黃海瑛　文禹衡

摘? ?要：構(gòu)建數(shù)據(jù)主權(quán)安全能力成熟度模型，用于評(píng)價(jià)國(guó)家的數(shù)據(jù)主權(quán)安全能力狀況，針對(duì)薄弱環(huán)節(jié)提出改進(jìn)策略，為今后制定相關(guān)標(biāo)準(zhǔn)提供智力支持。以能力成熟度模型的標(biāo)準(zhǔn)和相關(guān)研究成果為基礎(chǔ)，運(yùn)用層次分析法，確定模型的三維結(jié)構(gòu)，識(shí)別關(guān)鍵過(guò)程域，構(gòu)建能力維度，進(jìn)而劃定成熟度等級(jí)。數(shù)據(jù)主權(quán)安全能力成熟度模型由“數(shù)據(jù)本地存儲(chǔ)”“數(shù)據(jù)跨境流動(dòng)”和“數(shù)據(jù)域外管轄”3個(gè)關(guān)鍵過(guò)程域，“文化教育”“技術(shù)工具”“政策戰(zhàn)略”“組織建設(shè)”和“立法司法”5項(xiàng)能力維度，以及“初始級(jí)”“發(fā)展級(jí)”“必要級(jí)”“充分級(jí)”和“優(yōu)化級(jí)”5級(jí)成熟度共同構(gòu)成。其中，能力維度包括19種構(gòu)成要素，其是描述能力成熟度等級(jí)所要求的29個(gè)關(guān)鍵實(shí)踐的基礎(chǔ)。

關(guān)鍵詞：DSSCMM;數(shù)據(jù)主權(quán);安全能力;成熟度等級(jí);數(shù)據(jù)流動(dòng)

中圖分類號(hào)：G203? ?文獻(xiàn)標(biāo)識(shí)碼：A? ?DOI：10.11968/tsyqb.1003-6938.2021054

Research on the Maturity Model of Data Sovereignty Security Capability

Abstract This Paper aims to build a maturity model of data sovereignty security capability for evaluating the state of a countrys data sovereignty security capability and proposing improvement strategies for weak links， so as to provide intellectual support for the formulation of relevant standards in the future. Based on the standards of the capability maturity model and related research results， the three-dimensional structure of the model， with the analytic hierarchy process， is determined， the key process areas are identified， the capability dimension is constructed， and the maturity level is determined. The study found that the maturity model of data sovereignty security capability consists of three key process areas， namely， "local data storage"， "cross-border data flow" and "extraterritorial jurisdiction of data"， five capability dimensions ， namely， "cultural education"， "technical tools"， "policy strategies"， "organizational construction"， and "legislation and judiciary"， and five maturity levels， namely， "initial level"， "development level"， "necessary level"， "sufficiency level" and "optimization level". In which the capability dimension includes 19 components， which are the basis for describing the 29 key practices required by the capability maturity level.

Key words DSSCMM; data sovereignty; security capability; maturity level; data flow

1? ?引言

當(dāng)前，人們對(duì)于數(shù)據(jù)重要性的認(rèn)知已經(jīng)從“黃金”“石油”上升到了“生產(chǎn)要素”，數(shù)據(jù)不僅關(guān)系到生產(chǎn)生活、社會(huì)治理，也關(guān)乎國(guó)家安全，由此主張國(guó)家數(shù)據(jù)主權(quán)成為大國(guó)博弈的必然趨勢(shì)。從對(duì)外發(fā)布的政策文件等來(lái)看，歐盟強(qiáng)化數(shù)據(jù)主權(quán)/數(shù)字主權(quán)力度比其他國(guó)家和地區(qū)都要大。如果不局限于政策文件中是否出現(xiàn)“數(shù)據(jù)主權(quán)”及其類似字詞，會(huì)發(fā)現(xiàn)美國(guó)和中國(guó)等國(guó)家也都在不斷地強(qiáng)化數(shù)據(jù)主權(quán)。然而，一國(guó)數(shù)據(jù)主權(quán)安全能力到底如何卻不得而知。誠(chéng)然，主權(quán)的概念范疇隨著社會(huì)發(fā)展而不斷擴(kuò)展，已從傳統(tǒng)的領(lǐng)土、領(lǐng)海、領(lǐng)空主權(quán)擴(kuò)展到信息主權(quán)、網(wǎng)絡(luò)主權(quán)、數(shù)據(jù)主權(quán)，數(shù)據(jù)主權(quán)成為新的概念分支并占據(jù)主權(quán)體系版圖核心[1]。關(guān)于主權(quán)的研究成果從來(lái)都不曾匱乏，但“數(shù)據(jù)主權(quán)”相關(guān)研究尚不算豐富：國(guó)內(nèi)主要集中在數(shù)據(jù)主權(quán)概念及其運(yùn)用前景[2]，數(shù)據(jù)主權(quán)的保障[3]、捍衛(wèi)[4]和保護(hù)[5]，美國(guó)數(shù)據(jù)主權(quán)戰(zhàn)略[6]，以及以數(shù)據(jù)主權(quán)為視角研究歐盟數(shù)據(jù)空間治理[7]、數(shù)據(jù)跨境管理[8]、數(shù)據(jù)跨境流動(dòng)的管轄沖突[9]等問(wèn)題;國(guó)外學(xué)者回顧數(shù)據(jù)主權(quán)概念的不同內(nèi)涵并提出概念網(wǎng)格以將其系統(tǒng)化[10]，考察金磚國(guó)家的數(shù)據(jù)主權(quán)實(shí)踐、分析數(shù)據(jù)主權(quán)需求[11]，探討具體國(guó)家（印度尼西亞）對(duì)數(shù)據(jù)主權(quán)的要求并提出初步技術(shù)建議[12]，以及提出使用位置加密方法解決基于云計(jì)算的智慧城市應(yīng)用中產(chǎn)生的數(shù)據(jù)主權(quán)威脅[13]。總體而言，研究成果既有側(cè)重于概念性、經(jīng)驗(yàn)性，也有涉及實(shí)踐和需求的研究，雖然有部分學(xué)者意識(shí)到“國(guó)家數(shù)據(jù)主權(quán)安全制度保障體系的構(gòu)建已變得不可或缺”[4]，但并未界定數(shù)據(jù)主權(quán)安全定義，更沒深入到數(shù)據(jù)主權(quán)安全能力層面，也就遑論評(píng)估數(shù)據(jù)主權(quán)安全能力成熟度如何。鑒于此，本文擬提出數(shù)據(jù)主權(quán)安全能力概念并構(gòu)建模型，評(píng)估數(shù)據(jù)主權(quán)安全能力成熟度，便于國(guó)家可量化了解國(guó)家數(shù)據(jù)主權(quán)安全狀態(tài)，并有針對(duì)性地持續(xù)提升本國(guó)數(shù)據(jù)主權(quán)安全。

2? ?相關(guān)概念與文獻(xiàn)綜述

2.1? ?核心概念界定

在我國(guó)，“數(shù)據(jù)主權(quán)”的官方文件表述可以追溯到《深圳市服務(wù)外包產(chǎn)業(yè)發(fā)展規(guī)劃（2012-2015）》，此時(shí)“數(shù)據(jù)主權(quán)”被視為數(shù)據(jù)云服務(wù)范疇（DAAS），2015年的《促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要》首次提出“增強(qiáng)網(wǎng)絡(luò)空間數(shù)據(jù)主權(quán)保護(hù)能力”。截至目前，官方文本并未界定何為數(shù)據(jù)主權(quán)，似乎人們已經(jīng)默認(rèn)理解“數(shù)據(jù)主權(quán)”就是“主權(quán)”的一種延伸。在理解數(shù)據(jù)安全、數(shù)據(jù)安全能力、能力成熟度定義[14]基礎(chǔ)上，還需掌握以下幾組有關(guān)數(shù)據(jù)主權(quán)安全的概念及其要義。

（1）數(shù)據(jù)主權(quán)安全，是指主權(quán)國(guó)家采取措施確保對(duì)本國(guó)數(shù)據(jù)處于有效控制和保護(hù)的狀態(tài)。將“主權(quán)”的主體分為國(guó)家、企業(yè)和個(gè)人是不嚴(yán)謹(jǐn)?shù)?，“主?quán)”概念內(nèi)在地要求其必須是立足于國(guó)家高度，相對(duì)國(guó)內(nèi)外所有主體對(duì)數(shù)據(jù)的“自主自決”，故不宜在具體的模型構(gòu)建過(guò)程中糾纏于細(xì)枝末節(jié)。（2）數(shù)據(jù)主權(quán)安全能力，是指國(guó)家在文化教育、技術(shù)工具、政策戰(zhàn)略、組織建設(shè)和立法司法等方面采取措施保障數(shù)據(jù)主權(quán)的安全。（3）數(shù)據(jù)主權(quán)安全能力成熟度，是指衡量國(guó)家維護(hù)數(shù)據(jù)主權(quán)安全的可持續(xù)性、有效程度和可信任度的水平。

2.2? ? 相關(guān)文獻(xiàn)綜述

一般認(rèn)為，能力成熟度模型可追溯到美國(guó)卡耐基梅隆大學(xué)軟件工程研究所1986年開始開發(fā)的軟件能力成熟度模型（Capability Maturity Model，CMM）[15]，其內(nèi)部結(jié)構(gòu)包括關(guān)鍵過(guò)程域、公共特性和關(guān)鍵實(shí)踐[16]。盡管CMM已經(jīng)被能力成熟度模型集成（Capability Maturity Model Integration）取代，但是CMM啟發(fā)了多種模型的誕生，如人力資源能力成熟度模型[17-18]、系統(tǒng)安全能力成熟度模型[19]和系統(tǒng)工程能力成熟度模型[20]。隨著對(duì)CMM認(rèn)識(shí)和研究的不斷深入，其被廣泛應(yīng)用于管理、教育、數(shù)據(jù)、計(jì)算機(jī)、醫(yī)療等不同領(lǐng)域。就數(shù)據(jù)領(lǐng)域的能力成熟度而言，主要涉及數(shù)據(jù)管理、數(shù)據(jù)治理、數(shù)據(jù)安全、數(shù)據(jù)質(zhì)量、數(shù)字保存等方面。

（1）數(shù)據(jù)管理能力成熟度研究主要集中在圖書館領(lǐng)域，涉及公共安全、海洋數(shù)據(jù)管理等。如葉蘭[21]比較3個(gè)科研數(shù)據(jù)管理能力成熟度模型，建議高校應(yīng)根據(jù)評(píng)估目標(biāo)選擇合適的評(píng)價(jià)模型，還比較了7個(gè)數(shù)據(jù)管理能力成熟度模型，為圖書館選擇與應(yīng)用數(shù)據(jù)管理能力成熟度模型提供參考方案[22];黨洪莉和譚海兵[24]以衡量圖書館數(shù)據(jù)管理能力的5項(xiàng)能力內(nèi)容構(gòu)建圖書館數(shù)據(jù)管理及服務(wù)能力成熟度模型;牛春華等[23]以4個(gè)關(guān)鍵過(guò)程域、20個(gè)關(guān)鍵實(shí)踐和5個(gè)成熟度等級(jí)為內(nèi)容構(gòu)建公共安全數(shù)據(jù)管理能力成熟度模型;楊錦坤等[25]以8個(gè)能力域、28個(gè)能力項(xiàng)目為內(nèi)容構(gòu)建海洋數(shù)據(jù)管理能力成熟度評(píng)估模型并進(jìn)行評(píng)估。

（2）數(shù)據(jù)治理能力成熟度研究主要集中在圖書館，涉及檔案館、醫(yī)院領(lǐng)域。如秦中云[26]以6項(xiàng)數(shù)據(jù)治理能力、6個(gè)數(shù)據(jù)資產(chǎn)生命周期和5個(gè)成熟度模型等級(jí)為內(nèi)容構(gòu)建高校圖書館數(shù)據(jù)治理成熟度模型，吳錦池和余維杰[27]以3個(gè)圖書館數(shù)據(jù)治理要素、4個(gè)數(shù)據(jù)處理流程、5個(gè)成熟度等級(jí)為內(nèi)容構(gòu)建圖書館數(shù)據(jù)治理能力成熟度模型。周林興和韓永繼[28]以5個(gè)關(guān)鍵域、5個(gè)成熟度等級(jí)為內(nèi)容構(gòu)建檔案數(shù)據(jù)安全治理能力成熟度模，謝剛等[29]以五個(gè)成熟度等級(jí)、3個(gè)一級(jí)指標(biāo)、7個(gè)二級(jí)指標(biāo)和22個(gè)三級(jí)指標(biāo)為內(nèi)容構(gòu)建多科性醫(yī)院大數(shù)據(jù)治理能力成熟度模型。

（3）其他與數(shù)據(jù)相關(guān)的能力成熟度研究涉及數(shù)據(jù)安全、數(shù)據(jù)質(zhì)量和數(shù)字保存。在數(shù)據(jù)安全能力成熟度方面，李克鵬[30]等介紹了大數(shù)據(jù)安全能力成熟度模型標(biāo)準(zhǔn);鄭斌[31]闡釋了數(shù)據(jù)安全能力成熟度模型的構(gòu)建及應(yīng)用;在數(shù)據(jù)質(zhì)量能力成熟度方面，程芳等[32]以5個(gè)要素、3個(gè)能力域和5個(gè)成熟度等級(jí)為內(nèi)容構(gòu)建數(shù)據(jù)質(zhì)量能力成熟度模型;在數(shù)字保存能力成熟度方面，肖秋會(huì)和陳夢(mèng)[33]構(gòu)建了包括4個(gè)成熟度等級(jí)和13個(gè)性能指標(biāo)的數(shù)字保存能力成熟度模型及評(píng)價(jià)體系。

綜上，從現(xiàn)有研究成果來(lái)看，其能為本研究提供參考和啟示。首先，大多數(shù)模型構(gòu)建仍是基于CMM的思想，尤其是成熟度等級(jí)幾乎都是設(shè)定為5級(jí)，等級(jí)名稱表述上可能有差別，但本質(zhì)上變動(dòng)不大;其次，大多數(shù)模型都包括關(guān)鍵過(guò)程、能力維度、成熟度等級(jí)三個(gè)方面，除了成熟度等級(jí)以外，其它兩方面的名稱表述有所區(qū)別;再次，數(shù)據(jù)安全能力成熟度方面的研究成果偏少，但從《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》的內(nèi)容來(lái)看，其已經(jīng)轉(zhuǎn)化為國(guó)家標(biāo)準(zhǔn);最后，尚未涉及數(shù)據(jù)主權(quán)安全能力成熟度的研究。

3? ?研究思路

由于目前學(xué)界和業(yè)界尚未構(gòu)建數(shù)據(jù)主權(quán)安全能力成熟度模型，沒有直接相關(guān)的成果作為研究基礎(chǔ)，故以“數(shù)據(jù)能力成熟度”相關(guān)標(biāo)準(zhǔn)和學(xué)術(shù)成果為基礎(chǔ)，結(jié)合數(shù)據(jù)主權(quán)的特征，構(gòu)建數(shù)據(jù)主權(quán)安全能力成熟度模型。“標(biāo)準(zhǔn)”的數(shù)據(jù)獲取，以全國(guó)標(biāo)準(zhǔn)信息公告服務(wù)平臺(tái)[34]為數(shù)據(jù)來(lái)源，以“數(shù)據(jù)能力成熟度”為檢索詞進(jìn)行篇名模糊檢索，檢索范圍為全部，即包含國(guó)家標(biāo)準(zhǔn)計(jì)劃、國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)和地方標(biāo)準(zhǔn)，共獲取8條檢索結(jié)果，其中國(guó)家標(biāo)準(zhǔn)計(jì)劃4項(xiàng)、國(guó)家標(biāo)準(zhǔn)3項(xiàng)、行業(yè)標(biāo)準(zhǔn)1項(xiàng)。由于國(guó)家標(biāo)準(zhǔn)計(jì)劃與國(guó)家標(biāo)準(zhǔn)存在交叉重復(fù)情況，如果國(guó)家標(biāo)準(zhǔn)計(jì)劃沒有成為正式的國(guó)家標(biāo)準(zhǔn)則計(jì)入樣本，否則不計(jì)入樣本，如此去重后獲得有效樣本5個(gè)，其中國(guó)家標(biāo)準(zhǔn)計(jì)劃1項(xiàng)、國(guó)家標(biāo)準(zhǔn)3項(xiàng)、行業(yè)標(biāo)準(zhǔn)1項(xiàng)，而真正屬于模型類的只有3項(xiàng)國(guó)家標(biāo)準(zhǔn)，分別涉及數(shù)據(jù)的服務(wù)、管理、安全領(lǐng)域。

3.1? ? 確定模型結(jié)構(gòu)

我國(guó)數(shù)據(jù)領(lǐng)域三個(gè)典型“能力成熟度模型”國(guó)家推薦標(biāo)準(zhǔn)分別是《信息技術(shù)服務(wù) 數(shù)據(jù)中心服務(wù)能力成熟度模型》《數(shù)據(jù)管理能力成熟度評(píng)估模型》和《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》，前兩者是“二維”結(jié)構(gòu)——能力域和成熟度，后者是“三維”結(jié)構(gòu)——過(guò)程域、能力維度、成熟度。根據(jù)數(shù)據(jù)主權(quán)涉及“國(guó)內(nèi)”“域外”，數(shù)據(jù)主權(quán)安全能力不僅要涉及能力域（或稱“能力維度”）和“成熟度”，還必須考慮不同過(guò)程域，因此采用“三維”結(jié)構(gòu)建構(gòu)模型。

3.2? ? 識(shí)別關(guān)鍵過(guò)程域

目前沒有相關(guān)研究成果提出數(shù)據(jù)主權(quán)過(guò)程域，因此數(shù)據(jù)主權(quán)安全能力過(guò)程域的提出和確定是本研究的最大挑戰(zhàn)。擬根據(jù)主權(quán)的內(nèi)在要求和數(shù)據(jù)跨境流動(dòng)周期，確定“本地存儲(chǔ)”“跨境流動(dòng)”和“域外管轄”三個(gè)關(guān)鍵過(guò)程域，之所以稱之為“關(guān)鍵過(guò)程域”，是考慮到后續(xù)隨著情勢(shì)變更對(duì)過(guò)程域加以完善。

3.3? ? 構(gòu)建能力維度

能力維度關(guān)系評(píng)估的具體內(nèi)容，與評(píng)估對(duì)象密切相關(guān)，不同類型的評(píng)估模型，其能力維度是不同的。盡管其他模型的能力維度的“能力項(xiàng)”或“二級(jí)指標(biāo)”可參考性并不大，但有關(guān)國(guó)家層面的安全能力模型在宏觀方面仍具有指導(dǎo)意義，如國(guó)家網(wǎng)絡(luò)安全能力成熟度模型（Cybersecurity Capacity Maturity Model for Nations）[35]。最終還需要根據(jù)數(shù)據(jù)主權(quán)的內(nèi)在要求，構(gòu)建其安全能力維度及其構(gòu)成要素。

3.4? ? 劃分成熟度等級(jí)

關(guān)于能力成熟度等級(jí)的成果豐富，但是既有研究基本上都會(huì)溯源CMM，將軟件開發(fā)劃分為“初始級(jí)”“可重復(fù)級(jí)”“已定義級(jí)”“已管理級(jí)”和“優(yōu)化級(jí)”五個(gè)成熟度等級(jí)。在此基礎(chǔ)上，參考我國(guó)現(xiàn)行數(shù)據(jù)類國(guó)家標(biāo)準(zhǔn)中的能力成熟度等級(jí)，進(jìn)而確定數(shù)據(jù)主權(quán)安全能力成熟度等級(jí)。

4? ?研究結(jié)果

4.1? ? 數(shù)據(jù)主權(quán)安全的關(guān)鍵過(guò)程域

數(shù)據(jù)主權(quán)與數(shù)據(jù)跨境已經(jīng)得到學(xué)者關(guān)注，如研究數(shù)據(jù)主權(quán)與數(shù)據(jù)跨境管理[8]、云數(shù)據(jù)跨境流動(dòng)法律規(guī)制等[36]，然而數(shù)據(jù)主權(quán)與本地存儲(chǔ)的關(guān)系并未被認(rèn)真對(duì)待。從數(shù)據(jù)產(chǎn)生開始，如果實(shí)現(xiàn)本地存儲(chǔ)并限制在本國(guó)之內(nèi)流動(dòng)，那么此種狀態(tài)下的數(shù)據(jù)主權(quán)安全性非常之高，但國(guó)與國(guó)之間經(jīng)濟(jì)、貿(mào)易、文化、體育等各領(lǐng)域間的交流，不可避免地需要利用網(wǎng)絡(luò)實(shí)現(xiàn)數(shù)據(jù)流動(dòng)，數(shù)據(jù)也就不可避免地流動(dòng)到其他國(guó)家。如此，數(shù)據(jù)在產(chǎn)生之后，在國(guó)與國(guó)之間形成“存儲(chǔ)-流動(dòng)-存儲(chǔ)”的跨境流動(dòng)周期。如果將數(shù)據(jù)的“本地存儲(chǔ)”“跨境流動(dòng)”和“域外管轄”各自量化為1個(gè)單位，以國(guó)“境”為邊界（暫不論是地理邊界、法域邊界還是網(wǎng)絡(luò)空間邊界），那么國(guó)內(nèi)占1.5、國(guó)外占1.5，因?yàn)樘幱谥虚g過(guò)程的“跨境流動(dòng)”涉及國(guó)內(nèi)外。在數(shù)據(jù)跨境流動(dòng)周期中，需要解決三個(gè)問(wèn)題：（1）如何確保數(shù)據(jù)跨境流動(dòng)前的主權(quán)安全，即本國(guó)之內(nèi)的“最高權(quán)威”，由“本地存儲(chǔ)”解決;（2）如何確保數(shù)據(jù)跨境流動(dòng)時(shí)的主權(quán)安全，即跨境過(guò)程的“有序可控”，由“跨境流動(dòng)”解決;（3）如何確保數(shù)據(jù)跨境流動(dòng)之后的主權(quán)安全，即域外的“自主自決”，由“域外管轄”解決。如此，按照事前預(yù)防、事中控制和事后處置的邏輯展開，可形成數(shù)據(jù)主權(quán)安全的三個(gè)關(guān)鍵過(guò)程域——數(shù)據(jù)本地存儲(chǔ)、數(shù)據(jù)跨境流動(dòng)和數(shù)據(jù)域外管轄。

4.1.1? ?數(shù)據(jù)本地存儲(chǔ)

數(shù)據(jù)本地存儲(chǔ)，是指主權(quán)國(guó)家通過(guò)法律、政策等制度強(qiáng)制數(shù)據(jù)存儲(chǔ)在本國(guó)境內(nèi)，任何本國(guó)和境外主體實(shí)施數(shù)據(jù)活動(dòng)必須通過(guò)主權(quán)國(guó)家境內(nèi)服務(wù)器。這里的“本地”并不是與“云端”相對(duì)稱的概念，而是指主權(quán)國(guó)家境內(nèi)的物理服務(wù)器。與現(xiàn)實(shí)空間不同，網(wǎng)絡(luò)空間是由網(wǎng)絡(luò)協(xié)議、硬件設(shè)備、軟件程序等所構(gòu)建的。數(shù)據(jù)存儲(chǔ)必須借助相應(yīng)的媒介載體，而要求該媒介載體所安放的現(xiàn)實(shí)空間必須在主權(quán)國(guó)家境內(nèi)。

4.1.2? ?數(shù)據(jù)跨境流動(dòng)

數(shù)據(jù)跨境流動(dòng)，是指數(shù)據(jù)隨著主體跨越主權(quán)國(guó)家地理邊境實(shí)施訪問(wèn)、采集、修改、存儲(chǔ)等活動(dòng)而傳輸?shù)倪^(guò)程。數(shù)據(jù)跨境流動(dòng)中的“跨境”通常被理解為“出境”，其還應(yīng)當(dāng)包括“入境”。數(shù)據(jù)出境主要控制的是本國(guó)任何數(shù)據(jù)流動(dòng)到境外，而數(shù)據(jù)入境是控制境外有害數(shù)據(jù)流入到國(guó)內(nèi)。

4.1.3? ?數(shù)據(jù)域外管轄

數(shù)據(jù)域外管轄，是指主權(quán)國(guó)家的數(shù)據(jù)立法適用范圍和數(shù)據(jù)司法權(quán)力在域外行使。一般而言，管轄權(quán)包括立法管轄、執(zhí)法管轄和司法管轄，但是各主權(quán)國(guó)家執(zhí)法管轄一般都在領(lǐng)土范圍內(nèi)適用，因而數(shù)據(jù)域外管轄主要包括域外立法管轄和域外司法管轄。域外立法管轄，是指將本國(guó)數(shù)據(jù)立法的適用范圍延伸到境外;域外司法管轄，是指法院在境外行使數(shù)據(jù)司法權(quán)力的能力。

4.2? ? 數(shù)據(jù)主權(quán)安全的能力維度

考察任何事物的能力都可以從多個(gè)維度展開，但是這些維度并不是隨機(jī)組合的，而是遵循一定的內(nèi)在邏輯。對(duì)于數(shù)據(jù)主權(quán)安全而言，考察其能力維度不能過(guò)于宏觀，而應(yīng)當(dāng)立足于國(guó)家的高度來(lái)設(shè)置能力維度。本研究大致按照“公眾意識(shí)”“技術(shù)控制”“戰(zhàn)略規(guī)劃”“責(zé)任主體”和“法治保障”思路，確定文化教育、技術(shù)工具、政策戰(zhàn)略、組織建設(shè)和立法司法五個(gè)能力維度，每個(gè)能力維度又由若干核心要素構(gòu)成。

4.2.1? ?文化教育

網(wǎng)絡(luò)生態(tài)空間中的個(gè)體、企業(yè)、社會(huì)團(tuán)體、政府、國(guó)家等不同層次參與主體之間所形成的數(shù)據(jù)主權(quán)文化，關(guān)系到民眾對(duì)于數(shù)據(jù)主權(quán)接受和遵從程度，尤其是國(guó)家在數(shù)據(jù)主權(quán)安全教育、培訓(xùn)和意識(shí)提升等方面的內(nèi)容開發(fā)，以及為不同層次參與主體提供的教育、培訓(xùn)活動(dòng)，數(shù)據(jù)主權(quán)教育的實(shí)施對(duì)于數(shù)據(jù)主權(quán)文化形成起到至關(guān)重要的作用。該維度主要由四個(gè)要素構(gòu)成：（1）數(shù)據(jù)主權(quán)觀念及其強(qiáng)化，旨在評(píng)估不同層次參與主體對(duì)數(shù)據(jù)主權(quán)的態(tài)度和實(shí)踐，以及面向公共部門、學(xué)術(shù)界、民間團(tuán)體和公眾的數(shù)據(jù)主權(quán)知識(shí)普及、意識(shí)強(qiáng)化的規(guī)劃可獲得性、供給和接受情況;（2）對(duì)政府或國(guó)家的信任，因數(shù)據(jù)荷載隱私、個(gè)人信息、商業(yè)秘密等多重法益，公眾能感知國(guó)家具備維護(hù)數(shù)據(jù)主權(quán)的能力，決定了其是否支持國(guó)家數(shù)據(jù)主權(quán);（3）專業(yè)培訓(xùn)體系，側(cè)重的是數(shù)據(jù)主權(quán)安全專業(yè)培訓(xùn)對(duì)于網(wǎng)絡(luò)安全、信息安全和數(shù)據(jù)安全等相關(guān)領(lǐng)域?qū)I(yè)人員的可獲得性和供給情況，包括相關(guān)專業(yè)技能證書授予、崗前培訓(xùn)、繼續(xù)教育等;（4）數(shù)據(jù)主權(quán)安全教育規(guī)劃，旨在評(píng)估初等、中等和高等教育領(lǐng)域中涉及數(shù)據(jù)主權(quán)（包括但不限于數(shù)據(jù)安全、數(shù)據(jù)保護(hù)、數(shù)據(jù)治理）教育的普及度和可獲得性。

4.2.2? ?技術(shù)工具

國(guó)家及國(guó)內(nèi)組織開發(fā)數(shù)據(jù)標(biāo)準(zhǔn)以及安全技術(shù)和工具，以柔性方式增強(qiáng)本國(guó)數(shù)據(jù)資源的控制力。該維度主要由四個(gè)要素構(gòu)成：（1）數(shù)據(jù)標(biāo)準(zhǔn)供給，主導(dǎo)制定強(qiáng)制性和推薦性國(guó)家標(biāo)準(zhǔn)（準(zhǔn)則）、國(guó)際標(biāo)準(zhǔn)（準(zhǔn)則）;（2）與數(shù)據(jù)相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施，包括網(wǎng)絡(luò)基礎(chǔ)設(shè)施、關(guān)鍵信息基礎(chǔ)設(shè)施、關(guān)鍵數(shù)據(jù)基礎(chǔ)設(shè)施等的部署、可用性以及維護(hù)能力;（3）軟件控制，政府部門、司法部門等國(guó)有性質(zhì)的部門以及涉及公共事務(wù)的私營(yíng)部門使用軟件的終端控制應(yīng)該在國(guó)內(nèi)，確保靜態(tài)數(shù)據(jù)和動(dòng)態(tài)數(shù)據(jù)的安全;（4）自動(dòng)化工具對(duì)數(shù)據(jù)安全工作的支撐程度。

4.2.3? ?政策戰(zhàn)略

從宏觀層面反映國(guó)家維護(hù)數(shù)據(jù)主權(quán)安全的意圖和需求，并開展數(shù)據(jù)主權(quán)安全的戰(zhàn)略規(guī)劃、政策制定，以及相關(guān)機(jī)制構(gòu)建，該維度主要由四個(gè)要素構(gòu)成：（1）國(guó)家數(shù)據(jù)主權(quán)戰(zhàn)略，制定國(guó)家層面的數(shù)據(jù)主權(quán)戰(zhàn)略，提升數(shù)據(jù)主權(quán)安全的優(yōu)先次序并確定相應(yīng)的資源配置;（2）國(guó)家數(shù)據(jù)主權(quán)政策，政府部門出臺(tái)數(shù)據(jù)主權(quán)相關(guān)政策，用于解決數(shù)據(jù)主權(quán)安全具體事宜;（3）數(shù)據(jù)安全應(yīng)急管理，國(guó)家層面建立、監(jiān)測(cè)、預(yù)警和處置數(shù)據(jù)大規(guī)模泄露、非法流動(dòng)等數(shù)據(jù)安全事件的能力;（4）數(shù)據(jù)安全報(bào)告機(jī)制，面向個(gè)體、企業(yè)以及相關(guān)部門建立報(bào)告機(jī)制，便于相關(guān)主體報(bào)告數(shù)據(jù)安全侵害事件，以及尋求維護(hù)數(shù)據(jù)安全的幫助。

4.2.4? ?組織建設(shè)

從責(zé)任主體角度考慮，開展維護(hù)數(shù)據(jù)主權(quán)安全工作的國(guó)家，應(yīng)具備相應(yīng)的組織建設(shè)能力。該維度主要由三個(gè)要素構(gòu)成：（1）組織架構(gòu)的專業(yè)性，國(guó)家是否設(shè)立政府部門或機(jī)構(gòu)專司數(shù)據(jù)主權(quán)安全相關(guān)工作，或者是依靠其他相關(guān)官方機(jī)構(gòu)能夠承擔(dān)數(shù)據(jù)主權(quán)安全工作，除此之外還要考慮是否主導(dǎo)建立公共機(jī)構(gòu)、研發(fā)機(jī)構(gòu)和非政府組織等;（2）工作職責(zé)的明確度，負(fù)責(zé)數(shù)據(jù)主權(quán)安全相關(guān)工作內(nèi)容是否具體明確，負(fù)責(zé)數(shù)據(jù)的本地存儲(chǔ)、跨境流動(dòng)、司法管轄等的全部或部分工作，抑或是負(fù)責(zé)數(shù)據(jù)相關(guān)立法、政策制定、風(fēng)險(xiǎn)評(píng)估等事務(wù);（3）運(yùn)作協(xié)調(diào)的領(lǐng)導(dǎo)力，組織架構(gòu)的地位決定其對(duì)于數(shù)據(jù)安全相關(guān)事務(wù)的領(lǐng)導(dǎo)能力，如國(guó)家級(jí)的組織機(jī)構(gòu)對(duì)于全國(guó)范圍內(nèi)涉數(shù)據(jù)主權(quán)事務(wù)都有管理權(quán)限，而地方省市的組織機(jī)構(gòu)就局限于本行政區(qū)域內(nèi)涉數(shù)據(jù)主權(quán)事務(wù)。

4.2.5? ?立法司法

國(guó)家（政府）直接或間接地開展數(shù)據(jù)主權(quán)相關(guān)的立法、司法的能力，以及國(guó)際司法合作情況。該維度主要由四個(gè)要素構(gòu)成：（1）法律法規(guī)體系，包括數(shù)據(jù)確權(quán)、數(shù)據(jù)交易、數(shù)據(jù)安全、數(shù)據(jù)犯罪和關(guān)鍵（網(wǎng)絡(luò)/信息/數(shù)據(jù)）基礎(chǔ)設(shè)施安全在內(nèi)的實(shí)體性和程序性立法;（2）民事司法能力，聚焦于國(guó)家司法解決數(shù)據(jù)糾紛的能力，包括在沒有直接規(guī)定數(shù)據(jù)的法律的規(guī)范情況下，如何運(yùn)用司法技術(shù)解決數(shù)據(jù)糾紛;（3）刑事司法能力，側(cè)重國(guó)家打擊數(shù)據(jù)犯罪的能力，包括偵查機(jī)關(guān)調(diào)查數(shù)據(jù)違法活動(dòng)的能力、檢察機(jī)關(guān)公訴數(shù)據(jù)犯罪的能力和法院審理數(shù)據(jù)犯罪的能力，以及各階段獲取和使用電子數(shù)據(jù)（證據(jù)）的能力;（4）國(guó)際司法合作框架，確保本國(guó)與其他國(guó)家和地區(qū)之間通過(guò)正式/非正式合作，實(shí)現(xiàn)司法交流、協(xié)助。

4.3? ? 數(shù)據(jù)主權(quán)安全能力的成熟度等級(jí)

我國(guó)現(xiàn)行數(shù)據(jù)類的不同國(guó)家標(biāo)準(zhǔn)中的模型成熟度等級(jí)（見表1）的相同點(diǎn)在于，均以CMM的“初始級(jí)”“可重復(fù)級(jí)”“已定義級(jí)”“已管理級(jí)”和“優(yōu)化級(jí)”為基礎(chǔ)劃分為五個(gè)級(jí)別，雖然各級(jí)別的名稱并不一致，如“一級(jí)”分別為“非正式執(zhí)行”“初始級(jí)”“起始級(jí)”，又如“五級(jí)”分別為“持續(xù)優(yōu)化”“優(yōu)化級(jí)”“卓越級(jí)”，但是其內(nèi)在本質(zhì)相差不大，只不過(guò)是根據(jù)具體主題類型體現(xiàn)各自特征。鑒于此，數(shù)據(jù)主權(quán)安全能力成熟度等級(jí)也劃分為五個(gè)等級(jí)，考慮到數(shù)據(jù)主權(quán)安全特性，將一至五級(jí)分別稱為“初始級(jí)”“發(fā)展級(jí)”“必要級(jí)”“充分級(jí)”和“優(yōu)化級(jí)”。

該部分是對(duì)數(shù)據(jù)主權(quán)安全能力各關(guān)鍵過(guò)程域的能力維度成熟度等級(jí)的總體描述，各關(guān)鍵過(guò)程域的各能力維度的等級(jí)成熟度的具體描述，需要在開展評(píng)估工作之前結(jié)合所在關(guān)鍵過(guò)程域特征另行描述。如“文化教育”的關(guān)鍵實(shí)踐第1級(jí)要求中的“數(shù)據(jù)主權(quán)意識(shí)”（見4.3.1），在評(píng)估數(shù)據(jù)本地存儲(chǔ)時(shí)應(yīng)該理解為“數(shù)據(jù)本地存儲(chǔ)意識(shí)”，在評(píng)估“數(shù)據(jù)跨境流動(dòng)時(shí)”應(yīng)該理解為“數(shù)據(jù)跨境流動(dòng)意識(shí)”，以此類推。同理，本節(jié)第1-5級(jí)中的成熟度等級(jí)均為總體描述，考慮到篇幅，不再根據(jù)不同關(guān)鍵過(guò)程域逐一描述，今后具體制定數(shù)據(jù)主權(quán)安全能力成熟度標(biāo)準(zhǔn)時(shí)可以通過(guò)附錄逐一列出。

4.3.1? ?第I級(jí)：初始級(jí)

該等級(jí)是最低一級(jí)，僅對(duì)“文化教育”維度有要求，而不要求其他能力維度。其主要特征在于意識(shí)形成，即處于這一級(jí)的國(guó)家，學(xué)術(shù)界等非官方組織形成數(shù)據(jù)主權(quán)意識(shí)，且官方已明確主張網(wǎng)絡(luò)主權(quán)。之所以要求官方明確主張網(wǎng)絡(luò)主權(quán)，是因?yàn)楫?dāng)下在網(wǎng)絡(luò)空間談?wù)摂?shù)據(jù)才有意義，網(wǎng)絡(luò)主權(quán)盡管無(wú)法解決應(yīng)屬于數(shù)據(jù)主權(quán)方面的全部問(wèn)題，但依然具有一定的解釋空間。換言之，數(shù)據(jù)主權(quán)形成于網(wǎng)絡(luò)主權(quán)，當(dāng)其發(fā)展到一定階段時(shí)才脫胎于網(wǎng)絡(luò)主權(quán)。

4.3.2? ?第II級(jí)：發(fā)展級(jí)

除“數(shù)據(jù)域外管轄”這一關(guān)鍵過(guò)程域的該等級(jí)不考慮“技術(shù)工具”能力維度以外，其他關(guān)鍵過(guò)程域該等級(jí)對(duì)“文化教育”和“技術(shù)工具”有所要求。其共同特征在于，處于這一等級(jí)的國(guó)家已意識(shí)到數(shù)據(jù)主權(quán)的重要性，具備初步維護(hù)數(shù)據(jù)主權(quán)安全的條件和環(huán)境。在“文化教育”方面，官方文件直接或間接表述數(shù)據(jù)主權(quán)，或在特定場(chǎng)合直接或間接地聲明數(shù)據(jù)主權(quán);在“技術(shù)工具”方面，已經(jīng)發(fā)布制定數(shù)據(jù)主權(quán)相關(guān)國(guó)家標(biāo)準(zhǔn)的計(jì)劃，且官方部門使用的主要軟件程序?qū)儆趪?guó)內(nèi)產(chǎn)品。

4.3.3? ?第III級(jí)：必要級(jí)

除“數(shù)據(jù)域外管轄”這一關(guān)鍵過(guò)程域的該等級(jí)不考慮“技術(shù)工具”能力維度以外，其他關(guān)鍵過(guò)程域該等級(jí)對(duì)五項(xiàng)能力維度都有所要求。其共同特征在于，處于這一等級(jí)的國(guó)家已將數(shù)據(jù)主權(quán)視為重要的國(guó)際博弈工具，能夠有效地定義、識(shí)別和維護(hù)數(shù)據(jù)主權(quán)安全能力。在“文化教育”方面，公眾能感知國(guó)家具備維護(hù)數(shù)據(jù)主權(quán)安全的能力;在“技術(shù)工具”方面，已經(jīng)正式發(fā)布數(shù)據(jù)主權(quán)相關(guān)國(guó)家標(biāo)準(zhǔn)，且具有部署和維護(hù)數(shù)據(jù)主權(quán)安全相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施的實(shí)踐;在“政策戰(zhàn)略”方面，國(guó)家層面有應(yīng)對(duì)大規(guī)模數(shù)據(jù)泄露等安全事件的能力;在“組織建設(shè)”方面，能夠依靠有關(guān)機(jī)構(gòu)承擔(dān)數(shù)據(jù)主權(quán)安全領(lǐng)域相關(guān)工作;在“立法司法”方面，檢察院、法院用現(xiàn)有法律體系能夠處理數(shù)據(jù)主權(quán)類案件，且偵查機(jī)關(guān)具備偵查危害數(shù)據(jù)主權(quán)安全違法活動(dòng)的能力。

4.3.4? ?第IV級(jí)：充分級(jí)

除“數(shù)據(jù)域外管轄”這一關(guān)鍵過(guò)程域的該等級(jí)不考慮“技術(shù)工具”能力維度以外，其他關(guān)鍵過(guò)程域該等級(jí)對(duì)五項(xiàng)能力維度都有所要求。其共性特征在于，處于這一等級(jí)的國(guó)家積極對(duì)外輸出數(shù)據(jù)主權(quán)安全價(jià)值觀，能夠定期為維護(hù)數(shù)據(jù)主權(quán)安全提供充分保障。在“文化教育”方面，已形成數(shù)據(jù)主權(quán)安全相關(guān)的專業(yè)培訓(xùn)體系;在“技術(shù)工具”方面，已正式發(fā)布專門性的數(shù)據(jù)主權(quán)類國(guó)家標(biāo)準(zhǔn)，且呈現(xiàn)多領(lǐng)域覆蓋趨勢(shì);在“政策戰(zhàn)略”方面，國(guó)家層面制定數(shù)據(jù)主權(quán)戰(zhàn)略或政策;在“組織建設(shè)”方面，非國(guó)家層面已建立與數(shù)據(jù)主權(quán)安全相關(guān)的專門機(jī)構(gòu)，且工作職責(zé)明確;在“立法司法”方面，國(guó)內(nèi)出臺(tái)數(shù)據(jù)主權(quán)安全法律。

4.3.5? ?第V級(jí)：優(yōu)化級(jí)

除“數(shù)據(jù)域外管轄”這一關(guān)鍵過(guò)程域的該等級(jí)不考慮“技術(shù)工具”能力維度以外，其他關(guān)鍵過(guò)程域該等級(jí)對(duì)五項(xiàng)能力維度都有所要求。其共性特征在于，處于這一等級(jí)的國(guó)家將數(shù)據(jù)主權(quán)安全能力視為常規(guī)性工作，并進(jìn)入持續(xù)優(yōu)化工作階段。在“文化教育”方面，已形成專門性的數(shù)據(jù)主權(quán)安全專業(yè)培訓(xùn)體系，且實(shí)施數(shù)據(jù)主權(quán)安全教育規(guī)劃;在“技術(shù)工具”方面，主導(dǎo)制定數(shù)據(jù)主權(quán)相關(guān)國(guó)際標(biāo)準(zhǔn)，且已開發(fā)半自動(dòng)或自動(dòng)化工具支撐數(shù)據(jù)主權(quán)安全相關(guān)評(píng)估工作;在“政策戰(zhàn)略”方面，數(shù)據(jù)主權(quán)安全報(bào)告機(jī)制健全暢通;在“組織建設(shè)”方面，國(guó)家層面建立數(shù)據(jù)主權(quán)安全相關(guān)的專門機(jī)構(gòu)，并統(tǒng)籌全國(guó)性數(shù)據(jù)主權(quán)安全領(lǐng)域工作，且領(lǐng)導(dǎo)地方相應(yīng)機(jī)構(gòu)處理數(shù)據(jù)主權(quán)安全事務(wù);在“立法司法”方面，國(guó)內(nèi)出臺(tái)數(shù)據(jù)確權(quán)與交易、數(shù)據(jù)犯罪和關(guān)鍵基礎(chǔ)設(shè)施等數(shù)據(jù)相關(guān)主題立法，且建立專門的數(shù)據(jù)國(guó)際司法合作框架。

5? ?結(jié)論與討論

5.1? ? 模型簡(jiǎn)介

本研究在借鑒CMM和DSCMM基礎(chǔ)上，按照以關(guān)鍵過(guò)程域?yàn)橹骶€、能力維度為內(nèi)容和成熟度等級(jí)為結(jié)論的邏輯展開，結(jié)合數(shù)據(jù)主權(quán)的內(nèi)在要求，構(gòu)建了以數(shù)據(jù)主權(quán)安全的3大關(guān)鍵過(guò)程域、5項(xiàng)能力維度、5級(jí)成熟度為內(nèi)容的三維數(shù)據(jù)主權(quán)安全能力成熟度模型（Data Sovereignty Security Capability Maturity Model，DSSCMM）（三維圖見圖1、二維圖見圖2）。3大關(guān)鍵過(guò)程域分別為“數(shù)據(jù)本地存儲(chǔ)”“數(shù)據(jù)跨境流動(dòng)”和“數(shù)據(jù)域外管轄”，5項(xiàng)能力維度分別為“文化教育”“技術(shù)工具”“政策戰(zhàn)略”“組織建設(shè)”和“立法司法”，5層成熟度等級(jí)由低到高分別為“初始級(jí)”“發(fā)展級(jí)”“必要級(jí)”“充分級(jí)”和“優(yōu)化級(jí)”。

其中，各能力維度的主要構(gòu)成要素（見表2）共計(jì)19項(xiàng)，各成熟度等級(jí)對(duì)應(yīng)的能力維度的關(guān)鍵實(shí)踐（見表3）共計(jì)29個(gè)。不同成熟度等級(jí)對(duì)同一能力維度的關(guān)鍵實(shí)踐有不同的要求，即同一能力維度的不同成熟度等級(jí)可能只有一個(gè)“關(guān)鍵實(shí)踐”，也可能要求多個(gè)“關(guān)鍵實(shí)踐”。每個(gè)能力維度在不同的關(guān)鍵過(guò)程域所占的權(quán)重不同，每個(gè)成熟度等級(jí)要求的各能力維度及其關(guān)鍵實(shí)踐描述都不相同，它們共同構(gòu)成了數(shù)據(jù)主權(quán)安全能力成熟度等級(jí)總體描述（見表3）。需要注意的是，由于本模型中的數(shù)據(jù)主權(quán)安全關(guān)鍵過(guò)程域由“數(shù)據(jù)本地存儲(chǔ)”“數(shù)據(jù)跨境流動(dòng)”和“數(shù)據(jù)域外管轄”構(gòu)成，因此在總體描述數(shù)據(jù)主權(quán)安全關(guān)鍵過(guò)程域的成熟度等級(jí)所要求的能力維度關(guān)鍵實(shí)踐時(shí)，三大關(guān)鍵過(guò)程域的實(shí)體概念都是使用“數(shù)據(jù)主權(quán)”表述加以統(tǒng)稱，在實(shí)際使用該模型開展評(píng)估時(shí)，要結(jié)合所評(píng)估的關(guān)鍵過(guò)程域?qū)Α皵?shù)據(jù)主權(quán)”加以理解和具體化。

5.2? ? 模型內(nèi)部結(jié)構(gòu)關(guān)系

關(guān)鍵過(guò)程域是維護(hù)數(shù)據(jù)主權(quán)安全必須重點(diǎn)關(guān)注的對(duì)象領(lǐng)域，國(guó)家通過(guò)不同的關(guān)鍵過(guò)程可以實(shí)現(xiàn)數(shù)據(jù)主權(quán)的不同安全，同一過(guò)程域中的不同能力維度之間存在互補(bǔ)性，不同過(guò)程域的相同能力維度可體現(xiàn)國(guó)家某方面的綜合能力。數(shù)據(jù)主權(quán)安全的關(guān)鍵過(guò)程域、能力維度與成熟度等級(jí)存在以下對(duì)應(yīng)關(guān)系：

（1）每個(gè)數(shù)據(jù)主權(quán)安全關(guān)鍵過(guò)程域的能力成熟度劃分為五個(gè)等級(jí)（見圖2的X區(qū)域與Y區(qū)域組合），而不是每項(xiàng)能力維度劃分為五個(gè)等級(jí)（見圖2的Z區(qū)域與Y區(qū)域）。如并不要求將“文化教育”分為1-5級(jí)，而是將“數(shù)據(jù)本地存儲(chǔ)”分為1-5級(jí)。

（2）不要求每個(gè)關(guān)鍵過(guò)程域都包括五項(xiàng)安全能力（見圖2的X區(qū)域與Z區(qū)域組合），也不要求每個(gè)能力成熟度等級(jí)都從五項(xiàng)能力維度展開評(píng)定（見圖2的Y區(qū)域與Z區(qū)域組合）。如數(shù)據(jù)域外管轄就不需要考慮“技術(shù)工具”，第1級(jí)和第2級(jí)都只要求“文化教育”。在短期內(nèi)，每個(gè)關(guān)鍵過(guò)程域的能力維度的重要程度相對(duì)穩(wěn)定，但是從長(zhǎng)遠(yuǎn)來(lái)看，每個(gè)關(guān)鍵過(guò)程域的能力維度的重要性可能發(fā)生變化，也就是說(shuō)能力維度在關(guān)鍵過(guò)程域中所占權(quán)重不同。在每一次具體評(píng)估工作開展前，由評(píng)估主體在組織評(píng)估之前采用專家調(diào)查法，確定各能力維度在各關(guān)鍵過(guò)程域中的所占權(quán)重，權(quán)重可以為零，建議邀請(qǐng)法學(xué)、管理學(xué)、數(shù)據(jù)科學(xué)、情報(bào)科學(xué)、信息科學(xué)、計(jì)算機(jī)科學(xué)等涉及數(shù)據(jù)安全或主權(quán)安全的不同領(lǐng)域?qū)＜?，專家人?shù)為10人以上，每一領(lǐng)域至少2人。

（3）在評(píng)估能力成熟度等級(jí)時(shí)，是針對(duì)每個(gè)等級(jí)應(yīng)該具備的能力維度提出本等級(jí)所要求的關(guān)鍵實(shí)踐，即根據(jù)每個(gè)能力維度的構(gòu)成要素（見表2）提出關(guān)鍵實(shí)踐情況（見表3）。如第1級(jí)的“文化教育”的兩個(gè)關(guān)鍵實(shí)踐是“非官方組織形成數(shù)據(jù)主權(quán)意識(shí)”和“官方已明確主張網(wǎng)絡(luò)主權(quán)”，而第2級(jí)的“文化教育”的關(guān)鍵實(shí)踐是“官方文件直接或間接地表述數(shù)據(jù)主權(quán)”，或在特定場(chǎng)合直接或間接地聲明數(shù)據(jù)主權(quán)。

（4）關(guān)鍵過(guò)程域能力維度的高等級(jí)關(guān)鍵實(shí)踐默認(rèn)包括所有低于其的關(guān)鍵實(shí)踐。如第3級(jí)“文化教育”的關(guān)鍵實(shí)踐，除了該等級(jí)所要求的關(guān)鍵實(shí)踐以外，包括第2級(jí)和第1級(jí)“文化教育”的關(guān)鍵實(shí)踐。

6? ?結(jié)語(yǔ)

本文提出了“數(shù)據(jù)主權(quán)安全能力成熟度”命題并研究其模型構(gòu)建，可能的創(chuàng)新或貢獻(xiàn)在于：（1）提出了數(shù)據(jù)主權(quán)安全能力成熟度概念并構(gòu)建模型，既可以用于評(píng)價(jià)主權(quán)國(guó)家的數(shù)據(jù)主權(quán)安全能力狀況并針對(duì)薄弱環(huán)節(jié)提出改進(jìn)策略，也可以用于量化并可視化呈現(xiàn)本國(guó)和他國(guó)的數(shù)據(jù)主權(quán)能力優(yōu)勢(shì)和差距，還為今后制定數(shù)據(jù)主權(quán)安全能力成熟度模型的相關(guān)標(biāo)準(zhǔn)提供智力支持;（2）提出了數(shù)據(jù)跨境流動(dòng)周期概念并在此基礎(chǔ)上形成了數(shù)據(jù)主權(quán)安全的關(guān)鍵過(guò)程域，對(duì)于后續(xù)相關(guān)研究和標(biāo)準(zhǔn)制定提供框架基礎(chǔ)。當(dāng)然，由于數(shù)據(jù)主權(quán)安全評(píng)估屬于新興領(lǐng)域，本文存在以下不足：（1）僅限于構(gòu)建數(shù)據(jù)主權(quán)安全能力成熟度模型，而并未給出具體的評(píng)估流程和方法，也并未進(jìn)行驗(yàn)證。對(duì)此不足之處，筆者將在后文《數(shù)據(jù)主權(quán)安全能力成熟度評(píng)估應(yīng)用研究——以DSSCMM模型應(yīng)用于中國(guó)的評(píng)估為例》中加以完善;（2）在關(guān)鍵實(shí)踐描述方面需要逐步完善，因?yàn)閿?shù)據(jù)主權(quán)的時(shí)代內(nèi)涵不是一成不變，該模型本身就是基于這個(gè)時(shí)代的數(shù)據(jù)主權(quán)內(nèi)在要求而構(gòu)建的，為后續(xù)修正工作提供模型框架。后續(xù)研究需要擴(kuò)展數(shù)據(jù)主權(quán)安全的過(guò)程域、能力維度，提出數(shù)據(jù)主權(quán)安全能力評(píng)估流程和方法，并在此基礎(chǔ)上對(duì)我國(guó)或其他國(guó)家數(shù)據(jù)主權(quán)安全能力進(jìn)行評(píng)估。

參考文獻(xiàn)：

[1]? 冉從敬.專題前言：超越地理疆界的網(wǎng)絡(luò)與數(shù)據(jù)主權(quán)[J].信息資源管理學(xué)報(bào)，2019，9（2）：11.

[2]? 蔡翠紅.云時(shí)代數(shù)據(jù)主權(quán)概念及其運(yùn)用前景[J].現(xiàn)代國(guó)際關(guān)系，2013（12）：58-65.

[3]? 胡水晶，李偉.政府公共云服務(wù)中的數(shù)據(jù)主權(quán)及其保障策略探討[J].情報(bào)雜志，2013，32（9）：157-162.

[4]? 肖冬梅，文禹衡.在全球數(shù)據(jù)洪流中捍衛(wèi)國(guó)家數(shù)據(jù)主權(quán)安全[J].紅旗文稿，2017（9）：34-36.

[5]? 程昊.從“云幕”法案看我國(guó)數(shù)據(jù)主權(quán)的保護(hù)[J].情報(bào)理論與實(shí)踐，2019，42（4）：31-35.

[6]? 黃海瑛，何夢(mèng)婷.基于CLOUD法案的美國(guó)數(shù)據(jù)主權(quán)戰(zhàn)略解讀[J].信息資源管理學(xué)報(bào)，2019，9（2）：34-45.

[7]? 彭芩萱，李白楊，李光輝.全球數(shù)據(jù)主權(quán)博弈背景下歐盟構(gòu)建數(shù)據(jù)空間治理規(guī)則體系的現(xiàn)狀與特點(diǎn)[J].信息資源管理學(xué)報(bào)，2021，11（2）：78-84.

[8]? 鄧崧，黃嵐，馬步濤.基于數(shù)據(jù)主權(quán)的數(shù)據(jù)跨境管理比較研究[J].情報(bào)雜志，2021，40（6）：119-126.

[9]? 冉從敬，陳貴容，王歡.歐美跨境數(shù)據(jù)流動(dòng)管轄沖突表現(xiàn)形式及主要解決途徑研究[J].圖書與情報(bào)，2020（3）：77-85

[10]? Hummel P，Braun M，Tretter M，et al.Data sovereignty：A review[J].Big Data & Society，2021，8（1）：2053951720982012.

[11]? Polatin-Reuben D，Wright J.An Internet with{BRICS}Characteristics： Data Sovereignty and the Balkanisation of the Internet[C].4th{USENIX}Workshop on Free and Open Communications on the Internet （{FOCI} 14），2014.

[12]? Nugraha Y，Sastrosubroto A S.Towards data sovereignty in cyberspace[C].2015 3rd international conference on information and communication technology（ICoICT）.IEEE，2015：465-471.

[13]? Esposito C，Castiglione A，F(xiàn)rattini F，et al.On data sovereignty in cloud-based computation offloading for smart cities applications[J].IEEE Internet of Things Journal，2018，6（3）：4521-4535.

[14]? 國(guó)家市場(chǎng)監(jiān)督管理總局、中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì).信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型（GB/T37988-2019）[R].中國(guó)標(biāo)準(zhǔn)出版社，2019，8：1.

[15]? Paulk M C.A history of the capability maturity model for software[J].ASQ Software Quality Professional，2009，12（1）： 5-19.

[16]? 何新貴，王緯，王方德.軟件能力成熟度模型[M].北京：清華大學(xué)出版社，2001：23-26.

[17]? Curtis B，Hefley W E，Miller S.People capability maturity model[M].Pittsburgh：Carnegie Mellon University，Software Engineering Institute，1995.

[18]? Curtis B，Hefley B，Miller S.People capability maturity model（P-CMM）version 2.0[R].CARNEGIE-MELLON UNIV PITTSBURGH PA SOFTWARE ENGINEERING INST，2009.

[19]? Ferraiolo K.The Systems Security Engineering Capability Maturity Model[C].[2021-06-13].https：//csrc.nist.rip/nissc/1998/proceedings/tutorB5.pdf.

[20]? Bate R，Kuhn D，Wells C，et al.A systems engineering capability maturity model，Version 1.1[R].Carnegie-Mellon Univ Pittsburgh PA Software Engineering Inst，1995.

[21]? 葉蘭.研究數(shù)據(jù)管理能力成熟度模型評(píng)析[J].圖書情報(bào)知識(shí)，2015（2）：115-123.

[22]? 葉蘭.數(shù)據(jù)管理能力成熟度模型比較研究與啟示[J].圖書情報(bào)工作，2020，64（13）：51-57.

[23]? 牛春華，吳艷艷，劉紅兵.公共安全數(shù)據(jù)管理能力成熟度模型構(gòu)建[J].圖書與情報(bào)，2019（4）：22-28.

[24]? 黨洪莉，譚海兵.基于DMM的數(shù)據(jù)管理成熟度模型及在服務(wù)評(píng)估中的應(yīng)用[J].現(xiàn)代情報(bào)，2017，37（9）：118-121.

[25]? 楊錦坤，韓春花，韋廣昊，等.海洋數(shù)據(jù)管理能力成熟度評(píng)估模型研究初探[J].海洋信息，2020，35（4）：1-8.

[26]? 秦中云.大數(shù)據(jù)環(huán)境下高校圖書館數(shù)據(jù)治理及成熟度模型研究[J].新世紀(jì)圖書館，2019（11）：62-67.

[27]? 吳錦池，余維杰.圖書館數(shù)據(jù)治理成熟度評(píng)價(jià)體系構(gòu)建[J].情報(bào)科學(xué)，2021，39（1）：65-71.

[28]? 周林興，韓永繼.檔案數(shù)據(jù)安全治理能力成熟度模型構(gòu)建研究[J].檔案與建設(shè)，2020（7）：24-27，19.

[29]? 謝剛，孫玉軍，李月云.基于未確知測(cè)度理論的多科性醫(yī)院醫(yī)療大數(shù)據(jù)治理能力成熟度評(píng)價(jià)[J].技術(shù)經(jīng)濟(jì)，2019，38（9）：89-96.

[30]? 李克鵬，梅婧婷，鄭斌，等.大數(shù)據(jù)安全能力成熟度模型標(biāo)準(zhǔn)研究[J].信息技術(shù)與標(biāo)準(zhǔn)化，2016（7）：59-61.

[31]? 鄭斌.企業(yè)數(shù)據(jù)安全能力框架——數(shù)據(jù)安全能力成熟度模型的構(gòu)建及應(yīng)用[J].信息安全與通信保密，2017（11）：70-78.

[32]? 程芳，趙彥慶，王磊.基于數(shù)據(jù)服務(wù)平臺(tái)的數(shù)據(jù)質(zhì)量能力成熟度模型研究[J].標(biāo)準(zhǔn)科學(xué)，2020（10）：120-123.

[33]? 肖秋會(huì)，陳夢(mèng).基于CMM的機(jī)構(gòu)數(shù)字保存能力成熟度模型研究[J].檔案學(xué)通訊，2016（1）：55-60.

[34]? 全國(guó)標(biāo)準(zhǔn)信息公告服務(wù)平臺(tái)[EB/OL].[2021-06-20].http：//std.samr.gov.cn/.

[35]? GCSCC發(fā)布2021版《國(guó)家網(wǎng)絡(luò)安全能力成熟度模型》報(bào)告[EB/OL].[2021-06-20].https：//www.freebuf.com/articles/network/271938.html.

[36]? 蔣潔.云數(shù)據(jù)跨境流動(dòng)的法律調(diào)整機(jī)制[J].圖書與情報(bào)，2012（6）：57-63.

作者簡(jiǎn)介：黃海瑛（1978-），女，武漢大學(xué)信息管理學(xué)院副教授，研究方向：數(shù)據(jù)治理、數(shù)字人文;文禹衡（1989-），男，湘潭大學(xué)知識(shí)產(chǎn)權(quán)學(xué)院講師，研究方向：數(shù)據(jù)主權(quán)、數(shù)據(jù)產(chǎn)權(quán)與數(shù)據(jù)權(quán)力。