2026年人力资源建设隐私合规合同

2026年人力资源建设隐私合规合同合同编号：__________

2026年人力资源建设隐私合规合同

第一章总则

第一条本合同依据《中华人民共和国个人信息保护法》、《中华人民共和国劳动合同法》及相关法律法规制定，旨在明确用人单位与劳动者在人力资源建设过程中对个人信息的处理规则，保障劳动者的合法权益，维护用人单位的正常经营秩序。

第二条本合同适用于用人单位在招聘、培训、考核、晋升、离职等人力资源管理活动中对劳动者个人信息的收集、存储、使用、传输、删除等环节。

第三条用人单位应遵循合法、正当、必要、诚信的原则处理劳动者个人信息，不得泄露、篡改、毁损劳动者个人信息，不得超出约定目的使用劳动者个人信息。

第四条劳动者应如实提供个人信息，并对个人信息的真实性、准确性负责。劳动者有权了解用人单位对个人信息的使用情况，有权要求用人单位更正不准确的个人信息。

第五条本合同未尽事宜，双方可另行协商签订补充协议，补充协议与本合同具有同等法律效力。

第二章个人信息的定义及范围

第六条本合同所称个人信息，是指以电子或者其他方式记录的与劳动者个人有关的各种信息，包括但不限于：

（一）基本信息：姓名、性别、出生日期、身份证号码、联系方式、住址等；

（二）教育背景：教育程度、专业、毕业院校、学历证书编号等；

（三）工作经历：曾任职单位、职务、工作年限、离职原因等；

（四）健康状况：身体状况证明、残疾证明等；

（五）财务信息：收入水平、银行账户信息等；

（六）其他信息：宗教信仰、婚姻状况、家庭成员等。

第七条个人信息的处理方式包括但不限于：收集、存储、使用、传输、删除、封存等。

第三章个人信息的收集与存储

第八条用人单位收集劳动者个人信息应遵循以下原则：

（一）明确告知收集目的、方式、范围、存储期限、安全保护措施等；

（二）取得劳动者或其法定代理人的明确同意；

（三）仅收集与劳动合同履行、人力资源管理直接相关的必要信息。

第九条用人单位应建立健全个人信息管理制度，采取技术措施和管理措施保障个人信息安全，防止个人信息泄露、篡改、毁损。

第十条个人信息的存储期限应根据法律法规及劳动合同履行期限确定，存储期限届满后应及时删除或进行匿名化处理。

第四章个人信息的使用与传输

第十一条用人单位使用劳动者个人信息应遵循以下原则：

（一）符合收集目的，不得超出约定范围使用；

（二）取得劳动者或其法定代理人的明确同意；

（三）确保信息安全，防止个人信息泄露。

第十二条用人单位传输劳动者个人信息至境外时，应遵守《个人信息保护法》等相关法律法规，确保境外接收方具备相应的数据保护能力，并取得劳动者的明确同意。

第十三条用人单位应建立健全内部授权制度，明确个人信息处理的权限和责任，防止未经授权的个人信息使用。

第五章个人信息的更正与删除

第十四条劳动者有权要求用人单位更正不准确的个人信息，用人单位应及时核实并更正。

第十五条劳动者有权要求用人单位删除其个人信息，用人单位应在收到请求后及时删除或进行匿名化处理。

第十六条用人单位应建立个人信息更正、删除的申请和处理机制，确保劳动者的权利得到有效保障。

第六章个人信息的保护与监督

第十七条用人单位应设立个人信息保护负责人，负责个人信息的监督管理，定期开展个人信息保护培训，提高员工的数据保护意识。

第十八条用人单位应建立健全个人信息安全事件应急预案，一旦发生个人信息泄露、篡改、毁损等安全事件，应及时采取措施，防止损害扩大，并按规定向有关部门报告。

第十九条劳动者有权向用人单位提出个人信息保护的咨询和投诉，用人单位应及时处理并反馈处理结果。

第七章违约责任

第二十条用人单位违反本合同约定，未履行个人信息保护义务，造成劳动者合法权益受到侵害的，应承担相应的法律责任，包括但不限于：

（一）停止侵害；

（二）赔偿损失；

（三）赔礼道歉；

（四）承担行政处罚等。

第二十一条劳动者违反本合同约定，未如实提供个人信息或泄露用人单位商业秘密的，应承担相应的法律责任。

第二十二条双方应协商解决个人信息保护纠纷，协商不成的，可向人民法院提起诉讼或申请劳动仲裁。

第八章争议解决

第二十三条本合同的签订、履行、解释及争议解决均适用中华人民共和国法律。

第二十四条双方在履行本合同过程中发生的争议，应首先通过友好协商解决；协商不成的，任何一方均有权向用人单位所在地人民法院提起诉讼。

第九章附则

第二十五条本合同自双方签字或盖章之日起生效。

第二十六条本合同一式两份，用人单位和劳动者各执一份，具有同等法律效力。

第二十七条本合同未尽事宜，双方可另行协商签订补充协议，补充协议与本合同具有同等法律效力。

第二十八条本合同附件作为本合同不可分割的一部分，与本合同具有同等法律效力。

###特殊应用场景一：大规模校园招聘

**应用场景说明**

在校园招聘中，用人单位需要收集大量应届毕业生的个人信息，包括但不限于教育背景、成绩单、实习经历、家庭情况等。由于招聘对象为未成年人或即将步入社会的年轻群体，个人信息保护尤为重要。

**需要注意的条款及修正**

1.**修正条款第六条**：

-增加对敏感信息的特殊处理要求，如家庭住址、联系方式等，需明确标注“仅用于紧急联系，不得用于商业营销”。

-明确成绩单等学术信息的存储期限，建议设定为“毕业后三年内，用于背景调查需另行授权”。

2.**修正条款第八条**：

-增加针对学生的特殊授权条款：“因校园招聘需收集实习经历等非必要信息时，需获得学生本人及学校就业指导中心的双重同意”。

**人性化说明**

“招聘时我们会收集你的成绩单和实习经历，但只用于评估你的能力，不会泄露给其他公司。所有信息会存储三年，过期后会销毁。如果你不放心，可以不提供某些信息，但可能会影响你的面试机会。”

---

###特殊应用场景二：员工背景调查

**应用场景说明**

在员工入职或晋升时，用人单位可能需要委托第三方机构进行背景调查，涉及查询征信报告、犯罪记录、前雇主评价等敏感信息。此过程需严格遵循个人信息保护法规，避免侵犯员工隐私。

**需要注意的条款及修正**

1.**修正条款第十二条**：

-增加背景调查的授权条款：“用人单位委托第三方机构进行背景调查前，需取得员工书面授权，并明确调查范围和目的”。

-明确第三方机构的法律义务：“第三方机构仅能将调查结果用于用人单位的招聘决策，不得泄露或用于其他用途”。

2.**修正条款第二十条**：

-增加对第三方机构违约的处罚条款：“若第三方机构泄露员工个人信息，用人单位有权解除委托协议，并要求其承担赔偿责任”。

**人性化说明**

“如果你被录用，我们可能需要通过第三方机构了解你的工作经历和信用情况，但必须得到你的同意。所有信息只用于决定是否录用你，不会泄露给其他公司。”

---

###特殊应用场景三：员工心理健康评估

**应用场景说明**

部分岗位（如高压销售、客服等）可能需要员工进行心理健康评估，涉及心理测试报告、治疗记录等高度敏感信息。此场景下，用人单位需平衡工作需求与员工隐私权。

**需要注意的条款及修正**

1.**修正条款第六条**：

-增加“心理健康信息”的专项定义：“心理健康信息包括但不限于心理测试结果、治疗记录、心理咨询记录等，属于高度敏感个人信息”。

2.**修正条款第十一条**：

-增加心理健康信息的特殊使用限制：“心理健康信息仅用于评估岗位匹配度，不得作为解雇员工的唯一依据，且需严格保密”。

**人性化说明**

“如果你申请某些岗位，我们可能会安排心理测试，但结果只会用于评估你的岗位匹配度，不会影响你的工资或晋升。所有信息会严格保密，只有少数专业人员能查看。”

---

###特殊应用场景四：员工离职后的数据保留

**应用场景说明**

员工离职后，用人单位仍需保留部分个人信息用于离职证明开具、社保公积金转移、劳动仲裁举证等法律目的。此场景下需明确数据保留期限及使用范围。

**需要注意的条款及修正**

1.**修正条款第十条**：

-增加离职后的数据保留期限：“员工离职后，其个人信息应保留至少三年，用于法律规定的后续事务处理”。

-明确离职数据的脱敏处理：“离职员工的数据在三年后应进行匿名化处理，或根据法律法规要求销毁”。

2.**修正条款第二十五条**：

-增加离职员工的查询权：“离职员工有权查询其在职期间个人信息的存储及使用情况，用人单位应在收到请求后三十日内反馈”。

**人性化说明**

“即使你离职了，我们仍会保留你的部分信息，比如社保记录、工资证明等，以便你在需要时开具相关证明。这些信息会保留三年，三年后会销毁，不会泄露给其他人。”

---

###特殊应用场景五：远程工作者的信息监控

**应用场景说明**

随着远程办公的普及，用人单位可能需要监控远程工作者的网络行为、考勤数据、工作设备使用情况等。此场景下需平衡管理需求与员工隐私权。

**需要注意的条款及修正**

1.**修正条款第六条**：

-增加“远程工作监控数据”的专项定义：“远程工作监控数据包括但不限于网络行为记录、考勤打卡数据、设备使用记录等，属于敏感个人信息”。

2.**修正条款第十一条**：

-增加远程工作监控的合法性要求：“远程工作监控需基于劳动合同约定或专项协议，不得超出合理范围”。

-明确监控数据的存储期限：“远程工作监控数据应仅存储六个月，用于绩效评估需另行授权”。

**人性化说明**

“远程工作时，我们会记录你的工作时长和网络使用情况，但只用于评估你的工作表现，不会查看你的私人聊天。所有数据会存储六个月，六个月后会被删除。”

---

###实际操作过程中遇到的问题及解决办法

1.**问题**：员工拒绝提供部分非必要信息（如家庭住址）。

**解决办法**：

-在招聘时明确告知哪些信息是“建议提供”而非“必须提供”，并说明不提供的影响（如无法办理入职手续）。

-引入“最小化信息收集”原则，仅收集与岗位直接相关的信息。

2.**问题**：第三方机构泄露员工个人信息。

**解决办法**：

-签订保密协议，明确第三方机构的法律义务和违约责任。

-定期对第三方机构进行合规审查，确保其符合数据保护要求。

3.**问题**：员工离职后仍需查询个人信息。

**解决办法**：

-建立离职员工数据查询系统，确保员工在离职后仍可查询个人信息的使用情况。

-设立专门的数据保护接口，员工可通过该接口提交查询请求。

4.**问题**：心理健康评估结果被不当使用。

**解决办法**：

-对使用心理健康信息的员工进行专项培训，确保其了解保密要求。

-建立内部监督机制，定期审查心理健康信息的使用情况。

5.**问题**：远程工作监控数据存储超期。

**解决办法**：

-自动化数据销毁系统，设置六个月存储期限后自动删除监控数据。

-员工可通过内部系统查询监控数据的存储情况，确保透明化。

---

###原始合同所需的详细附件

1.**《个人信息收集清单》**

详细列明招聘、培训、考核等环节收集的具体信息项，以及对应的收集目的和授权依据。

2.**《员工授权书》**

员工签署的个人信息授权文件，包括但不限于：

-校园招聘信息授权书

-背景调查授权书

-心理健康评估授权书

-远程工作监控授权书

3.**《第三方机构服务协议》**

用人单位与第三方机构（如背景调查机构、心理评估机构）签订的协议，明确数据保护责任和违约处罚。

4.**《员工离职数据查询申请表》**

员工离职后查询个人信息存储及使用情况的申请表格，以及用人单位的反馈流程说明。

5.**《心理健康信息使用规范》**

详细规定心理健康信息的收集、存储、使用、销毁等环节的操作细则，以及内部监督机制。

6.**《远程工作监控操作手册》**

明确远程工作监控的范围、方法、存储期限、使用限制等，以及员工的申诉渠道。

7.**《数据保护事件应急预案》**

针对个人信息泄露、篡改、毁损等安全事件的应急处理流程，包括通知机制、损害评估、法律合规等。

8.**《数据保护培训材料》**

用于员工及内部员工的数据保护培训，包括法律法规解读、操作规范、案例分析等。

多方为主导时的，附件条款及说明

第十章甲方为主导时的，附件条款及说明

第一条本合同在甲方为主导地位时，除适用本合同原有条款外，增加以下特殊条款，以明确甲方在多方合作中的主导责任及权利。

第二条增加条款第二十九条：

**第二十九条甲方主导下的数据整合与授权管理**

2.1甲方在组织人力资源建设项目时，如涉及多方合作（包括但不限于第三方服务机构、关联公司等），应作为数据控制的主要责任方，对个人信息的数据整合、使用、传输等环节进行全面管理和监督。

2.2甲方应确保所有参与项目的外部合作方均遵守本合同约定的个人信息保护标准，并在合作协议中明确数据保护责任及违约后果。

2.3甲方有权对合作方的数据处理活动进行定期审计，合作方应配合提供必要的数据处理记录及证明文件。

2.4如合作方需将个人信息传输至境外，甲方应负责确保境外接收方满足数据保护法律要求，并取得劳动者的额外书面同意。

**条款说明**

本条款旨在强化甲方在多方合作中的主导地位，确保个人信息保护责任的连续性。甲方作为数据控制的主要责任方，需对外部合作方的数据处理行为进行有效管控，防止因合作方违规导致劳动者个人信息泄露。具体操作中，甲方应通过签订数据保护补充协议、制定数据处理规范等方式，明确合作方的责任边界，并建立审计机制以监督合规性。此外，条款还强调了跨境传输的额外授权要求，符合《个人信息保护法》对境外数据传输的严格规定。

第三条增加条款第三十条：

**第三十条甲方主导下的数据使用范围限制**

3.1在甲方主导的多方合作项目中，个人信息的使用范围不得超出本合同约定的目的，除非获得劳动者的明确书面同意或基于法律规定。

3.2甲方应确保所有合作方仅能访问与其履行合作任务直接相关的个人信息，并采取技术和管理措施防止数据滥用。

3.3甲方需建立数据使用报告机制，定期向劳动者通报个人信息在本合同项下的使用情况，包括数据访问、处理目的变更等。

**条款说明**

本条款进一步明确甲方在数据使用方面的主导权及限制性要求。首先，强调了使用范围的合法性，禁止合作方以任何形式超出约定目的使用个人信息。其次，通过访问控制措施，确保合作方仅能获取必要的数据，避免数据过度采集或滥用。最后，报告机制的设计旨在增强透明度，让劳动者了解其个人信息的实际使用情况，符合《个人信息保护法》对数据控制者透明度义务的要求。甲方需确保报告内容真实、完整，并设立畅通的反馈渠道，以便劳动者提出疑问或投诉。

第四条增加条款第三十一条：

**第三十一条甲方主导下的数据安全事件责任**

3.1在多方合作项目中，如发生个人信息泄露、篡改、毁损等安全事件，甲方应作为首要责任方承担主要责任，并负责协调各方采取补救措施。

3.2甲方应建立统一的安全事件应急预案，明确合作方在事件响应中的职责分工，并定期组织联合演练。

3.3甲方需在安全事件发生后72小时内，根据事件严重程度及法律法规要求，通知劳动者及有关部门，并提供详细的事件处理报告。

**条款说明**

本条款旨在明确甲方在数据安全事件中的主导责任及协同机制。首先，通过“首要责任方”的定位，强化甲方在事件处理中的领导地位，确保责任落实。其次，统一应急预案和联合演练的设计，旨在提升多方合作下的应急响应能力，确保事件得到及时、有效的处理。最后，72小时内的通知义务符合《个人信息保护法》对安全事件通知时限的要求，体现了对劳动者权益的保护。甲方需确保应急预案的实操性，并建立跨部门的协调机制，以便在事件发生时迅速启动响应程序。

第十一章乙方为主导时的，附件条款及说明

第一条本合同在乙方为主导地位时，除适用本合同原有条款外，增加以下特殊条款，以明确乙方在多方合作中的主导责任及权利。

第二条增加条款第三十二条：

**第三十二条乙方主导下的数据收集与处理授权**

2.1在乙方主导的人力资源建设项目中，乙方作为数据控制的主要责任方，有权授权其他合作方（如招聘平台、测评机构等）收集劳动者个人信息，但需确保授权范围明确且符合本合同约定。

2.2乙方应要求合作方签署数据处理授权协议，明确数据收集的目的、范围、存储期限及安全保护措施，并保留相关协议文本。

2.3乙方需定期审查合作方的数据处理活动，确保其符合授权要求及法律法规规定，并有权撤销不当授权。

**条款说明**

本条款旨在明确乙方在数据收集与处理方面的主导权及授权管理机制。首先，通过“数据控制的主要责任方”的定位，强化乙方的授权能力，但同时也要求授权范围必须明确且合法，防止数据滥用。其次，通过数据处理授权协议的设计，确保合作方的数据处理行为可追溯、可监督，并为乙方提供法律依据。最后，定期审查和撤销授权的权利，赋予乙方对合作方行为的最终控制权，确保数据保护责任的落实。乙方需建立完善的授权管理体系，并确保合作方充分理解其责任义务。

第三条增加条款第三十三条：

**第三十三条乙方主导下的数据主体权利响应机制**

3.1在乙方主导的项目中，劳动者提出的个人信息查询、更正、删除等请求，乙方应作为主要响应方负责处理，并确保在法定时限内完成。

3.2乙方应建立统一的数据主体权利响应流程，明确合作方在权利响应中的协助义务，并确保劳动者能够通过单一渠道提交请求。

3.3乙方需定期向劳动者通报数据主体权利响应情况，包括已处理请求的数量、类型及未处理请求的原因，并接受劳动者的监督。

**条款说明**

本条款旨在明确乙方在数据主体权利响应方面的主导权及协同机制。首先，通过“主要响应方”的定位，强化乙方对劳动者权利请求的处理责任，确保响应及时、高效。其次，统一响应流程和协助义务的设计，旨在提升多方合作下的权利响应效率，避免劳动者因涉及多方而无法获得有效帮助。最后，定期通报和接受监督的机制，增强了透明度，符合《个人信息保护法》对数据控制者履行权利响应义务的要求。乙方需建立专门的权利响应团队或流程，并确保与合作方建立有效的沟通机制。

第四条增加条款第三十四条：

**第三十四条乙方主导下的数据跨境传输管理**

3.1在乙方主导的项目中，如需将个人信息传输至境外，乙方作为数据控制的主要责任方，应负责确保境外接收方满足数据保护法律要求，并取得劳动者的额外书面同意。

3.2乙方应与境外接收方签订数据传输协议，明确数据保护责任、传输目的及退出机制，并定期审查其合规性。

3.3乙方需建立跨境数据传输的风险评估机制，对传输目的国或地区的法律环境进行充分评估，并采取必要的安全措施防止数据泄露。

**条款说明**

本条款旨在明确乙方在数据跨境传输方面的主导权及管理责任。首先，通过“数据控制的主要责任方”的定位，强化乙方在跨境传输中的合规管理能力，确保传输过程符合法律法规要求。其次，数据传输协议的设计，旨在明确境外接收方的责任边界，并为乙方提供法律保障。最后，风险评估和安全措施的要求，体现了对跨境数据传输风险的重视，符合《个人信息保护法》对跨境传输的严格规定。乙方需建立完善的跨境数据传输管理体系，并确保与合作方及境外接收方保持良好沟通。

第十二章当有第三方中介时，增加的多项条款及说明

第一条本合同在存在第三方中介（如招聘平台、测评机构等）时，除适用本合同原有条款外，增加以下特殊条款，以明确第三方中介的责任及与甲乙双方的协作关系。

第二条增加条款第三十五条：

**第三十五条第三方中介的数据处理协议**

2.1第三方中介作为数据处理者，应与甲方（或乙方）签订数据处理协议，明确数据处理的目的、范围、方式、存储期限及安全保护措施。

2.2数据处理协议应包含违约责任条款，明确第三方中介在违反数据处理义务时的赔偿责任，包括但不限于经济赔偿、合同解除等。

2.3第三方中介不得将个人信息用于协议约定之外的目的，不得泄露或篡改个人信息，并应采取技术和管理措施保障数据安全。

**条款说明**

本条款旨在明确第三方中介的数据处理责任及与甲乙双方的协作关系。首先，通过数据处理协议的设计，确保第三方中介的数据处理行为符合法律法规及双方约定，并为甲乙双方提供法律保障。其次，违约责任条款的设置，强化了第三方中介的法律约束力，防止其因违规行为导致劳动者个人信息泄露。最后，对数据使用范围的限制和安全保护措施的要求，体现了对个人信息安全的全面保障。甲乙双方需确保第三方中介充分理解其责任义务，并定期对其数据处理活动进行审计。

第三条增加条款第三十六条：

**第三十六条第三方中介的数据安全事件协作机制**

3.1第三方中介作为数据处理者，应在发生个人信息泄露、篡改、毁损等安全事件时，立即通知甲方（或乙方），并配合甲乙双方采取补救措施。

3.2第三方中介应向甲方（或乙方）提供事件发生的时间、原因、影响范围及已采取的措施，并协助进行事件调查及损害评估。

3.3甲方（或乙方）应定期向第三方中介通报数据安全事件的处理情况，并共同改进数据安全防护措施。

**条款说明**

本条款旨在明确第三方中介在数据安全事件中的协作责任及与甲乙双方的协同机制。首先，立即通知和配合补救措施的要求，确保第三方中介在事件发生时能够迅速响应，防止损害扩大。其次，事件信息通报和调查协作的设计，旨在提