في 1 يناير 2026، دخل قانون الأمن السيبراني المعدل لجمهورية الصين الشعبية حيز التنفيذ رسمياً. باعتباره أول مراجعة كبيرة لهذا القانون الأساسي منذ سنّه في عام 2016،يشكل التصميم على أعلى مستوى للنظام القانوني للأمن السيبراني في الصين جنبا إلى جنب مع قانون أمن البيانات وقانون حماية المعلومات الشخصيةللشركات التي تعتمد على تكنولوجيا التعرف البيومتري للسيطرة على الأمن this revision means far more than stricter penalties—it redefines the boundaries for processing biometric data and provides clear compliance guidance for enterprises in selecting biometric technologies.
وفي الوقت نفسه، دخلت تدابير إدارة أمن تطبيق تكنولوجيا التعرف على الوجه حيز التنفيذ في يونيو 2025.تحديد متطلبات صارمة لتقييم الأثر والحلول البديلة خصيصًا لسيناريوهات التعرف على الوجوه. The national standard GB/T 45574-2025 Data Security Technology—Security Requirements for Processing Sensitive Personal Information further specifies the classification and processing norms of biometric informationفي ظل تضمين العديد من اللوائح، تحول اختيار الشركات لتكنولوجيا القياسات الحيوية من اختيار فني إلى قرار استراتيجي للامتثال.
رفع قانون الأمن الإلكتروني المعدل الحد الأقصى للغرامات على الانتهاكات من مليون يوان إلى 10 ملايين يوان، وأضاف عقوبات مثل تعليق تشغيل التطبيقات،زيادة كبيرة في تكلفة الانتهاكات للمؤسسات.
تفسير النقاط الرئيسية لللائحة الجديدة
يقدم مراجعة قانون الأمن الإلكتروني العديد من الإشارات الحاسمة. أولاً، إنه أول إصلاح كبير لهذا القانون الأساسي منذ ما يقرب من عقد.بشأن تحديث شامل لنظام إدارة الأمن السيبراني من قبل المشرعينيمكن فهم المعلومات الأساسية للمراجعة من الأبعاد الأربعة التالية.
1الذكاء الاصطناعي مدرج في القانون للمرة الأولى
المادة 20 التي تمت إضافتها حديثًا تضع أحكام خاصة بشأن أمن وتطوير الذكاء الاصطناعي،توضيح أن الدولة تدعم البحث النظري الأساسي والتكنولوجيا الرئيسية للبحث والتطوير في الذكاء الاصطناعي، مع تحسين المعايير الأخلاقية وتعزيز مراقبة المخاطر وتقييمها ورقابة الأمن.وهذا يعني أن الشركات التي تستخدم تكنولوجيا الذكاء الاصطناعي لمعالجة البيانات البيومترية ستواجه متطلبات أكثر صرامة للمراجعة الأخلاقية والإشراف على الأمن.
2زيادة كبيرة في العقوبات لبناء نظام رادع قوي
وقد ارتفع الحد الأقصى للغرامات من مليون يوان إلى 10 ملايين يوان في النسخة المعدلة، مع إضافة أنواع جديدة من العقوبات مثل تعليق عمليات التطبيق.المسؤولية القانونية تمتد من الشركات إلى الأفراد، والموظفين المسؤولين بشكل مباشر سوف يواجهون عقوبات أكثر قسوة. الزيادة الحادة في تكلفة الانتهاكات تضع متطلبات أعلى لإجراءات معالجة البيانات البيومترية.
3تنسيق القانون الثلاثة لتشكيل شبكة تنظيمية ضيقة
ويعزز النسخة المعدلة الارتباط المنهجي مع قانون أمن البيانات وقانون حماية المعلومات الشخصية،توفير مبادئ توجيهية واضحة لإنفاذ القانون من خلال بنود "الإشارة المطبقة"عند معالجة البيانات الحيوية، يجب على الشركات تلبية متطلبات القوانين الثلاثة في وقت واحد، والإهمال في أي رابط قد يؤدي إلى اتخاذ إجراءات إنفاذ القانون.
4بنود مرنة لإنفاذ القانون
ومن الجدير بالذكر أن المادة 73 التي تمت إضافتها حديثًا مرتبطة بقانون العقوبات الإدارية، مما يوضح أن الشركات يمكن أن تحصل على تخفيفات،يتم تخفيض العقوبة أو عدم فرضها إذا أخذوا المبادرة للقضاء على العواقب الضارة، وتصحيح الانتهاكات الطفيفة على الفور دون عواقب ضارة، أو لا يكون لها خطأ ذاتي. يوفر هذا البند "حافظة السلامة" للمؤسسات التي تبذل جهودًا فعالة للامتثال.
الخطوط الحمراء المتعلقة بالامتثال والخطوط السفلية للبيانات البيومترية
يحدد قانون الأمن السيبراني المعدل واللوائح الداعمة بشكل مشترك "الخطوط الحمراء" و "الخطوط السفلية" لمعالجة البيانات البيومترية.يجب على الشركات تلبية متطلبات الامتثال في الأبعاد التالية:.
1تعريف وتصنيف المعلومات الحساسة
المعلومات البيومترية مدرجة صراحة باسم "المعلومات الشخصية الحساسة"، بما في ذلك بصمة الوجه، بصمة الأصابع، بصمة الصوت، القزحية، المعلومات الوراثية وهلم جرا.هذا يعني أنه بغض النظر عن تكنولوجيا البيومتريك التي تستخدمها المؤسسة، ستخضع البيانات التي تم جمعها لأعلى مستوى من متطلبات الحماية.
2متطلبات امتثال دورة الحياة الكاملة
| رابط الامتثال |
المتطلبات الأساسية |
الأساس القانوني |
| إشعار جمع |
الحصول على موافقة منفصلة من الفرد وإبلاغ الغرض وطريقة المعالجة بوضوح |
المادة 29 من قانون حماية المعلومات الشخصية |
| تقييم التأثير |
إجراء تقييم تأثير حماية المعلومات الشخصية قبل الاستخدام |
المادة 9 من تدابير إدارة أمن تطبيق تكنولوجيا التعرف على الوجه |
| أمن الإرسال |
تبني على الأقل تشفير القناة، ويفضل دمجها مع تشفير المحتوى |
GB/T 45574-2025 تكنولوجيا أمن البيانات متطلبات الأمان لمعالجة المعلومات الشخصية الحساسة |
| أمن التخزين |
التخزين المشفر والنماذج البيومترية يجب أن تكون غير قابلة للإرجاع |
قانون الأمن الإلكتروني + قانون أمن البيانات |
| مراجعة الامتثال |
يجب على المعالجات التي تتعامل مع معلومات أكثر من مليون شخص تعيين شخص مسؤول عن الحماية |
تدابير إدارة عمليات التدقيق في الامتثال لحماية المعلومات الشخصية |
| إخطار الموقع |
يجب أن تكون معدات التجميع المثبتة في الأماكن العامة مجهزة بعلامات واضحة |
المادة 26 من قانون حماية المعلومات الشخصية |
يمكن أن يظهر من المتطلبات المذكورة أعلاه أن اللوائح لا تركز فقط على الإخطار والموافقة في رابط جمع البيانات،ولكن أيضا توسيع الرقابة التنظيمية إلى دورة حياة كاملة لنقل البياناتفي ظل هذا الإطار التنظيمي،تصبح بنية أمن التكنولوجيا البيومترية نفسها متغيرًا رئيسيًا للامتثال.
الثالث: القزحية مقابل الوجه: الخصوصية والامتثال مقارنة بين التقنيتين
في السيناريوهات البيومترية على مستوى المؤسسة، التعرف على الوجه والتعرف على الشمس هي الطرق التقنية الأكثر شيوعا.يظهر الاثنان اختلافات كبيرة في أمن البيانات وحماية الخصوصية.
| بعد المقارنة |
التعرف على الوجه |
التعرف على القزحية |
| إمكانية عودة البيانات |
يمكن استعادة صور الوجه إلى الصور الأصلية، مع وجود خطر كبير من التسريب |
قوالب ترميز القزحية غير قابلة للإرجاع ، تتماشى بشكل طبيعي مع مبدأ "البيانات المتاحة ولكن غير مرئية" |
| خطر التزوير عن بعد |
يمكن أن تُكسر من خلال الصور، الفيديوهات، وتكنولوجيا الذكاء الاصطناعي العميقة |
القزحية تقع داخل الكرة العينية ولا يمكن جمعها أو تزييفها عن بعد |
| الامتثال في الأماكن العامة |
مطلوب إشارات واضحة للإشارة، ويتم حظر التثبيت في الأماكن الخاصة |
التجمع التعاوني النشط، مع زيادة الوعي للمستخدمين |
| أمن تخزين البيانات |
لا يزال ناقلات الملامح الوجهية لها قدر معين من العكسية بعد التخزين |
تشفير AES-256 على مستوى الشريحة ، تخزين معزول من الأجهزة ، مع أمن بيانات أعلى |
| صعوبة تقييم التأثير |
يجب النظر في عوامل خطر متعددة مثل جمع الخصوصية والتزوير العميق |
الهندسة المعمارية التقنية تتجنب بطبيعتها معظم المخاطر، مما يجعل عملية التقييم أبسط |
| دقة التعرف |
تتأثر بعوامل مثل الضوء والزاوية والمكياج، مع معدل التعرف الخاطئ حوالي واحد في مليون |
يصل دقة التعرف الزائدة إلى واحد من بين مليار، دون أن تتأثر بتغيرات في المظهر |
من وجهة نظر الامتثال، تكنولوجيا التعرف على القزحية لديها مزايا هيكلية كبيرة.جوهرها يكمن في "البيانات المتاحة ولكن غير مرئية" النموذج الرقمي المولد بعد ترميز خصائص القزحية لا يمكن استعادته إلى الصورة البيولوجية الأصليةحتى لو تم اختراق قاعدة البيانات لا يستطيع المهاجمون استعادة الميزات البيومترية للمستخدم This technical feature is naturally consistent with the storage requirement of "non-reversible restoration" for biometric templates in the Security Requirements for Processing Sensitive Personal Information.
تكنولوجيا التعرف على الوجه، على النقيض من ذلك، تواجه المزيد من تحديات الامتثال. The Measures for the Security Administration of Facial Recognition Technology Application clearly requires a Personal Information Protection Impact Assessment (PIA) before using facial recognition technology، يحظر تركيب معدات التعرف على الوجه في الأماكن الخاصة مثل غرف الفنادق والحمامات العامة، ويفرض توفير حلول تحديد هوية بديلة.هذه الأحكام الخاصة تعكس مخاوف الجهات التنظيمية بشأن المخاطر المتأصلة لتكنولوجيا التعرف على الوجه.
IV حلول الامتثال الخاصة بالشركة
باعتبارها رائدة في تكنولوجيا التعرف على الشمس في الصين، قامت شركة "ووهان هومش" للتكنولوجيا بتأسيس نظام فني كامل من الرقائق إلى المحطات ومن الخوارزميات إلى الحلول،قادرة على تزويد الشركات بحلول التعرف البيومتري على مستوى الامتثال بالكامل.
1المرحلة الثالثة0: بنية خوارزمية مستوى الامتثال
المرحلة 30الخوارزمية الأساسية للتعرف على القزحية من الجيل الثالث والتي طورتها Homsh بشكل مستقليتبنى عرض عملية 384 بت ويمكن ضغط حجم قالب بيانات الميزة إلى 2KB دون تقليل نقاط الميزة البيومتريةوالأهم من ذلك، أنه لا توجد علاقة استنتاج عكسية رياضية بين القالب الرقمي المشفر والصورة الأصلية للقزحية، مما يؤدي إلى تحقيق "بيانات متوفرة ولكن غير مرئية".دقة التعرف البينوكلر تصل إلى واحد من بين مليار، يتجاوز بكثير متوسط الصناعة.
2رقائق سلسلة تشيانكسين: حاجز أمان على مستوى الأجهزة
رقائق ASIC المخصصة لسلسلة Qianxin للتعرف على القزحية التي أطلقتها Homsh هي أول رقائق في العالم تنفذ خوارزمية التعرف على القزحية بالكامل في الأجهزة.يختلف عن البرمجيات التقليدية + بنية المعالج العام، رقائق تشيانكسين تبني بنية عزل النظام على رقاقة، جنبا إلى جنب مع تشفير كامل الجهاز AES-256.ضمان معالجة بيانات نموذج القزحية في بيئة أمان الأجهزة طوال عملية جمعها، الترميز، المطابقة والتخزين. سرعة الترميز أقل من 50 ميس، والوقت المطابقة النواة الواحدة هو فقط 320 نانوسانية.
هذا يعني أن البيانات الحيوية لا توجد أبداً في نص عادي في أي مكان ذاكرة يمكن الوصول إليه بواسطة البرنامجالقضاء بشكل أساسي على خطر تسرب البيانات على مستوى البرمجيات مستوى أمن لا يمكن تحقيقه من خلال الحلول البيومترية البرمجية التقليدية.
3محطات التحكم في الوصول من سلسلة D ومحطات القناة من سلسلة G: محطات تنفيذ الامتثال
على مستوى المنتجات النهائية، تم بناء محطات التحكم في إيريس من سلسلة D من Homsh ̇ و بوابات قناة إيريس من سلسلة G جميعها مع رقائق Qianxin،دعم إكمال جميع عمليات التعرف محلياً على جانب الجهازهذه البنية "حاسوب الجانب" تعني أن البيانات الحيوية لا تحتاج إلى تحميل إلى الخادم،تجنب خطر تسرب البيانات في نقل الشبكة وتبسيط عملية مراجعة الامتثال للشركة بشكل كبير.
محطات التحكم في الوصول من سلسلة D تدعم مسافة التعرف من 30 سم إلى 70 سم، وتسجيل القزحية الثنائية الكاملة والتحقق من صحتها في غضون ثانية واحدةويمكن لجهاز واحد تخزين عشرات الآلاف من بيانات القالبتُعد بوابات القناة من سلسلة G مناسبة لسيناريوهات حركة المرور العالية مثل المنتزهات الكبيرة والمرافق الصناعية ، وتدعم تعاون الشبكات بين أجهزة متعددة.
V. اقتراحات لتنفيذ الامتثال البيومتري للمؤسسات
بناءً على متطلبات قانون الأمن الإلكتروني المعدل واللوائح الداعمة، نوصي بأن تعزز الشركات بناء الامتثال البيومتري من المستويات الخمس التالية.
الخطوة الأولى: إعطاء الأولوية لمراجعة الامتثال
يجب على الشركات أولاً إجراء مراجعة شاملة للامتثال للأنظمة البيومترية الحالية لتقييم ما إذا كان النظام الحالي يفي بمتطلبات قانون الأمن السيبراني.قانون حماية المعلومات الشخصية والمعايير الوطنية ذات الصلةالتركيز على مراجعة آلية الإخطار والموافقة لجمع البيانات، وأساليب تشفير الإرسال، وسياسات أمن التخزين وآليات حذف البيانات.
الخطوة الثانية: تحسين الاختيار التقني
إعطاء الأولوية للتكنولوجيات البيومترية مع ميزات "الاستعادة غير القابلة للإرجاع" للحد من مخاطر أمن البيانات من المصدر.تكنولوجيا التعرف على الشمس لديها مزايا طبيعية في تلبية متطلبات الامتثال بسبب لا رجعة فيها للقوالب المشفرةفي الوقت نفسه، يجب اختيار المنتجات ذات قدرات تشفير على مستوى الأجهزة لتجنب المخاطر الأمنية المحتملة الناجمة عن حلول البرمجيات البحتة.
الخطوة الثالثة: إعطاء الأولوية للحوسبة الجانبية
اعتماد بنية الحوسبة الجانبية قدر الإمكان لإكمال جمع وتشفير ومطابقة الخصائص البيومترية جميعها على جانب الجهاز.هذا لا يقلل فقط من مخاطر أمن نقل الشبكة، ولكنه يسهل أيضا إدارة الامتثال لتدفق البيانات للمؤسسات. حل تشينشين الشريحة من Homsh ٪ هو ممارسة نموذجية لهذا المفهوم.
الخطوة 4: وضع إدارة دورة الحياة الكاملة
إنشاء نظام كامل لإدارة دورة الحياة للبيانات البيومترية، من إخطار جمعها، وإذن استخدامها، وتشفير التخزين، وتتبع التدقيق إلى حذف البيانات.يوصى بتعيين شخص مخصص مسؤول عن حماية المعلومات الشخصية وإجراء عمليات تدقيق منتظمة للامتثال.
الخطوة الخامسة: تشكيل نظام وثائق الامتثال
تحسين وثائق الامتثال مثل تقارير تقييم تأثير حماية المعلومات الشخصية وسجلات معالجة البيانات وخطط الاستجابة للحوادث الأمنية.في عمليات التفتيش التنظيمية أو مراجعات الامتثال, a complete document system can effectively prove the enterprise’s compliance efforts and trigger the protection of "mitigated or reduced punishment" in the new flexible law enforcement clauses of the Cybersecurity Law.
الاستنتاج: الامتثال ليس تكلفة، ولكن القدرة التنافسية
يبعث قانون الأمن السيبراني المعدل برسالة واضحة للسوق: لم تعد معالجة البيانات البيومترية مسألة داخلية للقسم الفني.ولكن مسألة استراتيجية مرتبطة بخط حياة الامتثال للمؤسسةفي هذا السياق، فإن اختيار تكنولوجيا البيومترية التي تلبي متطلبات الامتثال من مستوى التصميم المعماري ليس مجرد خيار معقول للحد من المخاطر.ولكن أيضا ميزة تنافسية في التحول الرقمي للشركة.
مع ميزتها التقنية "البيانات المتاحة ولكن غير مرئية" ضمان الأمان على مستوى الأجهزة ودقة التعرف واحد في مليار،تمكن التعرف على القزحية من إيجاد التوازن الأمثل بين متطلبات الامتثال والأداء الأمنيبالنسبة للشركات التي تقيم ترقية تكنولوجيا القياسات الحيوية، هذه فترة نافذة لإعادة النظر في الاختيار التقني وتحديد مزايا الامتثال.
