在互联网时代，用户个人数据时刻面临被非法获取或滥用的风险，任何人都有成为网络“透明人”的可能。很多国家都已经认识到这个严峻的问题，并通过各种技术手段和管理规则来防范这种风险。而随着互联网行业的迅猛发展和经济全球化的到来，个人数据跨国境的流动成为常态，个人数据遭遇侵犯的风险更加严重了。如何在数据流经的国家之间建立尽可能统一、高标准的保护措施，成为一个难题。欧盟作为一个众多国家的联合体，在这方面有独特的经验。在欧盟境外领域，欧盟委员会公布“白名单”国家，代表此类国家具有与欧盟相同或相应的数据保护水平及安全措施。欧盟成员国也可独立对第三国的数据保护水平做出评估。欧盟禁止数据向不在“白名单”上的国家流动，防止个人数据收到侵害。

在欧盟境内领域，为推动各国数据保护的统一，欧盟主要采取两种方式：一是由各国监管部门对公司内部的个人数据保护规则（即BCRs）进行认证；二是规定在相关合同中应有由欧盟认可的格式条款。

2012年，欧盟通过修改“数据保护指令”，又把个人数据保护制度向前推动了一步。新的法规草案扩大了欧盟数据保护规则的适用范围，不仅针对欧盟内的企业，更将范围扩大到任何处理欧盟公民数据的外国公司。这样一来，与欧盟公司做生意的外国公司，比如想要走出国门的中国企业，都会受到它的约束。