目前存在的比较普遍的误区是把系统安全等同于数据安全，也就是说，把防止网络入侵带来的数据被窃取，等同于数据安全的工作。实际上这只是数据安全很小的一部分内容。

今天我们说数据安全的时候，应该包括三方面的内容：防窃取、防滥用和防误用。

防窃取比较容易理解，不过全世界多年来的共识是，来自内部的安全威胁总体上占三分之二左右，要远大于来自外部的威胁。根据电子商务生态安全联盟的统计，在电商生态中这个比例还要更加悬殊。因此，即便是系统安全，也不能仅仅把防止外部攻击导致的数据窃取作为全部工作，防止来自内部的入侵和数据窃取反而更加重要。

防滥用指的是防止数据被不正当使用，例如拥有数据的组织内部员工在无工作场景的情况下访问用户个人敏感数据。现实中，用户的身份证信息、医疗档案、购物记录、财产情况等信息，都会存在各种组织的系统中。当用户需要这些组织提供服务或者帮助的时候，这些组织的相应员工才可以根据用户的授权来访问这些数据。而如果这些组织中的员工未经用户请求私自访问这些数据，则属于一种滥用行为。

从已经破获的并且披露的众多电信诈骗案件中可以看出，大量内部人员滥用职权倒卖用户信息，这些都属于数据滥用的场景。目前大部分组织对这部分工作的意识淡薄、能力不够。在技术上是能够实现这类行为的监控的，配以制度的保障，可以有效遏制这类滥用行为。

有些业务场景更加复杂一些，例如包裹邮寄单上显示的收发件人的详细信息，在整个包裹流转过程中都面临泄露风险（现实中这些信息都是网络黑灰产收购的对象）。但即便这类场景，也有“隐私面单”等相应的技术出现。防滥用也包括一个组织对外进行数据披露、数据共享、数据转移等过程中的安全审核，这些审核工作确保这些行为合法，并且不会导致用户或者组织自身的利益受损。脸书事件最早的问题就是出在这个环节。

防误用指的是防止数据在加工过程中出现过失性泄露。人类正在进入定制化生产的时代，这个时代的基础之一是基于大数据的加工计算。大数据加工计算的过程中如何做到不侵犯用户个人隐私，就是典型的防误用问题。显然这个问题已经成为今天的典型突出问题了。

实际上人们今天谈之色变的“用户画像”、“精准营销”等，早已经在普遍使用了，而且这些都是未来数字经济、智慧城市和治理等工作必不可少的技术。只是到具体的实现层面，有没有采用合适的制度和技术手段确保这些过程中不会泄露特定人的隐私，是今天每个组织需要回答的数据安全问题。在技术上这也不是无法做到的，有很多比较成熟的方法可以做到让用户感觉有个贴身秘书在给自己服务，但是实际上没有人能够在数据加工的全过程中窥探到特定用户的隐私。可是在意识上，恐怕现在绝大多数组织在这方面还需要提高。