文禹衡　戴文怡

摘? ?要：基于DSSCMM提出數(shù)據(jù)主權(quán)安全能力成熟度的評估方法和過程，評估后針對我國數(shù)據(jù)主權(quán)安全能力成熟度薄弱環(huán)節(jié)提出改進(jìn)建議。構(gòu)建并運用邊際取樣法確定有效樣本，運用專家調(diào)查法確定關(guān)鍵過程域的能力維度權(quán)重，構(gòu)建并運用樣本賦分法計算能力維度分，進(jìn)而確定關(guān)鍵過程域分和數(shù)據(jù)主權(quán)安全能力分。數(shù)據(jù)本地存儲、數(shù)據(jù)跨境流動、數(shù)據(jù)域外管轄的能力成熟度都達(dá)到充分級，但數(shù)據(jù)域外管轄的能力成熟度實際上靠近必要級，我國數(shù)據(jù)主權(quán)安全能力成熟度達(dá)到充分級。進(jìn)一步提升我國數(shù)據(jù)主權(quán)安全能力成熟度，宜從數(shù)據(jù)域外管轄的“文化教育”和數(shù)據(jù)本地存儲、數(shù)據(jù)跨境流動的“技術(shù)工具”展開，尤其要重視在域外司法活動之中及時運用《數(shù)據(jù)安全法》的長臂管轄，以及引導(dǎo)和推廣在國內(nèi)網(wǎng)絡(luò)生態(tài)系統(tǒng)中應(yīng)用自主技術(shù)產(chǎn)品。

關(guān)鍵詞：DSSCMM;數(shù)據(jù)主權(quán)安全;能力成熟度;邊際取樣法;樣本賦分法

中圖分類號：G203? ?文獻(xiàn)標(biāo)識碼：A? ?DOI：10.11968/tsyqb.1003-6938.2021055

Research on the Maturity Evaluation of Data Sovereignty Security Capability in China Based on DSSCMM

——Discussion on the Evaluation Process and Method of DSSCMM

Abstract Based on DSSCMM， this paper puts forward the method and process of evaluating the maturity of data sovereignty security capability ， and puts forward some suggestions to improve the weakness of our country's data sovereignty security capability.Construct and use marginal sampling method to determine effective samples， apply expert investigation method to determine the weight of capability dimension， and use sample scoring method to calculate the scores of capability dimensions， then determine the key process area score and data sovereignty security capability score.The capacity maturity of data localization， cross-border data flow and data extraterritorial jurisdiction has reached a higher level， but the capacity maturity of data extraterritorial jurisdiction actually tends to be necessary level， and the data sovereignty security capacity maturity of our country has reached a sufficient level.In order to improve the maturity of our country's data sovereignty security capability， it is suggested that we should start from "culture and education" and "technical tools" of data local storage and data cross-border flow.Particular attention shall be paid to the timely application of the long-arm jurisdiction of the Data Security Law in extraterritorial judicial activities， and guide and promote the application of independent technology products in the domestic network ecosystem.

Key words DSSCMM; data sovereignty security; capability maturity; marginal sampling method; sample scoring method

1? ?引言

步入數(shù)字化時代、智能化社會以后，網(wǎng)絡(luò)空間成為大國博弈的主要戰(zhàn)場。網(wǎng)絡(luò)空間的安全關(guān)系到各國的主權(quán)利益，由此網(wǎng)絡(luò)主權(quán)概念應(yīng)運而生，被認(rèn)為是領(lǐng)土、領(lǐng)海、領(lǐng)空等傳統(tǒng)主權(quán)之后的新型主權(quán)，但它們的共同點仍然在于基于空間意象而形成的主權(quán)觀念。數(shù)據(jù)被中央文件定位為生產(chǎn)要素之后，其已經(jīng)從原來的技術(shù)生產(chǎn)要素中獨立出來，其重要性不言而喻。數(shù)據(jù)是網(wǎng)絡(luò)空間基本的傳輸載體，其也被上升到主權(quán)的高度——數(shù)據(jù)主權(quán)觀念逐漸形成。與傳統(tǒng)主權(quán)、網(wǎng)絡(luò)主權(quán)不同，數(shù)據(jù)主權(quán)不是一個空間架構(gòu)，而是一個實體概念。在我國，既有研究成果大都認(rèn)為2015年《促進(jìn)大數(shù)據(jù)發(fā)展行動綱要》是官方首次提出“數(shù)據(jù)主權(quán)”，實際上表述“數(shù)據(jù)主權(quán)”的官方文件可以追溯到《深圳市服務(wù)外包產(chǎn)業(yè)發(fā)展規(guī)劃（2012—2015）》。除此之外，2018年《福州市推進(jìn)大數(shù)據(jù)發(fā)展三年行動計劃（2018-2020年）》和《2018年測繪地理信息工作要點》都提到了數(shù)據(jù)主權(quán)，尤其是2021年的《最高人民法院關(guān)于人民法院為北京市國家服務(wù)業(yè)擴(kuò)大開放綜合示范區(qū)、中國（北京）自由貿(mào)易試驗區(qū)建設(shè)提供司法服務(wù)和保障的意見》進(jìn)一步提出“妥善處理國家安全、國家數(shù)據(jù)主權(quán)、企業(yè)數(shù)據(jù)產(chǎn)權(quán)和個人信息保護(hù)的關(guān)系，以及意思自治與行政監(jiān)管的關(guān)系”。

可見，數(shù)據(jù)主權(quán)在我國不再只是學(xué)術(shù)界熱議的主題，已經(jīng)深入到探討其數(shù)據(jù)主權(quán)管轄等深層次話題[1]，并逐漸在官方文件中有所體現(xiàn)。盡管還沒有向“網(wǎng)絡(luò)主權(quán)”那般直接進(jìn)入法律規(guī)定，但是也通過“數(shù)據(jù)存儲在境內(nèi)”等相關(guān)表述間接強(qiáng)化了數(shù)據(jù)主權(quán)。那么，我國維護(hù)數(shù)據(jù)主權(quán)安全能力已經(jīng)達(dá)到什么程度了呢？《數(shù)據(jù)主權(quán)安全能力的成熟度模型構(gòu)建研究》構(gòu)建了數(shù)據(jù)主權(quán)安全能力成熟度模型（DSSCMM）已經(jīng)被構(gòu)建，但并未給出具體評估流程和方法，且目前尚無評估我國數(shù)據(jù)主權(quán)安全能力成熟度的研究成果。鑒于此，本研究選擇DSSCMM作為評估模型，構(gòu)建具體的評估流程和方法，進(jìn)而評估我國數(shù)據(jù)主權(quán)安全能力成熟度并客觀呈現(xiàn)成熟度等級，對于我國加強(qiáng)數(shù)據(jù)主權(quán)安全體系建設(shè)具有重要意義。

2? ?研究綜述

當(dāng)前，與數(shù)據(jù)主權(quán)安全評估的相關(guān)研究成果幾乎沒有，選擇的DSSCMM模型作為評估模型未給出該模型的具體評估方法，故研究綜述主要集中在數(shù)據(jù)能力成熟度的評估方法。葉蘭[2]比較國內(nèi)外7個數(shù)據(jù)管理能力成熟度模型后的發(fā)現(xiàn)——各模型普遍存在的共同問題之一是缺乏包括評估方法、評估步驟在內(nèi)的評估過程的指導(dǎo)與應(yīng)用指南。盡管國內(nèi)數(shù)據(jù)能力成熟度模型的相關(guān)研究涉及到圖書館[2-4]和公共安全[5]等領(lǐng)域的數(shù)據(jù)管理方面，圖書館[6-7]和檔案[8]等領(lǐng)域的數(shù)據(jù)治理方面，以及數(shù)據(jù)安全[9-10]、數(shù)據(jù)質(zhì)量[11]、數(shù)字保存[12]等方面，但是構(gòu)建模型后給出具體評估流程和方法并開展評估的研究成果很少。如秦中云[6]構(gòu)建高校圖書館數(shù)據(jù)治理成熟度評估模型，建議采用聘請專家調(diào)研并進(jìn)行打分;楊錦坤等[13]評估海洋數(shù)據(jù)管理能力成熟度的評估方法體現(xiàn)在“擬定分值范圍為1-10分，分?jǐn)?shù)越高，等級越高”，但并未論證為何如此賦分。此外，從我國目前僅有的三類數(shù)據(jù)能力成熟度模型來看，《信息安全技術(shù) 數(shù)據(jù)中心服務(wù)能力成熟度模型》采取對能力項成熟度指標(biāo)值進(jìn)行加權(quán)平均的方法計算出數(shù)據(jù)中心服務(wù)能力成熟度指標(biāo)值，對照給定的數(shù)據(jù)中心服務(wù)能力成熟度分級規(guī)則確定數(shù)據(jù)中心服務(wù)能力成熟度級別[14];《數(shù)據(jù)管理能力成熟度評估模型》[15]未給出評級方法;《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》未對評級方法做具體限定，但給出了綜合判定參考方法[16]。

將檢索范圍擴(kuò)大到“能力成熟度”：部分研究成果僅構(gòu)建模型，如王大壯[17]構(gòu)建數(shù)字圖書館移動服務(wù)能力成熟度評價模型;張旭等[18]構(gòu)建高校圖書館智庫服務(wù)能力成熟度模型;高凡等[19]介紹基于成熟度模型設(shè)計數(shù)字資源長期保存能力評價框架的應(yīng)用流程也沒有給出評級方法;部分研究成果構(gòu)建模型后給出了評級方法，周茜[20]構(gòu)建移動數(shù)字圖書館服務(wù)能力成熟度模型并建議運用“定性+定量”評價方法，周瑩等[21]構(gòu)建數(shù)字圖書館知識服務(wù)能力成熟度模型并提出根據(jù)各評價指標(biāo)的權(quán)重及最高分值來確定衡量標(biāo)準(zhǔn)，肖秋會和陳夢[12]構(gòu)建數(shù)字保存能力成熟度模型及評價體系并提出具體評價時采取復(fù)合指標(biāo)評分的方法確定等級水平，史敏等[22]構(gòu)建面向技術(shù)創(chuàng)新的企業(yè)信息情報能力成熟度診斷模型并給出了評價方法。

從既有相關(guān)研究成果來看，相比于構(gòu)建數(shù)據(jù)能力成熟度相關(guān)模型很少有給出評估方法，構(gòu)建其他能力成熟度模型并給出評估方法的成果要多一些，但給出評估方法的研究成果總體上仍然很少。然而，從給出的評估方法來看，沒有一套普遍適用的方法，共同點在于評估方法都與其模型密切關(guān)聯(lián)。這可能也是已發(fā)布的模型國家標(biāo)準(zhǔn)、既有的研究成果不限定評估方法，而只是給出參考評估方法的原因。由此，啟示本研究在開展評估時不要企圖去套用其他模型的評估流程和方法，而是根據(jù)DSSCMM構(gòu)建一套契合本模型內(nèi)在機(jī)理的評估流程和方法。

3? ?研究設(shè)計

3.1? ? 選取與處理評估樣本

由于評估對象是數(shù)據(jù)主權(quán)，有些維度的樣本會涉及多個層面、多種形式，如DSSCMM的成熟度第2級“文化教育”能力維度的等級總體描述是“官方通過文件直接或間接地表述數(shù)據(jù)主權(quán)，或在特定場合直接或間接地聲明數(shù)據(jù)主權(quán)”，這里的“官方文件”形式涉及法律法規(guī)、政策文件、新聞報道等，而“法律法規(guī)”又分為國家層面和地方層面等、“政策文件”也分為中央政策和地方政策等、“新聞報告”又有官方報道和民間傳媒之分，再往下還可以細(xì)分。那么，如何確定樣本呢？

盡管每一類型樣本的數(shù)量標(biāo)準(zhǔn)并不能簡單地依靠數(shù)量加以判斷，因為涉及到效力問題，單純依靠數(shù)量無法衡量其效力，而是需要評估人員根據(jù)具體內(nèi)容加以確定。如關(guān)于“數(shù)據(jù)本地存儲”，只要在法律中加以明確，哪怕是一個條文也具有很高的效力。但是，在評估中為減少主觀性，還是應(yīng)當(dāng)依靠數(shù)量來衡量，其邏輯在于，相對于某事項作出一個規(guī)定，多個規(guī)定意味著其被重視的程度越高、管控意圖越強(qiáng)。那么，樣本數(shù)量以多少合適呢？為了現(xiàn)實有效評估，提出基于邊際效應(yīng)確定有效樣本的方法（簡稱邊際取樣法），即在評估類研究中，具體實施某指標(biāo)的評估時，針對待評指標(biāo)選取樣本，遵循邊際效應(yīng)原理確定最佳樣本量，而不是按照整個研究隨機(jī)采樣或采全樣本，每一個符合要求的樣本計為“1樣本量”，達(dá)到最佳樣本量即可停止。邊際取樣法在評估類研究中比較適用，因為評估類研究僅需要確定是否達(dá)到了某種條件的程度。按照邊際取樣法，本研究計滿3樣本量就不再檢索樣本。如此，不同的評估人員，當(dāng)其認(rèn)真履行評估工作，即便找到的具體樣本不一樣，也會給出同樣的分值，盡可能減少因人而異的誤差。該邊際取樣法實際上是解決有效樣本量的確定問題，需要從以下幾個方面加以理解。

（1）為什么達(dá)到一定的樣本量就停止檢索呢？理由在于，對于樣本的充分性考量類似“邊際效應(yīng)”——在其他投入（變量）不變的情況下，持續(xù)增加某一投入（變量），那么基于該投入（變量）所新增的產(chǎn)出或收益反而會逐漸減少。在社會治理領(lǐng)域，出臺每一個治理措施（政策法規(guī)等）相當(dāng)于投入，其所實現(xiàn)的治理效果相當(dāng)于產(chǎn)出，假如每增加一個措施，表示對某事項重視程度越高、管控力度逐漸增強(qiáng)，那么當(dāng)重視程度、管控力度達(dá)到臨界值時，后續(xù)的重視程度、管控力度對于預(yù)期實現(xiàn)的效果已經(jīng)可以忽略。當(dāng)最后一個措施的出臺，達(dá)到了理論上的臨界值，此時稱之為“措施飽和”狀態(tài)。

（2）為什么是3樣本量，而不是2個或5個呢？因為評估的是國家的數(shù)據(jù)主權(quán)安全能力，在同一效力位階的樣本不會很多，如涉及數(shù)據(jù)跨境流動事項在《網(wǎng)絡(luò)安全法》已經(jīng)作出規(guī)定（計1樣本量），由于法律的位階很高，此時意味著對數(shù)據(jù)跨境流動重視程度很高，國家可以不再就該事項在其他法律中作出規(guī)定，但是并不意味著其他的法律不會作出該事項規(guī)定，如《數(shù)據(jù)安全法》又對數(shù)據(jù)跨境流動作出規(guī)定（累計2樣本量），此時意味著對數(shù)據(jù)跨境流動的重視程度更高了，依次類推累計滿3樣本量即可以認(rèn)為達(dá)到了前述的措施飽和狀態(tài)。一般而言，最高重視程度也就是專門出臺關(guān)于數(shù)據(jù)跨境流動的法律。

（3）如果不是同一位階的樣本，如何選擇有效樣本量呢？樣本按照效力位階選擇，先在最高效力等級的潛在樣本范圍中尋找，能夠找到3個有效樣本就停止檢索，否則就繼續(xù)往下一位階的潛在樣本范圍檢索，如此一直到檢索到3個有效樣本為止，或者窮盡所有潛在樣本也無法找到有效樣本為止。樣本位階高低大致可以按照如下思路確定：按照國家高于地方，官方高于非官方，書面形式高于口頭表達(dá)，組織決議高于個人觀點，專門性規(guī)定高于分散性規(guī)定，法律政策高于學(xué)術(shù)智庫成果。

2021年6月20日-27日，本研究以威科先行、國家標(biāo)準(zhǔn)信息公開服務(wù)平臺、中國信息安全測評中心、中國知網(wǎng)和相關(guān)官網(wǎng)為數(shù)據(jù)來源庫，在梳理包括“數(shù)據(jù)本地存儲”“數(shù)據(jù)跨境流動”和“數(shù)據(jù)域外管轄”在內(nèi)的數(shù)據(jù)主權(quán)相關(guān)樣本結(jié)果之后，按照上述選樣原則和方法確定有效樣本61個（見表1）。

3.2? ? 確定評估流程與方法

評估數(shù)據(jù)主權(quán)安全能力成熟度等級，需要根據(jù)關(guān)鍵過程域的能力維度展開，通過對各成熟度等級所需要具備的關(guān)鍵實踐逐一展開。運用數(shù)據(jù)主權(quán)安全能力成熟度模型時，評估人員可按以下步驟理解和掌握評估工作要點。以下步驟是按照便于理解的順序呈現(xiàn)，而非實際評估時應(yīng)遵循的步驟，具體開展評估工作時可靈活展開，如按照第四、六、三、二、五、七、一、八、九步的順序開展。

第一步，逐一評估關(guān)鍵過程域。將數(shù)據(jù)主權(quán)安全的關(guān)鍵過程域分開評估，分別獲取數(shù)據(jù)本地存儲、數(shù)據(jù)跨境流動和數(shù)據(jù)域外管轄的分值，用于計算數(shù)據(jù)主權(quán)安全能力分，最終評定數(shù)據(jù)主權(quán)安全能力成熟度等級。

第二步，逐一評估能力維度。將每一個關(guān)鍵過程域的不同能力維度分開評估，分別依據(jù)樣本確定文化教育、技術(shù)工具、政策戰(zhàn)略、組織建設(shè)和立法司法的成熟度等級，并記錄各能力成熟度分?jǐn)?shù)用于計算關(guān)鍵過程域分。

第三步，逐一評估關(guān)鍵實踐。每一能力維度的不同成熟度等級有不同的關(guān)鍵實踐，見表5-表18的“關(guān)鍵實踐”。在開展評估工作時，要注意是多個關(guān)鍵實踐，還是單個關(guān)鍵實踐。在評估關(guān)鍵實踐時，只要存在一個有效樣本支持，則意味著該關(guān)鍵實踐已滿足。如果存在多個關(guān)鍵實踐，需要逐一評估，有任何一個關(guān)鍵實踐未滿足，則意味著不符合該等級的要求，即停止該等級評估。當(dāng)該等級關(guān)鍵實踐達(dá)到要求，則意味著該能力維度已經(jīng)達(dá)到該等級，那么可以繼續(xù)評估上一個等級。如表5中，滿足第1級的“（1）”和“（2）”兩個關(guān)鍵實踐之后，才可繼續(xù)評價第2級，以此類推，到無法滿足關(guān)鍵實踐時則停止評估。換而言之，默認(rèn)高等級的關(guān)鍵實踐包括低等級的關(guān)鍵實踐。

第四步，明確分值設(shè)置與計算。整個成熟度能力等級共分為5級，假定初始共賦值10分（稱為“初始能力維度分”）。由于在能力維度的不同成熟度等級中，高等級的關(guān)鍵實踐包括低等級的關(guān)鍵實踐，那么每個等級可平均賦分，即每一等級2分（簡稱“初始等級分”），那么要達(dá)到某等級則要求分值超過該等級之前的各等級分值之和（第1-5級的分值區(qū)間見表2）。每個成熟度等級對應(yīng)的能力維度有不同的關(guān)鍵實踐，對于同一等級的同一能力維度而言，每個關(guān)鍵實踐的重要程度是一樣的，因此可對每個關(guān)鍵實踐賦予相同的分值，即將初始等級分平均分配給每一等級的各關(guān)鍵實踐（簡稱“初始關(guān)鍵實踐分”）。考慮到樣本的充分度，當(dāng)達(dá)到“措施飽和”狀態(tài)后，無論還有多少評價樣本支持，都不再計分，結(jié)合前述的邊際取樣法，將各初始關(guān)鍵實踐分平均分配給各有效樣本，即將初始關(guān)鍵實踐分三等分，沒有樣本支持則停止該等級評估，故不計分。如表5的第1級的“（1）”和“（2）”各1分，其中“（1）”和“（2）”的每一樣本量為1/3分。基于邊際取樣法提出的這種分值設(shè)置與計算的方法，可稱為“樣本賦分法”，可以避免權(quán)重設(shè)置的主觀性。

第五步，確定能力維度成熟度等級。能力維度的成熟度與能力維度實際得分沒有關(guān)系，能力維度實際得分是為評估整個過程域等級服務(wù)的。能力維度的成熟度等級依據(jù)樣本確定，當(dāng)所在等級對應(yīng)的每個關(guān)鍵實踐均有樣本支持時，則意味著達(dá)到該等級。如表8中第4級的“（1）”和“（2）”都只有一個樣本支持，則該“組織建設(shè)”能力成熟度達(dá)到4級。

第六步，確定關(guān)鍵過程域權(quán)重和能力維度權(quán)重。在不同的關(guān)鍵過程域中，相同的能力維度所起的作用存在區(qū)別，因此相同的能力維度在不同關(guān)鍵過程域中可能占不同的比重。如能力維度“技術(shù)工具”在關(guān)鍵過程域“數(shù)據(jù)本地存儲”中非常重要，但其在關(guān)鍵過程域“數(shù)據(jù)域外管轄”中卻幾乎沒有作用。因此，要采用專家調(diào)查法確定不同關(guān)鍵過程域的能力維度權(quán)重。同樣，不同關(guān)鍵過程域在數(shù)據(jù)主權(quán)安全中的權(quán)重也有所差異。鑒于此，本研究共邀請10位涉及法學(xué)、管理學(xué)、網(wǎng)絡(luò)與信息安全等不同研究領(lǐng)域關(guān)注和研究數(shù)據(jù)相關(guān)問題的科研工作者和實務(wù)工作者參與打分，獲得不同關(guān)鍵過程域中的能力維度權(quán)重（見表3），數(shù)據(jù)主權(quán)安全中的關(guān)鍵過程域權(quán)重（見表4）。

第七步，確定關(guān)鍵過程域的能力成熟度等級。將每一樣本量的分?jǐn)?shù)求和，得到所在關(guān)鍵實踐的實際總分（簡稱“關(guān)鍵實踐分”，計作KPs）;將每一關(guān)鍵實踐分求和，得到所在成熟度等級的實際總分（簡稱“等級分”，計作Ls）;將每一等級分求和，得到所在能力維度的實際總分（簡稱“能力維度分”，計作Cs）。注意，在求取能力維度分時，不需要評估的能力維度等級視為獲得總分，如在“數(shù)據(jù)本地存儲”關(guān)鍵過程域中，“技術(shù)工具”維度從第2級才開始需要納入評估，故在計算“技術(shù)工具”能力維度分時，第1級計作2分。將每一能力維度分與其所在關(guān)鍵過程域中相應(yīng)權(quán)重（見表3）的乘積求和，得到所在關(guān)鍵過程域的實際總分（簡稱“關(guān)鍵過程域分”，計作KPAs），然后按照表2換算得到相應(yīng)等級。如KPAs為7.43分，落入（6，8]，計為第4等級。

第八步，確定數(shù)據(jù)主權(quán)安全能力成熟度等級。將每個關(guān)鍵過程域分與其在數(shù)據(jù)主權(quán)安全能力相應(yīng)權(quán)重（見表4）的乘積求和，得到數(shù)據(jù)主權(quán)安全能力的實際總分（簡稱“數(shù)據(jù)主權(quán)安全能力分”，計作DSSMs），然后按照表2換算得到相應(yīng)等級。如KPAs為5.273分，落入（4，6]，計為第3等級。

第九步，校正各項評估結(jié)果。在實際評估時，應(yīng)該由評估團(tuán)隊的多個評估人員背靠背評估，然后將各項實際得分求取平均值，以便盡可能準(zhǔn)確評定關(guān)鍵過程域成熟度等級、數(shù)據(jù)主權(quán)安全能力成熟度等級。如此，評估人員越多，就越能減少誤差。

評估時應(yīng)注意的是：如果同一個樣本正文中出現(xiàn)多次相關(guān)表述能夠支持待說明事項，仍僅視為一個樣本量，因此在評估時只要在潛在樣本中找到1處即可視為有效樣本，即不需遍歷整個樣本正文找出所有相關(guān)表述，可提高評估效率;如果同一個樣本能夠支持不同的關(guān)鍵實踐是可以重復(fù)使用的，即同一樣本可以多次使用，因為某些樣本的內(nèi)容是綜合性的，如《網(wǎng)絡(luò)安全法》規(guī)定了“數(shù)據(jù)本地存儲”和“數(shù)據(jù)跨境流動”。如此，不同的評估人員，當(dāng)其認(rèn)真履行評估工作，即便找到的具體表述位置不一樣，但是會給出同樣的分值，盡可能減少因人而異的誤差。

4? ?研究結(jié)果

4.1? ? 數(shù)據(jù)本地存儲的結(jié)果分析

4.1.1? ?“文化教育”能力成熟度4級

評估數(shù)據(jù)本地存儲的文化教育能力維度（見表5）從第1級開始，第5級因缺乏有效樣本支持而停止評估;S1可以支持多個關(guān)鍵實踐，能用于評估該能力維度各等級的有效樣本共計13個，第1-4級的有效樣本量達(dá)到滿級，故各等級分均為2分;表明數(shù)據(jù)本地存儲的“文化教育”能力成熟度達(dá)到第4級“充分級”，文化教育能力維度分為8分。

4.1.2? ?“技術(shù)工具”能力成熟度3級

評估數(shù)據(jù)本地存儲的技術(shù)工具能力維度（見表6）從第2級開始，第4級因缺乏有效樣本支持而停止評估;能用于評估該能力維度各等級的有效樣本共計12個，第2級和第3級有效樣本量達(dá)到滿級，第1級因不需要評價而視為滿級，故各等級分均為2分;表明數(shù)據(jù)本地存儲的“技術(shù)工具”能力成熟度達(dá)到第3級“必要級”，技術(shù)工具能力維度分6分。

4.1.3? ?“政策戰(zhàn)略”能力成熟度4級

評估數(shù)據(jù)本地存儲的政策戰(zhàn)略能力維度（見表7）從第3級開始，第5級因缺乏有效樣本支持而停止評估;S2 可以支持多個關(guān)鍵實踐，能用于評估該能力維度各等級的有效樣本共計5個，第3級和第4級有效樣本量達(dá)到滿級，第1級和2級因不需要評價而視為滿級，故各等級分均為2分;表明數(shù)據(jù)本地存儲的“政策戰(zhàn)略”能力成熟度達(dá)到第4級“充分級”，政策戰(zhàn)略能力維度分為8分。

4.1.4? ?“組織建設(shè)”能力成熟度4級

評估數(shù)據(jù)本地存儲的組織建設(shè)能力維度（見表8）從第3級開始，第5級因缺乏有效樣本支持而停止評估;能用于評估該能力維度各等級的有效樣本共計5個，第3級的有效樣本量超過滿級，第4級的兩個關(guān)鍵實踐可以用同樣的樣本支持，第1級和第2級因不需要評價而視為滿級，故第1-3級的等級分均為2分、第4級的等級分是2/3分;表明數(shù)據(jù)本地存儲的“組織建設(shè)”能力成熟度達(dá)到第4級“充分級”，組織建設(shè)能力維度分為6.67分。

4.1.5? ?“立法司法”能力成熟度4級

評估數(shù)據(jù)本地存儲的立法司法能力維度（見表9）從第3級開始，第5級的第一個關(guān)鍵實踐有3個有效樣本量，但因第二個關(guān)鍵實踐缺乏有效樣本支持其而停止評估;S1和S2 可以支持多個關(guān)鍵實踐，能用于該能力維度各等級的有效樣本共計5個，第3級有效樣本量達(dá)到滿級，第4級有2個有效樣本量，第1級和第2級視為滿級，故第1-3級的等級分均為2分、第4級的等級分是4/3分;表明數(shù)據(jù)本地存儲的“立法司法”能力成熟度達(dá)到第4級“充分級”，立法司法能力維度分為7.33分。

4.2? ? 數(shù)據(jù)跨境流動的結(jié)果分析

4.2.1? ?“文化教育”能力成熟度4級

評估數(shù)據(jù)跨境流動的文化教育能力維度（見表10）從第1級開始，第5級因缺乏有效樣本支持而停止評估;S1和S2可以支持多個關(guān)鍵實踐，能用于評估該能力維度各等級的有效樣本共計11個，第1-4級的有效樣本量達(dá)到滿級，故各等級分均為2分;表明數(shù)據(jù)跨境流動的“文化教育”能力成熟度達(dá)到第4級“充分級”，文化教育能力維度分為8分。

4.2.2? ?“技術(shù)工具”能力成熟度3級

評估數(shù)據(jù)跨境流動的技術(shù)工具能力維度（見表11）從第2級開始，第4級因缺乏有效樣本支持而停止評估;能用于評估該能力維度各等級的有效樣本共計11個，第2級的有效樣本量達(dá)到滿級，第3級的第一個關(guān)鍵實踐有2個有效樣本量、第二個關(guān)鍵實踐有3個有效樣本量，第1級因不需要評價而視為滿級，故第1級和第2級的等級分均為2分、第3級的等級分第5/3分;表明數(shù)據(jù)跨境流動的“技術(shù)工具”能力成熟度達(dá)到第3級“必要級”，技術(shù)工具能力維度分為5.67分。

4.2.3? ?“政策戰(zhàn)略”能力成熟度4級

評估數(shù)據(jù)跨境流動的政策戰(zhàn)略能力維度（見表12）從第3級開始，第5級因缺乏有效樣本支持而停止評估;S2 可以支持多個關(guān)鍵實踐，能用于評估該能力維度各等級的有效樣本共計5個，第3級和第4級的有效樣本量達(dá)到滿級，第1級和第2級因不需要評價而視為滿分，故各等級分均為2分;表明數(shù)據(jù)跨境流動的“政策戰(zhàn)略”能力成熟度達(dá)到第4級“充分級”，政策戰(zhàn)略能力維度分為8分。

4.2.4? ?“組織建設(shè)”能力成熟度4級

評估數(shù)據(jù)跨境流動的組織建設(shè)能力維度（見表13）從第3級開始，第5級因缺乏有效樣本支持而停止評估;能用于評估該能力維度各等級的有效樣本共計5個，第3級的有效樣本量超過滿級，第4級的兩個關(guān)鍵實踐可以用同樣的樣本支持，第1級和第2級因不需要評價而視為滿級，故第1-3級的等級分均為2分、第4級的等級分是2/3分;表明數(shù)據(jù)跨境流動的“組織建設(shè)”能力成熟度達(dá)到第4級“充分級”，組織建設(shè)能力維度分為6.67分。

4.2.5? ?“立法司法”能力成熟度4級

評估數(shù)據(jù)跨境流動的立法司法能力維度（見表14）從第3級開始，第5級的第一個關(guān)鍵實踐有3個有效樣本量，但因第二個關(guān)鍵實踐缺乏有效樣本支持其而停止評估;S1和S2 可以支持多個關(guān)鍵實踐，能用于評估該能力維度各等級的有效樣本共計5個，第3級的第一個關(guān)鍵實踐有2個有效樣本、第二個關(guān)鍵實踐有3個有效樣本，第4級有2個有效樣本，第1級和第2級因不需要評價而視為滿級，故第1級和第2級的等級分均為2分、第3級的等級分是5/3分、第4級的等級分為4/3分;表明數(shù)據(jù)跨境流動的“立法司法”能力成熟度達(dá)到第4級“充分級”，立法司法能力維度分為7分。

4.3? ? 數(shù)據(jù)域外管轄的結(jié)果分析

4.3.1? ?“文化教育”能力成熟度3級

評估數(shù)據(jù)域外管轄的文化教育能力維度（見表15）從第1級開始，第4級因缺乏有效樣本支持而停止評估;S2可以支持多個關(guān)鍵實踐，能用于評估該能力維度各等級的有效樣本共計7個，第1級的有效樣本量達(dá)到滿級，第2級和第3級均只有1個有效樣本量，故第1級的等級分達(dá)到2分，第2級和第3級的等級分均為2/3分;表明數(shù)據(jù)域外管轄的“文化教育”能力成熟度達(dá)到第3級“必要級”，文化教育能力維度分為3.33分。

4.3.2? ?“政策戰(zhàn)略”能力成熟度4級

評估數(shù)據(jù)域外管轄的政策戰(zhàn)略能力維度（見表16）從第3級開始，第5級因缺乏有效樣本支持而停止評估;S2可以支持多個關(guān)鍵實踐，能用于評估該能力維度各等級的有效樣本共計3個，第3級的有效樣本量達(dá)到滿級，第4級只有1個有效樣本量，第1級和第2級因不需要評價而視為滿級，故第1-3級的等級分均為2分，第4級的等級分為2/3分;表明數(shù)據(jù)域外管轄的“政策戰(zhàn)略”能力成熟度達(dá)到第4級“充分級”，政策戰(zhàn)略能力維度分為6.67分。

4.3.3? ?“組織建設(shè)”能力成熟度4級

評估數(shù)據(jù)域外管轄的組織建設(shè)能力維度從（見表17）從第3級開始，第5級因缺乏有效樣本支持而停止評估;能用于評估該能力維度各等級的有效樣本共計6個，第4級的兩個關(guān)鍵實踐可以用同樣的樣本支持，第3級和第4級的有效樣本量達(dá)到滿級，第1級和第2級因不需要評價而視為滿級，故第1-4級的等級分均為2分;表明數(shù)據(jù)域外管轄的“組織建設(shè)”能力成熟度達(dá)到第4級“充分級”，組織建設(shè)能力維度分為8分。

4.3.4? ?“立法司法”能力成熟度4級

評估數(shù)據(jù)域外管轄的立法司法能力維度（見表18）從第3級開始，第5級因缺乏有效樣本支持而停止評估;S2可以支持多個關(guān)鍵實踐，能用于評估該能力維度各等級的有效樣本共計5個，第3級的第一個關(guān)鍵實踐有3個有效樣本量、第二個關(guān)鍵實踐有2個有效樣本量，第4級只有1個有效樣本量，第1級和第2級因不需要評價而視為滿級，故第1級和第2級的等級分均為2分、第3級的等級分是5/3分、第4級的等級分是2/3分;表明數(shù)據(jù)域外管轄的“立法司法”能力成熟度達(dá)到第4級“充分級”，立法司法能力維度分為6.33分。

5? ?結(jié)論與建議

5.1? ? 關(guān)鍵過程域的能力維度成熟度等級至少達(dá)到“必要級”

根據(jù)表5-表18的數(shù)據(jù)可以得到關(guān)鍵過程域的能力維度成熟度等級（見表19、表20）：

（1）從表19來看，其一，各關(guān)鍵過程域的能力成熟度至少達(dá)到了第3級“必要級”，大部分達(dá)到了第4級“充分級”;其二，數(shù)據(jù)本地存儲和數(shù)據(jù)跨境流動的各能力維度等級都是一致，比較符合我國現(xiàn)實情況，數(shù)據(jù)跨境流動和數(shù)據(jù)本地存儲本身就是一體兩面，我國經(jīng)常會將此二者在法律中同時規(guī)定，如《網(wǎng)絡(luò)安全法》第37條規(guī)定“數(shù)據(jù)本地存儲”和“數(shù)據(jù)跨境流動”。結(jié)合表20來看，盡管數(shù)據(jù)本地存儲和數(shù)據(jù)跨境流動的能力維度等級一致，但在“技術(shù)工具”和“立法司法”能力維度的分值存在差異，意味著我國數(shù)據(jù)本地存儲和數(shù)據(jù)跨境流動的能力強(qiáng)弱還是有所不同。

（2）從表19來看，數(shù)據(jù)域外管轄的各能力維度與其他兩個關(guān)鍵過程域的各能力維度的成熟度等級相比，“文化教育”能力維度等級要低一級，結(jié)合表20顯示的域外管轄能力維度分，反映出我國數(shù)據(jù)域外管轄能力總體不夠強(qiáng)。這一定性描述，基本符合學(xué)界在《數(shù)據(jù)安全法》頒布之前的認(rèn)知，如學(xué)者們在警惕美國CLOUD法案的“長臂管轄”、歐盟《通用數(shù)據(jù)保護(hù)條例》的“長臂管轄”時，很少有涉及我國長臂管轄的討論。此時，評估數(shù)據(jù)域外管轄的立法司法能力維度能夠達(dá)到4級，主要是因為有《數(shù)據(jù)安全法》第2條第2款的支持。2021年6月頒布的《數(shù)據(jù)安全法》第2條第2款規(guī)定，“在中華人民共和國境外開展數(shù)據(jù)處理活動，損害中華人民共和國國家安全、公共利益或者公民、組織合法權(quán)益的，依法追究法律責(zé)任。”該規(guī)定可視為我國弱化版的“長臂管轄”，之所以“弱化”是因為要求“損害”為前提。盡管是弱化版的，但是在我國已經(jīng)是巨大進(jìn)步，畢竟“在《數(shù)據(jù)安全法》發(fā)布之前，中國尚沒有一部明確的法律可以實現(xiàn)域外管轄”[23]。

盡管各關(guān)鍵過程域的絕大部分能力維度成熟度都達(dá)到了充分性等級，但數(shù)據(jù)本地存儲和數(shù)據(jù)跨境流動的“技術(shù)工具”維度的能力建設(shè)應(yīng)該進(jìn)一步加強(qiáng)，結(jié)合樣本的實際情況分析，應(yīng)該加強(qiáng)涉及數(shù)據(jù)領(lǐng)域的自主技術(shù)研發(fā)，尤其是加強(qiáng)引導(dǎo)和推廣自主技術(shù)產(chǎn)品在國內(nèi)網(wǎng)絡(luò)生態(tài)系統(tǒng)中的應(yīng)用。

5.2? ? 關(guān)鍵過程域的成熟度等級達(dá)到“充分級”

根據(jù)表20的能力維度分，結(jié)合表3的能力維度權(quán)重，按照KPAs=Cs文化教育*W文化教育+Cs技術(shù)工具*W技術(shù)工具+Cs政策戰(zhàn)略*W政策戰(zhàn)略+Cs組織建設(shè)*W組織建設(shè)+Cs立法司法*W立法司法，計算得到數(shù)據(jù)本地存儲7.15分、數(shù)據(jù)跨境流動6.95分、數(shù)據(jù)域外管轄6.53分，對照表2可知這三個關(guān)鍵過程域均為充分級。如果將分值趨近6分、7分和8分視為低段、中段和高段，意味著數(shù)據(jù)本地存儲和數(shù)據(jù)跨境流動趨近該等級中段，但數(shù)據(jù)域外管轄更趨近該等級低段，故可以認(rèn)為實際上仍處于必要級與充分級之間。

從關(guān)鍵過程域分來看，我國數(shù)據(jù)主權(quán)安全的各關(guān)鍵過程域都達(dá)到充分級，但數(shù)據(jù)域外管轄還需要進(jìn)一步加強(qiáng)，結(jié)合表19來看，具體可以從文化教育方面展開。數(shù)據(jù)域外管轄的文化教育成熟度等級僅達(dá)到“必要級”，符合我國的現(xiàn)實情況，即與歐美積極主權(quán)“長臂管轄”不同，我國主張“和平共處五項原則”，“域外管轄”與絕大部分民眾日常生活關(guān)聯(lián)性不大，因此在民眾觀念上就不太重視域外管轄，因而域外管轄的“文化教育”能力維度得分不高。由于“域外管轄”本身具有擴(kuò)展屬性，國家層面不得不重視域外管轄，因此該關(guān)鍵過程域仍能保持在“必要級”水平。建議以《數(shù)據(jù)安全法》的頒布為契機(jī)，重視宣傳該法第2條第2款規(guī)定的“長臂管轄”，增強(qiáng)民眾對于國家維護(hù)數(shù)據(jù)主權(quán)能力的信任。

5.3? ? 數(shù)據(jù)主權(quán)安全能力成熟度等級達(dá)到“充分級”

在KPAs基礎(chǔ)上，結(jié)合表4的關(guān)鍵過程域權(quán)重，按照DSSMs=KPAs數(shù)據(jù)本地存儲*W數(shù)據(jù)本地存儲+KPAs數(shù)據(jù)跨境流動*W數(shù)據(jù)跨境流動+KPAs數(shù)據(jù)域外管轄*W數(shù)據(jù)域外管轄，計算得到數(shù)據(jù)主權(quán)安全能力分6.98分，對照表2可知我國數(shù)據(jù)主權(quán)安全能力成熟度達(dá)到了充分級，在充分級中處于中段水平。

總的來說，我國數(shù)據(jù)主權(quán)安全能力成熟度和我國當(dāng)前的國際地位大致相當(dāng)，“充分級”意味著國家有能力對外輸出數(shù)據(jù)主權(quán)安全價值觀，能夠持續(xù)為維護(hù)數(shù)據(jù)主權(quán)安全提供充分保障。我國應(yīng)繼續(xù)保持或加強(qiáng)數(shù)據(jù)主權(quán)安全能力，尤其是加強(qiáng)數(shù)據(jù)域外管轄能力。《數(shù)據(jù)安全法》已經(jīng)規(guī)定了長臂管轄原則，今后應(yīng)該及時在域外司法活動之中加以運用。

6? ?結(jié)語

在數(shù)據(jù)時代，數(shù)據(jù)主權(quán)安全對于實現(xiàn)國家總體安全具有重要意義，評估我國數(shù)據(jù)主權(quán)安全能力并提出相應(yīng)建議，對于持續(xù)提高數(shù)據(jù)主權(quán)安全水平具有積極意義?；贒SSCMM評估我國數(shù)據(jù)主權(quán)安全能力成熟度的過程，實際上也是檢驗和驗證該模型的過程。通過取樣研究，按照該模型的關(guān)鍵過程域、能力維度和成熟度等級描述展開評估工作，并能得到有效的結(jié)果，說明該模型內(nèi)部是自洽的，其整體運行機(jī)理是可行的。

本文可能的創(chuàng)新在于，在DSSCMM基礎(chǔ)上構(gòu)建了具體的評估流程和方法，在此過程中針對評估需要提出“邊際取樣法”和“樣本賦分法”，可以提高評估工作效率，并在一定程度上增強(qiáng)評估結(jié)果的客觀性，可為今后應(yīng)用該模型提供參考，也可為其他評估研究提供方法指導(dǎo)。不足之處在于，本文從學(xué)術(shù)角度展開示例性研究，而不是實際評估，故未實施評估流程第九步以校正各項評估結(jié)果，運用專家調(diào)查法確定各關(guān)鍵過程域的能力維度權(quán)重時，邀請的專家數(shù)量不夠大，導(dǎo)致計算關(guān)鍵過程域分、數(shù)據(jù)主權(quán)安全能力分會存在誤差。在后續(xù)的研究中可以考慮兩個方面：其一，大規(guī)模增加專家調(diào)查法確定權(quán)重時的樣本數(shù)量，將權(quán)重確定在一個比較穩(wěn)定的范圍，進(jìn)而提出修正因子;其二，對包括國家、地方政府、大型涉數(shù)據(jù)業(yè)務(wù)的私營企業(yè)在內(nèi)的主體維護(hù)數(shù)據(jù)主權(quán)安全能力成熟度進(jìn)行評估。

參考文獻(xiàn)：

[1]? 冉從敬，陳貴容，王歡.歐美跨境數(shù)據(jù)流動管轄沖突表現(xiàn)形式及主要解決途徑研究[J].圖書與情報，2020（3）：77-85.

[2]? 葉蘭.數(shù)據(jù)管理能力成熟度模型比較研究與啟示[J].圖書情報工作，2020，64（13）：51-57.

[3]? 葉蘭.研究數(shù)據(jù)管理能力成熟度模型評析[J].圖書情報知識，2015（2）：115-123.

[4]? 黨洪莉，譚海兵.基于DMM的數(shù)據(jù)管理成熟度模型及在服務(wù)評估中的應(yīng)用[J].現(xiàn)代情報，2017，37（9）：118-121.

[5]? 牛春華，吳艷艷，劉紅兵.公共安全數(shù)據(jù)管理能力成熟度模型構(gòu)建[J].圖書與情報，2019（4）：22-28.

[6]? 秦中云.大數(shù)據(jù)環(huán)境下高校圖書館數(shù)據(jù)治理及成熟度模型研究[J].新世紀(jì)圖書館，2019（11）：62-67.

[7]? 吳錦池，余維杰.圖書館數(shù)據(jù)治理成熟度評價體系構(gòu)建[J].情報科學(xué)，2021，39（1）：65-71.

[8]? 周林興，韓永繼.檔案數(shù)據(jù)安全治理能力成熟度模型構(gòu)建研究[J].檔案與建設(shè)，2020（7）：24-27，19.

[9]? 李克鵬，梅婧婷，鄭斌，等.大數(shù)據(jù)安全能力成熟度模型標(biāo)準(zhǔn)研究[J].信息技術(shù)與標(biāo)準(zhǔn)化，2016（7）：59-61.

[10]? 鄭斌.企業(yè)數(shù)據(jù)安全能力框架——數(shù)據(jù)安全能力成熟度模型的構(gòu)建及應(yīng)用[J].信息安全與通信保密，2017（11）：70-78.

[11]? 程芳，趙彥慶，王磊.基于數(shù)據(jù)服務(wù)平臺的數(shù)據(jù)質(zhì)量能力成熟度模型研究[J].標(biāo)準(zhǔn)科學(xué)，2020（10）：120-123.

[12]? 肖秋會，陳夢.基于CMM的機(jī)構(gòu)數(shù)字保存能力成熟度模型研究[J].檔案學(xué)通訊，2016（1）：55-60.

[13]? 楊錦坤，韓春花，韋廣昊，等.海洋數(shù)據(jù)管理能力成熟度評估模型研究初探[J].海洋信息，2020，35（4）：1-8.

[14]? 國家質(zhì)量監(jiān)督檢驗檢疫總局、中國國家標(biāo)準(zhǔn)化管理委員會.信息安全技術(shù) 數(shù)據(jù)中心服務(wù)能力成熟度模型（GB/T33136-2016）[R/OL].[2021-06-26].http：//c.gb688.cn/bzgk/gb/showGb？type=online&hcno=F7A2242CAA62FD4466E8BAB0F92661D8.

[15]? 國家質(zhì)量監(jiān)督檢驗檢疫總局、中國國家標(biāo)準(zhǔn)化管理委員會.數(shù)據(jù)管理能力成熟度評估模型（GB/T36073-2018）[R].中國標(biāo)準(zhǔn)出版社，2013，3：1-38.

[16]? 國家市場監(jiān)督管理總局、中國國家標(biāo)準(zhǔn)化管理委員會.信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型（GB/T37988-2019）[R].中國標(biāo)準(zhǔn)出版社，2019，8：54.

[17]? 王大壯.知識服務(wù)視角下數(shù)字圖書館移動服務(wù)能力成熟度評價模型研究[J].農(nóng)業(yè)圖書情報學(xué)刊，2017，29（3）：14-17.

[18]? 張旭，趙彬，盧恒，等.高校圖書館智庫服務(wù)能力成熟度模型及評價研究[J].圖書館，2019（7）：26-33.

[19]? 高凡，孫超，吳振新.基于CMM的長期保存能力成熟度評價框架設(shè)計[J/OL].情報理論與實踐：1-11[2021-06-27].http：//kns.cnki.net/kcms/detail/11.1762.G3.20210602.1339.006.html.

[20]? 周茜.基于“滿意鏡像”理論的移動數(shù)字圖書館服務(wù)能力成熟度評價研究[J].中國中醫(yī)藥圖書情報雜志，2018，42（5）：30-33.

[21]? 周瑩，劉佳，梁文佳，等.數(shù)字圖書館知識服務(wù)能力成熟度評價模型研究[J].情報科學(xué)，2016，34（6）：63-66，86.

[22]? 史敏，劉素華，李維思，等.面向技術(shù)創(chuàng)新的企業(yè)信息情報能力成熟度診斷模型研究[J].圖書情報工作，2013，57（24）：106-111.

[23]? 終于落地！《數(shù)據(jù)安全法》首次明確長臂管轄權(quán)[EB/OL].[2021-06-20].https：//baijiahao.baidu.com/s？id=1702324123544855289&wfr=spider&for=pc.

作者簡介：文禹衡（1989-），男，湘潭大學(xué)知識產(chǎn)權(quán)學(xué)院講師，研究方向：數(shù)據(jù)主權(quán)、數(shù)據(jù)產(chǎn)權(quán)與數(shù)據(jù)權(quán)力;戴文怡（1994-），女，湘潭大學(xué)知識產(chǎn)權(quán)學(xué)院碩士研究生，研究方向：數(shù)據(jù)主權(quán)。