Badan perundangan China, Jawatankuasa Tetap Kongres Rakyat Nasional, sedang menyusun undang-undang perlindungan maklumat peribadi, dan draf itu diterbitkan pada 12 Oktober 2020. Setakat ini, draf tersebut belum disetujui.
Perkara utama undang-undang ini adalah seperti berikut:
1. Undang-undang ini tidak hanya berlaku untuk setiap entiti atau individu memproses maklumat peribadi orang-orang alami di China, tetapi juga untuk kegiatan tertentu memproses informasi pribadi orang-orang alami di China di luar China. (Artikel 1)
2. Maklumat peribadi sensitif dilindungi khas. Maklumat ini merangkumi: bangsa, etnik, agama, ciri biologi peribadi, kesihatan perubatan, akaun kewangan, lokasi peribadi. (Artikel 29)
Pemproses maklumat hanya dapat memproses maklumat peribadi sensitif dalam keadaan berikut: (1) Mereka mesti menggunakan maklumat tersebut dalam keadaan tertentu; (2) Mereka telah mendapat persetujuan khusus dari individu yang terlibat dalam maklumat tersebut. (Artikel 29, Artikel 30)
3. Sekiranya pemproses maklumat perlu memberikan maklumat peribadi di luar China, pihaknya mesti mendapat persetujuan pihak berkuasa peraturan. (Artikel 38)
Dalam bantuan kehakiman antarabangsa, jika pemproses maklumat perlu memberikan maklumat peribadi di luar China, mereka harus mendapatkan persetujuan dari pihak berkuasa yang berkaitan. (Artikel 41)
4. Apabila maklumat peribadi yang diproses oleh pemproses maklumat mencapai jumlah tertentu, ia harus menetapkan orang tertentu sebagai orang yang bertanggungjawab untuk perlindungan maklumat peribadi. Orang yang bertanggungjawab akan mengawasi aktiviti pemprosesan maklumat peribadinya dan langkah-langkah perlindungannya. (Artikel 51)
5. Sekiranya pemproses maklumat melanggar undang-undang ini, bukan sahaja pendapatan haram akan disita, tetapi juga denda kurang dari 50 juta yuan atau kurang dari 5% dari perolehan tahun sebelumnya akan dikenakan. (Artikel 62) Ini seharusnya merupakan denda tertinggi dalam semua undang-undang China sejauh ini.