跨境数据流动(cross-border data flow)是伴随互联网发展而产生的,而云计算等新技术的发展更加速了数据流动的趋势.跨境数据流动的问题近几年成为国内政策和国际谈判的重点议题之一.在法律上探寻跨境数据流动的边界,并在国内立法与国际规则中取得协同,将成为最终的解决之道.经济合作与发展组织(DECD)是最早发布关于跨境个人数据流动相关指引的国际组织，其1980年发布，2013年更新的《关于隐私保护和跨境个人数据流动的指南》规定，成员国应采取合理并恰当的步骤确保个人数据的跨境流动，包括从一个成员国中转，不应被中断并且应是安全的;一个成员国应克制其对个人数据在它自己与另一成员国间跨境流动的限制，除非该成员国没有实质性地遵守指南或者对于这些数据的再出口将违反其本国的隐私法。一个成员国也可以根据本国的隐私立法对有特别规定的特定种类个人数据施加限制，或者是由于其他国家没有提供同等的保护而进行限制;成员国应避免以保护隐私和个人自由为名制定法律、政策和实践，事实上对个人数据跨境流动设置超出其保护水平的障碍。2016年11月7日发布的《中华人民共和国网络安全法》第三十七条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的公民个人信息和重要业务数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的，依照其规定。”从而确立了以境内存储为原则，安全评估后向境外提供为例外的跨境数据传输制度。