《传媒行业数据分类分级指南（征求意见稿）》编制说明

1《传媒行业数据分类分级指南》地方标准编制说明1、产业发展现状随着云计算、人工智能、5G技术等新一代信息技术的不断涌现，全球信息化进入全面渗透，各行各业跨界融合力度变大，转型升级不断加速，全球进入数字经济时代，各类数据也随之暴增，与数据爆发式增长随之而来的是日趋严重的数据安全问题。当前，信息技术在传媒行业深度应用，数字媒体已经在行业得到多种形式的发展，成为支持和推进新闻宣传的重要力量，媒体数据既是新闻生产的核心要素，也是重要的媒体资产。近年来，我国相继出台《数据安全法》、《个人信息保护法》等法律法规，数据安全管理不断加强，数据安全保护要求更加严格，而数据分类分级是保障数据安全的前提，也是数据安全治理过程中极为重要的一环。依据相关政策法规要求，在行业层面，行业主管部门需制定特定行业领域的数据分类分级标准规范或指南，指导在法律框架下开展相关工作。目前针对传媒行业的数据分类分级缺少相关的指导文件，传媒行业数据在安全防护过程中，存在数据分类分级不规范、过于简单或复杂、安全防护措施不到位等问题，因此结合传媒行业数据实际情况，制定传媒行业数据分类分级规范，将能够有效指导行业单位按照统一标准、统一粒度和统一要求开展数据分类分级工作，对整个传媒行业开展数据安全治理工作具有重要意义。2020年8月25日，国家广播电视总局组织编写了《广播电视和网络视听大数据标准化白皮书（2020版）》，加强广播电视和网络视听领域大数据标准化工作的统筹规划，指导建立覆盖基础、数据、技术、治理、资产、应用、安全、评价等全数据链的大数据标准体系。2020年10月14日，广电总局科技司组织广播电视规划院联合爱奇艺、腾讯等十余家内容制播单位编制完成了行业标准《互联网互动视频数据格式规范》，并于第八届中国网络视听大会上正式发布。该标准规范了互联网互动视频数据格式，在爱奇艺、腾讯、优酷、芒果等播出平台进行了试验验证，对于促进互动视频制作和播放技术标准化具有重要意义。2、必要性产业数字化已成为全球数字经济发展的主脉络，数据在数字经济时代的社会治理和数字化商业转型中扮演着日益重要的角色。在《数据安全法》、《个人信息保护法》、《网络安全审查办法》等政策法规文件中，从国家层面明确提出建立数据分类分级保护。做好数据分类分级，理清拥有的数据资源价值，是实施数据安全防护的首要工作。“数据驱动业务”已成为共识。传媒行业数字化发展进程中，存在互联网产品种类多且数据分散，安全管理措施欠缺，数据特点不鲜明等现象，其中行业数据既有新闻订阅或各类个人信息数据，也有文字、图片、音视频等新闻资讯类数据，还有互联网流信号、基带IP信号等直播信号类数据。但传媒行业因其公信力属性，对数据的真实性要求较高，如发生数据篡改、数据盗用等安全事件将对国家安全、社会稳定影响较大。将所有的数据分类，并统一纳管到公众数据、业务数据等分类中，并根据安全级别进行管控。在数据分类分级过程中，低估或高估数据集的价值，都将导致数据安全防护不到位，带来不必要的数据安全隐患。《传媒行业数据分类分级规范》的制定，在满足法律法规要求的同时，规范数据分类分级原则和方法，将有效支撑传媒行业的业务发展需求，综合提升行业数据安全防护能力。数据分类分级是将信息安全性融入到数据价值中并确保有效保护的手段，将为媒体数字化奠定坚实基础，保障官方媒体在数字媒体时代的权威与公信力。3、可行性新华报业传媒集团设有专职安全机构，专门成立网络安全技术管理团队，对集团及下属单位的信息化建设过程中的数据安全管理进行统筹协调及监督检查，近年来，新华报业传媒集团积极参与信息化、标准化等工作的研究，其中新华日报社全媒体指挥中心工程项目获科技部批准设立的“王选新闻科学技术奖”一等奖。该项目是新闻信息处理类项目，通过媒体融合生产、数据中台形成移动优先、标准统一的数据和能力交换中台。在大数据信息采集与挖掘基础上，采用NLP自然语言处理、知识图谱、文本挖掘等技术，利用新闻热点、新闻线索、版权追踪、舆情分析、竞媒分析、传播效果分析、运营分析、数据可视化等模块，提供全国、江苏以及两会、专题、活动等大数据分析报告。由于传媒行业涉及的数据类型复杂、处理场景多样，因此吸收了江苏省电子信息产品质量监督检验研究院（江苏省信息安全测评中心）、江苏省广播电视总台、南京广播电视集团(南京广播电视台)、江苏新华云媒科技股份有限公司、江苏中江网传媒股份有限公司、江苏扬子晚报有限公司、江苏新华日报大数据有限公司、昆山市融媒体中心(昆山传媒集团)、北京安华金和科技有限公司等单位进入编制组。编制组成员具有丰富的国家、行业和地方标准编制修订经验以及数据分类分级工作经验。因此编制单位具有良好的理论和实操基础以支撑本标准的实施。4、预期经济社会效益数据分类分级管理不仅是加强数据交换共享、提升数据资源价值的前提条件，也是数据安全保护的必要条件。数据分类分级不仅是数据安全治理的第一步，也是当前数据安全治理的痛点和难点。通过对数据进行分类分级管理，厘清数据保护重点，对不同级别的数据实施不同的保护，保障了重要敏感数据的安全，有助于防控数据风险、保障数据交易、释放数据价值，具有明显的社会效益。二、任务来源2023年7月10日，新华报业传媒集团申请地方标准立项工作，根据江苏省市场监督管理局下达的2023年度拟立项地方标准项目的公示，批准《传媒行业数据分类分级指南》地方标准的制三、编制过程1、成立编制组2023年2月至4月，牵头单位根据报名情况及报名单位所擅长的领域，对标准研制内容进行分工，由参与单位分头编制各相关章节。确定标准主要包括数据分类分级流程、数据分类维度、数据分级维度、数据分类类型等内容。牵头单位完成立项建议书、标准草案、编制说明等材料的起草，其中标准草案先后形成多版讨论稿，在编制组内部进行多次讨论修改。同时，为确保标准内容更加完善，覆盖范围更加全面，在原有起草标准的基础上吸纳了江苏省广播电视总台、昆山市融媒体中心(昆山传媒集团)一同参与标准编制工作，并经行业推荐主管单位中共江苏省委网络安全和信息化办公室同意。2、起草、征求意见与修订2024年4月9日，新华报业传媒集团组织编制标准编制工作组召开标准修订会。由江苏省电子信息产品质量监督检验研究院（江苏省信息安全测评中心）介绍草案编制情况、标准草案修改意见征集情况，并现场进行编制认领工作。2024年4月至5月，继续开展草案修订工作，牵头单位与参与单位根据分工对相关章节进行深入完善。2024年5月7日，标准编制组对标准中的数据分类部分进行调整，在原有基于业务类型进行分类的基础上新增了第二种分类维度，即基于数据生命周期的分类模式，该种分类方式下的分类维度结合了数据传媒行业数据类型进行设置，为传媒行业相关单位进行数据分类提供了新思路。3、初审与修订2024年6月1日，标准编制组将标准草案发送给传媒行业及关数据处理者、监管部门、第三方评估机构等各单位的专家，就草案进行讨论，征求意见和建议。同时，通过微信公众号发布标准，广泛征求建议。四、主要内容及技术指标确立编制单位结合传媒行业数据分类分级工作进行了大量细致调研，通过实地调研、专家研讨和文件查阅等方式，确定了标准的主要内容和相关的技术指标。1、主要内容规范分为八个部分：范围、规范性引用文件、术语和定义、数据分类分级前提条件、目标和原则、分类分级方法、分类分级流程和附录。（1）第一章规定了标准的适用范围。本文件给出了传媒行业数据分类分级的目标、原则、方法及实施流程。本文件适用于传媒行业开展数据分类分级工作，并为第三方评估机构等单位开展数据安全检査与评估工作提供参考。行业其他相关机构可参照本文件进行数据分类分级（2）第二章列出了规范性引用文件，主要有如下标准：GB/T25069—2022信息安全技术术语GB/T35273—2020信息安全技术个人信息安全规范GB/T43697—2024数据安全技术数据分类分级规则（3）第三章对本标准中出现的重要术语给出了准确的定义。根据GB/T1.1-2020对“术语和定义”起草和表述的要求，给出了数据、保密性、完整性、可用性、安全分级、传媒行业数据、传媒行业主数据、传媒数据活动、媒体元数据、生产业务数据、发布运营数据、个人信息等12项术语的定义。（4）第四章提出了数据分类分级共工作的前提条件，包括组织保障、管理制度、数据资产清单等。（5）第五章明确了数据分类分级的目标是对数据资产进行全面梳理并确立适当的数据类别及级别，是传媒机构实施有效数据分级管理的必要前提和基础。数据分类分级的原则包括合法合规原则、可执行性原则、就高从严原则、点面结合原则、动态调整原则。（6）第六章6.1数据分类分级模型建立了生命周期、数据分级、业务类型三维的传媒行业数据分类分级模型。生命周期包括收5集采集、编辑制作、发布渠道、流通交易和数据归档五个阶段；传媒行业数据分类可从业务维度划分为基础数据、媒体数据、媒体元数据、生产业务数据、发布运营数据、内部管理数据和系统数据；传媒行业数据可根据数据安全属性被破坏后影响的对象和影响的程度，将数据分级为核心数据、重要数据和一般数据。6.2数据分类对数据分类活动进行介绍，并引出数据分类的两种方式，即业务类型和生命周期。6.2.2业务类型按照业务类型可将传媒行业数据分类为：基础数据、媒体数据、媒体元数据、生产业务数据、发布运营数据、内部管理数据和系统数据。6.2.3生命周期按照典型新闻传播、传媒行为的各个阶段进行分类，可将传媒行业数据分类为：收集采集、编辑制作、发布渠道、流通交易和数据归档。6.2.4分类方法在遵循国家和行业数据分类要求的基础上，可采用面分类法从多个维度进行分类。具体分类步骤包括：确定数据范围、根据数据业务属性和特征对数据进行归类分析形成一级数据子类，并根据实际需要对一级子类数据结合业务属性和特征进行细分，得到二级子类数据。6.2.5数据归类说明在进行数据归类时的注意事项：同一级全部数据子类应包括所有数据、同一数据可归类于同一级的不同数据子类等。6.2.6媒体行业数据分类管理参照《广播电视和网络视听大数据标准化白皮书》等文献，定义媒体行业主数据为具有较高价值、跨业务重复使用并在多个异构系统中同时存在的关键业务实体数据。6.3数据分级6.3.1分级框架按照影响对象和影响程度两个要求，根据数据安全性（保密性、完整性、可用性）被破坏后对国家安全、公共利益、组织合法权益、个人合法权益的危害程度，将数据级别从高到低分为核心数据、重要数据和一般数据。考虑到实际操作过程中，一般数据较多，因此对一般数据进行进一步分级，分级为1至4四个级别。6.3.2分级方法根据6.2.3中的的数据自身要素，结合数据安全性破坏后影响的对象和影响程度，综合判定数据级别。6.3.3分级要素识别从保密性、完整性和可用性的影响进行综合评估，分级要素的识别内容应至少包括：a）因不同数据在安全性（保密性、完整性、可用性）方面有不同侧重，以所侧重的安全性评估结果，作为相应数据分级的主要依据；b）数据的保密性、完整性和可用性要求基本一致的，则重点以保密性评估所确定的分级要素为主要分级依据。6.3.4影响分析对数据分级进行认定时，需考虑影响对象和影响程度，其中，影响对象的确定可考虑以下内容：国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益；影响程度是指传媒行业数据遭到破坏后所产生影响大小。按程度从高到低划分为：特别严重危害、严重危害、一般危害和无危害。同时，在进行影响程度判断时，需考虑以下内容：损害国家形象、破坏媒体行业公信力、误导公众认知、影响决策制定、损害社会舆论环境。6.3.5安全影响评估安全影响评估宜综合考虑数据类型、数据内容、数据规模、数据来源、机构职能和业务特点等因素，对数据安全性（保密性、完整性、可用性）遭受破坏后所造成的影响进行评估。在进行保密性评估时需考虑以下场景：数据未经授权的披露、数据被非授权对象利用进行窃取、篡改、销毁或拒绝服务攻击、数据的非经授权披露或转播违反国家法律法规；在进行完整性评估时需考虑以下场景：数据未经授权修改或损毁对国家安全、公众权益、个人隐私及组织合法权益、对组织或个人、对机构职能、公信力造成的损害。在进行可用性评估时需考虑以下场景价数据及其经组合/融合后形成的各类数据出现访问或使用中断所造成的影响对国家安全、公众权益、个人隐私及组织合法权益、对组织或个人、对机构职能、公信力造成的损害。6.3.6数据分级传媒行业数据级别从高到低宜划分为三个级别，即核心数据、重要数据、一般数据。传媒行业数据级别划分应遵循以下建议：直接影响到国家安全、社会秩序、公共利益与传媒行业稳定的传媒行业数据，其级别不低于重要数据；7数据责任主体高度重视包含个人信息相关的数据，在分级过程中宜从高考虑；传媒行业数据分级宜根据实际产生的影响范围、规模及可控程度等情况及时确定数据级别；未被识别为核心数据、重要数据的其他数据，归类为一般数据。同时，传媒行业一般数据的数据项根据其敏感性从低至高进一步分为1至4共四个层级。6.3.7级别变更在对传媒行业已定级的数据进行级别变更时，需要遵循以下原则：从原始传媒行业数据汇编、复制出来的新数据级别建议不高于原有最高数据级别；从多个数据来源进行加工、处理和分析的新数据建议不低于原有数据级别；以传媒行业数据作为内容生产的核心要素提供信息服务时，根据新数据的关键要素重新判定级别；数据内容因环境发生变化时，宜明确变更依据并及时变更级别；传媒行业数据信息服务对象发生改变时，宜重新判定级别；传媒行业数据级别变更时，宜建立相应的审批机制。（7）第七章明确了一种数据分类分级实施的流程，流程主要包括数据资产梳理、数据分类、数据分级、审核校验和动态更新管理等内容，并提供了数据分类分级流程示意图。其中数据资产梳理环节包括结构化数据资产梳理、非结构化数据资产梳理、资产基本信息和相关方、形成数据资产清单；数据分类环节包括业务类型分类、生命周期分类和其他分类维度；数据分级环节包括明确数据范围、细化业务分类、业务属性分类、确定分级规则；动态更新管理环节包括数据分类分级规则更新、数据分类分级清单更新、数据分类分级表示更新等。（8）附录A提出了一种按业务类型分类的数据分类方法，包括一级子类、二级子类、三级子类和对应的数据示例。其中一级子类包括基础数据、媒体数据、媒体元数据、生产业务数据、发布运营数据、内部管理数据、系统数据。（9）附录B提出了一种按生命周期分类的数据分类方法，包括收录采集阶段、编辑制作、发布渠道、流通交易和数据归档五、与相关法律法规和标准的关系本标准遵守现行法律法规，并和强制性标准相协调一致。本标准制定中未采用国际标准，文中规范性引用的国家标准、行业标准均为传媒行业数据分类分级提供了相关依据。GB/T43697-2024《数据安全技术数据分类分级规则》明确了数据分类分级的基本规则，同8时也指出按照国家数据分类分级保护有关要求，参照本标准制定本行业本领域的数据分类分级标准规范。本标准进行分类分级的总体流程与GB/T43697-2024《数据安全技术数据分类分级规则》相同，更聚焦于传媒行业，结合行业特点提出了更详细的分类思路和分级标准。六、重大分歧意见的处理过程和依据重大意见分歧和处理情况如下：