如何看待网络安全、数据安全与个人信息保护的关系？

网络安全、数据安全和个人信息保护是相辅相成的关系。

数据天然具有流动性、可复制性等特点，导致在使用过程中存在易泄露、篡改和滥用等安全风险， 为个人、企业乃至国家的利益和安全都带来了严峻的挑战。网络安全、数据安全和个人信息保护都 绕不开数据话题，因此这些都是安全领域中要解决的基本问题，也是数字经济可持续发展、企业数 字化转型成功实施和依托数字技术不断提升国家治理能力现代化水平的基本要求。

如前所述，我国围绕网络安全、数据安全及个人信息安全所构建的法律体系已经相对成熟；回 归到三者关系的本质上，既有密切的联系，又有区别。首先，从层次和功能来看，三者都属于可被 视为信息安全的子领域。具体来说，网络安全所保护的是数据所承载系统的运行，数据安全和个人 信息安全都聚焦于数据本身的安全，数据安全宏观性地对数据保护和数据处理者提出制度要求，包 括个人信息和非个人信息，个人信息安全将范围限缩为与个人密切相关的数据信息在更多具体场景 的保护。从法律层面看，《网络安全法》对应网络系统的安全管理，《数据安全法》对应数据的安 全管控，《个人信息保护法》对应个人信息的安全保障；《网络安全法》和《数据安全法》旨在维 护国家安全、社会公共利益和组织权益，前者强调网络安全与网络空间的国家主权，后者侧重于数 据安全以及基于数据安全所体现的国家安全。《个人信息保护法》以个人主体出发，为了维护公民 个人的隐私、人格、人身、财产等权益，规范个人信息处理活动，促进个人信息有序开发利用。

从技术层面来看，三者有共性也有差异性。个人信息往往以结构化数据或非结构化数据形式存 储在各类信息或数据库系统中，也会和其他类型的数据一样历经采集、存储、处理、传输、交换、 销毁等阶段。在数据全生命周期的各个阶段也面临着和一般数据相似的完整性、可用性和保密性等 方面的风险和挑战。因此，保护个人信息和保护一般数据的技术防护手段也高度相近，加密、脱敏、 分类分级、安全评估等体系化的关键数据安全技术都能够有效地支撑个人信息保护业务；而为了实 现个人信息安全和数据安全，网络安全作为其存储系统，必然需要在前述各阶段提升产品、服务的 安全性。不同之处主要体现在数据处理者相较于个人信息处理者需要在数据交易及中介、数据分级 分类、数据安全风险监控与报送等层面达到相应技术要求，网络运营者相较于前两者则更侧重网络 安全等级制度、安全认证和检测、关键信息基础设施运营等层面的达到相应技术要求。

此外，从目标来看，三者具有共同的目标。网络安全、数据安全与个人信息保护都属于信息安全的重要部分，都以保障信息资产的机密性、完整性和可用性为重心，即 CIA（Confidentiality， Integrity，Availability）三大原则。因此，数据安全治理需要三者协同作用。实现高度的信息安全 离不开数据安全策略的实施、网络安全的持续保护和不断完善的个人信息保护制度、技术。在没有 可靠数据安全措施的情况下，信息资产将面临更大风险，从而损害个人信息乃至整个组织的信息安 全水平。

总之，网络安全、数据安全和个人信息保护是相辅相成的关系，三者涉及个人、企业、国家多 个层面。个人是网络安全、数据安全和个人信息保护的最广泛参与者，需要加强对个人信息保护， 保障个人的合法权益，维护人格尊严；企业是网络安全、数据安全和个人信息保护的关键主体，保 障企业数据安全对于产业健康发展具有重要意义，企业层面要保证合法合规地搜集和利用个人数据， 促进产业有序发展；网络安全、数据安全目前是网络空间安全的焦点，是事关国家安全与经济社会 发展的重大问题，在国家层面要保障经济稳定和国家安全，维护国家网络空间安全和数据主权，才 能为个人信息保护提供最坚实的基础。