Il 1 ° gennaio 2026, la legge sulla sicurezza informatica della Repubblica popolare cinese è entrata ufficialmente in vigore.costituisce la progettazione di alto livello del sistema giuridico cinese sulla sicurezza informatica insieme alla legge sulla sicurezza dei dati e alla legge sulla protezione delle informazioni personaliPer le imprese che si affidano alla tecnologia di riconoscimento biometrico per il controllo della sicurezza, this revision means far more than stricter penalties—it redefines the boundaries for processing biometric data and provides clear compliance guidance for enterprises in selecting biometric technologies.
Nel frattempo, le misure per l'amministrazione della sicurezza dell'applicazione della tecnologia di riconoscimento facciale sono entrate in vigore nel giugno 2025,che stabilisce requisiti rigorosi per la valutazione d'impatto e soluzioni alternative specificamente per gli scenari di riconoscimento facciale. The national standard GB/T 45574-2025 Data Security Technology—Security Requirements for Processing Sensitive Personal Information further specifies the classification and processing norms of biometric informationSotto la sovrapposizione di molteplici regolamenti, la scelta della tecnologia biometrica da parte delle imprese è passata da una scelta puramente tecnica a una decisione strategica di conformità.
La legge di sicurezza informatica riveduta ha aumentato il limite massimo delle multe per violazioni da 1 milione di yuan a 10 milioni di yuan, e ha aggiunto sanzioni come la sospensione del funzionamento delle applicazioni,aumento significativo del costo delle violazioni per le imprese.
I. Interpretazione dei punti chiave del nuovo regolamento
La revisione della legge sulla sicurezza informatica trasmette diversi segnali critici.che segna un ampio aggiornamento del sistema di governance della cibersicurezza da parte dei legislatoriLe informazioni fondamentali della revisione possono essere comprese dalle seguenti quattro dimensioni.
1L'intelligenza artificiale incorporata per la prima volta in legge
L'articolo 20 appena aggiunto contiene disposizioni particolari sulla sicurezza e lo sviluppo dell'intelligenza artificiale,che chiarisce che lo Stato sostiene la ricerca teorica di base e la R & S sulle tecnologie chiave dell'IA, migliorando al contempo le norme etiche e rafforzando il monitoraggio, la valutazione e la vigilanza dei rischi.Ciò significa che le imprese che utilizzano la tecnologia dell'IA per elaborare i dati biometrici dovranno affrontare requisiti di revisione etica e di vigilanza della sicurezza più severi.
2- Aumento sostanziale delle sanzioni per costruire un forte sistema di deterrenza
Il limite massimo delle multe è passato da 1 milione di yuan a 10 milioni di yuan nella versione riveduta, con l'aggiunta di nuovi tipi di sanzioni come la sospensione delle operazioni di applicazione.La responsabilità giuridica si estende dalle imprese ai privatiIl costo nettamente aumentato delle violazioni pone maggiori requisiti alle procedure di trattamento dei dati biometrici.
3- Coordinamento delle tre leggi per formare una stretta rete di regolamentazione
La versione riveduta rafforza il collegamento sistematico con la legge sulla sicurezza dei dati e la legge sulla protezione delle informazioni personali,fornire linee guida chiare per l'applicazione della legge attraverso clausole di riferimento applicabiliQuando si trattano i dati biometrici, le imprese devono soddisfare i requisiti di tutte e tre le leggi contemporaneamente e la negligenza in qualsiasi collegamento può innescare azioni di applicazione della legge.
4- Clausole flessibili per l'applicazione della legge
In particolare, l'articolo 73 recentemente aggiunto è collegato alla legge sulle sanzioni amministrative, chiarendo che le imprese possono beneficiare di misure mitigate,riduzione o assenza di punizione se prendono l'iniziativa di eliminare le conseguenze dannoseQuesta clausola fornisce un "buffer di sicurezza" per le imprese con sforzi attivi di conformità.
II. Linee rosse di conformità e linee inferiori per i dati biometrici
La legge sulla sicurezza informatica e i regolamenti di supporto definiscono congiuntamente le "linee rosse" e le "linee di fondo" per l'elaborazione dei dati biometrici.le imprese devono soddisfare i requisiti di conformità nelle seguenti dimensioni:.
1- Definizione e classificazione delle informazioni sensibili
Le informazioni biometriche sono esplicitamente elencate come "informazioni personali sensibili", tra cui il viso, le impronte digitali, le impronte vocali, l'iride, le informazioni genetiche e così via.Ciò significa che, indipendentemente dalla tecnologia biometrica che un'impresa adotta, i dati raccolti saranno soggetti al più elevato livello di protezione.
2Requisiti di conformità a tutto il ciclo di vita
| Legame di conformità |
Requisiti fondamentali |
Base giuridica |
| Notifica di riscossione |
Ottenere il consenso separato dell'individuo e informare chiaramente lo scopo e il metodo del trattamento |
Articolo 29 della legge sulla protezione delle informazioni personali |
| Valutazione dell'impatto |
Condurre una valutazione d'impatto sulla protezione dei dati personali (PIA) prima dell'uso |
Articolo 9 delle misure per l'amministrazione della sicurezza dell'applicazione della tecnologia di riconoscimento facciale |
| Sicurezza della trasmissione |
Adottare almeno la crittografia del canale e combinarla preferibilmente con la crittografia del contenuto |
GB/T 45574-2025 Tecnologia di sicurezza dei dati Requisiti di sicurezza per il trattamento di informazioni personali sensibili |
| Sicurezza dello stoccaggio |
Storaggio crittografato e modelli biometrici non reversibili |
Diritto della sicurezza informatica + Diritto della sicurezza dei dati |
| Audit della conformità |
I responsabili del trattamento che trattano informazioni di più di 1 milione di persone devono nominare una persona responsabile della protezione |
Misure per l'amministrazione delle verifiche di conformità alla protezione dei dati personali |
| Notifica del sito |
Gli apparecchi di raccolta installati in luoghi pubblici devono essere muniti di segnali di segnalazione visibili |
Articolo 26 della legge sulla protezione delle informazioni personali |
Da quanto precede risulta che i regolamenti non si concentrano solo sulla notifica e sul consenso nel collegamento di raccolta dei dati,La Commissione ha inoltre adottato una direttiva che prevede la possibilità di estendere la vigilanza regolamentare a tutto il ciclo di vita della trasmissione dei dati.In tale quadro normativo, la Commissione ha adottato una direttiva che stabilisce le norme di base per la gestione dei rifiuti.l'architettura di sicurezza della tecnologia biometrica stessa diventa una variabile chiave per la conformità ̇ la qualità della selezione tecnica determina direttamente il livello dei costi di conformità.
III. Iris vs. Face: privacy e conformità Confronto delle due tecnologie
In uno scenario biometrico a livello aziendale, il riconoscimento facciale e l'iris sono le due vie tecniche più diffuse.i due mostrano differenze significative nella sicurezza dei dati e nella protezione della privacy.
| Dimensione di confronto |
Riconoscimento facciale |
Riconoscimento dell' iris |
| Reversibilità dei dati |
Le immagini facciali possono essere ripristinate alle foto originali, con un elevato rischio di perdita |
I modelli di codifica dell'iride non sono reversibili, naturalmente conformi al principio dei "dati disponibili ma non visibili" |
| Rischio di contraffazione a distanza |
Può essere decifrato attraverso foto, video e tecnologia deepfake di IA. |
L'iride si trova all'interno del bulbo oculare e non può essere raccolta o forgiata da remoto |
| Compliance nei luoghi pubblici |
Sono richiesti segnali di indicazione ben visibili e l'installazione in spazi privati è vietata |
Raccolta attiva e cooperativa, con una maggiore consapevolezza degli utenti |
| Sicurezza della memorizzazione dei dati |
I vettori delle caratteristiche facciali hanno ancora una certa reversibilità dopo lo stoccaggio |
Crittografia AES-256 a livello di chip, archiviazione isolata da hardware, con maggiore sicurezza dei dati |
| Difficoltà di valutazione dell'impatto |
È necessario considerare diversi fattori di rischio come la raccolta di dati sulla privacy e i deepfakes |
L'architettura tecnica evita intrinsecamente la maggior parte dei rischi, semplificando il processo di valutazione |
| Accuratezza del riconoscimento |
Influenzato da fattori quali la luce, l'angolo e il trucco, con un tasso di errato riconoscimento di circa uno su un milione |
L'accuratezza del riconoscimento binoculare raggiunge uno su un miliardo, senza essere influenzata da cambiamenti di aspetto |
Dal punto di vista della conformità, la tecnologia di riconoscimento dell'iride presenta significativi vantaggi strutturali.Il suo nucleo risiede nel fatto che "i dati sono disponibili ma non visibili" il modello digitale generato dopo aver codificato le caratteristiche dell'iride non può essere restituito all'immagine biologica originaleAnche se il database viene violato, gli aggressori non possono ripristinare le caratteristiche biometriche dell'utente. This technical feature is naturally consistent with the storage requirement of "non-reversible restoration" for biometric templates in the Security Requirements for Processing Sensitive Personal Information.
La tecnologia di riconoscimento facciale, al contrario, deve affrontare maggiori sfide di conformità. The Measures for the Security Administration of Facial Recognition Technology Application clearly requires a Personal Information Protection Impact Assessment (PIA) before using facial recognition technology, vieta l'installazione di apparecchiature di riconoscimento facciale in spazi privati come camere d'albergo e bagni pubblici e impone la fornitura di soluzioni alternative di identificazione.Queste disposizioni speciali riflettono le preoccupazioni dei regolatori sui rischi inerenti alla tecnologia di riconoscimento facciale.
IV. Soluzioni di conformità di Homsh
Come pioniere nella tecnologia di riconoscimento dell'iride in Cina, la WuHan Homsh Technology Co., Ltd. (Homsh) ha costruito un sistema tecnico completo dai chip ai terminali e dagli algoritmi alle soluzioni,in grado di fornire alle imprese soluzioni di riconoscimento biometrico a livello di conformità a collegamento completo.
1Fase III.0: Architettura di algoritmi a livello di conformità
Fase III.0, l'algoritmo di riconoscimento dell'iride di terza generazione sviluppato indipendentemente da Homsh,adotta una larghezza di operazione a 384 bit e può comprimere il formato del modello di dati di caratteristica a 2KB senza ridurre i punti di caratteristica biometriciÈ fondamentale notare che non esiste una relazione di inferenza inversa matematica tra il modello digitale codificato e l'immagine originale dell'iride, realizzando veri "dati disponibili ma non visibili".La precisione del riconoscimento binoculare raggiunge uno su un miliardo, nettamente superiore alla media del settore.
2. Chips della serie Qianxin: Barriera di sicurezza a livello hardware
I chip ASIC dedicati della serie Qianxin per il riconoscimento dell'iride lanciati da Homsh sono i primi chip al mondo che implementano completamente l'algoritmo di riconoscimento dell'iride nell'hardware.Diverso dal software tradizionale + architettura del processore generale, i chip Qianxin adottano un'architettura di isolamento del sistema on-chip, combinata con crittografia AES-256 hardware completa,garantire che i dati del modello dell'iride siano trattati in un ambiente di sicurezza hardware durante l'intero processo di raccoltaLa velocità di codifica è inferiore a 50 ms e il tempo di corrispondenza del singolo nucleo è di soli 320 nanosecondi.
Ciò significa che i dati biometrici non esistono mai in testo semplice in uno spazio di memoria accessibile al software.eliminare fondamentalmente il rischio di fuga di dati a livello del software.
3Termini di controllo di accesso della serie D e cancelli di canalizzazione della serie G: terminali di implementazione della conformità
A livello di prodotto terminale, i terminali di controllo di accesso Iris serie D di Homsh ̇ e i cancelli dei canali Iris serie G sono tutti costruiti con chip Qianxin,supporto al completamento di tutti i processi di riconoscimento a livello locale sul lato del dispositivoQuesta architettura "edge-side computing" significa che i dati biometrici non devono essere caricati sul server,evitare il rischio di perdite di dati nella trasmissione della rete e semplificare notevolmente il processo di audit della conformità dell'impresa.
I terminali di controllo di accesso della serie D supportano una distanza di riconoscimento da 30 cm a 70 cm, completa registrazione e autenticazione dell'iride binoculare in 1 secondo,e un singolo dispositivo può memorizzare decine di migliaia di dati templateI cancelli dei canali della serie G sono adatti a scenari ad alto traffico come grandi parchi e impianti industriali, supportando la collaborazione in rete multi-dispositivo.
V. Suggerimenti per l'attuazione della conformità biometrica aziendale
Sulla base dei requisiti della legge sulla sicurezza informatica riveduta e dei regolamenti di supporto, raccomandiamo alle imprese di promuovere la costruzione della conformità biometrica a partire dai cinque livelli seguenti.
Fase 1: dare priorità all'audit della conformità
Le imprese dovrebbero in primo luogo condurre un audit completo della conformità dei sistemi biometrici esistenti per valutare se l'attuale sistema soddisfa i requisiti della legge sulla sicurezza informatica,Legge sulla protezione delle informazioni personali e norme nazionali pertinenti• concentrarsi sulla revisione del meccanismo di notifica e di consenso per la raccolta dei dati, dei metodi di crittografia della trasmissione, delle politiche di sicurezza dell'archiviazione e dei meccanismi di cancellazione dei dati.
Fase 2: miglioramento della selezione tecnica
Dare la priorità alle tecnologie biometriche con caratteristiche di "ripristino non reversibile" per ridurre i rischi per la sicurezza dei dati dalla fonte.La tecnologia di riconoscimento dell'iride ha vantaggi naturali nel soddisfare i requisiti di conformità a causa dell'irreversibilità dei suoi modelli codificati.Allo stesso tempo, i prodotti con capacità di crittografia a livello hardware dovrebbero essere selezionati per evitare potenziali rischi per la sicurezza causati da soluzioni software pure.
Passo 3: dare la priorità al edge-side computing
Adottare, per quanto possibile, un'architettura di elaborazione edge-side per completare la raccolta, la codifica e la corrispondenza delle caratteristiche biometriche sul lato del dispositivo.Questo non solo riduce i rischi per la sicurezza della trasmissione della rete, ma semplifica anche la gestione della conformità del flusso di dati per le imprese.
Passo 4: Impostare una gestione del ciclo di vita completo
Stabilire un sistema completo di gestione del ciclo di vita dei dati biometrici, dalla notifica di raccolta, all'autorizzazione all'uso, alla crittografia di archiviazione, al monitoraggio degli audit fino alla cancellazione dei dati.Si raccomanda di nominare una persona dedicata responsabile della protezione dei dati personali e di condurre regolarmente audit di conformità..
Fase 5: Formare un sistema di documenti di conformità
Migliorare i documenti di conformità quali i rapporti di valutazione dell'impatto sulla protezione delle informazioni personali, i registri di elaborazione dei dati e i piani di risposta agli incidenti di sicurezza.In ispezioni regolamentari o audits di conformità, a complete document system can effectively prove the enterprise’s compliance efforts and trigger the protection of "mitigated or reduced punishment" in the new flexible law enforcement clauses of the Cybersecurity Law.
Conclusione: la conformità non è un costo, ma una competitività
La legge riveduta sulla sicurezza informatica invia un chiaro segnale al mercato: il trattamento dei dati biometrici non è più una questione interna del dipartimento tecnico,L'obiettivo è quello di migliorare la qualità del lavoro, ma è una questione strategica legata alla linea di vita della conformità dell'impresa.In questo contesto, la scelta di una tecnologia biometrica che soddisfi i requisiti di conformità a partire dal livello di progettazione architettonica non è solo una scelta ragionevole per ridurre i rischi,Il progetto è stato realizzato con l'obiettivo di promuovere la trasformazione digitale delle imprese..
Con la sua caratteristica tecnica di "dati disponibili ma non visibili", garanzia di sicurezza a livello hardware e precisione di riconoscimento di uno su un miliardo,Il riconoscimento dell'iride ha trovato l'equilibrio ottimale tra i requisiti di conformità e le prestazioni di sicurezzaPer le imprese che valutano l'aggiornamento della tecnologia biometrica, questo è un periodo di finestra per riesaminare la selezione tecnica e stabilire i vantaggi della conformità.
