1 Ocak 2026'da Çin Halk Cumhuriyeti'nin revize edilmiş Siber Güvenlik Yasası resmi olarak yürürlüğe girdi. Bu temel yasanın 2016 yılında yürürlüğe girmesinden bu yana ilk büyük revizyonu olan bu yasa, Veri Güvenliği Yasası ve Kişisel Bilgilerin Korunması Yasası ile birlikte Çin'in siber güvenlik hukuk sisteminin üst düzey tasarımını oluşturmaktadır. Güvenlik kontrolü için biyometrik tanıma teknolojisine güvenen kuruluşlar için bu revizyon, daha katı cezalardan çok daha fazlası anlamına geliyor; biyometrik verilerin işlenmesine ilişkin sınırları yeniden tanımlıyor ve kuruluşlara biyometrik teknolojilerin seçiminde net uyumluluk rehberliği sağlıyor.
Bu arada, Yüz Tanıma Teknolojisi Uygulamasının Güvenlik İdaresi Önlemleri Haziran 2025'te yürürlüğe girdi ve özellikle yüz tanıma senaryolarına yönelik etki değerlendirmesi ve alternatif çözümler için katı gereklilikler belirledi. Ulusal standart GB/T 45574-2025 Veri Güvenliği Teknolojisi—Hassas Kişisel Bilgilerin İşlenmesine İlişkin Güvenlik Gereksinimleri ayrıca biyometrik bilgilerin sınıflandırma ve işleme normlarını belirtir. Çoklu düzenlemelerin üst üste gelmesi nedeniyle işletmelerin biyometrik teknoloji seçimi, salt teknik bir seçimden, stratejik bir uyum kararına dönüşmüştür.
Revize edilen Siber Güvenlik Yasası, ihlallere ilişkin para cezalarının üst sınırını 1 milyon yuan'dan 10 milyon yuan'a çıkardı ve uygulamaların işleyişinin askıya alınması gibi cezalar ekleyerek, ihlallerin işletmeler için maliyetini önemli ölçüde artırdı.
I. Yeni Düzenlemenin Temel Noktalarının Yorumlanması
Siber Güvenlik Kanununun revizyonu birçok kritik sinyal veriyor. Birincisi, bu temel yasanın yaklaşık on yıl içinde yapılan ilk büyük revizyonu olup, yasa koyucular tarafından siber güvenlik yönetişim sisteminin kapsamlı bir şekilde yükseltilmesine işaret etmektedir. Revizyonun temel bilgileri aşağıdaki dört boyuttan anlaşılabilir.
1. Yapay Zeka İlk Kez Kanuna Girdi
Yeni eklenen 20. Madde, yapay zekanın güvenliği ve geliştirilmesine ilişkin özel hükümler getirerek devletin temel teorik araştırmaları ve yapay zekanın temel teknoloji Ar-Ge'sini desteklediğini, aynı zamanda etik normları iyileştirdiğini ve risk izleme, değerlendirme ve güvenlik denetimini güçlendirdiğini açıklığa kavuşturuyor. Bu, biyometrik verileri işlemek için yapay zeka teknolojisini kullanan kuruluşların daha katı etik inceleme ve güvenlik denetimi gereksinimleriyle karşı karşıya kalacağı anlamına geliyor.
2. Güçlü Bir Caydırıcılık Sistemi Oluşturmak İçin Cezaların Önemli Ölçüde Artırılması
Başvuru işlemlerinin askıya alınması gibi yeni ceza türleri eklenerek revize edilen versiyonda para cezalarının üst sınırı 1 milyon yuan'dan 10 milyon yuan'a çıkarıldı. Aynı zamanda hukuki sorumluluk işletmelerden bireylere uzanıyor ve doğrudan sorumlu personel daha ağır cezalarla karşı karşıya kalacak. İhlallerin keskin bir şekilde artan maliyeti, biyometrik verilerin işlenmesi prosedürlerine yönelik daha yüksek gereksinimleri ortaya çıkarmaktadır.
3. Sıkı Bir Düzenleyici Ağ Oluşturmak İçin Üç Yasanın Koordinasyonu
Gözden geçirilmiş versiyon, Veri Güvenliği Kanunu ve Kişisel Bilgilerin Korunması Kanunu ile sistematik bağlantıyı güçlendirerek, "geçerli referans" maddeleri aracılığıyla kanun uygulama yönergelerini açık bir şekilde sunmaktadır. Biyometrik verileri işlerken işletmelerin her üç yasanın gerekliliklerini aynı anda karşılaması gerekir ve herhangi bir bağlantıdaki ihmal, kolluk kuvvetlerinin harekete geçmesini tetikleyebilir.
4. Esnek Kanun Uygulama Hükümleri
Özellikle, yeni eklenen 73. Madde, İdari Ceza Kanunu ile bağlantılı olup, işletmelere, zararlı sonuçları ortadan kaldırmak için inisiyatif almaları, küçük ihlalleri zararlı sonuçlara yol açmayacak şekilde derhal düzeltmeleri veya öznel kusurları bulunmaması durumunda hafifletilmiş, azaltılmış veya hiç ceza verilmeyebileceğini açıklığa kavuşturmaktadır. Bu madde, aktif uyum çalışmaları yürüten kuruluşlar için bir "güvenlik tamponu" sağlar.
II. Biyometrik Verilere İlişkin Kırmızı Çizgiler ve Alt Çizgiler
Revize edilen Siber Güvenlik Kanunu ve destekleyici düzenlemeler, biyometrik verilerin işlenmesine ilişkin "kırmızı çizgiler" ve "sonuçları" birlikte tanımlamaktadır. İşletmelerin biyometrik sistemleri devreye alırken aşağıdaki boyutlardaki uyumluluk gereksinimlerini karşılaması gerekir.
1. Hassas Bilgilerin Tanımı ve Sınıflandırılması
Biyometrik bilgiler, yüz, parmak izi, ses izi, iris, genetik bilgiler vb. dahil olmak üzere açıkça "hassas kişisel bilgiler" olarak listelenmektedir. Bu, bir işletmenin hangi biyometrik teknolojiyi benimserse benimsesin, toplanan verilerin en yüksek düzeyde koruma gerekliliklerine tabi olacağı anlamına gelir.
2. Tam Yaşam Döngüsü Uyumluluğu Gereksinimleri
| Uyumluluk Bağlantısı |
Temel Gereksinimler |
Yasal Dayanak |
| Tahsilat Bildirimi |
Kişiden ayrı bir onay alın ve işlemenin amacını ve yöntemini açıkça belirtin |
Kişisel Bilgilerin Korunması Kanunu Madde 29 |
| Etki Değerlendirmesi |
Kullanmadan önce Kişisel Bilgilerin Korunması Etki Değerlendirmesi (PIA) gerçekleştirin |
Yüz Tanıma Teknolojisi Uygulamasının Güvenlik Yönetimine İlişkin Tedbirler Madde 9 |
| İletim Güvenliği |
En azından kanal şifrelemesini benimseyin ve tercihen bunu içerik şifrelemeyle birleştirin |
GB/T 45574-2025 Veri Güvenliği Teknolojisi—Hassas Kişisel Bilgilerin İşlenmesine İlişkin Güvenlik Gereksinimleri |
| Depolama Güvenliği |
Şifreli depolama ve biyometrik şablonlar geri alınamaz olacaktır |
Siber Güvenlik Hukuku + Veri Güvenliği Hukuku |
| Uygunluk Denetimi |
1 milyondan fazla kişinin bilgilerini işleyen işleyiciler, korumadan sorumlu bir kişi atamalıdır |
Kişisel Bilgilerin Korunmasına Uygunluk Denetimlerinin Yönetimine İlişkin Tedbirler |
| Site Bildirimi |
Halka açık yerlere kurulan toplama ekipmanı belirgin uyarı işaretleri ile donatılmalıdır |
Kişisel Bilgilerin Korunması Kanunu Madde 26 |
Yukarıdaki gerekliliklerden, düzenlemelerin yalnızca veri toplama bağlantısındaki bildirim ve onaya odaklanmadığı, aynı zamanda düzenleyici denetimi veri iletimi, depolama ve denetimin tüm yaşam döngüsünü kapsayacak şekilde genişlettiği de görülmektedir. Böyle bir düzenleyici çerçeve altında, biyometrik teknolojinin güvenlik mimarisi uyumluluk için temel bir değişken haline geliyor; teknik seçimin kalitesi, uyumluluk maliyetlerinin düzeyini doğrudan belirliyor.
III. Iris vs. Face: İki Teknolojinin Gizlilik ve Uyumluluk Karşılaştırması
Kurumsal düzeydeki biyometrik senaryolarda yüz tanıma ve iris tanıma en yaygın iki teknik yoldur. Ancak yeni uyumluluk çerçevesi kapsamında ikisi arasında veri güvenliği ve gizliliğin korunması açısından önemli farklılıklar görülüyor.
| Karşılaştırma Boyutu |
Yüz Tanıma |
İris Tanıma |
| Veri Geri Dönüştürülebilirliği |
Yüz görüntüleri, yüksek sızıntı riskiyle birlikte orijinal fotoğraflara geri yüklenebilir |
İris kodlama şablonları geri alınamaz ve doğal olarak "veri mevcut ancak görünmez" ilkesine uygundur. |
| Uzaktan Sahtecilik Riski |
Fotoğraflar, videolar ve AI deepfake teknolojisi aracılığıyla kırılabilir |
İris göz küresinin içinde bulunur ve uzaktan toplanamaz veya dövülemez. |
| Halka Açık Yerlere Uygunluk |
Belirgin uyarı işaretleri gereklidir ve özel alanlara kurulum yasaktır |
Daha yüksek kullanıcı farkındalığına sahip aktif işbirlikçi koleksiyon |
| Veri Depolama Güvenliği |
Yüz özellik vektörleri depolamadan sonra hala belirli bir tersine çevrilebilirliğe sahiptir |
Çip düzeyinde AES-256 şifreleme, donanımdan yalıtılmış depolama, daha yüksek veri güvenliği |
| Etki Değerlendirme Zorluğu |
Gizlilik toplama ve derin sahtekarlıklar gibi birden fazla risk faktörünün dikkate alınması gerekir |
Teknik mimari doğası gereği çoğu riski önleyerek değerlendirme sürecini basitleştirir |
| Tanıma Doğruluğu |
Milyonda bir civarında yanlış tanınma oranıyla ışık, açı ve makyaj gibi faktörlerden etkilenir |
Binoküler tanıma doğruluğu, görünüm değişikliklerinden etkilenmeden milyarda bire ulaşır |
Uyumluluk açısından bakıldığında iris tanıma teknolojisinin önemli yapısal avantajları vardır. Bunun özünde "veri mevcut ancak görünür değil" yatıyor; iris özelliklerinin kodlanmasından sonra oluşturulan dijital şablon, orijinal biyolojik görüntüye ters şekilde geri yüklenemez. Veritabanı ihlal edilse bile saldırganlar kullanıcının biyometrik özelliklerini geri yükleyemez. Bu teknik özellik, Hassas Kişisel Bilgilerin İşlenmesine İlişkin Güvenlik Gereksinimleri'ndeki biyometrik şablonlar için "geri döndürülemez restorasyon" depolama gereksinimiyle doğal olarak tutarlıdır.
Yüz tanıma teknolojisi ise tam tersine daha fazla uyumluluk sorunuyla karşı karşıya. Yüz Tanıma Teknolojisi Uygulamasının Güvenlik İdaresine Yönelik Tedbirler, yüz tanıma teknolojisini kullanmadan önce açıkça Kişisel Bilgilerin Korunması Etki Değerlendirmesi'nin (PIA) yapılmasını gerektirir, otel odaları ve umumi banyolar gibi özel alanlara yüz tanıma ekipmanının kurulmasını yasaklar ve alternatif tanımlama çözümlerinin sağlanmasını zorunlu kılar. Bu özel hükümler, düzenleyicilerin yüz tanıma teknolojisinin doğasında var olan risklere ilişkin endişelerini yansıtmaktadır.
IV. Homsh'un Uyumluluk Çözümleri
Çin'de iris tanıma teknolojisinde öncü olan WuHan Homsh Technology Co., Ltd. (Homsh), işletmelere tam bağlantı uyumluluk düzeyinde biyometrik tanıma çözümleri sağlama kapasitesine sahip, çiplerden terminallere ve algoritmalardan çözümlere kadar eksiksiz bir teknik sistem inşa etti.
1. PhaseIris 3.0: Uyumluluk Düzeyinde Algoritma Mimarisi
Homsh tarafından bağımsız olarak geliştirilen üçüncü nesil çekirdek iris tanıma algoritması PhaseIris 3.0, 384 bit işlem genişliğini benimser ve biyometrik özellik noktalarını azaltmadan özellik veri şablonu boyutunu 2 KB'ye sıkıştırabilir. En önemlisi, kodlanmış dijital şablon ile orijinal iris görüntüsü arasında matematiksel bir ters çıkarım ilişkisi bulunmaması, gerçek "verilerin mevcut ancak görünür olmadığının" farkına varılmasını sağlar. Binoküler tanıma doğruluğu milyarda bire ulaşarak sektör ortalamasını çok aşıyor.
2. Qianxin Serisi Çipler: Donanım Düzeyinde Güvenlik Bariyeri
Homsh tarafından piyasaya sürülen iris tanımaya yönelik Qianxin Serisine özel ASIC çipleri, donanımda iris tanıma algoritmasını tam olarak uygulayan dünyanın ilk çipleridir. Geleneksel yazılım + genel amaçlı işlemci mimarisinden farklı olarak Qianxin yongaları, tam donanım AES-256 şifrelemesiyle birleştirilmiş bir yonga üzeri sistem izolasyon mimarisini benimser ve iris şablon verilerinin tüm toplama, kodlama, eşleştirme ve depolama süreci boyunca bir donanım güvenlik ortamında işlenmesini sağlar. Kodlama hızı 50 ms'den azdır ve tek çekirdeğin eşleştirme süresi yalnızca 320 nanosaniyedir.
Bu, biyometrik verilerin hiçbir zaman yazılımla erişilebilen herhangi bir bellek alanında düz metin olarak bulunmadığı anlamına gelir; bu da, geleneksel saf yazılım biyometrik çözümlerinin ulaşamayacağı bir güvenlik düzeyi olan yazılım düzeyinde veri sızıntısı riskini temel olarak ortadan kaldırır.
3. D Serisi Erişim Kontrol Terminalleri ve G Serisi Kanal Kapıları: Uyumluluk Uygulama Terminalleri
Terminal ürün düzeyinde, Homsh'un D Serisi İris Erişim Kontrol Terminalleri ve G Serisi İris Kanal Kapılarının tümü, cihaz tarafında tüm tanıma süreçlerinin yerel olarak tamamlanmasını destekleyen Qianxin çipleriyle üretilmiştir. Bu "uç tarafı bilgi işlem" mimarisi, biyometrik verilerin sunucuya yüklenmesine gerek olmadığı anlamına gelir, ağ aktarımında veri sızıntısı riskini ortadan kaldırır ve kuruluşun uyumluluk denetim sürecini büyük ölçüde basitleştirir.
D Serisi Erişim Kontrol Terminalleri, 30 cm'den 70 cm'ye kadar bir tanıma mesafesini, 1 saniye içinde tam binoküler iris kaydını ve kimlik doğrulamayı destekler ve tek bir cihaz on binlerce şablon verisini depolayabilir. G Serisi Kanal Kapıları, büyük parklar ve endüstriyel tesisler gibi yüksek trafikli senaryolar için uygundur ve çoklu cihaz ağ işbirliğini destekler.
V. Kurumsal Biyometrik Uyum Uygulamasına Yönelik Öneriler
Revize edilen Siber Güvenlik Kanununun ve destekleyici düzenlemelerin gerekliliklerine dayanarak, işletmelerin biyometrik uyumluluk yapısını aşağıdaki beş seviyeden teşvik etmesini öneriyoruz.
1. Adım: Uyumluluk Denetimine Öncelik Verin
İşletmeler öncelikle mevcut sistemin Siber Güvenlik Kanunu, Kişisel Bilgilerin Korunması Kanunu ve ilgili ulusal standartların gerekliliklerini karşılayıp karşılamadığını değerlendirmek için mevcut biyometrik sistemler üzerinde kapsamlı bir uyumluluk denetimi yapmalıdır. Veri toplama, iletim şifreleme yöntemleri, depolama güvenliği politikaları ve veri silme mekanizmalarına ilişkin bildirim ve onay mekanizmasını incelemeye odaklanın.
Adım 2: Teknik Seçimi Yükseltin
Kaynaktan kaynaklanan veri güvenliği risklerini azaltmak için "geri döndürülemez restorasyon" özelliklerine sahip biyometrik teknolojilere öncelik verin. İris tanıma teknolojisi, kodlanmış şablonlarının geri döndürülemezliği nedeniyle uyumluluk gereksinimlerini karşılamada doğal avantajlara sahiptir. Aynı zamanda saf yazılım çözümlerinin neden olabileceği potansiyel güvenlik risklerinden kaçınmak için donanım düzeyinde şifreleme yeteneklerine sahip ürünler seçilmelidir.
3. Adım: Uç Taraf Bilgi İşleme Öncelik Verin
Cihaz tarafında biyometrik özelliklerin toplanmasını, kodlanmasını ve eşleştirilmesini tamamlamak için mümkün olduğunca uç tarafta bir bilgi işlem mimarisini benimseyin. Bu yalnızca ağ aktarımının güvenlik risklerini azaltmakla kalmaz, aynı zamanda kuruluşlar için veri akışının uyumluluk yönetimini de basitleştirir. Homsh'un Qianxin çip çözümü bu konseptin tipik bir uygulamasıdır.
Adım 4: Tam Yaşam Döngüsü Yönetimini Oluşturun
Toplama bildirimi, kullanım yetkilendirmesi, depolama şifrelemesi, denetim takibinden veri silmeye kadar biyometrik veriler için tam bir yaşam döngüsü yönetim sistemi oluşturun. Kişisel bilgilerin korunmasından sorumlu özel bir kişinin atanması ve düzenli uyumluluk denetimleri yapılması tavsiye edilir.
Adım 5: Uyumluluk Belge Sistemi Oluşturun
Kişisel bilgilerin korunması etki değerlendirmesi raporları, veri işleme kayıtları ve güvenlik olaylarına müdahale planları gibi uyumluluk belgelerini iyileştirin. Düzenleyici denetimlerde veya uyumluluk denetimlerinde eksiksiz bir belge sistemi, işletmenin uyumluluk çabalarını etkili bir şekilde kanıtlayabilir ve Siber Güvenlik Yasası'nın yeni esnek yasa uygulama maddelerinde "hafifletilmiş veya azaltılmış ceza" korumasını tetikleyebilir.
Sonuç: Uyumluluk Bir Maliyet Değil, Rekabet Edebilirliktir
Revize edilen Siber Güvenlik Yasası pazara net bir sinyal gönderiyor: biyometrik verilerin işlenmesi artık teknik departmanın dahili bir meselesi değil, kurumun uyumluluk yaşam çizgisiyle ilgili stratejik bir konu. Bu bağlamda mimari tasarım seviyesinden uyumluluk gereksinimlerini karşılayan bir biyometrik teknolojinin seçilmesi, yalnızca riskleri azaltmak için makul bir seçim değil, aynı zamanda işletmenin dijital dönüşümünde rekabet avantajı da sağlıyor.
"Veri mevcut ancak görünmez" teknik özelliği, donanım düzeyinde güvenlik garantisi ve milyarda bir tanıma doğruluğu ile iris tanıma, uyumluluk gereklilikleri ile güvenlik performansı arasındaki optimum dengeyi bulmuştur. Biyometrik teknolojinin geliştirilmesini değerlendiren kuruluşlar için bu, teknik seçimi yeniden incelemek ve uyumluluk avantajlarını oluşturmak için bir pencere dönemidir.
