1.1.1 数据的定义

从基础定义上，数据（Data）是事实或观察的结果，是对客观事物的逻辑归纳，是用于表示客观事物的、未经加工的原始素材。

数据是信息的表现形式和载体，可以是符号、文字、数字、语音、图像、视频等。数据和信息是不可分离的，数据是信息的表达，信息是数据的内涵。数据本身没有意义，数据只有对实体行为产生影响时才成为信息。

从形式上，数据可以是连续的值，如声音、图像，称为模拟数据；也可以是离散的，如符号、文字，称为数字数据。狭义的数字数据是由二进制系统的0和1来表示的数据，而非通过模拟的形式进行表示。

在现代（1960年后）计算机系统中，数据以二进制信息单元0、1的形式表示。如果没有其他说明，本书所指的“数据”一般是指计算机系统可以处理的狭义的数字数据。

显而易见，不是所有的数据都有相同的价值。因此，数据安全主要关注“需要受保护的数据”的安全防护。对一般组织和个人而言，两个相关的概念尤为重要：个人数据和敏感数据。

个人数据，也称个人信息，是与个人身份有关的任何信息。个人数据的范围非常广泛，其含义在不同的国家和地区也略有不同，但个人数据保护的原则类似。值得关注的个人数据的两大类型为个人身份信息（Personally Identifiable Information, PII）和个人隐私信息。美国国家标准与技术研究院（National Institute of Standards and Technology, NIST）在SP 800—122行业标准[2]中将个人身份信息定义为“由代理机构维护的有关个人的任何信息，包括：① 任何可用于区分或追踪个人身份的信息，如姓名、社会安全号码、出生日期和地点、母亲的娘家姓或生物特征记录；② 与个人链接或可链接的任何其他信息，如医疗、教育、财务和就业信息。”值得注意的是，在此定义下，互联网用户的IP地址为“链接的个人数据”。但是在欧盟，互联网用户的IP地址为个人数据。

敏感个人数据是个人数据的子集。在不同的国家和地区对其范畴有不尽相同的定义。一般而言，个人财务数据（如银行卡）、个人健康数据（如基因、病历卡）、个人生物识别特征（如面部特征、指纹）都被认为是敏感个人数据。处理敏感个人数据时，不仅要实施必备的安全防护机制，还需要满足适用的法律法规和监管要求。