ICS 33.050 M 30 2021-01- 08发布 2021-01- 08实施 电信终端产业协会 发布 移动智能终端及应用软件 生物特征识别安全规范 Smart mobile terminal and application software biometric recognition security specification T/TAF 079 -2021 团体标 准 全国团体标准信息平台 I 目 次 前言 ................................ ................................ ................ II 引言 ................................ ................................ ............... III 1 范围 ................................ ................................ ............... 1 2 规范性引用文件 ................................ ................................ ..... 1 3 术语和定义 ................................ ................................ ......... 1 4 生物特征识别模态和系统框架 ................................ ......................... 3 5 生物特征识别信息的收集 ................................ ............................. 4 6 生物特征识别信息的存储 ................................ ............................. 4 7 生物特征识别信息的使用 ................................ ............................. 5 8 生物特征识别信息的委托处理、共享、转让、公开披露 ................................ ... 5 9 生物特征识别信息的删除 ................................ ............................. 6 参考文献 ................................ ................................ ............. 7 全国团体标准信息平台 T/TAF 079 -2021 II 前 言 本文件按照 GB/T 1.1 -2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起 草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任 。 本文件由电信终端产业协会提出并归口。 本文件起草单位 ：中国信息通信研究院 、蚂蚁科技集团股份有限公司 、高通无线通信技术 (中国) 有限公司 、OPPO广东移动通信有限公司 、北京三星通信技术研究有限公司 、维沃移动通信有限公司 、北 京奇虎科技有限公司 、国民认证科技（北京）有限公司 、阿里巴巴 (中国)有限公司 。 本文件主要起草人 ：傅山、王嘉义、 宁华、刘陶、王艳红、杜云、 林冠辰、王江胜、李根 、吴越、 吴春雨、 贾科、姚一楠、李俊 、黄天宁 。 全国团体标准信息平台 T/TAF 079 -2021 III 引 言 随着移动通信技术的快速发 展，移动互联网应用正逐渐渗透到人们生活、工作的各个领域，个人信 息安全问题成为各方关注的重点。 越来越多的移动智能终端及应用软件使用生物特征识别实现身份认证 等功能，生物特征识别信息是个人信息的重要部分。 生物特征识别信息与个人身份高度绑定，且具有不可变更的特点，生物特征识别信息的泄露或滥用 将带来严重的社会问题，移动智能终端及应用软件的生物特征识别信息保护安全规范迫在眉睫。 全国团体标准信息平台 T/TAF 079 -2021 1 移动智能终端及应用软件生物特征识别安全规范 1 范围 本文件规定了移动智能终端及移动应用软件开展收集、存储、使用、共享、转让、公开披露、注销 等生物特征识别 信息处理活动应遵循的原则和安全要求。 本文件适用于各种制式的移动智能终端，个别条款不适用于特殊行业、专业应用，其他终端也可参 考使用。 2 规范性引用文件 下列文件对于 本文件的应用是必不可少的。 凡是注日期的引用文件， 仅注日期的版本适用于 本文件。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于 本文件。 GB/T 26238 －2010 信息技术 生物特征识别术语 GB/T 35273 －2020 信息安全技术 个人信息安全规范 3 术语和定义 GB/T 26238 －2010和GB/T 35273－2020界定的以及下列术语和定义适用于本文件。 3.1 移动智能终端 smart mobile terminal 能够接入移动通信网，具有能够提供应用程序开发接口的操作系统，并能够安装和运行应用软件的 移动终端。 3.2 生物特征识别 biometric recognition 基于个体的行为特征和生物学特征，对该个体进行的自动识别。 3.3 生物特征识别系统 biometric system 基于个体的行为特征和生物学特征进行自动识别的系统。 3.4 生物特征样本 biometric sample 先于生物特征项提 取，且从生物特 征采集子系统获得的模拟的或数字的生物识别特征的表示。 3.5 生物特征数据主体 biometric data subject 全国团体标准信息平台 T/TAF 079 -2021 2 在生物特征识别系统内的包含生物特征信息的个人。 3.6 生物特征项 biometric feature 从生物特征样本中提取的，用于比对的数值或标记。 3.7 生物特征模板 biometric template 参考的生物特征项的集合，已存储的生物特征项的集合。 3.8 生物特征参考 biometric reference 用于比对的、属于生物特征数据主体的一个或多个已存储的生物特征样 本、生物特征模板或生物特 征识别模型。 3.9 生物特征识别信息 biometric information 对自然人的物理 、生物或行为特征进行技术处理得到的 、能够单独或者与其他信息结合识别该自然 人身份的个人信息 。本部分对处于任何处理阶段的生物特征样本、生物特征参考、生物特征项或生物特 性的通称。 3.10 生物特征识别信息控制者 biometric information controller 有能力决定生物特征识别信息处理目的、方式等的组织或个人。 3.11 身份鉴别 identity authentication 在计算机及计算机网络系统中确认操作者身份真实性的过程， 在 本文件中指以人为主体的生物特征 身份鉴别。包括在实体可以在域中进行注册和识别之前，确定所声称身份真实性的信任程度的过程。 3.12 删除 delete 在实现日常业务功能所涉及的系统中去除个人信息的行为，使其保持不可被检索、访问的状态。 3.13 匿名化 anonymization 通过对个人信息的技术处理，使得个人信息主体无法被识别或者关联，且处理后的信息不能被复原 的过程。个人信息经匿名化处理后所得的信息不属于个人信息。 3.14 不可链接性 unlinkability 全国团体标准信息平台 T/TAF 079 -2021 3 两个或多个生物特征识别参考的特性，无法相互链接或与各自的信息主体链接。 3.15 不可逆性 irreversibility 从生物特征样本进行技术处理生成其他信息时，所生成信息具有的、从生成信息无法推断出生物特 征样本任何信息的特征。 4 生物特征识别模态和系统框架 4.1 生物特征识别模态 生物特征识别系统根据一个或多个生理 （身体的物理特性，例如指纹） 或者行为 （个体所做的事情， 例如步态）特征对个体进行自动识别。 生理特征包括但不限于： —— 指纹； —— 人脸； —— 虹膜； —— 声纹； —— 手型； —— 指静脉/掌静脉； —— 视网膜； —— DNA； —— 掌纹。 行为特征包括但不限于： —— 签名； —— 步态； —— 语音。 为了验证或辨识个体，生物特征识别系统处