1 января 2026 года официально вступил в силу пересмотренный Закон Китайской Народной Республики о кибербезопасности. Являясь первой крупной редакцией этого основополагающего закона с момента его принятия в 2016 году, он формирует высший уровень правовой системы Китая в области кибербезопасности вместе с Законом о безопасности данных и Законом о защите личной информации. Для предприятий, использующих технологию биометрического распознавания для контроля безопасности, этот пересмотр означает гораздо больше, чем просто более строгие наказания — он переопределяет границы обработки биометрических данных и предоставляет предприятиям четкие рекомендации по соблюдению требований при выборе биометрических технологий.
Между тем, в июне 2025 года вступили в силу «Меры по обеспечению безопасности применения технологии распознавания лиц», устанавливающие строгие требования к оценке воздействия и альтернативным решениям специально для сценариев распознавания лиц. Национальный стандарт GB/T 45574-2025 «Технология безопасности данных — требования безопасности для обработки конфиденциальной личной информации» дополнительно определяет нормы классификации и обработки биометрической информации. Под воздействием множества нормативных актов выбор предприятиями биометрических технологий превратился из чисто технического выбора в стратегическое решение о соблюдении требований.
Пересмотренный Закон о кибербезопасности увеличил верхний предел штрафов за нарушения с 1 миллиона юаней до 10 миллионов юаней и добавил такие наказания, как приостановка работы приложений, что значительно увеличило стоимость нарушений для предприятий.
I. Интерпретация ключевых положений новых правил
Пересмотр Закона о кибербезопасности дает несколько важных сигналов. Во-первых, это первый крупный пересмотр этого основополагающего закона почти за десятилетие, ознаменовавший комплексную модернизацию системы управления кибербезопасностью законодателями. Основную информацию пересмотра можно понять с точки зрения следующих четырех аспектов.
1. Искусственный интеллект впервые включен в законодательство
Недавно добавленная статья 20 содержит специальные положения о безопасности и развитии искусственного интеллекта, разъясняя, что государство поддерживает фундаментальные теоретические исследования и ключевые технологические исследования и разработки ИИ, одновременно улучшая этические нормы и усиливая мониторинг, оценку рисков и надзор за безопасностью. Это означает, что предприятия, использующие технологию искусственного интеллекта для обработки биометрических данных, столкнутся с более строгими требованиями этической проверки и надзора за безопасностью.
2. Существенно ужесточить штрафы для создания сильной системы сдерживания.
В обновленной версии верхний предел штрафов подскочил с 1 миллиона юаней до 10 миллионов юаней, были добавлены новые виды штрафов, такие как приостановка работы приложений. При этом юридическая ответственность распространяется от предприятий до частных лиц, а непосредственно ответственные лица будут подвергаться более суровому наказанию. Резко возросшая стоимость нарушений выдвигает более высокие требования к процедурам обработки биометрических данных.
3. Координация трех законов для формирования плотной сети регулирования.
Пересмотренная версия усиливает систематическую связь с Законом о безопасности данных и Законом о защите личной информации, обеспечивая четкие руководящие принципы правоохранительной деятельности посредством положений о «применимых ссылках». При обработке биометрических данных предприятия должны соблюдать требования всех трех законов одновременно, а халатность в любом звене может повлечь за собой действия правоохранительных органов.
4. Гибкие положения о правоприменении
Примечательно, что недавно добавленная статья 73 связана с Законом об административных наказаниях, разъясняя, что предприятия могут быть смягчены, уменьшены или не наказаны вовсе, если они берут на себя инициативу по устранению вредных последствий, оперативно устраняют мелкие нарушения без вредных последствий или не имеют субъективной вины. Этот пункт обеспечивает «буфер безопасности» для предприятий, прилагающих активные усилия по соблюдению требований.
II. Красные линии и итоговые показатели соответствия биометрическим данным
Пересмотренный Закон о кибербезопасности и сопутствующие нормативные акты совместно определяют «красные линии» и «чистые результаты» обработки биометрических данных. При развертывании биометрических систем предприятия должны соблюдать требования соответствия по следующим параметрам.
1. Определение и классификация конфиденциальной информации
Биометрическая информация явно указана как «конфиденциальная личная информация», включая лицо, отпечатки пальцев, отпечаток голоса, радужную оболочку глаз, генетическую информацию и так далее. Это означает, что независимо от того, какую биометрическую технологию примет предприятие, к собранным данным будет предъявляться самый высокий уровень требований защиты.
2. Требования соответствия полному жизненному циклу
| Ссылка на соответствие требованиям |
Основные требования |
Правовая основа |
| Уведомление о сборе |
Получите отдельное согласие от лица и четко сообщите цель и метод обработки. |
Статья 29 Закона о защите личной информации |
| Оценка воздействия |
Перед использованием проведите оценку воздействия на защиту личной информации (PIA). |
Статья 9 Мер по обеспечению безопасности применения технологии распознавания лиц |
| Безопасность передачи |
Используйте как минимум шифрование канала и желательно сочетайте его с шифрованием контента. |
GB/T 45574-2025 Технология безопасности данных. Требования безопасности при обработке конфиденциальной личной информации. |
| Безопасность хранения |
Зашифрованное хранилище и биометрические шаблоны должны быть необратимыми. |
Закон о кибербезопасности + Закон о безопасности данных |
| Комплаенс-аудит |
Обработчики, обрабатывающие информацию более чем 1 миллиона человек, должны назначить ответственного за защиту |
Меры по проведению проверок соблюдения требований по защите личной информации |
| Уведомление сайта |
Оборудование для сбора мусора, установленное в общественных местах, должно быть оборудовано заметными указателями. |
Статья 26 Закона о защите личной информации |
Из приведенных выше требований видно, что нормативные акты не только фокусируются на уведомлении и согласии в канале сбора данных, но также распространяют регулирующий надзор на полный жизненный цикл передачи, хранения и аудита данных. В такой нормативной базе архитектура безопасности биометрических технологий сама по себе становится ключевой переменной для соблюдения требований — качество технического выбора напрямую определяет уровень затрат на соблюдение требований.
III. Iris против Face: сравнение конфиденциальности и соответствия требованиям двух технологий
В биометрических сценариях корпоративного уровня распознавание лиц и распознавание радужной оболочки глаз являются двумя наиболее распространенными техническими путями. Однако в соответствии с новой структурой соответствия они демонстрируют существенные различия в безопасности данных и защите конфиденциальности.
| Размер сравнения |
Распознавание лиц |
Признание Ириса |
| Обратимость данных |
Изображения лиц можно восстановить до исходных фотографий с высоким риском утечки. |
Шаблоны кодирования радужной оболочки являются необратимыми и естественным образом соответствуют принципу «данные доступны, но не видны». |
| Риск удаленной подделки |
Можно взломать с помощью фотографий, видео и технологии искусственного интеллекта. |
Радужная оболочка расположена внутри глазного яблока и ее невозможно собрать или подделать удаленно. |
| Соблюдение требований в общественных местах |
Требуются заметные указатели, установка в частных помещениях запрещена. |
Активный совместный сбор с более высокой осведомленностью пользователей |
| Безопасность хранения данных |
Векторы черт лица по-прежнему имеют определенную обратимость после сохранения. |
Шифрование на уровне чипа AES-256, аппаратно-изолированное хранилище с более высокой безопасностью данных. |
| Оценка воздействия Сложность |
Необходимо учитывать множество факторов риска, таких как сбор конфиденциальной информации и дипфейки. |
Техническая архитектура по своей сути позволяет избежать большинства рисков, что упрощает процесс оценки. |
| Точность распознавания |
На него влияют такие факторы, как свет, ракурс и макияж, вероятность ложного распознавания составляет примерно один на миллион. |
Точность бинокулярного распознавания достигает одного на миллиард, причем изменения внешности не влияют. |
С точки зрения соответствия технология распознавания радужной оболочки глаза имеет значительные структурные преимущества. Его суть заключается в том, что «данные доступны, но невидимы» — цифровой шаблон, созданный после кодирования особенностей радужной оболочки, не может быть обратно восстановлен до исходного биологического изображения. Даже если база данных будет взломана, злоумышленники не смогут восстановить биометрические данные пользователя. Эта техническая особенность естественным образом согласуется с требованием к хранению «необратимого восстановления» биометрических шаблонов в Требованиях безопасности для обработки конфиденциальной личной информации.
Технология распознавания лиц, напротив, сталкивается с большим количеством проблем с соблюдением требований. «Меры по обеспечению безопасности применения технологии распознавания лиц» явно требуют проведения оценки воздействия на защиту личной информации (PIA) перед использованием технологии распознавания лиц, запрещают установку оборудования для распознавания лиц в частных помещениях, таких как гостиничные номера и общественные ванные комнаты, и требуют предоставления альтернативных решений идентификации. Эти специальные положения отражают обеспокоенность регулирующих органов по поводу рисков, присущих технологии распознавания лиц.
IV. Решения Homsh по обеспечению соответствия
Являясь пионером в области технологий распознавания радужной оболочки глаз в Китае, компания WuHan Homsh Technology Co., Ltd. (Homsh) создала полную техническую систему от чипов до терминалов и от алгоритмов до решений, способную предоставить предприятиям решения для биометрического распознавания на уровне полного соответствия требованиям.
1. PhaseIris 3.0: Архитектура алгоритма уровня соответствия
PhaseIris 3.0, основной алгоритм распознавания радужной оболочки глаза третьего поколения, независимо разработанный Homsh, использует 384-битную рабочую ширину и может сжимать размер шаблона данных объекта до 2 КБ без уменьшения биометрических точек. Важно отметить, что между закодированным цифровым шаблоном и исходным изображением радужной оболочки не существует математического обратного вывода, что реализует истинные «данные, доступные, но невидимые». Точность бинокулярного распознавания достигает одного на миллиард, что намного превышает средний показатель по отрасли.
2. Чипы серии Qianxin: барьер безопасности на аппаратном уровне
Специальные ASIC-чипы серии Qianxin для распознавания радужной оболочки глаза, выпущенные Homsh, являются первыми в мире чипами, которые полностью реализуют алгоритм распознавания радужной оболочки глаза на аппаратном уровне. В отличие от традиционной архитектуры программного обеспечения + процессора общего назначения, чипы Qianxin используют встроенную архитектуру изоляции системы в сочетании с полным аппаратным шифрованием AES-256, гарантируя, что данные шаблона радужной оболочки обрабатываются в аппаратной среде безопасности на протяжении всего процесса сбора, кодирования, сопоставления и хранения. Скорость кодирования составляет менее 50 мс, а время одноядерного сопоставления составляет всего 320 наносекунд.
Это означает, что биометрические данные никогда не существуют в виде открытого текста ни в каком пространстве памяти, доступном программному обеспечению, что принципиально исключает риск утечки данных на программном уровне — уровень безопасности, которого не могут достичь традиционные чисто программные биометрические решения.
3. Терминалы контроля доступа серии D и шлюзы каналов серии G: терминалы, соответствующие требованиям
На уровне терминального продукта терминалы управления доступом Iris серии D и шлюзы Iris канала G серии построены на базе чипов Qianxin, поддерживающих выполнение всех процессов распознавания локально на стороне устройства. Эта архитектура «периферийных вычислений» означает, что биометрические данные не нужно загружать на сервер, что позволяет избежать риска утечки данных при передаче по сети и значительно упрощает процесс аудита соответствия предприятия.
Терминалы контроля доступа серии D поддерживают расстояние распознавания от 30 до 70 см, полную регистрацию и аутентификацию бинокулярной радужной оболочки в течение 1 секунды, а одно устройство может хранить десятки тысяч шаблонных данных. Канальные ворота серии G подходят для сценариев с интенсивным трафиком, таких как большие парки и промышленные объекты, поддерживая совместную работу в сети нескольких устройств.
V. Предложения по внедрению биометрического соответствия на предприятии
Основываясь на требованиях пересмотренного Закона о кибербезопасности и сопутствующих нормативных актах, мы рекомендуем предприятиям продвигать создание биометрического соответствия на следующих пяти уровнях.
Шаг 1. Приоритизация аудита соответствия
Предприятия должны сначала провести комплексный аудит соответствия существующих биометрических систем, чтобы оценить, соответствует ли текущая система требованиям Закона о кибербезопасности, Закона о защите личной информации и соответствующих национальных стандартов. Сосредоточьтесь на рассмотрении механизма уведомления и согласия на сбор данных, методов шифрования передачи, политик безопасности хранения и механизмов удаления данных.
Шаг 2: Обновление технического отбора
Отдайте приоритет биометрическим технологиям с функциями «необратимого восстановления», чтобы снизить риски безопасности данных из источника. Технология распознавания радужной оболочки глаза имеет естественные преимущества при соблюдении требований соответствия благодаря необратимости ее закодированных шаблонов. В то же время следует выбирать продукты с возможностями шифрования на аппаратном уровне, чтобы избежать потенциальных рисков безопасности, вызванных чисто программными решениями.
Шаг 3. Отдайте приоритет периферийным вычислениям
Максимально используйте архитектуру периферийных вычислений, чтобы завершить сбор, кодирование и сопоставление биометрических функций на стороне устройства. Это не только снижает риски безопасности сетевой передачи, но и упрощает управление потоками данных для предприятий. Чиповое решение Qianxin компании Homsh является типичным примером реализации этой концепции.
Шаг 4. Установите управление полным жизненным циклом
Создайте систему управления полным жизненным циклом биометрических данных: от уведомления о сборе, авторизации использования, шифрования хранилища, отслеживания аудита до удаления данных. Рекомендуется назначить специального человека, ответственного за защиту личной информации, и проводить регулярные проверки соответствия.
Шаг 5. Сформируйте систему документации по соответствию
Улучшите соответствие документов, таких как отчеты об оценке воздействия на защиту личной информации, записи обработки данных и планы реагирования на инциденты безопасности. В ходе проверок нормативных требований или аудитов соответствия полная система документов может эффективно доказать усилия предприятия по соблюдению требований и вызвать защиту «смягчения или смягчения наказания» в новых гибких положениях правоохранительных органов Закона о кибербезопасности.
Вывод: соблюдение требований – это не затраты, а конкурентоспособность
Пересмотренный Закон о кибербезопасности посылает рынку четкий сигнал: обработка биометрических данных больше не является внутренним делом технического отдела, а является стратегическим вопросом, связанным с обеспечением соответствия требованиям предприятия. В этом контексте выбор биометрической технологии, соответствующей требованиям соответствия уже на уровне архитектурного проектирования, является не только разумным выбором для снижения рисков, но и конкурентным преимуществом при цифровой трансформации предприятия.
Благодаря своей технической функции «данные доступны, но не видны», гарантии безопасности на аппаратном уровне и точности распознавания «один на миллиард», распознавание радужной оболочки глаза позволило найти оптимальный баланс между требованиями соответствия и эффективностью безопасности. Для предприятий, оценивающих модернизацию биометрических технологий, это период времени, чтобы пересмотреть технический отбор и установить преимущества соответствия.
