搜索

Prometric全球隐私政策

语言免责声明:
本政策以多种语言提供以方便使用。如翻译版本与英文版本之间存在任何差异或冲突,应以英文版本为官方和控制政策。

最后更新:2026年1月

介绍

Prometric LLC,包括Paragon及其其他全球子公司和附属公司(以下统称为“公司”、“我们”或“我们的”)可能会根据与您(数据主体)的关系担任数据控制者或数据处理者。

本隐私政策(以下简称“政策”)描述了我们对测试候选人、客户、承包商和合作伙伴(以下称为“数据主体”、“您”或“您的”)的个人数据的收集和处理。

公司努力遵守公司运营所在地区的所有数据保护法律法规,包括但不限于2016年4月27日欧盟议会和理事会第2016/679号条例(关于自然人处理个人数据及该数据自由流动的保护,并废除第95/46/EC号指令(通用数据保护条例))(“GDPR”); 2018年加利福尼亚消费者隐私法案(“CCPA”),以及2020年加利福尼亚隐私权法案(“CPPA”)的修订;中华人民共和国个人信息保护法(“PIPL”);儿童在线隐私保护法案(“COPPA”);家庭教育权隐私法(“FERPA”);以及其他相关的数据保护法律法规。

作为其认证的一部分,公司遵守欧盟-美国数据隐私框架(EU-U.S. DPF)、英国对欧盟-美国数据隐私框架的扩展和瑞士-美国数据隐私框架(Swiss-U.S. DPF)及欧盟、英国和瑞士数据主体的权利。因此,公司受美国联邦贸易委员会(FTC)的调查和执法权力的约束。

除非另有说明,以下定义适用于本政策:

  • “适用法律”是指与数据保护相关的相关国家、州或地区的数据保护法或适用的法规。
  • “个人数据”是指与已识别或可识别的自然人(“数据主体”)相关的任何信息。
  • “处理”是指对个人数据或个人数据集进行的任何操作或一组操作,无论是通过自动化手段还是非自动化手段,包括收集、记录、组织、结构化、存储、调整或修改、检索、咨询、使用、通过传输、传播或以其他方式提供、对齐或组合、限制、删除或销毁。
  • “监督机构”或“监督机构们”是指数据保护机构或机构,作为独立公共机构,由政府机构建立,负责在特定管辖区内监测和/或执行数据保护法律法规。

1. 我们收集哪些类型的个人数据?

根据您与公司的关系、考试性质、提供的服务以及适用法律的规定,公司可能会收集以下个人数据:

  • 联系信息,包括姓名、地址、电话号码、国家特定身份证号码、电子邮件地址、登录和密码信息
  • 出生日期
  • 出生国家
  • 性别
  • 入学日期(美国)
  • 主要语言
  • 家庭语言
  • 父母/监护人信息
  • 候选人测试和课程安排详情
  • 测试评估详情,包括测试候选人ID号码、考试时间和结果、与这些考试相关的分数、考试或任何特定部分的考试次数
  • 行为事件
  • 干预措施
  • 出勤情况
  • 评估结果
  • 在测试赞助商要求的情况下,候选人的社会安全号码(美国)
  • 支付和金融机构信息
  • 居住地和国籍
  • 照片
  • 签名
  • 视频录音
  • 音频录音(在适用法律允许的情况下,仅限于特定管辖区)
  • 来自身份证明、验证或资格文件的信息
  • 交易和关系信息,包括揭示候选人测试模式、测试地点、测试结果的信息,以及关于我们网站和应用程序使用情况的信息
  • 凭证/优惠券信息

此外,公司可能会处理特殊类别的个人数据,按照适用法律的允许,可能包括:

  • 生物特征(指纹和面部图像)
  • 与测试候选人对测试便利请求相关的健康信息或医疗数据
  • 种族或民族,按照适用法律的允许

公司不会将特殊类别的个人数据用于与其最初收集目的或随后经数据主体授权的目的不同的用途,除非我们已收到您的明确同意(选择加入)。

我们的一些考试可能要求测试现场管理员扫描您的身份证明文件的复印件,记录您的签名并拍摄您的照片以用于身份识别,这些信息将直接存储在公司的数据库中。

未成年人的个人数据

公司不会在未获得未成年人父母或法定监护人同意的情况下,故意收集与未成年人相关的个人数据。公司期望未成年人的父母或法定监护人监督和监控他们的孩子向公司及其代表披露个人数据。

如有必要,我们协助学校履行其根据FERPA的义务。公司为学生(包括未成年人)提供有限的功能和网站体验。本政策中的任何内容都不旨在削弱任何学生(或其父母或法定监护人)在其教育记录方面的权利。公司特别同意不违反FERPA披露任何教育记录中的个人数据,不将这些信息用于任何销售、营销、广告或其他禁止的目的。

公司从教育机构获取创建学生账户所需的最少信息,通常包括电子邮件、密码、名字和姓氏以及学生老师提供的唯一课堂代码。除了这些信息,学生还可以根据分配给他们的活动提交回应,这些回应将在老师和学生之间保持机密,仅用于学校/老师的目的。除了学生输入的信息外,我们还会自动收集与我们服务使用相关的信息。

公司不会积累任何学生(包括未成年人)或家庭的个人数据用于分发、共享或销售,除非本政策中另有说明。没有任何学生的个人资料会对公众或其他学生公开或可见。教师可以与他们在学校共同教授的其他教师分享他们的班级,包括成绩或分数,以帮助他们进行协作。

父母权利

公司使注册账户的未成年人的父母和法定监护人能够根据COPPA行使他们的法律权利。

任何希望获取我们可能存储的其子女个人数据副本的父母可以联系其子女的学校人员。在任何时候,学校也可以拒绝允许我们从其学生那里收集进一步的个人数据,并可以要求我们删除我们已从他们那里收集的个人数据。

2. 我们如何收集您的个人数据?

在大多数情况下,公司直接从数据主体收集此类个人数据。 但是,在其他情况下,我们可能会从初级或中级学校、测试赞助商或第三方数据供应商处接收信息。当数据主体访问公司的网站、注册或参加考试、使用我们的应用程序或与我们联系时,我们也会收集用于客户服务目的的交易信息。

我们通过我们的移动应用程序收集的所有个人数据均受到保护,并根据本政策的条款进行处理。我们还仅向选择接收此类通知的用户提供自动(“推送”)通知。任何个人都不需要向我们提供位置信息或启用推送通知即可使用我们的任何移动应用程序。

Cookie的使用

在访问我们的网站时,根据您配置的Cookie设置和同意情况,我们可能会收集有关您使用网站的某些信息,例如您访问网站的日期和时间、您用于访问网站的浏览器、操作系统和设备、您访问的网站页面以及引用和退出网站页面。公司可能会出于各种目的使用该信息,包括管理和改善公司的官方网站以及改进我们的产品和服务。

在适用法律允许和经过您同意的情况下,我们还可能使用信息来识别您的一般位置,以便为您提供服务或相关的营销和上下文广告。公司还收集互联网协议(IP)地址和唯一设备标识符,以便识别我们网站的重复访客并促进您对我们服务的使用。

某些公司网站的用户选择以需要公司收集个人数据的方式与我们互动,以便我们能够提供您请求的服务。我们收集的信息的数量和类型取决于该互动的性质。

需要注意的是,公司的官方网站可能包含指向其他网站或在线服务的链接。当您使用这些链接时,您正在联系另一个网站或服务。公司对这些其他网站或服务及其收集、使用、披露、保留和删除您的个人信息不承担任何责任或义务。请参阅适用于这些其他网站或在线服务的隐私政策和使用条款。

生物识别数据的收集

生物识别启用的签到系统和公司的远程监考平台(称为ProProctor)旨在以保护考试候选人隐私的方式提高考试过程的安全性和完整性,同时确认考试候选人的身份。在考试签到过程中,会拍摄图像,收集面部特征的几何测量,并将其与考试候选人在注册时出示的官方身份证件上的面部图像进行比对。对于ProProctor,面部图像验证将在整个测试过程中使用。

面部识别技术可能还涉及人工智能(AI)的使用。有关Prometric如何使用AI的更多信息,请访问Prometric对负责任AI的承诺

3. 我们为什么收集您的个人数据?

作为我们测试赞助商的代表,公司收集您的个人数据以达到以下目的:

  • 安排测试考试
  • 验证身份
  • 管理账户和管理测试及付款
  • 管理客户服务请求
  • 检测和防止未经授权的候选人欺诈和虚假陈述
  • 进行数据分析以维护测试过程的完整性
  • 向候选人和测试赞助商报告测试结果
  • 进行营销活动(例如公告、新测试、新测试中心、促销、即将举行的活动、新产品、特性和商店开业),遵循适用法律
  • 保护和实施公司的法律权利、利益和救济,并保护公司的业务、运营或客户或其他人的利益,包括执行任何使用条款、服务条款和其他管理访问或使用公司产品和服务的协议
  • 使用网站分析工具(例如Google Analytics)分析访客行为
  • 评估和改善跨平台数字广告活动的表现
  • 培训和测试我们的AI启用技术,遵循适用法律
  • 管理我们的优惠券/代金券计划

对于供应商和其他第三方,我们收集您的个人数据以达到以下目的:

  • 供应商管理和行政
  • 发票处理
  • 了解您的供应商尽职调查和其他法律要求

我们仅向公司的员工、承包商和分包商披露个人数据,这些人:(i)必须访问该信息以便代表我们处理或提供在公司网站和通过我们的移动应用程序上提供的服务;并且(ii)同意不向他人披露该信息。公司不将个人数据出租、出售或交换给任何第三方。

生物识别数据收集的目的

生物识别数据仅用于:(1)在参与当前和未来的评估时,持续验证候选人的身份;(2)检测和防止未经授权的候选人欺诈和虚假陈述;(3)维护测试过程的完整性;(4)提高测试中心和/或测试内容的安全性;以及(5)法律要求的特定许可项目。

如果本政策所涵盖的个人数据将用于与原始收集或随后授权的用途有实质性不同的新用途,或以本政策中未指定的方式向第三方披露,我们将提供机会让您选择是否允许您的个人数据如此使用或披露。要求选择退出此类个人数据的使用或披露的请求应按照下面“如何联系我们”部分中指定的方式发送给公司。

4. 处理您的个人数据的法律依据是什么?

个人数据通常根据以下法律依据收集和处理:

  • 履行合同,包括注册和安排测试、管理该测试以及处理测试结果。
  • 您对收集和处理特殊类别个人数据(包括生物识别个人数据)的同意。
  • 在适用法律要求下,您同意进行跨境数据传输。
  • 出于合法商业目的,例如发票处理和财务账户管理、备份目的以促进业务连续性、测试中心管理、业务规划、合同管理、改善我们提供给客户的测试服务、向现有测试候选人建议相关的服务和产品、网站管理、履行、分析、安全和防止欺诈、公司治理、灾难恢复规划、审计和报告,以及根据适用法律培训和改善我们的人工智能技术。
  • 遵守任何法律或监管义务。

5. 个人数据的披露

可能处理您的个人数据的第三方包括其他公司附属机构、授权测试中心、测试赞助商和作为公司处理者的服务提供商,提供以下服务:数据托管、测试管理服务、业务生产力应用、客户服务支持和客户关系管理软件。

政府机构可能因合法请求而访问个人数据,包括满足国家安全或执法要求。

在适用法律允许的情况下,公司使用网站分析和广告平台来了解用户在我们网站上的行为并投放相关广告。这些平台可能使用Cookie、像素或类似技术来收集有关您与我们网站的互动数据。此信息用于帮助我们衡量活动的有效性、个性化广告内容并增强整体用户体验。此类工具的使用程度将取决于您决定如何配置浏览器上的Cookie设置,您可以通过管理Cookie偏好随时选择退出个性化广告。

生物识别数据仅可披露给测试赞助商、执法机构或其他第三方:  

  • 与涉嫌不当行为相关的调查,仅用于欺诈、未经授权的测试或其他测试考生不当行为的调查。   
  • 与具有管辖权和/或权力提出此类请求的监管、法律或政府机构的合法请求相关。 

我们与第三方服务提供商签订合同,以确保个人数据的处理符合本政策和适用法律要求的任何其他适当的保密和安全措施。  

如果您是欧盟、英国或瑞士的数据主体,我们将您的个人数据转移给上述第三方服务提供商,并为我们或代表我们提供服务,公司对其处理该数据负责,并在他们以与下面提到的DPF原则不一致的方式处理您的个人数据时仍然承担责任,除非我们证明我们对造成损害的事件不负责任。  

6. 我们会保存您的个人数据多久? 

公司已采用全面的记录管理计划和相关的保留时间表,以便于保留、存储和销毁在其业务过程中创建的所有记录,包括包含个人数据的记录。 我们还实施了一项数据管理策略,根据区域定位的数据服务器对数据进行隔离。   

根据客户特定的合同要求和适用法律,我们公司将根据处理的持续时间保留您的个人数据,保留时间以以下较短时间为准:  

  • 自最后一次服务、测试或评估之日起五(5)年;或
  • 收集个人数据的目的到期;或
  • 根据收集个人数据的适用管辖区的法律。  

公司不会将个人数据保留超过上述目的所需的时间。然而,如果需遵守客户特定的合同要求和适用法律,或如有必要保护或行使我们的权利,我们可能会更长时间保留个人数据。 

关于与移民、难民和加拿大公民事务部相关的测试结果,我们根据移民、难民和加拿大公民事务部的要求,保留您的个人数据记录至少十(10)年。关于与澳大利亚签证相关的测试结果,我们根据澳大利亚联邦的要求,保留您的个人数据记录至少七(7)年。 

生物识别数据的存储 

在计算机基础的测试中心收集的所有生物识别数据被安全地传输到公司的安全数据中心,并在美国或欧盟安全存储(具体取决于测试考生的位置),并根据收集地点的适用法律进行保留。  生物识别数据在微软Azure中存储和保护三十(30)天,除了作为我们Paragon测试服务的一部分的生物识别数据,最长保留三年。如果考生的个人数据在与主动安全问题或涉及不当行为的调查中使用,则保留期可能更长。  

7. 个人数据的跨境转移

我们的业务流程通常需要在公司与其附属实体之间进行国际个人数据的转移。  根据您与公司的关系性质以及适用法律,您的个人数据存储在位于美国的安全服务器上。根据您的考试性质和测试地点,公司及其服务提供商可能在美国以外的国家处理个人数据,这些国家可能包括加拿大、墨西哥、印度或位于欧盟或亚洲的国家。   

如果个人数据被披露给第三方或被披露到不被视为根据适用法律提供足够保护水平的国家,则公司将确保:  

  • 实施相关监管机构批准的标准合同条款;
  • 采取适当的组织、技术和法律保障措施,以管理跨境数据转移并确保适用法律下所需和足够的保护水平;
  • 如有必要,将评估转移的情况和第三国的立法,并在需要时完成数据转移影响评估,以确定是否需要实施补充措施。  

关于向美国的跨境数据转移,公司遵守欧盟-美国DPF、英国对欧盟-美国DPF的扩展以及瑞士-美国DPF,如美国商务部所述。 

公司已向美国商务部证明其遵守欧盟-美国数据隐私框架原则(EU-U.S. DPF原则),对于根据欧盟-美国DPF和英国对欧盟-美国DPF的扩展处理自欧盟和英国收到的个人数据。  公司已向美国商务部证明其遵守瑞士-美国数据隐私框架原则(Swiss-U.S. DPF原则),对于根据瑞士-美国DPF处理自瑞士收到的个人数据。 

如果本隐私政策中的条款与欧盟-美国DPF原则和/或瑞士-美国DPF原则之间存在任何冲突,则应以原则为准。要了解有关DPF计划的更多信息,并查看我们的认证,请访问 https://www.dataprivacyframework.gov/

8. 您的权利是什么? 

根据您的位置和适用法律,您可能拥有与您的个人数据相关的以下权利: 

  • 访问权
  • 更正权
  • 删除权
  • 限制处理权
  • 反对处理权
  • 数据可携带权
  • 决定您的个人数据在去世后如何使用的权利 

行使这些权利受适用法律和监管机构相关指导的限制。 

要行使您的权利,您可以按照“如何联系我们”部分中所述与公司联系。请记住,删除记录可能需要我们终止相关账户。在我们完成您的请求之前,公司可能会提出额外问题或采取其他步骤来验证您的身份。如果我们无法满足您的请求(拒绝或限制),我们将以书面形式说明我们的决定。 

根据欧盟-美国数据隐私框架(DPF)、英国对欧盟-美国数据隐私框架的扩展以及瑞士-美国数据隐私框架,公司承诺解决与我们收集和使用您的个人数据相关的DPF原则投诉。  

对于依赖于欧盟-美国数据隐私框架、英国对欧盟-美国数据隐私框架的扩展和瑞士-美国数据隐私框架处理个人数据的欧盟、英国和瑞士数据主体,如有查询或投诉,应首先按照“如何联系我们和投诉处理”部分中所述与公司联系。 

加州隐私权

加州民法第1798节允许加州居民要求与他们建立业务关系的公司提供有关公司与第三方共享个人数据以进行直接营销的某些信息。  公司在未获得同意的情况下,不会将任何加州消费者的个人数据与第三方共享用于营销目的。  如果您是测试候选人,我们将向您的测试赞助商提供您的个人数据,赞助商可以根据其自身的隐私政策使用该信息。 

9. 我们如何保护您的个人数据?

公司采取多种安全措施,例如技术、物理和管理措施,以保护个人数据免受安全事件或未经授权的披露,以及更一般地防止个人数据泄露。这些安全措施被认为是行业内适当的安全标准,包括但不限于,访问控制、密码、加密、严格的删除时间限制、记录机制和定期安全评估。  

如果发生可能影响您个人数据的个人数据泄露,公司将遵循其事件响应计划,并迅速采取适当措施来降低对数据主体的风险。这些措施可能包括通知相关监管机构和受影响的数据主体,同时提供事件和缓解措施的相关细节,如适用法律所要求的那样。 

公司的信息安全计划每年由多个第三方组织审查,以确保其达到或超过可用的最高安全和数据隐私保护标准。此外,员工和承包商有义务及时报告任何已知或怀疑的滥用、丢失或未经授权访问的情况。 

10. 根据中华人民共和国个人信息保护法(“PIPL”)处理个人数据

本节适用于个人数据位于中华人民共和国(PRC)境内或由位于PRC的我们的公司处理时。  

根据PIPL第13条,个人数据可以出于以下目的收集:  

  • 基于个人的同意;
  • 为了履行合同,出于合法的商业利益;
  • 履行法定职责和责任或法定义务;
  • 处理公开可获得的数据;  
  • 满足法律要求。 

根据PIPL第23条所列要求以及第4节中提到的内容,除非有(1)您的具体同意(如适用),或(2)履行适用法律下的法定职责,否则不会将您的个人数据转移和共享给第三方。 

根据本政策规定的目的,个人数据可能会被转移到您居住地以外的国家或地区进行处理。在此情况下,公司将根据适用法律保护个人数据的安全,包括但不限于实施访问控制、密码、加密标准、严格的保留期限时间限制、记录机制和定期安全评估。 

公司将在根据PIPL第39条的要求,在将您的个人数据转移到中国大陆以外之前,充分告知您跨境数据传输的情况,并获得您的同意,告知您以下内容:出境接收方的名称、联系信息、处理的目的、处理的方法、个人数据的类型,并提醒您可以依据PIPL行使权利的方法和程序。我们将请求您的明确和单独的同意来做到这一点。 

如有必要,公司将在个人数据转移出中国大陆的情况下,根据适用法律进行跨境数据转移风险评估。 

根据PIPL,敏感个人数据被定义为一旦泄露或非法使用,可能会对自然人的尊严造成严重伤害或对人身或财产安全造成严重伤害的个人数据,包括生物特征信息、宗教信仰、特别指定身份、医疗健康、财务账户、个人位置跟踪等信息,以及14岁以下未成年人的个人数据。 

根据PIPL和第2节的详细信息,处理敏感个人数据需经数据主体的单独同意,并且用于特定的与业务相关的目的。  

Prometric不会在未获得父母或其他监护人单独同意的情况下收集14岁以下未成年人的个人数据。我们仅在法律允许的范围内使用或披露有关儿童的个人数据,根据适用法律,寻求父母的同意或保护儿童。  

如果发生个人数据泄露,Prometric应对数据主体承担民事责任,若其侵犯了数据主体的个人数据权利,并不影响数据控制者根据PIPL应承担的行政、刑事或其他法律责任。 

11. 隐私政策的变更

公司可能需要更新其政策以遵守新的或不同的隐私实践。更新后的政策版本将通过适当的渠道提供,并适用于其生效日期之后收集的数据。 

12. 如何联系我们以及投诉处理

如对本政策有任何询问、意见或担忧,或想行使适用法律允许的隐私权,请通过我们的专用门户提交请求,链接为 个人数据请求

此外,您可以通过以下地址联系数据保护官: privacy@prometric.com

您还可以通过邮寄方式与我们联系:  

Prometric 隐私团队 
Prometric LLC
6211 Greenleigh Avenue, Suite 400  
Middle River, MD 21220  
美国 

根据欧盟-美国隐私保护框架(EU-U.S. DPF)、英国对欧盟-美国隐私保护框架的扩展和瑞士-美国隐私保护框架(Swiss-U.S. DPF)的要求,公司承诺合作并遵循欧盟监督机构、英国信息专员办公室(ICO)和瑞士联邦数据保护与信息专员(FDPIC)设立的专门小组在处理基于欧盟-美国隐私保护框架、英国对欧盟-美国隐私保护框架的扩展以及瑞士-美国隐私保护框架所接收的个人数据时,针对未解决的投诉所提供的建议。 

如果您的 DPF 投诉无法通过上述渠道解决,在某些情况下,您可以对未通过其他救济机制解决的部分剩余索赔请求进行具有约束力的仲裁。  

您也有权直接向您所在辖区的主管监督机构提交投诉。