Le 1er janvier 2026, la loi révisée sur la cybersécurité de la République populaire de Chine est officiellement entrée en vigueur.Il constitue la conception de haut niveau du système juridique de cybersécurité de la Chine avec la loi sur la sécurité des données et la loi sur la protection des renseignements personnels.Pour les entreprises qui utilisent la technologie de reconnaissance biométrique pour le contrôle de la sécurité, this revision means far more than stricter penalties—it redefines the boundaries for processing biometric data and provides clear compliance guidance for enterprises in selecting biometric technologies.
Pendant ce temps, les mesures pour l'administration de la sécurité de l'application de la technologie de reconnaissance faciale sont entrées en vigueur en juin 2025,fixant des exigences strictes en matière d'évaluation d'impact et de solutions alternatives spécifiquement pour les scénarios de reconnaissance faciale. The national standard GB/T 45574-2025 Data Security Technology—Security Requirements for Processing Sensitive Personal Information further specifies the classification and processing norms of biometric informationEn raison de la superposition de réglementations multiples, la sélection de la technologie biométrique par les entreprises est passée d'un choix purement technique à une décision stratégique de conformité.
La loi révisée sur la cybersécurité a augmenté la limite supérieure des amendes pour violations de 1 million de yuans à 10 millions de yuans, et a ajouté des sanctions telles que la suspension du fonctionnement des applications,augmentation significative du coût des infractions pour les entreprises.
I. Interprétation des points clés du nouveau règlement
La révision de la loi sur la cybersécurité transmet plusieurs signaux critiques. Premièrement, il s'agit de la première révision majeure de cette loi fondamentale depuis près d'une décennie,marquant une mise à niveau globale du système de gouvernance de la cybersécurité par les législateursL'information de base de la révision peut être comprise à partir des quatre dimensions suivantes.
1L'intelligence artificielle incorporée pour la première fois dans la loi
L'article 20 récemment ajouté contient des dispositions spéciales sur la sécurité et le développement de l'intelligence artificielle,précisant que l'État soutient la recherche théorique de base et la R & D sur les technologies clés de l'IA, tout en améliorant les normes éthiques et en renforçant la surveillance, l'évaluation et la surveillance des risques.Cela signifie que les entreprises qui utilisent la technologie de l'IA pour traiter les données biométriques devront faire face à des exigences d'examen éthique et de surveillance de la sécurité plus strictes.
2Une augmentation substantielle des sanctions pour créer un système de dissuasion fort
La limite supérieure des amendes est passée de 1 million de yuans à 10 millions de yuans dans la version révisée, avec l'ajout de nouveaux types de pénalités telles que la suspension des opérations de demande.La responsabilité juridique s'étend des entreprises aux particuliersLes coûts des infractions, qui ont fortement augmenté, imposent des exigences plus élevées pour les procédures de traitement des données biométriques.
3Coordonner les trois lois pour former un réseau de réglementation étroit
La version révisée renforce le lien systématique avec la loi sur la sécurité des données et la loi sur la protection des renseignements personnels,fournir des lignes directrices claires pour l'application de la loi par le biais de clauses de référence applicablesLors du traitement des données biométriques, les entreprises doivent satisfaire aux exigences des trois lois simultanément, et la négligence dans tout lien peut déclencher des actions d'application de la loi.
4Les clauses d'application de la loi flexibles
Il convient de noter que l'article 73 récemment ajouté est lié à la loi sur les sanctions administratives, précisant que les entreprises peuvent bénéficier de mesures atténuées,une peine réduite ou nulle si elles prennent l'initiative d'éliminer les conséquences néfastesCette clause fournit un " tampon de sécurité " pour les entreprises qui s'efforcent activement de se conformer.
II. Lignes rouges de conformité et lignes inférieures pour les données biométriques
La loi révisée sur la cybersécurité et les règlements d'appui définissent conjointement les "lignes rouges" et les "lignes finales" pour le traitement des données biométriques.les entreprises doivent satisfaire aux exigences de conformité dans les dimensions suivantes:.
1Définition et classification des informations sensibles
Les informations biométriques sont explicitement répertoriées comme des "informations personnelles sensibles", y compris le visage, les empreintes digitales, les empreintes vocales, l'iris, les informations génétiques, etc.Cela signifie que, quelle que soit la technologie biométrique adoptée par une entreprise,, les données collectées seront soumises aux exigences de protection les plus strictes.
2. Exigences de conformité à l'ensemble du cycle de vie
| Lien de conformité |
Exigences essentielles |
Base juridique |
| Notification de collecte |
Obtenir un consentement séparé de la personne concernée et en informer clairement le but et la méthode du traitement |
Article 29 de la loi sur la protection des renseignements personnels |
| Évaluation de l'impact |
Effectuer une évaluation d'impact sur la protection des renseignements personnels (EIP) avant utilisation |
Article 9 des mesures relatives à l'administration de la sécurité de l'application de la technologie de reconnaissance faciale |
| Sécurité de la transmission |
Adopter au moins le cryptage des canaux, et de préférence le combiner avec le cryptage du contenu |
GB/T 45574-2025 Technologie de sécurité des données Exigences de sécurité pour le traitement des renseignements personnels sensibles |
| Sécurité du stockage |
Le stockage crypté et les modèles biométriques ne doivent pas être réversibles. |
Loi sur la cybersécurité + Loi sur la sécurité des données |
| Audit de la conformité |
Les sous-traitants qui traitent des informations de plus d'un million de personnes doivent désigner un responsable de la protection |
Mesures relatives à l'administration des audits de conformité en matière de protection des renseignements personnels |
| Notification du site |
Les équipements de collecte installés dans les lieux publics doivent être munis de panneaux de signalisation bien visibles. |
Article 26 de la loi sur la protection des renseignements personnels |
Il ressort des exigences ci-dessus que les règlements ne se concentrent pas uniquement sur la notification et le consentement dans le lien de collecte des données,Il s'agit d'un processus de mise en œuvre de la réglementation et de la réglementation.Dans le cadre d'un tel cadre réglementaire,L'architecture de sécurité de la technologie biométrique elle-même devient une variable clé pour la conformité.
III. Iris contre visage: confidentialité et conformité Comparaison des deux technologies
Dans les scénarios biométriques au niveau de l'entreprise, la reconnaissance faciale et la reconnaissance de l'iris sont les deux voies techniques les plus courantes.les deux montrent des différences significatives en matière de sécurité des données et de protection de la vie privée.
| Dimension de comparaison |
Reconnaissance faciale |
Reconnaissance de l' iris |
| Réversibilité des données |
Les images faciales peuvent être restaurées à des photos originales, avec un risque élevé de fuite |
Les modèles de codage iris sont non réversibles, conformément naturellement au principe des "données disponibles mais non visibles" |
| Risque de contrefaçon à distance |
Peut être déchiffré à travers des photos, des vidéos, et la technologie AI deepfake |
L'iris est situé à l'intérieur du globe oculaire et ne peut pas être recueilli ou forgé à distance. |
| Conformité des lieux publics |
Des panneaux de signalisation bien en évidence sont nécessaires et l'installation dans les espaces privés est interdite. |
Collecte coopérative active, avec une meilleure sensibilisation des utilisateurs |
| Sécurité du stockage des données |
Les vecteurs des traits du visage ont encore une certaine réversibilité après stockage |
chiffrement AES-256 au niveau de la puce, stockage isolé du matériel, avec une sécurité des données supérieure |
| Difficulté d'évaluation de l'impact |
Plusieurs facteurs de risque tels que la collecte de données personnelles et les deepfakes doivent être pris en compte |
L'architecture technique évite par nature la plupart des risques, simplifiant le processus d'évaluation |
| La précision de la reconnaissance |
Affecté par des facteurs tels que la lumière, l'angle et la composition, avec un taux de fausse reconnaissance d'environ un sur un million. |
La précision de la reconnaissance binoculaire atteint un sur un milliard, sans être affectée par les changements d'apparence. |
Du point de vue de la conformité, la technologie de reconnaissance de l'iris présente des avantages structurels importants.Son noyau réside dans les "données disponibles mais non visibles" - le modèle numérique généré après le codage des caractéristiques de l'iris ne peut pas être restauré à l'image biologique d'origine.Même si la base de données est violée, les attaquants ne peuvent pas restaurer les caractéristiques biométriques de l'utilisateur. This technical feature is naturally consistent with the storage requirement of "non-reversible restoration" for biometric templates in the Security Requirements for Processing Sensitive Personal Information.
La technologie de reconnaissance faciale, en revanche, est confrontée à plus de défis de conformité. The Measures for the Security Administration of Facial Recognition Technology Application clearly requires a Personal Information Protection Impact Assessment (PIA) before using facial recognition technology, interdit l'installation d'équipements de reconnaissance faciale dans des espaces privés tels que les chambres d'hôtel et les salles de bains publiques, et impose la mise à disposition de solutions d'identification alternatives.Ces dispositions spéciales reflètent les préoccupations des régulateurs concernant les risques inhérents à la technologie de reconnaissance faciale.
IV. Les solutions de conformité de l'entreprise
En tant que pionnier de la technologie de reconnaissance de l'iris en Chine, WuHan Homsh Technology Co., Ltd. (Homsh) a construit un système technique complet des puces aux terminaux et des algorithmes aux solutions,Capable de fournir aux entreprises des solutions de reconnaissance biométrique de niveau de conformité en lien complet.
1- La phase 3 est terminée.0: Architecture d'algorithme de niveau de conformité
La phase III est terminée.0, l'algorithme de reconnaissance de l'iris de troisième génération développé indépendamment par Homsh,adopte une largeur d'opération de 384 bits et peut compresser la taille du modèle de données de caractéristique à 2 KB sans réduire les points de caractéristique biométriquesIl n'existe pas de relation d'inférence inverse mathématique entre le modèle numérique codé et l'image originale de l'iris, ce qui permet de réaliser de véritables "données disponibles mais non visibles".La précision de la reconnaissance binoculaire atteint un sur un milliard, qui dépassent largement la moyenne du secteur.
2Les puces de la série Qianxin: barrière de sécurité au niveau du matériel
Les puces ASIC dédiées de la série Qianxin pour la reconnaissance de l'iris lancées par Homsh sont les premières puces au monde à implémenter pleinement l'algorithme de reconnaissance de l'iris dans le matériel.Différent du logiciel traditionnel + architecture de processeur général, les puces Qianxin adoptent une architecture d'isolement du système sur la puce, combinée à un cryptage AES-256 complet,s'assurer que les données du modèle iris sont traitées dans un environnement de sécurité matérielle tout au long du processus de collecteLa vitesse d'encodage est inférieure à 50 ms et le temps de correspondance à un seul noyau n'est que de 320 nanosecondes.
Cela signifie que les données biométriques n'existent jamais en texte brut dans un espace de mémoire accessible par logiciel,éliminer fondamentalement le risque de fuite de données au niveau du logiciel, un niveau de sécurité que les solutions biométriques purement logicielles ne peuvent atteindre.
3Les terminaux de contrôle d'accès de la série D et les portes des canaux de la série G: terminaux de mise en œuvre de la conformité
Au niveau du produit terminal, les terminaux de contrôle d'accès à l'iris de la série D et les portes de canal de l'iris de la série G de Homsh ̇ sont tous construits avec des puces Qianxin,le support de l'achèvement de tous les processus de reconnaissance localement du côté du dispositif;Cette architecture "d'informatique de bord" signifie que les données biométriques ne doivent pas être téléchargées sur le serveur,éviter le risque de fuite de données lors de la transmission du réseau et simplifier considérablement le processus d'audit de conformité de l'entreprise.
Les terminaux de contrôle d'accès de la série D prennent en charge une distance de reconnaissance de 30 cm à 70 cm, l'enregistrement complet de l'iris binoculaire et l'authentification en 1 seconde,et un seul appareil peut stocker des dizaines de milliers de données de modèleLes portes de canal de la série G sont adaptées à des scénarios à fort trafic tels que les grands parcs et les installations industrielles, et prennent en charge la collaboration en réseau entre plusieurs appareils.
V. Suggestions pour la mise en œuvre de la conformité biométrique des entreprises
Sur la base des exigences de la loi révisée sur la cybersécurité et des règlements complémentaires, nous recommandons aux entreprises de promouvoir la construction de la conformité biométrique à partir des cinq niveaux suivants.
Étape 1: donner la priorité à l'audit de la conformité
Les entreprises devraient d'abord procéder à un audit complet de la conformité des systèmes biométriques existants afin d'évaluer si le système actuel satisfait aux exigences de la loi sur la cybersécurité,Loi sur la protection des renseignements personnels et normes nationales pertinentes- se concentrer sur la révision du mécanisme de notification et de consentement pour la collecte de données, les méthodes de cryptage de transmission, les politiques de sécurité du stockage et les mécanismes de suppression des données.
Étape 2: améliorer la sélection technique
Donner la priorité aux technologies biométriques dotées de fonctionnalités de "rétablissement non réversible" afin de réduire les risques pour la sécurité des données provenant de la source.La technologie de reconnaissance de l'iris présente des avantages naturels pour répondre aux exigences de conformité en raison de l'irréversibilité de ses modèles codés.Dans le même temps, les produits dotés de capacités de chiffrement au niveau matériel doivent être sélectionnés afin d'éviter les risques potentiels de sécurité causés par des solutions purement logicielles.
Étape 3: Donner la priorité à l'informatique de bord
Adopter une architecture informatique de bord autant que possible pour compléter la collecte, le codage et l'appariement des caractéristiques biométriques du côté de l'appareil.Cela réduit non seulement les risques pour la sécurité de la transmission du réseauLa solution de puce Qianxin de Homsh ̇ est une pratique typique de ce concept.
Étape 4: Mettre en place une gestion complète du cycle de vie
Mettre en place un système complet de gestion du cycle de vie des données biométriques, de la notification de collecte, de l'autorisation d'utilisation, du cryptage du stockage, du suivi des audits à la suppression des données.Il est recommandé de nommer une personne dédiée chargée de la protection des renseignements personnels et de procéder à des audits réguliers de conformité..
Étape 5: Former un système de documents de conformité
Améliorer les documents de conformité tels que les rapports d'évaluation de l'impact sur la protection des informations personnelles, les dossiers de traitement des données et les plans de réponse aux incidents de sécurité.Lors des inspections réglementaires ou des audits de conformité, a complete document system can effectively prove the enterprise’s compliance efforts and trigger the protection of "mitigated or reduced punishment" in the new flexible law enforcement clauses of the Cybersecurity Law.
Conclusion: la conformité n'est pas un coût, mais une compétitivité
La loi révisée sur la cybersécurité envoie un signal clair au marché: le traitement des données biométriques n'est plus une affaire interne du service technique,Il s'agit d'une question stratégique liée à la ligne de vie de la conformité de l'entreprise.Dans ce contexte, le choix d'une technologie biométrique répondant aux exigences de conformité au niveau de la conception architecturale n'est pas seulement un choix raisonnable pour réduire les risques,Il s'agit d'un avantage concurrentiel dans la transformation numérique des entreprises..
Avec sa caractéristique technique de "données disponibles mais pas visibles", garantie de sécurité au niveau du matériel et précision de reconnaissance d'un sur un milliard,la reconnaissance de l'iris a trouvé l'équilibre optimal entre les exigences de conformité et les performances de sécuritéPour les entreprises qui évaluent la mise à niveau de la technologie biométrique, il s'agit d'une période de fenêtre pour réexaminer la sélection technique et établir les avantages de la conformité.
