信息技术安全技术生物特征识别信息的保护要求编制说明

国家标准《信息技术安全技术生物特征识别信息的保护要求》（征求意见稿）编制说明

一、任务来源

《信息技术安全技术生物特征识别信息的保护要求》是国家标准化管理委员会2018年下达的信息安全国家标准制定项目，国标计划号为：2018XXXX-T-469，

由北京赛西科技发展有限责任公司主要负责起草，中国电子技术标准化研究院、广州广电运通金融电子股份有限公司、浙江蚂蚁小微金融服务集团股份有限公司、联想（北京）有限公司、国民认证科技（北京）有限公司、格尔软件股份有限公司等单位共同参与了该标准的起草工作。

二、编制原则

随着互联网成为日常生活的一部分，生物特征识别技术包括基于行为和生理特征的个体自动识别特征已经成熟，这些生物特征信息包括指纹图像、语音、虹膜图像、面部图像等。生物特征识别技术的成本一直在下降，它们的可靠性一直在增加，现在用作身份鉴别机制是可行的。另一方面，生物特征识别信息与其他个人信息和共享的联系越来越多，生物特征识别信息使个人和组织带来了新的挑战，需要重点保障生物特征信息的安全，并遵守各种隐私要求。

本标准拟提出生物特征识别信息的安全保护要求，包括生物特征识别系统的威胁和对策，生物特征信息和身份主体之间安全绑定的安全要求，应用模型以及隐私保护要求等。因此本标准制定时遵循以下原则：

1）通用性

按照本标准实现的生物特征识别信息的安全技术要求，可实现基本技术规格一致，便于用户使用，有利于主管部门的测评、认证和管理。

2）实用性

根据我国国情、实际运用环境和国家有关政策编制本标准，使其在指导系统和产品研发、检测、使用和管理方面具有很强的实用性。

）安全性与隐私3．

在本标准中对生物特征识别信息从安全和隐私两方面都做了严格的规定，从而确保生物特征识别信息在不同的场景中应用的安全性。

4）符合性

符合国家有关法律法规和已有标准规范的相关要求。

三、主要工作过程

1、2018年4月，调研国内外生物特征识别信息的安全应用需求，调研市场上生物特征识别的各种模态具体应用方式以及相关标准、法律法规要求等。

2、2018年9月11日，北京赛西科技发展有限责任公司、中国电子技术标准化

研究院、广州广电运通金融电子股份有限公司、浙江蚂蚁小微金融服务集团股份有限公司、联想（北京）有限公司、国民认证科技（北京）有限公司、格尔软件股份有限公司等共同组成标准编制组，召开该标准编制启动工作会议。会上，对

标准编制的组织形式及任务分工进行了安排。

3、2018年3月至12月，标准编制组完成了国家标准《信息技术安全技术

生物特征识别信息的保护要求》（草案）。

4、2019年3月26日在北京召开生物特征识别信息保护标准项目组工作会议，讨论标准草案，并明确下阶段工作任务。

5、2019年4月16日，WG4工作组在北京组织召开了组内专家评审会。专家组听取了标准编制组的工作汇报，审阅了相关文档，质询了有关问题。编制组依据专家评审意见进行了修改，形成新一版标准草案。

6、2019年4月22日，TC260在宁波召开会议周。在WG4工作组会议上，参会专家听取了标准编制组的工作汇报，经过讨论，提出若干修改意见，并进行了投票表决，形成征求意见稿。会议之后，编制组依据修改意见进行了修改，形成标准征求意见稿。

四、标准的主要内容

本标准规定了生物特征识别信息的安全保护要求，包括生物特征识别系统的威胁和对策，生物特征信息和身份主体之间安全绑定的安全要求，应用模型以及隐私保护要求等。本标准适用于生物特征识别系统的设计、开发与集成。

生物特征身份鉴别引入了隐私和鉴别保障之间的潜在差异。一方面，生物．

特征理想上是一个不变的属性，与个人相关联而且不同。凭证与人员的这种绑定提供了强有力的认证保证。另一方面，这种强大的约束力也对生物识别系统的安全性提出了挑战，如非法处理生物特征数据等。通常的更改密码或发新令牌解决办法是不可用于生物识别认证，因为生物特征，无论是内在的生理特性或个人行为的特点，难以或不可能改变。可以注册另一个手指或眼睛，但是选择通常是有限的。因此，采取适当的对策来维护一个安全的生物识别系统和保障数据的隐私是至关重要的。生物特征信息可能被检索或分析，如数据主体的健康状况或推断医疗信息和种族背景等。生物特征信息可能被滥用于其他目的，并被数据收集者所滥用。

本标准主要框架如下：

前言

引言

1 范围

2 规范性引用文件

3 术语、定义和缩略语

3.1 术语和定义

3.2 缩略语

4 生物特征识别系统

4.1 生物识别系统介绍

4.2 生物识别系统操作流

4.3 生物特征标识与身份标识

4.4 生物特征识别系统与身份管理系统

4.5 个人信息与通用唯一标识符

4.6 社会属性

5 生物特征识别系统安全要求

5.1 生物特征识别系统信息安全保护要求

5.2 生物特征识别系统安全威胁与应对措施

5.3 生物特征识别信息的数据库记录安全

生物特征识别信息管理要求6

6.1 生物特征识别信息安全威胁

6.2 生物特征识别信息保护要求与指南

6.3 监管与政策要求

6.4 生物特征识别信息生命周期管理

6.5 生物特征识别系统所有者责任

7 生物特征识别系统应用模型与安全要求

7.1 生物特征识别系统应用模型

7.2 生物特征应用模型的安全要求

附录A（资料性附录）数据库身份与生物特征信息安全绑定与使用

附录B（资料性附录）生物特征识别系统安全加密算法

附录C（资料性附录）可更新生物特征参考标识的框架

附录D（资料性附录）可更新生物特征参考标识的技术示例

附录E（资料性附录）生物特征识别水印

五、与相关法律法规及国家有关规定、国内相关标准的关系生物识别关联信息与其他个人信息和共享的联系越来越多，生物识别信息本标准提出了生物特征识别系统中包含生物信息记录的使组织带来了新的挑战。安全性要求，以保证生物信息的安全，并遵守各种隐私条例。本标准规范统一的生物特征识别信息的安全保护要求，从而实现安全、便捷、统一的生物识别信息安全保护框架，提高安全性，促进产业健康发展。本标个人信息安全规范》在生物特征识别领《信息安全技术准是GB/T 35273-2017远程人脸《信息安全技术域的细化与补充，并提出具体的安全与隐私保护要求。分别针对远程人脸指纹识别系统技术要求》识别系统技术要求》《信息安全技术

本标准对生物特征识别系统提出了更为通用设别系统和指纹识别系统提出要求。层面的保护要求，覆盖了生理特征和行为特征。

重大分歧意见的处理经过和依据六、

详见标准意见汇总处理表。

国家标准作为强制性国家标准或推荐性国家标准的建议七、．

建议本标准作为推荐性国家标准发布实施。

八、贯彻国家标准的要求和措施建议（包括组织措施、技术措施、过渡办法等内容）

本标准主要用于通过标准化的形式来将生物特征识别信息的安全与隐私要求等进行规范，有助于促进和规范当前生物特征鉴别工作的推进和管理。

九、其他事项说明

本标准不涉及专利。

标准编制组月6年2019．