《信息安全技術(shù) 生物特征識別信息保護基本要求-編制說明》

一、任務(wù)來源

《信息技術(shù)安全技術(shù)生物特征識別信息的保護要求》是國家標準化管理

委員會2018年下達的信息安全國家標準制定項目，國標計劃號為：

2018XXXX-T-469，由北京賽西科技發(fā)展有限責任公司主要負責起草，中國電子技

術(shù)標準化研究院、廣州廣電運通金融電子股份有限公司、浙江螞蟻小微金融服務(wù)

集團股份有限公司、聯(lián)想（北京）有限公司、國民認證科技（北京）有限公司、

格爾軟件股份有限公司等單位共同參與了該標準的起草工作。

二、編制原則

隨著互聯(lián)網(wǎng)成為日常生活的一部分，生物特征識別技術(shù)包括基于行為和生

理特征的個體自動識別特征已經(jīng)成熟，這些生物特征信息包括指紋圖像、語音、

虹膜圖像、面部圖像等。生物特征識別技術(shù)的成本一直在下降，它們的可靠性一

直在增加，現(xiàn)在用作身份鑒別機制是可行的。另一方面，生物特征識別信息與其

他個人信息和共享的聯(lián)系越來越多，生物特征識別信息使個人和組織帶來了新的

挑戰(zhàn)，需要重點保障生物特征信息的安全，并遵守各種隱私要求。

本標準擬提出生物特征識別信息的安全保護要求，包括生物特征識別系統(tǒng)

的威脅和對策，生物特征信息和身份主體之間安全綁定的安全要求，應(yīng)用模型以

及隱私保護要求等。因此本標準制定時遵循以下原則：

1）通用性

按照本標準實現(xiàn)的生物特征識別信息的安全技術(shù)要求，可實現(xiàn)基本技術(shù)規(guī)格

一致，便于用戶使用，有利于主管部門的測評、認證和管理。

2）實用性

根據(jù)我國國情、實際運用環(huán)境和國家有關(guān)政策編制本標準，使其在指導(dǎo)系統(tǒng)

和產(chǎn)品研發(fā)、檢測、使用和管理方面具有很強的實用性。

3）安全性與隱私

在本標準中對生物特征識別信息從安全和隱私兩方面都做了嚴格的規(guī)定，從

而確保生物特征識別信息在不同的場景中應(yīng)用的安全性。

4）符合性

符合國家有關(guān)法律法規(guī)和已有標準規(guī)范的相關(guān)要求。

三、主要工作過程

1、2018年4月，調(diào)研國內(nèi)外生物特征識別信息的安全應(yīng)用需求，調(diào)研市場

上生物特征識別的各種模態(tài)具體應(yīng)用方式以及相關(guān)標準、法律法規(guī)要求等。

2、2018年9月11日，北京賽西科技發(fā)展有限責任公司、中國電子技術(shù)標

準化研究院、廣州廣電運通金融電子股份有限公司、浙江螞蟻小微金融服務(wù)集團

股份有限公司、聯(lián)想（北京）有限公司、國民認證科技（北京）有限公司、格爾

軟件股份有限公司等共同組成標準編制組，召開該標準編制啟動工作會議。會上，

對標準編制的組織形式及任務(wù)分工進行了安排。

3、2018年3月至12月，標準編制組完成了國家標準《信息技術(shù)安全技術(shù)

生物特征識別信息的保護要求》（草案）。

4、2019年3月26日在北京召開生物特征識別信息保護標準項目組工作會

議，討論標準草案，并明確下階段工作任務(wù)。

5、2019年4月16日，WG4工作組在北京組織召開了組內(nèi)專家評審會。專家組

聽取了標準編制組的工作匯報，審閱了相關(guān)文檔，質(zhì)詢了有關(guān)問題。編制組依據(jù)

專家評審意見進行了修改，形成新一版標準草案。

6、2019年4月22日，TC260在寧波召開會議周。在WG4工作組會議上，參會專

家聽取了標準編制組的工作匯報，經(jīng)過討論，提出若干修改意見，并進行了投票

表決，形成征求意見稿。會議之后，編制組依據(jù)修改意見進行了修改，形成標準

征求意見稿。

四、標準的主要內(nèi)容

本標準規(guī)定了生物特征識別信息的安全保護要求，包括生物特征識別系統(tǒng)

的威脅和對策，生物特征信息和身份主體之間安全綁定的安全要求，應(yīng)用模型以

及隱私保護要求等。本標準適用于生物特征識別系統(tǒng)的設(shè)計、開發(fā)與集成。

生物特征身份鑒別引入了隱私和鑒別保障之間的潛在差異。一方面，生物

特征理想上是一個不變的屬性，與個人相關(guān)聯(lián)而且不同。憑證與人員的這種綁定

提供了強有力的認證保證。另一方面，這種強大的約束力也對生物識別系統(tǒng)的安

全性提出了挑戰(zhàn)，如非法處理生物特征數(shù)據(jù)等。通常的更改密碼或發(fā)新令牌解決

辦法是不可用于生物識別認證，因為生物特征，無論是內(nèi)在的生理特性或個人行

為的特點，難以或不可能改變。可以注冊另一個手指或眼睛，但是選擇通常是有

限的。因此，采取適當?shù)膶Σ邅砭S護一個安全的生物識別系統(tǒng)和保障數(shù)據(jù)的隱私

是至關(guān)重要的。生物特征信息可能被檢索或分析，如數(shù)據(jù)主體的健康狀況或推斷

醫(yī)療信息和種族背景等。生物特征信息可能被濫用于其他目的，并被數(shù)據(jù)收集者

所濫用。

本標準主要框架如下：

前言

引言

1范圍

2規(guī)范性引用文件

3術(shù)語、定義和縮略語

3.1術(shù)語和定義

3.2縮略語

4生物特征識別系統(tǒng)

4.1生物識別系統(tǒng)介紹

4.2生物識別系統(tǒng)操作流

4.3生物特征標識與身份標識

4.4生物特征識別系統(tǒng)與身份管理系統(tǒng)

4.5個人信息與通用唯一標識符

4.6社會屬性

5生物特征識別系統(tǒng)安全要求

5.1生物特征識別系統(tǒng)信息安全保護要求

5.2生物特征識別系統(tǒng)安全威脅與應(yīng)對措施

5.3生物特征識別信息的數(shù)據(jù)庫記錄安全

6生物特征識別信息管理要求

6.1生物特征識別信息安全威脅

6.2生物特征識別信息保護要求與指南

6.3監(jiān)管與政策要求

6.4生物特征識別信息生命周期管理

6.5生物特征識別系統(tǒng)所有者責任

7生物特征識別系統(tǒng)應(yīng)用模型與安全要求

7.1生物特征識別系統(tǒng)應(yīng)用模型

7.2生物特征應(yīng)用模型的安全要求

附錄A（資料性附錄）數(shù)據(jù)庫身份與生物特征信息安全綁定與使用

附錄B（資料性附錄）生物特征識別系統(tǒng)安全加密算法

附錄C（資料性附錄）可更新生物特征參考標識的框架

附錄D（資料性附錄）可更新生物特征參考標識的技術(shù)示例

附錄E（資料性附錄）生物特征識別水印

五、與相關(guān)法律法規(guī)及國家有關(guān)規(guī)定、國內(nèi)相關(guān)標準的關(guān)系

生物識別關(guān)聯(lián)信息與其他個人信息和共享的聯(lián)系越來越多，生物識別信息

使組織帶來了新的挑戰(zhàn)。本標準提出了生物特征識別系統(tǒng)中包含生物信息記錄的

安全性要求，以保證生物信息的安全，并遵守各種隱私條例。

本標準規(guī)范統(tǒng)一的生物特征識別信息的安全保護要求，從而實現(xiàn)安全、便

捷、統(tǒng)一的生物識別信息安全保護框架，提高安全性，促進產(chǎn)業(yè)健康發(fā)展。本標

準是GB/T35273-2017《信息安全技術(shù)個人信息安全規(guī)范》在生物特征識別領(lǐng)

域的細化與補充，并提出具體的安全與隱私保護要求。《信息安全技術(shù)遠程人臉

識別系統(tǒng)技術(shù)要求》《信息安全技術(shù)指紋識別系統(tǒng)技術(shù)要求》分別針對遠程人臉

設(shè)別系統(tǒng)和指紋識別系統(tǒng)提出要求。本標準對生物特征識別系統(tǒng)提出了更為通用

層面的保護要求，覆蓋了生理特征和行為特征。

六、重大分歧意見的處理經(jīng)過和依據(jù)

詳見標準意見匯總處理表。

七、國家標準作為強制性國家標準或推薦性國家標準的建議

建議本標準作為推薦性國家標準發(fā)布實施。

八、貫徹國家標準的要求和措施建議（包括組織措施、技術(shù)措施、過渡辦法等

內(nèi)容）

本標準主要用于通過標準化的形式來將生物特征識別信息的安全與隱私要

求等進行規(guī)范，有助于促進和規(guī)范