1、GB/T40660-2021信息安全技术生物特征识别信息保护基本要求1范围本文件规定了各类生物特征识别信息控制者开展收集、存储、使用、委托处理共享、转让、公开披露、删除等生物特征识别信息处理活动应遵循的基本原则和安全要求。本文件适用于规范各类生物特征识别信息控制者开展生物特征识别信息处理活动,也适用于第三方机构对生物特征识别信息处理活动进行测评。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T25069信息安全技术术语GB/T35273
2、一2020信息安全技术个人信息安全规范3术语和定义GB/T25069、GB/T35273一2020界定的以及下列术语和定义适用于本文件。3.1生物特征识别原始信息biometric original information通过采集、预处理等方式获得的自然人物理、生物或行为特征的模拟或数字表示。注:如样木、图像等。3.2生物特征识别比对信息biometric comparison information对生物特征识别原始信息进行技术处理得到的、在识别过程中用于比对的信息。3.3生物特征识别信息biometric information对自然人的物理、生物或行为特征进行技术处理得到的、能够单独或者
3、与其他信息结合识别该自然人身份的个人信息。注1:生物特征识别信息包括个人面部识别特征,虹膜、指纹、基因、声纹、步态、掌纹、耳哪、恨纹等。注2:生物特征识别信息包含生物特征识别原始信息以及生物特征识别比对信息。3.4生物特征识别信息主体biometric information subject生物特征识别信息所标识或者关联的自然人。3.5生物特征识别信息控制者biometric information controller有能力决定生物特征识别信息处理目的、方式等的组织或个人。GB/T40660-20213.6撤销revoke阻止某个特定的生物特征识别比对信息和相应的身份相关信息通过验证。注:一
4、个生物特征识别信息主体被拒绝通过可能是由于其被添加到了撤销列表中,3.7不可逆性irreversibility由生物特征识别比对信息无法推断出其对应生物特征识别原始信息的特性。3.8不可链接性unlinkabilit女两个或多个生物特征识别比对信息无法相互连接的属性。注:具备不可链接性时,一个用户可以多次使用不同的程序,资源和服务,而其他人不能通过生物特征识别比对信息将这些使用关联在一包,4生物特征识别信息保护基本原则对生物特征识别信息保护的基本原则如下。a)应满足GB/T35273一2020中对个人信息控制者的所有要求。b)应遵循GB/T35273一2020第4章中的个人信息安全基本原则,并
5、应遵循以下原则:1)自主选择一在开展身份识别相关活动的场景,保证个人有使用或不使用生物特征识别信息的选择权,确保个人在自愿的情况下、通过直接方式提供生物特征识别信息,并确保个人对其生物特征识别信息持续的控制权;2)多样更新一使用具备不可逆、不可链接、多样化、可更新等特性的生物特征识别比对信息:3)充分知情一保证生物特征识别信息主体对其生物特征识别信息处理情况和安全事件的知情权。5生物特征识别信息的收集对生物特征识别信息控制者的要求如下。)除法律法规规定场景、保护公共利益和个人重大利益场景外,不应限定收集生物特征识别信息作为唯一实现业务目标的方式。b)收集生物特征识别信息前,应向生物特征识别信息
6、主体告知以下信息,并征得生物特征识别信息主体的明示同意:1)收集、使用生物特征识别信息的目的、方式和范围,以及授权存储时间等:2)收集的生物特征识别信息处理方式的描述;3)生物特征识别信息控制者的联系信息,包括组织机构信息、联系方式等:4)生物特征识别信息主体实现查看、修改、撤回其授权同意的方式。)应避免收集不属于该生物特征识别信息主体的生物特征识别信息,包括生物特征识别原始信息。)应避免采用间接方式从非生物特征识别信息主体处获取其信息。)生物特征识别信息主体无法完成信息收集时,应告知后续可用替代处理流程。)根据国家相关法律法规等规定收集生物特征识别信息时,应将相关要求以及收集的生物特征识别信息类型告知生物特征识别信息主体。