數(shù)據(jù)主權(quán)安全能力成熟度評(píng)估應(yīng)用研究

文禹衡　戴文怡

摘? ?要：基于DSSCMM提出數(shù)據(jù)主權(quán)安全能力成熟度的評(píng)估方法和過(guò)程，評(píng)估后針對(duì)我國(guó)數(shù)據(jù)主權(quán)安全能力成熟度薄弱環(huán)節(jié)提出改進(jìn)建議。構(gòu)建并運(yùn)用邊際取樣法確定有效樣本，運(yùn)用專(zhuān)家調(diào)查法確定關(guān)鍵過(guò)程域的能力維度權(quán)重，構(gòu)建并運(yùn)用樣本賦分法計(jì)算能力維度分，進(jìn)而確定關(guān)鍵過(guò)程域分和數(shù)據(jù)主權(quán)安全能力分。數(shù)據(jù)本地存儲(chǔ)、數(shù)據(jù)跨境流動(dòng)、數(shù)據(jù)域外管轄的能力成熟度都達(dá)到充分級(jí)，但數(shù)據(jù)域外管轄的能力成熟度實(shí)際上靠近必要級(jí)，我國(guó)數(shù)據(jù)主權(quán)安全能力成熟度達(dá)到充分級(jí)。進(jìn)一步提升我國(guó)數(shù)據(jù)主權(quán)安全能力成熟度，宜從數(shù)據(jù)域外管轄的“文化教育”和數(shù)據(jù)本地存儲(chǔ)、數(shù)據(jù)跨境流動(dòng)的“技術(shù)工具”展開(kāi)，尤其要重視在域外司法活動(dòng)之中及時(shí)運(yùn)用《數(shù)據(jù)安全法》的長(zhǎng)臂管轄，以及引導(dǎo)和推廣在國(guó)內(nèi)網(wǎng)絡(luò)生態(tài)系統(tǒng)中應(yīng)用自主技術(shù)產(chǎn)品。

關(guān)鍵詞：DSSCMM;數(shù)據(jù)主權(quán)安全;能力成熟度;邊際取樣法;樣本賦分法

中圖分類(lèi)號(hào)：G203? ?文獻(xiàn)標(biāo)識(shí)碼：A? ?DOI：10.11968/tsyqb.1003-6938.2021055

Research on the Maturity Evaluation of Data Sovereignty Security Capability in China Based on DSSCMM

——Discussion on the Evaluation Process and Method of DSSCMM

Abstract Based on DSSCMM， this paper puts forward the method and process of evaluating the maturity of data sovereignty security capability ， and puts forward some suggestions to improve the weakness of our country's data sovereignty security capability.Construct and use marginal sampling method to determine effective samples， apply expert investigation method to determine the weight of capability dimension， and use sample scoring method to calculate the scores of capability dimensions， then determine the key process area score and data sovereignty security capability score.The capacity maturity of data localization， cross-border data flow and data extraterritorial jurisdiction has reached a higher level， but the capacity maturity of data extraterritorial jurisdiction actually tends to be necessary level， and the data sovereignty security capacity maturity of our country has reached a sufficient level.In order to improve the maturity of our country's data sovereignty security capability， it is suggested that we should start from "culture and education" and "technical tools" of data local storage and data cross-border flow.Particular attention shall be paid to the timely application of the long-arm jurisdiction of the Data Security Law in extraterritorial judicial activities， and guide and promote the application of independent technology products in the domestic network ecosystem.

Key words DSSCMM; data sovereignty security; capability maturity; marginal sampling method; sample scoring method

1? ?引言

步入數(shù)字化時(shí)代、智能化社會(huì)以后，網(wǎng)絡(luò)空間成為大國(guó)博弈的主要戰(zhàn)場(chǎng)。網(wǎng)絡(luò)空間的安全關(guān)系到各國(guó)的主權(quán)利益，由此網(wǎng)絡(luò)主權(quán)概念應(yīng)運(yùn)而生，被認(rèn)為是領(lǐng)土、領(lǐng)海、領(lǐng)空等傳統(tǒng)主權(quán)之后的新型主權(quán)，但它們的共同點(diǎn)仍然在于基于空間意象而形成的主權(quán)觀念。數(shù)據(jù)被中央文件定位為生產(chǎn)要素之后，其已經(jīng)從原來(lái)的技術(shù)生產(chǎn)要素中獨(dú)立出來(lái)，其重要性不言而喻。數(shù)據(jù)是網(wǎng)絡(luò)空間基本的傳輸載體，其也被上升到主權(quán)的高度——數(shù)據(jù)主權(quán)觀念逐漸形成。與傳統(tǒng)主權(quán)、網(wǎng)絡(luò)主權(quán)不同，數(shù)據(jù)主權(quán)不是一個(gè)空間架構(gòu)，而是一個(gè)實(shí)體概念。在我國(guó)，既有研究成果大都認(rèn)為2015年《促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要》是官方首次提出“數(shù)據(jù)主權(quán)”，實(shí)際上表述“數(shù)據(jù)主權(quán)”的官方文件可以追溯到《深圳市服務(wù)外包產(chǎn)業(yè)發(fā)展規(guī)劃（2012—2015）》。除此之外，2018年《福州市推進(jìn)大數(shù)據(jù)發(fā)展三年行動(dòng)計(jì)劃（2018-2020年）》和《2018年測(cè)繪地理信息工作要點(diǎn)》都提到了數(shù)據(jù)主權(quán)，尤其是2021年的《最高人民法院關(guān)于人民法院為北京市國(guó)家服務(wù)業(yè)擴(kuò)大開(kāi)放綜合示范區(qū)、中國(guó)（北京）自由貿(mào)易試驗(yàn)區(qū)建設(shè)提供司法服務(wù)和保障的意見(jiàn)》進(jìn)一步提出“妥善處理國(guó)家安全、國(guó)家數(shù)據(jù)主權(quán)、企業(yè)數(shù)據(jù)產(chǎn)權(quán)和個(gè)人信息保護(hù)的關(guān)系，以及意思自治與行政監(jiān)管的關(guān)系”。

可見(jiàn)，數(shù)據(jù)主權(quán)在我國(guó)不再只是學(xué)術(shù)界熱議的主題，已經(jīng)深入到探討其數(shù)據(jù)主權(quán)管轄等深層次話題[1]，并逐漸在官方文件中有所體現(xiàn)。盡管還沒(méi)有向“網(wǎng)絡(luò)主權(quán)”那般直接進(jìn)入法律規(guī)定，但是也通過(guò)“數(shù)據(jù)存儲(chǔ)在境內(nèi)”等相關(guān)表述間接強(qiáng)化了數(shù)據(jù)主權(quán)。那么，我國(guó)維護(hù)數(shù)據(jù)主權(quán)安全能力已經(jīng)達(dá)到什么程度了呢？《數(shù)據(jù)主權(quán)安全能力的成熟度模型構(gòu)建研究》構(gòu)建了數(shù)據(jù)主權(quán)安全能力成熟度模型（DSSCMM）已經(jīng)被構(gòu)建，但并未給出具體評(píng)估流程和方法，且目前尚無(wú)評(píng)估我國(guó)數(shù)據(jù)主權(quán)安全能力成熟度的研究成果。鑒于此，本研究選擇DSSCMM作為評(píng)估模型，構(gòu)建具體的評(píng)估流程和方法，進(jìn)而評(píng)估我國(guó)數(shù)據(jù)主權(quán)安全能力成熟度并客觀呈現(xiàn)成熟度等級(jí)，對(duì)于我國(guó)加強(qiáng)數(shù)據(jù)主權(quán)安全體系建設(shè)具有重要意義。

2? ?研究綜述

當(dāng)前，與數(shù)據(jù)主權(quán)安全評(píng)估的相關(guān)研究成果幾乎沒(méi)有，選擇的DSSCMM模型作為評(píng)估模型未給出該模型的具體評(píng)估方法，故研究綜述主要集中在數(shù)據(jù)能力成熟度的評(píng)估方法。葉蘭[2]比較國(guó)內(nèi)外7個(gè)數(shù)據(jù)管理能力成熟度模型后的發(fā)現(xiàn)——各模型普遍存在的共同問(wèn)題之一是缺乏包括評(píng)估方法、評(píng)估步驟在內(nèi)的評(píng)估過(guò)程的指導(dǎo)與應(yīng)用指南。盡管?chē)?guó)內(nèi)數(shù)據(jù)能力成熟度模型的相關(guān)研究涉及到圖書(shū)館[2-4]和公共安全[5]等領(lǐng)域的數(shù)據(jù)管理方面，圖書(shū)館[6-7]和檔案[8]等領(lǐng)域的數(shù)據(jù)治理方面，以及數(shù)據(jù)安全[9-10]、數(shù)據(jù)質(zhì)量[11]、數(shù)字保存[12]等方面，但是構(gòu)建模型后給出具體評(píng)估流程和方法并開(kāi)展評(píng)估的研究成果很少。如秦中云[6]構(gòu)建高校圖書(shū)館數(shù)據(jù)治理成熟度評(píng)估模型，建議采用聘請(qǐng)專(zhuān)家調(diào)研并進(jìn)行打分;楊錦坤等[13]評(píng)估海洋數(shù)據(jù)管理能力成熟度的評(píng)估方法體現(xiàn)在“擬定分值范圍為1-10分，分?jǐn)?shù)越高，等級(jí)越高”，但并未論證為何如此賦分。此外，從我國(guó)目前僅有的三類(lèi)數(shù)據(jù)能力成熟度模型來(lái)看，《信息安全技術(shù) 數(shù)據(jù)中心服務(wù)能力成熟度模型》采取對(duì)能力項(xiàng)成熟度指標(biāo)值進(jìn)行加權(quán)平均的方法計(jì)算出數(shù)據(jù)中心服務(wù)能力成熟度指標(biāo)值，對(duì)照給定的數(shù)據(jù)中心服務(wù)能力成熟度分級(jí)規(guī)則確定數(shù)據(jù)中心服務(wù)能力成熟度級(jí)別[14];《數(shù)據(jù)管理能力成熟度評(píng)估模型》[15]未給出評(píng)級(jí)方法;《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》未對(duì)評(píng)級(jí)方法做具體限定，但給出了綜合判定參考方法[16]。

將檢索范圍擴(kuò)大到“能力成熟度”：部分研究成果僅構(gòu)建模型，如王大壯[17]構(gòu)建數(shù)字圖書(shū)館移動(dòng)服務(wù)能力成熟度評(píng)價(jià)模型;張旭等[18]構(gòu)建高校圖書(shū)館智庫(kù)服務(wù)能力成熟度模型;高凡等[19]介紹基于成熟度模型設(shè)計(jì)數(shù)字資源長(zhǎng)期保存能力評(píng)價(jià)框架的應(yīng)用流程也沒(méi)有給出評(píng)級(jí)方法;部分研究成果構(gòu)建模型后給出了評(píng)級(jí)方法，周茜[20]構(gòu)建移動(dòng)數(shù)字圖書(shū)館服務(wù)能力成熟度模型并建議運(yùn)用“定性+定量”評(píng)價(jià)方法，周瑩等[21]構(gòu)建數(shù)字圖書(shū)館知識(shí)服務(wù)能力成熟度模型并提出根據(jù)各評(píng)價(jià)指標(biāo)的權(quán)重及最高分值來(lái)確定衡量標(biāo)準(zhǔn)，肖秋會(huì)和陳夢(mèng)[12]構(gòu)建數(shù)字保存能力成熟度模型及評(píng)價(jià)體系并提出具體評(píng)價(jià)時(shí)采取復(fù)合指標(biāo)評(píng)分的方法確定等級(jí)水平，史敏等[22]構(gòu)建面向技術(shù)創(chuàng)新的企業(yè)信息情報(bào)能力成熟度診斷模型并給出了評(píng)價(jià)方法。

從既有相關(guān)研究成果來(lái)看，相比于構(gòu)建數(shù)據(jù)能力成熟度相關(guān)模型很少有給出評(píng)估方法，構(gòu)建其他能力成熟度模型并給出評(píng)估方法的成果要多一些，但給出評(píng)估方法的研究成果總體上仍然很少。然而，從給出的評(píng)估方法來(lái)看，沒(méi)有一套普遍適用的方法，共同點(diǎn)在于評(píng)估方法都與其模型密切關(guān)聯(lián)。這可能也是已發(fā)布的模型國(guó)家標(biāo)準(zhǔn)、既有的研究成果不限定評(píng)估方法，而只是給出參考評(píng)估方法的原因。由此，啟示本研究在開(kāi)展評(píng)估時(shí)不要企圖去套用其他模型的評(píng)估流程和方法，而是根據(jù)DSSCMM構(gòu)建一套契合本模型內(nèi)在機(jī)理的評(píng)估流程和方法。

3? ?研究設(shè)計(jì)

3.1? ? 選取與處理評(píng)估樣本

由于評(píng)估對(duì)象是數(shù)據(jù)主權(quán)，有些維度的樣本會(huì)涉及多個(gè)層面、多種形式，如DSSCMM的成熟度第2級(jí)“文化教育”能力維度的等級(jí)總體描述是“官方通過(guò)文件直接或間接地表述數(shù)據(jù)主權(quán)，或在特定場(chǎng)合直接或間接地聲明數(shù)據(jù)主權(quán)”，這里的“官方文件”形式涉及法律法規(guī)、政策文件、新聞報(bào)道等，而“法律法規(guī)”又分為國(guó)家層面和地方層面等、“政策文件”也分為中央政策和地方政策等、“新聞報(bào)告”又有官方報(bào)道和民間傳媒之分，再往下還可以細(xì)分。那么，如何確定樣本呢？

盡管每一類(lèi)型樣本的數(shù)量標(biāo)準(zhǔn)并不能簡(jiǎn)單地依靠數(shù)量加以判斷，因?yàn)樯婕暗叫Я?wèn)題，單純依靠數(shù)量無(wú)法衡量其效力，而是需要評(píng)估人員根據(jù)具體內(nèi)容加以確定。如關(guān)于“數(shù)據(jù)本地存儲(chǔ)”，只要在法律中加以明確，哪怕是一個(gè)條文也具有很高的效力。但是，在評(píng)估中為減少主觀性，還是應(yīng)當(dāng)依靠數(shù)量來(lái)衡量，其邏輯在于，相對(duì)于某事項(xiàng)作出一個(gè)規(guī)定，多個(gè)規(guī)定意味著其被重視的程度越高、管控意圖越強(qiáng)。那么，樣本數(shù)量以多少合適呢？為了現(xiàn)實(shí)有效評(píng)估，提出基于邊際效應(yīng)確定有效樣本的方法（簡(jiǎn)稱(chēng)邊際取樣法），即在評(píng)估類(lèi)研究中，具體實(shí)施某指標(biāo)的評(píng)估時(shí)，針對(duì)待評(píng)指標(biāo)選取樣本，遵循邊際效應(yīng)原理確定最佳樣本量，而不是按照整個(gè)研究隨機(jī)采樣或采全樣本，每一個(gè)符合要求的樣本計(jì)為“1樣本量”，達(dá)到最佳樣本量即可停止。邊際取樣法在評(píng)估類(lèi)研究中比較適用，因?yàn)樵u(píng)估類(lèi)研究?jī)H需要確定是否達(dá)到了某種條件的程度。按照邊際取樣法，本研究計(jì)滿3樣本量就不再檢索樣本。如此，不同的評(píng)估人員，當(dāng)其認(rèn)真履行評(píng)估工作，即便找到的具體樣本不一樣，也會(huì)給出同樣的分值，盡可能減少因人而異的誤差。該邊際取樣法實(shí)際上是解決有效樣本量的確定問(wèn)題，需要從以下幾個(gè)方面加以理解。

（1）為什么達(dá)到一定的樣本量就停止檢索呢？理由在于，對(duì)于樣本的充分性考量類(lèi)似“邊際效應(yīng)”——在其他投入（變量）不變的情況下，持續(xù)增加某一投入（變量），那么基于該投入（變量）所新增的產(chǎn)出或收益反而會(huì)逐漸減少。在社會(huì)治理領(lǐng)域，出臺(tái)每一個(gè)治理措施（政策法規(guī)等）相當(dāng)于投入，其所實(shí)現(xiàn)的治理效果相當(dāng)于產(chǎn)出，假如每增加一個(gè)措施，表示對(duì)某事項(xiàng)重視程度越高、管控力度逐漸增強(qiáng)，那么當(dāng)重視程度、管控力度達(dá)到臨界值時(shí)，后續(xù)的重視程度、管控力度對(duì)于預(yù)期實(shí)現(xiàn)的效果已經(jīng)可以忽略。當(dāng)最后一個(gè)措施的出臺(tái)，達(dá)到了理論上的臨界值，此時(shí)稱(chēng)之為“措施飽和”狀態(tài)。

（2）為什么是3樣本量，而不是2個(gè)或5個(gè)呢？因?yàn)樵u(píng)估的是國(guó)家的數(shù)據(jù)主權(quán)安全能力，在同一效力位階的樣本不會(huì)很多，如涉及數(shù)據(jù)跨境流動(dòng)事項(xiàng)在《網(wǎng)絡(luò)安全法》已經(jīng)作出規(guī)定（計(jì)1樣本量），由于法律的位階很高，此時(shí)意味著對(duì)數(shù)據(jù)跨境流動(dòng)重視程度很高，國(guó)家可以不再就該事項(xiàng)在其他法律中作出規(guī)定，但是并不意味著其他的法律不會(huì)作出該事項(xiàng)規(guī)定，如《數(shù)據(jù)安全法》又對(duì)數(shù)據(jù)跨境流動(dòng)作出規(guī)定（累計(jì)2樣本量），此時(shí)意味著對(duì)數(shù)據(jù)跨境流動(dòng)的重視程度更高了，依次類(lèi)推累計(jì)滿3樣本量即可以認(rèn)為達(dá)到了前述的措施飽和狀態(tài)。一般而言，最高重視程度也就是專(zhuān)門(mén)出臺(tái)關(guān)于數(shù)據(jù)跨境流動(dòng)的法律。

（3）如果不是同一位階的樣本，如何選擇有效樣本量呢？樣本按照效力位階選擇，先在最高效力等級(jí)的潛在樣本范圍中尋找，能夠找到3個(gè)有效樣本就停止檢索，否則就繼續(xù)往下一位階的潛在樣本范圍檢索，如此一直到檢索到3個(gè)有效樣本為止，或者窮盡所有潛在樣本也無(wú)法找到有效樣本為止。樣本位階高低大致可以按照如下思路確定：按照國(guó)家高于地方，官方高于非官方，書(shū)面形式高于口頭表達(dá)，組織決議高于個(gè)人觀點(diǎn)，專(zhuān)門(mén)性規(guī)定高于分散性規(guī)定，法律政策高于學(xué)術(shù)智庫(kù)成果。

2021年6月20日-27日，本研究以威科先行、國(guó)家標(biāo)準(zhǔn)信息公開(kāi)服務(wù)平臺(tái)、中國(guó)信息安全測(cè)評(píng)中心、中國(guó)知網(wǎng)和相關(guān)官網(wǎng)為數(shù)據(jù)來(lái)源庫(kù)，在梳理包括“數(shù)據(jù)本地存儲(chǔ)”“數(shù)據(jù)跨境流動(dòng)”和“數(shù)據(jù)域外管轄”在內(nèi)的數(shù)據(jù)主權(quán)相關(guān)樣本結(jié)果之后，按照上述選樣原則和方法確定有效樣本61個(gè)（見(jiàn)表1）。

3.2? ? 確定評(píng)估流程與方法

評(píng)估數(shù)據(jù)主權(quán)安全能力成熟度等級(jí)，需要根據(jù)關(guān)鍵過(guò)程域的能力維度展開(kāi)，通過(guò)對(duì)各成熟度等級(jí)所需要具備的關(guān)鍵實(shí)踐逐一展開(kāi)。運(yùn)用數(shù)據(jù)主權(quán)安全能力成熟度模型時(shí)，評(píng)估人員可按以下步驟理解和掌握評(píng)估工作要點(diǎn)。以下步驟是按照便于理解的順序呈現(xiàn)，而非實(shí)際評(píng)估時(shí)應(yīng)遵循的步驟，具體開(kāi)展評(píng)估工作時(shí)可靈活展開(kāi)，如按照第四、六、三、二、五、七、一、八、九步的順序開(kāi)展。

第一步，逐一評(píng)估關(guān)鍵過(guò)程域。將數(shù)據(jù)主權(quán)安全的關(guān)鍵過(guò)程域分開(kāi)評(píng)估，分別獲取數(shù)據(jù)本地存儲(chǔ)、數(shù)據(jù)跨境流動(dòng)和數(shù)據(jù)域外管轄的分值，用于計(jì)算數(shù)據(jù)主權(quán)安全能力分，最終評(píng)定數(shù)據(jù)主權(quán)安全能力成熟度等級(jí)。

第二步，逐一評(píng)估能力維度。將每一個(gè)關(guān)鍵過(guò)程域的不同能力維度分開(kāi)評(píng)估，分別依據(jù)樣本確定文化教育、技術(shù)工具、政策戰(zhàn)略、組織建設(shè)和立法司法的成熟度等級(jí)，并記錄各能力成熟度分?jǐn)?shù)用于計(jì)算關(guān)鍵過(guò)程域分。

第三步，逐一評(píng)估關(guān)鍵實(shí)踐。每一能力維度的不同成熟度等級(jí)有不同的關(guān)鍵實(shí)踐，見(jiàn)表5-表18的“關(guān)鍵實(shí)踐”。在開(kāi)展評(píng)估工作時(shí)，要注意是多個(gè)關(guān)鍵實(shí)踐，還是單個(gè)關(guān)鍵實(shí)踐。在評(píng)估關(guān)鍵實(shí)踐時(shí)，只要存在一個(gè)有效樣本支持，則意味著該關(guān)鍵實(shí)踐已滿足。如果存在多個(gè)關(guān)鍵實(shí)踐，需要逐一評(píng)估，有任何一個(gè)關(guān)鍵實(shí)踐未滿足，則意味著不符合該等級(jí)的要求，即停止該等級(jí)評(píng)估。當(dāng)該等級(jí)關(guān)鍵實(shí)踐達(dá)到要求，則意味著該能力維度已經(jīng)達(dá)到該等級(jí)，那么可以繼續(xù)評(píng)估上一個(gè)等級(jí)。如表5中，滿足第1級(jí)的“（1）”和“（2）”兩個(gè)關(guān)鍵實(shí)踐之后，才可繼續(xù)評(píng)價(jià)第2級(jí)，以此類(lèi)推，到無(wú)法滿足關(guān)鍵實(shí)踐時(shí)則停止評(píng)估。換而言之，默認(rèn)高等級(jí)的關(guān)鍵實(shí)踐包括低等級(jí)的關(guān)鍵實(shí)踐。

第四步，明確分值設(shè)置與計(jì)算。整個(gè)成熟度能力等級(jí)共分為5級(jí)，假定初始共賦值10分（稱(chēng)為“初始能力維度分”）。由于在能力維度的不同成熟度等級(jí)中，高等級(jí)的關(guān)鍵實(shí)踐包括低等級(jí)的關(guān)鍵實(shí)踐，那么每個(gè)等級(jí)可平均賦分，即每一等級(jí)2分（簡(jiǎn)稱(chēng)“初始等級(jí)分”），那么要達(dá)到某等級(jí)則要求分值超過(guò)該等級(jí)之前的各等級(jí)分值之和（第1-5級(jí)的分值區(qū)間見(jiàn)表2）。每個(gè)成熟度等級(jí)對(duì)應(yīng)的能力維度有不同的關(guān)鍵實(shí)踐，對(duì)于同一等級(jí)的同一能力維度而言，每個(gè)關(guān)鍵實(shí)踐的重要程度是一樣的，因此可對(duì)每個(gè)關(guān)鍵實(shí)踐賦予相同的分值，即將初始等級(jí)分平均分配給每一等級(jí)的各關(guān)鍵實(shí)踐（簡(jiǎn)稱(chēng)“初始關(guān)鍵實(shí)踐分”）?？紤]到樣本的充分度，當(dāng)達(dá)到“措施飽和”狀態(tài)后，無(wú)論還有多少評(píng)價(jià)樣本支持，都不再計(jì)分，結(jié)合前述的邊際取樣法，將各初始關(guān)鍵實(shí)踐分平均分配給各有效樣本，即將初始關(guān)鍵實(shí)踐分三等分，沒(méi)有樣本支持則停止該等級(jí)評(píng)估，故不計(jì)分。如表5的第1級(jí)的“（1）”和“（2）”各1分，其中“（1）”和“（2）”的每一樣本量為1/3分?；谶呺H取樣法提出的這種分值設(shè)置與計(jì)算的方法，可稱(chēng)為“樣本賦分法”，可以避免權(quán)重設(shè)置的主觀性。

第五步，確定能力維度成熟度等級(jí)。能力維度的成熟度與能力維度實(shí)際得分沒(méi)有關(guān)系，能力維度實(shí)際得分是為評(píng)估整個(gè)過(guò)程域等級(jí)服務(wù)的。能力維度的成熟度等級(jí)依據(jù)樣本確定，當(dāng)所在等級(jí)對(duì)應(yīng)的每個(gè)關(guān)鍵實(shí)踐均有樣本支持時(shí)，則意味著達(dá)到該等級(jí)。如表8中第4級(jí)的“（1）”和“（2）”都只有一個(gè)樣本支持，則該“組織建設(shè)”能力成熟度達(dá)到4級(jí)。

第六步，確定關(guān)鍵過(guò)程域權(quán)重和能力維度權(quán)重。在不同的關(guān)鍵過(guò)程域中，相同的能力維度所起的作用存在區(qū)別，因此相同的能力維度在不同關(guān)鍵過(guò)程域中可能占不同的比重。如能力維度“技術(shù)工具”在關(guān)鍵過(guò)程域“數(shù)據(jù)本地存儲(chǔ)”中非常重要，但其在關(guān)鍵過(guò)程域“數(shù)據(jù)域外管轄”中卻幾乎沒(méi)有作用。因此，要采用專(zhuān)家調(diào)查法確定不同關(guān)鍵過(guò)程域的能力維度權(quán)重。同樣，不同關(guān)鍵過(guò)程域在數(shù)據(jù)主權(quán)安全中的權(quán)重也有所差異。鑒于此，本研究共邀請(qǐng)10位涉及法學(xué)、管理學(xué)、網(wǎng)絡(luò)與信息安全等不同研究領(lǐng)域關(guān)注和研究數(shù)據(jù)相關(guān)問(wèn)題的科研工作者和實(shí)務(wù)工作者參與打分，獲得不同關(guān)鍵過(guò)程域中的能力維度權(quán)重（見(jiàn)表3），數(shù)據(jù)主權(quán)安全中的關(guān)鍵過(guò)程域權(quán)重（見(jiàn)表4）。

第七步，確定關(guān)鍵過(guò)程域的能力成熟度等級(jí)。將每一樣本量的分?jǐn)?shù)求和，得到所在關(guān)鍵實(shí)踐的實(shí)際總分（簡(jiǎn)稱(chēng)“關(guān)鍵實(shí)踐分”，計(jì)作KPs）;將每一關(guān)鍵實(shí)踐分求和，得到所在成熟度等級(jí)的實(shí)際總分（簡(jiǎn)稱(chēng)“等級(jí)分”，計(jì)作Ls）;將每一等級(jí)分求和，得到所在能力維度的實(shí)際總分（簡(jiǎn)稱(chēng)“能力維度分”，計(jì)作Cs）。注意，在求取能力維度分時(shí)，不需要評(píng)估的能力維度等級(jí)視為獲得總分，如在“數(shù)據(jù)本地存儲(chǔ)”關(guān)鍵過(guò)程域中，“技術(shù)工具”維度從第2級(jí)才開(kāi)始需要納入評(píng)估，故在計(jì)算“技術(shù)工具”能力維度分時(shí)，第1級(jí)計(jì)作2分。將每一能力維度分與其所在關(guān)鍵過(guò)程域中相應(yīng)權(quán)重（見(jiàn)表3）的乘積求和，得到所在關(guān)鍵過(guò)程域的實(shí)際總分（簡(jiǎn)稱(chēng)“關(guān)鍵過(guò)程域分”，計(jì)作KPAs），然后按照表2換算得到相應(yīng)等級(jí)。如KPAs為7.43分，落入（6，8]，計(jì)為第4等級(jí)。

第八步，確定數(shù)據(jù)主權(quán)安全能力成熟度等級(jí)。將每個(gè)關(guān)鍵過(guò)程域分與其在數(shù)據(jù)主權(quán)安全能力相應(yīng)權(quán)重（見(jiàn)表4）的乘積求和，得到數(shù)據(jù)主權(quán)安全能力的實(shí)際總分（簡(jiǎn)稱(chēng)“數(shù)據(jù)主權(quán)安全能力分”，計(jì)作DSSMs），然后按照表2換算得到相應(yīng)等級(jí)。如KPAs為5.273分，落入（4，6]，計(jì)為第3等級(jí)。

第九步，校正各項(xiàng)評(píng)估結(jié)果。在實(shí)際評(píng)估時(shí)，應(yīng)該由評(píng)估團(tuán)隊(duì)的多個(gè)評(píng)估人員背靠背評(píng)估，然后將各項(xiàng)實(shí)際得分求取平均值，以便盡可能準(zhǔn)確評(píng)定關(guān)鍵過(guò)程域成熟度等級(jí)、數(shù)據(jù)主權(quán)安全能力成熟度等級(jí)。如此，評(píng)估人員越多，就越能減少誤差。

評(píng)估時(shí)應(yīng)注意的是：如果同一個(gè)樣本正文中出現(xiàn)多次相關(guān)表述能夠支持待說(shuō)明事項(xiàng)，仍?xún)H視為一個(gè)樣本量，因此在評(píng)估時(shí)只要在潛在樣本中找到1處即可視為有效樣本，即不需遍歷整個(gè)樣本正文找出所有相關(guān)表述，可提高評(píng)估效率;如果同一個(gè)樣本能夠支持不同的關(guān)鍵實(shí)踐是可以重復(fù)使用的，即同一樣本可以多次使用，因?yàn)槟承颖镜膬?nèi)容是綜合性的，如《網(wǎng)絡(luò)安全法》規(guī)定了“數(shù)據(jù)本地存儲(chǔ)”和“數(shù)據(jù)跨境流動(dòng)”。如此，不同的評(píng)估人員，當(dāng)其認(rèn)真履行評(píng)估工作，即便找到的具體表述位置不一樣，但是會(huì)給出同樣的分值，盡可能減少因人而異的誤差。

4? ?研究結(jié)果

4.1? ? 數(shù)據(jù)本地存儲(chǔ)的結(jié)果分析

4.1.1? ?“文化教育”能力成熟度4級(jí)

評(píng)估數(shù)據(jù)本地存儲(chǔ)的文化教育能力維度（見(jiàn)表5）從第1級(jí)開(kāi)始，第5級(jí)因缺乏有效樣本支持而停止評(píng)估;S1可以支持多個(gè)關(guān)鍵實(shí)踐，能用于評(píng)估該能力維度各等級(jí)的有效樣本共計(jì)13個(gè)，第1-4級(jí)的有效樣本量達(dá)到滿級(jí)，故各等級(jí)分均為2分;表明數(shù)據(jù)本地存儲(chǔ)的“文化教育”能力成熟度達(dá)到第4級(jí)“充分級(jí)”，文化教育能力維度分為8分。

4.1.2? ?“技術(shù)工具”能力成熟度3級(jí)

評(píng)估數(shù)據(jù)本地存儲(chǔ)的技術(shù)工具能力維度（見(jiàn)表6）從第2級(jí)開(kāi)始，第4級(jí)因缺乏有效樣本支持而停止評(píng)估;能用于評(píng)估該能力維度各等級(jí)的有效樣本共計(jì)12個(gè)，第2級(jí)和第3級(jí)有效樣本量達(dá)到滿級(jí)，第1級(jí)因不需要評(píng)價(jià)而視為滿級(jí)，故各等級(jí)分均為2分;表明數(shù)據(jù)本地存儲(chǔ)的“技術(shù)工具”能力成熟度達(dá)到第3級(jí)“必要級(jí)”，技術(shù)工具能力維度分6分。

4.1.3? ?“政策戰(zhàn)略”能力成熟度4級(jí)

評(píng)估數(shù)據(jù)本地存儲(chǔ)的政策戰(zhàn)略能力維度（見(jiàn)表7）從第3級(jí)開(kāi)始，第5級(jí)因缺乏有效樣本支持而停止評(píng)估;S2 可以支持多個(gè)關(guān)鍵實(shí)踐，能用于評(píng)估該能力維度各等級(jí)的有效樣本共計(jì)5個(gè)，第3級(jí)和第4級(jí)有效樣本量達(dá)到滿級(jí)，第1級(jí)和2級(jí)因不需要評(píng)價(jià)而視為滿級(jí)，故各等級(jí)分均為2分;表明數(shù)據(jù)本地存儲(chǔ)的“政策戰(zhàn)略”能力成熟度達(dá)到第4級(jí)“充分級(jí)”，政策戰(zhàn)略能力維度分為8分。

4.1.4? ?“組織建設(shè)”能力成熟度4級(jí)

評(píng)估數(shù)據(jù)本地存儲(chǔ)的組織建設(shè)能力維度（見(jiàn)表8）從第3級(jí)開(kāi)始，第5級(jí)因缺乏有效樣本支持而停止評(píng)估;能用于評(píng)估該能力維度各等級(jí)的有效樣本共計(jì)5個(gè)，第3級(jí)的有效樣本量超過(guò)滿級(jí)，第4級(jí)的兩個(gè)關(guān)鍵實(shí)踐可以用同樣的樣本支持，第1級(jí)和第2級(jí)因不需要評(píng)價(jià)而視為滿級(jí)，故第1-3級(jí)的等級(jí)分均為2分、第4級(jí)的等級(jí)分是2/3分;表明數(shù)據(jù)本地存儲(chǔ)的“組織建設(shè)”能力成熟度達(dá)到第4級(jí)“充分級(jí)”，組織建設(shè)能力維度分為6.67分。

4.1.5? ?“立法司法”能力成熟度4級(jí)

評(píng)估數(shù)據(jù)本地存儲(chǔ)的立法司法能力維度（見(jiàn)表9）從第3級(jí)開(kāi)始，第5級(jí)的第一個(gè)關(guān)鍵實(shí)踐有3個(gè)有效樣本量，但因第二個(gè)關(guān)鍵實(shí)踐缺乏有效樣本支持其而停止評(píng)估;S1和S2 可以支持多個(gè)關(guān)鍵實(shí)踐，能用于該能力維度各等級(jí)的有效樣本共計(jì)5個(gè)，第3級(jí)有效樣本量達(dá)到滿級(jí)，第4級(jí)有2個(gè)有效樣本量，第1級(jí)和第2級(jí)視為滿級(jí)，故第1-3級(jí)的等級(jí)分均為2分、第4級(jí)的等級(jí)分是4/3分;表明數(shù)據(jù)本地存儲(chǔ)的“立法司法”能力成熟度達(dá)到第4級(jí)“充分級(jí)”，立法司法能力維度分為7.33分。

4.2? ? 數(shù)據(jù)跨境流動(dòng)的結(jié)果分析

4.2.1? ?“文化教育”能力成熟度4級(jí)

評(píng)估數(shù)據(jù)跨境流動(dòng)的文化教育能力維度（見(jiàn)表10）從第1級(jí)開(kāi)始，第5級(jí)因缺乏有效樣本支持而停止評(píng)估;S1和S2可以支持多個(gè)關(guān)鍵實(shí)踐，能用于評(píng)估該能力維度各等級(jí)的有效樣本共計(jì)11個(gè)，第1-4級(jí)的有效樣本量達(dá)到滿級(jí)，故各等級(jí)分均為2分;表明數(shù)據(jù)跨境流動(dòng)的“文化教育”能力成熟度達(dá)到第4級(jí)“充分級(jí)”，文化教育能力維度分為8分。

4.2.2? ?“技術(shù)工具”能力成熟度3級(jí)

評(píng)估數(shù)據(jù)跨境流動(dòng)的技術(shù)工具能力維度（見(jiàn)表11）從第2級(jí)開(kāi)始，第4級(jí)因缺乏有效樣本支持而停止評(píng)估;能用于評(píng)估該能力維度各等級(jí)的有效樣本共計(jì)11個(gè)，第2級(jí)的有效樣本量達(dá)到滿級(jí)，第3級(jí)的第一個(gè)關(guān)鍵實(shí)踐有2個(gè)有效樣本量、第二個(gè)關(guān)鍵實(shí)踐有3個(gè)有效樣本量，第1級(jí)因不需要評(píng)價(jià)而視為滿級(jí)，故第1級(jí)和第2級(jí)的等級(jí)分均為2分、第3級(jí)的等級(jí)分第5/3分;表明數(shù)據(jù)跨境流動(dòng)的“技術(shù)工具”能力成熟度達(dá)到第3級(jí)“必要級(jí)”，技術(shù)工具能力維度分為5.67分。

4.2.3? ?“政策戰(zhàn)略”能力成熟度4級(jí)

評(píng)估數(shù)據(jù)跨境流動(dòng)的政策戰(zhàn)略能力維度（見(jiàn)表12）從第3級(jí)開(kāi)始，第5級(jí)因缺乏有效樣本支持而停止評(píng)估;S2 可以支持多個(gè)關(guān)鍵實(shí)踐，能用于評(píng)估該能力維度各等級(jí)的有效樣本共計(jì)5個(gè)，第3級(jí)和第4級(jí)的有效樣本量達(dá)到滿級(jí)，第1級(jí)和第2級(jí)因不需要評(píng)價(jià)而視為滿分，故各等級(jí)分均為2分;表明數(shù)據(jù)跨境流動(dòng)的“政策戰(zhàn)略”能力成熟度達(dá)到第4級(jí)“充分級(jí)”，政策戰(zhàn)略能力維度分為8分。

4.2.4? ?“組織建設(shè)”能力成熟度4級(jí)

評(píng)估數(shù)據(jù)跨境流動(dòng)的組織建設(shè)能力維度（見(jiàn)表13）從第3級(jí)開(kāi)始，第5級(jí)因缺乏有效樣本支持而停止評(píng)估;能用于評(píng)估該能力維度各等級(jí)的有效樣本共計(jì)5個(gè)，第3級(jí)的有效樣本量超過(guò)滿級(jí)，第4級(jí)的兩個(gè)關(guān)鍵實(shí)踐可以用同樣的樣本支持，第1級(jí)和第2級(jí)因不需要評(píng)價(jià)而視為滿級(jí)，故第1-3級(jí)的等級(jí)分均為2分、第4級(jí)的等級(jí)分是2/3分;表明數(shù)據(jù)跨境流動(dòng)的“組織建設(shè)”能力成熟度達(dá)到第4級(jí)“充分級(jí)”，組織建設(shè)能力維度分為6.67分。

4.2.5? ?“立法司法”能力成熟度4級(jí)

評(píng)估數(shù)據(jù)跨境流動(dòng)的立法司法能力維度（見(jiàn)表14）從第3級(jí)開(kāi)始，第5級(jí)的第一個(gè)關(guān)鍵實(shí)踐有3個(gè)有效樣本量，但因第二個(gè)關(guān)鍵實(shí)踐缺乏有效樣本支持其而停止評(píng)估;S1和S2 可以支持多個(gè)關(guān)鍵實(shí)踐，能用于評(píng)估該能力維度各等級(jí)的有效樣本共計(jì)5個(gè)，第3級(jí)的第一個(gè)關(guān)鍵實(shí)踐有2個(gè)有效樣本、第二個(gè)關(guān)鍵實(shí)踐有3個(gè)有效樣本，第4級(jí)有2個(gè)有效樣本，第1級(jí)和第2級(jí)因不需要評(píng)價(jià)而視為滿級(jí)，故第1級(jí)和第2級(jí)的等級(jí)分均為2分、第3級(jí)的等級(jí)分是5/3分、第4級(jí)的等級(jí)分為4/3分;表明數(shù)據(jù)跨境流動(dòng)的“立法司法”能力成熟度達(dá)到第4級(jí)“充分級(jí)”，立法司法能力維度分為7分。

4.3? ? 數(shù)據(jù)域外管轄的結(jié)果分析

4.3.1? ?“文化教育”能力成熟度3級(jí)

評(píng)估數(shù)據(jù)域外管轄的文化教育能力維度（見(jiàn)表15）從第1級(jí)開(kāi)始，第4級(jí)因缺乏有效樣本支持而停止評(píng)估;S2可以支持多個(gè)關(guān)鍵實(shí)踐，能用于評(píng)估該能力維度各等級(jí)的有效樣本共計(jì)7個(gè)，第1級(jí)的有效樣本量達(dá)到滿級(jí)，第2級(jí)和第3級(jí)均只有1個(gè)有效樣本量，故第1級(jí)的等級(jí)分達(dá)到2分，第2級(jí)和第3級(jí)的等級(jí)分均為2/3分;表明數(shù)據(jù)域外管轄的“文化教育”能力成熟度達(dá)到第3級(jí)“必要級(jí)”，文化教育能力維度分為3.33分。

4.3.2? ?“政策戰(zhàn)略”能力成熟度4級(jí)

評(píng)估數(shù)據(jù)域外管轄的政策戰(zhàn)略能力維度（見(jiàn)表16）從第3級(jí)開(kāi)始，第5級(jí)因缺乏有效樣本支持而停止評(píng)估;S2可以支持多個(gè)關(guān)鍵實(shí)踐，能用于評(píng)估該能力維度各等級(jí)的有效樣本共計(jì)3個(gè)，第3級(jí)的有效樣本量達(dá)到滿級(jí)，第4級(jí)只有1個(gè)有效樣本量，第1級(jí)和第2級(jí)因不需要評(píng)價(jià)而視為滿級(jí)，故第1-3級(jí)的等級(jí)分均為2分，第4級(jí)的等級(jí)分為2/3分;表明數(shù)據(jù)域外管轄的“政策戰(zhàn)略”能力成熟度達(dá)到第4級(jí)“充分級(jí)”，政策戰(zhàn)略能力維度分為6.67分。

4.3.3? ?“組織建設(shè)”能力成熟度4級(jí)

評(píng)估數(shù)據(jù)域外管轄的組織建設(shè)能力維度從（見(jiàn)表17）從第3級(jí)開(kāi)始，第5級(jí)因缺乏有效樣本支持而停止評(píng)估;能用于評(píng)估該能力維度各等級(jí)的有效樣本共計(jì)6個(gè)，第4級(jí)的兩個(gè)關(guān)鍵實(shí)踐可以用同樣的樣本支持，第3級(jí)和第4級(jí)的有效樣本量達(dá)到滿級(jí)，第1級(jí)和第2級(jí)因不需要評(píng)價(jià)而視為滿級(jí)，故第1-4級(jí)的等級(jí)分均為2分;表明數(shù)據(jù)域外管轄的“組織建設(shè)”能力成熟度達(dá)到第4級(jí)“充分級(jí)”，組織建設(shè)能力維度分為8分。

4.3.4? ?“立法司法”能力成熟度4級(jí)

評(píng)估數(shù)據(jù)域外管轄的立法司法能力維度（見(jiàn)表18）從第3級(jí)開(kāi)始，第5級(jí)因缺乏有效樣本支持而停止評(píng)估;S2可以支持多個(gè)關(guān)鍵實(shí)踐，能用于評(píng)估該能力維度各等級(jí)的有效樣本共計(jì)5個(gè)，第3級(jí)的第一個(gè)關(guān)鍵實(shí)踐有3個(gè)有效樣本量、第二個(gè)關(guān)鍵實(shí)踐有2個(gè)有效樣本量，第4級(jí)只有1個(gè)有效樣本量，第1級(jí)和第2級(jí)因不需要評(píng)價(jià)而視為滿級(jí)，故第1級(jí)和第2級(jí)的等級(jí)分均為2分、第3級(jí)的等級(jí)分是5/3分、第4級(jí)的等級(jí)分是2/3分;表明數(shù)據(jù)域外管轄的“立法司法”能力成熟度達(dá)到第4級(jí)“充分級(jí)”，立法司法能力維度分為6.33分。

5? ?結(jié)論與建議

5.1? ? 關(guān)鍵過(guò)程域的能力維度成熟度等級(jí)至少達(dá)到“必要級(jí)”

根據(jù)表5-表18的數(shù)據(jù)可以得到關(guān)鍵過(guò)程域的能力維度成熟度等級(jí)（見(jiàn)表19、表20）：

（1）從表19來(lái)看，其一，各關(guān)鍵過(guò)程域的能力成熟度至少達(dá)到了第3級(jí)“必要級(jí)”，大部分達(dá)到了第4級(jí)“充分級(jí)”;其二，數(shù)據(jù)本地存儲(chǔ)和數(shù)據(jù)跨境流動(dòng)的各能力維度等級(jí)都是一致，比較符合我國(guó)現(xiàn)實(shí)情況，數(shù)據(jù)跨境流動(dòng)和數(shù)據(jù)本地存儲(chǔ)本身就是一體兩面，我國(guó)經(jīng)常會(huì)將此二者在法律中同時(shí)規(guī)定，如《網(wǎng)絡(luò)安全法》第37條規(guī)定“數(shù)據(jù)本地存儲(chǔ)”和“數(shù)據(jù)跨境流動(dòng)”。結(jié)合表20來(lái)看，盡管數(shù)據(jù)本地存儲(chǔ)和數(shù)據(jù)跨境流動(dòng)的能力維度等級(jí)一致，但在“技術(shù)工具”和“立法司法”能力維度的分值存在差異，意味著我國(guó)數(shù)據(jù)本地存儲(chǔ)和數(shù)據(jù)跨境流動(dòng)的能力強(qiáng)弱還是有所不同。

（2）從表19來(lái)看，數(shù)據(jù)域外管轄的各能力維度與其他兩個(gè)關(guān)鍵過(guò)程域的各能力維度的成熟度等級(jí)相比，“文化教育”能力維度等級(jí)要低一級(jí)，結(jié)合表20顯示的域外管轄能力維度分，反映出我國(guó)數(shù)據(jù)域外管轄能力總體不夠強(qiáng)。這一定性描述，基本符合學(xué)界在《數(shù)據(jù)安全法》頒布之前的認(rèn)知，如學(xué)者們?cè)诰杳绹?guó)CLOUD法案的“長(zhǎng)臂管轄”、歐盟《通用數(shù)據(jù)保護(hù)條例》的“長(zhǎng)臂管轄”時(shí)，很少有涉及我國(guó)長(zhǎng)臂管轄的討論。此時(shí)，評(píng)估數(shù)據(jù)域外管轄的立法司法能力維度能夠達(dá)到4級(jí)，主要是因?yàn)橛小稊?shù)據(jù)安全法》第2條第2款的支持。2021年6月頒布的《數(shù)據(jù)安全法》第2條第2款規(guī)定，“在中華人民共和國(guó)境外開(kāi)展數(shù)據(jù)處理活動(dòng)，損害中華人民共和國(guó)國(guó)家安全、公共利益或者公民、組織合法權(quán)益的，依法追究法律責(zé)任?！痹撘?guī)定可視為我國(guó)弱化版的“長(zhǎng)臂管轄”，之所以“弱化”是因?yàn)橐蟆皳p害”為前提。盡管是弱化版的，但是在我國(guó)已經(jīng)是巨大進(jìn)步，畢竟“在《數(shù)據(jù)安全法》發(fā)布之前，中國(guó)尚沒(méi)有一部明確的法律可以實(shí)現(xiàn)域外管轄”[23]。

盡管各關(guān)鍵過(guò)程域的絕大部分能力維度成熟度都達(dá)到了充分性等級(jí)，但數(shù)據(jù)本地存儲(chǔ)和數(shù)據(jù)跨境流動(dòng)的“技術(shù)工具”維度的能力建設(shè)應(yīng)該進(jìn)一步加強(qiáng)，結(jié)合樣本的實(shí)際情況分析，應(yīng)該加強(qiáng)涉及數(shù)據(jù)領(lǐng)域的自主技術(shù)研發(fā)，尤其是加強(qiáng)引導(dǎo)和推廣自主技術(shù)產(chǎn)品在國(guó)內(nèi)網(wǎng)絡(luò)生態(tài)系統(tǒng)中的應(yīng)用。

5.2? ? 關(guān)鍵過(guò)程域的成熟度等級(jí)達(dá)到“充分級(jí)”

根據(jù)表20的能力維度分，結(jié)合表3的能力維度權(quán)重，按照KPAs=Cs文化教育*W文化教育+Cs技術(shù)工具*W技術(shù)工具+Cs政策戰(zhàn)略*W政策戰(zhàn)略+Cs組織建設(shè)*W組織建設(shè)+Cs立法司法*W立法司法，計(jì)算得到數(shù)據(jù)本地存儲(chǔ)7.15分、數(shù)據(jù)跨境流動(dòng)6.95分、數(shù)據(jù)域外管轄6.53分，對(duì)照表2可知這三個(gè)關(guān)鍵過(guò)程域均為充分級(jí)。如果將分值趨近6分、7分和8分視為低段、中段和高段，意味著數(shù)據(jù)本地存儲(chǔ)和數(shù)據(jù)跨境流動(dòng)趨近該等級(jí)中段，但數(shù)據(jù)域外管轄更趨近該等級(jí)低段，故可以認(rèn)為實(shí)際上仍處于必要級(jí)與充分級(jí)之間。

從關(guān)鍵過(guò)程域分來(lái)看，我國(guó)數(shù)據(jù)主權(quán)安全的各關(guān)鍵過(guò)程域都達(dá)到充分級(jí)，但數(shù)據(jù)域外管轄還需要進(jìn)一步加強(qiáng)，結(jié)合表19來(lái)看，具體可以從文化教育方面展開(kāi)。數(shù)據(jù)域外管轄的文化教育成熟度等級(jí)僅達(dá)到“必要級(jí)”，符合我國(guó)的現(xiàn)實(shí)情況，即與歐美積極主權(quán)“長(zhǎng)臂管轄”不同，我國(guó)主張“和平共處五項(xiàng)原則”，“域外管轄”與絕大部分民眾日常生活關(guān)聯(lián)性不大，因此在民眾觀念上就不太重視域外管轄，因而域外管轄的“文化教育”能力維度得分不高。由于“域外管轄”本身具有擴(kuò)展屬性，國(guó)家層面不得不重視域外管轄，因此該關(guān)鍵過(guò)程域仍能保持在“必要級(jí)”水平。建議以《數(shù)據(jù)安全法》的頒布為契機(jī)，重視宣傳該法第2條第2款規(guī)定的“長(zhǎng)臂管轄”，增強(qiáng)民眾對(duì)于國(guó)家維護(hù)數(shù)據(jù)主權(quán)能力的信任。

5.3? ? 數(shù)據(jù)主權(quán)安全能力成熟度等級(jí)達(dá)到“充分級(jí)”

在KPAs基礎(chǔ)上，結(jié)合表4的關(guān)鍵過(guò)程域權(quán)重，按照DSSMs=KPAs數(shù)據(jù)本地存儲(chǔ)*W數(shù)據(jù)本地存儲(chǔ)+KPAs數(shù)據(jù)跨境流動(dòng)*W數(shù)據(jù)跨境流動(dòng)+KPAs數(shù)據(jù)域外管轄*W數(shù)據(jù)域外管轄，計(jì)算得到數(shù)據(jù)主權(quán)安全能力分6.98分，對(duì)照表2可知我國(guó)數(shù)據(jù)主權(quán)安全能力成熟度達(dá)到了充分級(jí)，在充分級(jí)中處于中段水平。

總的來(lái)說(shuō)，我國(guó)數(shù)據(jù)主權(quán)安全能力成熟度和我國(guó)當(dāng)前的國(guó)際地位大致相當(dāng)，“充分級(jí)”意味著國(guó)家有能力對(duì)外輸出數(shù)據(jù)主權(quán)安全價(jià)值觀，能夠持續(xù)為維護(hù)數(shù)據(jù)主權(quán)安全提供充分保障。我國(guó)應(yīng)繼續(xù)保持或加強(qiáng)數(shù)據(jù)主權(quán)安全能力，尤其是加強(qiáng)數(shù)據(jù)域外管轄能力?！稊?shù)據(jù)安全法》已經(jīng)規(guī)定了長(zhǎng)臂管轄原則，今后應(yīng)該及時(shí)在域外司法活動(dòng)之中加以運(yùn)用。

6? ?結(jié)語(yǔ)

在數(shù)據(jù)時(shí)代，數(shù)據(jù)主權(quán)安全對(duì)于實(shí)現(xiàn)國(guó)家總體安全具有重要意義，評(píng)估我國(guó)數(shù)據(jù)主權(quán)安全能力并提出相應(yīng)建議，對(duì)于持續(xù)提高數(shù)據(jù)主權(quán)安全水平具有積極意義?；贒SSCMM評(píng)估我國(guó)數(shù)據(jù)主權(quán)安全能力成熟度的過(guò)程，實(shí)際上也是檢驗(yàn)和驗(yàn)證該模型的過(guò)程。通過(guò)取樣研究，按照該模型的關(guān)鍵過(guò)程域、能力維度和成熟度等級(jí)描述展開(kāi)評(píng)估工作，并能得到有效的結(jié)果，說(shuō)明該模型內(nèi)部是自洽的，其整體運(yùn)行機(jī)理是可行的。

本文可能的創(chuàng)新在于，在DSSCMM基礎(chǔ)上構(gòu)建了具體的評(píng)估流程和方法，在此過(guò)程中針對(duì)評(píng)估需要提出“邊際取樣法”和“樣本賦分法”，可以提高評(píng)估工作效率，并在一定程度上增強(qiáng)評(píng)估結(jié)果的客觀性，可為今后應(yīng)用該模型提供參考，也可為其他評(píng)估研究提供方法指導(dǎo)。不足之處在于，本文從學(xué)術(shù)角度展開(kāi)示例性研究，而不是實(shí)際評(píng)估，故未實(shí)施評(píng)估流程第九步以校正各項(xiàng)評(píng)估結(jié)果，運(yùn)用專(zhuān)家調(diào)查法確定各關(guān)鍵過(guò)程域的能力維度權(quán)重時(shí)，邀請(qǐng)的專(zhuān)家數(shù)量不夠大，導(dǎo)致計(jì)算關(guān)鍵過(guò)程域分、數(shù)據(jù)主權(quán)安全能力分會(huì)存在誤差。在后續(xù)的研究中可以考慮兩個(gè)方面：其一，大規(guī)模增加專(zhuān)家調(diào)查法確定權(quán)重時(shí)的樣本數(shù)量，將權(quán)重確定在一個(gè)比較穩(wěn)定的范圍，進(jìn)而提出修正因子;其二，對(duì)包括國(guó)家、地方政府、大型涉數(shù)據(jù)業(yè)務(wù)的私營(yíng)企業(yè)在內(nèi)的主體維護(hù)數(shù)據(jù)主權(quán)安全能力成熟度進(jìn)行評(píng)估。

參考文獻(xiàn)：

[1]? 冉從敬，陳貴容，王歡.歐美跨境數(shù)據(jù)流動(dòng)管轄沖突表現(xiàn)形式及主要解決途徑研究[J].圖書(shū)與情報(bào)，2020（3）：77-85.

[2]? 葉蘭.數(shù)據(jù)管理能力成熟度模型比較研究與啟示[J].圖書(shū)情報(bào)工作，2020，64（13）：51-57.

[3]? 葉蘭.研究數(shù)據(jù)管理能力成熟度模型評(píng)析[J].圖書(shū)情報(bào)知識(shí)，2015（2）：115-123.

[4]? 黨洪莉，譚海兵.基于DMM的數(shù)據(jù)管理成熟度模型及在服務(wù)評(píng)估中的應(yīng)用[J].現(xiàn)代情報(bào)，2017，37（9）：118-121.

[5]? 牛春華，吳艷艷，劉紅兵.公共安全數(shù)據(jù)管理能力成熟度模型構(gòu)建[J].圖書(shū)與情報(bào)，2019（4）：22-28.

[6]? 秦中云.大數(shù)據(jù)環(huán)境下高校圖書(shū)館數(shù)據(jù)治理及成熟度模型研究[J].新世紀(jì)圖書(shū)館，2019（11）：62-67.

[7]? 吳錦池，余維杰.圖書(shū)館數(shù)據(jù)治理成熟度評(píng)價(jià)體系構(gòu)建[J].情報(bào)科學(xué)，2021，39（1）：65-71.

[8]? 周林興，韓永繼.檔案數(shù)據(jù)安全治理能力成熟度模型構(gòu)建研究[J].檔案與建設(shè)，2020（7）：24-27，19.

[9]? 李克鵬，梅婧婷，鄭斌，等.大數(shù)據(jù)安全能力成熟度模型標(biāo)準(zhǔn)研究[J].信息技術(shù)與標(biāo)準(zhǔn)化，2016（7）：59-61.

[10]? 鄭斌.企業(yè)數(shù)據(jù)安全能力框架——數(shù)據(jù)安全能力成熟度模型的構(gòu)建及應(yīng)用[J].信息安全與通信保密，2017（11）：70-78.

[11]? 程芳，趙彥慶，王磊.基于數(shù)據(jù)服務(wù)平臺(tái)的數(shù)據(jù)質(zhì)量能力成熟度模型研究[J].標(biāo)準(zhǔn)科學(xué)，2020（10）：120-123.

[12]? 肖秋會(huì)，陳夢(mèng).基于CMM的機(jī)構(gòu)數(shù)字保存能力成熟度模型研究[J].檔案學(xué)通訊，2016（1）：55-60.

[13]? 楊錦坤，韓春花，韋廣昊，等.海洋數(shù)據(jù)管理能力成熟度評(píng)估模型研究初探[J].海洋信息，2020，35（4）：1-8.

[14]? 國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局、中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì).信息安全技術(shù) 數(shù)據(jù)中心服務(wù)能力成熟度模型（GB/T33136-2016）[R/OL].[2021-06-26].http：//c.gb688.cn/bzgk/gb/showGb？type=online&hcno=F7A2242CAA62FD4466E8BAB0F92661D8.

[15]? 國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局、中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì).數(shù)據(jù)管理能力成熟度評(píng)估模型（GB/T36073-2018）[R].中國(guó)標(biāo)準(zhǔn)出版社，2013，3：1-38.

[16]? 國(guó)家市場(chǎng)監(jiān)督管理總局、中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì).信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型（GB/T37988-2019）[R].中國(guó)標(biāo)準(zhǔn)出版社，2019，8：54.

[17]? 王大壯.知識(shí)服務(wù)視角下數(shù)字圖書(shū)館移動(dòng)服務(wù)能力成熟度評(píng)價(jià)模型研究[J].農(nóng)業(yè)圖書(shū)情報(bào)學(xué)刊，2017，29（3）：14-17.

[18]? 張旭，趙彬，盧恒，等.高校圖書(shū)館智庫(kù)服務(wù)能力成熟度模型及評(píng)價(jià)研究[J].圖書(shū)館，2019（7）：26-33.

[19]? 高凡，孫超，吳振新.基于CMM的長(zhǎng)期保存能力成熟度評(píng)價(jià)框架設(shè)計(jì)[J/OL].情報(bào)理論與實(shí)踐：1-11[2021-06-27].http：//kns.cnki.net/kcms/detail/11.1762.G3.20210602.1339.006.html.

[20]? 周茜.基于“滿意鏡像”理論的移動(dòng)數(shù)字圖書(shū)館服務(wù)能力成熟度評(píng)價(jià)研究[J].中國(guó)中醫(yī)藥圖書(shū)情報(bào)雜志，2018，42（5）：30-33.

[21]? 周瑩，劉佳，梁文佳，等.數(shù)字圖書(shū)館知識(shí)服務(wù)能力成熟度評(píng)價(jià)模型研究[J].情報(bào)科學(xué)，2016，34（6）：63-66，86.

[22]? 史敏，劉素華，李維思，等.面向技術(shù)創(chuàng)新的企業(yè)信息情報(bào)能力成熟度診斷模型研究[J].圖書(shū)情報(bào)工作，2013，57（24）：106-111.

[23]? 終于落地！《數(shù)據(jù)安全法》首次明確長(zhǎng)臂管轄權(quán)[EB/OL].[2021-06-20].https：//baijiahao.baidu.com/s？id=1702324123544855289&wfr=spider&for=pc.

作者簡(jiǎn)介：文禹衡（1989-），男，湘潭大學(xué)知識(shí)產(chǎn)權(quán)學(xué)院講師，研究方向：數(shù)據(jù)主權(quán)、數(shù)據(jù)產(chǎn)權(quán)與數(shù)據(jù)權(quán)力;戴文怡（1994-），女，湘潭大學(xué)知識(shí)產(chǎn)權(quán)學(xué)院碩士研究生，研究方向：數(shù)據(jù)主權(quán)。