Tuân thủ GDPR theo mặc định — không cần thực hiện đánh giá tác động chuyển giao riêng biệt đối với người mua thuộc EU.

    Thực tế "Chuyển đổi từ JVSG "

    Một câu hỏi thực tế mà chúng tôi thường nghe từ các nhà tích hợp hệ thống vào năm 2026 là: "Chúng tôi hài lòng với công cụ thiết kế CCTV hiện tại, nhưng nhóm mua sắm đã chỉ ra rủi ro về việc tiết lộ nguồn gốc phần mềm. Quá trình chuyển đổi sẽ diễn ra như thế nào?" Câu trả lời chủ yếu là về mặt kỹ thuật — xuất bản vẽ mặt bằng sang định dạng DXF, nhập vào CCTVplanner, thay thế camera từ danh mục hơn 65.000 mẫu, khớp ngưỡng DORI, định tuyến lại dây cáp, xuất sản phẩm PDF nhiều trang. Chúng tôi đã viết một hướng dẫn từng bước chi tiết trong tài liệu hướng dẫn chuyển đổi được liên kết bên dưới. Không có bước nào quá khó. Phần khó nhất thường là quyết định chuyển đổi, chứ không phải bản thân quá trình chuyển đổi.

    Đối với những thay đổi do yêu cầu mua sắm, lời khuyên của chúng tôi là nên ghi lại quá trình chuyển đổi bằng văn bản — sự kiện kích hoạt, các phương án thay thế đã được đánh giá, công cụ thay thế được chọn và ngày công cụ hiện tại được loại bỏ khỏi quy trình làm việc. Cả luật sư mua sắm và kiểm toán viên ESG đều đánh giá cao những quyết định được ghi chép lại, và nhật ký chuyển đổi bằng văn bản là một tài liệu phổ biến trong hồ sơ thẩm định.

    Lời kết

    Bài viết này là một đánh giá thực tế dựa trên các tiêu chuẩn, quy định và án lệ công khai tính đến tháng 5 năm 2026. Đây không phải là tư vấn pháp lý và không thay thế cho tư vấn từ luật sư chuyên về mua sắm công có trình độ tại quốc gia của bạn. Các lệnh trừng phạt, kiểm soát xuất khẩu và quy tắc mua sắm công thường xuyên thay đổi và được hiểu khác nhau giữa các quốc gia thành viên EU. Mỗi quyết định mua sắm cụ thể cần được xác nhận với luật sư am hiểu về cơ quan chủ quản, lĩnh vực và khu vực pháp lý cụ thể đang xem xét.

    Bài viết này không nhằm mục đích bôi nhọ bất kỳ quốc gia, công ty hoặc loại nhà cung cấp nào. Mục đích là mô tả khung pháp lý về mua sắm mà người mua sẽ trải nghiệm vào năm 2026, để các nhà tích hợp có thể chuẩn bị hồ sơ dự thầu và thiết kế quy trình làm việc đáp ứng được giai đoạn đánh giá năng lực.

    Câu hỏi thường gặp

    Is software of Russian origin banned from EU public procurement in 2026?

    There is no single blanket EU rule that says "all software of Russian origin is banned". Instead, several layered EU instruments — sanctions regulations, public-procurement rules, sectoral export controls and member-state interpretations — combine to make Russian-origin software difficult or impossible to procure in many specific contexts (defence, public administration, critical infrastructure, financial services). Whether your specific procurement is permitted depends on the contracting authority, the sector and the country. Always consult your in-house counsel or external procurement advisor for a binding determination.

    Does the EU sanctions framework apply to design software, not just hardware?

    Sanctions instruments commonly cover "goods, services, technology and software" — software is treated as a category of its own, separate from physical hardware. Whether a particular CCTV design tool falls inside or outside a specific sanctions instrument is a fact-specific legal question. Public-sector tenders increasingly include explicit "software origin" disclosure requirements, and a vendor unable to evidence non-Russian origin is usually filtered out at the qualification stage regardless of the underlying sanctions analysis.

    How does GDPR interact with Russian-hosted software?

    GDPR Articles 44 to 49 govern personal-data transfers to third countries. Russia is not on the European Commission's list of countries with an adequacy decision, and standard contractual clauses to Russian processors face additional scrutiny under the Schrems II reasoning of the European Court of Justice. In practice this means that any CCTV design tool that transmits personal data — project metadata, account information, customer-site details — to servers in Russia or to entities under Russian jurisdiction faces a meaningful GDPR transfer-impact assessment burden that EU-hosted tools do not.

    What is NDAA §889 and does it apply outside the United States?

    NDAA §889 is a US federal procurement rule that prohibits federal agencies and federal contractors from buying or using telecommunications and video-surveillance equipment from certain named Chinese companies. It is a US instrument with US scope, but it is increasingly cited as a procurement template by EU and UK contracting authorities updating their own rules. Procurement officers in 2026 routinely ask vendors whether their products would qualify under §889 even when §889 itself does not legally apply to the contract.

    What practical due-diligence does a procurement team perform on software origin?

    Standard checks include WHOIS lookups on the vendor domain, verification of the legal entity name and registration country, review of hosting providers (where the SaaS infrastructure physically runs), inspection of public corporate filings, and a request for a written supply-chain attestation from the vendor. For higher-risk procurements (defence, critical infrastructure) the assessment can extend to source-code provenance, third-party penetration testing, and an independent legal opinion. None of this is a substitute for advice from procurement counsel, which is why the recurring recommendation in this article is to consult one.

    Bai viet lien quan

    So sánh CCTVplanner và JVSG

    So sánh song song, bao gồm cả tư thế lưu trữ dữ liệu.

    Hướng dẫn chuyển đổi từ JVSG năm 2026

    Hướng dẫn từng bước chi tiết về việc chuyển đổi dựa trên quy trình mua sắm.

    Phần mềm thiết kế CCTV miễn phí tốt nhất (2026)

    Các tùy chọn miễn phí được kiểm tra kỹ lưỡng về nguồn gốc xuất xứ từ EU và tuân thủ GDPR.

    EN 62676-4 :2025 Cập nhật OODPCVS (2026)

    Cập nhật về mặt tiêu chuẩn liên quan đến ngôn ngữ đấu thầu của EU.

    Máy tính DORI

    Máy tính trực tuyến được lưu trữ trên EU, không cần cài đặt.

    Máy tính EN 62676-4

    Đề xuất ống kính tuân thủ tiêu chuẩn, được lưu trữ tại EU.

    ← Quay lai blog

    © 2026 CCTVplanner. © 2026 CCTVplanner. Moi quyen duoc bao luu.