數據主權安全能力成熟度評估應用研究

文禹衡　戴文怡

摘? ?要：基于DSSCMM提出數據主權安全能力成熟度的評估方法和過程，評估后針對我國數據主權安全能力成熟度薄弱環節提出改進建議。構建并運用邊際取樣法確定有效樣本，運用專家調查法確定關鍵過程域的能力維度權重，構建并運用樣本賦分法計算能力維度分，進而確定關鍵過程域分和數據主權安全能力分。數據本地存儲、數據跨境流動、數據域外管轄的能力成熟度都達到充分級，但數據域外管轄的能力成熟度實際上靠近必要級，我國數據主權安全能力成熟度達到充分級。進一步提升我國數據主權安全能力成熟度，宜從數據域外管轄的“文化教育”和數據本地存儲、數據跨境流動的“技術工具”展開，尤其要重視在域外司法活動之中及時運用《數據安全法》的長臂管轄，以及引導和推廣在國內網絡生態系統中應用自主技術產品。

關鍵詞：DSSCMM;數據主權安全;能力成熟度;邊際取樣法;樣本賦分法

中圖分類號：G203? ?文獻標識碼：A? ?DOI：10.11968/tsyqb.1003-6938.2021055

Research on the Maturity Evaluation of Data Sovereignty Security Capability in China Based on DSSCMM

——Discussion on the Evaluation Process and Method of DSSCMM

Abstract Based on DSSCMM， this paper puts forward the method and process of evaluating the maturity of data sovereignty security capability ， and puts forward some suggestions to improve the weakness of our country's data sovereignty security capability.Construct and use marginal sampling method to determine effective samples， apply expert investigation method to determine the weight of capability dimension， and use sample scoring method to calculate the scores of capability dimensions， then determine the key process area score and data sovereignty security capability score.The capacity maturity of data localization， cross-border data flow and data extraterritorial jurisdiction has reached a higher level， but the capacity maturity of data extraterritorial jurisdiction actually tends to be necessary level， and the data sovereignty security capacity maturity of our country has reached a sufficient level.In order to improve the maturity of our country's data sovereignty security capability， it is suggested that we should start from "culture and education" and "technical tools" of data local storage and data cross-border flow.Particular attention shall be paid to the timely application of the long-arm jurisdiction of the Data Security Law in extraterritorial judicial activities， and guide and promote the application of independent technology products in the domestic network ecosystem.

Key words DSSCMM; data sovereignty security; capability maturity; marginal sampling method; sample scoring method

1? ?引言

步入數字化時代、智能化社會以后，網絡空間成為大國博弈的主要戰場。網絡空間的安全關系到各國的主權利益，由此網絡主權概念應運而生，被認為是領土、領海、領空等傳統主權之后的新型主權，但它們的共同點仍然在于基于空間意象而形成的主權觀念。數據被中央文件定位為生產要素之后，其已經從原來的技術生產要素中獨立出來，其重要性不言而喻。數據是網絡空間基本的傳輸載體，其也被上升到主權的高度——數據主權觀念逐漸形成。與傳統主權、網絡主權不同，數據主權不是一個空間架構，而是一個實體概念。在我國，既有研究成果大都認為2015年《促進大數據發展行動綱要》是官方首次提出“數據主權”，實際上表述“數據主權”的官方文件可以追溯到《深圳市服務外包產業發展規劃（2012—2015）》。除此之外，2018年《福州市推進大數據發展三年行動計劃（2018-2020年）》和《2018年測繪地理信息工作要點》都提到了數據主權，尤其是2021年的《最高人民法院關于人民法院為北京市國家服務業擴大開放綜合示范區、中國（北京）自由貿易試驗區建設提供司法服務和保障的意見》進一步提出“妥善處理國家安全、國家數據主權、企業數據產權和個人信息保護的關系，以及意思自治與行政監管的關系”。

可見，數據主權在我國不再只是學術界熱議的主題，已經深入到探討其數據主權管轄等深層次話題[1]，并逐漸在官方文件中有所體現。盡管還沒有向“網絡主權”那般直接進入法律規定，但是也通過“數據存儲在境內”等相關表述間接強化了數據主權。那么，我國維護數據主權安全能力已經達到什么程度了呢？《數據主權安全能力的成熟度模型構建研究》構建了數據主權安全能力成熟度模型（DSSCMM）已經被構建，但并未給出具體評估流程和方法，且目前尚無評估我國數據主權安全能力成熟度的研究成果。鑒于此，本研究選擇DSSCMM作為評估模型，構建具體的評估流程和方法，進而評估我國數據主權安全能力成熟度并客觀呈現成熟度等級，對于我國加強數據主權安全體系建設具有重要意義。

2? ?研究綜述

當前，與數據主權安全評估的相關研究成果幾乎沒有，選擇的DSSCMM模型作為評估模型未給出該模型的具體評估方法，故研究綜述主要集中在數據能力成熟度的評估方法。葉蘭[2]比較國內外7個數據管理能力成熟度模型后的發現——各模型普遍存在的共同問題之一是缺乏包括評估方法、評估步驟在內的評估過程的指導與應用指南。盡管國內數據能力成熟度模型的相關研究涉及到圖書館[2-4]和公共安全[5]等領域的數據管理方面，圖書館[6-7]和檔案[8]等領域的數據治理方面，以及數據安全[9-10]、數據質量[11]、數字保存[12]等方面，但是構建模型后給出具體評估流程和方法并開展評估的研究成果很少。如秦中云[6]構建高校圖書館數據治理成熟度評估模型，建議采用聘請專家調研并進行打分;楊錦坤等[13]評估海洋數據管理能力成熟度的評估方法體現在“擬定分值范圍為1-10分，分數越高，等級越高”，但并未論證為何如此賦分。此外，從我國目前僅有的三類數據能力成熟度模型來看，《信息安全技術 數據中心服務能力成熟度模型》采取對能力項成熟度指標值進行加權平均的方法計算出數據中心服務能力成熟度指標值，對照給定的數據中心服務能力成熟度分級規則確定數據中心服務能力成熟度級別[14];《數據管理能力成熟度評估模型》[15]未給出評級方法;《信息安全技術 數據安全能力成熟度模型》未對評級方法做具體限定，但給出了綜合判定參考方法[16]。

將檢索范圍擴大到“能力成熟度”：部分研究成果僅構建模型，如王大壯[17]構建數字圖書館移動服務能力成熟度評價模型;張旭等[18]構建高校圖書館智庫服務能力成熟度模型;高凡等[19]介紹基于成熟度模型設計數字資源長期保存能力評價框架的應用流程也沒有給出評級方法;部分研究成果構建模型后給出了評級方法，周茜[20]構建移動數字圖書館服務能力成熟度模型并建議運用“定性+定量”評價方法，周瑩等[21]構建數字圖書館知識服務能力成熟度模型并提出根據各評價指標的權重及最高分值來確定衡量標準，肖秋會和陳夢[12]構建數字保存能力成熟度模型及評價體系并提出具體評價時采取復合指標評分的方法確定等級水平，史敏等[22]構建面向技術創新的企業信息情報能力成熟度診斷模型并給出了評價方法。

從既有相關研究成果來看，相比于構建數據能力成熟度相關模型很少有給出評估方法，構建其他能力成熟度模型并給出評估方法的成果要多一些，但給出評估方法的研究成果總體上仍然很少。然而，從給出的評估方法來看，沒有一套普遍適用的方法，共同點在于評估方法都與其模型密切關聯。這可能也是已發布的模型國家標準、既有的研究成果不限定評估方法，而只是給出參考評估方法的原因。由此，啟示本研究在開展評估時不要企圖去套用其他模型的評估流程和方法，而是根據DSSCMM構建一套契合本模型內在機理的評估流程和方法。

3? ?研究設計

3.1? ? 選取與處理評估樣本

由于評估對象是數據主權，有些維度的樣本會涉及多個層面、多種形式，如DSSCMM的成熟度第2級“文化教育”能力維度的等級總體描述是“官方通過文件直接或間接地表述數據主權，或在特定場合直接或間接地聲明數據主權”，這里的“官方文件”形式涉及法律法規、政策文件、新聞報道等，而“法律法規”又分為國家層面和地方層面等、“政策文件”也分為中央政策和地方政策等、“新聞報告”又有官方報道和民間傳媒之分，再往下還可以細分。那么，如何確定樣本呢？

盡管每一類型樣本的數量標準并不能簡單地依靠數量加以判斷，因為涉及到效力問題，單純依靠數量無法衡量其效力，而是需要評估人員根據具體內容加以確定。如關于“數據本地存儲”，只要在法律中加以明確，哪怕是一個條文也具有很高的效力。但是，在評估中為減少主觀性，還是應當依靠數量來衡量，其邏輯在于，相對于某事項作出一個規定，多個規定意味著其被重視的程度越高、管控意圖越強。那么，樣本數量以多少合適呢？為了現實有效評估，提出基于邊際效應確定有效樣本的方法（簡稱邊際取樣法），即在評估類研究中，具體實施某指標的評估時，針對待評指標選取樣本，遵循邊際效應原理確定最佳樣本量，而不是按照整個研究隨機采樣或采全樣本，每一個符合要求的樣本計為“1樣本量”，達到最佳樣本量即可停止。邊際取樣法在評估類研究中比較適用，因為評估類研究僅需要確定是否達到了某種條件的程度。按照邊際取樣法，本研究計滿3樣本量就不再檢索樣本。如此，不同的評估人員，當其認真履行評估工作，即便找到的具體樣本不一樣，也會給出同樣的分值，盡可能減少因人而異的誤差。該邊際取樣法實際上是解決有效樣本量的確定問題，需要從以下幾個方面加以理解。

（1）為什么達到一定的樣本量就停止檢索呢？理由在于，對于樣本的充分性考量類似“邊際效應”——在其他投入（變量）不變的情況下，持續增加某一投入（變量），那么基于該投入（變量）所新增的產出或收益反而會逐漸減少。在社會治理領域，出臺每一個治理措施（政策法規等）相當于投入，其所實現的治理效果相當于產出，假如每增加一個措施，表示對某事項重視程度越高、管控力度逐漸增強，那么當重視程度、管控力度達到臨界值時，后續的重視程度、管控力度對于預期實現的效果已經可以忽略。當最后一個措施的出臺，達到了理論上的臨界值，此時稱之為“措施飽和”狀態。

（2）為什么是3樣本量，而不是2個或5個呢？因為評估的是國家的數據主權安全能力，在同一效力位階的樣本不會很多，如涉及數據跨境流動事項在《網絡安全法》已經作出規定（計1樣本量），由于法律的位階很高，此時意味著對數據跨境流動重視程度很高，國家可以不再就該事項在其他法律中作出規定，但是并不意味著其他的法律不會作出該事項規定，如《數據安全法》又對數據跨境流動作出規定（累計2樣本量），此時意味著對數據跨境流動的重視程度更高了，依次類推累計滿3樣本量即可以認為達到了前述的措施飽和狀態。一般而言，最高重視程度也就是專門出臺關于數據跨境流動的法律。

（3）如果不是同一位階的樣本，如何選擇有效樣本量呢？樣本按照效力位階選擇，先在最高效力等級的潛在樣本范圍中尋找，能夠找到3個有效樣本就停止檢索，否則就繼續往下一位階的潛在樣本范圍檢索，如此一直到檢索到3個有效樣本為止，或者窮盡所有潛在樣本也無法找到有效樣本為止。樣本位階高低大致可以按照如下思路確定：按照國家高于地方，官方高于非官方，書面形式高于口頭表達，組織決議高于個人觀點，專門性規定高于分散性規定，法律政策高于學術智庫成果。

2021年6月20日-27日，本研究以威科先行、國家標準信息公開服務平臺、中國信息安全測評中心、中國知網和相關官網為數據來源庫，在梳理包括“數據本地存儲”“數據跨境流動”和“數據域外管轄”在內的數據主權相關樣本結果之后，按照上述選樣原則和方法確定有效樣本61個（見表1）。

3.2? ? 確定評估流程與方法

評估數據主權安全能力成熟度等級，需要根據關鍵過程域的能力維度展開，通過對各成熟度等級所需要具備的關鍵實踐逐一展開。運用數據主權安全能力成熟度模型時，評估人員可按以下步驟理解和掌握評估工作要點。以下步驟是按照便于理解的順序呈現，而非實際評估時應遵循的步驟，具體開展評估工作時可靈活展開，如按照第四、六、三、二、五、七、一、八、九步的順序開展。

第一步，逐一評估關鍵過程域。將數據主權安全的關鍵過程域分開評估，分別獲取數據本地存儲、數據跨境流動和數據域外管轄的分值，用于計算數據主權安全能力分，最終評定數據主權安全能力成熟度等級。

第二步，逐一評估能力維度。將每一個關鍵過程域的不同能力維度分開評估，分別依據樣本確定文化教育、技術工具、政策戰略、組織建設和立法司法的成熟度等級，并記錄各能力成熟度分數用于計算關鍵過程域分。

第三步，逐一評估關鍵實踐。每一能力維度的不同成熟度等級有不同的關鍵實踐，見表5-表18的“關鍵實踐”。在開展評估工作時，要注意是多個關鍵實踐，還是單個關鍵實踐。在評估關鍵實踐時，只要存在一個有效樣本支持，則意味著該關鍵實踐已滿足。如果存在多個關鍵實踐，需要逐一評估，有任何一個關鍵實踐未滿足，則意味著不符合該等級的要求，即停止該等級評估。當該等級關鍵實踐達到要求，則意味著該能力維度已經達到該等級，那么可以繼續評估上一個等級。如表5中，滿足第1級的“（1）”和“（2）”兩個關鍵實踐之后，才可繼續評價第2級，以此類推，到無法滿足關鍵實踐時則停止評估。換而言之，默認高等級的關鍵實踐包括低等級的關鍵實踐。

第四步，明確分值設置與計算。整個成熟度能力等級共分為5級，假定初始共賦值10分（稱為“初始能力維度分”）。由于在能力維度的不同成熟度等級中，高等級的關鍵實踐包括低等級的關鍵實踐，那么每個等級可平均賦分，即每一等級2分（簡稱“初始等級分”），那么要達到某等級則要求分值超過該等級之前的各等級分值之和（第1-5級的分值區間見表2）。每個成熟度等級對應的能力維度有不同的關鍵實踐，對于同一等級的同一能力維度而言，每個關鍵實踐的重要程度是一樣的，因此可對每個關鍵實踐賦予相同的分值，即將初始等級分平均分配給每一等級的各關鍵實踐（簡稱“初始關鍵實踐分”）。考慮到樣本的充分度，當達到“措施飽和”狀態后，無論還有多少評價樣本支持，都不再計分，結合前述的邊際取樣法，將各初始關鍵實踐分平均分配給各有效樣本，即將初始關鍵實踐分三等分，沒有樣本支持則停止該等級評估，故不計分。如表5的第1級的“（1）”和“（2）”各1分，其中“（1）”和“（2）”的每一樣本量為1/3分。基于邊際取樣法提出的這種分值設置與計算的方法，可稱為“樣本賦分法”，可以避免權重設置的主觀性。

第五步，確定能力維度成熟度等級。能力維度的成熟度與能力維度實際得分沒有關系，能力維度實際得分是為評估整個過程域等級服務的。能力維度的成熟度等級依據樣本確定，當所在等級對應的每個關鍵實踐均有樣本支持時，則意味著達到該等級。如表8中第4級的“（1）”和“（2）”都只有一個樣本支持，則該“組織建設”能力成熟度達到4級。

第六步，確定關鍵過程域權重和能力維度權重。在不同的關鍵過程域中，相同的能力維度所起的作用存在區別，因此相同的能力維度在不同關鍵過程域中可能占不同的比重。如能力維度“技術工具”在關鍵過程域“數據本地存儲”中非常重要，但其在關鍵過程域“數據域外管轄”中卻幾乎沒有作用。因此，要采用專家調查法確定不同關鍵過程域的能力維度權重。同樣，不同關鍵過程域在數據主權安全中的權重也有所差異。鑒于此，本研究共邀請10位涉及法學、管理學、網絡與信息安全等不同研究領域關注和研究數據相關問題的科研工作者和實務工作者參與打分，獲得不同關鍵過程域中的能力維度權重（見表3），數據主權安全中的關鍵過程域權重（見表4）。

第七步，確定關鍵過程域的能力成熟度等級。將每一樣本量的分數求和，得到所在關鍵實踐的實際總分（簡稱“關鍵實踐分”，計作KPs）;將每一關鍵實踐分求和，得到所在成熟度等級的實際總分（簡稱“等級分”，計作Ls）;將每一等級分求和，得到所在能力維度的實際總分（簡稱“能力維度分”，計作Cs）。注意，在求取能力維度分時，不需要評估的能力維度等級視為獲得總分，如在“數據本地存儲”關鍵過程域中，“技術工具”維度從第2級才開始需要納入評估，故在計算“技術工具”能力維度分時，第1級計作2分。將每一能力維度分與其所在關鍵過程域中相應權重（見表3）的乘積求和，得到所在關鍵過程域的實際總分（簡稱“關鍵過程域分”，計作KPAs），然后按照表2換算得到相應等級。如KPAs為7.43分，落入（6，8]，計為第4等級。

第八步，確定數據主權安全能力成熟度等級。將每個關鍵過程域分與其在數據主權安全能力相應權重（見表4）的乘積求和，得到數據主權安全能力的實際總分（簡稱“數據主權安全能力分”，計作DSSMs），然后按照表2換算得到相應等級。如KPAs為5.273分，落入（4，6]，計為第3等級。

第九步，校正各項評估結果。在實際評估時，應該由評估團隊的多個評估人員背靠背評估，然后將各項實際得分求取平均值，以便盡可能準確評定關鍵過程域成熟度等級、數據主權安全能力成熟度等級。如此，評估人員越多，就越能減少誤差。

評估時應注意的是：如果同一個樣本正文中出現多次相關表述能夠支持待說明事項，仍僅視為一個樣本量，因此在評估時只要在潛在樣本中找到1處即可視為有效樣本，即不需遍歷整個樣本正文找出所有相關表述，可提高評估效率;如果同一個樣本能夠支持不同的關鍵實踐是可以重復使用的，即同一樣本可以多次使用，因為某些樣本的內容是綜合性的，如《網絡安全法》規定了“數據本地存儲”和“數據跨境流動”。如此，不同的評估人員，當其認真履行評估工作，即便找到的具體表述位置不一樣，但是會給出同樣的分值，盡可能減少因人而異的誤差。

4? ?研究結果

4.1? ? 數據本地存儲的結果分析

4.1.1? ?“文化教育”能力成熟度4級

評估數據本地存儲的文化教育能力維度（見表5）從第1級開始，第5級因缺乏有效樣本支持而停止評估;S1可以支持多個關鍵實踐，能用于評估該能力維度各等級的有效樣本共計13個，第1-4級的有效樣本量達到滿級，故各等級分均為2分;表明數據本地存儲的“文化教育”能力成熟度達到第4級“充分級”，文化教育能力維度分為8分。

4.1.2? ?“技術工具”能力成熟度3級

評估數據本地存儲的技術工具能力維度（見表6）從第2級開始，第4級因缺乏有效樣本支持而停止評估;能用于評估該能力維度各等級的有效樣本共計12個，第2級和第3級有效樣本量達到滿級，第1級因不需要評價而視為滿級，故各等級分均為2分;表明數據本地存儲的“技術工具”能力成熟度達到第3級“必要級”，技術工具能力維度分6分。

4.1.3? ?“政策戰略”能力成熟度4級

評估數據本地存儲的政策戰略能力維度（見表7）從第3級開始，第5級因缺乏有效樣本支持而停止評估;S2 可以支持多個關鍵實踐，能用于評估該能力維度各等級的有效樣本共計5個，第3級和第4級有效樣本量達到滿級，第1級和2級因不需要評價而視為滿級，故各等級分均為2分;表明數據本地存儲的“政策戰略”能力成熟度達到第4級“充分級”，政策戰略能力維度分為8分。

4.1.4? ?“組織建設”能力成熟度4級

評估數據本地存儲的組織建設能力維度（見表8）從第3級開始，第5級因缺乏有效樣本支持而停止評估;能用于評估該能力維度各等級的有效樣本共計5個，第3級的有效樣本量超過滿級，第4級的兩個關鍵實踐可以用同樣的樣本支持，第1級和第2級因不需要評價而視為滿級，故第1-3級的等級分均為2分、第4級的等級分是2/3分;表明數據本地存儲的“組織建設”能力成熟度達到第4級“充分級”，組織建設能力維度分為6.67分。

4.1.5? ?“立法司法”能力成熟度4級

評估數據本地存儲的立法司法能力維度（見表9）從第3級開始，第5級的第一個關鍵實踐有3個有效樣本量，但因第二個關鍵實踐缺乏有效樣本支持其而停止評估;S1和S2 可以支持多個關鍵實踐，能用于該能力維度各等級的有效樣本共計5個，第3級有效樣本量達到滿級，第4級有2個有效樣本量，第1級和第2級視為滿級，故第1-3級的等級分均為2分、第4級的等級分是4/3分;表明數據本地存儲的“立法司法”能力成熟度達到第4級“充分級”，立法司法能力維度分為7.33分。

4.2? ? 數據跨境流動的結果分析

4.2.1? ?“文化教育”能力成熟度4級

評估數據跨境流動的文化教育能力維度（見表10）從第1級開始，第5級因缺乏有效樣本支持而停止評估;S1和S2可以支持多個關鍵實踐，能用于評估該能力維度各等級的有效樣本共計11個，第1-4級的有效樣本量達到滿級，故各等級分均為2分;表明數據跨境流動的“文化教育”能力成熟度達到第4級“充分級”，文化教育能力維度分為8分。

4.2.2? ?“技術工具”能力成熟度3級

評估數據跨境流動的技術工具能力維度（見表11）從第2級開始，第4級因缺乏有效樣本支持而停止評估;能用于評估該能力維度各等級的有效樣本共計11個，第2級的有效樣本量達到滿級，第3級的第一個關鍵實踐有2個有效樣本量、第二個關鍵實踐有3個有效樣本量，第1級因不需要評價而視為滿級，故第1級和第2級的等級分均為2分、第3級的等級分第5/3分;表明數據跨境流動的“技術工具”能力成熟度達到第3級“必要級”，技術工具能力維度分為5.67分。

4.2.3? ?“政策戰略”能力成熟度4級

評估數據跨境流動的政策戰略能力維度（見表12）從第3級開始，第5級因缺乏有效樣本支持而停止評估;S2 可以支持多個關鍵實踐，能用于評估該能力維度各等級的有效樣本共計5個，第3級和第4級的有效樣本量達到滿級，第1級和第2級因不需要評價而視為滿分，故各等級分均為2分;表明數據跨境流動的“政策戰略”能力成熟度達到第4級“充分級”，政策戰略能力維度分為8分。

4.2.4? ?“組織建設”能力成熟度4級

評估數據跨境流動的組織建設能力維度（見表13）從第3級開始，第5級因缺乏有效樣本支持而停止評估;能用于評估該能力維度各等級的有效樣本共計5個，第3級的有效樣本量超過滿級，第4級的兩個關鍵實踐可以用同樣的樣本支持，第1級和第2級因不需要評價而視為滿級，故第1-3級的等級分均為2分、第4級的等級分是2/3分;表明數據跨境流動的“組織建設”能力成熟度達到第4級“充分級”，組織建設能力維度分為6.67分。

4.2.5? ?“立法司法”能力成熟度4級

評估數據跨境流動的立法司法能力維度（見表14）從第3級開始，第5級的第一個關鍵實踐有3個有效樣本量，但因第二個關鍵實踐缺乏有效樣本支持其而停止評估;S1和S2 可以支持多個關鍵實踐，能用于評估該能力維度各等級的有效樣本共計5個，第3級的第一個關鍵實踐有2個有效樣本、第二個關鍵實踐有3個有效樣本，第4級有2個有效樣本，第1級和第2級因不需要評價而視為滿級，故第1級和第2級的等級分均為2分、第3級的等級分是5/3分、第4級的等級分為4/3分;表明數據跨境流動的“立法司法”能力成熟度達到第4級“充分級”，立法司法能力維度分為7分。

4.3? ? 數據域外管轄的結果分析

4.3.1? ?“文化教育”能力成熟度3級

評估數據域外管轄的文化教育能力維度（見表15）從第1級開始，第4級因缺乏有效樣本支持而停止評估;S2可以支持多個關鍵實踐，能用于評估該能力維度各等級的有效樣本共計7個，第1級的有效樣本量達到滿級，第2級和第3級均只有1個有效樣本量，故第1級的等級分達到2分，第2級和第3級的等級分均為2/3分;表明數據域外管轄的“文化教育”能力成熟度達到第3級“必要級”，文化教育能力維度分為3.33分。

4.3.2? ?“政策戰略”能力成熟度4級

評估數據域外管轄的政策戰略能力維度（見表16）從第3級開始，第5級因缺乏有效樣本支持而停止評估;S2可以支持多個關鍵實踐，能用于評估該能力維度各等級的有效樣本共計3個，第3級的有效樣本量達到滿級，第4級只有1個有效樣本量，第1級和第2級因不需要評價而視為滿級，故第1-3級的等級分均為2分，第4級的等級分為2/3分;表明數據域外管轄的“政策戰略”能力成熟度達到第4級“充分級”，政策戰略能力維度分為6.67分。

4.3.3? ?“組織建設”能力成熟度4級

評估數據域外管轄的組織建設能力維度從（見表17）從第3級開始，第5級因缺乏有效樣本支持而停止評估;能用于評估該能力維度各等級的有效樣本共計6個，第4級的兩個關鍵實踐可以用同樣的樣本支持，第3級和第4級的有效樣本量達到滿級，第1級和第2級因不需要評價而視為滿級，故第1-4級的等級分均為2分;表明數據域外管轄的“組織建設”能力成熟度達到第4級“充分級”，組織建設能力維度分為8分。

4.3.4? ?“立法司法”能力成熟度4級

評估數據域外管轄的立法司法能力維度（見表18）從第3級開始，第5級因缺乏有效樣本支持而停止評估;S2可以支持多個關鍵實踐，能用于評估該能力維度各等級的有效樣本共計5個，第3級的第一個關鍵實踐有3個有效樣本量、第二個關鍵實踐有2個有效樣本量，第4級只有1個有效樣本量，第1級和第2級因不需要評價而視為滿級，故第1級和第2級的等級分均為2分、第3級的等級分是5/3分、第4級的等級分是2/3分;表明數據域外管轄的“立法司法”能力成熟度達到第4級“充分級”，立法司法能力維度分為6.33分。

5? ?結論與建議

5.1? ? 關鍵過程域的能力維度成熟度等級至少達到“必要級”

根據表5-表18的數據可以得到關鍵過程域的能力維度成熟度等級（見表19、表20）：

（1）從表19來看，其一，各關鍵過程域的能力成熟度至少達到了第3級“必要級”，大部分達到了第4級“充分級”;其二，數據本地存儲和數據跨境流動的各能力維度等級都是一致，比較符合我國現實情況，數據跨境流動和數據本地存儲本身就是一體兩面，我國經常會將此二者在法律中同時規定，如《網絡安全法》第37條規定“數據本地存儲”和“數據跨境流動”。結合表20來看，盡管數據本地存儲和數據跨境流動的能力維度等級一致，但在“技術工具”和“立法司法”能力維度的分值存在差異，意味著我國數據本地存儲和數據跨境流動的能力強弱還是有所不同。

（2）從表19來看，數據域外管轄的各能力維度與其他兩個關鍵過程域的各能力維度的成熟度等級相比，“文化教育”能力維度等級要低一級，結合表20顯示的域外管轄能力維度分，反映出我國數據域外管轄能力總體不夠強。這一定性描述，基本符合學界在《數據安全法》頒布之前的認知，如學者們在警惕美國CLOUD法案的“長臂管轄”、歐盟《通用數據保護條例》的“長臂管轄”時，很少有涉及我國長臂管轄的討論。此時，評估數據域外管轄的立法司法能力維度能夠達到4級，主要是因為有《數據安全法》第2條第2款的支持。2021年6月頒布的《數據安全法》第2條第2款規定，“在中華人民共和國境外開展數據處理活動，損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的，依法追究法律責任。”該規定可視為我國弱化版的“長臂管轄”，之所以“弱化”是因為要求“損害”為前提。盡管是弱化版的，但是在我國已經是巨大進步，畢竟“在《數據安全法》發布之前，中國尚沒有一部明確的法律可以實現域外管轄”[23]。

盡管各關鍵過程域的絕大部分能力維度成熟度都達到了充分性等級，但數據本地存儲和數據跨境流動的“技術工具”維度的能力建設應該進一步加強，結合樣本的實際情況分析，應該加強涉及數據領域的自主技術研發，尤其是加強引導和推廣自主技術產品在國內網絡生態系統中的應用。

5.2? ? 關鍵過程域的成熟度等級達到“充分級”

根據表20的能力維度分，結合表3的能力維度權重，按照KPAs=Cs文化教育*W文化教育+Cs技術工具*W技術工具+Cs政策戰略*W政策戰略+Cs組織建設*W組織建設+Cs立法司法*W立法司法，計算得到數據本地存儲7.15分、數據跨境流動6.95分、數據域外管轄6.53分，對照表2可知這三個關鍵過程域均為充分級。如果將分值趨近6分、7分和8分視為低段、中段和高段，意味著數據本地存儲和數據跨境流動趨近該等級中段，但數據域外管轄更趨近該等級低段，故可以認為實際上仍處于必要級與充分級之間。

從關鍵過程域分來看，我國數據主權安全的各關鍵過程域都達到充分級，但數據域外管轄還需要進一步加強，結合表19來看，具體可以從文化教育方面展開。數據域外管轄的文化教育成熟度等級僅達到“必要級”，符合我國的現實情況，即與歐美積極主權“長臂管轄”不同，我國主張“和平共處五項原則”，“域外管轄”與絕大部分民眾日常生活關聯性不大，因此在民眾觀念上就不太重視域外管轄，因而域外管轄的“文化教育”能力維度得分不高。由于“域外管轄”本身具有擴展屬性，國家層面不得不重視域外管轄，因此該關鍵過程域仍能保持在“必要級”水平。建議以《數據安全法》的頒布為契機，重視宣傳該法第2條第2款規定的“長臂管轄”，增強民眾對于國家維護數據主權能力的信任。

5.3? ? 數據主權安全能力成熟度等級達到“充分級”

在KPAs基礎上，結合表4的關鍵過程域權重，按照DSSMs=KPAs數據本地存儲*W數據本地存儲+KPAs數據跨境流動*W數據跨境流動+KPAs數據域外管轄*W數據域外管轄，計算得到數據主權安全能力分6.98分，對照表2可知我國數據主權安全能力成熟度達到了充分級，在充分級中處于中段水平。

總的來說，我國數據主權安全能力成熟度和我國當前的國際地位大致相當，“充分級”意味著國家有能力對外輸出數據主權安全價值觀，能夠持續為維護數據主權安全提供充分保障。我國應繼續保持或加強數據主權安全能力，尤其是加強數據域外管轄能力。《數據安全法》已經規定了長臂管轄原則，今后應該及時在域外司法活動之中加以運用。

6? ?結語

在數據時代，數據主權安全對于實現國家總體安全具有重要意義，評估我國數據主權安全能力并提出相應建議，對于持續提高數據主權安全水平具有積極意義。基于DSSCMM評估我國數據主權安全能力成熟度的過程，實際上也是檢驗和驗證該模型的過程。通過取樣研究，按照該模型的關鍵過程域、能力維度和成熟度等級描述展開評估工作，并能得到有效的結果，說明該模型內部是自洽的，其整體運行機理是可行的。

本文可能的創新在于，在DSSCMM基礎上構建了具體的評估流程和方法，在此過程中針對評估需要提出“邊際取樣法”和“樣本賦分法”，可以提高評估工作效率，并在一定程度上增強評估結果的客觀性，可為今后應用該模型提供參考，也可為其他評估研究提供方法指導。不足之處在于，本文從學術角度展開示例性研究，而不是實際評估，故未實施評估流程第九步以校正各項評估結果，運用專家調查法確定各關鍵過程域的能力維度權重時，邀請的專家數量不夠大，導致計算關鍵過程域分、數據主權安全能力分會存在誤差。在后續的研究中可以考慮兩個方面：其一，大規模增加專家調查法確定權重時的樣本數量，將權重確定在一個比較穩定的范圍，進而提出修正因子;其二，對包括國家、地方政府、大型涉數據業務的私營企業在內的主體維護數據主權安全能力成熟度進行評估。

參考文獻：

[1]? 冉從敬，陳貴容，王歡.歐美跨境數據流動管轄沖突表現形式及主要解決途徑研究[J].圖書與情報，2020（3）：77-85.

[2]? 葉蘭.數據管理能力成熟度模型比較研究與啟示[J].圖書情報工作，2020，64（13）：51-57.

[3]? 葉蘭.研究數據管理能力成熟度模型評析[J].圖書情報知識，2015（2）：115-123.

[4]? 黨洪莉，譚海兵.基于DMM的數據管理成熟度模型及在服務評估中的應用[J].現代情報，2017，37（9）：118-121.

[5]? 牛春華，吳艷艷，劉紅兵.公共安全數據管理能力成熟度模型構建[J].圖書與情報，2019（4）：22-28.

[6]? 秦中云.大數據環境下高校圖書館數據治理及成熟度模型研究[J].新世紀圖書館，2019（11）：62-67.

[7]? 吳錦池，余維杰.圖書館數據治理成熟度評價體系構建[J].情報科學，2021，39（1）：65-71.

[8]? 周林興，韓永繼.檔案數據安全治理能力成熟度模型構建研究[J].檔案與建設，2020（7）：24-27，19.

[9]? 李克鵬，梅婧婷，鄭斌，等.大數據安全能力成熟度模型標準研究[J].信息技術與標準化，2016（7）：59-61.

[10]? 鄭斌.企業數據安全能力框架——數據安全能力成熟度模型的構建及應用[J].信息安全與通信保密，2017（11）：70-78.

[11]? 程芳，趙彥慶，王磊.基于數據服務平臺的數據質量能力成熟度模型研究[J].標準科學，2020（10）：120-123.

[12]? 肖秋會，陳夢.基于CMM的機構數字保存能力成熟度模型研究[J].檔案學通訊，2016（1）：55-60.

[13]? 楊錦坤，韓春花，韋廣昊，等.海洋數據管理能力成熟度評估模型研究初探[J].海洋信息，2020，35（4）：1-8.

[14]? 國家質量監督檢驗檢疫總局、中國國家標準化管理委員會.信息安全技術 數據中心服務能力成熟度模型（GB/T33136-2016）[R/OL].[2021-06-26].http：//c.gb688.cn/bzgk/gb/showGb？type=online&hcno=F7A2242CAA62FD4466E8BAB0F92661D8.

[15]? 國家質量監督檢驗檢疫總局、中國國家標準化管理委員會.數據管理能力成熟度評估模型（GB/T36073-2018）[R].中國標準出版社，2013，3：1-38.

[16]? 國家市場監督管理總局、中國國家標準化管理委員會.信息安全技術 數據安全能力成熟度模型（GB/T37988-2019）[R].中國標準出版社，2019，8：54.

[17]? 王大壯.知識服務視角下數字圖書館移動服務能力成熟度評價模型研究[J].農業圖書情報學刊，2017，29（3）：14-17.

[18]? 張旭，趙彬，盧恒，等.高校圖書館智庫服務能力成熟度模型及評價研究[J].圖書館，2019（7）：26-33.

[19]? 高凡，孫超，吳振新.基于CMM的長期保存能力成熟度評價框架設計[J/OL].情報理論與實踐：1-11[2021-06-27].http：//kns.cnki.net/kcms/detail/11.1762.G3.20210602.1339.006.html.

[20]? 周茜.基于“滿意鏡像”理論的移動數字圖書館服務能力成熟度評價研究[J].中國中醫藥圖書情報雜志，2018，42（5）：30-33.

[21]? 周瑩，劉佳，梁文佳，等.數字圖書館知識服務能力成熟度評價模型研究[J].情報科學，2016，34（6）：63-66，86.

[22]? 史敏，劉素華，李維思，等.面向技術創新的企業信息情報能力成熟度診斷模型研究[J].圖書情報工作，2013，57（24）：106-111.

[23]? 終于落地！《數據安全法》首次明確長臂管轄權[EB/OL].[2021-06-20].https：//baijiahao.baidu.com/s？id=1702324123544855289&wfr=spider&for=pc.

作者簡介：文禹衡（1989-），男，湘潭大學知識產權學院講師，研究方向：數據主權、數據產權與數據權力;戴文怡（1994-），女，湘潭大學知識產權學院碩士研究生，研究方向：數據主權。