从2012年开始国家发布关于信息安全保护的决定，到2017年，2021年《网络安全法》、《数据安全法》、《个人信息保护法》的相继落地实施，国家经过不断的研讨实践，已经形成了数据保护的完整法律体系，并且从2022年开始，通过逐步扩大的监管检查、处罚等手段，推动全社会对数据安全的重视以及基础能力的建设。

无论从国家立法还是监管要求的解读，数据安全国家对“数据”这一新型的生产要素进行全面的梳理及保护，长远来看，数据将会成为可量化的资产，跟我们目前熟悉的资本、有形资产一样。而在当下的信息化时代，绝大多数的数据是以电子化形式存在的，客观的增加了其管理的复杂性和难度，所以国家数据安全的建设，会是一个长期的，循序渐进的过程。

数据安全、网络安全、个人信息保护之间有什么关系？

数据安全是最终目的，网络安全强调的是边界安全，也就是我们数据存储、使用、传输的环境安全。我们可以把网络安全类比为保险箱，数据是保险箱内的贵重物品。保险箱的作用，是防止窃贼（外部攻击者）轻易的接触到我们的财产。所以我们可以看到网络安全时代，对企业的要求是要具备防火墙，要进行网络安全等级保护测评等，对“保险箱”的安全性，结构强度进行评级，保障环境安全。

而数据的安全，才是最终的目的。所有外部环境的安全，保险箱的钢板厚度，密码复杂性等，目的都是要保护里面的财产安全。而从全球各大数据泄露事故的原因分析来看，往往严重的数据泄露更多的是产生于内部，因为内部管理不善或者人员安全意识不足，导致了恶意员工轻易获取敏感数据，内外勾结，贩卖数据谋取非法利益。

所以，不管是欧盟的GDPR，美国的CCPA还是我国的《数据安全法》，均强调企业对内的管理，也就是对内部人员的管控。

综上我们可以更好的理解我国对数据安全的定义：

通过建立完善的内部管控机制及必要的技术防护措施，保障数据全生命周期的安全，使得数据安全高效流动发挥价值，防止发生数据泄露或数据滥用等事件造成对公民、企业、社会乃至国家利益的损害。

个人信息保护，可以理解为数据安全的一个子集。个人信息，本质上是数据的一种，更进一步，个人信息很可能是敏感数据，与公民的健康、生命财产息息相关，国家有义务对公民财产进行保护。通过《个人信息保护法》，国家针对“个人信息”这一特殊的，明确的敏感信息，提出了针对性的保护要求，从数据采集的合理性及合法性，到如何正确使用、储存、销毁等作出了一系列明确要求。比对个人信息相关违法行为，提出了单独的处罚的措施。

数据安全防护能力体系

理解了数据安全定义，就不难理解以下的数据安全防护能力体系。

企业数据安全防护体系，由管理能力以及技术能力两部分组成，这两部分能力同时也构成了当前监管要求下的数据安全合规边界：

管理能力体现了企业在安全方面的组织能力，制度、流程及规范等完善的程度，是否有落地执行的方法及措施保障数据全生命周期的安全，技术能力用于保障整体运营的安全，是管理落地的有力支撑。