(高清版)GBT 40660-2021 信息安全技術(shù) 生物特征識(shí)別信息保護(hù)基本要求

信息安全技術(shù)生物特征識(shí)別信息保護(hù)基本要求2021-10-11發(fā)布2022-05-01實(shí)施GB/T40660—2021 I 2規(guī)范性引用文件 3術(shù)語和定義 14生物特征識(shí)別信息保護(hù)基本原則 25生物特征識(shí)別信息的收集 26生物特征識(shí)別信息的存儲(chǔ) 37生物特征識(shí)別信息的使用 48生物特征識(shí)別信息主體的權(quán)利 49生物特征識(shí)別信息的委托處理、共享、轉(zhuǎn)讓、公開披露 510生物特征識(shí)別信息安全事件處置 511生物特征識(shí)別信息安全管理要求 5參考文獻(xiàn) 7I本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC260)提出并歸口。本文件起草單位：中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院、螞蟻科技集團(tuán)股份有限公司、公安部第三研究所、北京賽西科技發(fā)展有限責(zé)任公司、廣州廣電運(yùn)通智能科技有限公司、國(guó)民認(rèn)證科技(北京)有限公司、聯(lián)想(北京)有限公司、格爾軟件股份有限公司、北京曙光易通技術(shù)有限公司、北京眼神科技有限公司、中國(guó)信息通信研究院、公安部第一研究所、中國(guó)航空綜合技術(shù)研究所、中科天地科技有限公司、深圳市騰訊計(jì)算機(jī)系統(tǒng)有限公司、中國(guó)科學(xué)院自動(dòng)化研究所、北京市商湯科技開發(fā)有限公司、北京曠視科技有限公司、云從科技集團(tuán)股份有限公司、上海依圖網(wǎng)絡(luò)科技有限公司、北京中科虹霸科技有限公司。本文件主要起草人：劉賢剛、郝春亮、林冠辰、李俊、何延哲、鄭強(qiáng)、于雪平1信息安全技術(shù)生物特征識(shí)別信息保護(hù)基本要求本文件規(guī)定了各類生物特征識(shí)別信息控制者開展收集、存儲(chǔ)、使用、委托處理共享、轉(zhuǎn)讓、公開披露、刪除等生物特征識(shí)別信息處理活動(dòng)應(yīng)遵循的基本原則和安全要求。本文件適用于規(guī)范各類生物特征識(shí)別信息控制者開展生物特征識(shí)別信息處理活動(dòng)，也適用于第三方機(jī)構(gòu)對(duì)生物特征識(shí)別信息處理活動(dòng)進(jìn)行測(cè)評(píng)。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T25069信息安全技術(shù)術(shù)語GB/T35273—2020信息安全技術(shù)個(gè)人信息安全規(guī)范3術(shù)語和定義GB/T25069、GB/T35273—2020界定的以及下列術(shù)語和定義適用于本文件。通過采集、預(yù)處理等方式獲得的自然人物理、生物或行為特征的模擬或數(shù)字表示。生物特征識(shí)別比對(duì)信息biometriccomparisoninformation對(duì)生物特征識(shí)別原始信息進(jìn)行技術(shù)處理得到的、在識(shí)別過程中用于比對(duì)的信息。對(duì)自然人的物理、生物或行為特征進(jìn)行技術(shù)處理得到的、能夠單獨(dú)或者與其他信息結(jié)合識(shí)別該自然人身份的個(gè)人信息。注1:生物特征識(shí)別信息包括個(gè)人面部識(shí)別特征、虹膜、指紋、基因、聲紋、步態(tài)、掌紋、耳廓、眼紋等。注2:生物特征識(shí)別信息包含生物特征識(shí)別原始信息以及生物特征識(shí)別比對(duì)信息。生物特征識(shí)別信息所標(biāo)識(shí)或者關(guān)聯(lián)的自然人。生物特征識(shí)別信息控制者biometricinformationcontroller有能力決定生物特征識(shí)別信息處理目的、方式等的組織或個(gè)人。2阻止某個(gè)特定的生物特征識(shí)別比對(duì)信息和相應(yīng)的身份相關(guān)信息通過驗(yàn)證。注：一個(gè)生物特征識(shí)別信息主體被拒絕通過可能是由于其被添加到了撤銷列表中。不可逆性irreversibility由生物特征識(shí)別比對(duì)信息無法推斷出其對(duì)應(yīng)生物特征識(shí)別原始信息的特性。不可鏈接性u(píng)nlinkability兩個(gè)或多個(gè)生物特征識(shí)別比對(duì)信息無法相互鏈接的屬性。息將這些使用關(guān)聯(lián)在一起。4生物特征識(shí)別信息保護(hù)基本原則對(duì)生物特征識(shí)別信息保護(hù)的基本原則如下。a)應(yīng)滿足GB/T35273—2020中對(duì)個(gè)人信息控制者的所有要求。b)應(yīng)遵循GB/T35273—2020第4章中的個(gè)人信息安全基本原則，并應(yīng)遵循以下原則：1)自主選擇——在開展身份識(shí)別相關(guān)活動(dòng)的場(chǎng)景，保證個(gè)人有使用或不使用生物特征識(shí)別信息的選擇權(quán)，確保個(gè)人在自愿的情況下、通過直接方式提供生物特征識(shí)別信息，并確保個(gè)人對(duì)其生物特征識(shí)別信息持續(xù)的控制權(quán)；2)多樣更新——使用具備不可逆、不可鏈接、多樣化、可更新等特性的生物特征識(shí)別比對(duì)信息；3)充分知情——保證生物特征識(shí)別信息主體對(duì)其生物特征識(shí)別信息處理情況和安全事件的知情權(quán)。5生物特征識(shí)別信息的收集對(duì)生物特征識(shí)別信息控制者的要求如下。a)除法律法規(guī)規(guī)定場(chǎng)景、保護(hù)公共利益和個(gè)人重大利益場(chǎng)景外，不應(yīng)限定收集生物特征識(shí)別信息作為唯一實(shí)現(xiàn)業(yè)務(wù)目標(biāo)的方式。b)收集生物特征識(shí)別信息前，應(yīng)向生物特征識(shí)別信息主體告知以下信息，并征得生物特征識(shí)別信息主體的明示同意：1)收集、使用生物特征識(shí)別信息的目的、方式和范圍，以及授權(quán)存儲(chǔ)時(shí)間等；2)收集的生物特征識(shí)別信息處理方式的描述；3)生物特征識(shí)別信息控制者的聯(lián)系信息，包括組織機(jī)構(gòu)信息、聯(lián)系方式等；4)生物特征識(shí)別信息主體實(shí)現(xiàn)查看、修改、撤回其授權(quán)同意的方式。c)應(yīng)避免收集不屬于該生物特征識(shí)別信息主體的生物特征識(shí)別信息，包括生物特征識(shí)別原始信息。d)應(yīng)避免采用間接方式從非生物特征識(shí)別信息主體處獲取其信息。e)生物特征識(shí)別信息主體無法完成信息收集時(shí)，應(yīng)告知后續(xù)可用替代處理流程。f)根據(jù)國(guó)家相關(guān)法律法規(guī)等規(guī)定收集生物特征識(shí)別信息時(shí)，應(yīng)將相關(guān)要求以及收集的生物特征識(shí)別信息類型告知生物特征識(shí)別信息主體。3g)應(yīng)對(duì)呈現(xiàn)干擾攻擊風(fēng)險(xiǎn)進(jìn)行充分考慮，考慮因素包括但不限于物理、虛擬等不同攻擊形式，紙質(zhì)、塑料等不同攻擊材質(zhì)，呈現(xiàn)角度、光線條件等不同攻擊環(huán)境等。6生物特征識(shí)別信息的存儲(chǔ)對(duì)生物特征識(shí)別信息控制者的要求如下。a)應(yīng)將生物特征識(shí)別信息與生物特征識(shí)別信息主體的身份相關(guān)信息采用技術(shù)隔離手段存儲(chǔ)。注1:隔離方式包括邏輯隔離、物理隔離等。b)存儲(chǔ)生物特征識(shí)別信息時(shí)，應(yīng)確保其具備不可逆性。c)原則上不應(yīng)直接存儲(chǔ)生物特征識(shí)別原始信息，可采取的措施包括但不限于：1)僅存儲(chǔ)生物特征識(shí)別信息的摘要信息；2)在采集終端中直接使用生物特征識(shí)別信息實(shí)現(xiàn)身份識(shí)別、認(rèn)證等功能；3)在使用面部識(shí)別特征、指紋、掌紋、虹膜等實(shí)現(xiàn)識(shí)別身份、認(rèn)證等功能后刪除生物特征識(shí)別原始信息。注2:摘要信息通常具有不可逆性。注3:生物特征識(shí)別信息控制者履行法律法規(guī)規(guī)定的義務(wù)相關(guān)的情形除外。d)應(yīng)使用多樣化過程以支持生成可更新、可撤銷的生物特征識(shí)別比對(duì)信息：1)多樣化過程產(chǎn)生的生物特征識(shí)別比對(duì)信息應(yīng)具備不可逆性；2)通過多樣化過程產(chǎn)生的同一生物特征識(shí)別信息主體的各個(gè)生物特征識(shí)別比對(duì)信息應(yīng)具有不可鏈接性。注4:多樣化過程是指將一個(gè)生物特征識(shí)別信息主體的單個(gè)或多個(gè)生物特征識(shí)別原始信息變換成多個(gè)獨(dú)立的生物特征識(shí)別比對(duì)信息，用于生物特征識(shí)別比對(duì)信息的更新或?yàn)椴煌膽?yīng)用程序分別提供獨(dú)立的生物特征識(shí)別比對(duì)信息。e)存儲(chǔ)生物特征識(shí)別比對(duì)信息時(shí)，應(yīng)充分考慮數(shù)據(jù)泄露風(fēng)險(xiǎn)、進(jìn)行安全處理，可使用的機(jī)制包括但不限于：1)通過在個(gè)人令牌或卡上存儲(chǔ)生物特征識(shí)別比對(duì)信息，通過邏輯、物理方式進(jìn)行安全保護(hù)；2)使用僅生物特征識(shí)別信息控制者或生物特征識(shí)別信息主體知道的密鑰執(zhí)行加密操作；3)盡可能減少存儲(chǔ)的生物特征識(shí)別比對(duì)信息；4)使用不可直接關(guān)聯(lián)到生物特征識(shí)別信息主體的標(biāo)識(shí)符。f)應(yīng)保持生物特征識(shí)別比對(duì)信息在應(yīng)用程序或數(shù)據(jù)庫(kù)間的不可鏈接性，以防止生物特征識(shí)別比對(duì)信息可能被用于鏈接同一數(shù)據(jù)庫(kù)中不同應(yīng)用程序或不同數(shù)據(jù)庫(kù)中的同一信息主體；不可鏈接性可通過以下機(jī)制的組合獲得：1)在應(yīng)用程序之間使用不同的密鑰或機(jī)制對(duì)生物特征比對(duì)信息進(jìn)行加密，阻止對(duì)生物特征識(shí)別信息主體的鏈接，原則上不同密鑰應(yīng)交不同人員保管；2)在應(yīng)用程序之間使用以下方式或其組合：采用不同的生物特征識(shí)別模式、采用不兼容的特征提取算法、采用不兼容的生物特征識(shí)別數(shù)據(jù)交換格式。g)生物特征識(shí)別信息的復(fù)制信息，如備份信息、歸檔信息等，存儲(chǔ)時(shí)應(yīng)具備與被復(fù)制信息相同的保護(hù)措施。h)應(yīng)只存儲(chǔ)滿足生物特征識(shí)別信息主體授權(quán)同意的目的所需最少的生物特征識(shí)別信息。i)應(yīng)只在生物特征識(shí)別信息主體授權(quán)的存儲(chǔ)時(shí)間內(nèi)存儲(chǔ)生物特征識(shí)別信息，超出存儲(chǔ)期限后，應(yīng)及時(shí)對(duì)生物特征識(shí)別信息進(jìn)行刪除或匿名化處理。47生物特征識(shí)別信息的使用對(duì)生物特征識(shí)別信息控制者的要求如下。a)使用生物特征識(shí)別信息進(jìn)行算法精度優(yōu)化等，應(yīng)徹底去除與生物特征識(shí)別信息主體的身份關(guān)聯(lián)，充分評(píng)估安全風(fēng)險(xiǎn)，并在使用目標(biāo)完成后及時(shí)刪除相關(guān)信息。b)應(yīng)使用可更新、可撤銷、具有不可逆性的生物特征識(shí)別比對(duì)信息進(jìn)行身份識(shí)別。c)不應(yīng)基于生物特征識(shí)別信息自身生成用戶畫像和統(tǒng)計(jì)分析，包括但不限于：1)不應(yīng)基于生物特征識(shí)別信息自身描述有關(guān)民族、種族、宗教、殘疾、性取向、暴力傾向等信息；2)不應(yīng)基于生物特征識(shí)別信息自身進(jìn)行統(tǒng)計(jì)分析；確需統(tǒng)計(jì)分析時(shí)，應(yīng)事先進(jìn)行個(gè)人信息安全影響評(píng)估，僅使用經(jīng)匿名化后的數(shù)據(jù)。d)不應(yīng)基于生物特征識(shí)別信息自身進(jìn)行個(gè)性化推薦，包括但不限于：2)不應(yīng)基于個(gè)人面部識(shí)別特征、聲紋、步態(tài)等分析個(gè)人行為習(xí)慣、意見觀點(diǎn)等進(jìn)行信息推送。e)不應(yīng)使用生物特征識(shí)別比對(duì)信息作為匯聚融合的直接關(guān)聯(lián)點(diǎn)。f)應(yīng)對(duì)生物特征識(shí)別信息的復(fù)制、下載等重要操作進(jìn)行嚴(yán)格控制，應(yīng)僅在實(shí)現(xiàn)已獲授權(quán)同意目的所必須的情況下進(jìn)行，應(yīng)明確特定人員執(zhí)行、保證操作過程安全、及時(shí)收回執(zhí)行人員的操作權(quán)限。8生物特征識(shí)別信息主體的權(quán)利對(duì)生物特征識(shí)別信息控制者的要求如下。a)應(yīng)向生物特征識(shí)別信息主體提供查詢下列信息的方法：1)該生物特征識(shí)別信息主體的生物特征識(shí)別信息的類型；2)生物特征識(shí)別信息授權(quán)同意情況，包括但不限于獲得授權(quán)同意的方式與日期，已獲授權(quán)同意的收集使用目的、授權(quán)存儲(chǔ)時(shí)間等；3)生物特征識(shí)別信息處理情況；4)生物特征識(shí)別信息安全事件，如被篡改、泄露等。b)應(yīng)對(duì)生物特征識(shí)別信息主體的以下請(qǐng)求做出及時(shí)響應(yīng)：1)修改、撤回其生物特征識(shí)別信息的授權(quán)；2)更新生物特征識(shí)別信息。c)滿足以下條件之一時(shí)，應(yīng)及時(shí)刪除或匿名化生物特征識(shí)別信息：1)生物特征識(shí)別信息授權(quán)存儲(chǔ)期限已過；2)生物特征識(shí)別信息主體撤回對(duì)生物特征識(shí)別信息的授權(quán)；3)生物特征識(shí)別信息經(jīng)生物特征識(shí)別信息主體授權(quán)的使用目的已經(jīng)實(shí)現(xiàn)或確定為不必要。d)應(yīng)根據(jù)生物特征識(shí)別信息的授權(quán)存儲(chǔ)期限等信息，建立待刪除或匿名化的生物特征識(shí)別信息清單。e)應(yīng)明確對(duì)生物特征識(shí)別信息進(jìn)行刪除及匿名化處理的程序和保障措施，確保完整、安全地處理生物特征識(shí)別信息。5對(duì)生物特征識(shí)別信息控制者的要求如下。a)生物特征識(shí)別信息原則上不應(yīng)共享、轉(zhuǎn)讓。b)不應(yīng)公開披露生物特征識(shí)別信息。c)委托第三方處理生物特征識(shí)別信息時(shí)，應(yīng)預(yù)先向生物特征識(shí)別信息主體告知以下信息：1)第三方相關(guān)信息；2)所涉生物特征識(shí)別信息的類型和數(shù)量；3)委托處理目的。d)委托第三方處理生物特征識(shí)別信息，以及嵌入第三方工具處理生物特征識(shí)別信息時(shí)，應(yīng)優(yōu)先選擇具備相應(yīng)資質(zhì)或能力的機(jī)構(gòu)。10生物特征識(shí)別信息安全事件處置對(duì)生物特征識(shí)別信息控制者的要求如下。a)生物特征識(shí)別信息安全事件發(fā)生時(shí)，應(yīng)及時(shí)評(píng)估事件影響，應(yīng)及時(shí)撤銷受安全事件影響的生物特征識(shí)別比對(duì)信息，防止攻擊者未經(jīng)授權(quán)訪問；宜及時(shí)更新受安全事件影響的生物特征識(shí)別比對(duì)信息。b)當(dāng)有證據(jù)明確表明正在使用的生物特征識(shí)別比對(duì)信息存在風(fēng)險(xiǎn)時(shí)，如生物特征識(shí)別信息主體主動(dòng)表示其生物特征識(shí)別比對(duì)信息存在泄漏風(fēng)險(xiǎn)，應(yīng)及時(shí)撤銷存在風(fēng)險(xiǎn)的生物特征識(shí)別比對(duì)信息，并為生物特征識(shí)別信息主體關(guān)聯(lián)新的生物特征識(shí)別比對(duì)信息。c)因安全事件更新生物特征識(shí)別比對(duì)信息時(shí)，應(yīng)進(jìn)行安全評(píng)估，如存在更新生物特征識(shí)別比對(duì)信息后亦不能消除安全威脅的情況，應(yīng)在撤銷生物特征識(shí)別比對(duì)信息的前提下，及時(shí)使用其他的身份識(shí)別方式。11生物特征識(shí)別信息安全管理要求對(duì)生物特征識(shí)別信息控制者的管理要求如下。a)在提供多種可供選擇的身份識(shí)別方式時(shí)，不宜將使用生物特征識(shí)別信息的方式作為初始設(shè)置的默認(rèn)選項(xiàng)。b)應(yīng)持續(xù)開展安全風(fēng)險(xiǎn)相關(guān)的評(píng)估，及時(shí)采取措施降低處理風(fēng)險(xiǎn)，充分保障生物特征識(shí)別主體的1)在業(yè)務(wù)活動(dòng)計(jì)劃收集生物特征識(shí)別信息前，應(yīng)評(píng)估使用生物特征識(shí)別信息的必要性，以及是否具備相應(yīng)的安全能力和安全控制措施；2)在收集生物特征識(shí)別信息前，應(yīng)進(jìn)行個(gè)人信息安全影響評(píng)估，確保處理生物特征識(shí)別信息過程風(fēng)險(xiǎn)可控；3)在執(zhí)行變更