數(shù)據(jù)主權(quán)安全能力的成熟度模型構(gòu)建研究

黃海瑛　文禹衡

摘? ?要：構(gòu)建數(shù)據(jù)主權(quán)安全能力成熟度模型，用于評價國家的數(shù)據(jù)主權(quán)安全能力狀況，針對薄弱環(huán)節(jié)提出改進(jìn)策略，為今后制定相關(guān)標(biāo)準(zhǔn)提供智力支持。以能力成熟度模型的標(biāo)準(zhǔn)和相關(guān)研究成果為基礎(chǔ)，運用層次分析法，確定模型的三維結(jié)構(gòu)，識別關(guān)鍵過程域，構(gòu)建能力維度，進(jìn)而劃定成熟度等級。數(shù)據(jù)主權(quán)安全能力成熟度模型由“數(shù)據(jù)本地存儲”“數(shù)據(jù)跨境流動”和“數(shù)據(jù)域外管轄”3個關(guān)鍵過程域，“文化教育”“技術(shù)工具”“政策戰(zhàn)略”“組織建設(shè)”和“立法司法”5項能力維度，以及“初始級”“發(fā)展級”“必要級”“充分級”和“優(yōu)化級”5級成熟度共同構(gòu)成。其中，能力維度包括19種構(gòu)成要素，其是描述能力成熟度等級所要求的29個關(guān)鍵實踐的基礎(chǔ)。

關(guān)鍵詞：DSSCMM;數(shù)據(jù)主權(quán);安全能力;成熟度等級;數(shù)據(jù)流動

中圖分類號：G203? ?文獻(xiàn)標(biāo)識碼：A? ?DOI：10.11968/tsyqb.1003-6938.2021054

Research on the Maturity Model of Data Sovereignty Security Capability

Abstract This Paper aims to build a maturity model of data sovereignty security capability for evaluating the state of a countrys data sovereignty security capability and proposing improvement strategies for weak links， so as to provide intellectual support for the formulation of relevant standards in the future. Based on the standards of the capability maturity model and related research results， the three-dimensional structure of the model， with the analytic hierarchy process， is determined， the key process areas are identified， the capability dimension is constructed， and the maturity level is determined. The study found that the maturity model of data sovereignty security capability consists of three key process areas， namely， "local data storage"， "cross-border data flow" and "extraterritorial jurisdiction of data"， five capability dimensions ， namely， "cultural education"， "technical tools"， "policy strategies"， "organizational construction"， and "legislation and judiciary"， and five maturity levels， namely， "initial level"， "development level"， "necessary level"， "sufficiency level" and "optimization level". In which the capability dimension includes 19 components， which are the basis for describing the 29 key practices required by the capability maturity level.

Key words DSSCMM; data sovereignty; security capability; maturity level; data flow

1? ?引言

當(dāng)前，人們對于數(shù)據(jù)重要性的認(rèn)知已經(jīng)從“黃金”“石油”上升到了“生產(chǎn)要素”，數(shù)據(jù)不僅關(guān)系到生產(chǎn)生活、社會治理，也關(guān)乎國家安全，由此主張國家數(shù)據(jù)主權(quán)成為大國博弈的必然趨勢。從對外發(fā)布的政策文件等來看，歐盟強化數(shù)據(jù)主權(quán)/數(shù)字主權(quán)力度比其他國家和地區(qū)都要大。如果不局限于政策文件中是否出現(xiàn)“數(shù)據(jù)主權(quán)”及其類似字詞，會發(fā)現(xiàn)美國和中國等國家也都在不斷地強化數(shù)據(jù)主權(quán)。然而，一國數(shù)據(jù)主權(quán)安全能力到底如何卻不得而知。誠然，主權(quán)的概念范疇隨著社會發(fā)展而不斷擴展，已從傳統(tǒng)的領(lǐng)土、領(lǐng)海、領(lǐng)空主權(quán)擴展到信息主權(quán)、網(wǎng)絡(luò)主權(quán)、數(shù)據(jù)主權(quán)，數(shù)據(jù)主權(quán)成為新的概念分支并占據(jù)主權(quán)體系版圖核心[1]。關(guān)于主權(quán)的研究成果從來都不曾匱乏，但“數(shù)據(jù)主權(quán)”相關(guān)研究尚不算豐富：國內(nèi)主要集中在數(shù)據(jù)主權(quán)概念及其運用前景[2]，數(shù)據(jù)主權(quán)的保障[3]、捍衛(wèi)[4]和保護(hù)[5]，美國數(shù)據(jù)主權(quán)戰(zhàn)略[6]，以及以數(shù)據(jù)主權(quán)為視角研究歐盟數(shù)據(jù)空間治理[7]、數(shù)據(jù)跨境管理[8]、數(shù)據(jù)跨境流動的管轄沖突[9]等問題;國外學(xué)者回顧數(shù)據(jù)主權(quán)概念的不同內(nèi)涵并提出概念網(wǎng)格以將其系統(tǒng)化[10]，考察金磚國家的數(shù)據(jù)主權(quán)實踐、分析數(shù)據(jù)主權(quán)需求[11]，探討具體國家（印度尼西亞）對數(shù)據(jù)主權(quán)的要求并提出初步技術(shù)建議[12]，以及提出使用位置加密方法解決基于云計算的智慧城市應(yīng)用中產(chǎn)生的數(shù)據(jù)主權(quán)威脅[13]?？傮w而言，研究成果既有側(cè)重于概念性、經(jīng)驗性，也有涉及實踐和需求的研究，雖然有部分學(xué)者意識到“國家數(shù)據(jù)主權(quán)安全制度保障體系的構(gòu)建已變得不可或缺”[4]，但并未界定數(shù)據(jù)主權(quán)安全定義，更沒深入到數(shù)據(jù)主權(quán)安全能力層面，也就遑論評估數(shù)據(jù)主權(quán)安全能力成熟度如何。鑒于此，本文擬提出數(shù)據(jù)主權(quán)安全能力概念并構(gòu)建模型，評估數(shù)據(jù)主權(quán)安全能力成熟度，便于國家可量化了解國家數(shù)據(jù)主權(quán)安全狀態(tài)，并有針對性地持續(xù)提升本國數(shù)據(jù)主權(quán)安全。

2? ?相關(guān)概念與文獻(xiàn)綜述

2.1? ?核心概念界定

在我國，“數(shù)據(jù)主權(quán)”的官方文件表述可以追溯到《深圳市服務(wù)外包產(chǎn)業(yè)發(fā)展規(guī)劃（2012-2015）》，此時“數(shù)據(jù)主權(quán)”被視為數(shù)據(jù)云服務(wù)范疇（DAAS），2015年的《促進(jìn)大數(shù)據(jù)發(fā)展行動綱要》首次提出“增強網(wǎng)絡(luò)空間數(shù)據(jù)主權(quán)保護(hù)能力”。截至目前，官方文本并未界定何為數(shù)據(jù)主權(quán)，似乎人們已經(jīng)默認(rèn)理解“數(shù)據(jù)主權(quán)”就是“主權(quán)”的一種延伸。在理解數(shù)據(jù)安全、數(shù)據(jù)安全能力、能力成熟度定義[14]基礎(chǔ)上，還需掌握以下幾組有關(guān)數(shù)據(jù)主權(quán)安全的概念及其要義。

（1）數(shù)據(jù)主權(quán)安全，是指主權(quán)國家采取措施確保對本國數(shù)據(jù)處于有效控制和保護(hù)的狀態(tài)。將“主權(quán)”的主體分為國家、企業(yè)和個人是不嚴(yán)謹(jǐn)?shù)模爸鳈?quán)”概念內(nèi)在地要求其必須是立足于國家高度，相對國內(nèi)外所有主體對數(shù)據(jù)的“自主自決”，故不宜在具體的模型構(gòu)建過程中糾纏于細(xì)枝末節(jié)。（2）數(shù)據(jù)主權(quán)安全能力，是指國家在文化教育、技術(shù)工具、政策戰(zhàn)略、組織建設(shè)和立法司法等方面采取措施保障數(shù)據(jù)主權(quán)的安全。（3）數(shù)據(jù)主權(quán)安全能力成熟度，是指衡量國家維護(hù)數(shù)據(jù)主權(quán)安全的可持續(xù)性、有效程度和可信任度的水平。

2.2? ? 相關(guān)文獻(xiàn)綜述

一般認(rèn)為，能力成熟度模型可追溯到美國卡耐基梅隆大學(xué)軟件工程研究所1986年開始開發(fā)的軟件能力成熟度模型（Capability Maturity Model，CMM）[15]，其內(nèi)部結(jié)構(gòu)包括關(guān)鍵過程域、公共特性和關(guān)鍵實踐[16]。盡管CMM已經(jīng)被能力成熟度模型集成（Capability Maturity Model Integration）取代，但是CMM啟發(fā)了多種模型的誕生，如人力資源能力成熟度模型[17-18]、系統(tǒng)安全能力成熟度模型[19]和系統(tǒng)工程能力成熟度模型[20]。隨著對CMM認(rèn)識和研究的不斷深入，其被廣泛應(yīng)用于管理、教育、數(shù)據(jù)、計算機、醫(yī)療等不同領(lǐng)域。就數(shù)據(jù)領(lǐng)域的能力成熟度而言，主要涉及數(shù)據(jù)管理、數(shù)據(jù)治理、數(shù)據(jù)安全、數(shù)據(jù)質(zhì)量、數(shù)字保存等方面。

（1）數(shù)據(jù)管理能力成熟度研究主要集中在圖書館領(lǐng)域，涉及公共安全、海洋數(shù)據(jù)管理等。如葉蘭[21]比較3個科研數(shù)據(jù)管理能力成熟度模型，建議高校應(yīng)根據(jù)評估目標(biāo)選擇合適的評價模型，還比較了7個數(shù)據(jù)管理能力成熟度模型，為圖書館選擇與應(yīng)用數(shù)據(jù)管理能力成熟度模型提供參考方案[22];黨洪莉和譚海兵[24]以衡量圖書館數(shù)據(jù)管理能力的5項能力內(nèi)容構(gòu)建圖書館數(shù)據(jù)管理及服務(wù)能力成熟度模型;牛春華等[23]以4個關(guān)鍵過程域、20個關(guān)鍵實踐和5個成熟度等級為內(nèi)容構(gòu)建公共安全數(shù)據(jù)管理能力成熟度模型;楊錦坤等[25]以8個能力域、28個能力項目為內(nèi)容構(gòu)建海洋數(shù)據(jù)管理能力成熟度評估模型并進(jìn)行評估。

（2）數(shù)據(jù)治理能力成熟度研究主要集中在圖書館，涉及檔案館、醫(yī)院領(lǐng)域。如秦中云[26]以6項數(shù)據(jù)治理能力、6個數(shù)據(jù)資產(chǎn)生命周期和5個成熟度模型等級為內(nèi)容構(gòu)建高校圖書館數(shù)據(jù)治理成熟度模型，吳錦池和余維杰[27]以3個圖書館數(shù)據(jù)治理要素、4個數(shù)據(jù)處理流程、5個成熟度等級為內(nèi)容構(gòu)建圖書館數(shù)據(jù)治理能力成熟度模型。周林興和韓永繼[28]以5個關(guān)鍵域、5個成熟度等級為內(nèi)容構(gòu)建檔案數(shù)據(jù)安全治理能力成熟度模，謝剛等[29]以五個成熟度等級、3個一級指標(biāo)、7個二級指標(biāo)和22個三級指標(biāo)為內(nèi)容構(gòu)建多科性醫(yī)院大數(shù)據(jù)治理能力成熟度模型。

（3）其他與數(shù)據(jù)相關(guān)的能力成熟度研究涉及數(shù)據(jù)安全、數(shù)據(jù)質(zhì)量和數(shù)字保存。在數(shù)據(jù)安全能力成熟度方面，李克鵬[30]等介紹了大數(shù)據(jù)安全能力成熟度模型標(biāo)準(zhǔn);鄭斌[31]闡釋了數(shù)據(jù)安全能力成熟度模型的構(gòu)建及應(yīng)用;在數(shù)據(jù)質(zhì)量能力成熟度方面，程芳等[32]以5個要素、3個能力域和5個成熟度等級為內(nèi)容構(gòu)建數(shù)據(jù)質(zhì)量能力成熟度模型;在數(shù)字保存能力成熟度方面，肖秋會和陳夢[33]構(gòu)建了包括4個成熟度等級和13個性能指標(biāo)的數(shù)字保存能力成熟度模型及評價體系。

綜上，從現(xiàn)有研究成果來看，其能為本研究提供參考和啟示。首先，大多數(shù)模型構(gòu)建仍是基于CMM的思想，尤其是成熟度等級幾乎都是設(shè)定為5級，等級名稱表述上可能有差別，但本質(zhì)上變動不大;其次，大多數(shù)模型都包括關(guān)鍵過程、能力維度、成熟度等級三個方面，除了成熟度等級以外，其它兩方面的名稱表述有所區(qū)別;再次，數(shù)據(jù)安全能力成熟度方面的研究成果偏少，但從《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》的內(nèi)容來看，其已經(jīng)轉(zhuǎn)化為國家標(biāo)準(zhǔn);最后，尚未涉及數(shù)據(jù)主權(quán)安全能力成熟度的研究。

3? ?研究思路

由于目前學(xué)界和業(yè)界尚未構(gòu)建數(shù)據(jù)主權(quán)安全能力成熟度模型，沒有直接相關(guān)的成果作為研究基礎(chǔ)，故以“數(shù)據(jù)能力成熟度”相關(guān)標(biāo)準(zhǔn)和學(xué)術(shù)成果為基礎(chǔ)，結(jié)合數(shù)據(jù)主權(quán)的特征，構(gòu)建數(shù)據(jù)主權(quán)安全能力成熟度模型。“標(biāo)準(zhǔn)”的數(shù)據(jù)獲取，以全國標(biāo)準(zhǔn)信息公告服務(wù)平臺[34]為數(shù)據(jù)來源，以“數(shù)據(jù)能力成熟度”為檢索詞進(jìn)行篇名模糊檢索，檢索范圍為全部，即包含國家標(biāo)準(zhǔn)計劃、國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)和地方標(biāo)準(zhǔn)，共獲取8條檢索結(jié)果，其中國家標(biāo)準(zhǔn)計劃4項、國家標(biāo)準(zhǔn)3項、行業(yè)標(biāo)準(zhǔn)1項。由于國家標(biāo)準(zhǔn)計劃與國家標(biāo)準(zhǔn)存在交叉重復(fù)情況，如果國家標(biāo)準(zhǔn)計劃沒有成為正式的國家標(biāo)準(zhǔn)則計入樣本，否則不計入樣本，如此去重后獲得有效樣本5個，其中國家標(biāo)準(zhǔn)計劃1項、國家標(biāo)準(zhǔn)3項、行業(yè)標(biāo)準(zhǔn)1項，而真正屬于模型類的只有3項國家標(biāo)準(zhǔn)，分別涉及數(shù)據(jù)的服務(wù)、管理、安全領(lǐng)域。

3.1? ? 確定模型結(jié)構(gòu)

我國數(shù)據(jù)領(lǐng)域三個典型“能力成熟度模型”國家推薦標(biāo)準(zhǔn)分別是《信息技術(shù)服務(wù) 數(shù)據(jù)中心服務(wù)能力成熟度模型》《數(shù)據(jù)管理能力成熟度評估模型》和《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》，前兩者是“二維”結(jié)構(gòu)——能力域和成熟度，后者是“三維”結(jié)構(gòu)——過程域、能力維度、成熟度。根據(jù)數(shù)據(jù)主權(quán)涉及“國內(nèi)”“域外”，數(shù)據(jù)主權(quán)安全能力不僅要涉及能力域（或稱“能力維度”）和“成熟度”，還必須考慮不同過程域，因此采用“三維”結(jié)構(gòu)建構(gòu)模型。

3.2? ? 識別關(guān)鍵過程域

目前沒有相關(guān)研究成果提出數(shù)據(jù)主權(quán)過程域，因此數(shù)據(jù)主權(quán)安全能力過程域的提出和確定是本研究的最大挑戰(zhàn)。擬根據(jù)主權(quán)的內(nèi)在要求和數(shù)據(jù)跨境流動周期，確定“本地存儲”“跨境流動”和“域外管轄”三個關(guān)鍵過程域，之所以稱之為“關(guān)鍵過程域”，是考慮到后續(xù)隨著情勢變更對過程域加以完善。

3.3? ? 構(gòu)建能力維度

能力維度關(guān)系評估的具體內(nèi)容，與評估對象密切相關(guān)，不同類型的評估模型，其能力維度是不同的。盡管其他模型的能力維度的“能力項”或“二級指標(biāo)”可參考性并不大，但有關(guān)國家層面的安全能力模型在宏觀方面仍具有指導(dǎo)意義，如國家網(wǎng)絡(luò)安全能力成熟度模型（Cybersecurity Capacity Maturity Model for Nations）[35]。最終還需要根據(jù)數(shù)據(jù)主權(quán)的內(nèi)在要求，構(gòu)建其安全能力維度及其構(gòu)成要素。

3.4? ? 劃分成熟度等級

關(guān)于能力成熟度等級的成果豐富，但是既有研究基本上都會溯源CMM，將軟件開發(fā)劃分為“初始級”“可重復(fù)級”“已定義級”“已管理級”和“優(yōu)化級”五個成熟度等級。在此基礎(chǔ)上，參考我國現(xiàn)行數(shù)據(jù)類國家標(biāo)準(zhǔn)中的能力成熟度等級，進(jìn)而確定數(shù)據(jù)主權(quán)安全能力成熟度等級。

4? ?研究結(jié)果

4.1? ? 數(shù)據(jù)主權(quán)安全的關(guān)鍵過程域

數(shù)據(jù)主權(quán)與數(shù)據(jù)跨境已經(jīng)得到學(xué)者關(guān)注，如研究數(shù)據(jù)主權(quán)與數(shù)據(jù)跨境管理[8]、云數(shù)據(jù)跨境流動法律規(guī)制等[36]，然而數(shù)據(jù)主權(quán)與本地存儲的關(guān)系并未被認(rèn)真對待。從數(shù)據(jù)產(chǎn)生開始，如果實現(xiàn)本地存儲并限制在本國之內(nèi)流動，那么此種狀態(tài)下的數(shù)據(jù)主權(quán)安全性非常之高，但國與國之間經(jīng)濟(jì)、貿(mào)易、文化、體育等各領(lǐng)域間的交流，不可避免地需要利用網(wǎng)絡(luò)實現(xiàn)數(shù)據(jù)流動，數(shù)據(jù)也就不可避免地流動到其他國家。如此，數(shù)據(jù)在產(chǎn)生之后，在國與國之間形成“存儲-流動-存儲”的跨境流動周期。如果將數(shù)據(jù)的“本地存儲”“跨境流動”和“域外管轄”各自量化為1個單位，以國“境”為邊界（暫不論是地理邊界、法域邊界還是網(wǎng)絡(luò)空間邊界），那么國內(nèi)占1.5、國外占1.5，因為處于中間過程的“跨境流動”涉及國內(nèi)外。在數(shù)據(jù)跨境流動周期中，需要解決三個問題：（1）如何確保數(shù)據(jù)跨境流動前的主權(quán)安全，即本國之內(nèi)的“最高權(quán)威”，由“本地存儲”解決;（2）如何確保數(shù)據(jù)跨境流動時的主權(quán)安全，即跨境過程的“有序可控”，由“跨境流動”解決;（3）如何確保數(shù)據(jù)跨境流動之后的主權(quán)安全，即域外的“自主自決”，由“域外管轄”解決。如此，按照事前預(yù)防、事中控制和事后處置的邏輯展開，可形成數(shù)據(jù)主權(quán)安全的三個關(guān)鍵過程域——數(shù)據(jù)本地存儲、數(shù)據(jù)跨境流動和數(shù)據(jù)域外管轄。

4.1.1? ?數(shù)據(jù)本地存儲

數(shù)據(jù)本地存儲，是指主權(quán)國家通過法律、政策等制度強制數(shù)據(jù)存儲在本國境內(nèi)，任何本國和境外主體實施數(shù)據(jù)活動必須通過主權(quán)國家境內(nèi)服務(wù)器。這里的“本地”并不是與“云端”相對稱的概念，而是指主權(quán)國家境內(nèi)的物理服務(wù)器。與現(xiàn)實空間不同，網(wǎng)絡(luò)空間是由網(wǎng)絡(luò)協(xié)議、硬件設(shè)備、軟件程序等所構(gòu)建的。數(shù)據(jù)存儲必須借助相應(yīng)的媒介載體，而要求該媒介載體所安放的現(xiàn)實空間必須在主權(quán)國家境內(nèi)。

4.1.2? ?數(shù)據(jù)跨境流動

數(shù)據(jù)跨境流動，是指數(shù)據(jù)隨著主體跨越主權(quán)國家地理邊境實施訪問、采集、修改、存儲等活動而傳輸?shù)倪^程。數(shù)據(jù)跨境流動中的“跨境”通常被理解為“出境”，其還應(yīng)當(dāng)包括“入境”。數(shù)據(jù)出境主要控制的是本國任何數(shù)據(jù)流動到境外，而數(shù)據(jù)入境是控制境外有害數(shù)據(jù)流入到國內(nèi)。

4.1.3? ?數(shù)據(jù)域外管轄

數(shù)據(jù)域外管轄，是指主權(quán)國家的數(shù)據(jù)立法適用范圍和數(shù)據(jù)司法權(quán)力在域外行使。一般而言，管轄權(quán)包括立法管轄、執(zhí)法管轄和司法管轄，但是各主權(quán)國家執(zhí)法管轄一般都在領(lǐng)土范圍內(nèi)適用，因而數(shù)據(jù)域外管轄主要包括域外立法管轄和域外司法管轄。域外立法管轄，是指將本國數(shù)據(jù)立法的適用范圍延伸到境外;域外司法管轄，是指法院在境外行使數(shù)據(jù)司法權(quán)力的能力。

4.2? ? 數(shù)據(jù)主權(quán)安全的能力維度

考察任何事物的能力都可以從多個維度展開，但是這些維度并不是隨機組合的，而是遵循一定的內(nèi)在邏輯。對于數(shù)據(jù)主權(quán)安全而言，考察其能力維度不能過于宏觀，而應(yīng)當(dāng)立足于國家的高度來設(shè)置能力維度。本研究大致按照“公眾意識”“技術(shù)控制”“戰(zhàn)略規(guī)劃”“責(zé)任主體”和“法治保障”思路，確定文化教育、技術(shù)工具、政策戰(zhàn)略、組織建設(shè)和立法司法五個能力維度，每個能力維度又由若干核心要素構(gòu)成。

4.2.1? ?文化教育

網(wǎng)絡(luò)生態(tài)空間中的個體、企業(yè)、社會團(tuán)體、政府、國家等不同層次參與主體之間所形成的數(shù)據(jù)主權(quán)文化，關(guān)系到民眾對于數(shù)據(jù)主權(quán)接受和遵從程度，尤其是國家在數(shù)據(jù)主權(quán)安全教育、培訓(xùn)和意識提升等方面的內(nèi)容開發(fā)，以及為不同層次參與主體提供的教育、培訓(xùn)活動，數(shù)據(jù)主權(quán)教育的實施對于數(shù)據(jù)主權(quán)文化形成起到至關(guān)重要的作用。該維度主要由四個要素構(gòu)成：（1）數(shù)據(jù)主權(quán)觀念及其強化，旨在評估不同層次參與主體對數(shù)據(jù)主權(quán)的態(tài)度和實踐，以及面向公共部門、學(xué)術(shù)界、民間團(tuán)體和公眾的數(shù)據(jù)主權(quán)知識普及、意識強化的規(guī)劃可獲得性、供給和接受情況;（2）對政府或國家的信任，因數(shù)據(jù)荷載隱私、個人信息、商業(yè)秘密等多重法益，公眾能感知國家具備維護(hù)數(shù)據(jù)主權(quán)的能力，決定了其是否支持國家數(shù)據(jù)主權(quán);（3）專業(yè)培訓(xùn)體系，側(cè)重的是數(shù)據(jù)主權(quán)安全專業(yè)培訓(xùn)對于網(wǎng)絡(luò)安全、信息安全和數(shù)據(jù)安全等相關(guān)領(lǐng)域?qū)I(yè)人員的可獲得性和供給情況，包括相關(guān)專業(yè)技能證書授予、崗前培訓(xùn)、繼續(xù)教育等;（4）數(shù)據(jù)主權(quán)安全教育規(guī)劃，旨在評估初等、中等和高等教育領(lǐng)域中涉及數(shù)據(jù)主權(quán)（包括但不限于數(shù)據(jù)安全、數(shù)據(jù)保護(hù)、數(shù)據(jù)治理）教育的普及度和可獲得性。

4.2.2? ?技術(shù)工具

國家及國內(nèi)組織開發(fā)數(shù)據(jù)標(biāo)準(zhǔn)以及安全技術(shù)和工具，以柔性方式增強本國數(shù)據(jù)資源的控制力。該維度主要由四個要素構(gòu)成：（1）數(shù)據(jù)標(biāo)準(zhǔn)供給，主導(dǎo)制定強制性和推薦性國家標(biāo)準(zhǔn)（準(zhǔn)則）、國際標(biāo)準(zhǔn)（準(zhǔn)則）;（2）與數(shù)據(jù)相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施，包括網(wǎng)絡(luò)基礎(chǔ)設(shè)施、關(guān)鍵信息基礎(chǔ)設(shè)施、關(guān)鍵數(shù)據(jù)基礎(chǔ)設(shè)施等的部署、可用性以及維護(hù)能力;（3）軟件控制，政府部門、司法部門等國有性質(zhì)的部門以及涉及公共事務(wù)的私營部門使用軟件的終端控制應(yīng)該在國內(nèi)，確保靜態(tài)數(shù)據(jù)和動態(tài)數(shù)據(jù)的安全;（4）自動化工具對數(shù)據(jù)安全工作的支撐程度。

4.2.3? ?政策戰(zhàn)略

從宏觀層面反映國家維護(hù)數(shù)據(jù)主權(quán)安全的意圖和需求，并開展數(shù)據(jù)主權(quán)安全的戰(zhàn)略規(guī)劃、政策制定，以及相關(guān)機制構(gòu)建，該維度主要由四個要素構(gòu)成：（1）國家數(shù)據(jù)主權(quán)戰(zhàn)略，制定國家層面的數(shù)據(jù)主權(quán)戰(zhàn)略，提升數(shù)據(jù)主權(quán)安全的優(yōu)先次序并確定相應(yīng)的資源配置;（2）國家數(shù)據(jù)主權(quán)政策，政府部門出臺數(shù)據(jù)主權(quán)相關(guān)政策，用于解決數(shù)據(jù)主權(quán)安全具體事宜;（3）數(shù)據(jù)安全應(yīng)急管理，國家層面建立、監(jiān)測、預(yù)警和處置數(shù)據(jù)大規(guī)模泄露、非法流動等數(shù)據(jù)安全事件的能力;（4）數(shù)據(jù)安全報告機制，面向個體、企業(yè)以及相關(guān)部門建立報告機制，便于相關(guān)主體報告數(shù)據(jù)安全侵害事件，以及尋求維護(hù)數(shù)據(jù)安全的幫助。

4.2.4? ?組織建設(shè)

從責(zé)任主體角度考慮，開展維護(hù)數(shù)據(jù)主權(quán)安全工作的國家，應(yīng)具備相應(yīng)的組織建設(shè)能力。該維度主要由三個要素構(gòu)成：（1）組織架構(gòu)的專業(yè)性，國家是否設(shè)立政府部門或機構(gòu)專司數(shù)據(jù)主權(quán)安全相關(guān)工作，或者是依靠其他相關(guān)官方機構(gòu)能夠承擔(dān)數(shù)據(jù)主權(quán)安全工作，除此之外還要考慮是否主導(dǎo)建立公共機構(gòu)、研發(fā)機構(gòu)和非政府組織等;（2）工作職責(zé)的明確度，負(fù)責(zé)數(shù)據(jù)主權(quán)安全相關(guān)工作內(nèi)容是否具體明確，負(fù)責(zé)數(shù)據(jù)的本地存儲、跨境流動、司法管轄等的全部或部分工作，抑或是負(fù)責(zé)數(shù)據(jù)相關(guān)立法、政策制定、風(fēng)險評估等事務(wù);（3）運作協(xié)調(diào)的領(lǐng)導(dǎo)力，組織架構(gòu)的地位決定其對于數(shù)據(jù)安全相關(guān)事務(wù)的領(lǐng)導(dǎo)能力，如國家級的組織機構(gòu)對于全國范圍內(nèi)涉數(shù)據(jù)主權(quán)事務(wù)都有管理權(quán)限，而地方省市的組織機構(gòu)就局限于本行政區(qū)域內(nèi)涉數(shù)據(jù)主權(quán)事務(wù)。

4.2.5? ?立法司法

國家（政府）直接或間接地開展數(shù)據(jù)主權(quán)相關(guān)的立法、司法的能力，以及國際司法合作情況。該維度主要由四個要素構(gòu)成：（1）法律法規(guī)體系，包括數(shù)據(jù)確權(quán)、數(shù)據(jù)交易、數(shù)據(jù)安全、數(shù)據(jù)犯罪和關(guān)鍵（網(wǎng)絡(luò)/信息/數(shù)據(jù)）基礎(chǔ)設(shè)施安全在內(nèi)的實體性和程序性立法;（2）民事司法能力，聚焦于國家司法解決數(shù)據(jù)糾紛的能力，包括在沒有直接規(guī)定數(shù)據(jù)的法律的規(guī)范情況下，如何運用司法技術(shù)解決數(shù)據(jù)糾紛;（3）刑事司法能力，側(cè)重國家打擊數(shù)據(jù)犯罪的能力，包括偵查機關(guān)調(diào)查數(shù)據(jù)違法活動的能力、檢察機關(guān)公訴數(shù)據(jù)犯罪的能力和法院審理數(shù)據(jù)犯罪的能力，以及各階段獲取和使用電子數(shù)據(jù)（證據(jù)）的能力;（4）國際司法合作框架，確保本國與其他國家和地區(qū)之間通過正式/非正式合作，實現(xiàn)司法交流、協(xié)助。

4.3? ? 數(shù)據(jù)主權(quán)安全能力的成熟度等級

我國現(xiàn)行數(shù)據(jù)類的不同國家標(biāo)準(zhǔn)中的模型成熟度等級（見表1）的相同點在于，均以CMM的“初始級”“可重復(fù)級”“已定義級”“已管理級”和“優(yōu)化級”為基礎(chǔ)劃分為五個級別，雖然各級別的名稱并不一致，如“一級”分別為“非正式執(zhí)行”“初始級”“起始級”，又如“五級”分別為“持續(xù)優(yōu)化”“優(yōu)化級”“卓越級”，但是其內(nèi)在本質(zhì)相差不大，只不過是根據(jù)具體主題類型體現(xiàn)各自特征。鑒于此，數(shù)據(jù)主權(quán)安全能力成熟度等級也劃分為五個等級，考慮到數(shù)據(jù)主權(quán)安全特性，將一至五級分別稱為“初始級”“發(fā)展級”“必要級”“充分級”和“優(yōu)化級”。

該部分是對數(shù)據(jù)主權(quán)安全能力各關(guān)鍵過程域的能力維度成熟度等級的總體描述，各關(guān)鍵過程域的各能力維度的等級成熟度的具體描述，需要在開展評估工作之前結(jié)合所在關(guān)鍵過程域特征另行描述。如“文化教育”的關(guān)鍵實踐第1級要求中的“數(shù)據(jù)主權(quán)意識”（見4.3.1），在評估數(shù)據(jù)本地存儲時應(yīng)該理解為“數(shù)據(jù)本地存儲意識”，在評估“數(shù)據(jù)跨境流動時”應(yīng)該理解為“數(shù)據(jù)跨境流動意識”，以此類推。同理，本節(jié)第1-5級中的成熟度等級均為總體描述，考慮到篇幅，不再根據(jù)不同關(guān)鍵過程域逐一描述，今后具體制定數(shù)據(jù)主權(quán)安全能力成熟度標(biāo)準(zhǔn)時可以通過附錄逐一列出。

4.3.1? ?第I級：初始級

該等級是最低一級，僅對“文化教育”維度有要求，而不要求其他能力維度。其主要特征在于意識形成，即處于這一級的國家，學(xué)術(shù)界等非官方組織形成數(shù)據(jù)主權(quán)意識，且官方已明確主張網(wǎng)絡(luò)主權(quán)。之所以要求官方明確主張網(wǎng)絡(luò)主權(quán)，是因為當(dāng)下在網(wǎng)絡(luò)空間談?wù)摂?shù)據(jù)才有意義，網(wǎng)絡(luò)主權(quán)盡管無法解決應(yīng)屬于數(shù)據(jù)主權(quán)方面的全部問題，但依然具有一定的解釋空間。換言之，數(shù)據(jù)主權(quán)形成于網(wǎng)絡(luò)主權(quán)，當(dāng)其發(fā)展到一定階段時才脫胎于網(wǎng)絡(luò)主權(quán)。

4.3.2? ?第II級：發(fā)展級

除“數(shù)據(jù)域外管轄”這一關(guān)鍵過程域的該等級不考慮“技術(shù)工具”能力維度以外，其他關(guān)鍵過程域該等級對“文化教育”和“技術(shù)工具”有所要求。其共同特征在于，處于這一等級的國家已意識到數(shù)據(jù)主權(quán)的重要性，具備初步維護(hù)數(shù)據(jù)主權(quán)安全的條件和環(huán)境。在“文化教育”方面，官方文件直接或間接表述數(shù)據(jù)主權(quán)，或在特定場合直接或間接地聲明數(shù)據(jù)主權(quán);在“技術(shù)工具”方面，已經(jīng)發(fā)布制定數(shù)據(jù)主權(quán)相關(guān)國家標(biāo)準(zhǔn)的計劃，且官方部門使用的主要軟件程序?qū)儆趪鴥?nèi)產(chǎn)品。

4.3.3? ?第III級：必要級

除“數(shù)據(jù)域外管轄”這一關(guān)鍵過程域的該等級不考慮“技術(shù)工具”能力維度以外，其他關(guān)鍵過程域該等級對五項能力維度都有所要求。其共同特征在于，處于這一等級的國家已將數(shù)據(jù)主權(quán)視為重要的國際博弈工具，能夠有效地定義、識別和維護(hù)數(shù)據(jù)主權(quán)安全能力。在“文化教育”方面，公眾能感知國家具備維護(hù)數(shù)據(jù)主權(quán)安全的能力;在“技術(shù)工具”方面，已經(jīng)正式發(fā)布數(shù)據(jù)主權(quán)相關(guān)國家標(biāo)準(zhǔn)，且具有部署和維護(hù)數(shù)據(jù)主權(quán)安全相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施的實踐;在“政策戰(zhàn)略”方面，國家層面有應(yīng)對大規(guī)模數(shù)據(jù)泄露等安全事件的能力;在“組織建設(shè)”方面，能夠依靠有關(guān)機構(gòu)承擔(dān)數(shù)據(jù)主權(quán)安全領(lǐng)域相關(guān)工作;在“立法司法”方面，檢察院、法院用現(xiàn)有法律體系能夠處理數(shù)據(jù)主權(quán)類案件，且偵查機關(guān)具備偵查危害數(shù)據(jù)主權(quán)安全違法活動的能力。

4.3.4? ?第IV級：充分級

除“數(shù)據(jù)域外管轄”這一關(guān)鍵過程域的該等級不考慮“技術(shù)工具”能力維度以外，其他關(guān)鍵過程域該等級對五項能力維度都有所要求。其共性特征在于，處于這一等級的國家積極對外輸出數(shù)據(jù)主權(quán)安全價值觀，能夠定期為維護(hù)數(shù)據(jù)主權(quán)安全提供充分保障。在“文化教育”方面，已形成數(shù)據(jù)主權(quán)安全相關(guān)的專業(yè)培訓(xùn)體系;在“技術(shù)工具”方面，已正式發(fā)布專門性的數(shù)據(jù)主權(quán)類國家標(biāo)準(zhǔn)，且呈現(xiàn)多領(lǐng)域覆蓋趨勢;在“政策戰(zhàn)略”方面，國家層面制定數(shù)據(jù)主權(quán)戰(zhàn)略或政策;在“組織建設(shè)”方面，非國家層面已建立與數(shù)據(jù)主權(quán)安全相關(guān)的專門機構(gòu)，且工作職責(zé)明確;在“立法司法”方面，國內(nèi)出臺數(shù)據(jù)主權(quán)安全法律。

4.3.5? ?第V級：優(yōu)化級

除“數(shù)據(jù)域外管轄”這一關(guān)鍵過程域的該等級不考慮“技術(shù)工具”能力維度以外，其他關(guān)鍵過程域該等級對五項能力維度都有所要求。其共性特征在于，處于這一等級的國家將數(shù)據(jù)主權(quán)安全能力視為常規(guī)性工作，并進(jìn)入持續(xù)優(yōu)化工作階段。在“文化教育”方面，已形成專門性的數(shù)據(jù)主權(quán)安全專業(yè)培訓(xùn)體系，且實施數(shù)據(jù)主權(quán)安全教育規(guī)劃;在“技術(shù)工具”方面，主導(dǎo)制定數(shù)據(jù)主權(quán)相關(guān)國際標(biāo)準(zhǔn)，且已開發(fā)半自動或自動化工具支撐數(shù)據(jù)主權(quán)安全相關(guān)評估工作;在“政策戰(zhàn)略”方面，數(shù)據(jù)主權(quán)安全報告機制健全暢通;在“組織建設(shè)”方面，國家層面建立數(shù)據(jù)主權(quán)安全相關(guān)的專門機構(gòu)，并統(tǒng)籌全國性數(shù)據(jù)主權(quán)安全領(lǐng)域工作，且領(lǐng)導(dǎo)地方相應(yīng)機構(gòu)處理數(shù)據(jù)主權(quán)安全事務(wù);在“立法司法”方面，國內(nèi)出臺數(shù)據(jù)確權(quán)與交易、數(shù)據(jù)犯罪和關(guān)鍵基礎(chǔ)設(shè)施等數(shù)據(jù)相關(guān)主題立法，且建立專門的數(shù)據(jù)國際司法合作框架。

5? ?結(jié)論與討論

5.1? ? 模型簡介

本研究在借鑒CMM和DSCMM基礎(chǔ)上，按照以關(guān)鍵過程域為主線、能力維度為內(nèi)容和成熟度等級為結(jié)論的邏輯展開，結(jié)合數(shù)據(jù)主權(quán)的內(nèi)在要求，構(gòu)建了以數(shù)據(jù)主權(quán)安全的3大關(guān)鍵過程域、5項能力維度、5級成熟度為內(nèi)容的三維數(shù)據(jù)主權(quán)安全能力成熟度模型（Data Sovereignty Security Capability Maturity Model，DSSCMM）（三維圖見圖1、二維圖見圖2）。3大關(guān)鍵過程域分別為“數(shù)據(jù)本地存儲”“數(shù)據(jù)跨境流動”和“數(shù)據(jù)域外管轄”，5項能力維度分別為“文化教育”“技術(shù)工具”“政策戰(zhàn)略”“組織建設(shè)”和“立法司法”，5層成熟度等級由低到高分別為“初始級”“發(fā)展級”“必要級”“充分級”和“優(yōu)化級”。

其中，各能力維度的主要構(gòu)成要素（見表2）共計19項，各成熟度等級對應(yīng)的能力維度的關(guān)鍵實踐（見表3）共計29個。不同成熟度等級對同一能力維度的關(guān)鍵實踐有不同的要求，即同一能力維度的不同成熟度等級可能只有一個“關(guān)鍵實踐”，也可能要求多個“關(guān)鍵實踐”。每個能力維度在不同的關(guān)鍵過程域所占的權(quán)重不同，每個成熟度等級要求的各能力維度及其關(guān)鍵實踐描述都不相同，它們共同構(gòu)成了數(shù)據(jù)主權(quán)安全能力成熟度等級總體描述（見表3）。需要注意的是，由于本模型中的數(shù)據(jù)主權(quán)安全關(guān)鍵過程域由“數(shù)據(jù)本地存儲”“數(shù)據(jù)跨境流動”和“數(shù)據(jù)域外管轄”構(gòu)成，因此在總體描述數(shù)據(jù)主權(quán)安全關(guān)鍵過程域的成熟度等級所要求的能力維度關(guān)鍵實踐時，三大關(guān)鍵過程域的實體概念都是使用“數(shù)據(jù)主權(quán)”表述加以統(tǒng)稱，在實際使用該模型開展評估時，要結(jié)合所評估的關(guān)鍵過程域?qū)Α皵?shù)據(jù)主權(quán)”加以理解和具體化。

5.2? ? 模型內(nèi)部結(jié)構(gòu)關(guān)系

關(guān)鍵過程域是維護(hù)數(shù)據(jù)主權(quán)安全必須重點關(guān)注的對象領(lǐng)域，國家通過不同的關(guān)鍵過程可以實現(xiàn)數(shù)據(jù)主權(quán)的不同安全，同一過程域中的不同能力維度之間存在互補性，不同過程域的相同能力維度可體現(xiàn)國家某方面的綜合能力。數(shù)據(jù)主權(quán)安全的關(guān)鍵過程域、能力維度與成熟度等級存在以下對應(yīng)關(guān)系：

（1）每個數(shù)據(jù)主權(quán)安全關(guān)鍵過程域的能力成熟度劃分為五個等級（見圖2的X區(qū)域與Y區(qū)域組合），而不是每項能力維度劃分為五個等級（見圖2的Z區(qū)域與Y區(qū)域）。如并不要求將“文化教育”分為1-5級，而是將“數(shù)據(jù)本地存儲”分為1-5級。

（2）不要求每個關(guān)鍵過程域都包括五項安全能力（見圖2的X區(qū)域與Z區(qū)域組合），也不要求每個能力成熟度等級都從五項能力維度展開評定（見圖2的Y區(qū)域與Z區(qū)域組合）。如數(shù)據(jù)域外管轄就不需要考慮“技術(shù)工具”，第1級和第2級都只要求“文化教育”。在短期內(nèi)，每個關(guān)鍵過程域的能力維度的重要程度相對穩(wěn)定，但是從長遠(yuǎn)來看，每個關(guān)鍵過程域的能力維度的重要性可能發(fā)生變化，也就是說能力維度在關(guān)鍵過程域中所占權(quán)重不同。在每一次具體評估工作開展前，由評估主體在組織評估之前采用專家調(diào)查法，確定各能力維度在各關(guān)鍵過程域中的所占權(quán)重，權(quán)重可以為零，建議邀請法學(xué)、管理學(xué)、數(shù)據(jù)科學(xué)、情報科學(xué)、信息科學(xué)、計算機科學(xué)等涉及數(shù)據(jù)安全或主權(quán)安全的不同領(lǐng)域?qū)＜?，專家人?shù)為10人以上，每一領(lǐng)域至少2人。

（3）在評估能力成熟度等級時，是針對每個等級應(yīng)該具備的能力維度提出本等級所要求的關(guān)鍵實踐，即根據(jù)每個能力維度的構(gòu)成要素（見表2）提出關(guān)鍵實踐情況（見表3）。如第1級的“文化教育”的兩個關(guān)鍵實踐是“非官方組織形成數(shù)據(jù)主權(quán)意識”和“官方已明確主張網(wǎng)絡(luò)主權(quán)”，而第2級的“文化教育”的關(guān)鍵實踐是“官方文件直接或間接地表述數(shù)據(jù)主權(quán)”，或在特定場合直接或間接地聲明數(shù)據(jù)主權(quán)。

（4）關(guān)鍵過程域能力維度的高等級關(guān)鍵實踐默認(rèn)包括所有低于其的關(guān)鍵實踐。如第3級“文化教育”的關(guān)鍵實踐，除了該等級所要求的關(guān)鍵實踐以外，包括第2級和第1級“文化教育”的關(guān)鍵實踐。

6? ?結(jié)語

本文提出了“數(shù)據(jù)主權(quán)安全能力成熟度”命題并研究其模型構(gòu)建，可能的創(chuàng)新或貢獻(xiàn)在于：（1）提出了數(shù)據(jù)主權(quán)安全能力成熟度概念并構(gòu)建模型，既可以用于評價主權(quán)國家的數(shù)據(jù)主權(quán)安全能力狀況并針對薄弱環(huán)節(jié)提出改進(jìn)策略，也可以用于量化并可視化呈現(xiàn)本國和他國的數(shù)據(jù)主權(quán)能力優(yōu)勢和差距，還為今后制定數(shù)據(jù)主權(quán)安全能力成熟度模型的相關(guān)標(biāo)準(zhǔn)提供智力支持;（2）提出了數(shù)據(jù)跨境流動周期概念并在此基礎(chǔ)上形成了數(shù)據(jù)主權(quán)安全的關(guān)鍵過程域，對于后續(xù)相關(guān)研究和標(biāo)準(zhǔn)制定提供框架基礎(chǔ)。當(dāng)然，由于數(shù)據(jù)主權(quán)安全評估屬于新興領(lǐng)域，本文存在以下不足：（1）僅限于構(gòu)建數(shù)據(jù)主權(quán)安全能力成熟度模型，而并未給出具體的評估流程和方法，也并未進(jìn)行驗證。對此不足之處，筆者將在后文《數(shù)據(jù)主權(quán)安全能力成熟度評估應(yīng)用研究——以DSSCMM模型應(yīng)用于中國的評估為例》中加以完善;（2）在關(guān)鍵實踐描述方面需要逐步完善，因為數(shù)據(jù)主權(quán)的時代內(nèi)涵不是一成不變，該模型本身就是基于這個時代的數(shù)據(jù)主權(quán)內(nèi)在要求而構(gòu)建的，為后續(xù)修正工作提供模型框架。后續(xù)研究需要擴展數(shù)據(jù)主權(quán)安全的過程域、能力維度，提出數(shù)據(jù)主權(quán)安全能力評估流程和方法，并在此基礎(chǔ)上對我國或其他國家數(shù)據(jù)主權(quán)安全能力進(jìn)行評估。

參考文獻(xiàn)：

[1]? 冉從敬.專題前言：超越地理疆界的網(wǎng)絡(luò)與數(shù)據(jù)主權(quán)[J].信息資源管理學(xué)報，2019，9（2）：11.

[2]? 蔡翠紅.云時代數(shù)據(jù)主權(quán)概念及其運用前景[J].現(xiàn)代國際關(guān)系，2013（12）：58-65.

[3]? 胡水晶，李偉.政府公共云服務(wù)中的數(shù)據(jù)主權(quán)及其保障策略探討[J].情報雜志，2013，32（9）：157-162.

[4]? 肖冬梅，文禹衡.在全球數(shù)據(jù)洪流中捍衛(wèi)國家數(shù)據(jù)主權(quán)安全[J].紅旗文稿，2017（9）：34-36.

[5]? 程昊.從“云幕”法案看我國數(shù)據(jù)主權(quán)的保護(hù)[J].情報理論與實踐，2019，42（4）：31-35.

[6]? 黃海瑛，何夢婷.基于CLOUD法案的美國數(shù)據(jù)主權(quán)戰(zhàn)略解讀[J].信息資源管理學(xué)報，2019，9（2）：34-45.

[7]? 彭芩萱，李白楊，李光輝.全球數(shù)據(jù)主權(quán)博弈背景下歐盟構(gòu)建數(shù)據(jù)空間治理規(guī)則體系的現(xiàn)狀與特點[J].信息資源管理學(xué)報，2021，11（2）：78-84.

[8]? 鄧崧，黃嵐，馬步濤.基于數(shù)據(jù)主權(quán)的數(shù)據(jù)跨境管理比較研究[J].情報雜志，2021，40（6）：119-126.

[9]? 冉從敬，陳貴容，王歡.歐美跨境數(shù)據(jù)流動管轄沖突表現(xiàn)形式及主要解決途徑研究[J].圖書與情報，2020（3）：77-85

[10]? Hummel P，Braun M，Tretter M，et al.Data sovereignty：A review[J].Big Data & Society，2021，8（1）：2053951720982012.

[11]? Polatin-Reuben D，Wright J.An Internet with{BRICS}Characteristics： Data Sovereignty and the Balkanisation of the Internet[C].4th{USENIX}Workshop on Free and Open Communications on the Internet （{FOCI} 14），2014.

[12]? Nugraha Y，Sastrosubroto A S.Towards data sovereignty in cyberspace[C].2015 3rd international conference on information and communication technology（ICoICT）.IEEE，2015：465-471.

[13]? Esposito C，Castiglione A，F(xiàn)rattini F，et al.On data sovereignty in cloud-based computation offloading for smart cities applications[J].IEEE Internet of Things Journal，2018，6（3）：4521-4535.

[14]? 國家市場監(jiān)督管理總局、中國國家標(biāo)準(zhǔn)化管理委員會.信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型（GB/T37988-2019）[R].中國標(biāo)準(zhǔn)出版社，2019，8：1.

[15]? Paulk M C.A history of the capability maturity model for software[J].ASQ Software Quality Professional，2009，12（1）： 5-19.

[16]? 何新貴，王緯，王方德.軟件能力成熟度模型[M].北京：清華大學(xué)出版社，2001：23-26.

[17]? Curtis B，Hefley W E，Miller S.People capability maturity model[M].Pittsburgh：Carnegie Mellon University，Software Engineering Institute，1995.

[18]? Curtis B，Hefley B，Miller S.People capability maturity model（P-CMM）version 2.0[R].CARNEGIE-MELLON UNIV PITTSBURGH PA SOFTWARE ENGINEERING INST，2009.

[19]? Ferraiolo K.The Systems Security Engineering Capability Maturity Model[C].[2021-06-13].https：//csrc.nist.rip/nissc/1998/proceedings/tutorB5.pdf.

[20]? Bate R，Kuhn D，Wells C，et al.A systems engineering capability maturity model，Version 1.1[R].Carnegie-Mellon Univ Pittsburgh PA Software Engineering Inst，1995.

[21]? 葉蘭.研究數(shù)據(jù)管理能力成熟度模型評析[J].圖書情報知識，2015（2）：115-123.

[22]? 葉蘭.數(shù)據(jù)管理能力成熟度模型比較研究與啟示[J].圖書情報工作，2020，64（13）：51-57.

[23]? 牛春華，吳艷艷，劉紅兵.公共安全數(shù)據(jù)管理能力成熟度模型構(gòu)建[J].圖書與情報，2019（4）：22-28.

[24]? 黨洪莉，譚海兵.基于DMM的數(shù)據(jù)管理成熟度模型及在服務(wù)評估中的應(yīng)用[J].現(xiàn)代情報，2017，37（9）：118-121.

[25]? 楊錦坤，韓春花，韋廣昊，等.海洋數(shù)據(jù)管理能力成熟度評估模型研究初探[J].海洋信息，2020，35（4）：1-8.

[26]? 秦中云.大數(shù)據(jù)環(huán)境下高校圖書館數(shù)據(jù)治理及成熟度模型研究[J].新世紀(jì)圖書館，2019（11）：62-67.

[27]? 吳錦池，余維杰.圖書館數(shù)據(jù)治理成熟度評價體系構(gòu)建[J].情報科學(xué)，2021，39（1）：65-71.

[28]? 周林興，韓永繼.檔案數(shù)據(jù)安全治理能力成熟度模型構(gòu)建研究[J].檔案與建設(shè)，2020（7）：24-27，19.

[29]? 謝剛，孫玉軍，李月云.基于未確知測度理論的多科性醫(yī)院醫(yī)療大數(shù)據(jù)治理能力成熟度評價[J].技術(shù)經(jīng)濟(jì)，2019，38（9）：89-96.

[30]? 李克鵬，梅婧婷，鄭斌，等.大數(shù)據(jù)安全能力成熟度模型標(biāo)準(zhǔn)研究[J].信息技術(shù)與標(biāo)準(zhǔn)化，2016（7）：59-61.

[31]? 鄭斌.企業(yè)數(shù)據(jù)安全能力框架——數(shù)據(jù)安全能力成熟度模型的構(gòu)建及應(yīng)用[J].信息安全與通信保密，2017（11）：70-78.

[32]? 程芳，趙彥慶，王磊.基于數(shù)據(jù)服務(wù)平臺的數(shù)據(jù)質(zhì)量能力成熟度模型研究[J].標(biāo)準(zhǔn)科學(xué)，2020（10）：120-123.

[33]? 肖秋會，陳夢.基于CMM的機構(gòu)數(shù)字保存能力成熟度模型研究[J].檔案學(xué)通訊，2016（1）：55-60.

[34]? 全國標(biāo)準(zhǔn)信息公告服務(wù)平臺[EB/OL].[2021-06-20].http：//std.samr.gov.cn/.

[35]? GCSCC發(fā)布2021版《國家網(wǎng)絡(luò)安全能力成熟度模型》報告[EB/OL].[2021-06-20].https：//www.freebuf.com/articles/network/271938.html.

[36]? 蔣潔.云數(shù)據(jù)跨境流動的法律調(diào)整機制[J].圖書與情報，2012（6）：57-63.

作者簡介：黃海瑛（1978-），女，武漢大學(xué)信息管理學(xué)院副教授，研究方向：數(shù)據(jù)治理、數(shù)字人文;文禹衡（1989-），男，湘潭大學(xué)知識產(chǎn)權(quán)學(xué)院講師，研究方向：數(shù)據(jù)主權(quán)、數(shù)據(jù)產(chǎn)權(quán)與數(shù)據(jù)權(quán)力。