中國大陸於2021年8月20日通過《個人信息保護法》，該法自2021年11月1日生效，並詳細規範有關數據收集、使用與儲存之規定，其中包括要求在中國大陸之境外公司與組織須依此法處理數據，例如要求任命負責確保遵守此法之代表人。

《個人信息保護法》第24條規定品牌不得策劃針對個人特徵之行銷策略，必須提供消費者拒絕目標行銷之選擇。擁有大量顧客個人資料的主要線上平臺必須建立由外部各方組成之獨立機構監督訊息處理方式，亦須遵循公開、公平、公正的原則，制定數據保護政策，並定期發布數據保護措施報告（第58條）。關於臉部識別系統，該法第26條規範在公共場所安裝圖像收集、個人身分識別設備，應設置顯著的標誌，且此類數據收集與使用限於維護公共安全之目的。

根據隱私權未來論壇（Future of Privacy Forum, FPF）發布之《中國大陸新數據保護法：背景、主體、關鍵規定（CHINA’S NEW COMPREHENSIVE DATA PROTECTION LAW: CONTEXT, STATED OBJECTIVES, KEY PROVISIONS）》報告指出，《個人信息保護法》第39條適用移轉至中國大陸境外之個人數據，透過移轉此數據至國外之前，對資料處理者賦加義務。透過中國大陸境外公司處理數據，當滿足《個人信息保護法》第3條所列三種情形之一者，即（1）提供中國大陸消費者產品或服務而處理數據之情形、（2）數據用以分析或評估消費者的活動及（3）法律、行政法規規定的其他情形 （FPF指出，該條件進一步擴大中國當局的自由裁量權），亦適用本法。

該法之執法框架包括高達5%營業額之罰款，以及懲罰行為，例如命令停止處理數據與沒收非法所得。依據該法第66條，若企業拒絕改正違規行為，可能處以最高人民幣100萬元（約新台幣430.89萬元）罰款，對數據處理直接負責之違規員工亦可能被處以人民幣1萬元（約新台幣4.31萬元）至10萬元（約新台幣43.09萬元）罰款。另在情節嚴重的違規行為中，最高可罰款人民幣5千萬元（約新台幣2.15億元）或公司上一財政年度5%營業額。

國際隱私權專家協會（International Association of Privacy Professionals, IAPP）副會長Omer Tene表示，《個人信息保護法》第40條要求將跨數據傳輸數據提交中國大陸國家互聯網信息辦公室（Cyberspace Administration of China, CAC）進行安全評估，且符合CAC所定義處理大量數據之組織需將數據儲存於中國大陸境內。