我国《网络安全法》第37条首次对数据跨境做出规定。配合第37条的实施，中央网信办于2017年、2019年分别发布《个人信息和重要数据出境安全评估办法（征求意见稿）》《个人信息出境安全评估办法（征求意见稿）》，这两个文件及《数据安全管理办法（征求意见稿）》的相关条款凸显了与《网络安全法》一致的“原则禁止，经安全评估为例外”的数据出境监管模式。《数据安全法（草案）》第10条明确在数据跨境安全的基础上将数据自由流动作为中国支持的一项原则，第23、24条确定对数据跨境实施出口管制和采取对等性措施的情形，第33条为数据跨境流动需求提供了有效的机制安排。这些措施在确保数据主权安全的基础上兼顾数据流动的需要。《个人信息保护法（草案）》第三章“个人信息跨境提供的规则”专章对个人信息跨境流动的安全、原则、机制等提出了统一要求。全国信息安全标准化技术委员会（TC260）组织编制的《信息安全技术数据出境安全评估指南》，明确了数据出境安全评估流程、要点和方法，为落地出境数据安全评估提供了具体的工作指导。