El 1 de enero de 2026, la Ley de Ciberseguridad revisada de la República Popular China entró oficialmente en vigor.forma el diseño de alto nivel del sistema legal de ciberseguridad de China junto con la Ley de Seguridad de Datos y la Ley de Protección de Información PersonalPara las empresas que dependen de la tecnología de reconocimiento biométrico para el control de seguridad, this revision means far more than stricter penalties—it redefines the boundaries for processing biometric data and provides clear compliance guidance for enterprises in selecting biometric technologies.
Mientras tanto, las Medidas para la Administración de Seguridad de la Aplicación de Tecnología de Reconocimiento Facial entraron en vigor en junio de 2025,por el que se establecen requisitos estrictos para la evaluación de impacto y soluciones alternativas específicamente para los escenarios de reconocimiento facial. The national standard GB/T 45574-2025 Data Security Technology—Security Requirements for Processing Sensitive Personal Information further specifies the classification and processing norms of biometric informationEn el marco de la superposición de múltiples regulaciones, la selección de la tecnología biométrica por parte de las empresas ha pasado de ser una elección puramente técnica a una decisión estratégica de cumplimiento.
La Ley de Ciberseguridad revisada ha aumentado el límite superior de las multas por violaciones de 1 millón de yuanes a 10 millones de yuanes, y ha añadido sanciones como la suspensión del funcionamiento de las aplicaciones,incrementando significativamente el coste de las infracciones para las empresas.
I. Interpretación de los puntos clave del nuevo reglamento
La revisión de la Ley de Ciberseguridad transmite varias señales críticas.por el que se marca una mejora integral del sistema de gobernanza de la ciberseguridad por parte de los legisladoresLa información central de la revisión puede entenderse a partir de las cuatro dimensiones siguientes.
1Inteligencia artificial incorporada por primera vez a la ley
El artículo 20 recién añadido contiene disposiciones especiales sobre la seguridad y el desarrollo de la inteligencia artificial.aclarando que el Estado apoya la investigación teórica básica y la I + D de tecnología clave de la IA, mejorando al mismo tiempo las normas éticas y reforzando el seguimiento, la evaluación y la supervisión de los riesgos.Esto significa que las empresas que utilizan tecnología de IA para procesar datos biométricos se enfrentarán a requisitos de revisión ética y supervisión de seguridad más estrictos.
2- Aumentar sustancialmente las sanciones para construir un sistema de disuasión fuerte
El límite superior de las multas ha aumentado de 1 millón de yuanes a 10 millones de yuanes en la versión revisada, con nuevos tipos de sanciones como la suspensión de las operaciones de aplicación.La responsabilidad legal se extiende de las empresas a los particularesEl aumento drástico del coste de las infracciones plantea mayores requisitos para los procedimientos de tratamiento de los datos biométricos.
3Coordinación de las tres leyes para formar una red reguladora estrecha
La versión revisada refuerza la conexión sistemática con la Ley de Seguridad de Datos y la Ley de Protección de Información Personal,Proporcionar directrices claras para la aplicación de la ley mediante cláusulas de referencia aplicablesAl procesar datos biométricos, las empresas deben cumplir los requisitos de las tres leyes simultáneamente, y la negligencia en cualquier vínculo puede desencadenar acciones policiales.
4Cláusulas flexibles para el cumplimiento de la ley
En particular, el artículo 73 recién añadido está relacionado con la Ley de sanciones administrativas, aclarando que las empresas pueden recibir medidas mitigadas,reducido o sin castigo si toman la iniciativa de eliminar las consecuencias perjudicialesEsta cláusula proporciona un "buffer de seguridad" para las empresas con esfuerzos activos de cumplimiento.
II. Líneas rojas de cumplimiento y líneas inferiores para los datos biométricos
La Ley de Ciberseguridad revisada y las regulaciones de apoyo definen conjuntamente las "líneas rojas" y "líneas inferiores" para el procesamiento de datos biométricos.Las empresas deben cumplir los requisitos de conformidad en las siguientes dimensiones:.
1- Definición y clasificación de la información sensible
La información biométrica se enumera explícitamente como "información personal sensible", incluida la impresión facial, de las huellas dactilares, de la voz, del iris, de la información genética, etc.Esto significa que no importa qué tecnología biométrica adopte una empresa,, los datos recogidos estarán sujetos al más alto nivel de protección.
2Requisitos de cumplimiento de todo el ciclo de vida
| Enlace de cumplimiento |
Requisitos básicos |
Fundamento jurídico |
| Notificación de recogida |
Obtener el consentimiento por separado de la persona y informar claramente el propósito y el método del tratamiento |
Artículo 29 de la Ley de protección de datos personales |
| Evaluación del impacto |
Realizar una evaluación de impacto sobre la protección de la información personal (EIP) antes de su uso |
Artículo 9 de las medidas para la administración de seguridad de la aplicación de la tecnología de reconocimiento facial |
| Seguridad de la transmisión |
Adopte al menos el cifrado del canal y, preferiblemente, combínelo con el cifrado del contenido |
GB/T 45574-2025 Tecnología de seguridad de datos Requisitos de seguridad para el tratamiento de información personal sensible |
| Seguridad del almacenamiento |
Almacenamiento cifrado y plantillas biométricas no reversibles |
Ley de ciberseguridad + Ley de seguridad de datos |
| Auditoría del cumplimiento |
Los encargados del tratamiento que manejen información de más de un millón de personas deben designar a una persona responsable de la protección |
Medidas para la administración de las auditorías de cumplimiento de la protección de datos personales |
| Notificación del sitio |
Los equipos de recogida instalados en lugares públicos deberán estar equipados con señales de aviso visibles. |
Artículo 26 de la Ley de protección de datos personales |
Se puede observar a partir de los requisitos anteriores que los reglamentos no se centran sólo en la notificación y el consentimiento en el enlace de recopilación de datos,Pero también extender la supervisión regulatoria a todo el ciclo de vida de la transmisión de datos, almacenamiento y auditoría.La arquitectura de seguridad de la tecnología biométrica en sí misma se convierte en una variable clave para el cumplimiento.
III. Iris frente a la cara: privacidad y cumplimiento Comparación de las dos tecnologías
En los escenarios biométricos a nivel empresarial, el reconocimiento facial y el reconocimiento del iris son las dos vías técnicas más comunes.Las dos muestran diferencias significativas en la seguridad de los datos y la protección de la privacidad.
| Dimensión de comparación |
Reconocimiento facial |
Reconocimiento del iris |
| Reversibilidad de los datos |
Las imágenes faciales se pueden restaurar a las fotos originales, con un alto riesgo de fuga |
Las plantillas de codificación de iris no son reversibles, y se ajustan naturalmente al principio de "datos disponibles pero no visibles" |
| Riesgo de falsificación a distancia |
Se puede descifrar a través de fotos, videos, y tecnología AI deepfake |
El iris se encuentra dentro del globo ocular y no se puede recoger o forjar a distancia |
| Cumplimiento en lugares públicos |
Se requieren señales de aviso prominentes y se prohíbe su instalación en espacios privados. |
Recogida activa en forma cooperativa, con mayor conciencia de los usuarios |
| Seguridad del almacenamiento de datos |
Los vectores de rasgos faciales todavía tienen cierta reversibilidad después del almacenamiento |
Encriptación AES-256 a nivel de chip, almacenamiento aislado por hardware, con mayor seguridad de los datos |
| Dificultad para evaluar el impacto |
Hay que tener en cuenta múltiples factores de riesgo, como la recopilación de datos de privacidad y las falsificaciones profundas |
La arquitectura técnica evita la mayoría de los riesgos, simplificando el proceso de evaluación |
| Precisión de reconocimiento |
Afecta a factores como la luz, el ángulo y el maquillaje, con una tasa de reconocimiento falso de aproximadamente uno en un millón |
La precisión del reconocimiento binocular alcanza uno en mil millones, sin que los cambios de apariencia los afecten |
Desde la perspectiva del cumplimiento, la tecnología de reconocimiento del iris tiene importantes ventajas estructurales.Su núcleo radica en "datos disponibles pero no visibles". La plantilla digital generada después de codificar las características del iris no puede ser restaurada a la imagen biológica original.Incluso si la base de datos es violada, los atacantes no pueden restaurar las características biométricas del usuario. This technical feature is naturally consistent with the storage requirement of "non-reversible restoration" for biometric templates in the Security Requirements for Processing Sensitive Personal Information.
La tecnología de reconocimiento facial, por el contrario, enfrenta más desafíos de cumplimiento. The Measures for the Security Administration of Facial Recognition Technology Application clearly requires a Personal Information Protection Impact Assessment (PIA) before using facial recognition technology, prohíbe la instalación de equipos de reconocimiento facial en espacios privados como habitaciones de hotel y baños públicos, y exige la provisión de soluciones de identificación alternativas.Estas disposiciones especiales reflejan las preocupaciones de los reguladores sobre los riesgos inherentes de la tecnología de reconocimiento facial.
IV. Soluciones para el cumplimiento de Homsh
Como pionera en tecnología de reconocimiento de iris en China, WuHan Homsh Technology Co., Ltd. (Homsh) ha construido un sistema técnico completo desde chips hasta terminales y desde algoritmos hasta soluciones,capaz de proporcionar a las empresas soluciones de reconocimiento biométrico de nivel de cumplimiento de enlace completo.
1Fase Iris 3.0: Arquitectura de algoritmos de nivel de conformidad
Fase Iris 3.0, el algoritmo de reconocimiento de iris de tercera generación desarrollado independientemente por Homsh,adopta un ancho de operación de 384 bits y puede comprimir el tamaño de la plantilla de datos de características a 2KB sin reducir los puntos de características biométricasCrucialmente, no hay una relación de inferencia inversa matemática entre la plantilla digital codificada y la imagen del iris original, realizando verdaderos "datos disponibles pero no visibles".La precisión del reconocimiento binocular alcanza uno en mil millones, muy superior a la media del sector.
2Chips de la serie Qianxin: Barrera de seguridad a nivel de hardware
Los chips ASIC dedicados de la serie Qianxin para reconocimiento de iris lanzados por Homsh son los primeros chips del mundo que implementan completamente el algoritmo de reconocimiento de iris en hardware.Diferente del software tradicional + arquitectura del procesador de propósito general, los chips Qianxin adoptan una arquitectura de aislamiento del sistema en el chip, combinada con el cifrado completo de hardware AES-256,garantizar que los datos de la plantilla de iris se procesen en un entorno de seguridad de hardware durante todo el proceso de recogidaLa velocidad de codificación es inferior a 50 ms, y el tiempo de coincidencia de un solo núcleo es de sólo 320 nanosegundos.
Esto significa que los datos biométricos nunca existen en texto plano en ningún espacio de memoria accesible por software,eliminar fundamentalmente el riesgo de fuga de datos a nivel de software, un nivel de seguridad que las soluciones biométricas puramente software tradicionales no pueden alcanzar..
3Terminal de control de acceso de la serie D y canal de puertas de la serie G: terminales de implementación de conformidad
En el nivel del producto terminal, los terminales de control de acceso Iris de la serie D de Homsh ̇ y las puertas de canal Iris de la serie G están todos construidos con chips Qianxin,apoyo a la finalización de todos los procesos de reconocimiento localmente en el lado del dispositivoEsta arquitectura de "computación de borde" significa que los datos biométricos no necesitan ser cargados al servidor,evitar el riesgo de fuga de datos en la transmisión de la red y simplificar en gran medida el proceso de auditoría de conformidad de la empresa.
Los terminales de control de acceso de la serie D admiten una distancia de reconocimiento de 30 cm a 70 cm, registro completo del iris binocular y autenticación en 1 segundo,y un solo dispositivo puede almacenar decenas de miles de datos de plantillaLas puertas de canal de la serie G son adecuadas para escenarios de alto tráfico como grandes parques e instalaciones industriales, que admiten la colaboración en red de varios dispositivos.
V. Sugerencias para la aplicación del cumplimiento biométrico empresarial
Basándonos en los requisitos de la Ley de Ciberseguridad revisada y las regulaciones de apoyo, recomendamos que las empresas promuevan la construcción de cumplimiento biométrico desde los siguientes cinco niveles.
Paso 1: Priorizar la auditoría de cumplimiento
Las empresas deben realizar primero una auditoría exhaustiva del cumplimiento de los sistemas biométricos existentes para evaluar si el sistema actual cumple los requisitos de la Ley de ciberseguridad,Ley de protección de datos personales y normas nacionales pertinentesSe centrará en revisar el mecanismo de notificación y consentimiento para la recopilación de datos, los métodos de cifrado de transmisión, las políticas de seguridad de almacenamiento y los mecanismos de eliminación de datos.
Paso 2: mejorar la selección técnica
Dar prioridad a las tecnologías biométricas con características de "restauración no reversible" para reducir los riesgos de seguridad de los datos desde la fuente.La tecnología de reconocimiento de iris tiene ventajas naturales para cumplir con los requisitos de conformidad debido a la irreversibilidad de sus plantillas codificadas.Al mismo tiempo, deben seleccionarse productos con capacidades de cifrado a nivel de hardware para evitar posibles riesgos de seguridad causados por soluciones puramente de software.
Paso 3: dar prioridad a la computación en el borde
Adoptar una arquitectura de computación en el lado del borde en la medida de lo posible para completar la recopilación, codificación y correspondencia de características biométricas en el lado del dispositivo.Esto no sólo reduce los riesgos de seguridad de la transmisión de la redLa solución de chip Qianxin de Homsh® es una práctica típica de este concepto.
Paso 4: Establecer una gestión completa del ciclo de vida
Establecer un sistema completo de gestión del ciclo de vida de los datos biométricos, desde la notificación de la recopilación, la autorización de uso, el cifrado del almacenamiento, el seguimiento de auditorías hasta la eliminación de datos.Se recomienda designar a una persona dedicada encargada de la protección de la información personal y realizar auditorías periódicas del cumplimiento..
Paso 5: Formar un sistema de documentos de conformidad
Mejorar los documentos de cumplimiento, como los informes de evaluación del impacto en la protección de la información personal, los registros de procesamiento de datos y los planes de respuesta a incidentes de seguridad.En las inspecciones reglamentarias o en las auditorías de cumplimiento, a complete document system can effectively prove the enterprise’s compliance efforts and trigger the protection of "mitigated or reduced punishment" in the new flexible law enforcement clauses of the Cybersecurity Law.
Conclusión: el cumplimiento no es un coste, sino una competitividad
La ley de ciberseguridad revisada envía una señal clara al mercado: el procesamiento de datos biométricos ya no es un asunto interno del departamento técnico,En la actualidad, el sector de la salud es un sector de la sociedad, pero un tema estratégico relacionado con la línea de vida de cumplimiento de la empresa.En este contexto, la elección de una tecnología biométrica que cumpla con los requisitos de cumplimiento desde el nivel de diseño arquitectónico no sólo es una opción razonable para reducir los riesgos,La tecnología de la información es una de las principales herramientas para la transformación digital de las empresas..
Con su característica técnica de "datos disponibles pero no visibles", garantía de seguridad a nivel de hardware y una precisión de reconocimiento de uno en mil millones,El reconocimiento del iris ha encontrado el equilibrio óptimo entre los requisitos de cumplimiento y el rendimiento de seguridadPara las empresas que evalúan la actualización de la tecnología biométrica, este es un período de ventana para reexaminar la selección técnica y establecer ventajas de cumplimiento.
