《信息安全技术 生物特征识别信息保护基本要求-编制说明》

一、任务来源

《信息技术安全技术生物特征识别信息的保护要求》是国家标准化管理

委员会2018年下达的信息安全国家标准制定项目，国标计划号为：

2018XXXX-T-469，由北京赛西科技发展有限责任公司主要负责起草，中国电子技

术标准化研究院、广州广电运通金融电子股份有限公司、浙江蚂蚁小微金融服务

集团股份有限公司、联想（北京）有限公司、国民认证科技（北京）有限公司、

格尔软件股份有限公司等单位共同参与了该标准的起草工作。

二、编制原则

随着互联网成为日常生活的一部分，生物特征识别技术包括基于行为和生

理特征的个体自动识别特征已经成熟，这些生物特征信息包括指纹图像、语音、

虹膜图像、面部图像等。生物特征识别技术的成本一直在下降，它们的可靠性一

直在增加，现在用作身份鉴别机制是可行的。另一方面，生物特征识别信息与其

他个人信息和共享的联系越来越多，生物特征识别信息使个人和组织带来了新的

挑战，需要重点保障生物特征信息的安全，并遵守各种隐私要求。

本标准拟提出生物特征识别信息的安全保护要求，包括生物特征识别系统

的威胁和对策，生物特征信息和身份主体之间安全绑定的安全要求，应用模型以

及隐私保护要求等。因此本标准制定时遵循以下原则：

1）通用性

按照本标准实现的生物特征识别信息的安全技术要求，可实现基本技术规格

一致，便于用户使用，有利于主管部门的测评、认证和管理。

2）实用性

根据我国国情、实际运用环境和国家有关政策编制本标准，使其在指导系统

和产品研发、检测、使用和管理方面具有很强的实用性。

3）安全性与隐私

在本标准中对生物特征识别信息从安全和隐私两方面都做了严格的规定，从

而确保生物特征识别信息在不同的场景中应用的安全性。

4）符合性

符合国家有关法律法规和已有标准规范的相关要求。

三、主要工作过程

1、2018年4月，调研国内外生物特征识别信息的安全应用需求，调研市场

上生物特征识别的各种模态具体应用方式以及相关标准、法律法规要求等。

2、2018年9月11日，北京赛西科技发展有限责任公司、中国电子技术标

准化研究院、广州广电运通金融电子股份有限公司、浙江蚂蚁小微金融服务集团

股份有限公司、联想（北京）有限公司、国民认证科技（北京）有限公司、格尔

软件股份有限公司等共同组成标准编制组，召开该标准编制启动工作会议。会上，

对标准编制的组织形式及任务分工进行了安排。

3、2018年3月至12月，标准编制组完成了国家标准《信息技术安全技术

生物特征识别信息的保护要求》（草案）。

4、2019年3月26日在北京召开生物特征识别信息保护标准项目组工作会

议，讨论标准草案，并明确下阶段工作任务。

5、2019年4月16日，WG4工作组在北京组织召开了组内专家评审会。专家组

听取了标准编制组的工作汇报，审阅了相关文档，质询了有关问题。编制组依据

专家评审意见进行了修改，形成新一版标准草案。

6、2019年4月22日，TC260在宁波召开会议周。在WG4工作组会议上，参会专

家听取了标准编制组的工作汇报，经过讨论，提出若干修改意见，并进行了投票

表决，形成征求意见稿。会议之后，编制组依据修改意见进行了修改，形成标准

征求意见稿。

四、标准的主要内容

本标准规定了生物特征识别信息的安全保护要求，包括生物特征识别系统

的威胁和对策，生物特征信息和身份主体之间安全绑定的安全要求，应用模型以

及隐私保护要求等。本标准适用于生物特征识别系统的设计、开发与集成。

生物特征身份鉴别引入了隐私和鉴别保障之间的潜在差异。一方面，生物

特征理想上是一个不变的属性，与个人相关联而且不同。凭证与人员的这种绑定

提供了强有力的认证保证。另一方面，这种强大的约束力也对生物识别系统的安

全性提出了挑战，如非法处理生物特征数据等。通常的更改密码或发新令牌解决

办法是不可用于生物识别认证，因为生物特征，无论是内在的生理特性或个人行

为的特点，难以或不可能改变。可以注册另一个手指或眼睛，但是选择通常是有

限的。因此，采取适当的对策来维护一个安全的生物识别系统和保障数据的隐私

是至关重要的。生物特征信息可能被检索或分析，如数据主体的健康状况或推断

医疗信息和种族背景等。生物特征信息可能被滥用于其他目的，并被数据收集者

所滥用。

本标准主要框架如下：

前言

引言

1范围

2规范性引用文件

3术语、定义和缩略语

3.1术语和定义

3.2缩略语

4生物特征识别系统

4.1生物识别系统介绍

4.2生物识别系统操作流

4.3生物特征标识与身份标识

4.4生物特征识别系统与身份管理系统

4.5个人信息与通用唯一标识符

4.6社会属性

5生物特征识别系统安全要求

5.1生物特征识别系统信息安全保护要求

5.2生物特征识别系统安全威胁与应对措施

5.3生物特征识别信息的数据库记录安全

6生物特征识别信息管理要求

6.1生物特征识别信息安全威胁

6.2生物特征识别信息保护要求与指南

6.3监管与政策要求

6.4生物特征识别信息生命周期管理

6.5生物特征识别系统所有者责任

7生物特征识别系统应用模型与安全要求

7.1生物特征识别系统应用模型

7.2生物特征应用模型的安全要求

附录A（资料性附录）数据库身份与生物特征信息安全绑定与使用

附录B（资料性附录）生物特征识别系统安全加密算法

附录C（资料性附录）可更新生物特征参考标识的框架

附录D（资料性附录）可更新生物特征参考标识的技术示例

附录E（资料性附录）生物特征识别水印

五、与相关法律法规及国家有关规定、国内相关标准的关系

生物识别关联信息与其他个人信息和共享的联系越来越多，生物识别信息

使组织带来了新的挑战。本标准提出了生物特征识别系统中包含生物信息记录的

安全性要求，以保证生物信息的安全，并遵守各种隐私条例。

本标准规范统一的生物特征识别信息的安全保护要求，从而实现安全、便

捷、统一的生物识别信息安全保护框架，提高安全性，促进产业健康发展。本标

准是GB/T35273-2017《信息安全技术个人信息安全规范》在生物特征识别领

域的细化与补充，并提出具体的安全与隐私保护要求。《信息安全技术远程人脸

识别系统技术要求》《信息安全技术指纹识别系统技术要求》分别针对远程人脸

设别系统和指纹识别系统提出要求。本标准对生物特征识别系统提出了更为通用

层面的保护要求，覆盖了生理特征和行为特征。

六、重大分歧意见的处理经过和依据

详见标准意见汇总处理表。

七、国家标准作为强制性国家标准或推荐性国家标准的建议

建议本标准作为推荐性国家标准发布实施。

八、贯彻国家标准的要求和措施建议（包括组织措施、技术措施、过渡办法等

内容）

本标准主要用于通过标准化的形式来将生物特征识别信息的安全与隐私要

求等进行规范，有助于促进和规范