OECD是最早制定比较系统、成型的跨境数据传输规则的国际组织。OECD理事会1980年9月23日通过的《隐私保护与个人数据跨境流动指南》（Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data）是之后不少国际组织（乃至各个国家和地区）制定跨境数据传输规则时的效法对象。

《隐私保护与个人数据跨境流动指南》共22条，分为“一般规定”“国内适用的基本原则”“国际适用的基本原则：自由流动和法律限制”“国内实施”“国际合作”等五个部分。^[16]

第一部分“一般规定”主要涉及的是若干基本概念如“个人数据”“个人数据跨境传输”“数据控制者”等的定义，以及该指南的全部或部分规定的适用范围。其规定，该指南既适用于公共领域的个人数据也适用于私人领域的个人数据，既适用于自动化处理的个人数据也适用于其他个人数据；不适用该指南第二和第三部分中的原则的例外情况（包括那些和国家主权、国家安全和公共政策有关的例外情况）应尽可能少且为公众所知悉。

第二部分“国内适用的基本原则”提出了该指南在国内适用的八项个人数据保护原则。（1）收集限制原则（Collection Limitation Principle）。应当对个人数据的收集加以限制，应当用合法的、公正的手段获取资料，必要时，应得到数据主体的同意或告知数据主体。（2）数据质量原则（Data Quality Principle）。个人数据应当与使用目的有关，而且对这些目的而言是准确的、完整的和最新的。（3）目的特定原则（Purpose Specification Principle）。个人数据的收集目的在收集前就应当是特定的，其后的使用仅限于实现收集目的和与最初的收集目的不相抵触的其他目的，在目的发生变更时，（变更了的）目的也应该是特定的。（4）有限使用原则（Use Limitation Principle）。不得为特定目的以外的目的披露、提供或利用个人数据，除非有数据主体的同意或者法律的授权。（5）安全保障原则（Security Safeguards Principle）。应当以合理的安全措施保障个人数据，以免其面临遗失、未经授权的访问、毁坏、使用、修改或者披露的危险。（6）公开性原则（Openness Principle）。应当制定关于个人数据的开发、应用的一般公开政策；确定个人数据的存在和属性，使用的主要目的和数据控制者身份、住所的方法应该是易得的。（7）个人参与原则（Individual Participation Principle）。个人有权：a.向数据控制者或其他人确认是否保有与其有关的资料；b.在合理区间内、以不过分的费用（如果有费用）、以合理的方式、以容易理解的形式知悉有关自己的数据；c.在根据以上两项行使权利遭到拒绝时提出异议；d.对有关自己的数据提出异议，且于异议成立时，对数据进行删除、修改、完善或者补正。（8）可问责原则（Accountability Principle）。数据控制者对于是否有效实施以上原则承担责任。

第三部分“国际适用的基本原则：自由流动和法律限制”规定，成员国应该考虑个人数据的国内处理和再输出对其他成员国的影响；成员国应该采取一切合理的、适当的措施保证个人数据跨境传输（包括经过某一成员的传输）的安全和不被打断；一个成员国应该制止对本国与另一成员国之间的个人数据跨境传输进行限制，除非另一成员国未实质性遵守该指南或者这样的数据跨境传输会导致规避其本国的隐私法；一个成员国隐私法根据数据属性对某些种类的个人数据做出特别规定而其他成员国没有对这些数据提供相当保护的，该成员国可以限制这些数据传输至其他成员国；成员国应避免以保护隐私和个人自由为名制定可能超出必要保护程度的阻碍个人数据跨境传输的法律、政策和惯例。

第四部分“国内实施”规定，为了保证第二和第三部分规定的原则在成员国国内的实施，成员国应通过法律、行政程序或者其他程序或者机构来保护关于个人数据的隐私和个人自由。成员国应特别致力于：a.采用适当的国内法；b.鼓励和支持以行为规则或其他形式进行的自律；c.为本人行使权利提供合理的方法；d.对违反第二和第三部分规定的原则的行为规定充分的制裁和救济措施；e.保证不歧视数据主体。

第五部分“国际合作”规定，成员国应其他成员国的要求，应当告知关于本国实施该指南上的原则的详细情况；成员国应保证个人数据跨境传输、保护隐私和个人自由的程序是简单的，且该程序与遵守该指南的其他成员国的程序是协调一致的；成员国应当设置程序以促进与该指南有关的信息交换并在有关的程序和调查活动中相互帮助；成员国应该为国内、国际原则的发展而努力，以指导个人数据跨国传输方面准据法的发展。

《隐私保护与个人数据跨境流动指南》通过时只是一个指导性文件，并没有在成员国之间形成实质的多边协调机制。近年来，OECD 在多边协调机制尤其是各国数据保护当局（DPA）的合作机制上开展了不少举措。2007年6月12日，OECD 通过“隐私保护法律跨境执法合作”（Crossborder Co-operation in the Enforcement of Laws Protecting Privacy）的建议，得到了成员国政府的积极响应。2010 年3 月，OECD 的11 个创始成员国发起了“全球隐私执法网络”（The Global Privacy Enforcement Network，GPEN），号召成员国DPA 加入，在个人数据保护跨境执法过程中互通信息、提供协助；现在已有40多个国家的50多个DPA 加入了GPEN。OECD还与亚太经合组织（APEC）协商，同意交换DPA 的联系人名单，这意味着个人数据保护跨境执法合作范围的进一步扩大。(www.daowen.com)

2013年，OECD 推出了《隐私保护与个人数据跨境流动指南》的修订版，这是30多年以来该指南的第一次修订。新版指南贯穿两大主题：第一，让个人数据保护成为企业风险管理的重要内容；第二，突出全球视野，提升跨境合作。新版指南的改动之处主要表现在以下几方面。

其一，在第一部分中增加“保护隐私的法律”和“隐私执法机构”两个概念的定义。

其二，在第三部分中进一步放宽对个人数据跨境传输的限制。新版指南规定，成员国应采取合理和恰当的步骤确保个人数据的跨境传输（包括从一个成员国中转）不被中断并且安全；一个成员国应克制其对个人数据在它自己与另一成员国之间跨境传输的限制，除非后者没有实质性地遵守该指南或者对于这些数据的再出口将违反前者的隐私法。一个成员国也可以根据本国的隐私法对有特别规定的特定种类个人数据施加限制，或者是由于其他国家没有提供同等的保护而进行限制；成员国应避免以保护隐私和个人自由为名制定法律并加以实施，或者在事实上对个人数据跨境传输设置超出其保护水平的障碍。

其三，在第四部分中增加若干实现隐私保护目标的具体手段和措施，例如，发展国家隐私战略；制定保护隐私的法律并建立隐私执法机构；通过行业自律约束数据控制者的数据处理行为；采取教育、警示、促进保护隐私的技能开发和技术推广等补充措施。

其四，在第五部分中增加实施跨境隐私执法合作的内容，要求各成员方建立的隐私执法机构应当具备能够有效行使其权力的管理机构、资源和技术专家，以支持隐私执法机构做出客观、公正和连续性的决策，并要求各成员方之间达成各种国际协议，形成相互协调的隐私制度框架，以落实该指南。

其五，增加“实施责任”部分，规定数据控制者的两项义务，即实施隐私管理规划的义务和数据安全损毁的通知义务。前者要求数据控制者制定基于自身特殊性的隐私管理规划，以保证对其控制的所有个人数据有效地实施该指南的规定。后者要求数据控制者在发生影响个人数据的重大安全损毁事故时及时告知隐私执法机构或其他权威机构，并在有关事故可能对数据主体造成不利影响时告知数据主体。

虽然《隐私保护与个人数据跨境流动指南》不具备法律约束力，但是OECD呼吁34个成员国根据该指南制定本国的个人数据保护法律，体现出对个人数据跨境传输问题的关注。从该指南修订版的指导思想来看，OECD倾向于将个人数据保护上升至国家战略（而且是由各国政府高层协调组织的多元国家战略）层面，倡导在国际层面建立强大的跨境隐私执法网络，希望通过这种合作使得数据主体可以在异国异地投诉和维权，各个国家和地区的隐私执法机构也可以相互授权以实现其在域外的执法；同时，OECD也有将其个人数据保护规则推向全球的考虑，希望其成员国以外的国家和地区在进行相关规则的制定时也可以把该指南的指导思想包括在内，从而推动全球范围内各个国家和地区的个人数据保护规则的逐步接近。