数据安全法第二十七条规定是什么
《中华人民***和国数据安全法》第二十七条规定,开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。解读本条明确了数据安全保护义务的基本要求。对于建立全流程数据安全管理制度,结合第三条对于“数据处理活动”的定义,系列数据安全管理制度应覆盖数据收集、存储、加工、使用、提供、交易、公开等流程。对于数据安全教育培训,从培训时间点看,宜进行新员工入职培训时,将数据保护作为培训内容之一,在入职阶段就强化数据保护,后续每年定期或不定期进行数据安全培训;从培训内容看,数据保护的相关法律法规规定、内部制度、操作流程等,特别是最新出台的规定和内部制度流程等的重要修订,应该纳入培训的内容;从培训对象看,这里的员工不应限于基层员工,而应是包含高层员工在内的全体员工,领导层高度重视、基层员工严格践行,方能更好地开展数据保护工作。对于采取相应的技术措施和其他必要措施,这里使用的是“相应”和“必要”,而非统一提出某些技术措施和其他措施要求,有助于企事业单位根据数据重要性、数据安全事件发生后的危害程度等采取相对应的措施。另外,使用互联网开展数据处理活动的企业,除了必须要开展等级保护工作外,还应当开展额外的数据保护工作,以尽到数据安全保护的义务。对于设立数据安全负责人和管理机构,并非对所有企事业单位均提出该项要求,而是对重要数据的处理者提出了要求。后续可能会有配套文件对于数据安全负责人的资质、职责等提出要求。