2026年人力资源培训隐私合规协议

2026年人力资源培训隐私合规协议合同编号：__________

2026年人力资源培训隐私合规协议

第一章总则

第一条协议目的

本协议旨在明确培训服务提供方（以下简称“甲方”）与培训参与方（以下简称“乙方”）在人力资源培训过程中，对于涉及个人隐私信息的保护义务及责任，确保双方在遵守相关法律法规的前提下，实现培训目标与个人隐私权利的平衡。

第二条适用范围

本协议适用于甲方为乙方提供的所有人力资源培训活动，包括但不限于线上课程、线下讲座、实操演练等，以及在此过程中收集、处理及存储的个人信息。

第三条法律依据

本协议的订立、效力、解释、履行及争议解决均适用中华人民共和国法律。双方应遵守《中华人民共和国个人信息保护法》、《中华人民共和国劳动合同法》等相关法律法规的规定。

第二章定义与解释

第四条关键定义

（一）个人信息：指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

（二）敏感个人信息：指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

（三）培训参与方：指参加甲方提供的人力资源培训的自然人或者法人。

（四）培训服务提供方：指提供人力资源培训服务的自然人或者法人。

（五）个人信息处理：指对个人信息进行收集、存储、使用、加工、传输、提供、公开、删除等操作。

第五条解释顺序

本协议的解释顺序如下：（一）本协议的条款；（二）相关法律法规；（三）行业惯例；（四）双方书面约定。

第三章个人信息的收集与存储

第六条信息收集原则

甲方在收集个人信息时，应遵循合法、正当、必要、诚信的原则，明确告知乙方收集个人信息的种类、目的、方式、范围及法律后果，并取得乙方的同意。

第七条信息收集方式

甲方可以通过以下方式收集个人信息：（一）乙方在报名时填写的信息；（二）乙方在培训过程中提供的反馈信息；（三）甲方在培训过程中通过摄像头、麦克风等设备获取的音视频信息。

第八条信息存储与保护

甲方应采取技术和管理措施，确保个人信息的安全存储，防止未经授权的访问、泄露、篡改或丢失。具体措施包括但不限于：（一）使用加密技术保护传输中的个人信息；（二）设置访问权限，仅授权人员可以访问个人信息；（三）定期进行安全评估，及时修复安全漏洞。

第四章个人信息的处理与使用

第九条处理目的

甲方收集个人信息的目的仅限于为乙方提供人力资源培训服务，包括但不限于：（一）完成培训任务；（二）评估培训效果；（三）改进培训内容。

第十条处理方式

甲方在处理个人信息时，应遵循最小必要原则，仅处理实现目的所必需的个人信息。甲方不得将个人信息用于与收集目的不符的其他用途，除非取得乙方的另行同意。

第十一条第三方共享

未经乙方同意，甲方不得将个人信息共享给任何第三方。但在以下情况下，甲方可以共享个人信息：（一）法律法规要求；（二）为完成培训任务所必需，且已取得乙方同意。

第五章个人信息的权利与义务

第十二条乙方的权利

乙方享有以下个人信息权利：（一）知情权：有权了解甲方收集、处理及存储其个人信息的种类、目的、方式及范围；（二）访问权：有权访问其个人信息，并要求甲方提供个人信息的副本；（三）更正权：有权要求甲方更正其不准确的个人信息；（四）删除权：有权要求甲方删除其个人信息；（五）撤回同意权：有权撤回其同意甲方处理其个人信息的权利，但已完成的培训服务不受影响。

第十三条乙方的义务

乙方应履行以下义务：（一）提供真实、准确的个人信息；（二）配合甲方进行个人信息的管理；（三）遵守本协议的约定，不得滥用个人信息权利。

第十四条甲方的权利

甲方享有以下权利：（一）要求乙方提供真实、准确的个人信息；（二）在法律法规允许的范围内，对个人信息进行处理；（三）终止与乙方签订的培训服务协议，如乙方违反本协议约定。

第十五条甲方的义务

甲方应履行以下义务：（一）严格遵守法律法规，保护个人信息安全；（二）及时响应乙方的个人信息权利请求；（三）定期进行个人信息保护培训，提高员工的法律意识。

第六章违规处理与责任承担

第十六条违规处理

如甲方违反本协议约定，未经授权处理个人信息，应立即停止违规行为，并采取补救措施，包括但不限于：（一）删除已处理的个人信息；（二）向乙方道歉；（三）赔偿乙方因此遭受的损失。

第十七条责任承担

（一）如因甲方原因导致乙方个人信息泄露、丢失或被滥用，甲方应承担相应的法律责任，并赔偿乙方因此遭受的损失；（二）如因乙方原因导致甲方无法提供培训服务，乙方应承担相应的违约责任。

第七章争议解决

第十八条争议解决方式

双方在履行本协议过程中发生争议，应首先通过友好协商解决。协商不成的，任何一方均可向甲方所在地人民法院提起诉讼。

第十九条不可抗力

因不可抗力导致本协议无法履行，双方互不承担责任，但应及时通知对方，并采取措施减少损失。

第八章附则

第二十条协议生效

本协议自双方签字或盖章之日起生效，有效期为____年，自____年____月____日起至____年____月____日止。

第二十一条协议终止

本协议在以下情况下终止：（一）有效期届满，双方未续签；（二）双方协商一致终止；（三）因不可抗力无法继续履行。

第二十二条通知与送达

双方在本协议履行过程中产生的通知、文件等，应通过书面形式送达至本协议约定的地址。送达地址如有变更，应及时通知对方。

第二十三条法律适用

本协议的订立、效力、解释、履行及争议解决均适用中华人民共和国法律。

第二十四条其他

本协议一式两份，甲乙双方各执一份，具有同等法律效力。本协议未尽事宜，双方可另行签订补充协议，补充协议与本协议具有同等法律效力。

###特殊应用场景一：跨国人力资源培训

**应用场合说明：**

当甲方为境外企业或乙方参与培训的人员来自不同国家和地区时，涉及跨境数据传输和个人信息保护的合规性问题。此时需特别注意《个人信息保护法》中关于跨境传输的规定，以及欧盟《通用数据保护条例》（GDPR）的适用性。

**需要注意的条款及修正：**

1.**第八条信息存储与保护**

-原条款仅规定了境内存储措施，需增加：

“如涉及跨境传输，甲方应取得乙方明确同意，并确保符合相关法律法规要求，如通过标准合同条款（SCCs）或获得数据保护认证。”

-增加子条款：“乙方为境外主体的，应提供其所在地的数据保护法律法规允许甲方处理其个人信息的证明文件。”

2.**第十二条乙方的权利**

-补充：“乙方有权要求甲方说明跨境传输的具体方式及安全措施，并有权撤回同意，但需提前30日通知。”

**风险点：**

-若未取得境外主体的明确同意，可能构成非法跨境传输。

-不同法域对“敏感个人信息”定义差异（如GDPR更严格的界定）可能导致合规冲突。

---

###特殊应用场景二：涉及未成年人培训

**应用场合说明：**

当培训对象包含14周岁以下未成年人时，需严格遵守《个人信息保护法》关于未成年人特殊保护的规定，包括单独的同意机制和最小化处理原则。

**需要注意的条款及修正：**

1.**第四条关键定义**

-明确：“敏感个人信息不包括不满十四周岁未成年人的生物识别、行踪轨迹等信息，但为完成培训目的所必需且已取得监护人同意的除外。”

2.**第六条信息收集原则**

-增加：“收集未成年人个人信息时，应同时取得未成年人和其监护人的单独同意。”

-增加子条款：“甲方应提供监护人便捷的同意撤回渠道，包括专用联系方式或在线申请表。”

3.**第十六条违规处理**

-补充：“如发现未取得监护同意处理未成年人敏感信息，应立即停止并删除相关数据，并通知监护人。”

**注意事项：**

-监护人同意需以书面形式作出，且明确授权范围。

-培训内容中涉及心理测评等敏感场景时，需特别说明监护人权利。

---

###特殊应用场景三：人工智能驱动的培训系统

**应用场合说明：**

当培训采用AI技术（如智能推荐课程、学习行为分析）时，需关注自动化决策、算法透明度及个人权利保障问题。

**需要注意的条款及修正：**

1.**第七条信息收集方式**

-增加：“甲方使用AI系统收集的个人行为数据，仅用于优化培训体验，不得用于其他商业目的。”

2.**第十条处理方式**

-补充：“涉及自动化决策时，甲方应提供人工复核渠道，并明确说明决策依据。”

3.**第十九条不可抗力**

-增加子条款：“AI系统故障导致的个人信息处理中断，视为不可抗力，但甲方应优先恢复关键功能。”

**潜在风险：**

-算法偏见可能导致对特定人群的不公平对待。

-用户难以理解AI收集的数据类型及用途。

---

###特殊应用场景四：政府或公益组织委托培训

**应用场合说明：**

当甲方为政府机构或公益组织，需处理乙方（如公职人员、志愿者）的特定身份信息时，需特别注意信息最小化原则及行政豁免问题。

**需要注意的条款及修正：**

1.**第四条关键定义**

-增加：“特定身份信息包括但不限于公职人员编号、党员身份、志愿者服务记录等，仅限于完成培训考核所必需。”

2.**第九条处理目的**

-明确：“政府委托的专项培训，信息处理目的为‘完成绩效考核’而非‘提升个人能力’。”

3.**第十二条乙方的权利**

-补充：“乙方对特定身份信息的访问权受限制，仅可查询本人相关信息。”

**合规要点：**

-政府机构使用个人信息需获得法律授权或行政委托证明。

-避免将公职人员信息用于商业营销等非公务目的。

---

###特殊应用场景五：离职员工回访培训

**应用场合说明：**

当甲方对已离职员工（如前员工）进行职业发展回访培训时，需处理其存档信息，需注意劳动关系终止后的信息处理边界。

**需要注意的条款及修正：**

1.**第二十条协议生效**

-增加：“本协议适用于培训期间及结束后12个月内，对已离职员工的回访培训。”

2.**第七条信息收集方式**

-明确：“仅收集已离职员工的‘职业发展需求’等非劳动关系信息，不得获取当前雇佣状况。”

3.**第十五条甲方的义务**

-补充：“对已离职员工的信息处理应显著区别于在职期间，不得用于原劳动关系目的。”

**法律风险：**

-离职员工可能主张其个人信息权利并未因解除劳动合同而终止。

-回访内容需避免涉及原雇主的商业秘密。

---

###实际操作过程中遇到的问题及解决办法

**1.问题：乙方拒绝提供必要个人信息（如学历证明）**

**解决办法：**

-在收集前明确说明用途：“为完成资格认证考核，需核验学历信息，不提供将无法获得结业证书。”

-提供替代方案：“如无法提供原件，可由教育机构出具公证件。”

**2.问题：AI系统误采集敏感信息（如通过语音识别识别疾病）**

**解决办法：**

-技术层面：在AI模型中设置敏感词过滤机制。

-管理层面：增加语音数据匿名化处理流程，对识别出的疑似敏感信息需人工二次确认。

**3.问题：跨境传输未获同意导致诉讼**

**解决办法：**

-保留书面同意凭证（如扫描件、公证视频）。

-立即启动补救程序：删除已传输数据，协商和解协议。

**4.问题：未成年人监护人撤回同意后如何处理**

**解决办法：**

-启动“信息冻结”机制：停止使用该未成年人所有数据，但保留在培训中的非个性化记录。

-法务审核：确认是否需额外删除第三方平台共享数据。

---

###原始合同所需附件清单（口语化整理）

1.**附件一：《个人信息收集清单》**

-详细列出所有字段名称（如：身份证号、手机号、培训偏好等）及法律依据编号。

2.**附件二：《跨境传输认证文件》**

-如适用，附上欧盟SCCs标准合同文本或认证机构证明（如ISO27001）。

3.**附件三：《未成年人监护同意书模板》**

-包含监护人签字栏、联系方式及授权范围（如仅限“2026年度人力资源培训”）。

4.**附件四：《AI系统数据使用政策》**

-说明算法原理、匿名化方法及用户关闭选项。

5.**附件五：《数据泄露应急预案》**

-包含通知监管机构的时间表（如72小时）、用户通知模板及赔偿计算标准。

6.**附件六：《特定身份信息使用记录表》**

-当涉及公职人员时，需逐条记录授权文件编号、使用期限及销毁时间。

7.**附件七：《离职员工回访数据处理记录》**

-登记回访人员ID、提供信息范围及数据销毁凭证。

（注：实际操作中需根据具体场景补充附件，例如涉及生物识别信息时需附《生物识别数据使用承诺书》）

多方为主导时的，附件条款及说明

第十章甲方为主导时的，附加条款及说明

第一百零五条甲方主导数据控制权

（一）条款内容：在甲方主导的数据处理模式下，甲方作为数据控制者，负责确定个人信息处理的目的、方式和范围。乙方作为数据处理器，应严格按照甲方确定的指令处理个人信息，并接受甲方的监督和管理。

（二）说明：本条款明确甲方在数据处理中的主导地位，适用于甲方委托乙方提供人力资源培训服务，且甲方对数据处理有特定要求的场景。甲方需确保其指令合法、正当、必要，并书面告知乙方，避免因指令违法导致乙方承担连带责任。乙方需建立内部审核机制，确保处理活动符合甲方指令及法律法规要求。

第一百零六条甲方对处理活动的监督权

（一）条款内容：甲方有权对乙方的个人信息处理活动进行监督和检查，包括但不限于查阅处理记录、审计处理系统、要求乙方提供处理报告等。乙方应配合甲方的监督活动，并提供必要的协助。

（二）说明：本条款保障甲方对数据处理的控制力，确保乙方处理活动符合协议约定。监督方式应合理，不得过度干预乙方的正常经营。乙方有权要求甲方说明监督目的，并对监督过程中发现的不合理要求提出异议。如监督发现乙方存在违规行为，甲方有权要求其立即改正，并可根据情节严重程度采取暂停服务、解除合同等措施。

第一百零七条指令变更的通知义务

（一）条款内容：如甲方需要变更数据处理指令，应提前30日书面通知乙方，并说明变更理由。乙方在收到通知后，应评估变更对个人信息安全和处理效果的影响，并在合理期限内完成变更。如变更涉及法律风险增加，乙方有权要求甲方提供额外保障措施。

（二）说明：本条款确保甲方对数据处理的灵活控制，同时保障乙方的合法权益。甲方变更指令应基于合法理由，避免频繁变动导致乙方运营混乱。乙方评估期限可根据指令复杂程度协商确定，但不得无故拖延。对于高风险变更，乙方提出的保障措施应予以采纳，例如增加安全审计频率、提供违约金担保等。

第一百零八条甲方责任保险

（一）条款内容：甲方应购买足额的个人信息保护责任保险，保险范围应覆盖因数据处理活动导致的个人信息泄露、丢失或滥用等侵权行为。保险金额应不低于人民币____万元，并应将保险单复印件提交乙方备案。

（二）说明：本条款为甲方设立风险屏障，降低因数据处理不当给乙方带来的损失。保险金额应根据培训规模和潜在风险确定，且应定期更新。如发生保险事故，甲方应立即通知乙方，并配合保险理赔程序，但乙方仍有权就未获保险覆盖的损失独立主张赔偿。

第十一章乙方为主导时的，附加条款及说明

第一百零九条乙方主导数据控制权

（一）条款内容：在乙方主导的数据处理模式下，乙方作为数据控制者，负责确定个人信息处理的目的、方式和范围。甲方作为数据提供者，应向乙方提供必要的个人信息，并确保信息的真实性、准确性。

（二）说明：本条款明确乙方在数据处理中的主导地位，适用于乙方自主设计并提供人力资源培训服务，甲方仅提供部分数据的场景。乙方需确保其处理目的合法、正当，并取得甲方等主体的明确同意。甲方提供的数据应仅限于完成培训目的所必需，不得超出范围。

第一百一十条乙方对处理活动的自主性

（一）条款内容：乙方在处理个人信息时，享有自主决定处理方式、技术手段和存储期限的权利，但应确保其处理活动符合本协议约定及法律法规要求。甲方不得干预乙方的正常数据处理活动，除非法律法规另有规定。

（二）说明：本条款保障乙方的数据处理自主权，避免甲方不当干预。但自主性不等于无限制，乙方仍需遵守协议约定，例如不得将个人信息用于与培训无关的目的。甲方如发现乙方处理活动存在违法风险，有权要求其立即停止并说明理由，乙方应在合理期限内答复。

第一百一十一条数据处理方案的制定

（一）条款内容：乙方应制定详细的数据处理方案，包括数据收集清单、处理流程图、安全措施清单、主体权利响应机制等，并应在本协议签订后____日内提交甲方审核。甲方应在收到方案后____日内提出修改意见，乙方应在____日内完成修改并提交最终版本。

（二）说明：本条款确保乙方数据处理活动的透明度和规范性。处理方案应全面覆盖数据处理全流程，特别是敏感信息处理部分。甲方审核意见应具体、合理，不得设置不合理期限。乙方应根据甲方意见完善方案，但重大修改需经双方协商一致。

第一百一十二条乙方责任保险

（一）条款内容：乙方应购买足额的个人信息保护责任保险，保险范围应覆盖因数据处理活动导致的个人信息泄露、丢失或滥用等侵权行为。保险金额应不低于人民币____万元，并应将保险单复印件提交甲方备案。

（二）说明：本条款为乙方设立风险屏障，降低因数据处理不当给甲方带来的损失。保险金额应根据培训规模和潜在风险确定，且应定期更新。如发生保险事故，乙方应立即通知甲方，并配合保险理赔程序，但甲方仍有权就未获保险覆盖的损失独立主张赔偿。

第十二章有第三方中介时的，附加条款及说明

第一百一十三条第三方中介的引入

（一）条款内容：如需引入第三方中介（以下简称“丙方”）参与数据处理，应经甲乙双方书面同意，并签订三方补充协议。丙方仅作为数据处理者，应严格按照甲乙双方确定的指令处理个人信息，并接受甲乙双方的共同监督。

（二）说明：本条款规范第三方介入机制，防止因第三方行为引发责任纠纷。丙方介入前，甲乙双方应评估其数据保护能力（如审查资质、审计系统），并明确其在协议中的权利义务。丙方不得擅自变更处理指令或泄露个人信息，否则应承担违约责任。

第一百一十四条丙方的数据安全保障义务

（一）条款内容：丙方应采取与甲方同等的安全保护措施，包括但不限于数据加密、访问控制、安全审计、应急预案等，并应定期向甲乙双方提供安全报告。丙方应对其员工的数据处理行为进行管理和监督，确保其遵守本协议约定及法律法规要求。

（二