1 stycznia 2026 roku oficjalnie weszła w życie znowelizowana ustawa o cyberbezpieczeństwie Chińskiej Republiki Ludowej. Jako pierwsza poważna nowelizacja tej podstawowej ustawy od czasu jej uchwalenia w 2016 r., wraz z ustawą o bezpieczeństwie danych i ustawą o ochronie danych osobowych stanowi ona najwyższy poziom projektu chińskiego systemu prawnego dotyczącego cyberbezpieczeństwa. Dla przedsiębiorstw korzystających z technologii rozpoznawania biometrycznego do celów kontroli bezpieczeństwa ta zmiana oznacza znacznie więcej niż tylko surowsze kary – na nowo definiuje granice przetwarzania danych biometrycznych i zapewnia przedsiębiorstwom jasne wytyczne dotyczące zgodności przy wyborze technologii biometrycznych.
Tymczasem w czerwcu 2025 r. weszły w życie środki dotyczące administrowania bezpieczeństwem stosowania technologii rozpoznawania twarzy, określające surowe wymogi dotyczące oceny skutków i alternatywnych rozwiązań specjalnie na potrzeby scenariuszy rozpoznawania twarzy. Krajowa norma GB/T 45574-2025 Technologia bezpieczeństwa danych — wymagania bezpieczeństwa dotyczące przetwarzania wrażliwych danych osobowych dodatkowo określa klasyfikację i normy przetwarzania informacji biometrycznych. W wyniku nakładania się wielu przepisów wybór technologii biometrycznej przez przedsiębiorstwa ewoluował od czysto technicznego wyboru do strategicznej decyzji dotyczącej zgodności.
Znowelizowana ustawa o cyberbezpieczeństwie podniosła górny limit kar za naruszenia z 1 mln juanów do 10 mln juanów oraz dodała kary takie jak zawieszenie działania aplikacji, co znacznie zwiększa koszty naruszeń dla przedsiębiorstw.
I. Interpretacja kluczowych punktów nowego Regulaminu
Nowelizacja ustawy o cyberbezpieczeństwie niesie ze sobą kilka krytycznych sygnałów. Po pierwsze, jest to pierwsza poważna nowelizacja tej podstawowej ustawy od prawie dziesięciu lat, oznaczająca kompleksową modernizację systemu zarządzania cyberbezpieczeństwem przez ustawodawców. Podstawowe informacje zawarte w rewizji można zrozumieć w czterech następujących wymiarach.
1. Sztuczna inteligencja po raz pierwszy wprowadzona do prawa
Nowo dodany art. 20 wprowadza przepisy szczególne dotyczące bezpieczeństwa i rozwoju sztucznej inteligencji, precyzując, że państwo wspiera podstawowe badania teoretyczne oraz badania i rozwój kluczowych technologii w zakresie sztucznej inteligencji, poprawiając jednocześnie normy etyczne oraz wzmacniając monitorowanie, ocenę i nadzór nad bezpieczeństwem ryzyka. Oznacza to, że przedsiębiorstwa wykorzystujące technologię sztucznej inteligencji do przetwarzania danych biometrycznych będą musiały zmierzyć się z bardziej rygorystycznymi wymogami dotyczącymi kontroli etycznej i nadzoru nad bezpieczeństwem.
2. Znacznie zwiększone kary w celu zbudowania silnego systemu odstraszania
W poprawionej wersji górny limit kar wzrósł z 1 miliona juanów do 10 milionów juanów, dodano nowe rodzaje kar, takie jak zawieszenie działania aplikacji. Jednocześnie odpowiedzialność prawna rozciąga się od przedsiębiorstw na osoby fizyczne, a bezpośrednio odpowiedzialny personel spotka się z surowszymi karami. Gwałtownie zwiększone koszty naruszeń stawiają wyższe wymagania w zakresie procedur przetwarzania danych biometrycznych.
3. Koordynacja trzech ustaw w celu utworzenia ścisłej sieci regulacyjnej
Zmieniona wersja wzmacnia systematyczne powiązanie z ustawą o bezpieczeństwie danych i ustawą o ochronie danych osobowych, zapewniając jasne wytyczne dotyczące egzekwowania prawa poprzez klauzule „obowiązującego odniesienia”. Przetwarzając dane biometryczne, przedsiębiorstwa muszą jednocześnie spełniać wymogi wszystkich trzech przepisów, a zaniedbania w jakimkolwiek powiązaniu mogą skutkować podjęciem działań przez organy ścigania.
4. Elastyczne klauzule egzekwowania prawa
Warto zauważyć, że nowo dodany art. 73 jest powiązany z ustawą o karach administracyjnych, która wyjaśnia, że przedsiębiorstwa mogą zostać ukarane złagodzoną, zmniejszoną lub żadną karą, jeżeli podejmą inicjatywę w celu usunięcia szkodliwych konsekwencji, niezwłocznie naprawią drobne naruszenia bez szkodliwych konsekwencji lub nie będą ponosić winy subiektywnej. Klauzula ta zapewnia „bufor bezpieczeństwa” dla przedsiębiorstw podejmujących aktywne działania mające na celu zapewnienie zgodności.
II. Zgodność z czerwonymi liniami i dolnymi liniami w przypadku danych biometrycznych
Zmieniona ustawa o cyberbezpieczeństwie i towarzyszące jej rozporządzenia wspólnie określają „czerwone linie” i „konsumaty” w zakresie przetwarzania danych biometrycznych. Wdrażając systemy biometryczne, przedsiębiorstwa muszą spełniać wymogi zgodności w następujących wymiarach.
1. Definicja i klasyfikacja informacji wrażliwych
Informacje biometryczne są wyraźnie wymienione jako „wrażliwe dane osobowe”, obejmujące twarz, odciski palców, odcisk głosu, tęczówkę, informacje genetyczne itd. Oznacza to, że niezależnie od tego, jaką technologię biometryczną przyjmie przedsiębiorstwo, gromadzone dane będą objęte najwyższymi wymogami ochrony.
2. Wymagania dotyczące zgodności z pełnym cyklem życia
| Link dotyczący zgodności |
Podstawowe wymagania |
Podstawa prawna |
| Powiadomienie o odbiorze |
Uzyskaj od danej osoby odrębną zgodę i wyraźnie poinformuj o celu i sposobie przetwarzania |
Art. 29 ustawy o ochronie danych osobowych |
| Ocena wpływu |
Przed użyciem należy przeprowadzić ocenę skutków dla ochrony danych osobowych (PIA). |
Artykuł 9 środków dotyczących zarządzania bezpieczeństwem stosowania technologii rozpoznawania twarzy |
| Bezpieczeństwo transmisji |
Zastosuj przynajmniej szyfrowanie kanałów, a najlepiej połącz je z szyfrowaniem treści |
GB/T 45574-2025 Technologia bezpieczeństwa danych — wymagania bezpieczeństwa dotyczące przetwarzania wrażliwych danych osobowych |
| Bezpieczeństwo przechowywania |
Szyfrowane przechowywanie i szablony biometryczne są nieodwracalne |
Ustawa o cyberbezpieczeństwie + Ustawa o bezpieczeństwie danych |
| Audyt zgodności |
Podmioty przetwarzające informacje dotyczące ponad 1 miliona osób muszą wyznaczyć osobę odpowiedzialną za ochronę |
Środki zarządzania audytami zgodności z przepisami dotyczącymi ochrony danych osobowych |
| Powiadomienie o witrynie |
Urządzenia do zbierania odpadów zainstalowane w miejscach publicznych muszą być wyposażone w widoczne znaki ostrzegawcze |
Art. 26 ustawy o ochronie danych osobowych |
Z powyższych wymagań wynika, że regulacje nie skupiają się jedynie na powiadamianiu i wyrażaniu zgody w łączu gromadzenia danych, ale także rozszerzają nadzór regulacyjny na pełny cykl życia transmisji, przechowywania i audytu danych. W takich ramach regulacyjnych sama architektura bezpieczeństwa technologii biometrycznej staje się kluczową zmienną zapewniającą zgodność – jakość wyboru technicznego bezpośrednio determinuje poziom kosztów przestrzegania przepisów.
III. Iris kontra twarz: porównanie dwóch technologii w zakresie prywatności i zgodności
W scenariuszach biometrycznych na poziomie przedsiębiorstwa rozpoznawanie twarzy i rozpoznawanie tęczówki to dwie najbardziej popularne ścieżki techniczne. Jednakże w nowych ramach zgodności oba systemy wykazują znaczne różnice w zakresie bezpieczeństwa danych i ochrony prywatności.
| Wymiar porównawczy |
Rozpoznawanie twarzy |
Rozpoznawanie tęczówki |
| Odwracalność danych |
Wizerunki twarzy można przywrócić do oryginalnych zdjęć, co wiąże się z wysokim ryzykiem wycieku |
Szablony kodowania Iris są nieodwracalne, naturalnie zgodne z zasadą „dane dostępne, ale niewidoczne” |
| Ryzyko zdalnego fałszerstwa |
Można je złamać za pomocą zdjęć, filmów i technologii deepfake AI |
Tęczówka znajduje się wewnątrz gałki ocznej i nie można jej pobrać ani sfałszować na odległość |
| Zgodność z przepisami dotyczącymi miejsc publicznych |
Wymagane są widoczne znaki ostrzegawcze, a instalacja w przestrzeniach prywatnych jest zabroniona |
Aktywna kolekcja kooperacyjna z wyższą świadomością użytkowników |
| Bezpieczeństwo przechowywania danych |
Po przechowywaniu wektory cech twarzy nadal charakteryzują się pewną odwracalnością |
Szyfrowanie AES-256 na poziomie chipa, pamięć izolowana sprzętowo, z większym bezpieczeństwem danych |
| Trudność w ocenie wpływu |
Należy wziąć pod uwagę wiele czynników ryzyka, takich jak gromadzenie danych dotyczących prywatności i deepfakes |
Architektura techniczna z natury pozwala uniknąć większości zagrożeń, dzięki czemu proces oceny jest prostszy |
| Dokładność rozpoznawania |
Wpływ na to mają takie czynniki, jak światło, kąt i makijaż, a współczynnik fałszywego rozpoznania wynosi około jeden na milion |
Dokładność rozpoznawania obuocznego sięga jednego na miliard i nie mają na nią wpływu zmiany wyglądu |
Z punktu widzenia zgodności technologia rozpoznawania tęczówki ma znaczące zalety strukturalne. Jego istotą są „dane dostępne, ale niewidoczne” – cyfrowy szablon wygenerowany po zakodowaniu cech tęczówki nie może zostać odwrócony w sposób odwrotny do pierwotnego obrazu biologicznego. Nawet jeśli baza danych zostanie naruszona, atakujący nie będą w stanie przywrócić cech biometrycznych użytkownika. Ta funkcja techniczna jest oczywiście zgodna z wymogiem przechowywania „nieodwracalnego przywracania” szablonów biometrycznych określonym w Wymogach bezpieczeństwa dotyczących przetwarzania wrażliwych danych osobowych.
Z kolei technologia rozpoznawania twarzy stawia czoła większym wyzwaniom związanym z przestrzeganiem przepisów. Rozporządzenie w sprawie środków zarządzania bezpieczeństwem stosowania technologii rozpoznawania twarzy wyraźnie wymaga przeprowadzenia oceny skutków w zakresie ochrony danych osobowych (PIA) przed użyciem technologii rozpoznawania twarzy, zabrania instalowania sprzętu do rozpoznawania twarzy w przestrzeniach prywatnych, takich jak pokoje hotelowe i łazienki publiczne, oraz nakazuje zapewnienie alternatywnych rozwiązań identyfikacyjnych. Te szczególne przepisy odzwierciedlają obawy organów regulacyjnych dotyczące nieodłącznego ryzyka związanego z technologią rozpoznawania twarzy.
IV. Rozwiązania firmy Homsh w zakresie zgodności
Jako pionier technologii rozpoznawania tęczówki w Chinach, firma WuHan Homsh Technology Co., Ltd. (Homsh) zbudowała kompletny system techniczny, od chipów po terminale i od algorytmów po rozwiązania, zdolny zapewnić przedsiębiorstwom kompleksowe rozwiązania w zakresie rozpoznawania biometrycznego na poziomie zgodności.
1. PhaseIris 3.0: Architektura algorytmów na poziomie zgodności
PhaseIris 3.0, algorytm rozpoznawania tęczówki rdzenia trzeciej generacji, opracowany niezależnie przez firmę Homsh, przyjmuje 384-bitową szerokość operacji i może kompresować rozmiar szablonu danych cech do 2 KB bez zmniejszania punktów cech biometrycznych. Co najważniejsze, nie ma matematycznej zależności odwrotnego wnioskowania pomiędzy zakodowanym szablonem cyfrowym a oryginalnym obrazem tęczówki, co oznacza, że prawdziwe „dane są dostępne, ale niewidoczne”. Dokładność rozpoznawania obuocznego sięga jednego na miliard, znacznie przekraczając średnią branżową.
2. Chipy z serii Qianxin: bariera bezpieczeństwa na poziomie sprzętu
Seria Qianxin, dedykowane chipy ASIC do rozpoznawania tęczówki, wprowadzone na rynek przez firmę Homsh, to pierwsze na świecie chipy, które w pełni implementują sprzętowo algorytm rozpoznawania tęczówki. W odróżnieniu od tradycyjnego oprogramowania i architektury procesora ogólnego przeznaczenia, chipy Qianxin wykorzystują architekturę izolacji systemu na chipie w połączeniu z pełnym sprzętowym szyfrowaniem AES-256, zapewniając, że dane szablonu tęczówki są przetwarzane w sprzętowym środowisku bezpieczeństwa przez cały proces gromadzenia, kodowania, dopasowywania i przechowywania. Szybkość kodowania jest mniejsza niż 50 ms, a czas dopasowania pojedynczego rdzenia wynosi tylko 320 nanosekund.
Oznacza to, że dane biometryczne nigdy nie istnieją w postaci zwykłego tekstu w żadnej przestrzeni pamięci dostępnej dla oprogramowania, co zasadniczo eliminuje ryzyko wycieku danych na poziomie oprogramowania — poziomu bezpieczeństwa, którego nie są w stanie osiągnąć tradycyjne rozwiązania biometryczne oparte wyłącznie na oprogramowaniu.
3. Terminale kontroli dostępu serii D i bramki kanałowe serii G: Terminale wdrażające zgodność
Na poziomie produktu terminalowego, terminale kontroli dostępu Iris serii D firmy Homsh i bramki kanałowe Iris serii G są zbudowane z chipami Qianxin, wspierającymi realizację wszystkich procesów rozpoznawania lokalnie po stronie urządzenia. Ta architektura „edge-side computing” oznacza, że dane biometryczne nie muszą być przesyłane na serwer, co pozwala uniknąć ryzyka wycieku danych podczas transmisji sieciowej i znacznie upraszcza proces audytu zgodności w przedsiębiorstwie.
Terminale kontroli dostępu serii D obsługują odległość rozpoznawania od 30 cm do 70 cm, pełną rejestrację i uwierzytelnianie tęczówki lornetki w ciągu 1 sekundy, a jedno urządzenie może przechowywać dziesiątki tysięcy danych szablonów. Bramy kanałowe serii G nadają się do scenariuszy o dużym natężeniu ruchu, takich jak duże parki i obiekty przemysłowe, obsługując współpracę sieciową wielu urządzeń.
V. Sugestie dotyczące wdrożenia zgodności biometrycznej w przedsiębiorstwie
W oparciu o wymagania znowelizowanej Ustawy o cyberbezpieczeństwie i towarzyszące jej regulacje zalecamy, aby przedsiębiorstwa promowały budowę zgodności biometrycznej na pięciu poziomach.
Krok 1: Nadaj priorytet audytowi zgodności
Przedsiębiorstwa powinny najpierw przeprowadzić kompleksowy audyt zgodności istniejących systemów biometrycznych, aby ocenić, czy obecny system spełnia wymagania Ustawy o cyberbezpieczeństwie, Ustawy o ochronie danych osobowych oraz odpowiednich norm krajowych. Skoncentruj się na przeglądzie mechanizmu powiadamiania i wyrażania zgody na gromadzenie danych, metod szyfrowania transmisji, zasad bezpieczeństwa przechowywania i mechanizmów usuwania danych.
Krok 2: Uaktualnij wybór techniczny
Nadaj priorytet technologiom biometrycznym z funkcjami „nieodwracalnego przywracania”, aby zmniejszyć ryzyko bezpieczeństwa danych już u źródła. Technologia rozpoznawania tęczówki ma naturalną przewagę w spełnianiu wymogów zgodności ze względu na nieodwracalność zakodowanych szablonów. Jednocześnie należy wybierać produkty z możliwością szyfrowania na poziomie sprzętowym, aby uniknąć potencjalnych zagrożeń bezpieczeństwa powodowanych przez rozwiązania czysto programowe.
Krok 3: Nadaj priorytet przetwarzaniu brzegowemu
W miarę możliwości należy przyjąć architekturę przetwarzania brzegowego, aby ukończyć gromadzenie, kodowanie i dopasowywanie cech biometrycznych po stronie urządzenia. To nie tylko zmniejsza ryzyko bezpieczeństwa transmisji sieciowej, ale także upraszcza zarządzanie zgodnością przepływu danych w przedsiębiorstwach. Rozwiązanie chipowe Qianxin firmy Homsh jest typową praktyką tej koncepcji.
Krok 4: Ustanowienie pełnego zarządzania cyklem życia
Ustanowienie systemu zarządzania pełnym cyklem życia danych biometrycznych, od powiadomienia o pobraniu, autoryzacji użycia, szyfrowania przechowywania, śledzenia audytu po usuwanie danych. Zaleca się wyznaczyć dedykowaną osobę odpowiedzialną za ochronę danych osobowych i przeprowadzać regularne audyty zgodności.
Krok 5: Utwórz system dokumentów zgodności
Ulepszaj dokumenty dotyczące zgodności, takie jak raporty z oceny wpływu na ochronę danych osobowych, zapisy przetwarzania danych i plany reagowania na incydenty związane z bezpieczeństwem. Podczas inspekcji regulacyjnych lub audytów zgodności kompletny system dokumentów może skutecznie udowodnić wysiłki przedsiębiorstwa w zakresie zapewnienia zgodności i uruchomić ochronę „łagodzonej lub obniżonej kary” w nowych elastycznych klauzulach egzekwowania prawa zawartych w ustawie o cyberbezpieczeństwie.
Wniosek: zgodność to nie koszt, ale konkurencyjność
Znowelizowana ustawa o cyberbezpieczeństwie wysyła jasny sygnał na rynek: przetwarzanie danych biometrycznych nie jest już wewnętrzną sprawą działu technicznego, ale strategiczną kwestią związaną z linią życia przedsiębiorstwa w zakresie compliance. W tym kontekście wybór technologii biometrycznej spełniającej wymogi zgodności już na poziomie projektu architektonicznego jest nie tylko rozsądnym wyborem w celu ograniczenia ryzyka, ale także przewagą konkurencyjną w cyfrowej transformacji przedsiębiorstwa.
Dzięki technicznej właściwości „dane dostępne, ale niewidoczne”, gwarancji bezpieczeństwa na poziomie sprzętu i dokładności rozpoznawania jednej na miliard, rozpoznawanie tęczówki znalazło optymalną równowagę pomiędzy wymogami zgodności i poziomem bezpieczeństwa. Dla przedsiębiorstw oceniających unowocześnienie technologii biometrycznej jest to okres, w którym można ponownie przeanalizować wybór techniczny i ustalić zalety zgodności.
