金融科技生物特征識別系統風險審計研究

【摘 要】 金融科技的發(fā)展使得生物特征識別技術在金融科技系統中得到廣泛應用，如何防范金融科技中這些生物特征識別技術的應用帶來的風險越來越重要。文章首先分析了金融科技中生物特征識別系統的原理、代表性生物特征識別系統及其生物特征識別技術的應用;然后分析了金融科技中應用生物特征識別系統存在的主要風險;在此基礎上，給出了金融科技生物特征識別系統風險審計的依據、步驟、內容以及方法;最后，以某商業(yè)銀行手機銀行支付系統為例，分析了如何實施金融科技生物特征識別系統風險審計。研究結果為今后開展金融科技生物特征識別系統風險審計，防范化解金融科技生物特征識別系統風險提供了理論基礎與技術方法。

【關鍵詞】 信息系統審計; 金融科技; 生物特征識別; 風險審計

【中圖分類號】 F239.1;C931.6? 【文獻標識碼】 A? 【文章編號】 1004-5937（2022）12-0002-06

一、引言

黨的十九大報告將“防范化解重大風險”列為我國三大攻堅戰(zhàn)之首，2022年《國務院政府工作報告》也將其列為重點工作任務之一。打好防范化解重大風險攻堅戰(zhàn)，重點是防控金融風險。隨著互聯網/移動互聯網、大數據、人工智能等相關信息技術在金融行業(yè)的廣泛發(fā)展，金融科技（Financial Technology，Fintech或FinTech）成為近年研究與應用的熱點問題[1]。金融科技（Fintech）是指通過利用各類科技手段創(chuàng)新傳統金融行業(yè)所提供的產品和服務，提升效率并有效降低運營成本。國際金融穩(wěn)定理事會（Financial Stability Board，FSB）把金融科技定義為“技術帶來的金融創(chuàng)新，它能夠產生新的商業(yè)模式、應用、過程或產品，從而對金融市場、金融機構或金融服務的提供方式產生重大影響”。中國人民銀行在《金融科技發(fā)展規(guī)劃（2022—2025年）》[2]中指出，金融科技作為技術驅動的金融創(chuàng)新，是深化金融供給側結構性改革、增強金融服務實體經濟能力的重要引擎。金融科技為金融發(fā)展注入了新的活力，也給金融安全帶來了新挑戰(zhàn)。美國國家經濟委員會2017年發(fā)布的《金融科技框架》[3]白皮書中指出“這些新興的、未經測試的技術也可能伴有風險。如果這些風險得不到管理，它們可能會對更大范圍內的金融系統造成損害。就像金融危機所展現的一樣，系統性金融風險可能以我們始料未及的方式迅速擴散”。由于金融科技發(fā)展迅速，亟須提升監(jiān)管科技水平，補齊監(jiān)管短板，凝聚監(jiān)管力量。防范化解金融科技風險是防范化解系統性金融風險的一項重要內容，是金融風險管理的前沿課題。研究如何防范化解金融科技風險具有重要的理論和應用價值。

金融科技的發(fā)展使得用戶身份核實和認證需求快速增長，基于密碼口令等傳統的用戶身份核實和認證模式已經不能很好地滿足目前金融科技發(fā)展的需要。由于生物特征識別技術可以實現便捷、可靠的用戶身份認證，目前已在金融機構的金融科技系統中得到了廣泛的應用，防范金融科技生物特征識別系統風險越來越重要。隨著2021年《中華人民共和國個人信息保護法》[4]的頒布和實施，防范金融科技生物特征識別系統的風險更為重要。對于相關審計機構，為了防范生物特征識別技術應用產生的風險，需要開展金融科技生物特征識別系統風險審計。

綜上所述，研究金融科技生物特征識別系統風險審計問題具有重要的理論和應用價值。目前，一些文獻針對信息系統審計研究了基于大數據技術的應用控制風險審計[5]和業(yè)務連續(xù)性管理風險審計[6]等問題，但直接針對金融科技中生物特征識別系統的風險審計問題尚缺少研究。本文結合金融科技與生物特征識別技術的研究與應用現狀，研究金融科技生物特征識別系統風險審計問題。

二、生物特征識別系統原理及其在金融科技中的應用

（一）生物特征識別系統原理

生物特征識別系統是指根據一個或多個生理特征或者行為特征對個體進行自動識別的系統[7]。其中，生理特征是指個體身體的物理特性，例如人臉、指紋、掌紋、視網膜、虹膜、指靜脈、掌靜脈、DNA等;行為特征包括簽名、語音、步態(tài)等。在原理上，生物特征識別系統一般包括采集功能、處理功能、存儲功能、匹配功能4個主要功能模塊。

1.生物特征識別信息采集功能，用于完成用戶生物特征識別信息的采集。

2.生物特征識別信息處理功能，用于把采集來的用戶生物特征識別信息進行處理，形成數字或標簽形式，便于生物特征識別信息的存儲和匹配。

3.生物特征識別信息存儲功能，用于存儲采集來的用戶生物特征識別信息。

4.生物特征識別信息匹配功能，用于通過比較待驗證用戶的生物特征識別信息與存儲在金融科技生物特征識別系統中的信息是否一致，從而完成用戶身份的驗證。

（二）金融科技生物特征識別系統應用示例

金融科技的發(fā)展使得用戶身份核實和認證需求快速增長，為了彌補傳統身份核實和認證技術的不足，生物特征識別系統在金融科技中得到廣泛應用。金融科技生物特征識別系統就是應用于金融科技中的生物特征識別系統，這些系統采用生物特征識別技術完成金融科技相關業(yè)務的用戶身份核實和認證。金融科技中生物特征識別系統的應用模式可分為本地認證和遠程認證兩種模式，代表性生物特征識別系統及其生物特征識別技術應用如下：

1.自動取款身份識別

自動取款機（Automated Teller Machine，ATM）目前在金融機構得到廣泛應用，它是一種計算機化的高度精密的機電一體化裝置，可以代替銀行柜面人員，幫助用戶實現7×24小時的相關金融交易自助服務。自動取款機一般通過賬戶密碼來識別用戶身份。隨著金融科技的發(fā)展，為了提高自動取款身份識別的安全性，防止賬戶密碼被盜、賬戶密碼被破解等而導致用戶的經濟損失，同時增加用戶的使用體驗，生物特征識別技術開始被應用到自動取款身份識別中。例如，波蘭BPS SA銀行2010年5月開始把指靜脈識別技術應用在自動取款機上。這種自動取款機由德國的德利多富公司（Nixdorf）制造生產，應用了日本日立公司研發(fā)的“手指靜脈”（Finger Vein）識別技術，它能通過掃描用戶手指尖端的毛細血管系統來對用戶生物特征進行識別，用戶不需要銀行卡就可以直接從自動取款機上取得現金。指靜脈技術原應用于國防、軍工等高精尖領域。指靜脈識別技術的原理就是根據人手指中流動的血液可以吸收特定波長的光線，通過使用特定波長的光線對手指進行照射，從而可以得到手指靜脈清晰的圖像，在此基礎上，通過對該手指靜脈圖像進行比對分析，從而可以進行個人身份識別。除了指靜脈識別技術之外，更多的生物特征識別技術也被應用于自動取款身份識別。D0F23CC6-C940-415F-BDD7-509E68B5E11B

2.支付身份識別

支付已經成為當今社會生活的重要組成部分，隨著金融科技的發(fā)展，支付模式也在不斷發(fā)展變化，生物特征識別技術開始被應用到支付身份識別中。例如，2014年1月，美國支付公司Pulse Wallet將掌紋識別技術應用于無卡POS（Point of Sale）終端機支付方案中，用戶可以通過掌紋識別技術實現銀行卡的支付;2014年9月，螞蟻金服將指紋識別技術應用于支付身份識別中，用戶可以通過指紋識別技術實現銀行卡的支付。

3.銀行遠程開戶身份識別

傳統的銀行開戶方式需要到銀行網點辦理，需要排隊等候，耗費時間長，開戶效率低。隨著金融科技的發(fā)展，用戶可以采用遠程自助開戶方式代替?zhèn)鹘y的銀行開戶方式，這種方式被稱為銀行遠程開戶。也就是說，客戶不需要到現場，只需使用手機就能完成銀行的各種開戶業(yè)務，極大提高了開戶效率，同時降低了營業(yè)成本。生物特征識別技術為銀行遠程開戶身份識別提供了技術保障。例如，中國銀行于2016年4月起在網上銀行、手機銀行、中銀易商等電子渠道全面推出個人遠程開戶服務①;近年來，微眾銀行、網商銀行等把人臉識別技術用于遠程開戶用戶身份認證中，用戶可以通過人臉識別技術實現遠程開戶。這使得用戶可以避免去銀行網點辦理業(yè)務，節(jié)省了時間。

三、金融科技生物特征識別系統風險分析

隨著生物特征識別技術在金融科技中的廣泛應用，防范金融科技生物特征識別系統風險越來越重要。簡單地講，金融科技生物特征識別系統風險是指為了彌補傳統身份核實和認證技術的不足，而應用生物特征識別系統來完成金融科技相關業(yè)務的用戶身份核實和認證，進而可能產生相關風險。這些風險主要表現為：

（一）生物特征識別信息的數據管理安全風險

2020年修訂后的《信息安全技術個人信息安全規(guī)范》（GB/T 35273-2020）將包括個人生物識別信息在內的個人敏感信息定義為“一旦泄露、非法提供或濫用可能危害人身和財產安全，極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息”。2019年2月，深圳某人臉識別企業(yè)發(fā)生數據泄露事件，680萬條數據泄露，這些數據包括人臉識別圖像、身份證信息等②。

隨著生物特征識別技術在金融科技中的廣泛應用，如果金融機構在生物特征識別信息采集、保管等環(huán)節(jié)中沒有很好地對風險進行把控，就會給掌握相關信息的不法分子以可乘之機。例如，金融機構的生物特征識別信息數據一般會存儲在服務器或云計算平臺中，如果儲存著大量個人生物特征識別信息的數據庫被攻破，不但會導致用戶身份信息和個人隱私泄露，還會存在把用戶銀行卡中的資金轉走或用于其他犯罪的可能。

（二）生物特征識別信息自身的安全風險

雖然生物特征信息具有唯一性的天然安全優(yōu)勢，但是特征信息數字化之后，可能會被復制、被再造利用，存在被破解的風險。例如，蘋果公司等應用的指紋識別技術曾暴露出存在重大漏洞，黑客可以采用木膠做成的假指紋輕松地解鎖iPhone 5s的指紋鎖;2016年，美國密歇根州立大學（Michigan State University，MSU）利用特殊的墨水和紙張2D打印出假指紋，成功騙過了三星Galaxy S6和華為榮耀7的指紋識別系統。在此之后，又升級了這項實驗，通過3D打印，制作出帶有指紋的手模型，再次成功騙過了指紋掃描儀;2019年，在浙江烏鎮(zhèn)舉辦的世界互聯網大會上，一名工作人員喬裝“黑客”，通過采用一張用戶個人照片制作的3D臉模，就可以很容易地通過某人臉識別系統的檢測;2020年8月舉行的DEFCON（世界上最知名的“黑客大會”）虛擬安全會議上，君勒鉑（DreamLab）技術公司的安全研究員介紹了如何僅用一臺基于UV樹脂的SLA 3D打印機和價值10美元的材料就能繞過指紋認證。

隨著生物特征識別技術在金融科技中的廣泛應用，金融機構在使用生物特征識別信息進行用戶身份驗證時，如果不能采取有效的控制措施來防范生物特征識別信息自身的安全風險，生物特征識別系統的應用將會對金融機構的金融科技系統帶來潛在的安全風險。

四、金融科技生物特征識別系統風險審計

簡單地講，金融科技生物特征識別系統風險審計是指為了防范化解金融科技生物特征識別系統風險而開展的審計專項工作。其審計的依據、審計的基本步驟、審計的內容、審計的方法分析如下。

（一）審計的依據

目前，開展金融科技系統生物特征識別系統風險審計已經有了一些法律法規(guī)依據，如《中華人民共和國個人信息保護法》《中華人民共和國數據安全法》、國家標準《信息安全技術 生物特征識別信息保護基本要求》（GB/T40660—2021）。例如，《中華人民共和國個人信息保護法》第六十條規(guī)定“國家網信部門負責統籌協調個人信息保護工作和相關監(jiān)督管理工作。國務院有關部門依照本法和有關法律、行政法規(guī)的規(guī)定，在各自職責范圍內負責個人信息保護和監(jiān)督管理工作?？h級以上地方人民政府有關部門的個人信息保護和監(jiān)督管理職責，按照國家有關規(guī)定確定?！币虼耍瑢徲嫏C關可以依照本法和有關法律、行政法規(guī)的規(guī)定，在職責范圍內開展金融科技生物特征識別系統風險審計，負責審計金融機構生物特征識別信息保護和監(jiān)督管理工作。同時，金融機構內審部門和風險管理部門也可以依據相關法律法規(guī)和內部規(guī)定，對其金融科技系統中的生物特征識別技術活動定期開展相關內部審計工作，或委托相關會計師事務所對其金融科技系統中的生物特征識別技術活動進行合規(guī)審計。

（二）審計的基本步驟

審計人員在開展金融科技系統生物特征識別系統風險審計時，可以依據上述相關法律和規(guī)定，檢查被審計金融機構生物特征識別系統的應用是否符合國家、行業(yè)、單位內部等的相關法律和規(guī)定。

根據審計的基本流程以及被審計金融科技系統生物特征識別系統應用的現狀與特點，金融科技系統生物特征識別系統風險審計的基本步驟如圖1所示。D0F23CC6-C940-415F-BDD7-509E68B5E11B

主要步驟分析如下：

1.生物特征識別系統應用流程分析。根據被審計金融機構不同的金融科技系統，分析其生物特征識別系統應用情況及其應用流程。

2.生物特征識別系統風險識別。根據被審計金融機構不同的金融科技系統應用情況及應用流程，識別出其生物特征識別系統應用中可能存在的風險。

3.生物特征識別系統風險測試。對識別出的金融科技生物特征識別系統中可能存在相關風險進行測試，從而最終發(fā)現相關風險。

4.生物特征識別系統風險審計報告撰寫。針對測試出的生物特征識別系統相關風險，撰寫生物特征識別系統風險審計報告。

（三）審計的內容

根據相關法律和規(guī)定，如《中華人民共和國個人信息保護法》、國家標準《信息安全技術 生物特征識別信息保護基本要求》（GB/T 40660-2021）等，結合金融科技生物特征識別系統的處理流程及內容（包括生物特征識別信息的采集、存儲、處理與使用、刪除等），金融科技生物特征識別系統相關風險審計的主要內容如下：

1.生物特征識別信息采集風險審計

對于金融機構金融科技中應用的生物特征識別信息采集風險審計，可以從以下五個方面出發(fā)：

（1）檢查金融機構的相關金融科技系統是否要求用戶在使用時必須使用其生物特征識別系統（必須用戶同意采集其生物特征識別信息），金融機構是否存在以用戶不同意為由拒絕用戶使用其相關金融科技系統。例如，對于安全級別不高的場所，金融機構應提供其他選項，不應該強制用戶使用人臉識別技術等生物特征識別方式來登錄使用其相關金融科技系統。

（2）檢查金融機構是否依法依規(guī)采集用戶的生物特征識別信息。例如，金融機構在采集用戶生物特征識別信息之前，是否已取得用戶同意的授權協議;授權協議重要事項發(fā)生變更時是否重新取得用戶同意;用戶是否有權撤回已同意的授權協議，金融機構是否給用戶提供便捷方式以方便用戶撤回已同意的授權協議。

（3）檢查金融機構采集用戶生物特征識別信息的用戶授權協議條款是否規(guī)范。例如，是否以明顯的方式、清晰易懂的語言準確、真實、完整地告知用戶關于金融機構用戶生物特征識別信息處理者的姓名（或者名稱）和聯系方式、用戶生物特征識別信息的處理方式、處理目的等關鍵信息。

（4）檢查金融機構在采集用戶生物特征識別信息時是否僅限于實現處理目的的最小范圍，是否遵循“必要、夠用、最小范圍、公開處理規(guī)則、采取安全保護措施”的原則，是否存在過度收集個人信息的情況。

（5）檢查金融機構在采集用戶生物特征識別信息時保存期限的設置是否合理，設置的保存期限是否是實現處理目的所需要的最短時間。

2.生物特征識別信息存儲風險審計

（1）檢查金融機構在存儲采集來的生物特征識別信息的過程中，是否采取適當的保護措施，以確保生物特征識別信息的保密性。

（2）檢查金融機構是否將在中國境內采集和產生的相關用戶生物特征識別信息存儲在中國境內;對于確需向境外提供的生物特征識別信息，檢查金融機構是否依照相關法規(guī)進行了安全評估。

（3）檢查金融機構在備份采集來的生物特征識別信息的過程中，是否采取適當的保護措施，以確保生物特征識別信息的保密性。如果備份數據沒有進行充分的保護，同樣會對生物特征識別信息安全生成風險。

3.生物特征識別信息處理與使用風險審計

（1）檢查金融機構相關金融科技系統在使用采集來的生物特征識別信息時，使用范圍是否取得相關用戶的同意。

（2）檢查金融機構是否合理設置本單位員工對用戶生物特征識別信息處理的范圍和操作權限。

（3）檢查金融機構在向其他單位提供其采集來的生物特征識別信息時，是否取得用戶的單獨同意，是否向相關用戶告知接收方的姓名（或名稱）、聯系方式、生物特征識別信息的種類、處理目的和處理方式等;檢查接收方是否在約定的范圍內處理金融機構提供的用戶生物特征識別信息;檢查接收方變更原先的處理方式、處理目的時，是否依照相關規(guī)定重新取得用戶的同意。

（4）檢查金融機構金融科技系統中生物特征識別技術的應用范圍是否合理，防止金融機構金融科技系統中生物特征識別技術濫用的風險。例如，生物特征識別技術可用于支付等安全要求較高的金融科技業(yè)務，對于賬戶查詢、業(yè)務預約等一般業(yè)務應予限制。

（5）對于金融機構的一些重要金融科技應用，審計人員可以評估該業(yè)務的重要等級和所采用的生物特征識別技術安全級別是否匹配。例如，對于一些重要金融科技系統的支付安全應用方面，檢查金融機構是否采用了安全級別更高的生物特征識別技術及具體標準，是否在采用生物特征識別技術的同時，還采用了其他并用性輔助識別技術，如數字密碼、短信驗證、人工監(jiān)控、安全風控策略等其他安全手段，通過這些多重技術手段的方式填補生物特征識別技術的漏洞。這樣的案例如，對于金額超過1萬元的支付，在指紋識別后，用戶還需要輸入與賬號綁定的手機號進行短信驗證，從而進一步提高其安全性;在使用刷臉支付功能時，需要用戶先開通該功能之后才能使用，用戶不使用時，也可以隨時關閉。通過這些安全風險控制策略，可以進一步確保用戶賬戶的安全。

4.生物特征識別信息刪除風險審計

檢查金融機構對于不再使用的金融科技生物特征識別信息，是否采取安全的處理措施進行刪除處理。需要刪除生物特征識別信息的情況如：（1）用戶（生物特征識別信息的主體）撤回對金融機構相關金融科技系統生物特征識別信息采集的同意權，或者金融機構相關金融科技系統的生物特征識別信息使用目的改變，但是用戶（生物特征識別信息的主體）不同意新的使用目的。（2）金融機構的相關金融科技系統已不再需要使用這些采集來的生物特征識別信息。（3）金融機構的相關金融科技生物特征識別系統已停止提供產品或者服務。（4）金融機構與用戶（生物特征識別信息的主體）約定的使用期限已到期。D0F23CC6-C940-415F-BDD7-509E68B5E11B

5.生物特征識別信息管理風險審計

對于金融機構金融科技中應用的生物特征識別信息管理風險審計，可以從以下六個方面出發(fā)：（1）檢查金融機構是否制定關于生物特征識別信息的內部管理制度和操作程序，是否根據相關要求指定用戶生物特征識別信息保護責任人，負責對生物特征識別信息處理活動以及對生物特征識別信息所采取的保護措施等進行監(jiān)督。（2）檢查金融機構是否定期對其相關人員進行生物特征識別信息管理安全教育和培訓。（3）檢查金融機構是否對用戶生物特征識別信息實行分類、分級管理，是否采取了相應的加密保護等安全技術措施。（4）檢查金融機構是否制定關于生物特征識別信息的安全事件應急預案并定期進行演練。（5）檢查金融機構是否依法依規(guī)遵循生物特征識別技術的倫理邊界，是否存在非法采集、修改或售賣用戶個人生物特征識別信息的行為。（6）檢查金融機構是否定期委托專業(yè)機構對其金融科技系統中的生物特征識別技術活動進行合規(guī)審計。

（四）審計的方法

根據常用的審計方法以及金融科技生物特征識別系統的特點，審計人員在開展金融機構金融科技生物特征識別系統風險審計時，可以采用以下審計方法：（1）詢問金融機構有關當事人，調查與其金融科技系統生物特征識別系統應用活動有關的情況。（2）采集常用審計技術和大數據審計技術分析用戶與金融科技系統生物特征識別系統應用活動有關的合同、授權協議、記錄、日志以及其他有關資料，包括電子數據資料。（3）開展現場檢查，對涉嫌違規(guī)違法的金融科技系統生物特征識別應用活動進行現場調查。（4）檢查與用戶個人生物特征識別信息處理活動有關的系統和設備，查找用于違法進行用戶個人生物特征識別信息處理活動的系統和設備。

五、金融科技生物特征識別系統風險審計案例：某商業(yè)銀行手機銀行支付系統風險審計

以某商業(yè)銀行手機銀行支付系統為例，現對其進行金融科技生物特征識別系統風險審計。審計人員采用前文分析的審計內容和審計方法開展審計，主要審計結果如下：

1.通過測試該商業(yè)銀行手機銀行支付系統的使用流程，最終發(fā)現：該商業(yè)銀行手機銀行的支付系統要求用戶必須同意采用刷臉支付的用戶授權協議，才可以進行下一步操作，否則會自動退出手機銀行的支付系統，違反了《中華人民共和國個人信息保護法》第十六條的規(guī)定“個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由，拒絕提供產品或者服務;處理個人信息屬于提供產品或者服務所必需的除外”。

2.通過采集與分析該商業(yè)銀行手機銀行支付系統的用戶授權協議，最終發(fā)現：（1）該商業(yè)銀行手機銀行的支付系統沒有向用戶告知生物特征識別信息處理者的名稱或者姓名和聯系方式;（2）該商業(yè)銀行手機銀行的支付系統沒有向用戶告知采集來的生物特征識別信息的保存期限。以上行為違反了《中華人民共和國個人信息保護法》第十七條第一款和第二款的規(guī)定“個人信息處理者在處理個人信息前，應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知下列事項：（一）個人信息處理者的名稱或者姓名和聯系方式。（二）個人信息的處理目的、處理方式，處理的個人信息種類、保存期限?！?/p>

3.通過訪談該商業(yè)銀行相關人員，并采集與分析相關材料，最終發(fā)現：該商業(yè)銀行沒有定期委托專業(yè)機構對其手機銀行支付系統生物特征識別信息處理活動進行合規(guī)審計，違反了《中華人民共和國個人信息保護法》第五十四條規(guī)定“個人信息處理者應當定期對其處理個人信息遵守法律、行政法規(guī)的情況進行合規(guī)審計?！?/p>

六、結論

金融科技在金融行業(yè)得到廣泛應用，如何防范化解金融科技風險具有重要的理論和應用價值。金融科技的發(fā)展使得生物特征識別技術在金融科技中得到了廣泛的應用，這同時也帶來了新風險。如何審計生物特征識別應用產生的這類風險成為一個新的研究問題。本文根據這一需要，研究了面向金融科技生物特征識別系統的風險審計相關理論與方法。今后，隨著金融科技生物特征識別系統風險審計業(yè)務的廣泛需要，審計人員可以在審計過程中運用大數據審計技術和智能審計技術，進一步提高審計效率，為金融行業(yè)的健康發(fā)展保駕護航。

【參考文獻】

[1] 陳偉.金融科技風險審計：現狀及發(fā)展[J].中國注冊會計師，2020（9）：72-74.

[2] 中國人民銀行.金融科技發(fā)展規(guī)劃（2022—2025年）[R].2021.

[3] National Economic Council.A framework for FinTech [R].2017.

[4] 全國人大常委會.中華人民共和國個人信息保護法[EB/OL].http：//flk.npc.gov.cn，2021-08-20.

[5] 陳偉，詹明惠.基于大數據可視化技術的信息系統AC審計[J].會計之友，2021（1）：120-125.

[6] 陳偉.基于大數據技術的BCM審計方法研究[J].會計之友，2019（11）：113-116.

[7] 國家市場監(jiān)督管理總局，國家標準化管理委員會.信息安全技術 生物特征識別信息保護基本要求（GB/T40660-2021）[M].北京：中國標準出版社，2021.D0F23CC6-C940-415F-BDD7-509E68B5E11B