(高清版)GBT 40660-2021 信息安全技術(shù) 生物特征識別信息保護(hù)基本要求

信息安全技術(shù)生物特征識別信息保護(hù)基本要求2021-10-11發(fā)布2022-05-01實施GB/T40660—2021 I 2規(guī)范性引用文件 3術(shù)語和定義 14生物特征識別信息保護(hù)基本原則 25生物特征識別信息的收集 26生物特征識別信息的存儲 37生物特征識別信息的使用 48生物特征識別信息主體的權(quán)利 49生物特征識別信息的委托處理、共享、轉(zhuǎn)讓、公開披露 510生物特征識別信息安全事件處置 511生物特征識別信息安全管理要求 5參考文獻(xiàn) 7I本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(SAC/TC260)提出并歸口。本文件起草單位：中國電子技術(shù)標(biāo)準(zhǔn)化研究院、螞蟻科技集團(tuán)股份有限公司、公安部第三研究所、北京賽西科技發(fā)展有限責(zé)任公司、廣州廣電運通智能科技有限公司、國民認(rèn)證科技(北京)有限公司、聯(lián)想(北京)有限公司、格爾軟件股份有限公司、北京曙光易通技術(shù)有限公司、北京眼神科技有限公司、中國信息通信研究院、公安部第一研究所、中國航空綜合技術(shù)研究所、中科天地科技有限公司、深圳市騰訊計算機系統(tǒng)有限公司、中國科學(xué)院自動化研究所、北京市商湯科技開發(fā)有限公司、北京曠視科技有限公司、云從科技集團(tuán)股份有限公司、上海依圖網(wǎng)絡(luò)科技有限公司、北京中科虹霸科技有限公司。本文件主要起草人：劉賢剛、郝春亮、林冠辰、李俊、何延哲、鄭強、于雪平1信息安全技術(shù)生物特征識別信息保護(hù)基本要求本文件規(guī)定了各類生物特征識別信息控制者開展收集、存儲、使用、委托處理共享、轉(zhuǎn)讓、公開披露、刪除等生物特征識別信息處理活動應(yīng)遵循的基本原則和安全要求。本文件適用于規(guī)范各類生物特征識別信息控制者開展生物特征識別信息處理活動，也適用于第三方機構(gòu)對生物特征識別信息處理活動進(jìn)行測評。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T25069信息安全技術(shù)術(shù)語GB/T35273—2020信息安全技術(shù)個人信息安全規(guī)范3術(shù)語和定義GB/T25069、GB/T35273—2020界定的以及下列術(shù)語和定義適用于本文件。通過采集、預(yù)處理等方式獲得的自然人物理、生物或行為特征的模擬或數(shù)字表示。生物特征識別比對信息biometriccomparisoninformation對生物特征識別原始信息進(jìn)行技術(shù)處理得到的、在識別過程中用于比對的信息。對自然人的物理、生物或行為特征進(jìn)行技術(shù)處理得到的、能夠單獨或者與其他信息結(jié)合識別該自然人身份的個人信息。注1:生物特征識別信息包括個人面部識別特征、虹膜、指紋、基因、聲紋、步態(tài)、掌紋、耳廓、眼紋等。注2:生物特征識別信息包含生物特征識別原始信息以及生物特征識別比對信息。生物特征識別信息所標(biāo)識或者關(guān)聯(lián)的自然人。生物特征識別信息控制者biometricinformationcontroller有能力決定生物特征識別信息處理目的、方式等的組織或個人。2阻止某個特定的生物特征識別比對信息和相應(yīng)的身份相關(guān)信息通過驗證。注：一個生物特征識別信息主體被拒絕通過可能是由于其被添加到了撤銷列表中。不可逆性irreversibility由生物特征識別比對信息無法推斷出其對應(yīng)生物特征識別原始信息的特性。不可鏈接性unlinkability兩個或多個生物特征識別比對信息無法相互鏈接的屬性。息將這些使用關(guān)聯(lián)在一起。4生物特征識別信息保護(hù)基本原則對生物特征識別信息保護(hù)的基本原則如下。a)應(yīng)滿足GB/T35273—2020中對個人信息控制者的所有要求。b)應(yīng)遵循GB/T35273—2020第4章中的個人信息安全基本原則，并應(yīng)遵循以下原則：1)自主選擇——在開展身份識別相關(guān)活動的場景，保證個人有使用或不使用生物特征識別信息的選擇權(quán)，確保個人在自愿的情況下、通過直接方式提供生物特征識別信息，并確保個人對其生物特征識別信息持續(xù)的控制權(quán)；2)多樣更新——使用具備不可逆、不可鏈接、多樣化、可更新等特性的生物特征識別比對信息；3)充分知情——保證生物特征識別信息主體對其生物特征識別信息處理情況和安全事件的知情權(quán)。5生物特征識別信息的收集對生物特征識別信息控制者的要求如下。a)除法律法規(guī)規(guī)定場景、保護(hù)公共利益和個人重大利益場景外，不應(yīng)限定收集生物特征識別信息作為唯一實現(xiàn)業(yè)務(wù)目標(biāo)的方式。b)收集生物特征識別信息前，應(yīng)向生物特征識別信息主體告知以下信息，并征得生物特征識別信息主體的明示同意：1)收集、使用生物特征識別信息的目的、方式和范圍，以及授權(quán)存儲時間等；2)收集的生物特征識別信息處理方式的描述；3)生物特征識別信息控制者的聯(lián)系信息，包括組織機構(gòu)信息、聯(lián)系方式等；4)生物特征識別信息主體實現(xiàn)查看、修改、撤回其授權(quán)同意的方式。c)應(yīng)避免收集不屬于該生物特征識別信息主體的生物特征識別信息，包括生物特征識別原始信息。d)應(yīng)避免采用間接方式從非生物特征識別信息主體處獲取其信息。e)生物特征識別信息主體無法完成信息收集時，應(yīng)告知后續(xù)可用替代處理流程。f)根據(jù)國家相關(guān)法律法規(guī)等規(guī)定收集生物特征識別信息時，應(yīng)將相關(guān)要求以及收集的生物特征識別信息類型告知生物特征識別信息主體。3g)應(yīng)對呈現(xiàn)干擾攻擊風(fēng)險進(jìn)行充分考慮，考慮因素包括但不限于物理、虛擬等不同攻擊形式，紙質(zhì)、塑料等不同攻擊材質(zhì)，呈現(xiàn)角度、光線條件等不同攻擊環(huán)境等。6生物特征識別信息的存儲對生物特征識別信息控制者的要求如下。a)應(yīng)將生物特征識別信息與生物特征識別信息主體的身份相關(guān)信息采用技術(shù)隔離手段存儲。注1:隔離方式包括邏輯隔離、物理隔離等。b)存儲生物特征識別信息時，應(yīng)確保其具備不可逆性。c)原則上不應(yīng)直接存儲生物特征識別原始信息，可采取的措施包括但不限于：1)僅存儲生物特征識別信息的摘要信息；2)在采集終端中直接使用生物特征識別信息實現(xiàn)身份識別、認(rèn)證等功能；3)在使用面部識別特征、指紋、掌紋、虹膜等實現(xiàn)識別身份、認(rèn)證等功能后刪除生物特征識別原始信息。注2:摘要信息通常具有不可逆性。注3:生物特征識別信息控制者履行法律法規(guī)規(guī)定的義務(wù)相關(guān)的情形除外。d)應(yīng)使用多樣化過程以支持生成可更新、可撤銷的生物特征識別比對信息：1)多樣化過程產(chǎn)生的生物特征識別比對信息應(yīng)具備不可逆性；2)通過多樣化過程產(chǎn)生的同一生物特征識別信息主體的各個生物特征識別比對信息應(yīng)具有不可鏈接性。注4:多樣化過程是指將一個生物特征識別信息主體的單個或多個生物特征識別原始信息變換成多個獨立的生物特征識別比對信息，用于生物特征識別比對信息的更新或為不同的應(yīng)用程序分別提供獨立的生物特征識別比對信息。e)存儲生物特征識別比對信息時，應(yīng)充分考慮數(shù)據(jù)泄露風(fēng)險、進(jìn)行安全處理，可使用的機制包括但不限于：1)通過在個人令牌或卡上存儲生物特征識別比對信息，通過邏輯、物理方式進(jìn)行安全保護(hù)；2)使用僅生物特征識別信息控制者或生物特征識別信息主體知道的密鑰執(zhí)行加密操作；3)盡可能減少存儲的生物特征識別比對信息；4)使用不可直接關(guān)聯(lián)到生物特征識別信息主體的標(biāo)識符。f)應(yīng)保持生物特征識別比對信息在應(yīng)用程序或數(shù)據(jù)庫間的不可鏈接性，以防止生物特征識別比對信息可能被用于鏈接同一數(shù)據(jù)庫中不同應(yīng)用程序或不同數(shù)據(jù)庫中的同一信息主體；不可鏈接性可通過以下機制的組合獲得：1)在應(yīng)用程序之間使用不同的密鑰或機制對生物特征比對信息進(jìn)行加密，阻止對生物特征識別信息主體的鏈接，原則上不同密鑰應(yīng)交不同人員保管；2)在應(yīng)用程序之間使用以下方式或其組合：采用不同的生物特征識別模式、采用不兼容的特征提取算法、采用不兼容的生物特征識別數(shù)據(jù)交換格式。g)生物特征識別信息的復(fù)制信息，如備份信息、歸檔信息等，存儲時應(yīng)具備與被復(fù)制信息相同的保護(hù)措施。h)應(yīng)只存儲滿足生物特征識別信息主體授權(quán)同意的目的所需最少的生物特征識別信息。i)應(yīng)只在生物特征識別信息主體授權(quán)的存儲時間內(nèi)存儲生物特征識別信息，超出存儲期限后，應(yīng)及時對生物特征識別信息進(jìn)行刪除或匿名化處理。47生物特征識別信息的使用對生物特征識別信息控制者的要求如下。a)使用生物特征識別信息進(jìn)行算法精度優(yōu)化等，應(yīng)徹底去除與生物特征識別信息主體的身份關(guān)聯(lián)，充分評估安全風(fēng)險，并在使用目標(biāo)完成后及時刪除相關(guān)信息。b)應(yīng)使用可更新、可撤銷、具有不可逆性的生物特征識別比對信息進(jìn)行身份識別。c)不應(yīng)基于生物特征識別信息自身生成用戶畫像和統(tǒng)計分析，包括但不限于：1)不應(yīng)基于生物特征識別信息自身描述有關(guān)民族、種族、宗教、殘疾、性取向、暴力傾向等信息；2)不應(yīng)基于生物特征識別信息自身進(jìn)行統(tǒng)計分析；確需統(tǒng)計分析時，應(yīng)事先進(jìn)行個人信息安全影響評估，僅使用經(jīng)匿名化后的數(shù)據(jù)。d)不應(yīng)基于生物特征識別信息自身進(jìn)行個性化推薦，包括但不限于：2)不應(yīng)基于個人面部識別特征、聲紋、步態(tài)等分析個人行為習(xí)慣、意見觀點等進(jìn)行信息推送。e)不應(yīng)使用生物特征識別比對信息作為匯聚融合的直接關(guān)聯(lián)點。f)應(yīng)對生物特征識別信息的復(fù)制、下載等重要操作進(jìn)行嚴(yán)格控制，應(yīng)僅在實現(xiàn)已獲授權(quán)同意目的所必須的情況下進(jìn)行，應(yīng)明確特定人員執(zhí)行、保證操作過程安全、及時收回執(zhí)行人員的操作權(quán)限。8生物特征識別信息主體的權(quán)利對生物特征識別信息控制者的要求如下。a)應(yīng)向生物特征識別信息主體提供查詢下列信息的方法：1)該生物特征識別信息主體的生物特征識別信息的類型；2)生物特征識別信息授權(quán)同意情況，包括但不限于獲得授權(quán)同意的方式與日期，已獲授權(quán)同意的收集使用目的、授權(quán)存儲時間等；3)生物特征識別信息處理情況；4)生物特征識別信息安全事件，如被篡改、泄露等。b)應(yīng)對生物特征識別信息主體的以下請求做出及時響應(yīng)：1)修改、撤回其生物特征識別信息的授權(quán)；2)更新生物特征識別信息。c)滿足以下條件之一時，應(yīng)及時刪除或匿名化生物特征識別信息：1)生物特征識別信息授權(quán)存儲期限已過；2)生物特征識別信息主體撤回對生物特征識別信息的授權(quán)；3)生物特征識別信息經(jīng)生物特征識別信息主體授權(quán)的使用目的已經(jīng)實現(xiàn)或確定為不必要。d)應(yīng)根據(jù)生物特征識別信息的授權(quán)存儲期限等信息，建立待刪除或匿名化的生物特征識別信息清單。e)應(yīng)明確對生物特征識別信息進(jìn)行刪除及匿名化處理的程序和保障措施，確保完整、安全地處理生物特征識別信息。5對生物特征識別信息控制者的要求如下。a)生物特征識別信息原則上不應(yīng)共享、轉(zhuǎn)讓。b)不應(yīng)公開披露生物特征識別信息。c)委托第三方處理生物特征識別信息時，應(yīng)預(yù)先向生物特征識別信息主體告知以下信息：1)第三方相關(guān)信息；2)所涉生物特征識別信息的類型和數(shù)量；3)委托處理目的。d)委托第三方處理生物特征識別信息，以及嵌入第三方工具處理生物特征識別信息時，應(yīng)優(yōu)先選擇具備相應(yīng)資質(zhì)或能力的機構(gòu)。10生物特征識別信息安全事件處置對生物特征識別信息控制者的要求如下。a)生物特征識別信息安全事件發(fā)生時，應(yīng)及時評估事件影響，應(yīng)及時撤銷受安全事件影響的生物特征識別比對信息，防止攻擊者未經(jīng)授權(quán)訪問；宜及時更新受安全事件影響的生物特征識別比對信息。b)當(dāng)有證據(jù)明確表明正在使用的生物特征識別比對信息存在風(fēng)險時，如生物特征識別信息主體主動表示其生物特征識別比對信息存在泄漏風(fēng)險，應(yīng)及時撤銷存在風(fēng)險的生物特征識別比對信息，并為生物特征識別信息主體關(guān)聯(lián)新的生物特征識別比對信息。c)因安全事件更新生物特征識別比對信息時，應(yīng)進(jìn)行安全評估，如存在更新生物特征識別比對信息后亦不能消除安全威脅的情況，應(yīng)在撤銷生物特征識別比對信息的前提下，及時使用其他的身份識別方式。11生物特征識別信息安全管理要求對生物特征識別信息控制者的管理要求如下。a)在提供多種可供選擇的身份識別方式時，不宜將使用生物特征識別信息的方式作為初始設(shè)置的默認(rèn)選項。b)應(yīng)持續(xù)開展安全風(fēng)險相關(guān)的評估，及時采取措施降低處理風(fēng)險，充分保障生物特征識別主體的1)在業(yè)務(wù)活動計劃收集生物特征識別信息前，應(yīng)評估使用生物特征識別信息的必要性，以及是否具備相應(yīng)的安全能力和安全控制措施；2)在收集生物特征識別信息前，應(yīng)進(jìn)行個人信息安全影響評估，確保處理生物特征識別信息過程風(fēng)險可控；3)在執(zhí)行變更