2026年人力资源数据安全合同协议

2026年人力资源数据安全合同协议本合同由以下双方于2026年[具体日期]在[地点]签订：甲方：[雇主公司名称]法定代表人/授权代表：[姓名]地址：[公司注册地址]统一社会信用代码：[公司代码]乙方：[数据处理者公司名称/个人姓名]法定代表人/授权代表/本人：[姓名]地址：[个人或公司地址]统一社会信用代码/身份证号：[公司代码或个人证件号码]（以下简称“甲方”和“乙方”）鉴于甲方在人力资源管理活动中需要处理人力资源数据，并已选择乙方作为其数据处理者/合作伙伴；鉴于双方希望依据适用的数据保护法律和本协议约定，明确在人力资源数据处理过程中的权利、义务和责任，特别是数据安全保护方面；双方经友好协商，达成如下协议：第一条定义1.1人力资源数据：指在甲方的人力资源管理活动中收集、处理或持有的，能够单独或与其他信息结合识别特定自然人的各种信息，包括但不限于个人信息（如姓名、身份证号、护照号、联系方式、住址、银行账户信息等）、健康信息、工作记录、绩效评估、薪酬福利信息、背景调查信息、培训记录、离职信息等。1.2数据处理者：在本协议中，指乙方，即根据甲方授权，为其处理人力资源数据的第三方服务商。1.3数据处理活动：指为达到数据处理目的而进行的所有操作，包括但不限于收集、记录、存储、访问、使用、修改、传输、披露、删除或与其他数据结合、匿名化等。1.4数据主体：指人力资源数据的所有者，即被甲方或乙方收集和处理信息的员工、候选人、前员工或其他相关个人。1.5安全措施：指为保护人力资源数据而采取的技术性、组织性和管理性的安全措施，包括物理安全、网络安全、系统安全、应用安全、数据加密（传输中和存储时）、访问控制（基于角色和职责）、安全审计、漏洞管理、数据备份与恢复、人员安全意识培训、制定和实施数据泄露应急响应计划等。1.6数据泄露：指未经授权或违反法律规定，导致人力资源数据被非法获取、泄露、丢失或被未经授权的第三方访问、使用或披露。1.7保密信息：指双方在合作过程中接触到的、标有“保密”或根据其性质应合理理解为保密的所有信息，包括但不限于本协议内容、甲方的商业计划、客户信息、财务数据、人力资源政策、员工个人信息、乙方的技术秘密、安全架构细节、项目方案等。第二条数据处理的目的和范围2.1甲方授权乙方为其处理人力资源数据，处理目的包括但不限于：协助甲方进行招聘、入职、在职管理、绩效评估、薪酬福利管理、培训发展、员工关系维护、离职管理、遵守劳动法规、内部审计、背景调查、薪酬数据分析等与甲方人力资源管理相关的合法业务活动。2.2乙方的数据处理活动必须严格限定在甲方授权的目的和范围内，不得超出授权范围使用或处理人力资源数据。2.3甲方有权根据业务需要，合理变更数据处理的目的和范围，但应提前[例如：十五个工作日]书面通知乙方。乙方应在合理范围内配合甲方的变更。第三条甲方的权利与义务3.1甲方确保其处理人力资源数据的行为具有合法依据，包括但不限于获得数据主体的明确同意（如适用）、履行劳动合同所必需、法律法规规定的义务、为保护数据主体或其他个人的重大利益所必需、公共利益或合法正当利益所必需，且处理目的明确、具体、合法。3.2甲方应仅收集与其处理目的相关的、实现目的所必需的最少人力资源数据。3.3甲方应向乙方明确授权处理人力资源数据的范围、目的和方式，并确保乙方具备履行相应职责所需的法律资格和能力。3.4甲方应采取充分的技术和管理措施，保障人力资源数据的安全，包括但不限于：a)建立访问控制机制，确保只有授权人员才能访问数据；b)对存储和传输的数据进行加密；c)定期进行安全漏洞扫描和风险评估；d)监控数据处理活动，并保留相关日志；e)对接触人力资源数据的甲方员工进行数据安全和隐私保护的培训和监督；f)建立数据泄露应急响应预案并进行演练。3.5甲方应确保数据主体能够有效行使其在适用法律下享有的关于其个人信息的权利，包括访问权、更正权、删除权（被遗忘权）、限制处理权、数据可携带权等。甲方应建立内部流程，及时响应和处理数据主体的权利请求，并告知乙方相关请求的处理情况。3.6甲方应就其处理人力资源数据的行为，向数据主体履行适用法律规定的告知义务，告知内容应包括处理目的、数据类别、存储期限、安全措施、数据主体的权利行使方式等。3.7在发生或怀疑发生影响个人权利的数据泄露事件时，甲方应在适用法律规定的时限内，及时采取补救措施，评估泄露影响，并按照法律法规要求及本协议约定，通知乙方、受影响的数据主体（如必要）和相关监管机构。3.8甲方应监督乙方的数据处理活动，确保乙方遵守本协议的约定和适用的法律法规。3.9甲方应要求其员工、合作伙伴等第三方对人力资源数据承担保密义务，并确保他们遵守甲方的数据安全要求。3.10甲方在终止本协议时，应至少提前[例如：三十日]书面通知乙方，并确保完成所有必要的数据返还、删除或转移工作，或根据乙方要求提供书面证明。第四条乙方的权利与义务4.1乙方同意仅为履行本协议约定的甲方授权目的而处理人力资源数据，不得将数据用于任何其他目的。4.2乙方应将其处理甲方人力资源数据的行为视为其自身的处理活动，并承担由此产生的所有法律责任和义务。4.3乙方应按照甲方的授权范围和指示，以及适用的法律法规要求，安全地执行数据处理活动。4.4乙方应采取不低于行业标准且甲方认可的、适合其处理活动复杂性和风险的安全措施，保障甲方人力资源数据的安全。具体措施应包括但不限于：a)建立严格的数据安全管理制度和操作规程；b)实施严格的访问控制策略，遵循最小权限原则；c)对所有访问人力资源数据的员工进行背景审查和保密协议签署；d)定期对员工进行数据安全和隐私保护的培训；e)对传输和存储的数据进行加密；f)部署必要的技术防护措施，如防火墙、入侵检测/防御系统、安全审计系统等；g)定期进行安全漏洞管理和风险评估；h)建立数据备份和灾难恢复机制；i)监控和记录数据处理活动，并保留至少[例如：六年]的日志记录。4.5乙方应对所有接触甲方人力资源数据的员工、代理人或第三方服务商（如分包商）提出明确要求，确保他们按照本协议和甲方的指示处理数据，并承担保密义务。乙方应对其员工或代理人的行为及不作为承担连带责任。4.6乙方应严格遵守甲方的指示，在发生或可能发生数据泄露时，立即通知甲方，并提供必要的协助，协助甲方进行调查、评估和补救。甲方在评估后，可根据情况决定是否以及如何通知数据主体和监管机构。4.7乙方应建立机制，协助甲方响应数据主体的权利请求，按照甲方的指示，在合法合规的前提下，向数据主体提供相关信息或执行相关操作。4.8乙方应仅在以下情况下披露甲方的人力资源数据：a)事先获得甲方书面同意；b)为履行本协议之目的，需要向履行相关服务的第三方（如云服务提供商、背景调查公司、软件供应商等）披露，且该第三方同意对数据进行保密处理，并承担相应的安全责任；c)适用的法律法规要求或法院/监管机构强制要求披露。4.9乙方应确保其处理人力资源数据的行为符合适用的数据保护法律和本协议的约定，并能够根据甲方的要求提供相关的合规性证明文件。4.10乙方应配合甲方或监管机构就其数据处理活动进行的审计、调查和检查。4.11乙方在终止本协议或其数据处理服务时，应在收到甲方要求后[例如：十五个工作日]内，根据甲方指示，安全地返还所有属于甲方的甲方人力资源数据副本，或根据甲方要求进行安全删除，并出具书面证明。乙方不得保留任何副本，除非法律要求保留。4.12如乙方需要将人力资源数据传输至协议签订地以外的地区，必须事先获得甲方书面的明确同意，并确保该传输符合相关法律法规的要求（如通过充分性认定、标准合同条款、约束性公司规则等安排），并承担由此产生的一切法律责任和风险。第五条数据传输与跨境传输5.1除非获得甲方事先书面的明确同意，否则乙方不得将甲方的人力资源数据传输至中华人民共和国境外。5.2如确需向境外传输，乙方应事先评估接收地的数据保护水平，并采取必要的措施（如使用认证的传输机制）确保数据安全，同时将相关安排和风险告知甲方，由甲方决定是否同意。第六条数据安全事件的响应6.1发生或可能发生数据泄露事件时，乙方应立即启动应急响应预案，采取一切必要措施限制泄露范围，评估泄露的数据类型、影响范围和潜在风险，并在[例如：四小时]内以书面形式通知甲方。6.2甲方应在收到乙方通知后，根据情况评估是否需要以及如何通知数据主体和监管机构，并告知乙方决定。6.3双方应合作进行事件调查，采取措施补救影响，并保存完整的事件记录。双方均有义务配合监管机构的调查。第七条保密条款7.1双方的员工、代理人或第三方服务商均不得泄露本协议内容以及因合作而接触到的任何一方保密信息。7.2未经信息所有者（甲方或乙方）事先书面同意，任何一方不得向任何第三方披露保密信息，但为履行本协议目的、遵守法律法规要求或获得法律顾问意见所必需的披露除外。7.3本保密义务不因本协议的终止而终止，持续有效[例如：本协议终止后三年]。第八条责任限制8.1除非因甲方或乙方故意或重大过失、违反本协议核心条款（如安全措施、数据泄露通知义务、保密义务）导致甲方遭受损失的，否则任何一方不对另一方的任何直接或间接损失、后果性损失、惩罚性损害赔偿、间接损失或后果承担赔偿责任。8.2乙方不对因使用其提供的服务而导致的甲方人力资源数据泄露或丢失承担赔偿责任，但前提是乙方已完全遵守本协议关于安全措施和甲方指示的所有义务。8.3各方的总赔偿责任以本协议签订时甲方已支付给乙方的费用为限（如有）。第九条合同期限、变更与终止9.1本协议自双方授权代表签字并加盖公章（或合同专用章）之日起生效，有效期为[例如：一年]。期满前[例如：一个月]，如双方无书面异议，本协议自动续展[例如：一年]，续展次数不限/续展次数不超过[例如：两次]。9.2任何一方可提前[例如：三十日]书面通知对方，经协商一致后可变更或解除本协议。9.3如甲方或乙方严重违反本协议约定，特别是违反数据安全措施、数据泄露通知义务、保密义务等核心条款，守约方有权书面通知违约方限期纠正。违约方在收到通知后[例如：十五日]内仍未纠正的，守约方有权单方面解除本协议，并要求违约方承担相应的违约责任。9.4本协议的终止不影响其中关于保密、数据返还/删除、知识产权、责任限制、法律适用与争议解决等条款的效力。双方应确保在协议终止后，按照约定完成数据返还或删除，并履行其他清理义务。第十条数据返还、删除与保留10.1甲方有权要求乙方在任何时候删除或返还其持有的甲方人力资源数据，乙方应在收到甲方要求后[例如：十五个工作日]内完成。10.2除非适用的法律法规要求乙方必须保留某些人力资源数据，或双方另有书面约定，否则在本协议终止时，乙方应根据甲方的指示，安全地删除或返还所有属于甲方的甲方人力资源数据。10.3双方均应根据其内部管理需要和适用法律法规的要求，确定各自需要保留人力资源数据的最低期限。第十一条违约责任11.1任何一方违反本协议的约定，应承担相应的违约责任，包括但不限于赔偿由此给对方造成的直接经济损失。11.2若因乙方违反本协议的安全措施要求、数据泄露通知义务、保密义务等，导致甲方遭受损失的，乙方应承担赔偿责任。11.3若因甲方违反其数据处理合法性依据的要求，或超出授权范围使用数据，导致乙方遭受损失的，甲方应承担赔偿责任。11.4双方均应承担因其违反保密义务而给对方造成的损失。第十二条不可抗力12.1因地震、台风、洪水、火灾、战争、恐怖袭击、罢工、政府行为、法律变更等不可预见、不能避免且不能克服的不可抗力事件，导致任何一方无法履行或无法完全履行本协议的部分或全部义务时，受影响方不承担违约责任。12.2遭遇不可抗力的一方应在事件发生后[例如：七日]内书面通知另一方，并提供相关证明文件，说明事件的影响以及预计持续的时间。12.3双方应根据不可抗力的影响，协商决定是否延期履行、部分履行或解除本协议。第十三条法律适用与争议解决13.1本协议的订立、效力、解释、履行及争议解决均适用中华人民共和国法律。13.2因本协议引起的或与本协议有关的任何争议，双方应首先通过友好协商解决。协商不成的，任何一方均有权将争议提交至[甲方所在地有管辖权的人民法院]通过诉讼解决/提交至[指定仲裁委员会名称，例如：中国国际经济贸易仲裁委员会]按照其届时有效的仲裁规则进行仲裁，仲裁裁决是终局的，对双方均有约束力。第十四条通知与送达14.1与本协议相关的所有通知、请求、要求或其他通讯，均应以书面形式，通过专人递送、挂号信、传真或双方确认的电子邮件地址发送至本协议首页载明的地址或邮箱。14.2通知在以下时间视为送达：a)专人递送：当专人将通知交付给收件人时；b)挂号信：寄出后[例如：三]日；c)传真：发送成功后；d)电子邮件：发送成功后，除非发送方收到收件人的确认通知说明邮件未成功送达。第十五条完整协议15.1本协议构成双方就人力资源数据安全合作达成的完整协议，取代双方此前就此达成的所有口头或书面的协议、谅解和承诺。15.2对本协议的任何修改或补充，均需经双方授权代表签字并加盖公章（或合同专用章）后生效。第十六条可分割性16.1若本协议任何条款被有管辖权的人民法院或仲裁机构认定为无效、非法或不可执行，不影响其他条款的效力。双方应协商替换为内容最接近、合法有效的条款。第十七条