数据主权安全能力的成熟度模型构建研究

2021-10-21 15:25黄海瑛文禹衡

图书与情报 2021年4期

黄海瑛　文禹衡

摘要：构建数据主权安全能力成熟度模型，用于评价国家的数据主权安全能力状况，针对薄弱环节提出改进策略，为今后制定相关标准提供智力支持。以能力成熟度模型的标准和相关研究成果为基础，运用层次分析法，确定模型的三维结构，识别关键过程域，构建能力维度，进而划定成熟度等级。数据主权安全能力成熟度模型由“数据本地存储”“数据跨境流动”和“数据域外管辖”3个关键过程域，“文化教育”“技术工具”“政策战略”“组织建设”和“立法司法”5项能力维度，以及“初始级”“发展级”“必要级”“充分级”和“优化级”5级成熟度共同构成。其中，能力维度包括19种构成要素，其是描述能力成熟度等级所要求的29个关键实践的基础。

关键词：DSSCMM;数据主权;安全能力;成熟度等级;数据流动

中图分类号：G203 文献标识码：A DOI：10.11968/tsyqb.1003-6938.2021054

Research on the Maturity Model of Data Sovereignty Security Capability

Abstract This Paper aims to build a maturity model of data sovereignty security capability for evaluating the state of a countrys data sovereignty security capability and proposing improvement strategies for weak links， so as to provide intellectual support for the formulation of relevant standards in the future. Based on the standards of the capability maturity model and related research results， the three-dimensional structure of the model， with the analytic hierarchy process， is determined， the key process areas are identified， the capability dimension is constructed， and the maturity level is determined. The study found that the maturity model of data sovereignty security capability consists of three key process areas， namely， "local data storage"， "cross-border data flow" and "extraterritorial jurisdiction of data"， five capability dimensions ， namely， "cultural education"， "technical tools"， "policy strategies"， "organizational construction"， and "legislation and judiciary"， and five maturity levels， namely， "initial level"， "development level"， "necessary level"， "sufficiency level" and "optimization level". In which the capability dimension includes 19 components， which are the basis for describing the 29 key practices required by the capability maturity level.

Key words DSSCMM; data sovereignty; security capability; maturity level; data flow

1 引言

當前，人们对于数据重要性的认知已经从“黄金”“石油”上升到了“生产要素”，数据不仅关系到生产生活、社会治理，也关乎国家安全，由此主张国家数据主权成为大国博弈的必然趋势。从对外发布的政策文件等来看，欧盟强化数据主权/数字主权力度比其他国家和地区都要大。如果不局限于政策文件中是否出现“数据主权”及其类似字词，会发现美国和中国等国家也都在不断地强化数据主权。然而，一国数据主权安全能力到底如何却不得而知。诚然，主权的概念范畴随着社会发展而不断扩展，已从传统的领土、领海、领空主权扩展到信息主权、网络主权、数据主权，数据主权成为新的概念分支并占据主权体系版图核心[1]。关于主权的研究成果从来都不曾匮乏，但“数据主权”相关研究尚不算丰富：国内主要集中在数据主权概念及其运用前景[2]，数据主权的保障[3]、捍卫[4]和保护[5]，美国数据主权战略[6]，以及以数据主权为视角研究欧盟数据空间治理[7]、数据跨境管理[8]、数据跨境流动的管辖冲突[9]等问题;国外学者回顾数据主权概念的不同内涵并提出概念网格以将其系统化[10]，考察金砖国家的数据主权实践、分析数据主权需求[11]，探讨具体国家（印度尼西亚）对数据主权的要求并提出初步技术建议[12]，以及提出使用位置加密方法解决基于云计算的智慧城市应用中产生的数据主权威胁[13]。总体而言，研究成果既有侧重于概念性、经验性，也有涉及实践和需求的研究，虽然有部分学者意识到“国家数据主权安全制度保障体系的构建已变得不可或缺”[4]，但并未界定数据主权安全定义，更没深入到数据主权安全能力层面，也就遑论评估数据主权安全能力成熟度如何。鉴于此，本文拟提出数据主权安全能力概念并构建模型，评估数据主权安全能力成熟度，便于国家可量化了解国家数据主权安全状态，并有针对性地持续提升本国数据主权安全。

2 相关概念与文献综述

2.1 核心概念界定

在我国，“数据主权”的官方文件表述可以追溯到《深圳市服务外包产业发展规划（2012-2015）》，此时“数据主权”被视为数据云服务范畴（DAAS），2015年的《促进大数据发展行动纲要》首次提出“增强网络空间数据主权保护能力”。截至目前，官方文本并未界定何为数据主权，似乎人们已经默认理解“数据主权”就是“主权”的一种延伸。在理解数据安全、数据安全能力、能力成熟度定义[14]基础上，还需掌握以下几组有关数据主权安全的概念及其要义。

（1）数据主权安全，是指主权国家采取措施确保对本国数据处于有效控制和保护的状态。将“主权”的主体分为国家、企业和个人是不严谨的，“主权”概念内在地要求其必须是立足于国家高度，相对国内外所有主体对数据的“自主自决”，故不宜在具体的模型构建过程中纠缠于细枝末节。（2）数据主权安全能力，是指国家在文化教育、技术工具、政策战略、组织建设和立法司法等方面采取措施保障数据主权的安全。（3）数据主权安全能力成熟度，是指衡量国家维护数据主权安全的可持续性、有效程度和可信任度的水平。

2.2 相关文献综述

一般认为，能力成熟度模型可追溯到美国卡耐基梅隆大学软件工程研究所1986年开始开发的软件能力成熟度模型（Capability Maturity Model，CMM）[15]，其内部结构包括关键过程域、公共特性和关键实践[16]。尽管CMM已经被能力成熟度模型集成（Capability Maturity Model Integration）取代，但是CMM启发了多种模型的诞生，如人力资源能力成熟度模型[17-18]、系统安全能力成熟度模型[19]和系统工程能力成熟度模型[20]。随着对CMM认识和研究的不断深入，其被广泛应用于管理、教育、数据、计算机、医疗等不同领域。就数据领域的能力成熟度而言，主要涉及数据管理、数据治理、数据安全、数据质量、数字保存等方面。

（1）数据管理能力成熟度研究主要集中在图书馆领域，涉及公共安全、海洋数据管理等。如叶兰[21]比较3个科研数据管理能力成熟度模型，建议高校应根据评估目标选择合适的评价模型，还比较了7个数据管理能力成熟度模型，为图书馆选择与应用数据管理能力成熟度模型提供参考方案[22];党洪莉和谭海兵[24]以衡量图书馆数据管理能力的5项能力内容构建图书馆数据管理及服务能力成熟度模型;牛春华等[23]以4个关键过程域、20个关键实践和5个成熟度等级为内容构建公共安全数据管理能力成熟度模型;杨锦坤等[25]以8个能力域、28个能力项目为内容构建海洋数据管理能力成熟度评估模型并进行评估。

（2）数据治理能力成熟度研究主要集中在图书馆，涉及档案馆、医院领域。如秦中云[26]以6项数据治理能力、6个数据资产生命周期和5个成熟度模型等级为内容构建高校图书馆数据治理成熟度模型，吴锦池和余维杰[27]以3个图书馆数据治理要素、4个数据处理流程、5个成熟度等级为内容构建图书馆数据治理能力成熟度模型。周林兴和韩永继[28]以5个关键域、5个成熟度等级为内容构建档案数据安全治理能力成熟度模，谢刚等[29]以五个成熟度等级、3个一级指标、7个二级指标和22个三级指标为内容构建多科性医院大数据治理能力成熟度模型。

（3）其他与数据相关的能力成熟度研究涉及数据安全、数据质量和数字保存。在数据安全能力成熟度方面，李克鹏[30]等介绍了大数据安全能力成熟度模型标准;郑斌[31]阐释了数据安全能力成熟度模型的构建及应用;在数据质量能力成熟度方面，程芳等[32]以5个要素、3个能力域和5个成熟度等级为内容构建数据质量能力成熟度模型;在数字保存能力成熟度方面，肖秋会和陈梦[33]构建了包括4个成熟度等级和13个性能指标的数字保存能力成熟度模型及评价体系。

综上，从现有研究成果来看，其能为本研究提供参考和启示。首先，大多数模型构建仍是基于CMM的思想，尤其是成熟度等级几乎都是设定为5级，等级名称表述上可能有差别，但本质上变动不大;其次，大多数模型都包括關键过程、能力维度、成熟度等级三个方面，除了成熟度等级以外，其它两方面的名称表述有所区别;再次，数据安全能力成熟度方面的研究成果偏少，但从《信息安全技术数据安全能力成熟度模型》的内容来看，其已经转化为国家标准;最后，尚未涉及数据主权安全能力成熟度的研究。

3 研究思路

由于目前学界和业界尚未构建数据主权安全能力成熟度模型，没有直接相关的成果作为研究基础，故以“数据能力成熟度”相关标准和学术成果为基础，结合数据主权的特征，构建数据主权安全能力成熟度模型。“标准”的数据获取，以全国标准信息公告服务平台[34]为数据来源，以“数据能力成熟度”为检索词进行篇名模糊检索，检索范围为全部，即包含国家标准计划、国家标准、行业标准和地方标准，共获取8条检索结果，其中国家标准计划4项、国家标准3项、行业标准1项。由于国家标准计划与国家标准存在交叉重复情况，如果国家标准计划没有成为正式的国家标准则计入样本，否则不计入样本，如此去重后获得有效样本5个，其中国家标准计划1项、国家标准3项、行业标准1项，而真正属于模型类的只有3项国家标准，分别涉及数据的服务、管理、安全领域。

3.1 确定模型结构

我国数据领域三个典型“能力成熟度模型”国家推荐标准分别是《信息技术服务数据中心服务能力成熟度模型》《数据管理能力成熟度评估模型》和《信息安全技术数据安全能力成熟度模型》，前两者是“二维”结构——能力域和成熟度，后者是“三维”结构——过程域、能力维度、成熟度。根据数据主权涉及“国内”“域外”，数据主权安全能力不仅要涉及能力域（或称“能力维度”）和“成熟度”，还必须考虑不同过程域，因此采用“三维”结构建构模型。

3.2 识别关键过程域

目前没有相关研究成果提出数据主权过程域，因此数据主权安全能力过程域的提出和确定是本研究的最大挑战。拟根据主权的内在要求和数据跨境流动周期，确定“本地存储”“跨境流动”和“域外管辖”三个关键过程域，之所以称之为“关键过程域”，是考虑到后續随着情势变更对过程域加以完善。

3.3 构建能力维度

能力维度关系评估的具体内容，与评估对象密切相关，不同类型的评估模型，其能力维度是不同的。尽管其他模型的能力维度的“能力项”或“二级指标”可参考性并不大，但有关国家层面的安全能力模型在宏观方面仍具有指导意义，如国家网络安全能力成熟度模型（Cybersecurity Capacity Maturity Model for Nations）[35]。最终还需要根据数据主权的内在要求，构建其安全能力维度及其构成要素。

3.4 划分成熟度等级

关于能力成熟度等级的成果丰富，但是既有研究基本上都会溯源CMM，将软件开发划分为“初始级”“可重复级”“已定义级”“已管理级”和“优化级”五个成熟度等级。在此基础上，参考我国现行数据类国家标准中的能力成熟度等级，进而确定数据主权安全能力成熟度等级。

4 研究结果

4.1 数据主权安全的关键过程域

数据主权与数据跨境已经得到学者关注，如研究数据主权与数据跨境管理[8]、云数据跨境流动法律规制等[36]，然而数据主权与本地存储的关系并未被认真对待。从数据产生开始，如果实现本地存储并限制在本国之内流动，那么此种状态下的数据主权安全性非常之高，但国与国之间经济、贸易、文化、体育等各领域间的交流，不可避免地需要利用网络实现数据流动，数据也就不可避免地流动到其他国家。如此，数据在产生之后，在国与国之间形成“存储-流动-存储”的跨境流动周期。如果将数据的“本地存储”“跨境流动”和“域外管辖”各自量化为1个单位，以国“境”为边界（暂不论是地理边界、法域边界还是网络空间边界），那么国内占1.5、国外占1.5，因为处于中间过程的“跨境流动”涉及国内外。在数据跨境流动周期中，需要解决三个问题：（1）如何确保数据跨境流动前的主权安全，即本国之内的“最高权威”，由“本地存储”解决;（2）如何确保数据跨境流动时的主权安全，即跨境过程的“有序可控”，由“跨境流动”解决;（3）如何确保数据跨境流动之后的主权安全，即域外的“自主自决”，由“域外管辖”解决。如此，按照事前预防、事中控制和事后处置的逻辑展开，可形成数据主权安全的三个关键过程域——数据本地存储、数据跨境流动和数据域外管辖。

4.1.1 数据本地存储

数据本地存储，是指主权国家通过法律、政策等制度强制数据存储在本国境内，任何本国和境外主体实施数据活动必须通过主权国家境内服务器。这里的“本地”并不是与“云端”相对称的概念，而是指主权国家境内的物理服务器。与现实空间不同，网络空间是由网络协议、硬件设备、软件程序等所构建的。数据存储必须借助相应的媒介载体，而要求该媒介载体所安放的现实空间必须在主权国家境内。

4.1.2 数据跨境流动

数据跨境流动，是指数据随着主体跨越主权国家地理边境实施访问、采集、修改、存储等活动而传输的过程。数据跨境流动中的“跨境”通常被理解为“出境”，其还应当包括“入境”。数据出境主要控制的是本国任何数据流动到境外，而数据入境是控制境外有害数据流入到国内。

4.1.3 数据域外管辖

数据域外管辖，是指主权国家的数据立法适用范围和数据司法权力在域外行使。一般而言，管辖权包括立法管辖、执法管辖和司法管辖，但是各主权国家执法管辖一般都在领土范围内适用，因而数据域外管辖主要包括域外立法管辖和域外司法管辖。域外立法管辖，是指将本国数据立法的适用范围延伸到境外;域外司法管辖，是指法院在境外行使数据司法权力的能力。

4.2 数据主权安全的能力维度

考察任何事物的能力都可以从多个维度展开，但是这些维度并不是随机组合的，而是遵循一定的内在逻辑。对于数据主权安全而言，考察其能力维度不能过于宏观，而应当立足于国家的高度来设置能力维度。本研究大致按照“公众意识”“技术控制”“战略规划”“责任主体”和“法治保障”思路，确定文化教育、技术工具、政策战略、组织建设和立法司法五个能力维度，每个能力维度又由若干核心要素构成。

4.2.1 文化教育

网络生态空间中的个体、企业、社会团体、政府、国家等不同层次参与主体之间所形成的数据主权文化，关系到民众对于数据主权接受和遵从程度，尤其是国家在数据主权安全教育、培训和意识提升等方面的内容开发，以及为不同层次参与主体提供的教育、培训活动，数据主权教育的实施对于数据主权文化形成起到至关重要的作用。该维度主要由四个要素构成：（1）数据主权观念及其强化，旨在评估不同层次参与主体对数据主权的态度和实践，以及面向公共部门、学术界、民间团体和公众的数据主权知识普及、意识强化的规划可获得性、供给和接受情况;（2）对政府或国家的信任，因数据荷载隐私、个人信息、商业秘密等多重法益，公众能感知国家具备维护数据主权的能力，决定了其是否支持国家数据主权;（3）专业培训体系，侧重的是数据主权安全专业培训对于网络安全、信息安全和数据安全等相关领域专业人员的可获得性和供给情况，包括相关专业技能证书授予、岗前培训、继续教育等;（4）数据主权安全教育规划，旨在评估初等、中等和高等教育领域中涉及数据主权（包括但不限于数据安全、数据保护、数据治理）教育的普及度和可获得性。

4.2.2 技术工具

国家及国内组织开发数据标准以及安全技术和工具，以柔性方式增强本国数据资源的控制力。该维度主要由四个要素构成：（1）数据标准供给，主导制定强制性和推荐性国家标准（准则）、国际标准（准则）;（2）与数据相关的关键基础设施，包括网络基础设施、关键信息基础设施、关键数据基础设施等的部署、可用性以及维护能力;（3）软件控制，政府部门、司法部门等国有性质的部门以及涉及公共事务的私营部门使用软件的终端控制应该在国内，确保静态数据和动态数据的安全;（4）自动化工具对数据安全工作的支撑程度。

4.2.3 政策战略

从宏观层面反映国家维护数据主权安全的意图和需求，并开展数据主权安全的战略规划、政策制定，以及相关机制构建，该维度主要由四个要素构成：（1）国家数据主权战略，制定国家层面的数据主权战略，提升数据主权安全的优先次序并确定相应的资源配置;（2）国家数据主权政策，政府部门出台数据主权相关政策，用于解决数据主权安全具体事宜;（3）数据安全应急管理，国家层面建立、监测、预警和处置数据大规模泄露、非法流动等数据安全事件的能力;（4）数据安全报告机制，面向个体、企业以及相关部门建立报告机制，便于相关主体报告数据安全侵害事件，以及寻求维护数据安全的帮助。

4.2.4 组织建设

从责任主体角度考虑，开展维护数据主权安全工作的国家，应具备相应的组织建设能力。该维度主要由三个要素构成：（1）组织架构的专业性，国家是否设立政府部门或机构專司数据主权安全相关工作，或者是依靠其他相关官方机构能够承担数据主权安全工作，除此之外还要考虑是否主导建立公共机构、研发机构和非政府组织等;（2）工作职责的明确度，负责数据主权安全相关工作内容是否具体明确，负责数据的本地存储、跨境流动、司法管辖等的全部或部分工作，抑或是负责数据相关立法、政策制定、风险评估等事务;（3）运作协调的领导力，组织架构的地位决定其对于数据安全相关事务的领导能力，如国家级的组织机构对于全国范围内涉数据主权事务都有管理权限，而地方省市的组织机构就局限于本行政区域内涉数据主权事务。

4.2.5 立法司法

国家（政府）直接或间接地开展数据主权相关的立法、司法的能力，以及国际司法合作情况。该维度主要由四个要素构成：（1）法律法规体系，包括数据确权、数据交易、数据安全、数据犯罪和关键（网络/信息/数据）基础设施安全在内的实体性和程序性立法;（2）民事司法能力，聚焦于国家司法解决数据纠纷的能力，包括在没有直接规定数据的法律的规范情况下，如何运用司法技术解决数据纠纷;（3）刑事司法能力，侧重国家打击数据犯罪的能力，包括侦查机关调查数据违法活动的能力、检察机关公诉数据犯罪的能力和法院审理数据犯罪的能力，以及各阶段获取和使用电子数据（证据）的能力;（4）国际司法合作框架，确保本国与其他国家和地区之间通过正式/非正式合作，实现司法交流、协助。

4.3 数据主权安全能力的成熟度等级

我国现行数据类的不同国家标准中的模型成熟度等级（见表1）的相同点在于，均以CMM的“初始级”“可重复级”“已定义级”“已管理级”和“优化级”为基础划分为五个级别，虽然各级别的名称并不一致，如“一级”分别为“非正式执行”“初始级”“起始级”，又如“五级”分别为“持续优化”“优化级”“卓越级”，但是其内在本质相差不大，只不过是根据具体主题类型体现各自特征。鉴于此，数据主权安全能力成熟度等级也划分为五个等级，考虑到数据主权安全特性，将一至五级分别称为“初始级”“发展级”“必要级”“充分级”和“优化级”。

该部分是对数据主权安全能力各关键过程域的能力维度成熟度等级的总体描述，各关键过程域的各能力维度的等级成熟度的具体描述，需要在开展评估工作之前结合所在关键过程域特征另行描述。如“文化教育”的关键实践第1级要求中的“数据主权意识”（见4.3.1），在评估数据本地存储时应该理解为“数据本地存储意识”，在评估“数据跨境流动时”应该理解为“数据跨境流动意识”，以此类推。同理，本节第1-5级中的成熟度等级均为总体描述，考虑到篇幅，不再根据不同关键过程域逐一描述，今后具体制定数据主权安全能力成熟度标准时可以通过附录逐一列出。

4.3.1 第I级：初始级

该等级是最低一级，仅对“文化教育”维度有要求，而不要求其他能力维度。其主要特征在于意识形成，即处于这一级的国家，学术界等非官方组织形成数据主权意识，且官方已明确主张网络主权。之所以要求官方明确主张网络主权，是因为当下在网络空间谈论数据才有意义，网络主权尽管无法解决应属于数据主权方面的全部问题，但依然具有一定的解释空间。换言之，数据主权形成于网络主权，当其发展到一定阶段时才脱胎于网络主权。

4.3.2 第II级：发展级

除“数据域外管辖”这一关键过程域的该等级不考虑“技术工具”能力维度以外，其他关键过程域该等级对“文化教育”和“技术工具”有所要求。其共同特征在于，处于这一等级的国家已意识到数据主权的重要性，具备初步维护数据主权安全的条件和环境。在“文化教育”方面，官方文件直接或间接表述数据主权，或在特定场合直接或间接地声明数据主权;在“技术工具”方面，已经发布制定数据主权相关国家标准的计划，且官方部门使用的主要软件程序属于国内产品。

4.3.3 第III级：必要级

除“数据域外管辖”这一关键过程域的该等级不考虑“技术工具”能力维度以外，其他关键过程域该等级对五项能力维度都有所要求。其共同特征在于，处于这一等级的国家已将数据主权视为重要的国际博弈工具，能够有效地定义、识别和维护数据主权安全能力。在“文化教育”方面，公众能感知国家具备维护数据主权安全的能力;在“技术工具”方面，已经正式发布数据主权相关国家标准，且具有部署和维护数据主权安全相关的关键基础设施的实践;在“政策战略”方面，国家层面有应对大规模数据泄露等安全事件的能力;在“组织建设”方面，能够依靠有关机构承担数据主权安全领域相关工作;在“立法司法”方面，检察院、法院用现有法律体系能够处理数据主权类案件，且侦查机关具备侦查危害数据主权安全违法活动的能力。

4.3.4 第IV级：充分级

除“数据域外管辖”这一关键过程域的该等级不考虑“技术工具”能力维度以外，其他关键过程域该等级对五项能力维度都有所要求。其共性特征在于，处于这一等级的国家积极对外输出数据主权安全价值观，能够定期为维护数据主权安全提供充分保障。在“文化教育”方面，已形成数据主权安全相关的专业培训体系;在“技术工具”方面，已正式发布专门性的数据主权类国家标准，且呈现多领域覆盖趋势;在“政策战略”方面，国家层面制定数据主权战略或政策;在“组织建设”方面，非国家层面已建立与数据主权安全相关的专门机构，且工作职责明确;在“立法司法”方面，国内出台数据主权安全法律。

4.3.5 第V级：优化级

除“数据域外管辖”这一关键过程域的该等级不考虑“技术工具”能力维度以外，其他关键过程域该等级对五项能力维度都有所要求。其共性特征在于，处于这一等级的国家将数据主权安全能力视为常规性工作，并进入持续优化工作阶段。在“文化教育”方面，已形成专门性的数据主权安全专业培训体系，且实施数据主权安全教育规划;在“技术工具”方面，主导制定数据主权相关国际标准，且已开发半自动或自动化工具支撑数据主权安全相关评估工作;在“政策战略”方面，数据主权安全报告机制健全畅通;在“组织建设”方面，国家层面建立数据主权安全相关的专门机构，并统筹全国性数据主权安全领域工作，且领导地方相应机构处理数据主权安全事务;在“立法司法”方面，国内出台数据确权与交易、数据犯罪和关键基础设施等数据相关主题立法，且建立专门的数据国际司法合作框架。

5 结论与讨论

5.1 模型简介

本研究在借鉴CMM和DSCMM基础上，按照以关键过程域为主线、能力维度为内容和成熟度等级为结论的逻辑展开，结合数据主权的内在要求，构建了以数据主权安全的3大关键过程域、5项能力维度、5级成熟度为内容的三维数据主权安全能力成熟度模型（Data Sovereignty Security Capability Maturity Model，DSSCMM）（三维图见图1、二维图见图2）。3大关键过程域分别为“数据本地存储”“数据跨境流动”和“数据域外管辖”，5项能力维度分别为“文化教育”“技术工具”“政策战略”“组织建设”和“立法司法”，5层成熟度等级由低到高分别为“初始级”“发展级”“必要级”“充分级”和“优化级”。

其中，各能力维度的主要构成要素（见表2）共计19项，各成熟度等级对应的能力维度的关键实践（见表3）共计29个。不同成熟度等级对同一能力维度的关键实践有不同的要求，即同一能力维度的不同成熟度等级可能只有一个“关键实践”，也可能要求多个“关键实践”。每个能力维度在不同的关键过程域所占的权重不同，每个成熟度等级要求的各能力维度及其关键实践描述都不相同，它们共同构成了数据主权安全能力成熟度等级总体描述（见表3）。需要注意的是，由于本模型中的数据主权安全关键过程域由“数据本地存储”“数据跨境流动”和“数据域外管辖”构成，因此在总体描述数据主权安全关键过程域的成熟度等级所要求的能力维度关键实践时，三大关键过程域的实体概念都是使用“数据主权”表述加以统称，在实际使用该模型开展评估时，要结合所评估的关键过程域对“数据主权”加以理解和具体化。

5.2 模型内部结构关系

关键过程域是维护数据主权安全必须重点关注的对象领域，国家通过不同的关键过程可以实现数据主权的不同安全，同一过程域中的不同能力维度之间存在互补性，不同过程域的相同能力维度可体现国家某方面的综合能力。数据主权安全的关键过程域、能力维度与成熟度等级存在以下对应关系：

（1）每个数据主权安全关键过程域的能力成熟度划分为五个等级（见图2的X区域与Y区域组合），而不是每项能力维度划分为五个等级（见图2的Z区域与Y区域）。如并不要求将“文化教育”分为1-5级，而是将“数据本地存储”分为1-5级。

（2）不要求每个关键过程域都包括五项安全能力（见图2的X区域与Z區域组合），也不要求每个能力成熟度等级都从五项能力维度展开评定（见图2的Y区域与Z区域组合）。如数据域外管辖就不需要考虑“技术工具”，第1级和第2级都只要求“文化教育”。在短期内，每个关键过程域的能力维度的重要程度相对稳定，但是从长远来看，每个关键过程域的能力维度的重要性可能发生变化，也就是说能力维度在关键过程域中所占权重不同。在每一次具体评估工作开展前，由评估主体在组织评估之前采用专家调查法，确定各能力维度在各关键过程域中的所占权重，权重可以为零，建议邀请法学、管理学、数据科学、情报科学、信息科学、计算机科学等涉及数据安全或主权安全的不同领域专家，专家人数为10人以上，每一领域至少2人。

（3）在评估能力成熟度等级时，是针对每个等级应该具备的能力维度提出本等级所要求的关键实践，即根据每个能力维度的构成要素（见表2）提出关键实践情况（见表3）。如第1级的“文化教育”的两个关键实践是“非官方组织形成数据主权意识”和“官方已明确主张网络主权”，而第2级的“文化教育”的关键实践是“官方文件直接或间接地表述数据主权”，或在特定场合直接或间接地声明数据主权。

（4）关键过程域能力维度的高等级关键实践默认包括所有低于其的关键实践。如第3级“文化教育”的关键实践，除了该等级所要求的关键实践以外，包括第2级和第1级“文化教育”的关键实践。

6 结语

本文提出了“数据主权安全能力成熟度”命题并研究其模型构建，可能的创新或贡献在于：（1）提出了数据主权安全能力成熟度概念并构建模型，既可以用于评价主权国家的数据主权安全能力状况并针对薄弱环节提出改进策略，也可以用于量化并可视化呈现本国和他国的数据主权能力优势和差距，还为今后制定数据主权安全能力成熟度模型的相关标准提供智力支持;（2）提出了数据跨境流动周期概念并在此基础上形成了数据主权安全的关键过程域，对于后续相关研究和标准制定提供框架基础。当然，由于数据主权安全评估属于新兴领域，本文存在以下不足：（1）仅限于构建数据主权安全能力成熟度模型，而并未给出具体的评估流程和方法，也并未进行验证。对此不足之处，笔者将在后文《数据主权安全能力成熟度评估应用研究——以DSSCMM模型应用于中国的评估为例》中加以完善;（2）在关键实践描述方面需要逐步完善，因为数据主权的时代内涵不是一成不变，该模型本身就是基于这个时代的数据主权内在要求而构建的，为后续修正工作提供模型框架。后续研究需要扩展数据主权安全的过程域、能力维度，提出数据主权安全能力评估流程和方法，并在此基础上对我国或其他国家数据主权安全能力进行评估。

参考文献：

[1] 冉从敬.专题前言：超越地理疆界的网络与数据主权[J].信息资源管理学报，2019，9（2）：11.

[2] 蔡翠红.云时代数据主权概念及其运用前景[J].现代国际关系，2013（12）：58-65.

[3] 胡水晶，李伟.政府公共云服务中的数据主权及其保障策略探讨[J].情报杂志，2013，32（9）：157-162.

[4] 肖冬梅，文禹衡.在全球数据洪流中捍卫国家数据主权安全[J].红旗文稿，2017（9）：34-36.

[5] 程昊.从“云幕”法案看我国数据主权的保护[J].情报理论与实践，2019，42（4）：31-35.

[6] 黄海瑛，何梦婷.基于CLOUD法案的美国数据主权战略解读[J].信息资源管理学报，2019，9（2）：34-45.

[7] 彭芩萱，李白杨，李光辉.全球数据主权博弈背景下欧盟构建数据空间治理规则体系的现状与特点[J].信息资源管理学报，2021，11（2）：78-84.

[8] 邓崧，黄岚，马步涛.基于数据主权的数据跨境管理比较研究[J].情报杂志，2021，40（6）：119-126.

[9] 冉从敬，陈贵容，王欢.欧美跨境数据流动管辖冲突表现形式及主要解决途径研究[J].图书与情报，2020（3）：77-85

[10] Hummel P，Braun M，Tretter M，et al.Data sovereignty：A review[J].Big Data & Society，2021，8（1）：2053951720982012.

[11] Polatin-Reuben D，Wright J.An Internet with{BRICS}Characteristics： Data Sovereignty and the Balkanisation of the Internet[C].4th{USENIX}Workshop on Free and Open Communications on the Internet （{FOCI} 14），2014.

[12] Nugraha Y，Sastrosubroto A S.Towards data sovereignty in cyberspace[C].2015 3rd international conference on information and communication technology（ICoICT）.IEEE，2015：465-471.

[13] Esposito C，Castiglione A，Frattini F，et al.On data sovereignty in cloud-based computation offloading for smart cities applications[J].IEEE Internet of Things Journal，2018，6（3）：4521-4535.

[14] 国家市场监督管理总局、中国国家标准化管理委员会.信息安全技术数据安全能力成熟度模型（GB/T37988-2019）[R].中国标准出版社，2019，8：1.

[15] Paulk M C.A history of the capability maturity model for software[J].ASQ Software Quality Professional，2009，12（1）： 5-19.

[16] 何新贵，王纬，王方德.软件能力成熟度模型[M].北京：清华大学出版社，2001：23-26.

[17] Curtis B，Hefley W E，Miller S.People capability maturity model[M].Pittsburgh：Carnegie Mellon University，Software Engineering Institute，1995.

[18] Curtis B，Hefley B，Miller S.People capability maturity model（P-CMM）version 2.0[R].CARNEGIE-MELLON UNIV PITTSBURGH PA SOFTWARE ENGINEERING INST，2009.

[19] Ferraiolo K.The Systems Security Engineering Capability Maturity Model[C].[2021-06-13].https：//csrc.nist.rip/nissc/1998/proceedings/tutorB5.pdf.

[20] Bate R，Kuhn D，Wells C，et al.A systems engineering capability maturity model，Version 1.1[R].Carnegie-Mellon Univ Pittsburgh PA Software Engineering Inst，1995.

[21] 葉兰.研究数据管理能力成熟度模型评析[J].图书情报知识，2015（2）：115-123.

[22] 叶兰.数据管理能力成熟度模型比较研究与启示[J].图书情报工作，2020，64（13）：51-57.

[23] 牛春華，吴艳艳，刘红兵.公共安全数据管理能力成熟度模型构建[J].图书与情报，2019（4）：22-28.

[24] 党洪莉，谭海兵.基于DMM的数据管理成熟度模型及在服务评估中的应用[J].现代情报，2017，37（9）：118-121.

[25] 杨锦坤，韩春花，韦广昊，等.海洋数据管理能力成熟度评估模型研究初探[J].海洋信息，2020，35（4）：1-8.

[26] 秦中云.大数据环境下高校图书馆数据治理及成熟度模型研究[J].新世纪图书馆，2019（11）：62-67.

[27] 吴锦池，余维杰.图书馆数据治理成熟度评价体系构建[J].情报科学，2021，39（1）：65-71.

[28] 周林兴，韩永继.档案数据安全治理能力成熟度模型构建研究[J].档案与建设，2020（7）：24-27，19.

[29] 谢刚，孙玉军，李月云.基于未确知测度理论的多科性医院医疗大数据治理能力成熟度评价[J].技术经济，2019，38（9）：89-96.

[30] 李克鹏，梅婧婷，郑斌，等.大数据安全能力成熟度模型标准研究[J].信息技术与标准化，2016（7）：59-61.

[31] 郑斌.企业数据安全能力框架——数据安全能力成熟度模型的构建及应用[J].信息安全与通信保密，2017（11）：70-78.

[32] 程芳，赵彦庆，王磊.基于数据服务平台的数据质量能力成熟度模型研究[J].标准科学，2020（10）：120-123.