Op 1 januari 2026 werd de herziene cyberbeveiligingswet van de Volksrepubliek China officieel van kracht. Het is de eerste grote herziening van deze fundamentele wet sinds de inwerkingtreding ervan in 2016 en vormt samen met de wet op de gegevensbeveiliging en de wet op de bescherming van persoonlijke informatie het hoogste ontwerp van het Chinese rechtssysteem op het gebied van cyberbeveiliging. Voor bedrijven die voor hun veiligheidscontrole afhankelijk zijn van biometrische herkenningstechnologie betekent deze herziening veel meer dan strengere straffen: het herdefinieert de grenzen voor de verwerking van biometrische gegevens en biedt bedrijven duidelijke compliance-richtlijnen bij het selecteren van biometrische technologieën.
Ondertussen zijn in juni 2025 de Maatregelen voor de Beveiligingsadministratie van de Toepassing van Gezichtsherkenningstechnologie van kracht geworden, waarbij strikte eisen worden gesteld aan effectbeoordeling en alternatieve oplossingen, specifiek voor scenario's voor gezichtsherkenning. De nationale norm GB/T 45574-2025 Data Security Technology – Beveiligingsvereisten voor het verwerken van gevoelige persoonlijke informatie specificeert verder de classificatie en verwerkingsnormen van biometrische informatie. Onder de superpositie van meerdere regelgeving is de keuze van bedrijven voor biometrische technologie geëvolueerd van een puur technische keuze naar een strategische compliancebeslissing.
De herziene cyberbeveiligingswet heeft de bovengrens van boetes voor overtredingen verhoogd van 1 miljoen yuan naar 10 miljoen yuan, en straffen toegevoegd zoals het opschorten van de werking van applicaties, waardoor de kosten van overtredingen voor bedrijven aanzienlijk zijn gestegen.
I. Interpretatie van de belangrijkste punten van de nieuwe regelgeving
De herziening van de cyberveiligheidswet brengt verschillende kritische signalen over. Ten eerste is het de eerste grote herziening van deze fundamentele wet in bijna tien jaar, waarmee een alomvattende upgrade van het cyberbeveiligingsbeheersysteem door de wetgevers wordt gemarkeerd. De kerninformatie van de herziening kan worden begrepen vanuit de volgende vier dimensies.
1. Kunstmatige intelligentie voor het eerst in de wet opgenomen
Het nieuw toegevoegde artikel 20 bevat speciale bepalingen over de veiligheid en ontwikkeling van kunstmatige intelligentie, waarin wordt verduidelijkt dat de staat fundamenteel theoretisch onderzoek en sleuteltechnologie-O&O op het gebied van AI ondersteunt, terwijl de ethische normen worden verbeterd en de risicomonitoring, -beoordeling en het veiligheidstoezicht worden versterkt. Dit betekent dat bedrijven die AI-technologie gebruiken om biometrische gegevens te verwerken, te maken krijgen met strengere eisen op het gebied van ethische toetsing en veiligheidstoezicht.
2. Aanzienlijk hogere straffen om een sterk afschrikkingssysteem op te bouwen
De bovengrens van de boetes is in de herziene versie gestegen van 1 miljoen yuan naar 10 miljoen yuan, en er zijn nieuwe soorten straffen toegevoegd, zoals het opschorten van aanvraagprocedures. Tegelijkertijd strekt de wettelijke aansprakelijkheid zich uit van bedrijven tot individuen, en het direct verantwoordelijke personeel zal met zwaardere straffen te maken krijgen. De sterk gestegen kosten van overtredingen stellen hogere eisen aan de verwerkingsprocedures van biometrische gegevens.
3. Coördinatie van de drie wetten om een strak regelgevingsnetwerk te vormen
De herziene versie versterkt de systematische verbinding met de wet op de gegevensbeveiliging en de wet op de bescherming van persoonlijke informatie, en biedt duidelijke richtlijnen voor wetshandhaving via "toepasselijke referentieclausules". Bij het verwerken van biometrische gegevens moeten bedrijven tegelijkertijd aan de vereisten van alle drie de wetten voldoen, en nalatigheid in welke link dan ook kan aanleiding geven tot wetshandhavingsmaatregelen.
4. Flexibele wetshandhavingsclausules
Met name het nieuw toegevoegde artikel 73 houdt verband met de wet op de administratieve straffen, waarin wordt verduidelijkt dat ondernemingen milde, verminderde of geen straf kunnen krijgen als zij het initiatief nemen om schadelijke gevolgen weg te nemen, kleine overtredingen onmiddellijk zonder schadelijke gevolgen corrigeren, of geen subjectieve schuld hebben. Deze clausule biedt een "veiligheidsbuffer" voor ondernemingen die zich actief bezighouden met naleving.
II. Compliance Red Lines en Bottom Lines voor biometrische gegevens
De herziene cyberbeveiligingswet en de ondersteunende regelgeving definiëren gezamenlijk de ‘rode lijnen’ en ‘bottomlines’ voor de verwerking van biometrische gegevens. Bij het inzetten van biometrische systemen moeten bedrijven voldoen aan compliance-eisen op de volgende dimensies.
1. Definitie en classificatie van gevoelige informatie
Biometrische informatie wordt expliciet vermeld als "gevoelige persoonlijke informatie", inclusief gezichts-, vingerafdruk-, stemafdruk, iris, genetische informatie enzovoort. Dit betekent dat, ongeacht welke biometrische technologie een onderneming gebruikt, de verzamelde gegevens onderworpen zullen zijn aan de hoogste beschermingsniveaus.
2. Vereisten voor naleving van de volledige levenscyclus
| Compliance-link |
Kernvereisten |
Wettelijke basis |
| Ophaalmelding |
Verkrijg afzonderlijke toestemming van het individu en informeer duidelijk over het doel en de wijze van verwerking |
Artikel 29 van de Wet bescherming persoonsgegevens |
| Effectbeoordeling |
Voer vóór gebruik een Personal Information Protection Impact Assessment (PIA) uit |
Artikel 9 van de Maatregelen voor het Beveiligingsbeheer van Toepassingen van Gezichtsherkenningstechnologie |
| Transmissiebeveiliging |
Pas minimaal kanaalversleuteling toe en combineer dit bij voorkeur met inhoudversleuteling |
GB/T 45574-2025 Gegevensbeveiligingstechnologie: beveiligingsvereisten voor het verwerken van gevoelige persoonlijke informatie |
| Opslagbeveiliging |
Gecodeerde opslag en biometrische sjablonen zijn niet-omkeerbaar |
Cyberveiligheidswet + Wet op gegevensbeveiliging |
| Nalevingsaudit |
Verwerkers die informatie van meer dan 1 miljoen mensen verwerken, moeten een beschermingsverantwoordelijke aanstellen |
Maatregelen voor het beheer van compliance-audits voor de bescherming van persoonlijke informatie |
| Site-melding |
Inzamelapparatuur die op openbare plaatsen is geïnstalleerd, moet zijn uitgerust met opvallende waarschuwingsborden |
Artikel 26 van de Wet bescherming persoonsgegevens |
Uit de bovenstaande vereisten blijkt dat de regelgeving zich niet alleen richt op de kennisgeving en toestemming in de link voor gegevensverzameling, maar het regelgevend toezicht ook uitbreidt naar de volledige levenscyclus van gegevensoverdracht, -opslag en -audit. Onder een dergelijk regelgevingskader wordt de beveiligingsarchitectuur van biometrische technologie zelf een sleutelvariabele voor naleving; de kwaliteit van de technische selectie bepaalt rechtstreeks het niveau van de nalevingskosten.
III. Iris vs. Face: vergelijking van privacy en compliance van de twee technologieën
In biometrische scenario's op ondernemingsniveau zijn gezichtsherkenning en irisherkenning de twee meest gangbare technische routes. Onder het nieuwe compliancekader vertonen de twee echter aanzienlijke verschillen op het gebied van gegevensbeveiliging en privacybescherming.
| Vergelijkingsdimensie |
Gezichtsherkenning |
Irisherkenning |
| Omkeerbaarheid van gegevens |
Gezichtsafbeeldingen kunnen worden hersteld naar originele foto's, met een hoog risico op lekkage |
Iriscoderingssjablonen zijn niet-omkeerbaar en voldoen uiteraard aan het principe van "gegevens beschikbaar maar niet zichtbaar" |
| Risico op vervalsing op afstand |
Kan worden gekraakt via foto's, video's en AI-deepfake-technologie |
De iris bevindt zich in de oogbol en kan niet op afstand worden verzameld of vervalst |
| Naleving van openbare ruimten |
Er zijn prominente waarschuwingsborden vereist en installatie in privéruimtes is verboden |
Actieve coöperatieve inzameling, met een groter gebruikersbewustzijn |
| Beveiliging van gegevensopslag |
Gezichtskenmerkvectoren hebben na opslag nog steeds een zekere omkeerbaarheid |
AES-256-codering op chipniveau, hardware-geïsoleerde opslag, met hogere gegevensbeveiliging |
| Moeilijkheidsgraad van effectbeoordeling |
Er moet rekening worden gehouden met meerdere risicofactoren, zoals het verzamelen van privacy en deepfakes |
De technische architectuur vermijdt inherent de meeste risico's, waardoor het beoordelingsproces eenvoudiger wordt |
| Herkenningsnauwkeurigheid |
Beïnvloed door factoren zoals licht, hoek en make-up, met een percentage valse herkenning van ongeveer één op een miljoen |
De nauwkeurigheid van binoculaire herkenning bereikt een op een miljard, onaangetast door veranderingen in het uiterlijk |
Vanuit complianceperspectief heeft irisherkenningstechnologie aanzienlijke structurele voordelen. De kern ervan ligt in "gegevens beschikbaar maar niet zichtbaar" - de digitale sjabloon die wordt gegenereerd na het coderen van iriskenmerken kan niet omgekeerd worden hersteld naar het oorspronkelijke biologische beeld. Zelfs als de database wordt gehackt, kunnen aanvallers de biometrische kenmerken van de gebruiker niet herstellen. Dit technische kenmerk komt uiteraard overeen met de opslagvereiste van "niet-omkeerbaar herstel" voor biometrische sjablonen in de Beveiligingsvereisten voor de verwerking van gevoelige persoonlijke informatie.
Gezichtsherkenningstechnologie staat daarentegen voor meer compliance-uitdagingen. De Measures for the Security Administration of Facial Recognition Technology Application vereist duidelijk een Personal Information Protection Impact Assessment (PIA) voordat gezichtsherkenningstechnologie wordt gebruikt, verbiedt de installatie van gezichtsherkenningsapparatuur in privéruimtes zoals hotelkamers en openbare badkamers, en schrijft het aanbieden van alternatieve identificatieoplossingen voor. Deze bijzondere bepalingen weerspiegelen de zorgen van toezichthouders over de inherente risico's van gezichtsherkenningstechnologie.
IV. De compliance-oplossingen van Homsh
Als pionier op het gebied van irisherkenningstechnologie in China heeft WuHan Homsh Technology Co., Ltd. (Homsh) een compleet technisch systeem gebouwd, van chips tot terminals en van algoritmen tot oplossingen, dat bedrijven kan voorzien van full-link biometrische herkenningsoplossingen op compliance-niveau.
1. PhaseIris 3.0: algoritmearchitectuur op nalevingsniveau
PhaseIris 3.0, het kern-irisherkenningsalgoritme van de derde generatie, onafhankelijk ontwikkeld door Homsh, gebruikt een werkingsbreedte van 384 bits en kan de sjabloongrootte van de kenmerkgegevens comprimeren tot 2 KB zonder de biometrische kenmerkpunten te verminderen. Cruciaal is dat er geen wiskundige omgekeerde gevolgtrekkingsrelatie bestaat tussen het gecodeerde digitale sjabloon en het originele irisbeeld, waardoor echte "gegevens beschikbaar maar niet zichtbaar" worden gerealiseerd. De nauwkeurigheid van de binoculaire herkenning bedraagt één op een miljard, wat ver boven het sectorgemiddelde ligt.
2. Chips uit de Qianxin-serie: beveiligingsbarrière op hardwareniveau
De door Homsh gelanceerde speciale ASIC-chips uit de Qianxin-serie voor irisherkenning zijn 's werelds eerste chips die het irisherkenningsalgoritme volledig in hardware implementeren. Anders dan de traditionele software + algemene processorarchitectuur, gebruiken de Qianxin-chips een on-chip systeemisolatiearchitectuur, gecombineerd met volledige hardware AES-256-codering, waardoor wordt gegarandeerd dat iris-sjabloongegevens gedurende het hele proces van verzameling, codering, matching en opslag worden verwerkt in een hardwarebeveiligingsomgeving. De coderingssnelheid is minder dan 50 ms en de single-core matchingtijd bedraagt slechts 320 nanoseconden.
Dit betekent dat biometrische gegevens nooit in leesbare tekst voorkomen in software-toegankelijke geheugenruimte, waardoor het risico van gegevenslekken op softwareniveau fundamenteel wordt geëlimineerd – een beveiligingsniveau dat traditionele puur softwarematige biometrische oplossingen niet kunnen bereiken.
3. Toegangscontroleterminals uit de D-serie en kanaalpoorten uit de G-serie: terminals voor conformiteitsimplementatie
Op terminalproductniveau zijn Homsh's D-serie Iris Access Control Terminals en G-serie Iris Channel Gates allemaal gebouwd met Qianxin-chips, die de voltooiing van alle herkenningsprocessen lokaal aan de apparaatzijde ondersteunen. Deze 'edge-side computing'-architectuur betekent dat biometrische gegevens niet naar de server hoeven te worden geüpload, waardoor het risico van gegevenslekken bij netwerktransmissie wordt vermeden en het compliance-auditproces van de onderneming aanzienlijk wordt vereenvoudigd.
De toegangscontroleterminals uit de D-serie ondersteunen een herkenningsafstand van 30 cm tot 70 cm, volledige binoculaire irisregistratie en authenticatie binnen 1 seconde, en één enkel apparaat kan tienduizenden sjabloongegevens opslaan. De G-serie Channel Gates zijn geschikt voor scenario's met veel verkeer, zoals grote parken en industriële faciliteiten, en ondersteunen netwerksamenwerking tussen meerdere apparaten.
V. Suggesties voor implementatie van biometrische compliance in ondernemingen
Op basis van de vereisten van de herziene cyberbeveiligingswet en ondersteunende regelgeving adviseren wij dat bedrijven de constructie van biometrische compliance vanuit de volgende vijf niveaus bevorderen.
Stap 1: Geef prioriteit aan nalevingsaudits
Bedrijven moeten eerst een uitgebreide nalevingsaudit van bestaande biometrische systemen uitvoeren om te beoordelen of het huidige systeem voldoet aan de vereisten van de cyberbeveiligingswet, de wet op de bescherming van persoonlijke informatie en relevante nationale normen. Focus op het herzien van het meldings- en toestemmingsmechanisme voor gegevensverzameling, transmissie-encryptiemethoden, opslagbeveiligingsbeleid en mechanismen voor gegevensverwijdering.
Stap 2: Upgrade technische selectie
Geef prioriteit aan biometrische technologieën met ‘niet-omkeerbaar herstel’-functies om de risico’s voor gegevensbeveiliging vanaf de bron te verminderen. Irisherkenningstechnologie heeft natuurlijke voordelen bij het voldoen aan compliance-eisen vanwege de onomkeerbaarheid van de gecodeerde sjablonen. Tegelijkertijd moeten producten met encryptiemogelijkheden op hardwareniveau worden geselecteerd om potentiële veiligheidsrisico's veroorzaakt door pure softwareoplossingen te vermijden.
Stap 3: Geef prioriteit aan edge-side computing
Pas zoveel mogelijk een edge-side computerarchitectuur toe om het verzamelen, coderen en matchen van biometrische kenmerken allemaal aan de kant van het apparaat te voltooien. Dit vermindert niet alleen de veiligheidsrisico's van netwerktransmissie, maar vereenvoudigt ook het compliancebeheer van de gegevensstroom voor ondernemingen. De Qianxin-chipoplossing van Homsh is een typische praktijk van dit concept.
Stap 4: Breng een volledig levenscyclusbeheer tot stand
Zet een volledig levenscyclusbeheersysteem op voor biometrische gegevens, van verzamelingsmelding, gebruiksautorisatie, opslagversleuteling, audittracking tot gegevensverwijdering. Het wordt aanbevolen om een toegewijde persoon aan te stellen die verantwoordelijk is voor de bescherming van persoonlijke informatie en om regelmatig nalevingsaudits uit te voeren.
Stap 5: Vorm een compliancedocumentsysteem
Verbeter nalevingsdocumenten zoals rapporten over de impact van persoonlijke informatiebescherming, gegevensverwerkingsrecords en responsplannen voor beveiligingsincidenten. Bij regelgevende inspecties of nalevingsaudits kan een compleet documentsysteem de nalevingsinspanningen van de onderneming effectief bewijzen en de bescherming van "verzachte of verminderde straffen" activeren in de nieuwe flexibele wetshandhavingsclausules van de cyberbeveiligingswet.
Conclusie: Compliance is geen kostenpost, maar een concurrentievermogen
De herziene cyberbeveiligingswet zendt een duidelijk signaal naar de markt: de verwerking van biometrische gegevens is niet langer een interne aangelegenheid van de technische afdeling, maar een strategische kwestie die verband houdt met de nalevingsrelevantie van de onderneming. In deze context is het kiezen van een biometrische technologie die voldoet aan de compliance-eisen op architectonisch ontwerpniveau niet alleen een redelijke keuze om risico's te verminderen, maar ook een concurrentievoordeel in de digitale transformatie van de onderneming.
Met zijn technische kenmerk van "gegevens beschikbaar maar niet zichtbaar", beveiligingsgarantie op hardwareniveau en een herkenningsnauwkeurigheid van één op een miljard, heeft irisherkenning de optimale balans gevonden tussen nalevingsvereisten en beveiligingsprestaties. Voor bedrijven die de upgrade van biometrische technologie evalueren, is dit een periode om de technische selectie opnieuw te onderzoeken en compliancevoordelen vast te stellen.
