Am 1. Januar 2026 trat das überarbeitete Cybersicherheitsgesetz der Volksrepublik China offiziell in Kraft.Es bildet zusammen mit dem Datenschutzgesetz und dem Gesetz zum Schutz personenbezogener Daten die oberste Ebene des chinesischen Rechtssystems für Cybersicherheit.Für Unternehmen, die auf biometrische Erkennungstechnologie für die Sicherheitskontrolle angewiesen sind, this revision means far more than stricter penalties—it redefines the boundaries for processing biometric data and provides clear compliance guidance for enterprises in selecting biometric technologies.
In der Zwischenzeit traten die Maßnahmen für die Sicherheitsverwaltung der Anwendung von Gesichtserkennungstechnologie im Juni 2025 in Kraft.Festlegung strenger Anforderungen an die Folgenabschätzung und alternative Lösungen speziell für Gesichtserkennungsszenarien. The national standard GB/T 45574-2025 Data Security Technology—Security Requirements for Processing Sensitive Personal Information further specifies the classification and processing norms of biometric informationUnter der Überlagerung mehrerer Vorschriften hat sich die Auswahl der biometrischen Technologie durch Unternehmen von einer rein technischen Wahl zu einer strategischen Entscheidung zur Einhaltung entwickelt.
Das überarbeitete Gesetz zur Cybersicherheit hat die Obergrenze der Geldbußen für Verstöße von 1 Millionen Yuan auf 10 Millionen Yuan erhöht und weitere Strafen wie die Aussetzung des Betriebs von Anwendungen,die Kosten für Unternehmen für Verstöße erheblich erhöhen.
I. Auslegung der wichtigsten Punkte der neuen Verordnung
Die Revision des Cybersicherheitsgesetzes vermittelt mehrere kritische Signale.zur umfassenden Modernisierung des Cybersicherheits-Governance-Systems durch die GesetzgeberDie Kerninformationen der Revision lassen sich aus den folgenden vier Dimensionen verstehen.
1Künstliche Intelligenz zum ersten Mal in Gesetz
Der neu hinzugefügte Artikel 20 enthält besondere Bestimmungen zur Sicherheit und Entwicklung künstlicher Intelligenz -die Klarstellung, dass der Staat die theoretische Grundlagenforschung und die Forschung und Entwicklung der KI-Schlüsseltechnologien unterstützt, bei gleichzeitiger Verbesserung der ethischen Normen und Stärkung der Risikoüberwachung, -bewertung und Sicherheitsüberwachung.Dies bedeutet, dass Unternehmen, die KI-Technologie zur Verarbeitung biometrischer Daten verwenden, mit strengeren Anforderungen an ethische Überprüfung und Sicherheitsüberwachung konfrontiert sein werden.
2- erheblich erhöhte Strafen, um ein starkes Abschreckungssystem zu schaffen
Die Höchstgrenze für Geldbußen ist in der überarbeiteten Fassung von 1 Mio. Yuan auf 10 Mio. Yuan gestiegen.Rechtsverantwortung erstreckt sich von Unternehmen auf EinzelpersonenDie stark gestiegenen Kosten für Verstöße stellen höhere Anforderungen an die Verarbeitung biometrischer Daten.
3Koordinierung der drei Gesetze zur Bildung eines engen Regulierungsnetzes
Die überarbeitete Fassung stärkt den systematischen Zusammenhang mit dem Datenschutzgesetz und dem Datenschutzgesetz -Bereitstellung klarer Richtlinien für die Strafverfolgung durch "anwendbare Bezugsklauseln"Bei der Verarbeitung biometrischer Daten müssen die Unternehmen gleichzeitig die Anforderungen aller drei Gesetze erfüllen, und eine Vernachlässigung in irgendeiner Verbindung kann Strafverfolgungsmaßnahmen auslösen.
4. Flexible Durchsetzungsbestimmungen
Der neu hinzugefügte Artikel 73 steht im Zusammenhang mit dem Verwaltungsstrafgesetz und legt fest, dass Unternehmen mildernde Sanktionen erhalten können.Verringerte oder keine Strafe, wenn sie die Initiative ergreifen, schädliche Folgen zu beseitigenDiese Klausel stellt für Unternehmen mit aktiven Compliance-Bemühungen einen "Sicherheitspuffer" bereit.
II. Rote und untere Linien für die Biometrie
Das überarbeitete Gesetz über die Cybersicherheit und die unterstützenden Vorschriften definieren gemeinsam die "roten Linien" und "Bottom Lines" für die Verarbeitung biometrischer Daten.Unternehmen müssen die Anforderungen an die Einhaltung in den folgenden Bereichen erfüllen:.
1Definition und Einstufung sensibler Informationen
Biometrische Informationen werden explizit als "sensible persönliche Informationen" aufgeführt, einschließlich Gesichts-, Fingerabdruck-, Stimmabdruck-, Iris-, genetische Informationen und so weiter.Dies bedeutet, dass unabhängig davon, welche biometrische Technologie ein Unternehmen einsetzt,, werden die erhobenen Daten den höchsten Anforderungen an den Schutz unterworfen.
2. Anforderungen an die Einhaltung des gesamten Lebenszyklus
| Übereinstimmungsverknüpfung |
Grundvoraussetzungen |
Rechtsgrundlage |
| Sammelbescheinigung |
Erhalten Sie eine getrennte Einwilligung der Person und informieren Sie klar über Zweck und Methode der Verarbeitung |
Artikel 29 des Gesetzes über den Schutz personenbezogener Daten |
| Wirkungsbewertung |
Durchführung einer Folgenabschätzung zum Schutz personenbezogener Daten (PIA) vor der Verwendung |
Artikel 9 der Maßnahmen für die Sicherheitsverwaltung der Anwendung von Gesichtserkennungstechnologie |
| Übertragungssicherheit |
Zumindest die Kanalverschlüsselung anwenden und sie vorzugsweise mit der Inhaltverschlüsselung kombinieren |
GB/T 45574-2025 Datensicherheitstechnologie Sicherheitsanforderungen für die Verarbeitung sensibler personenbezogener Daten |
| Sicherheit der Lagerung |
Verschlüsselte Speicherung und biometrische Vorlagen sind nicht umkehrbar |
Gesetz zur Cybersicherheit + Gesetz zur Datensicherheit |
| Prüfung der Konformität |
Datenverarbeiter, die Daten von mehr als einer Million Personen verarbeiten, müssen eine schutzverantwortliche Person benennen |
Maßnahmen für die Verwaltung von Prüfungen der Einhaltung des Schutzes personenbezogener Daten |
| Anmeldung der Standorte |
Auf öffentlichen Plätzen installierte Sammelgeräte müssen mit deutlich erkennbaren Anzeigeschildern ausgestattet sein. |
Artikel 26 des Gesetzes über den Schutz personenbezogener Daten |
Aus den vorstehenden Anforderungen geht hervor, dass sich die Verordnungen nicht nur auf die Benachrichtigung und Zustimmung im Zusammenhang mit der Datenerhebung konzentrieren,Die EU-Datenübertragung ist eine wichtige Rolle zu spielen., Aufbewahrung und Prüfung.Die Qualität der technischen Auswahl bestimmt unmittelbar die Höhe der Compliance-Kosten.
III. Iris vs. Gesicht: Datenschutz und Compliance Vergleich der beiden Technologien
In biometrischen Szenarien auf Unternehmensebene sind Gesichtserkennung und Iriserkennung die beiden am weitesten verbreiteten technischen Wege.Die beiden zeigen erhebliche Unterschiede in Bezug auf Datensicherheit und Datenschutz..
| Vergleichsdimension |
Gesichtserkennung |
Iriserkennung |
| Reversibilität der Daten |
Gesichtsbilder können mit einem hohen Risiko einer Leckage auf die Originalfotos zurückgesetzt werden |
Iris-Codierungsvorlagen sind nicht reversibel und entsprechen natürlich dem Prinzip "Daten verfügbar, aber nicht sichtbar" |
| Risiko einer Fälschung aus der Ferne |
Kann durch Fotos, Videos und AI-Deepfake-Technologie geknackt werden |
Die Iris befindet sich innerhalb des Augäpfels und kann nicht aus der Ferne entnommen oder gefälscht werden |
| Einhaltung der Vorschriften an öffentlichen Orten |
Es sind deutliche Hinweisschilder erforderlich und die Installation in privaten Räumen ist verboten. |
Aktive kooperative Sammlung mit höherem Nutzerbewusstsein |
| Sicherheit der Datenspeicherung |
Gesichtsmerkmalvektoren haben nach der Lagerung noch eine gewisse Reversibilität |
Chip-Ebene AES-256-Verschlüsselung, Hardware-isolierter Speicher mit höherer Datensicherheit |
| Schwierigkeiten bei der Bewertung der Auswirkungen |
Es müssen mehrere Risikofaktoren wie Datenschutzerhebungen und Deepfakes berücksichtigt werden |
Die technische Architektur vermeidet von Natur aus die meisten Risiken und vereinfacht den Bewertungsvorgang |
| Genauigkeit der Erkennung |
Von Faktoren wie Licht, Winkel und Make-up beeinflusst, mit einer falschen Erkennungsrate von etwa einer auf eine Million |
Die Binocular-Erkennung erreicht eine Genauigkeit von einer auf eine Milliarde, unberührt von Veränderungen des Aussehens |
Aus Compliance-Sicht hat die Iris-Erkennungstechnologie erhebliche strukturelle Vorteile.Der Kern liegt darin, dass "Daten verfügbar, aber nicht sichtbar" sind. Die digitale Vorlage, die nach der Kodierung von Irismerkmalen erzeugt wird, kann nicht umgekehrt auf das ursprüngliche biologische Bild zurückgesetzt werden.Selbst wenn die Datenbank verletzt wird, können Angreifer die biometrischen Merkmale des Benutzers nicht wiederherstellen. This technical feature is naturally consistent with the storage requirement of "non-reversible restoration" for biometric templates in the Security Requirements for Processing Sensitive Personal Information.
Die Gesichtserkennungstechnologie steht dagegen vor größeren Compliance-Herausforderungen. The Measures for the Security Administration of Facial Recognition Technology Application clearly requires a Personal Information Protection Impact Assessment (PIA) before using facial recognition technology, verbietet die Installation von Gesichtserkennungsanlagen in privaten Räumen wie Hotelzimmern und öffentlichen Badezimmern und verpflichtet die Bereitstellung alternativer Identifikationslösungen.Diese Sonderbestimmungen spiegeln die Bedenken der Regulierungsbehörden über die Risiken der Gesichtserkennungstechnologie wider..
IV. Compliance-Lösungen von Homsh
Als Pionier in der Iris-Erkennungstechnologie in China hat WuHan Homsh Technology Co., Ltd. (Homsh) ein komplettes technisches System von Chips bis zu Terminals und von Algorithmen bis zu Lösungen aufgebaut.in der Lage, Unternehmen mit biometrischen Erkennungslösungen auf Compliance-Ebene mit vollständiger Verbindung zu versorgen.
1- Phase III.0: Algorithmenarchitektur auf Compliance-Level
Phase III. Das ist die Phase III.0, der von Homsh unabhängig entwickelte Kern-Iris-Erkennungsalgorithmus der dritten Generation,übernimmt eine 384-Bit-Betriebsbreite und kann die Größe der Merkmaldatenvorlage auf 2 KB komprimieren, ohne die biometrischen Merkmalpunkte zu reduzierenWichtig ist, dass es keine mathematische Umkehrschlussbeziehung zwischen der codierten digitalen Vorlage und dem ursprünglichen Irisbild gibt, was wahre "daten verfügbar, aber nicht sichtbar" ermöglicht.Die Genauigkeit der binokularen Erkennung beträgt eine auf eine Milliarde, die den Branchendurchschnitt weit übersteigen.
2. Chips der Qianxin-Serie: Sicherheitsbarriere auf Hardware-Ebene
Die von Homsh eingeführten dedizierten ASIC-Chips der Qianxin-Serie für Iriserkennung sind die ersten Chips der Welt, die den Iriserkennungsalgorithmus vollständig in der Hardware implementieren.Unterschiedlich von der traditionellen Software + Allzweck-Prozessor-Architektur, die Qianxin-Chips übernehmen eine On-Chip-System-Isolation-Architektur, kombiniert mit vollständiger Hardware-AES-256-Verschlüsselung,Sicherstellung, dass die Irisvorlage-Daten während des gesamten Sammelvorgangs in einer Hardware-Sicherheitsumgebung verarbeitet werdenDie Kodierungsgeschwindigkeit beträgt weniger als 50 ms, und die Zeit für die Matching von Single-Core beträgt nur 320 Nanosekunden.
Das bedeutet, dass biometrische Daten niemals in Klartext in irgendeinem softwaregänglichen Speicherplatz vorhanden sind.Grundsätzliche Beseitigung des Risikos einer Datenleckage auf Softwareebene.
3Zugangskontrollterminals der D-Serie und Kanaltore der G-Serie: Terminals zur Einführung der Konformität
Auf der Produktebene der Endgeräte sind die D-Serie Iris Access Control Terminals und die G-Serie Iris Channel Gates von Homsh ̊s alle mit Qianxin-Chips gebaut.Unterstützung des Abschlusses aller Erkennungsprozesse lokal auf der GeräteseiteDiese "edge-side computing"-Architektur bedeutet, dass biometrische Daten nicht auf den Server hochgeladen werden müssen.Vermeidung von Datenlecks bei der Netzübertragung und erhebliche Vereinfachung des Compliance-Audit-Prozesses des Unternehmens.
Die Zugangskontrollterminals der D-Serie unterstützen eine Erkennungsdistanz von 30 cm bis 70 cm, vollständige binokulare Iris-Registrierung und Authentifizierung innerhalb einer Sekunde,und ein einziges Gerät kann Zehntausende von Vorlage-Daten speichernDie G-Serie Channel Gates eignen sich für verkehrsstarke Szenarien wie große Parks und Industrieanlagen und unterstützen die Zusammenarbeit zwischen mehreren Geräten.
V. Vorschläge für die Umsetzung der Biometrischen Konformität in Unternehmen
Auf der Grundlage der Anforderungen des überarbeiteten Cybersecurity-Gesetzes und der unterstützenden Vorschriften empfehlen wir Unternehmen, die Biometrie-Compliance-Konstruktion von den folgenden fünf Ebenen aus zu fördern.
Schritt 1: Priorisierung der Konformitätsprüfung
Unternehmen sollten zunächst eine umfassende Konformitätsprüfung bestehender biometrischer Systeme durchführen, um zu beurteilen, ob das aktuelle System den Anforderungen des Cybersicherheitsgesetzes entspricht,Recht zum Schutz personenbezogener Daten und einschlägige nationale Normen. Konzentrieren Sie sich auf die Überprüfung des Benachrichtigungs- und Einwilligungsmechanismus für die Datenerhebung, die Verschlüsselungsmethoden für die Übertragung, die Sicherheitsrichtlinien für die Speicherung und die Löschmechanismen für Daten.
Schritt 2: Verbesserung der technischen Auswahl
Priorisierung biometrischer Technologien mit "nicht umkehrbaren Wiederherstellungsmerkmalen" zur Verringerung der Datensicherheitsrisiken an der Quelle.Die Iris-Erkennungstechnologie bietet natürliche Vorteile bei der Erfüllung der Konformitätsanforderungen aufgrund der Irreversibilität ihrer codierten Vorlagen.Gleichzeitig sollten Produkte mit Verschlüsselungsfunktionen auf Hardwareebene ausgewählt werden, um potenzielle Sicherheitsrisiken durch reine Softwarelösungen zu vermeiden.
Schritt 3: Priorisierung von Edge-Side Computing
Einführung einer edge-side-Computing-Architektur, um die Sammlung, Codierung und Abgleich von biometrischen Merkmalen auf der Geräteseite zu vervollständigen.Dies reduziert nicht nur die Sicherheitsrisiken der NetzübertragungDie Lösung von Homsh ̇s Qianxin-Chip ist eine typische Praxis dieses Konzepts.
Schritt 4: Einführung eines vollständigen Lebenszyklumsmanagements
Einführung eines vollständigen Lebenszyklusmanagementsystems für biometrische Daten, von der Benachrichtigung über die Erhebung, der Berechtigung zur Nutzung, der Speicherung, der Verschlüsselung, der Überprüfung bis zur Löschung der Daten.Es wird empfohlen, eine spezielle Person zu ernennen, die für den Schutz personenbezogener Daten zuständig ist, und regelmäßige Prüfungen der Einhaltung durchzuführen..
Schritt 5: Erstellen eines Systems für Konformitätsdokumente
Verbesserung der Konformitätsdokumente wie Berichte über die Bewertung der Auswirkungen des Schutzes personenbezogener Daten, Datenverarbeitungsprotokolle und Sicherheitsvorfallreaktionspläne.Bei Regulierungskontrollen oder Konformitätsprüfungen, a complete document system can effectively prove the enterprise’s compliance efforts and trigger the protection of "mitigated or reduced punishment" in the new flexible law enforcement clauses of the Cybersecurity Law.
Schlussfolgerung: Einhaltung der Vorschriften ist keine Kosten, sondern eine Wettbewerbsfähigkeit
Das überarbeitete Cybersicherheitsgesetz sendet dem Markt ein klares Signal: Die Verarbeitung biometrischer Daten ist keine interne Angelegenheit der technischen Abteilung mehr.Einer der wichtigsten Aspekte der Einhaltung von Unternehmensnormen ist dieIn diesem Zusammenhang ist die Wahl einer biometrischen Technologie, die die Konformitätsanforderungen von der Architekturentwurfsstufe an erfüllt, nicht nur eine vernünftige Wahl, um Risiken zu reduzieren,Dies ist ein wichtiger Faktor für den digitalen Wandel der Unternehmen..
Mit seiner technischen Eigenschaft "Daten verfügbar, aber nicht sichtbar", Sicherheitsgarantie auf Hardware-Ebene und einer Genauigkeit von einer auf eine Milliarde,Iris-Erkennung hat die optimale Balance zwischen Compliance-Anforderungen und Sicherheitsleistung gefundenFür Unternehmen, die die Modernisierung der biometrischen Technologie bewerten, ist dies ein Zeitfenster, um die technische Auswahl erneut zu prüfen und die Vorteile der Compliance festzustellen.
