Em 1 de janeiro de 2026, a Lei de Cibersegurança da República Popular da China entrou oficialmente em vigor.forma o projeto de alto nível do sistema legal de cibersegurança da China, juntamente com a Lei de Segurança de Dados e a Lei de Proteção de Informações PessoaisPara as empresas que dependem da tecnologia de reconhecimento biométrico para o controlo de segurança, this revision means far more than stricter penalties—it redefines the boundaries for processing biometric data and provides clear compliance guidance for enterprises in selecting biometric technologies.
Enquanto isso, as Medidas para a Administração de Segurança da Aplicação da Tecnologia de Reconhecimento Facial entraram em vigor em junho de 2025,que estabelece requisitos rigorosos para a avaliação de impacto e soluções alternativas especificamente para cenários de reconhecimento facial. The national standard GB/T 45574-2025 Data Security Technology—Security Requirements for Processing Sensitive Personal Information further specifies the classification and processing norms of biometric informationNo âmbito da superposição de várias regulamentações, a selecção da tecnologia biométrica pelas empresas passou de uma escolha puramente técnica para uma decisão estratégica de conformidade.
A Lei de Segurança Cibernética revisada aumentou o limite máximo de multas por violações de 1 milhão de yuans para 10 milhões de yuans, e adicionou penalidades como a suspensão da operação de aplicativos,Aumentar significativamente o custo das violações para as empresas.
I. Interpretação dos pontos-chave do novo regulamento
A revisão da Lei de Cibersegurança transmite vários sinais críticos.que marca uma modernização abrangente do sistema de governação da cibersegurança pelos legisladoresAs informações essenciais da revisão podem ser compreendidas a partir das seguintes quatro dimensões.
1Inteligência Artificial Incorporada pela Primeira Vez na Lei
O artigo 20.o recém-adicionado contém disposições especiais relativas à segurança e ao desenvolvimento da inteligência artificial,esclarecendo que o Estado apoia a investigação teórica básica e a I&D de tecnologias-chave da IA, melhorando as normas éticas e reforçando a monitorização, avaliação e supervisão dos riscos.Isto significa que as empresas que utilizam a tecnologia de IA para processar dados biométricos enfrentarão requisitos mais rigorosos de revisão ética e supervisão de segurança.
2Aumentar substancialmente as penalidades para construir um sistema de dissuasão forte
O limite superior das multas passou de 1 milhão de yuans para 10 milhões de yuans na versão revisada, com novos tipos de penalidades adicionados, como suspender as operações de aplicação.A responsabilidade jurídica estende-se das empresas aos indivíduosO aumento acentuado do custo das violações impõe exigências mais elevadas aos procedimentos de tratamento dos dados biométricos.
3Coordenação das três leis para formar uma estreita rede de regulamentação
A versão revista reforça a ligação sistemática com a Lei de Segurança de Dados e a Lei de Proteção de Informações Pessoais,fornecer orientações claras para a aplicação da lei através de cláusulas de referência aplicáveisAo processar dados biométricos, as empresas devem cumprir simultaneamente os requisitos das três leis, e a negligência em qualquer ligação pode desencadear ações de aplicação da lei.
4Cláusulas flexíveis de aplicação da lei
O artigo 73.o, recentemente acrescentado, está relacionado com a Lei das Sanções Administrativas, clarificando que as empresas podem beneficiar de medidas atenuantes,redução ou inexistência de punição se tomarem a iniciativa de eliminar as consequências prejudiciaisEsta cláusula fornece um "tampão de segurança" para as empresas com esforços ativos de conformidade.
II. Linhas vermelhas de conformidade e linhas inferiores para dados biométricos
A Lei de Cibersegurança revisada e os regulamentos de apoio definem conjuntamente as "linhas vermelhas" e "linhas de fundo" para o processamento de dados biométricos.As empresas devem cumprir os requisitos de conformidade nas seguintes dimensões:.
1Definição e Classificação de Informações Sensíveis
As informações biométricas são explicitamente listadas como "informações pessoais confidenciais", incluindo impressões faciais, digitais, de voz, de íris, informações genéticas, etc.Isto significa que, independentemente da tecnologia biométrica adoptada por uma empresa,, os dados recolhidos estarão sujeitos aos mais elevados requisitos de protecção.
2Requisitos de conformidade em todo o ciclo de vida
| Ligação de conformidade |
Requisitos essenciais |
Base jurídica |
| Notificação de cobrança |
Obter o consentimento separado do indivíduo e informar claramente a finalidade e o método do tratamento |
Artigo 29.o da Lei de Proteção de Informações Pessoais |
| Avaliação do impacto |
Realizar uma avaliação de impacto sobre a proteção de dados pessoais (PIA) antes da utilização |
Artigo 9.o das Medidas para a Administração de Segurança da Aplicação da Tecnologia de Reconhecimento Facial |
| Segurança da transmissão |
Adotar pelo menos a criptografia do canal e, de preferência, combiná-la com a criptografia do conteúdo |
GB/T 45574-2025 Tecnologia de segurança de dados Requisitos de segurança para o tratamento de informações pessoais sensíveis |
| Segurança do armazenamento |
Armazenamento criptografado e modelos biométricos não reversíveis |
Lei da cibersegurança + Lei da segurança dos dados |
| Auditoria da conformidade |
Os subcontratantes que tratem informações de mais de 1 milhão de pessoas devem designar uma pessoa responsável pela proteção |
Medidas de gestão das auditorias de conformidade em matéria de proteção de dados pessoais |
| Notificação do local |
Os equipamentos de recolha instalados em locais públicos devem estar equipados com sinais de aviso visíveis |
Artigo 26.o da Lei de Proteção de Informações Pessoais |
Os requisitos acima indicam que os regulamentos não se concentram apenas na notificação e no consentimento no link de recolha de dados,Mas também alargar a supervisão regulamentar ao ciclo de vida completo da transmissão de dados, armazenamento e auditoria.a própria arquitetura de segurança da tecnologia biométrica torna-se uma variável chave para a conformidade.
III. Iris vs Face: Privacidade e conformidade Comparação das duas tecnologias
Em cenários biométricos a nível empresarial, o reconhecimento facial e o reconhecimento da íris são as duas vias técnicas mais comuns.Os dois mostram diferenças significativas na segurança dos dados e na proteção da privacidade.
| Dimensão de comparação |
Reconhecimento facial |
Reconhecimento de Iris. |
| Reversibilidade dos dados |
As imagens faciais podem ser restauradas para fotos originais, com alto risco de vazamento |
Os modelos de codificação da íris não são reversíveis, conformando-se naturalmente ao princípio de "dados disponíveis mas não visíveis" |
| Risco de falsificação remota |
Pode ser decifrado através de fotos, vídeos e tecnologia de IA deepfake |
A íris está localizada dentro do globo ocular e não pode ser recolhida ou forjada remotamente |
| Conformidade em locais públicos |
São necessários sinais de aviso visíveis e a instalação em espaços privados é proibida. |
Recolha cooperativa ativa, com maior sensibilização dos utilizadores |
| Segurança do armazenamento de dados |
Os vetores dos traços faciais ainda têm uma certa reversibilidade após o armazenamento |
Criptografia AES-256 a nível de chip, armazenamento isolado por hardware, com maior segurança de dados |
| Dificuldade de avaliação do impacto |
Devem ser tidos em consideração vários factores de risco, tais como a recolha de dados pessoais e os deepfakes |
A arquitectura técnica evita inerentemente a maioria dos riscos, simplificando o processo de avaliação |
| Reconhecimento de precisão |
Afetado por fatores como luz, ângulo e maquiagem, com uma taxa de reconhecimento falso de cerca de um em um milhão |
A precisão do reconhecimento binocular chega a um em um bilhão, sem ser afetada por mudanças de aparência |
Do ponto de vista da conformidade, a tecnologia de reconhecimento de íris tem vantagens estruturais significativas.O seu núcleo reside nos "dados disponíveis mas não visíveis" - o modelo digital gerado após a codificação de características da íris não pode ser reversível restaurado para a imagem biológica originalMesmo que o banco de dados seja violado, os atacantes não podem restaurar as características biométricas do utilizador. This technical feature is naturally consistent with the storage requirement of "non-reversible restoration" for biometric templates in the Security Requirements for Processing Sensitive Personal Information.
A tecnologia de reconhecimento facial, em contraste, enfrenta mais desafios de conformidade. The Measures for the Security Administration of Facial Recognition Technology Application clearly requires a Personal Information Protection Impact Assessment (PIA) before using facial recognition technology, proíbe a instalação de equipamentos de reconhecimento facial em espaços privados, como quartos de hotel e banheiros públicos, e impõe o fornecimento de soluções alternativas de identificação.Estas disposições especiais reflectem as preocupações dos reguladores sobre os riscos inerentes da tecnologia de reconhecimento facial.
IV. Soluções de conformidade da Homsh ̊s
Como pioneira na tecnologia de reconhecimento de íris na China, a WuHan Homsh Technology Co., Ltd. (Homsh) construiu um sistema técnico completo, de chips a terminais e de algoritmos a soluções,Capaz de fornecer às empresas soluções de reconhecimento biométrico de nível de conformidade de ligação completa.
1Fase III.0: Arquitetura de algoritmos de nível de conformidade
Fase III.0, o algoritmo de reconhecimento de íris de terceira geração desenvolvido independentemente pela Homsh,adota uma largura de operação de 384 bits e pode comprimir o tamanho do modelo de dados de características para 2KB sem reduzir os pontos de características biométricasCrucialmente, não há relação de inferência inversa matemática entre o modelo digital codificado e a imagem de íris original, realizando verdadeiros "dados disponíveis, mas não visíveis".A precisão do reconhecimento binocular atinge um em um bilhão, muito superior à média do sector.
2Chips da série Qianxin: barreira de segurança de nível de hardware
Os chips ASIC dedicados da série Qianxin para reconhecimento de íris lançados pela Homsh são os primeiros chips do mundo a implementar totalmente o algoritmo de reconhecimento de íris no hardware.Diferente do software tradicional + arquitetura de processador de propósito geral, os chips Qianxin adotam uma arquitetura de isolamento do sistema no chip, combinada com criptografia AES-256 completa do hardware,assegurar que os dados do modelo de íris sejam processados num ambiente de segurança de hardware durante todo o processo de recolhaA velocidade de codificação é inferior a 50 ms e o tempo de correspondência de um único núcleo é de apenas 320 nanossegundos.
Isto significa que os dados biométricos nunca existem em texto simples em qualquer espaço de memória acessível por software,Eliminar fundamentalmente o risco de fuga de dados a nível do software, um nível de segurança que as soluções biométricas de software puro tradicionais não podem alcançar.
3Terminals de controlo de acesso da série D e portais de canal da série G: terminais de implementação da conformidade
No nível do produto terminal, os terminais de controle de acesso de íris da série D da Homsh ̇ e os portões de canal de íris da série G são todos construídos com chips Qianxin,apoiar a conclusão de todos os processos de reconhecimento localmente no lado do dispositivoEsta arquitetura "edge-side computing" significa que os dados biométricos não precisam ser carregados para o servidor,evitar o risco de fuga de dados na transmissão da rede e simplificar consideravelmente o processo de auditoria da conformidade da empresa.
Os terminais de controlo de acesso da série D suportam uma distância de reconhecimento de 30 cm a 70 cm, registo completo da íris binocular e autenticação em 1 segundo,e um único dispositivo pode armazenar dezenas de milhares de dados modeloOs portais de canal da série G são adequados para cenários de alto tráfego, como grandes parques e instalações industriais, suportando a colaboração em rede de vários dispositivos.
V. Sugestões para a implementação da conformidade biométrica na empresa
Com base nos requisitos da Lei de Segurança Cibernética revisada e regulamentos de apoio, recomendamos que as empresas promovam a construção de conformidade biométrica a partir dos cinco níveis seguintes.
Passo 1: dar prioridade à auditoria de conformidade
As empresas devem, em primeiro lugar, realizar uma auditoria abrangente da conformidade dos sistemas biométricos existentes para avaliar se o sistema atual cumpre os requisitos da Lei de Cibersegurança,Lei relativa à proteção de dados pessoais e normas nacionais pertinentes- concentrar-se na revisão do mecanismo de notificação e consentimento para a recolha de dados, métodos de encriptação da transmissão, políticas de segurança do armazenamento e mecanismos de eliminação de dados.
Passo 2: Melhorar a selecção técnica
Dar prioridade às tecnologias biométricas com características de "restauração não reversível" para reduzir os riscos de segurança dos dados provenientes da fonte.A tecnologia de reconhecimento de íris tem vantagens naturais no cumprimento dos requisitos de conformidade devido à irreversibilidade dos modelos codificados.Ao mesmo tempo, devem ser selecionados produtos com capacidades de encriptação a nível de hardware para evitar potenciais riscos de segurança causados por soluções puramente de software.
Passo 3: Priorizar a Computação de Lado de Frente
Adotar, tanto quanto possível, uma arquitetura de computação do lado da borda para completar a recolha, codificação e correspondência de características biométricas no lado do dispositivo.Isto não só reduz os riscos de segurança da transmissão da redeA solução de chip Qianxin da Homsh ̇ é uma prática típica deste conceito.
Passo 4: Estabelecer uma gestão do ciclo de vida completo
Estabelecer um sistema completo de gestão do ciclo de vida dos dados biométricos, desde a notificação da recolha, autorização de utilização, encriptação do armazenamento, acompanhamento da auditoria até à eliminação dos dados.Recomenda-se a nomeação de uma pessoa específica encarregada da proteção das informações pessoais e a realização de auditorias regulares de conformidade..
Etapa 5: Formar um sistema de documentos de conformidade
Melhorar os documentos de conformidade, tais como relatórios de avaliação do impacto da proteção de informações pessoais, registos de processamento de dados e planos de resposta a incidentes de segurança.Em inspecções regulamentares ou auditorias de conformidade, a complete document system can effectively prove the enterprise’s compliance efforts and trigger the protection of "mitigated or reduced punishment" in the new flexible law enforcement clauses of the Cybersecurity Law.
Conclusão: O cumprimento não é um custo, mas uma competitividade
A Lei de Cibersegurança revista envia um sinal claro para o mercado: o tratamento de dados biométricos não é mais uma questão interna do departamento técnico,Mas uma questão estratégica relacionada com a linha de vida da conformidade da empresaNeste contexto, a escolha de uma tecnologia biométrica que satisfaça os requisitos de conformidade a partir do nível do projecto arquitectónico não é apenas uma escolha razoável para reduzir os riscos,Mas também uma vantagem competitiva na transformação digital da empresa.
Com a sua característica técnica de "dados disponíveis, mas não visíveis", garantia de segurança ao nível do hardware e precisão de reconhecimento de um em um bilhão,O reconhecimento de íris encontrou o equilíbrio ideal entre os requisitos de conformidade e o desempenho de segurançaPara as empresas que avaliam a actualização da tecnologia biométrica, este é um período de janela para reexaminar a selecção técnica e estabelecer vantagens de conformidade.
