跨境数据流动一词源于经济与发展组织(OECD)，其意指个人信息在跨境间转移的现象。跨境数据流动中个人信息法律保护是指在跨境数据流动现象下，个人信息面临安全侵害如何通过法律进行保护的问题。近年来，随着中国对于个人信息保护重视的提高，跨境数据流动中个人信息保护也开始成为学理研究的对象。尽管学理研究开始深入，但中国立法实践还处于起步阶段。2017-2019年，中国《网络安全法》、《电子商务法》等法律法规的出台相继为跨境数据流动现象与个人信息保护上建立了相关制度。可是，从保护个人信息的角度，中国在跨境数据流动下个人信息保护制度还存在许多不足，主要表现为:一、中国跨境数据流动中个人信息安全评估制度的不健全;二、中国跨境数据流动中个人信息分类制度的不完善;三、中国跨境数据流动中个人信息保护的国际合作参与度不高。针对以上不足，健全和完善中国相关立法应当是中国目前亟需解决的任务。
　　首先，对中国个人信息出境安全评估制度而言，中国《网络安全法》虽然对关键信息基础设施下的个人信息出境安全评估进行规定，但如何评估以及非关键信息基础设施领域的个人信息出境安全评估还没有具体可行的规则。从国家互联网信息办公室最新发布的《个人信息出境安全评估管理办法(征求意见稿)》来看，中国个人信息出境安全评估制度至少在三个个方面还有很大的改进空间。一是中国个人信息出境安全评估制度的目标可以更加明确，特别是强调以个人信息保护为目标，以区分开重要数据出境的安全评估制度:二是中国个人信息出境安全评估的范围可以更加具体，可以在汲取域外立法经验下，根据中国实际情况将出境国和出境企业两者都纳入现有的评估范围之内，并使评估针对的工作对象更加具体化:三是中国现有的立法应补充免于安全评估的相关情形，避免行政评估工作的繁琐导致个人信息跨境流动的严重后果。
　　其次，对中国个人信息跨境流动的分类制度而言，中国个人信息的分类混乱，没有统一的分类标准是中国个人信息跨境流动分类管理难以实施的主要原因。从现阶段来看，一方面中国应在立法确立明确的个人信息种类，将个人信息划分为一般个人信息和公开个人信息，将一般个人信息分为敏感个人信。官、和普通个人信息:另一方面，中国应按照安全性等级的高低对不同个人信息跨境流动分类管理:按照敏感个人信息大于普通个人信息，普通个人信息大于公开个人信息的等级机制对它们实施分类管理，提高跨境数据流动的效率。
　　最后，对中国个人信息跨境流动的国际合作而言，中国亟需提高国际合作的范围。但相比于中国活跃的跨境商务而言，中国目前开展合作的国家较少，根本原因就在于，中国个人信息保护的立法与国际趋势的差距和冲突。为此，中国应先对中国个人信息的立法进行改良，一方面中国应在立法中对《网络安全法》的数据本土化政策进行解释，以区分开个人信息和重要数据的本土化要求;另一方面中国应借鉴国际组织提倡的个人信息保护标准，提高中国个人信息保护水平。随着国际上对于个人信息保护规则谈判的日渐紧密，中国在完善国内立法的同时，还需要加紧参与谈判，把握国际规则制定的话语权，最终提高中国个人信息保护的国际合作水平。