در 1 ژانویه 2026، قانون تجدیدنظر شده امنیت سایبری جمهوری خلق چین رسماً اجرایی شد. به عنوان اولین بازنگری عمده این قانون اساسی از زمان تصویب آن در سال 2016، این قانون طراحی سطح بالای سیستم حقوقی امنیت سایبری چین را همراه با قانون امنیت داده ها و قانون حفاظت از اطلاعات شخصی تشکیل می دهد. برای شرکتهایی که برای کنترل امنیتی به فناوری تشخیص بیومتریک تکیه میکنند، این تجدیدنظر به معنای بسیار بیشتر از مجازاتهای سختتر است - مرزهای پردازش دادههای بیومتریک را دوباره تعریف میکند و راهنماییهای انطباق واضح را برای شرکتها در انتخاب فناوریهای بیومتریک ارائه میدهد.
در همین حال، اقدامات برای مدیریت امنیتی برنامه فناوری تشخیص چهره در ژوئن 2025 اعمال شد و الزامات سختگیرانه ای را برای ارزیابی تأثیر و راه حل های جایگزین به طور خاص برای سناریوهای تشخیص چهره تعیین کرد. استاندارد ملی GB/T 45574-2025 فناوری امنیت داده — الزامات امنیتی برای پردازش اطلاعات حساس شخصی، طبقه بندی و هنجارهای پردازش اطلاعات بیومتریک را بیشتر مشخص می کند. بر اساس قوانین متعدد، انتخاب شرکتها از فناوری بیومتریک از یک انتخاب فنی خالص به یک تصمیم انطباق استراتژیک تبدیل شده است.
قانون بازنگری شده امنیت سایبری حد بالایی جریمه تخلفات را از 1 میلیون یوان به 10 میلیون یوان افزایش داده و مجازات هایی مانند تعلیق عملکرد برنامه ها را اضافه کرده است که به طور قابل توجهی هزینه تخلف را برای شرکت ها افزایش می دهد.
I. تفسیر نکات کلیدی مقررات جدید
بازنگری قانون امنیت سایبری چندین سیگنال مهم را منتقل می کند. اول، این اولین بازنگری اساسی این قانون اساسی در نزدیک به یک دهه است که نشان دهنده ارتقای جامع سیستم حاکمیت امنیت سایبری توسط قانونگذاران است. اطلاعات اصلی تجدید نظر را می توان از چهار بعد زیر فهمید.
1. هوش مصنوعی برای اولین بار در قانون گنجانده شد
ماده 20 که به تازگی اضافه شده، مقررات ویژه ای را در مورد امنیت و توسعه هوش مصنوعی ایجاد می کند و تصریح می کند که دولت از تحقیقات نظری پایه و فناوری کلیدی تحقیق و توسعه هوش مصنوعی حمایت می کند، در حالی که هنجارهای اخلاقی را بهبود می بخشد و نظارت، ارزیابی و نظارت امنیتی را تقویت می کند. این بدان معناست که شرکتهایی که از فناوری هوش مصنوعی برای پردازش دادههای بیومتریک استفاده میکنند، با بررسی اخلاقی سختگیرانهتر و الزامات نظارت امنیتی مواجه خواهند شد.
2. افزایش قابل ملاحظه مجازات برای ایجاد یک سیستم بازدارندگی قوی
حد بالای جریمه ها از 1 میلیون یوان به 10 میلیون یوان در نسخه اصلاح شده افزایش یافته است و انواع جریمه های جدیدی مانند تعلیق عملیات برنامه اضافه شده است. در عین حال، مسئولیت قانونی از شرکت ها به افراد نیز تسری می یابد و کارکنان مستقیماً مسئول با مجازات های سخت تری مواجه خواهند شد. افزایش شدید هزینه تخلفات الزامات بالاتری را برای رویه های پردازش داده های بیومتریک ایجاد می کند.
3. هماهنگی سه قانون برای تشکیل شبکه نظارتی فشرده
نسخه اصلاح شده ارتباط سیستماتیک با قانون امنیت داده ها و قانون حفاظت از اطلاعات شخصی را تقویت می کند و دستورالعمل های اجرای قانون واضح را از طریق بندهای "مرجع قابل اجرا" ارائه می دهد. هنگام پردازش داده های بیومتریک، شرکت ها باید الزامات هر سه قانون را به طور همزمان برآورده کنند و سهل انگاری در هر پیوند ممکن است اقدامات اجرای قانون را آغاز کند.
4. بندهای اجرای قانون انعطاف پذیر
قابل ذکر است که ماده 73 جدید الحاقی مرتبط با قانون مجازاتهای اداری است و تصریح میکند که اگر بنگاهها ابتکار عمل برای رفع عواقب زیانبار، اصلاح سریع تخلفات جزئی بدون عواقب زیانآور یا نداشتن تقصیر ذهنی را داشته باشند، ممکن است تخفیف، تخفیف یا عدم مجازات صادر شود. این بند یک "حافظ ایمنی" را برای شرکت هایی که تلاش های فعال برای انطباق دارند، فراهم می کند.
II. رعایت خطوط قرمز و خطوط پایین برای داده های بیومتریک
قانون تجدیدنظر شده امنیت سایبری و مقررات حمایتی به طور مشترک "خطوط قرمز" و "خطوط پایین" را برای پردازش دادههای بیومتریک تعریف میکنند. هنگام استقرار سیستم های بیومتریک، شرکت ها باید الزامات انطباق را در ابعاد زیر رعایت کنند.
1. تعریف و طبقه بندی اطلاعات حساس
اطلاعات بیومتریک به صراحت به عنوان "اطلاعات شخصی حساس" از جمله چهره، اثر انگشت، اثر صوتی، عنبیه، اطلاعات ژنتیکی و غیره ذکر شده است. این بدان معنی است که مهم نیست که یک شرکت از کدام فناوری بیومتریک استفاده می کند، داده های جمع آوری شده مشمول بالاترین سطح الزامات حفاظتی خواهند بود.
2. الزامات انطباق کامل با چرخه زندگی
| پیوند انطباق |
الزامات اصلی |
مبنای حقوقی |
| اطلاعیه مجموعه |
رضایت جداگانه ای را از فرد دریافت کنید و هدف و روش پردازش را به وضوح اعلام کنید |
ماده 29 قانون حفاظت از اطلاعات شخصی |
| ارزیابی تاثیر |
قبل از استفاده، یک ارزیابی تأثیر حفاظت از اطلاعات شخصی (PIA) انجام دهید |
ماده 9 اقدامات برای مدیریت امنیتی برنامه فناوری تشخیص چهره |
| امنیت انتقال |
حداقل رمزگذاری کانال را بپذیرید و ترجیحاً آن را با رمزگذاری محتوا ترکیب کنید |
فناوری امنیت داده GB/T 45574-2025 — الزامات امنیتی برای پردازش اطلاعات شخصی حساس |
| امنیت ذخیره سازی |
ذخیره سازی رمزگذاری شده و الگوهای بیومتریک باید غیرقابل برگشت باشند |
قانون امنیت سایبری + قانون امنیت داده ها |
| حسابرسی انطباق |
پردازشگرهایی که اطلاعات بیش از 1 میلیون نفر را مدیریت می کنند باید یک مسئول حفاظتی را تعیین کنند |
اقدامات برای مدیریت نظارت بر انطباق حفاظت از اطلاعات شخصی |
| اطلاع رسانی سایت |
تجهیزات جمع آوری نصب شده در اماکن عمومی باید مجهز به علائم برجسته باشد |
ماده 26 قانون حفاظت از اطلاعات شخصی |
از الزامات فوق می توان دریافت که مقررات نه تنها بر اطلاع رسانی و رضایت در پیوند جمع آوری داده ها تمرکز دارد، بلکه نظارت نظارتی را به چرخه حیات کامل انتقال، ذخیره سازی و ممیزی داده ها نیز گسترش می دهد. تحت چنین چارچوب نظارتی، معماری امنیتی فناوری بیومتریک خود به یک متغیر کلیدی برای انطباق تبدیل میشود - کیفیت انتخاب فنی مستقیماً سطح هزینههای انطباق را تعیین میکند.
III. Iris vs. Face: مقایسه حریم خصوصی و انطباق دو فناوری
در سناریوهای بیومتریک سطح سازمانی، تشخیص چهره و تشخیص عنبیه دو روش اصلی فنی هستند. با این حال، تحت چارچوب انطباق جدید، این دو تفاوت های قابل توجهی در امنیت داده ها و حفاظت از حریم خصوصی نشان می دهند.
| بعد مقایسه |
تشخیص چهره |
تشخیص زنبق |
| برگشت پذیری داده ها |
تصاویر چهره را میتوان به عکسهای اصلی بازگرداند، با خطر بالای نشت |
الگوهای رمزگذاری عنبیه غیرقابل برگشت هستند و به طور طبیعی با اصل "داده های موجود اما قابل مشاهده نیستند" مطابقت دارند. |
| خطر جعل از راه دور |
میتوان از طریق عکسها، ویدیوها و فناوری دیپفیک هوش مصنوعی کرک کرد |
عنبیه در داخل کره چشم قرار دارد و نمی توان آن را از راه دور جمع آوری یا جعل کرد |
| رعایت مکان عمومی |
نشانه های برجسته ضروری است و نصب در فضاهای خصوصی ممنوع است |
مجموعه تعاونی فعال، با آگاهی بیشتر کاربران |
| امنیت ذخیره سازی داده ها |
بردارهای ویژگی صورت هنوز پس از ذخیره سازی برگشت پذیری خاصی دارند |
رمزگذاری AES-256 سطح تراشه، ذخیره سازی جدا شده از سخت افزار، با امنیت داده بالاتر |
| دشواری ارزیابی تاثیر |
عوامل خطر متعددی مانند جمع آوری حریم خصوصی و دیپ فیک باید در نظر گرفته شوند |
معماری فنی ذاتا از بیشتر خطرات جلوگیری می کند و فرآیند ارزیابی را ساده تر می کند |
| دقت تشخیص |
تحت تأثیر عواملی مانند نور، زاویه و آرایش، با نرخ تشخیص کاذب حدود یک در میلیون |
دقت تشخیص دوچشمی بدون تاثیر تغییرات ظاهری به یک در میلیارد می رسد |
از دیدگاه انطباق، فناوری تشخیص عنبیه دارای مزایای ساختاری قابل توجهی است. هسته آن در "داده های موجود اما قابل مشاهده نیست" نهفته است - الگوی دیجیتالی که پس از رمزگذاری ویژگی های عنبیه ایجاد شده است را نمی توان به صورت معکوس به تصویر بیولوژیکی اصلی بازگرداند. حتی اگر پایگاه داده نقض شود، مهاجمان نمی توانند ویژگی های بیومتریک کاربر را بازیابی کنند. این ویژگی فنی طبیعتاً با الزامات ذخیره سازی "بازیابی غیر قابل برگشت" برای الگوهای بیومتریک در الزامات امنیتی برای پردازش اطلاعات شخصی حساس مطابقت دارد.
در مقابل، فناوری تشخیص چهره با چالشهای انطباق بیشتری مواجه است. اقدامات مربوط به مدیریت امنیتی برنامه فناوری تشخیص چهره به وضوح نیاز به ارزیابی تأثیر حفاظت از اطلاعات شخصی (PIA) قبل از استفاده از فناوری تشخیص چهره دارد، نصب تجهیزات تشخیص چهره در فضاهای خصوصی مانند اتاق های هتل و حمام های عمومی را ممنوع می کند و ارائه راه حل های شناسایی جایگزین را الزامی می کند. این مقررات ویژه منعکس کننده نگرانی های تنظیم کننده در مورد خطرات ذاتی فناوری تشخیص چهره است.
IV. راهکارهای انطباق همش
به عنوان پیشگام در فناوری تشخیص عنبیه در چین، شرکت فناوری ووهان همش (Homsh) یک سیستم فنی کامل از تراشهها تا پایانهها و از الگوریتمها تا راهحلها ساخته است که میتواند راهحلهای تشخیص بیومتریک در سطح انطباق کامل را برای شرکتها فراهم کند.
1. PhaseIris 3.0: معماری الگوریتم سطح انطباق
PhaseIris 3.0، نسل سوم الگوریتم تشخیص عنبیه هسته که به طور مستقل توسط Homsh توسعه یافته است، از عرض عملیات 384 بیتی استفاده می کند و می تواند اندازه الگوی داده ویژگی را بدون کاهش نقاط ویژگی بیومتریک به 2 کیلوبایت فشرده کند. مهمتر از همه، هیچ رابطه استنتاج معکوس ریاضی بین الگوی دیجیتال رمزگذاری شده و تصویر عنبیه اصلی وجود ندارد، که "داده های موجود اما قابل مشاهده" واقعی است. دقت تشخیص دوچشمی به یک در یک میلیارد می رسد که بسیار بیشتر از میانگین صنعت است.
2. چیپ های سری Qianxin: مانع امنیتی در سطح سخت افزار
تراشه های اختصاصی سری Qianxin ASIC برای تشخیص عنبیه که توسط Homsh راه اندازی شده اند، اولین تراشه های جهان هستند که الگوریتم تشخیص عنبیه را به طور کامل در سخت افزار پیاده سازی می کنند. تراشههای Qianxin متفاوت از نرمافزارهای سنتی + معماری پردازندههای همه منظوره، از معماری جداسازی سیستم روی تراشه، همراه با رمزگذاری کامل سختافزاری AES-256 استفاده میکنند و تضمین میکنند که دادههای قالب عنبیه در یک محیط امنیتی سختافزاری در کل فرآیند جمعآوری، کدگذاری، تطبیق و ذخیرهسازی پردازش میشوند. سرعت رمزگذاری کمتر از 50 میلیثانیه است و زمان تطبیق تک هستهای تنها 320 نانوثانیه است.
این بدان معناست که دادههای بیومتریک هرگز به صورت متن ساده در هیچ فضای حافظه قابل دسترسی نرمافزار وجود ندارد و اساساً خطر نشت دادهها در سطح نرمافزار را حذف میکند - سطح امنیتی که راهحلهای بیومتریک نرمافزار خالص سنتی نمیتوانند به آن دست یابند.
3. پایانههای کنترل دسترسی سری D و دروازههای کانال سری G: پایانههای پیادهسازی سازگاری
در سطح محصول ترمینال، پایانههای کنترل دسترسی عنبیه عنبیه سری D Homsh و دروازههای کانال کانال عنبیه سری G همگی با تراشههای Qianxin ساخته شدهاند که از تکمیل تمام فرآیندهای شناسایی به صورت محلی در سمت دستگاه پشتیبانی میکنند. این معماری "محاسبات سمت لبه" به این معنی است که داده های بیومتریک نیازی به آپلود در سرور ندارند، از خطر نشت داده ها در انتقال شبکه جلوگیری می کند و فرآیند ممیزی انطباق شرکت را بسیار ساده می کند.
پایانههای کنترل دسترسی سری D از فاصله تشخیص 30 تا 70 سانتیمتر، ثبت کامل عنبیه دوچشمی و احراز هویت در عرض 1 ثانیه پشتیبانی میکنند و یک دستگاه میتواند دهها هزار داده الگو را ذخیره کند. دروازه های کانال سری G برای سناریوهای پرترافیک مانند پارک های بزرگ و تاسیسات صنعتی مناسب هستند و از همکاری شبکه چند دستگاهی پشتیبانی می کنند.
V. پیشنهادات برای اجرای انطباق بیومتریک سازمانی
بر اساس الزامات قانون امنیت سایبری اصلاحشده و مقررات حمایتی، توصیه میکنیم که شرکتها ساختوساز انطباق بیومتریک را از پنج سطح زیر ترویج کنند.
مرحله 1: اولویت بندی حسابرسی انطباق
شرکتها ابتدا باید یک ممیزی انطباق جامع از سیستمهای بیومتریک موجود انجام دهند تا ارزیابی کنند که آیا سیستم فعلی الزامات قانون امنیت سایبری، قانون حفاظت از اطلاعات شخصی و استانداردهای ملی مربوطه را برآورده میکند یا خیر. بر بررسی مکانیسم اطلاع رسانی و رضایت برای جمع آوری داده ها، روش های رمزگذاری انتقال، سیاست های امنیتی ذخیره سازی و مکانیسم های حذف داده ها تمرکز کنید.
مرحله 2: انتخاب فنی را ارتقا دهید
اولویتبندی فناوریهای بیومتریک با ویژگیهای «بازیابی غیرقابل برگشت» برای کاهش خطرات امنیت داده از منبع. فناوری تشخیص عنبیه به دلیل برگشت ناپذیری الگوهای کدگذاری شده آن، مزایای طبیعی در برآوردن الزامات انطباق دارد. در عین حال، محصولاتی با قابلیت رمزگذاری در سطح سخت افزار باید انتخاب شوند تا از خطرات امنیتی احتمالی ناشی از راه حل های نرم افزاری خالص جلوگیری شود.
مرحله 3: محاسبات لبه را در اولویت قرار دهید
برای تکمیل مجموعه، کدگذاری و تطبیق ویژگیهای بیومتریک در سمت دستگاه، تا حد امکان از یک معماری محاسباتی لبه استفاده کنید. این نه تنها خطرات امنیتی انتقال شبکه را کاهش می دهد، بلکه مدیریت انطباق جریان داده را برای شرکت ها ساده می کند. راه حل تراشه Qianxin Homsh یک عمل معمولی از این مفهوم است.
مرحله 4: مدیریت چرخه زندگی کامل را ایجاد کنید
ایجاد یک سیستم مدیریت چرخه عمر کامل برای داده های بیومتریک، از اطلاع رسانی جمع آوری، مجوز استفاده، رمزگذاری ذخیره سازی، ردیابی ممیزی تا حذف داده ها. توصیه می شود یک فرد اختصاصی مسئول حفاظت از اطلاعات شخصی تعیین کنید و ممیزی های انطباق منظم را انجام دهید.
مرحله 5: یک سیستم سند انطباق تشکیل دهید
اسناد انطباق مانند گزارشهای ارزیابی تأثیر حفاظت از اطلاعات شخصی، سوابق پردازش دادهها و طرحهای پاسخ به حوادث امنیتی را بهبود بخشید. در بازرسیهای نظارتی یا ممیزیهای انطباق، یک سیستم سند کامل میتواند به طور موثر تلاشهای انطباق شرکت را ثابت کند و حفاظت از "تخفیف یا کاهش مجازات" را در بندهای جدید اجرای قانون انعطافپذیر قانون امنیت سایبری ایجاد کند.
نتیجه گیری: انطباق یک هزینه نیست، بلکه یک رقابت است
قانون بازنگری شده امنیت سایبری سیگنال روشنی را به بازار ارسال می کند: پردازش داده های بیومتریک دیگر یک موضوع داخلی بخش فنی نیست، بلکه یک موضوع استراتژیک مربوط به خط حیاتی انطباق شرکت است. در این زمینه، انتخاب یک فناوری بیومتریک که الزامات انطباق را از سطح طراحی معماری برآورده می کند، نه تنها یک انتخاب معقول برای کاهش خطرات است، بلکه یک مزیت رقابتی در تحول دیجیتال شرکت است.
تشخیص عنبیه با ویژگی فنی "داده های موجود اما قابل مشاهده"، ضمانت امنیتی در سطح سخت افزار و دقت تشخیص یک در میلیارد، تعادل بهینه را بین الزامات انطباق و عملکرد امنیتی پیدا کرده است. برای شرکتهایی که ارتقاء فناوری بیومتریک را ارزیابی میکنند، این یک دوره پنجره برای بررسی مجدد انتخاب فنی و ایجاد مزایای انطباق است.
