(一)中国数据跨境流动法律规制的困境
1.规制目标的平衡
对数据跨境流动进行规制，不仅要注重保障数据流动自由便利，也要注意规避数据跨境带来的风险。既要保障个人数据安全，也要避免影响正常的贸易往来。平衡好发展与规制之间的关系，本身就存在一定的矛盾。规制的过于严格，会造成数据流动缓慢，对经济发展造成不利影响。根据有关的数据研究报告，采用限制数据跨境流动措施的国家，其实际GDP都受到一定程度的损失，如欧盟损失GDP达0.48％，中国则高达0.55％。可见，对数据跨境流动进行规制在一定程度上成为互联网经济发展的一道枷锁。从国家安全角度，中国在《中华人民共和国网络安全法》（以下简称《网络安全法》）中对关键信息基础设施的运行安全进行了十分严格的规定。该法规定关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。其要求重点行业或者领域如征信、金融等进行数据处理时需在本国境内开展，以便确保这些关键性信息基础设施运行安全。与此同时，还推行两制度即一是网络产品和服务安全审查制度，二是网络安全等级保护制度。从个人数据安全角度，在《个人信息和重要数据出境安全评估办法（征求意见稿）》中指出网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据，应当在境内存储。因业务需要，确需向境外提供的，应该按照本办法进行安全评估。中国对数据流动监管相对严格，倾向保障数据安全。然而数据只有流动才能更好的作用，过于严格的流动性管理，越影响其价值的发挥，一定程度上并不利于贸易的发展，也不利于利用数据创造更多的经济价值。
2.立法碎片化
网络是数据的载体，数据是网络空间的组成部分。保障数据安全是在中国网络空间战略下展开的，然而《网络安全法》出台之后，并没有及时对数据安全进行单独立法。与数据相关的条文都散落在《中华人民共和国国家安全法》，《网络安全法》、《中华人民共和国电子商务法》、《个人信息和重要数据出境安全评估办法（征求意见稿）》以及部分行业条例中。例如，《征信业管理条例》、《地图管理条例》。并且规定的都是重要数据以及个人信息数据，并没有对数据系统化的立法。直到2020年第十三届全国人大常委会第二十次会议审议《中华人民共和国数据安全法（草案）》以下简称《数据安全法（草案）》，开启了数据安全立法的新篇章。数据立法滞后，使得数据跨境流动缺乏系统的法律法规体系规制。规范体系构建要符合本国对于数据跨境流动规制的倾向。中国以国家权力机关为主要建设和实施主体，主要采用法律、行政法规、部门规章三个效力层级进行战略体系建设，具体内容主要偏向计算机系统安全和网络保护措施方面，从而呈现出金字塔形的多级扩散的发展特点。这一体系选择与中国的规范体系相符，但同时，这种模式的选择也暴露出其缺乏顶层设计。中国采取的规范体系更倾向数据安全，但是其未统筹建立顶层设计下的规范体系不够系统、全面。比如，数据收集之后的保障义务以及责任承担、过错责任的适用、以及数据跨境流动过程中极易在未经数据主体同意的情况下获取、利用、在境外传播数据相关的商业秘密、知识产权。这些都需要法律进行系统化的规定。在实践中，执法机关执法于法无据。作为法律规制的基础，立法碎片化、缺乏顶层设计会出现诸多漏洞，对数据跨境流动的规制造成了严重的阻碍。