Vào ngày 1 tháng 1 năm 2026, Luật An ninh mạng sửa đổi của Cộng hòa Nhân dân Trung Hoa chính thức có hiệu lực. Là bản sửa đổi lớn đầu tiên của luật nền tảng này kể từ khi ban hành vào năm 2016, nó tạo thành thiết kế cấp cao nhất cho hệ thống pháp luật về an ninh mạng của Trung Quốc cùng với Luật Bảo mật Dữ liệu và Luật Bảo vệ Thông tin Cá nhân. Đối với các doanh nghiệp dựa vào công nghệ nhận dạng sinh trắc học để kiểm soát an ninh, bản sửa đổi này có ý nghĩa lớn hơn nhiều so với các hình phạt nghiêm khắc hơn - nó xác định lại ranh giới xử lý dữ liệu sinh trắc học và cung cấp hướng dẫn tuân thủ rõ ràng cho các doanh nghiệp trong việc lựa chọn công nghệ sinh trắc học.
Trong khi đó, Biện pháp quản lý bảo mật ứng dụng công nghệ nhận dạng khuôn mặt có hiệu lực vào tháng 6 năm 2025, đặt ra các yêu cầu nghiêm ngặt về đánh giá tác động và các giải pháp thay thế dành riêng cho các tình huống nhận dạng khuôn mặt. Tiêu chuẩn quốc gia GB/T 45574-2025 Công nghệ bảo mật dữ liệu—Yêu cầu bảo mật để xử lý thông tin cá nhân nhạy cảm chỉ rõ thêm các tiêu chuẩn phân loại và xử lý thông tin sinh trắc học. Dưới sự chồng chất của nhiều quy định, việc lựa chọn công nghệ sinh trắc học của doanh nghiệp đã phát triển từ lựa chọn kỹ thuật thuần túy thành quyết định tuân thủ chiến lược.
Luật An ninh mạng sửa đổi đã nâng mức phạt vi phạm cao nhất từ 1 triệu nhân dân tệ lên 10 triệu nhân dân tệ, đồng thời bổ sung các hình phạt như đình chỉ hoạt động của ứng dụng, làm tăng đáng kể chi phí vi phạm cho doanh nghiệp.
I. Giải thích những điểm chính của Quy định mới
Việc sửa đổi Luật An ninh mạng truyền tải một số tín hiệu quan trọng. Đầu tiên, đây là lần sửa đổi lớn đầu tiên của luật nền tảng này trong gần một thập kỷ, đánh dấu sự nâng cấp toàn diện hệ thống quản lý an ninh mạng của các nhà lập pháp. Thông tin cốt lõi của bản sửa đổi có thể được hiểu từ bốn khía cạnh sau.
1. Trí tuệ nhân tạo lần đầu tiên được đưa vào luật
Điều 20 mới được bổ sung đưa ra các quy định đặc biệt về an ninh và phát triển trí tuệ nhân tạo, làm rõ rằng nhà nước hỗ trợ nghiên cứu lý thuyết cơ bản và R&D công nghệ chủ chốt của AI, đồng thời cải thiện các chuẩn mực đạo đức và tăng cường giám sát, đánh giá và giám sát rủi ro. Điều này có nghĩa là các doanh nghiệp sử dụng công nghệ AI để xử lý dữ liệu sinh trắc học sẽ phải đối mặt với các yêu cầu giám sát an ninh và đánh giá đạo đức chặt chẽ hơn.
2. Tăng đáng kể các hình phạt để xây dựng hệ thống răn đe mạnh mẽ
Giới hạn trên của tiền phạt đã tăng từ 1 triệu nhân dân tệ lên 10 triệu nhân dân tệ trong phiên bản sửa đổi, với các loại hình phạt mới như đình chỉ hoạt động ứng dụng được bổ sung. Đồng thời, trách nhiệm pháp lý mở rộng từ doanh nghiệp đến cá nhân, những người chịu trách nhiệm trực tiếp sẽ phải đối mặt với những hình phạt khắc nghiệt hơn. Chi phí vi phạm tăng mạnh đặt ra yêu cầu cao hơn đối với quy trình xử lý dữ liệu sinh trắc học.
3. Phối hợp ba luật để hình thành mạng lưới quản lý chặt chẽ
Phiên bản sửa đổi tăng cường mối liên hệ có hệ thống với Luật Bảo mật dữ liệu và Luật bảo vệ thông tin cá nhân, cung cấp các hướng dẫn thực thi pháp luật rõ ràng thông qua các điều khoản "tham chiếu áp dụng". Khi xử lý dữ liệu sinh trắc học, doanh nghiệp phải đáp ứng đồng thời các yêu cầu của cả ba luật và sơ suất trong bất kỳ liên kết nào có thể dẫn đến các hành động thực thi pháp luật.
4. Điều khoản thi hành luật linh hoạt
Đáng chú ý, Điều 73 mới được bổ sung gắn liền với Luật Xử phạt hành chính, trong đó nêu rõ doanh nghiệp có thể được giảm nhẹ, giảm nhẹ hoặc không bị xử phạt nếu chủ động khắc phục hậu quả có hại, kịp thời khắc phục những vi phạm nhỏ mà không gây hậu quả tai hại hoặc không có lỗi chủ quan. Điều khoản này cung cấp một “vùng đệm an toàn” cho các doanh nghiệp có nỗ lực tuân thủ tích cực.
II. Tuân thủ các dòng màu đỏ và dòng dưới cùng cho dữ liệu sinh trắc học
Luật An ninh mạng sửa đổi và các quy định hỗ trợ cùng xác định “ranh giới đỏ” và “điểm mấu chốt” trong việc xử lý dữ liệu sinh trắc học. Khi triển khai hệ thống sinh trắc học, doanh nghiệp phải đáp ứng các yêu cầu tuân thủ ở các khía cạnh sau.
1. Định nghĩa và phân loại thông tin nhạy cảm
Thông tin sinh trắc học được liệt kê rõ ràng là "thông tin cá nhân nhạy cảm", bao gồm khuôn mặt, dấu vân tay, giọng nói, mống mắt, thông tin di truyền, v.v. Điều này có nghĩa là cho dù doanh nghiệp áp dụng công nghệ sinh trắc học nào thì dữ liệu được thu thập sẽ phải tuân theo yêu cầu bảo vệ ở mức cao nhất.
2. Yêu cầu tuân thủ toàn bộ vòng đời
| Liên kết tuân thủ |
Yêu cầu cốt lõi |
Cơ sở pháp lý |
| Thông báo thu thập |
Có được sự đồng ý riêng từ cá nhân và thông báo rõ ràng về mục đích và phương pháp xử lý |
Điều 29 Luật Bảo vệ thông tin cá nhân |
| Đánh giá tác động |
Tiến hành Đánh giá tác động bảo vệ thông tin cá nhân (PIA) trước khi sử dụng |
Điều 9 của Biện pháp quản lý an ninh ứng dụng công nghệ nhận dạng khuôn mặt |
| Bảo mật đường truyền |
Áp dụng ít nhất mã hóa kênh và tốt nhất là kết hợp nó với mã hóa nội dung |
GB/T 45574-2025 Công nghệ bảo mật dữ liệu—Yêu cầu bảo mật để xử lý thông tin cá nhân nhạy cảm |
| Bảo mật lưu trữ |
Lưu trữ được mã hóa và các mẫu sinh trắc học sẽ không thể đảo ngược |
Luật An ninh mạng + Luật An ninh dữ liệu |
| Kiểm tra tuân thủ |
Cơ quan xử lý thông tin của hơn 1 triệu người phải chỉ định người chịu trách nhiệm bảo vệ |
Các biện pháp quản lý kiểm tra tuân thủ bảo vệ thông tin cá nhân |
| Thông báo trang web |
Thiết bị thu gom lắp đặt ở nơi công cộng phải có biển chỉ dẫn nổi bật |
Điều 26 Luật Bảo vệ thông tin cá nhân |
Có thể thấy từ các yêu cầu trên, các quy định không chỉ tập trung vào việc thông báo và chấp thuận trong liên kết thu thập dữ liệu mà còn mở rộng sự giám sát theo quy định đến toàn bộ vòng đời truyền, lưu trữ và kiểm tra dữ liệu. Trong khung pháp lý như vậy, bản thân kiến trúc bảo mật của công nghệ sinh trắc học trở thành yếu tố then chốt cho việc tuân thủ - chất lượng lựa chọn kỹ thuật trực tiếp xác định mức chi phí tuân thủ.
III. Iris và Face: So sánh quyền riêng tư và tuân thủ của hai công nghệ
Trong các kịch bản sinh trắc học cấp doanh nghiệp, nhận dạng khuôn mặt và nhận dạng mống mắt là hai tuyến kỹ thuật phổ biến nhất. Tuy nhiên, theo khuôn khổ tuân thủ mới, cả hai đều cho thấy sự khác biệt đáng kể về bảo mật dữ liệu và bảo vệ quyền riêng tư.
| Thứ nguyên so sánh |
Nhận dạng khuôn mặt |
Nhận dạng mống mắt |
| Khả năng đảo ngược dữ liệu |
Hình ảnh khuôn mặt có thể được khôi phục về ảnh gốc, nguy cơ rò rỉ cao |
Các mẫu mã hóa Iris không thể đảo ngược, tuân thủ nguyên tắc "dữ liệu có sẵn nhưng không hiển thị" một cách tự nhiên |
| Rủi ro giả mạo từ xa |
Có thể crack thông qua ảnh, video và công nghệ AI deepfake |
Mống mắt nằm bên trong nhãn cầu và không thể thu thập hay giả mạo từ xa |
| Tuân thủ nơi công cộng |
Cần có biển báo nổi bật và cấm lắp đặt ở không gian riêng tư |
Bộ sưu tập hợp tác tích cực, với nhận thức người dùng cao hơn |
| Bảo mật lưu trữ dữ liệu |
Các vectơ đặc điểm khuôn mặt vẫn có khả năng đảo ngược nhất định sau khi lưu trữ |
Mã hóa AES-256 cấp chip, lưu trữ cách ly phần cứng với độ bảo mật dữ liệu cao hơn |
| Khó khăn đánh giá tác động |
Nhiều yếu tố rủi ro như thu thập quyền riêng tư và deepfake cần được xem xét |
Kiến trúc kỹ thuật vốn đã tránh được hầu hết rủi ro, giúp quá trình đánh giá trở nên đơn giản hơn |
| Độ chính xác nhận dạng |
Bị ảnh hưởng bởi các yếu tố như ánh sáng, góc chụp và cách trang điểm, tỷ lệ nhận dạng sai khoảng một phần triệu |
Độ chính xác nhận dạng hai mắt đạt một phần tỷ, không bị ảnh hưởng bởi những thay đổi về ngoại hình |
Từ góc độ tuân thủ, công nghệ nhận dạng mống mắt có những lợi thế đáng kể về mặt cấu trúc. Cốt lõi của nó nằm ở chỗ "dữ liệu có sẵn nhưng không hiển thị" - mẫu kỹ thuật số được tạo sau khi mã hóa các tính năng mống mắt không thể được khôi phục ngược về hình ảnh sinh học ban đầu. Ngay cả khi cơ sở dữ liệu bị xâm phạm, kẻ tấn công cũng không thể khôi phục các tính năng sinh trắc học của người dùng. Tính năng kỹ thuật này đương nhiên phù hợp với yêu cầu lưu trữ "khôi phục không thể đảo ngược" đối với các mẫu sinh trắc học trong Yêu cầu bảo mật để xử lý thông tin cá nhân nhạy cảm.
Ngược lại, công nghệ nhận dạng khuôn mặt phải đối mặt với nhiều thách thức tuân thủ hơn. Các biện pháp quản lý bảo mật ứng dụng công nghệ nhận dạng khuôn mặt rõ ràng yêu cầu Đánh giá tác động bảo vệ thông tin cá nhân (PIA) trước khi sử dụng công nghệ nhận dạng khuôn mặt, cấm lắp đặt thiết bị nhận dạng khuôn mặt trong không gian riêng tư như phòng khách sạn và phòng tắm công cộng, đồng thời bắt buộc cung cấp các giải pháp nhận dạng thay thế. Những điều khoản đặc biệt này phản ánh mối lo ngại của cơ quan quản lý về những rủi ro cố hữu của công nghệ nhận dạng khuôn mặt.
IV. Giải pháp tuân thủ của Homsh
Là công ty tiên phong về công nghệ nhận dạng mống mắt tại Trung Quốc, WuHan Homsh Technology Co., Ltd. (Homsh) đã xây dựng một hệ thống kỹ thuật hoàn chỉnh từ chip đến thiết bị đầu cuối và từ thuật toán đến giải pháp, có khả năng cung cấp cho doanh nghiệp các giải pháp nhận dạng sinh trắc học ở cấp độ tuân thủ liên kết đầy đủ.
1. PhaseIris 3.0: Kiến trúc thuật toán cấp độ tuân thủ
PhaseIris 3.0, thuật toán nhận dạng mống mắt lõi thế hệ thứ ba do Homsh phát triển độc lập, sử dụng độ rộng hoạt động 384 bit và có thể nén kích thước mẫu dữ liệu đối tượng thành 2KB mà không làm giảm các điểm đặc điểm sinh trắc học. Điều quan trọng là không có mối quan hệ suy luận ngược về mặt toán học giữa mẫu kỹ thuật số được mã hóa và hình ảnh mống mắt gốc, nhận ra "dữ liệu có sẵn nhưng không hiển thị" thực sự. Độ chính xác nhận dạng hai mắt đạt tới một phần tỷ, vượt xa mức trung bình của ngành.
2. Chip dòng Qianxin: Rào cản bảo mật cấp phần cứng
Các chip ASIC chuyên dụng của Dòng Qianxin để nhận dạng mống mắt do Homsh ra mắt là những chip đầu tiên trên thế giới triển khai đầy đủ thuật toán nhận dạng mống mắt trong phần cứng. Khác với kiến trúc bộ xử lý đa năng + phần mềm truyền thống, chip Qianxin áp dụng kiến trúc cách ly hệ thống trên chip, kết hợp với mã hóa AES-256 toàn bộ phần cứng, đảm bảo dữ liệu mẫu mống mắt được xử lý trong môi trường bảo mật phần cứng trong toàn bộ quá trình thu thập, mã hóa, khớp và lưu trữ. Tốc độ mã hóa dưới 50ms và thời gian khớp lõi đơn chỉ là 320 nano giây.
Điều này có nghĩa là dữ liệu sinh trắc học không bao giờ tồn tại ở dạng văn bản gốc trong bất kỳ không gian bộ nhớ nào có thể truy cập được bằng phần mềm, loại bỏ cơ bản nguy cơ rò rỉ dữ liệu ở cấp độ phần mềm—mức độ bảo mật mà các giải pháp sinh trắc học phần mềm thuần túy truyền thống không thể đạt được.
3. Thiết bị đầu cuối kiểm soát truy cập dòng D và Cổng kênh dòng G: Thiết bị đầu cuối triển khai tuân thủ
Ở cấp độ sản phẩm đầu cuối, Thiết bị đầu cuối kiểm soát truy cập Iris dòng D và Cổng kênh Iris dòng G của Homsh đều được tích hợp chip Qianxin, hỗ trợ hoàn thành tất cả các quy trình nhận dạng cục bộ ở phía thiết bị. Kiến trúc “điện toán biên” này có nghĩa là dữ liệu sinh trắc học không cần phải tải lên máy chủ, tránh nguy cơ rò rỉ dữ liệu trong đường truyền mạng và đơn giản hóa đáng kể quy trình kiểm tra tuân thủ của doanh nghiệp.
Thiết bị đầu cuối kiểm soát truy cập dòng D hỗ trợ khoảng cách nhận dạng từ 30 cm đến 70 cm, hoàn tất đăng ký và xác thực mống mắt hai mắt trong vòng 1 giây và một thiết bị có thể lưu trữ hàng chục nghìn dữ liệu mẫu. Cổng kênh G Series phù hợp với các tình huống có lưu lượng giao thông cao như các công viên lớn và cơ sở công nghiệp, hỗ trợ cộng tác mạng đa thiết bị.
V. Đề xuất thực hiện tuân thủ sinh trắc học doanh nghiệp
Dựa trên các yêu cầu của Luật An ninh mạng sửa đổi và các quy định hỗ trợ, chúng tôi khuyến nghị các doanh nghiệp thúc đẩy xây dựng tuân thủ sinh trắc học từ năm cấp độ sau.
Bước 1: Ưu tiên kiểm tra tuân thủ
Trước tiên, doanh nghiệp nên tiến hành kiểm tra tuân thủ toàn diện các hệ thống sinh trắc học hiện có để đánh giá xem hệ thống hiện tại có đáp ứng các yêu cầu của Luật An ninh mạng, Luật bảo vệ thông tin cá nhân và các tiêu chuẩn quốc gia liên quan hay không. Tập trung rà soát cơ chế thông báo và chấp thuận thu thập dữ liệu, phương thức mã hóa đường truyền, chính sách bảo mật lưu trữ và cơ chế xóa dữ liệu.
Bước 2: Nâng cấp lựa chọn kỹ thuật
Ưu tiên các công nghệ sinh trắc học với tính năng "khôi phục không thể đảo ngược" để giảm thiểu rủi ro bảo mật dữ liệu từ nguồn. Công nghệ nhận dạng mống mắt có lợi thế tự nhiên trong việc đáp ứng các yêu cầu tuân thủ do tính không thể đảo ngược của các mẫu được mã hóa. Đồng thời, nên lựa chọn những sản phẩm có khả năng mã hóa ở cấp độ phần cứng để tránh những rủi ro bảo mật tiềm ẩn do giải pháp phần mềm thuần túy gây ra.
Bước 3: Ưu tiên tính toán biên
Áp dụng kiến trúc điện toán biên nhiều nhất có thể để hoàn thành việc thu thập, mã hóa và khớp các tính năng sinh trắc học trên toàn bộ thiết bị. Điều này không chỉ làm giảm rủi ro bảo mật khi truyền mạng mà còn đơn giản hóa việc quản lý tuân thủ luồng dữ liệu cho doanh nghiệp. Giải pháp chip Qianxin của Homsh là một điển hình của khái niệm này.
Bước 4: Thiết lập quản lý vòng đời toàn diện
Thiết lập hệ thống quản lý vòng đời đầy đủ cho dữ liệu sinh trắc học, từ thông báo thu thập, ủy quyền sử dụng, mã hóa lưu trữ, theo dõi kiểm toán đến xóa dữ liệu. Nên chỉ định một người chuyên phụ trách bảo vệ thông tin cá nhân và tiến hành kiểm tra tuân thủ thường xuyên.
Bước 5: Hình thành hệ thống tài liệu tuân thủ
Cải thiện các tài liệu tuân thủ như báo cáo đánh giá tác động bảo vệ thông tin cá nhân, hồ sơ xử lý dữ liệu và kế hoạch ứng phó sự cố bảo mật. Trong các cuộc thanh tra theo quy định hoặc kiểm tra tuân thủ, một hệ thống tài liệu hoàn chỉnh có thể chứng minh một cách hiệu quả nỗ lực tuân thủ của doanh nghiệp và kích hoạt việc bảo vệ “giảm nhẹ hoặc giảm hình phạt” trong các điều khoản thực thi pháp luật linh hoạt mới của Luật An ninh mạng.
Kết luận: Tuân thủ không phải là chi phí mà là khả năng cạnh tranh
Luật An ninh mạng sửa đổi gửi tín hiệu rõ ràng đến thị trường: việc xử lý dữ liệu sinh trắc học không còn là vấn đề nội bộ của bộ phận kỹ thuật mà là vấn đề chiến lược liên quan đến huyết mạch tuân thủ của doanh nghiệp. Trong bối cảnh đó, việc lựa chọn công nghệ sinh trắc học đáp ứng yêu cầu tuân thủ từ cấp độ thiết kế kiến trúc không chỉ là lựa chọn hợp lý nhằm giảm thiểu rủi ro mà còn là lợi thế cạnh tranh trong quá trình chuyển đổi số của doanh nghiệp.
Với tính năng kỹ thuật "dữ liệu có sẵn nhưng không hiển thị", đảm bảo bảo mật cấp phần cứng và độ chính xác nhận dạng một phần tỷ, nhận dạng mống mắt đã tìm thấy sự cân bằng tối ưu giữa yêu cầu tuân thủ và hiệu suất bảo mật. Đối với các doanh nghiệp đánh giá việc nâng cấp công nghệ sinh trắc học, đây là giai đoạn để xem xét lại việc lựa chọn kỹ thuật và thiết lập các lợi thế tuân thủ.
