2026年教育培训隐私合规合同

2026年教育培训隐私合规合同合同编号：__________

2026年教育培训隐私合规合同

第一章总则

第一条定义

1.1本合同所称“教育培训机构”（以下简称“机构”）系指提供各类教育培训服务的企业、事业单位、社会团体及其他组织。

1.2本合同所称“教育培训服务”系指机构为受教育者提供的知识传授、技能培养、素质提升等教育类服务。

1.3本合同所称“受教育者”系指接受机构教育培训服务的自然人。

1.4本合同所称“个人信息”系指能够单独或者与其他信息结合识别特定自然人的各种信息，包括但不限于姓名、身份证号码、联系方式、家庭住址、财务信息、健康状况等。

1.5本合同所称“隐私政策”系指机构制定并公示的关于个人信息收集、使用、存储、传输、删除等事项的具体规则。

第二条合同目的

2.1本合同旨在明确机构与受教育者之间在教育培训服务过程中个人信息的处理边界，保障受教育者的个人信息权益，维护教育培训市场的良好秩序。

2.2机构承诺在提供教育培训服务时，严格遵守国家及地方关于个人信息保护的法律法规，确保受教育者的个人信息安全。

第三条适用范围

3.1本合同适用于机构提供的所有教育培训服务，包括但不限于线上课程、线下培训、实习实训、就业指导等。

3.2本合同所称“服务期间”指受教育者接受教育培训服务的起止时间，包括但不限于课程报名、学习过程、结业考核、后续服务等环节。

第二章个人信息的收集与使用

第四条个人信息的收集

4.1机构仅在提供服务所必需的范围内收集受教育者的个人信息，并明确告知受教育者收集信息的目的、方式和范围。

4.2机构通过以下方式收集受教育者的个人信息：

4.2.1受教育者主动提供的注册信息，包括但不限于姓名、身份证号码、联系方式、教育背景等；

4.2.2受教育者参与教育培训活动时自行或他人提供的其他信息；

4.2.3通过第三方平台获取的经受教育者授权的个人信息。

4.3机构不得以不正当手段非法获取受教育者的个人信息，不得通过欺骗、胁迫等手段强制收集信息。

第五条个人信息的使用

5.1机构使用受教育者的个人信息必须符合本合同约定，不得超出收集目的的范畴，不得将信息用于任何非法目的。

5.2机构在以下情形下可使用受教育者的个人信息：

5.2.1提供教育培训服务所必需的，如课程安排、教学管理、成绩评定等；

5.2.2维护教育培训秩序所必需的，如处理投诉、纠纷、违约行为等；

5.2.3法律法规规定的其他情形。

5.3机构在提供服务过程中，不得将受教育者的个人信息用于商业广告、产品推广等与教育培训无关的事项，除非获得受教育者的明确同意。

第三章个人信息的保护与管理

第六条个人信息的保护措施

6.1机构应当建立健全个人信息保护制度，采取必要的技术和管理措施，确保受教育者的个人信息安全。

6.2机构采取的保护措施包括但不限于：

6.2.1建立完善的访问控制机制，限制对个人信息的访问权限；

6.2.2采用加密技术存储、传输个人信息，防止信息泄露、篡改或丢失；

6.2.3定期进行安全风险评估，及时修复安全漏洞；

6.2.4对处理个人信息的工作人员进行保密培训，确保其具备必要的个人信息保护意识和技能。

6.3机构应当制定应急预案，应对个人信息泄露、丢失等突发事件，并及时通知受影响的受教育者。

第七条个人信息的存储与传输

7.1机构仅在提供服务所必需的时间内存储受教育者的个人信息，不得长期保留无关信息。

7.2机构在存储、传输个人信息时，应当采取严格的安全措施，防止信息泄露、篡改或丢失。

7.3机构将个人信息传输至第三方的，应当与第三方签订书面协议，明确其保护责任和义务，并监督其履行情况。

第四章个人信息的披露与删除

第八条个人信息的披露

8.1机构未经受教育者明确同意，不得向任何第三方披露其个人信息，但法律法规另有规定的除外。

8.2机构在以下情形下可披露受教育者的个人信息：

8.2.1获得受教育者的明确同意；

8.2.2维护教育培训秩序所必需的，如向教育主管部门报告违规行为；

8.2.3法律法规规定的其他情形。

8.3机构向第三方披露个人信息的，应当事先告知受教育者披露的内容、目的、范围和期限，并征得其同意。

第九条个人信息的删除

9.1受教育者有权要求机构删除其个人信息，机构应当在收到删除请求后及时响应并执行。

9.2机构在以下情形下应当删除受教育者的个人信息：

9.2.1受教育者要求删除；

9.2.2机构不再提供服务；

9.2.3法律法规规定的其他情形。

9.3机构在删除个人信息前，应当对删除的必要性进行评估，并保存必要的记录以备查验。

第五章违约责任与争议解决

第十条违约责任

10.1机构违反本合同约定，侵害受教育者个人信息权益的，应当承担相应的违约责任。

10.2机构承担违约责任的方式包括但不限于：

10.2.1停止侵害；

10.2.2赔偿损失；

10.2.3公开道歉；

10.2.4被责令改正、罚款等行政处罚。

10.3受教育者因机构违约行为遭受损失的，有权要求机构赔偿，赔偿范围包括但不限于直接损失、间接损失、精神损害抚慰金等。

第十一条争议解决

11.1本合同双方在履行过程中发生争议的，应当协商解决；协商不成的，可以提交仲裁委员会仲裁或依法向人民法院提起诉讼。

11.2仲裁地点为合同签订地或机构所在地；诉讼地点以受理法院所在地为准。

11.3双方在争议解决期间，应当继续履行本合同约定的其他义务，不得因此中断或解除合同。

第六章附则

第十二条合同的变更与解除

12.1本合同的变更，须经双方协商一致并签订书面补充协议。

12.2任何一方未经对方同意擅自变更本合同的，其变更无效。

12.3出现下列情形之一的，本合同可以解除：

12.3.1双方协商一致解除；

12.3.2因不可抗力导致合同目的无法实现的；

12.3.3一方严重违约，致使合同目的无法实现的。

第十三条生效与解释

13.1本合同自双方签字盖章之日起生效。

13.2本合同未尽事宜，由双方协商解决；协商不成的，适用中华人民共和国法律。

13.3本合同一式两份，双方各执一份，具有同等法律效力。

第十四条其他

14.1本合同所称“不可抗力”系指不能预见、不能避免并不能克服的客观情况，包括但不限于自然灾害、战争、政府行为等。

14.2本合同所称“第三方”系指除本合同双方之外的任何组织或个人。

14.3本合同所称“书面形式”包括但不限于合同书、信件、电报、传真、电子邮件等可以有形地表现所载内容的形式。

14.4本合同未尽事宜，由双方另行协商解决。

（以下无正文）

###特殊应用场景一：在线教育平台

**应用场景说明：**在线教育平台在收集学员信息时，通常需要收集更多元化的信息，如学习习惯、行为数据等，且信息收集与使用过程更为复杂。此时，合同需特别强调对学员学习行为数据的处理规范，确保符合《个人信息保护法》等相关法律法规。

**需要注意的条款及修正：**

1.**第四条第四款**：需增加对学员学习行为数据的收集说明，明确收集目的、方式和范围，并增加对数据脱敏处理的约定。

2.**第五条第二项**：需增加对学员学习行为数据的使用限制，如不得用于精准营销等商业用途，除非获得学员明确同意。

3.**第六条第二项**：需增加对学员学习行为数据的加密存储和传输措施，确保数据安全。

###特殊应用场景二：校企合作实习实训

**应用场景说明：**校企合作实习实训中，实习生个人信息可能涉及学校和企业双重管理，且实习过程中可能涉及更多敏感信息。此时，合同需明确双方在实习生个人信息保护方面的责任划分，确保实习生权益得到充分保障。

**需要注意的条款及修正：**

1.**第三条第三款**：需增加对校企合作实习实训的适用范围说明，明确双方责任。

2.**第四条第四款**：需增加对实习生实习期间敏感信息（如实习表现、实习评价等）的收集说明，明确收集目的、方式和范围。

3.**第七条第二款**：需增加对实习生个人信息传输至第三方（如实习单位）的约定，明确传输目的、方式和范围，并要求第三方签订书面协议，确保信息安全。

###特殊应用场景三：国际教育培训项目

**应用场景说明：**国际教育培训项目中，学员个人信息可能涉及跨境传输，需遵守相关国际法律法规，如GDPR等。此时，合同需特别强调跨境传输的合规性，确保符合相关法律法规。

**需要注意的条款及修正：**

1.**第四条第四款**：需增加对国际教育培训项目学员个人信息跨境传输的说明，明确传输目的、方式和范围，并要求遵守相关国际法律法规。

2.**第七条第三款**：需增加对跨境传输的合法性评估和必要性的说明，确保传输符合法律法规要求。

3.**第十一条第二项**：需增加对跨境传输争议解决方式的约定，如选择仲裁机构时需考虑国际仲裁规则。

###特殊应用场景四：职业教育与技能培训

**应用场景说明：**职业教育与技能培训中，学员个人信息可能涉及职业资格认证、就业推荐等敏感信息。此时，合同需特别强调对敏感信息的保护，确保符合《职业教育法》等相关法律法规。

**需要注意的条款及修正：**

1.**第四条第四款**：需增加对职业资格认证、就业推荐等敏感信息的收集说明，明确收集目的、方式和范围。

2.**第五条第二项**：需增加对职业资格认证、就业推荐等敏感信息的使用限制，如不得用于非法目的，除非获得学员明确同意。

3.**第六条第二项**：需增加对职业资格认证、就业推荐等敏感信息的加密存储和传输措施，确保数据安全。

###特殊应用场景五：儿童教育培训

**应用场景说明：**儿童教育培训中，学员个人信息涉及未成年人，需遵守《未成年人保护法》等相关法律法规，确保未成年人权益得到充分保障。此时，合同需特别强调对未成年人个人信息的保护，确保符合相关法律法规。

**需要注意的条款及修正：**

1.**第四条第四款**：需增加对儿童教育培训项目中未成年人个人信息的收集说明，明确收集目的、方式和范围，并增加对监护人同意的约定。

2.**第五条第二项**：需增加对未成年人个人信息的使用限制，如不得用于与教育培训无关的商业用途，除非获得监护人明确同意。

3.**第六条第二项**：需增加对未成年人个人信息的加密存储和传输措施，确保数据安全。

##实际操作过程中遇到的相关问题及注意事项

1.**问题：学员信息收集不全，影响服务提供。**

**解决办法：**在合同中明确收集信息的必要性，并增加对学员不提供必要信息的后果说明。同时，可设置分阶段收集信息的方式，逐步完善学员信息。

2.**问题：学员个人信息泄露。**

**解决办法：**在合同中明确机构的保护责任，并增加对信息泄露的赔偿责任。同时，机构应定期进行安全评估，采取必要的技术和管理措施，确保信息安全。

3.**问题：学员对个人信息处理有异议。**

**解决办法：**在合同中明确学员的异议处理机制，如设立专门的个人隐私保护部门，负责处理学员的异议和投诉。同时，机构应及时响应学员的异议，并采取有效措施解决问题。

4.**问题：跨境传输个人信息不符合法律法规。**

**解决办法：**在合同中明确跨境传输的合法性评估和必要性，并要求机构遵守相关国际法律法规。同时，机构应定期进行合规性审查，确保跨境传输符合法律法规要求。

5.**问题：学员个人信息使用超出约定范围。**

**解决办法：**在合同中明确个人信息的使用限制，并增加对违规使用的赔偿责任。同时，机构应加强内部管理，确保个人信息使用符合合同约定。

##原始合同所需要的所有详细的附件

1.**附件一：个人信息收集清单**

-详细列出机构收集的个人信息类型、收集目的、收集方式等。

2.**附件二：个人信息使用清单**

-详细列出机构使用个人信息的目的、方式、范围等。

3.**附件三：个人信息保护政策**

-详细说明机构采取的保护措施，如加密存储、访问控制等。

4.**附件四：个人信息删除政策**

-详细说明机构删除个人信息的条件、流程等。

5.**附件五：跨境传输协议**

-详细说明跨境传输的合法性评估、必要性等，并附相关国际法律法规的复印件。

6.**附件六：监护人同意书（适用于儿童教育培训）**

-监护人签署的同意书，同意机构收集、使用、保护未成年人的个人信息。

多方为主导时的，附件条款及说明

第二十一条多方主导情形下的定义与识别

21.1本合同所称“多方主导”指在教育培训服务提供过程中，存在多个合同主体（以下简称“多方主体”）共同或分别对教育培训服务的某个或多个环节具有主导权或决策权，其中至少一方为主导方，负责主要的组织、协调或资源投入。

21.2多方主导情形下，主导方对受教育培训者（以下简称“受教育者”）个人信息的收集、使用、存储、传输等行为具有主要责任，但非主导方亦需根据其在服务链条中的具体角色和实际行为承担相应的配合与保护义务。

21.3识别主导方应综合考虑以下因素：

21.3.1投资比例或资源投入规模；

21.3.2对服务内容、流程、标准的制定和控制权；

21.3.3对受教育者的直接管理和接触程度；

21.3.4法律法规或行业惯例的特定规定。

第二十二条甲方为主导时的附加条款及说明

22.1附加条款：主导信息处理者的识别与责任分配

22.1.1在甲方为主导的多方合作模式下，甲方（以下简称“主导方”）应识别并明确所有参与服务提供的相关多方主体（包括但不限于合作机构、第三方服务提供商等）中承担个人信息处理主要责任的“主导信息处理者”。

22.1.2主导信息处理者应依据本合同及相关法律法规，制定并实施统一的个人信息处理政策，确保所有参与服务提供的多方主体在个人信息处理活动中保持一致性，并接受甲方的监督与管理。

22.1.3主导信息处理者对受教育者个人信息的收集、使用、存储、传输等行为承担首要的合规责任，甲方对主导信息处理者的合规表现承担管理责任，包括但不限于对主导信息处理者的选择、监督、考核及违约行为的追责。

22.2说明：

22.2.1本条款旨在明确多方主导模式下，甲方作为主导方，对整个服务链条中个人信息处理的最终责任和管理责任。通过识别并指定主导信息处理者，可以避免责任分散导致的监管真空，确保个人信息保护措施的有效实施。

22.2.2主导信息处理者的职责不仅限于自身的行为，还包括对其下属或委托的第三方服务提供商的个人信息处理活动进行监督和管理，确保其遵守本合同及适用的法律法规。

22.2.3甲方通过制定统一政策、选择合规的主导信息处理者、进行定期监督和考核等方式，履行管理责任，有助于降低因多方主体行为不一致而引发的个人信息保护风险。

22.3附加条款：主导方在数据主体权利行使中的协调义务

22.3.1在甲方为主导的多方合作模式下，如受教育者行使其对本合同项下个人信息所享有的访问权、更正权、删除权、限制处理权、撤回同意权等权利（以下简称“数据主体权利”），甲方应负责协调所有相关多方主体配合受教育者的权利行使。

22.3.2甲方应在收到受教育者的权利行使请求后，根据其与各方主体的约定，及时将请求转达给相应的处理者，并监督处理者在合理期限内响应并完成处理。

22.3.3处理者在响应受教育者的权利行使请求时，应向甲方反馈处理结果，甲方负责将处理结果告知受教育者。

22.4说明：

22.4.1本条款旨在保障受教育者在多方主导模式下的数据主体权利行使便利性。由于涉及多个主体，甲方作为主导方，有义务确保受教育者的权利请求能够顺畅地传递到每个相关的处理者，并得到及时有效的处理和反馈。

22.4.2甲方通过建立内部协调机制、明确各方主体的响应时限和反馈要求，可以确保受教育者的权利请求得到高效处理，提升受教育者的体验和满意度。

22.4.3协调义务不仅包括请求的转达，还包括对处理者行为的监督，确保其处理结果符合法律法规和本合同的要求。

22.5附加条款：主导方对个人信息安全事件的统一管理责任

22.5.1在甲方为主导的多方合作模式下，如发生涉及受教育者个人信息的泄露、丢失、篡改等安全事件（以下简称“安全事件”），甲方应负责建立统一的应急响应机制，协调所有相关多方主体共同参与事件的处置。

22.5.2甲方应负责确定安全事件的响应指挥体系，指定专门的负责人负责统筹协调各方资源，制定并执行事件处置方案，包括但不限于评估事件影响、采取措施防止事件扩大、通知受影响的受教育者、向监管部门报告等。

22.5.3甲方应定期组织所有相关多方主体进行安全事件应急演练，提升协同处置能力，并定期评估应急响应机制的有效性，进行必要的修订和完善。

22.6说明：

22.6.1本条款旨在明确多方主导模式下，甲方作为主导方，在个人信息安全事件发生时的统一指挥和协调责任。通过建立统一的管理体系，可以确保各方主体能够迅速响应、协同行动，最大限度地降低安全事件对受教育者权益和机构声誉造成的损害。

22.6.2统一管理责任包括但不限于应急指挥、资源协调、方案执行、影响评估、通知报告、演练评估等多个方面，确保事件处置的全面性和有效性。

22.6.3定期演练和评估机制有助于检验应急响应体系的有效性，及时发现并弥补潜在问题，提升机构的整体安全防护能力。

第二十三条乙方为主导时的附加条款及说明

23.1附加条款：主导方在数据处理活动中的合规主导权

23.1.1在乙方为主导的多方合作模式下，乙方（以下简称“主导方”）应确保其在数据处理活动中承担主要的合规责任，包括但不限于制定数据处理规范、选择合规的合作伙伴、对数据处理活动进行监督和审计等。

23.1.2主导方应有权审查所有参与服务提供的多方主体处理个人信息的合法性基础、处理目的、方式、范围等，确保其符合本合同及相关法律法规的要求。

23.1.3如发现任何多方主体存在违反本合同或适用法律法规的行为，主导方应有权要求其立即停止违规行为，并进行整改；如违规行为严重或拒不整改，主导方应有权解除与该方的合作关系，并采取必要措施降低风险。

23.2说明：

23.2.1本条款旨在明确乙方作为主导方，在数据处理活动中的合规主导权。通过赋予主导方审查、监督和纠正的权力，可以确保整个服务链条的数据处理活动始终处于合规的轨道上。

23.2.2主导权的行使不仅限于自身，还包括对合作伙伴的约束和管理。主导方通过审查合作方的合规性，可以有效预防因合作方违规行为而引发的法律风险和声誉损失。

23.2.3解除合作和采取必要措施的规定，为主导方提供了有效的风险控制手段，确保其在合作过程中能够维护自身的利益和受教育者的权益。

23.3附加条款：主导方在数据传输出境中的决策与保障责任

23.3.1在乙方为主导的多方合作模式下，如需将受教育培训者的个人信息传输至境外（以下简称“数据传输出境”），乙方作为主导方应负责确保数据传输出境行为的合法性，并承担主要的保障责任。

23.3.2主导方应负责评估数据传输出境的必要性、合理性及风险，选择符合《个人信息保护法》等相关法律法规要求的传输机制（如标准合同、认证机制、安全评估等），并确保符合输入国的数据保护要求。

23.3.3主导方应与境外接收者签订书面协议，明确其保护责任和义务，并监督其履行情况。主导方应采取必要措施保障境外接收者的合规性，如定期审计、要求其提供合规证明等。

23.4说明：

23.4.1本条款旨在明确乙方作为主导方，在数据传输出境中的决策和保障责任。由于数据传输出境涉及跨境法律适用、数据保护标准差异等问题，主导方需要承担起主要的评估、决策和保障责任，确保数据传输出境行为的合规性。

23.4.2主导方通过评估、选择合规的传输机制、签订约束性协议、采取监督措施等方式，可以有效控制数据传输出境的风险，保障受教育者个人信息的权益。

23.4.3本条款强调了主导方在数据传输出境中的主动性和责任感，有助于规范多方主导模式下的跨境数据传输活动。

23.5附加条款：主导方对数据主体权利行使的最终答复责任

23.5.1在乙方为主导的多方合作模式下，如受教育者行使其对本合同项下个人信息所享有的数据主体权利，但各方主体之间对权利行使的响应存在争议或无法达成一致，乙方作为主导方应承担最终的答复责任。

23.5.2主导方应在收到争议或无法达成一致的反馈后，基于本合同及相关法律法规，对受教育者的权利行使请求做出最终决定，并书面通知受教育者及争议相关方。

23.5.3主导方的最终答复应具有约束力，各方主体应遵照执行。

23.6说明：

23.6.1本条款旨在明确乙方作为主导方，在数据主体权利行使争议中的最终决定权。通过设立最终答复责任，可以避免因多方主体意见不一致而导致受教育者的权利请求长期无法得到解决的情况。

23.6.2主导方的最终答复责任体现了其在多方合作中的主导地位，有助于确保数据主体权利行使的效率和公正性。

23.6.3本条款强调了主导方答复的约束力，确保其最终决定能够得到有效执行，维护受教育者的合法权益。

第二十四条当有第三方中介时，增加的多项条款及说明

24.1附加条款：第三方中介的定位与职责界定

24.1.1本合同项下的第三方中介（以下简称“中介方”）仅作为连接甲方、乙方及其他多方主体，提供信息传递、资源协调、流程管理等服务，中介方本身不作为主导方参与教育培训服务的核心提供。

24.1.2中介方在服务过程中收集、处理的个人信息仅限于履行其自身职责所必需的最小范围，不得超出其服务协议的约定，并应采取与处理目的相适应的安全保护措施。

24.1.3中介方应确保其提供的服务的合规性，配合甲方、乙方及其他多方主体履行个人信息保护义务，包括但不限于协助进行信息传递、提供服务记录、配合监管部门调查等。

24.2说明：

24.2.1本条款旨在明确中介方在多方合作中的定位和职责。通过界定中介方不作为主导方，可以避免其在服务链条中承担不必要的责任，专注于其自身的中介服务功能。

24.2.2最小必要原则的要求，旨在限制中介方对个人信息的处理范围，防止其过度收集或滥用个人