中國在11月1日起正式施行《個人信息保護法》，明確不得過度蒐集個人信息、利用大數據顯示坑殺用戶，對臉部辨識等隱私處理也進行規範，並規劃投訴與舉報機制。

中國《經濟參考報》報導，公共場所所收集的個人圖像、身份辨識資訊，只能用於「維護公共安全」目的。《個人信息保護法》第10條規定，任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息；不得從事危害國家安全、公共利益的個人信息處理活動。

對於App高度蒐集個人資訊、公共場所安裝攝像頭和臉部辨識設備所帶來的隱私問題，其蒐集須有「明確、合理」目的，並與應當與處理目的直接相關，對個人權益應影響到最小，並應有明顯的提醒標籤。

嚴打「大數據殺熟」

中國部分企業以大數據分析，同一件商品或服務對不同客戶顯示不同價格，通常老客戶價格會高於新客戶，以追求利潤極大化，此過程又稱為「大數據殺熟」。《個人信息保護法》對此也予以禁止，不得企業在蒐集資訊後，在交易價格上存在不合理的待遇。

《央視》報導，法律專家岳屾山指出，買賣個人信息，最高可處7年有期徒刑。從出售、購買還是竊取個人信息，均構成侵犯公民個人信息罪。

《證券時報》報導，中國國家互聯網信息辦公室10月29日發布《數據出境安全評估辦法（征求意見稿）》其中指出，數據處理者向境外提供數據，應向國家網信部門申報「數據出境安全評估」。符合通報的包含關鍵設施所蒐集的個資與資訊；處理一百萬以上的個資；累積10萬以上的個資或1萬人以上的敏感個資，或其它被列為重要、需要申報出境安全評估者。