数据主权安全能力成熟度评估应用研究

文禹衡　戴文怡

摘   要：基于DSSCMM提出数据主权安全能力成熟度的评估方法和过程，评估后针对我国数据主权安全能力成熟度薄弱环节提出改进建议。构建并运用边际取样法确定有效样本，运用专家调查法确定关键过程域的能力维度权重，构建并运用样本赋分法计算能力维度分，进而确定关键过程域分和数据主权安全能力分。数据本地存储、数据跨境流动、数据域外管辖的能力成熟度都达到充分级，但数据域外管辖的能力成熟度实际上靠近必要级，我国数据主权安全能力成熟度达到充分级。进一步提升我国数据主权安全能力成熟度，宜从数据域外管辖的“文化教育”和数据本地存储、数据跨境流动的“技术工具”展开，尤其要重视在域外司法活动之中及时运用《数据安全法》的长臂管辖，以及引导和推广在国内网络生态系统中应用自主技术产品。

关键词：DSSCMM;数据主权安全;能力成熟度;边际取样法;样本赋分法

中图分类号：G203   文献标识码：A   DOI：10.11968/tsyqb.1003-6938.2021055

Research on the Maturity Evaluation of Data Sovereignty Security Capability in China Based on DSSCMM

——Discussion on the Evaluation Process and Method of DSSCMM

Abstract Based on DSSCMM， this paper puts forward the method and process of evaluating the maturity of data sovereignty security capability ， and puts forward some suggestions to improve the weakness of our country's data sovereignty security capability.Construct and use marginal sampling method to determine effective samples， apply expert investigation method to determine the weight of capability dimension， and use sample scoring method to calculate the scores of capability dimensions， then determine the key process area score and data sovereignty security capability score.The capacity maturity of data localization， cross-border data flow and data extraterritorial jurisdiction has reached a higher level， but the capacity maturity of data extraterritorial jurisdiction actually tends to be necessary level， and the data sovereignty security capacity maturity of our country has reached a sufficient level.In order to improve the maturity of our country's data sovereignty security capability， it is suggested that we should start from "culture and education" and "technical tools" of data local storage and data cross-border flow.Particular attention shall be paid to the timely application of the long-arm jurisdiction of the Data Security Law in extraterritorial judicial activities， and guide and promote the application of independent technology products in the domestic network ecosystem.

Key words DSSCMM; data sovereignty security; capability maturity; marginal sampling method; sample scoring method

1   引言

步入數字化时代、智能化社会以后，网络空间成为大国博弈的主要战场。网络空间的安全关系到各国的主权利益，由此网络主权概念应运而生，被认为是领土、领海、领空等传统主权之后的新型主权，但它们的共同点仍然在于基于空间意象而形成的主权观念。数据被中央文件定位为生产要素之后，其已经从原来的技术生产要素中独立出来，其重要性不言而喻。数据是网络空间基本的传输载体，其也被上升到主权的高度——数据主权观念逐渐形成。与传统主权、网络主权不同，数据主权不是一个空间架构，而是一个实体概念。在我国，既有研究成果大都认为2015年《促进大数据发展行动纲要》是官方首次提出“数据主权”，实际上表述“数据主权”的官方文件可以追溯到《深圳市服务外包产业发展规划（2012—2015）》。除此之外，2018年《福州市推进大数据发展三年行动计划（2018-2020年）》和《2018年测绘地理信息工作要点》都提到了数据主权，尤其是2021年的《最高人民法院关于人民法院为北京市国家服务业扩大开放综合示范区、中国（北京）自由贸易试验区建设提供司法服务和保障的意见》进一步提出“妥善处理国家安全、国家数据主权、企业数据产权和个人信息保护的关系，以及意思自治与行政监管的关系”。

可见，数据主权在我国不再只是学术界热议的主题，已经深入到探讨其数据主权管辖等深层次话题[1]，并逐渐在官方文件中有所体现。尽管还没有向“网络主权”那般直接进入法律规定，但是也通过“数据存储在境内”等相关表述间接强化了数据主权。那么，我国维护数据主权安全能力已经达到什么程度了呢？《数据主权安全能力的成熟度模型构建研究》构建了数据主权安全能力成熟度模型（DSSCMM）已经被构建，但并未给出具体评估流程和方法，且目前尚无评估我国数据主权安全能力成熟度的研究成果。鉴于此，本研究选择DSSCMM作为评估模型，构建具体的评估流程和方法，进而评估我国数据主权安全能力成熟度并客观呈现成熟度等级，对于我国加强数据主权安全体系建设具有重要意义。

2   研究综述

当前，与数据主权安全评估的相关研究成果几乎没有，选择的DSSCMM模型作为评估模型未给出该模型的具体评估方法，故研究综述主要集中在数据能力成熟度的评估方法。叶兰[2]比较国内外7个数据管理能力成熟度模型后的发现——各模型普遍存在的共同问题之一是缺乏包括评估方法、评估步骤在内的评估过程的指导与应用指南。尽管国内数据能力成熟度模型的相关研究涉及到图书馆[2-4]和公共安全[5]等领域的数据管理方面，图书馆[6-7]和档案[8]等领域的数据治理方面，以及数据安全[9-10]、数据质量[11]、数字保存[12]等方面，但是构建模型后给出具体评估流程和方法并开展评估的研究成果很少。如秦中云[6]构建高校图书馆数据治理成熟度评估模型，建议采用聘请专家调研并进行打分;杨锦坤等[13]评估海洋数据管理能力成熟度的评估方法体现在“拟定分值范围为1-10分，分数越高，等级越高”，但并未论证为何如此赋分。此外，从我国目前仅有的三类数据能力成熟度模型来看，《信息安全技术 数据中心服务能力成熟度模型》采取对能力项成熟度指标值进行加权平均的方法计算出数据中心服务能力成熟度指标值，对照给定的数据中心服务能力成熟度分级规则确定数据中心服务能力成熟度级别[14];《数据管理能力成熟度评估模型》[15]未给出评级方法;《信息安全技术 数据安全能力成熟度模型》未对评级方法做具体限定，但给出了综合判定参考方法[16]。

将检索范围扩大到“能力成熟度”：部分研究成果仅构建模型，如王大壮[17]构建数字图书馆移动服务能力成熟度评价模型;张旭等[18]构建高校图书馆智库服务能力成熟度模型;高凡等[19]介绍基于成熟度模型设计数字资源长期保存能力评价框架的应用流程也没有给出评级方法;部分研究成果构建模型后给出了评级方法，周茜[20]构建移动数字图书馆服务能力成熟度模型并建议运用“定性+定量”评价方法，周莹等[21]构建数字图书馆知识服务能力成熟度模型并提出根据各评价指标的权重及最高分值来确定衡量标准，肖秋会和陈梦[12]构建数字保存能力成熟度模型及评价体系并提出具体评价时采取复合指标评分的方法确定等级水平，史敏等[22]构建面向技术创新的企业信息情报能力成熟度诊断模型并给出了评价方法。

从既有相关研究成果来看，相比于构建数据能力成熟度相关模型很少有给出评估方法，构建其他能力成熟度模型并给出评估方法的成果要多一些，但给出评估方法的研究成果总体上仍然很少。然而，从给出的评估方法来看，没有一套普遍适用的方法，共同点在于评估方法都与其模型密切关联。这可能也是已发布的模型国家标准、既有的研究成果不限定評估方法，而只是给出参考评估方法的原因。由此，启示本研究在开展评估时不要企图去套用其他模型的评估流程和方法，而是根据DSSCMM构建一套契合本模型内在机理的评估流程和方法。

3   研究设计

3.1    选取与处理评估样本

由于评估对象是数据主权，有些维度的样本会涉及多个层面、多种形式，如DSSCMM的成熟度第2级“文化教育”能力维度的等级总体描述是“官方通过文件直接或间接地表述数据主权，或在特定场合直接或间接地声明数据主权”，这里的“官方文件”形式涉及法律法规、政策文件、新闻报道等，而“法律法规”又分为国家层面和地方层面等、“政策文件”也分为中央政策和地方政策等、“新闻报告”又有官方报道和民间传媒之分，再往下还可以细分。那么，如何确定样本呢？

尽管每一类型样本的数量标准并不能简单地依靠数量加以判断，因为涉及到效力问题，单纯依靠数量无法衡量其效力，而是需要评估人员根据具体内容加以确定。如关于“数据本地存储”，只要在法律中加以明确，哪怕是一个条文也具有很高的效力。但是，在评估中为减少主观性，还是应当依靠数量来衡量，其逻辑在于，相对于某事项作出一个规定，多个规定意味着其被重视的程度越高、管控意图越强。那么，样本数量以多少合适呢？为了现实有效评估，提出基于边际效应确定有效样本的方法（简称边际取样法），即在评估类研究中，具体实施某指标的评估时，针对待评指标选取样本，遵循边际效应原理确定最佳样本量，而不是按照整个研究随机采样或采全样本，每一个符合要求的样本计为“1样本量”，达到最佳样本量即可停止。边际取样法在评估类研究中比较适用，因为评估类研究仅需要确定是否达到了某种条件的程度。按照边际取样法，本研究计满3样本量就不再检索样本。如此，不同的评估人员，当其认真履行评估工作，即便找到的具体样本不一样，也会给出同样的分值，尽可能减少因人而异的误差。该边际取样法实际上是解决有效样本量的确定问题，需要从以下几个方面加以理解。

（1）为什么达到一定的样本量就停止检索呢？理由在于，对于样本的充分性考量类似“边际效应”——在其他投入（变量）不变的情况下，持续增加某一投入（变量），那么基于该投入（变量）所新增的产出或收益反而会逐渐减少。在社会治理领域，出台每一个治理措施（政策法规等）相当于投入，其所实现的治理效果相当于产出，假如每增加一个措施，表示对某事项重视程度越高、管控力度逐渐增强，那么当重视程度、管控力度达到临界值时，后续的重视程度、管控力度对于预期实现的效果已经可以忽略。当最后一个措施的出台，达到了理论上的临界值，此时称之为“措施饱和”状态。

（2）为什么是3样本量，而不是2个或5个呢？因为评估的是国家的数据主权安全能力，在同一效力位阶的样本不会很多，如涉及数据跨境流动事项在《网络安全法》已经作出规定（计1样本量），由于法律的位阶很高，此时意味着对数据跨境流动重视程度很高，国家可以不再就该事项在其他法律中作出规定，但是并不意味着其他的法律不会作出该事项规定，如《数据安全法》又对数据跨境流动作出规定（累计2样本量），此时意味着对数据跨境流动的重视程度更高了，依次类推累计满3样本量即可以认为达到了前述的措施饱和状态。一般而言，最高重视程度也就是专门出台关于数据跨境流动的法律。

（3）如果不是同一位阶的样本，如何选择有效样本量呢？样本按照效力位阶选择，先在最高效力等级的潜在样本范围中寻找，能够找到3个有效样本就停止检索，否则就继续往下一位阶的潜在样本范围检索，如此一直到检索到3个有效样本为止，或者穷尽所有潜在样本也无法找到有效样本为止。样本位阶高低大致可以按照如下思路确定：按照国家高于地方，官方高于非官方，书面形式高于口头表达，组织决议高于个人观点，专门性规定高于分散性规定，法律政策高于学术智库成果。

2021年6月20日-27日，本研究以威科先行、国家标准信息公开服务平台、中国信息安全测评中心、中国知网和相关官网为数据来源库，在梳理包括“数据本地存储”“数据跨境流动”和“数据域外管辖”在内的数据主权相关样本结果之后，按照上述选样原则和方法确定有效样本61个（见表1）。

3.2    确定评估流程与方法

评估数据主权安全能力成熟度等级，需要根据关键过程域的能力维度展开，通过对各成熟度等级所需要具备的关键实践逐一展开。运用数据主权安全能力成熟度模型时，评估人员可按以下步骤理解和掌握评估工作要点。以下步骤是按照便于理解的顺序呈现，而非实际评估时应遵循的步骤，具体开展评估工作时可灵活展开，如按照第四、六、三、二、五、七、一、八、九步的顺序开展。

第一步，逐一评估关键过程域。将数据主权安全的关键过程域分开评估，分别获取数据本地存储、数据跨境流动和数据域外管辖的分值，用于计算数据主权安全能力分，最终评定数据主权安全能力成熟度等级。

第二步，逐一评估能力维度。将每一个关键过程域的不同能力维度分开评估，分别依据样本确定文化教育、技术工具、政策战略、组织建设和立法司法的成熟度等级，并记录各能力成熟度分数用于计算关键过程域分。

第三步，逐一评估关键实践。每一能力维度的不同成熟度等级有不同的关键实践，见表5-表18的“关键实践”。在开展评估工作时，要注意是多个关键实践，还是单个关键实践。在评估关键实践时，只要存在一个有效样本支持，则意味着该关键实践已满足。如果存在多个关键实践，需要逐一评估，有任何一个关键实践未满足，则意味着不符合该等级的要求，即停止该等级评估。当该等级关键实践达到要求，则意味着该能力维度已经达到该等级，那么可以继续评估上一个等级。如表5中，满足第1级的“（1）”和“（2）”两个关键实践之后，才可继续评价第2级，以此类推，到无法满足关键实践时则停止评估。换而言之，默认高等级的关键实践包括低等级的关键实践。

第四步，明确分值设置与计算。整个成熟度能力等级共分为5级，假定初始共赋值10分（称为“初始能力维度分”）。由于在能力维度的不同成熟度等级中，高等级的关键实践包括低等级的关键实践，那么每个等级可平均赋分，即每一等级2分（简称“初始等级分”），那么要达到某等级则要求分值超过该等级之前的各等级分值之和（第1-5级的分值区间见表2）。每个成熟度等级对应的能力维度有不同的关键实践，对于同一等级的同一能力维度而言，每个关键实践的重要程度是一样的，因此可对每个关键实践赋予相同的分值，即将初始等级分平均分配给每一等级的各关键实践（简称“初始关键实践分”）。考虑到样本的充分度，当达到“措施饱和”状态后，无论还有多少评价样本支持，都不再计分，结合前述的边际取样法，将各初始关键实践分平均分配给各有效样本，即将初始关键实践分三等分，没有样本支持则停止该等级评估，故不计分。如表5的第1级的“（1）”和“（2）”各1分，其中“（1）”和“（2）”的每一样本量为1/3分。基于边际取样法提出的这种分值设置与计算的方法，可称为“样本赋分法”，可以避免权重设置的主观性。

第五步，确定能力维度成熟度等级。能力维度的成熟度与能力维度实际得分没有关系，能力维度实际得分是为评估整个过程域等级服务的。能力维度的成熟度等级依据样本确定，当所在等级对应的每个关键实践均有样本支持时，则意味着达到该等级。如表8中第4级的“（1）”和“（2）”都只有一个样本支持，则该“组织建设”能力成熟度达到4级。

第六步，确定关键过程域权重和能力维度权重。在不同的关键过程域中，相同的能力维度所起的作用存在区别，因此相同的能力维度在不同关键过程域中可能占不同的比重。如能力维度“技术工具”在关键过程域“数据本地存储”中非常重要，但其在关键过程域“数据域外管辖”中却几乎没有作用。因此，要采用专家调查法确定不同关键过程域的能力维度权重。同样，不同关键过程域在数据主权安全中的权重也有所差异。鉴于此，本研究共邀请10位涉及法学、管理学、网络与信息安全等不同研究领域关注和研究数据相关问题的科研工作者和实务工作者参与打分，获得不同关键过程域中的能力维度权重（见表3），数据主权安全中的关键过程域权重（见表4）。

第七步，确定关键过程域的能力成熟度等级。将每一样本量的分数求和，得到所在关键实践的实际总分（简称“关键实践分”，计作KPs）;将每一关键实践分求和，得到所在成熟度等级的实际总分（简称“等级分”，计作Ls）;将每一等级分求和，得到所在能力维度的实际总分（简称“能力維度分”，计作Cs）。注意，在求取能力维度分时，不需要评估的能力维度等级视为获得总分，如在“数据本地存储”关键过程域中，“技术工具”维度从第2级才开始需要纳入评估，故在计算“技术工具”能力维度分时，第1级计作2分。将每一能力维度分与其所在关键过程域中相应权重（见表3）的乘积求和，得到所在关键过程域的实际总分（简称“关键过程域分”，计作KPAs），然后按照表2换算得到相应等级。如KPAs为7.43分，落入（6，8]，计为第4等级。

第八步，确定数据主权安全能力成熟度等级。将每个关键过程域分与其在数据主权安全能力相应权重（见表4）的乘积求和，得到数据主权安全能力的实际总分（简称“数据主权安全能力分”，计作DSSMs），然后按照表2换算得到相应等级。如KPAs为5.273分，落入（4，6]，计为第3等级。

第九步，校正各项评估结果。在实际评估时，应该由评估团队的多个评估人员背靠背评估，然后将各项实际得分求取平均值，以便尽可能准确评定关键过程域成熟度等级、数据主权安全能力成熟度等级。如此，评估人员越多，就越能减少误差。

评估时应注意的是：如果同一个样本正文中出现多次相关表述能够支持待说明事项，仍仅视为一个样本量，因此在评估时只要在潜在样本中找到1处即可视为有效样本，即不需遍历整个样本正文找出所有相关表述，可提高评估效率;如果同一个样本能够支持不同的关键实践是可以重复使用的，即同一样本可以多次使用，因为某些样本的内容是综合性的，如《网络安全法》规定了“数据本地存储”和“数据跨境流动”。如此，不同的评估人员，当其认真履行评估工作，即便找到的具体表述位置不一样，但是会给出同样的分值，尽可能减少因人而异的误差。

4   研究结果

4.1    数据本地存储的结果分析

4.1.1   “文化教育”能力成熟度4级

评估数据本地存储的文化教育能力维度（见表5）从第1级开始，第5级因缺乏有效样本支持而停止评估;S1可以支持多个关键实践，能用于评估该能力维度各等级的有效样本共计13个，第1-4级的有效样本量达到满级，故各等级分均为2分;表明数据本地存储的“文化教育”能力成熟度达到第4级“充分级”，文化教育能力维度分为8分。

4.1.2   “技术工具”能力成熟度3级

评估数据本地存储的技术工具能力维度（见表6）从第2级开始，第4级因缺乏有效样本支持而停止评估;能用于评估该能力维度各等级的有效样本共计12个，第2级和第3级有效样本量达到满级，第1级因不需要评价而视为满级，故各等级分均为2分;表明数据本地存储的“技术工具”能力成熟度达到第3级“必要级”，技术工具能力维度分6分。

4.1.3   “政策战略”能力成熟度4级

评估数据本地存储的政策战略能力维度（见表7）从第3级开始，第5级因缺乏有效样本支持而停止评估;S2 可以支持多个关键实践，能用于评估该能力维度各等级的有效样本共计5个，第3级和第4级有效样本量达到满级，第1级和2级因不需要评价而视为满级，故各等级分均为2分;表明数据本地存储的“政策战略”能力成熟度达到第4级“充分级”，政策战略能力维度分为8分。

4.1.4   “组织建设”能力成熟度4级

评估数据本地存储的组织建设能力维度（见表8）从第3级开始，第5级因缺乏有效样本支持而停止评估;能用于评估该能力维度各等级的有效样本共计5个，第3级的有效样本量超过满级，第4级的两个关键实践可以用同样的样本支持，第1级和第2级因不需要评价而视为满级，故第1-3级的等级分均为2分、第4级的等级分是2/3分;表明数据本地存储的“组织建设”能力成熟度达到第4级“充分级”，组织建设能力维度分为6.67分。

4.1.5   “立法司法”能力成熟度4级

评估数据本地存储的立法司法能力维度（见表9）从第3级开始，第5级的第一个关键实践有3个有效样本量，但因第二个关键实践缺乏有效样本支持其而停止评估;S1和S2 可以支持多个关键实践，能用于该能力维度各等级的有效样本共计5个，第3级有效样本量达到满级，第4级有2个有效样本量，第1级和第2级视为满级，故第1-3级的等级分均为2分、第4级的等级分是4/3分;表明数据本地存储的“立法司法”能力成熟度达到第4级“充分级”，立法司法能力维度分为7.33分。

4.2    数据跨境流动的结果分析

4.2.1   “文化教育”能力成熟度4级

评估数据跨境流动的文化教育能力维度（见表10）从第1级开始，第5级因缺乏有效样本支持而停止评估;S1和S2可以支持多个关键实践，能用于评估该能力维度各等級的有效样本共计11个，第1-4级的有效样本量达到满级，故各等级分均为2分;表明数据跨境流动的“文化教育”能力成熟度达到第4级“充分级”，文化教育能力维度分为8分。

4.2.2   “技术工具”能力成熟度3级

评估数据跨境流动的技术工具能力维度（见表11）从第2级开始，第4级因缺乏有效样本支持而停止评估;能用于评估该能力维度各等级的有效样本共计11个，第2级的有效样本量达到满级，第3级的第一个关键实践有2个有效样本量、第二个关键实践有3个有效样本量，第1级因不需要评价而视为满级，故第1级和第2级的等级分均为2分、第3级的等级分第5/3分;表明数据跨境流动的“技术工具”能力成熟度达到第3级“必要级”，技术工具能力维度分为5.67分。

4.2.3   “政策战略”能力成熟度4级

评估数据跨境流动的政策战略能力维度（见表12）从第3级开始，第5级因缺乏有效样本支持而停止评估;S2 可以支持多个关键实践，能用于评估该能力维度各等级的有效样本共计5个，第3级和第4级的有效样本量达到满级，第1级和第2级因不需要评价而视为满分，故各等级分均为2分;表明数据跨境流动的“政策战略”能力成熟度达到第4级“充分级”，政策战略能力维度分为8分。

4.2.4   “组织建设”能力成熟度4级

评估数据跨境流动的组织建设能力维度（见表13）从第3级开始，第5级因缺乏有效样本支持而停止评估;能用于评估该能力维度各等级的有效样本共计5个，第3级的有效样本量超过满级，第4级的两个关键实践可以用同样的样本支持，第1级和第2级因不需要评价而视为满级，故第1-3级的等级分均为2分、第4级的等级分是2/3分;表明数据跨境流动的“组织建设”能力成熟度达到第4级“充分级”，组织建设能力维度分为6.67分。

4.2.5   “立法司法”能力成熟度4级

评估数据跨境流动的立法司法能力维度（见表14）从第3级开始，第5级的第一個关键实践有3个有效样本量，但因第二个关键实践缺乏有效样本支持其而停止评估;S1和S2 可以支持多个关键实践，能用于评估该能力维度各等级的有效样本共计5个，第3级的第一个关键实践有2个有效样本、第二个关键实践有3个有效样本，第4级有2个有效样本，第1级和第2级因不需要评价而视为满级，故第1级和第2级的等级分均为2分、第3级的等级分是5/3分、第4级的等级分为4/3分;表明数据跨境流动的“立法司法”能力成熟度达到第4级“充分级”，立法司法能力维度分为7分。

4.3    数据域外管辖的结果分析

4.3.1   “文化教育”能力成熟度3级

评估数据域外管辖的文化教育能力维度（见表15）从第1级开始，第4级因缺乏有效样本支持而停止评估;S2可以支持多个关键实践，能用于评估该能力维度各等级的有效样本共计7个，第1级的有效样本量达到满级，第2级和第3级均只有1个有效样本量，故第1级的等级分达到2分，第2级和第3级的等级分均为2/3分;表明数据域外管辖的“文化教育”能力成熟度达到第3级“必要级”，文化教育能力维度分为3.33分。

4.3.2   “政策战略”能力成熟度4级

评估数据域外管辖的政策战略能力维度（见表16）从第3级开始，第5级因缺乏有效样本支持而停止评估;S2可以支持多个关键实践，能用于评估该能力维度各等级的有效样本共计3个，第3级的有效样本量达到满级，第4级只有1个有效样本量，第1级和第2级因不需要评价而视为满级，故第1-3级的等级分均为2分，第4级的等级分为2/3分;表明数据域外管辖的“政策战略”能力成熟度达到第4级“充分级”，政策战略能力维度分为6.67分。

4.3.3   “组织建设”能力成熟度4级

评估数据域外管辖的组织建设能力维度从（见表17）从第3级开始，第5级因缺乏有效样本支持而停止评估;能用于评估该能力维度各等级的有效样本共计6个，第4级的两个关键实践可以用同样的样本支持，第3级和第4级的有效样本量达到满级，第1级和第2级因不需要评价而视为满级，故第1-4级的等级分均为2分;表明数据域外管辖的“组织建设”能力成熟度达到第4级“充分级”，组织建设能力维度分为8分。

4.3.4   “立法司法”能力成熟度4级

评估数据域外管辖的立法司法能力维度（见表18）从第3级开始，第5级因缺乏有效样本支持而停止评估;S2可以支持多个关键实践，能用于评估该能力维度各等级的有效样本共计5个，第3级的第一个关键实践有3个有效样本量、第二个关键实践有2个有效样本量，第4级只有1个有效样本量，第1级和第2级因不需要评价而视为满级，故第1级和第2级的等级分均为2分、第3级的等级分是5/3分、第4级的等级分是2/3分;表明数据域外管辖的“立法司法”能力成熟度达到第4级“充分级”，立法司法能力维度分为6.33分。

5   结论与建议

5.1    关键过程域的能力维度成熟度等级至少达到“必要级”

根据表5-表18的数据可以得到关键过程域的能力维度成熟度等级（见表19、表20）：

（1）从表19来看，其一，各关键过程域的能力成熟度至少达到了第3级“必要级”，大部分达到了第4级“充分级”;其二，数据本地存储和数据跨境流动的各能力维度等级都是一致，比较符合我国现实情况，数据跨境流动和数据本地存储本身就是一体两面，我国经常会将此二者在法律中同时规定，如《网络安全法》第37条规定“数据本地存储”和“数据跨境流动”。结合表20来看，尽管数据本地存储和数据跨境流动的能力维度等级一致，但在“技术工具”和“立法司法”能力维度的分值存在差异，意味着我国数据本地存储和数据跨境流动的能力强弱还是有所不同。

（2）从表19来看，数据域外管辖的各能力维度与其他两个关键过程域的各能力维度的成熟度等级相比，“文化教育”能力维度等级要低一级，结合表20显示的域外管辖能力维度分，反映出我国数据域外管辖能力总体不够强。这一定性描述，基本符合学界在《数据安全法》颁布之前的认知，如学者们在警惕美国CLOUD法案的“长臂管辖”、欧盟《通用数据保护条例》的“长臂管辖”时，很少有涉及我国长臂管辖的讨论。此时，评估数据域外管辖的立法司法能力维度能够达到4级，主要是因为有《数据安全法》第2条第2款的支持。2021年6月颁布的《数据安全法》第2条第2款规定，“在中华人民共和国境外开展数据处理活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任。”该规定可视为我国弱化版的“长臂管辖”，之所以“弱化”是因为要求“损害”为前提。尽管是弱化版的，但是在我国已经是巨大进步，毕竟“在《数据安全法》发布之前，中国尚没有一部明确的法律可以实现域外管辖”[23]。

尽管各关键过程域的绝大部分能力维度成熟度都达到了充分性等级，但数据本地存储和数据跨境流动的“技术工具”维度的能力建设应该进一步加强，结合样本的实际情况分析，应该加强涉及数据领域的自主技术研发，尤其是加强引导和推广自主技术产品在国内网络生态系统中的应用。

5.2    关键过程域的成熟度等级达到“充分级”

根据表20的能力维度分，结合表3的能力维度权重，按照KPAs=Cs文化教育*W文化教育+Cs技术工具*W技术工具+Cs政策战略*W政策战略+Cs组织建设*W组织建设+Cs立法司法*W立法司法，计算得到数据本地存储7.15分、数据跨境流动6.95分、数据域外管辖6.53分，对照表2可知这三个关键过程域均为充分级。如果将分值趋近6分、7分和8分视为低段、中段和高段，意味着数据本地存储和数据跨境流动趋近该等级中段，但数据域外管辖更趋近该等级低段，故可以认为实际上仍处于必要级与充分级之间。

从关键过程域分来看，我国数据主权安全的各关键过程域都达到充分级，但数据域外管辖还需要进一步加强，结合表19来看，具体可以从文化教育方面展开。数据域外管辖的文化教育成熟度等级仅达到“必要级”，符合我国的现实情况，即与欧美积极主权“长臂管辖”不同，我国主张“和平共处五项原则”，“域外管辖”与绝大部分民众日常生活关联性不大，因此在民众观念上就不太重视域外管辖，因而域外管辖的“文化教育”能力维度得分不高。由于“域外管辖”本身具有扩展属性，国家层面不得不重视域外管辖，因此该关键过程域仍能保持在“必要级”水平。建议以《数据安全法》的颁布为契机，重视宣传该法第2条第2款规定的“长臂管辖”，增强民众对于国家维护数据主权能力的信任。

5.3    数据主权安全能力成熟度等级达到“充分级”

在KPAs基础上，结合表4的关键过程域权重，按照DSSMs=KPAs数据本地存储*W数据本地存储+KPAs数据跨境流动*W数据跨境流动+KPAs数据域外管辖*W数据域外管辖，计算得到数据主权安全能力分6.98分，对照表2可知我国数据主权安全能力成熟度达到了充分级，在充分级中处于中段水平。

总的来说，我国数据主权安全能力成熟度和我国当前的国际地位大致相当，“充分级”意味着国家有能力对外输出数据主权安全价值观，能够持续为维护数据主权安全提供充分保障。我国应继续保持或加强数据主权安全能力，尤其是加强数据域外管辖能力。《数据安全法》已经规定了长臂管辖原则，今后应该及时在域外司法活动之中加以运用。

6   结语

在数据时代，数据主权安全对于实现国家总体安全具有重要意义，评估我国数据主权安全能力并提出相应建议，对于持续提高数据主权安全水平具有积极意义。基于DSSCMM评估我国数据主权安全能力成熟度的过程，实际上也是检验和验证该模型的过程。通过取样研究，按照该模型的关键过程域、能力维度和成熟度等级描述展开评估工作，并能得到有效的结果，说明该模型内部是自洽的，其整体运行机理是可行的。

本文可能的创新在于，在DSSCMM基础上构建了具体的评估流程和方法，在此过程中针对评估需要提出“边际取样法”和“样本赋分法”，可以提高评估工作效率，并在一定程度上增强评估结果的客观性，可为今后应用该模型提供参考，也可为其他评估研究提供方法指导。不足之处在于，本文从学术角度展开示例性研究，而不是实际评估，故未实施评估流程第九步以校正各项评估结果，运用专家调查法确定各关键过程域的能力维度权重时，邀请的专家数量不够大，导致计算关键过程域分、数据主权安全能力分会存在误差。在后续的研究中可以考虑两个方面：其一，大规模增加专家调查法确定权重时的样本数量，将权重确定在一个比较稳定的范围，进而提出修正因子;其二，对包括国家、地方政府、大型涉数据业务的私营企业在内的主体维护数据主权安全能力成熟度进行评估。

参考文献：

[1]  冉从敬，陈贵容，王欢.欧美跨境数据流动管辖冲突表现形式及主要解决途径研究[J].图书与情报，2020（3）：77-85.

[2]  叶兰.数据管理能力成熟度模型比较研究与启示[J].图书情报工作，2020，64（13）：51-57.

[3]  叶兰.研究数据管理能力成熟度模型评析[J].图书情报知识，2015（2）：115-123.

[4]  党洪莉，谭海兵.基于DMM的数据管理成熟度模型及在服务评估中的应用[J].现代情报，2017，37（9）：118-121.

[5]  牛春华，吴艳艳，刘红兵.公共安全数据管理能力成熟度模型构建[J].图书与情报，2019（4）：22-28.

[6]  秦中云.大数据环境下高校图書馆数据治理及成熟度模型研究[J].新世纪图书馆，2019（11）：62-67.

[7]  吴锦池，余维杰.图书馆数据治理成熟度评价体系构建[J].情报科学，2021，39（1）：65-71.

[8]  周林兴，韩永继.档案数据安全治理能力成熟度模型构建研究[J].档案与建设，2020（7）：24-27，19.

[9]  李克鹏，梅婧婷，郑斌，等.大数据安全能力成熟度模型标准研究[J].信息技术与标准化，2016（7）：59-61.

[10]  郑斌.企业数据安全能力框架——数据安全能力成熟度模型的构建及应用[J].信息安全与通信保密，2017（11）：70-78.

[11]  程芳，赵彦庆，王磊.基于数据服务平台的数据质量能力成熟度模型研究[J].标准科学，2020（10）：120-123.

[12]  肖秋会，陈梦.基于CMM的机构数字保存能力成熟度模型研究[J].档案学通讯，2016（1）：55-60.

[13]  杨锦坤，韩春花，韦广昊，等.海洋数据管理能力成熟度评估模型研究初探[J].海洋信息，2020，35（4）：1-8.

[14]  国家质量监督检验检疫总局、中国国家标准化管理委员会.信息安全技术 数据中心服务能力成熟度模型（GB/T33136-2016）[R/OL].[2021-06-26].http：//c.gb688.cn/bzgk/gb/showGb？type=online&hcno=F7A2242CAA62FD4466E8BAB0F92661D8.

[15]  国家质量监督检验检疫总局、中国国家标准化管理委员会.数据管理能力成熟度评估模型（GB/T36073-2018）[R].中国标准出版社，2013，3：1-38.

[16]  国家市场监督管理总局、中国国家标准化管理委员会.信息安全技术 数据安全能力成熟度模型（GB/T37988-2019）[R].中国标准出版社，2019，8：54.

[17]  王大壮.知识服务视角下数字图书馆移动服务能力成熟度评价模型研究[J].农业图书情报学刊，2017，29（3）：14-17.

[18]  张旭，赵彬，卢恒，等.高校图书馆智库服务能力成熟度模型及评价研究[J].图书馆，2019（7）：26-33.

[19]  高凡，孙超，吴振新.基于CMM的长期保存能力成熟度评价框架设计[J/OL].情报理论与实践：1-11[2021-06-27].http：//kns.cnki.net/kcms/detail/11.1762.G3.20210602.1339.006.html.

[20]  周茜.基于“满意镜像”理论的移动数字图书馆服务能力成熟度评价研究[J].中国中医药图书情报杂志，2018，42（5）：30-33.

[21]  周莹，刘佳，梁文佳，等.数字图书馆知识服务能力成熟度评价模型研究[J].情报科学，2016，34（6）：63-66，86.

[22]  史敏，刘素华，李维思，等.面向技术创新的企业信息情报能力成熟度诊断模型研究[J].图书情报工作，2013，57（24）：106-111.

[23]  终于落地！《数据安全法》首次明确长臂管辖权[EB/OL].[2021-06-20].https：//baijiahao.baidu.com/s？id=1702324123544855289&wfr=spider&for=pc.

作者简介：文禹衡（1989-），男，湘潭大学知识产权学院讲师，研究方向：数据主权、数据产权与数据权力;戴文怡（1994-），女，湘潭大學知识产权学院硕士研究生，研究方向：数据主权。