墨奇科技隐私保护实践入选国家标准 GB/T 40660 解读论文典型案例

      日前，墨奇科技“隐私保护生物特征识别系统”被《生物特征识别信息保护标准实施应用》论文（以下简称“论文”）收录，并成为其中的典型案例之一。

      该论文为今年 5 月 1 日国家推荐性标准 GB/T 40660-2021《信息安全技术 生物特征识别信息保护基本要求》（以下简称“标准”）正式实施以来，首份从标准实施应用层面对该标准做出案例解读的论文。本次案例被收录表明了墨奇科技的“隐私保护生物特征识别系统”不仅符合最新的国家标准要求，同时也为标准的实施和推广应用提供了典型案例，有助于推动生物识别产业的进一步发展。

墨奇科技的隐私保护生物识别系统入选《生物特征识别信息保护标准实施应用》典型案例

      国家推荐性标准 GB/T 40660-2021《信息安全技术 生物特征识别信息保护基本要求》，由中国电子技术标准化研究院牵头编制，由 TC260（全国信息安全标准化技术委员会）归口，旨在保护生物特征识别信息安全，规范生物特征识别信息处理活动，同时也适用于第三方机构对生物特征识别信息处理活动进行评测。

国家推荐性标准 GB/T 40660-2021《信息安全技术 生物特征识别信息保护基本要求》

      标准明晰了生物特征识别信息（biometric information）的定义，即：对自然人的物理、生物或行为特征进行技术处理得到的、能够单独或与其他信息结合识别该自然人身份的个人信息，包括个人面部识别特征、虹膜、指纹等。

      标准也特别指出，生物特征识别信息保护的基本原则包括自主选择、多样更新、充分知情等。其中，多样更新原则要求使用不可逆、不可链接、多样化、可更新等特性的生物特征识别比对信息。

      确立标准仅仅是个开始，标准的真正应用还需要切实落地和推行，过往也存在一些标准确立之后却没有匹配的解决方案，导致相应标准被“束之高阁”的尴尬处境。为了推动标准落地，工业和信息化部直属的中国电子技术标准化研究院牵头编写了《生物特征识别信息保护标准实施应用》论文，解读典型案例，旨在从案例层面推动标准落地应用。

      根据论文，墨奇科技的“隐私保护生物特征识别系统”针对标准规定的不可逆、可撤销、不可链接等特性做了具体实施，因而得以入选成为论文的典型案例。

墨奇科技隐私保护生物识别系统做到了不可逆、可撤销与不可链接

      正如论文所言，近年来生物特征识别技术发展迅猛，社会、公众对生物特征识别应用的接受成都逐步提高，生物特征识别信息的使用日渐广泛。与此同时，随着指纹识别、人脸识别的应用范围和场景与日俱增，个人生物特征信息积累迅速，为个人生物信息安全带来挑战。

      当前生物特征识别信息的强采、滥采、偷采、滥存、滥用等安全问题依然存在，安全事件频发。由于生物特征识别信息不易更改、一旦丢失永久丢失的特点， 其安全问题尤为重要，直接关系到个人权益、财产安全乃至生命安全。此前，某大型银行人脸识别系统被攻破，储户损失数十万元的案例更印证了生物识别领域的安全和隐私保护刻不容缓。

      市场和应用的痛点激发了科技创新。作为国内领先的 AI 基础技术和平台公司，墨奇科技在推动 AI 底层技术革新的同时，始终追求能为社会带来正向价值的科技创新。在保护隐私的生物识别技术方面，墨奇科技联合产学研合作伙伴，积极推动相关标准的形成与落地，并引领下一代保护隐私的生物识别技术革新。

      针对 GB/T 40660-2021 标准，墨奇科技隐私保护生物识别系统做到了不可逆、可撤销与不可链接：

      ·不可逆性是指由生物特征识别比对信息无法推断出其对应生物特征识别原始信息的特性。针对不可逆，墨奇科技的隐私保护生物特征识别系统不仅不存储指掌纹和指掌静脉原始特征，还加入了多于特征数倍的随机噪声，使得攻击者无法从含噪声的信息中有效地恢复出指掌纹和指掌静脉原始特征，从而提供了存储信息的不可逆性。

      ·针对可撤销，墨奇科技隐私保护生物识别系统由于与传统密钥相绑定，生物特征识别主体可选择撤销或更新密钥。重新绑定的密钥所生成的含噪声信息与被撤销的含噪声信息完全没有统计相关性，实现可撤销。

      ·不可链接性是指两个或多个生物特征识别比对信息无法相互链接的属性。具备不可链接性时，一个用户可以多次使用不同的程序、资源和服务，而其他人不能通过生物特征识别比对信息将这些使用关联在一起。针对不可链接，由于每次生成含噪声信息时所选的变换、绑定密钥全不相同，墨奇科技的隐私保护生物识别系统可保证在不同应用间无法关联获得同一生物识别主体的信息，从而实现不可链接，确保了生物识别主体信息的安全性。

      在评估 GB/T 40660-2021《信息安全技术 生物特征识别信息保护基本要求》实施效果时，论文指出，墨奇科技基于这一国家推荐性标准，提升了产品设计思路上的安全意识，即使存储数据泄露，攻击者想要暴力破解，系统恢复密钥以及生物特征识别信息的算法是 NP 难问题，也就是说系统最后甚至具有量子安全性。

      可以说，GB/T 40660-2021 加强了生物特征信息数据隐私保护的力度，使得隐私保护生物特征识别系统更好地为推动生物识别技术在全球范围内的发展赋能。墨奇科技的“隐私保护生物识别系统”也为生物特征识别领域的隐私保护树立了典范，为标准落地和产业各界生物识别的应用发展提供了极具创新的“墨奇方案”。

推荐阅读：叶紫网