语言免责声明:
为了方便起见,本政策以多种语言提供。如翻译版本与英文版本之间存在任何差异或冲突,应以英文版本为准,英文版本应视为正式和控制性的政策。
最后更新:2026年6月
介绍
Prometric LLC,包括Paragon及其其他全球子公司和附属公司(以下统称“公司”、“我们”或“我们的”),可能根据其与您(数据主体)的关系,作为数据控制者或数据处理者行事。
本隐私政策(以下简称“政策”)描述了我们对考试候选人、客户、承包商和合作伙伴(以下称“数据主体”、“您”或“您的”)的个人数据的收集和处理。
公司努力遵守其运营所在地区的所有数据保护法律和法规,包括但不限于2016年4月27日欧洲议会和理事会第2016/679号条例(关于自然人个人数据处理及其自由流动的保护,以及废除第95/46/EC号指令(通用数据保护条例))(“GDPR”);2018年加利福尼亚消费者隐私法(“CCPA”),由2020年加利福尼亚隐私权法(“CPPA”)修订;中华人民共和国个人信息保护法(“PIPL”);儿童在线隐私保护法(“COPPA”);家庭教育权隐私法(“FERPA”);以及其他相关的全球数据保护法律和法规。
作为其认证的一部分,公司遵守欧盟-美国数据隐私框架(EU-U.S. DPF)、英国对欧盟-美国数据隐私框架的扩展,以及瑞士-美国数据隐私框架(Swiss-U.S. DPF),并遵守欧盟、英国和瑞士数据主体的权利。因此,公司受美国联邦贸易委员会(FTC)的调查和执法权力的约束。
除非另有说明,以下定义适用于本政策:
- “适用法律”指与数据保护相关的相关国家、州或地区的数据保护法律或适用法规。
- “个人数据”指与已识别或可识别的自然人(“数据主体”)相关的任何信息。
- “处理”指对个人数据或个人数据集进行的任何操作或一组操作,无论是否通过自动化手段,例如收集、记录、组织、结构化、存储、适配或修改、检索、咨询、使用、通过传输披露、传播或以其他方式提供、对齐或组合、限制、擦除或销毁。
- “监管机构”或“监管机构”指数据保护机构或机构,作为由政府机构建立的独立公共机构,负责在特定管辖区内监测和/或执行数据保护法律和法规的应用。
1. 我们收集哪些类型的个人数据?
根据您与公司的关系、考试性质、提供的服务以及适用法律,公司可能收集以下个人数据:
- 联系信息,包括姓名、地址、电话号码、国家特定身份证号码、电子邮件地址、登录和密码信息
- 出生日期
- 出生国家
- 性别
- 入学日期(美国)
- 主要语言
- 家庭语言
- 父母/监护人信息
- 候选人考试和课程安排详情
- 测试评估详情,包括考试候选人ID号码、所参加的考试及其时间、相关的考试成绩、结果、参加考试或任何特定部分考试的次数
- 行为事件
- 干预措施
- 出勤情况
- 评估结果
- 在测试赞助商要求下所需的社会安全号码(美国)
- 支付和金融机构信息
- 居住地和国籍
- 照片
- 签名
- 视频录制
- 音频录制(在适用法律允许的情况下,仅在特定管辖区内)
- 来自身份证明、验证或资格文件的信息
- 交易和关系信息,包括揭示候选人考试模式、考试地点、考试结果及我们的网站和应用程序使用情况的元素
- 凭证/优惠券信息
此外,公司可能根据适用法律处理特殊类别的个人数据,包括:
- 生物特征(指纹和面部图像)
- 与考试候选人请求考试便利相关的健康信息或医疗数据
- 种族或民族,符合适用法律的规定
除非获得您明确和自愿的同意(选择加入),否则公司不将特殊类别的个人数据用于其他目的,除非是出于其最初收集或随后经数据主体授权的目的。
我们的部分考试可能要求测试现场管理员扫描您的身份证件复印件,记录您的签名并拍摄您的照片以用于身份识别,这些信息将直接存储在公司的数据库中。
未成年人的个人数据
公司不会在未获得未成年人的父母或法定监护人同意的情况下,故意收集与未成年人相关的个人数据。公司期待未成年人的父母或法定监护人监督和监控他们孩子向公司及其代表披露个人数据的行为。
如有必要,我们协助学校履行根据FERPA的义务。公司为学生(包括未成年人)提供有限的功能集和网站体验。本政策中的任何内容均不旨在削弱任何学生(或其父母或法定监护人)与其教育记录相关的权利。公司特别同意不违反FERPA披露任何教育记录中的个人数据,且不将此类信息用于任何销售、营销、广告或其他禁止的目的。
公司从教育机构接收创建学生账户所需的最少信息,通常包括电子邮件、密码、名和姓以及学生教师提供的唯一课堂代码。除了这些信息外,学生可以根据他们被分配的活动提交响应,这些响应将在教师和学生之间保持机密,仅用于学校/教师的目的。除了学生输入的信息外,我们还会自动收集与我们服务使用相关的信息。
公司不会积累与任何学生(包括未成年人)或家庭的个人数据用于分发、共享或销售,除非在本政策中描述。没有任何学生的档案公开或对其他学生可见。教师可以与他们在学校共同教授的其他教师分享他们的班级,包括成绩或分数,以帮助他们进行合作。
家长权利
公司赋予已注册账户的未成年人的父母和法定监护人根据COPPA行使其法律权利。
任何希望获得我们可能存储的其子女个人数据副本的父母,可以联系其子女的学校工作人员。在任何时候,学校也可以拒绝允许我们从其学生那里收集更多个人数据,并可以要求我们删除我们收集的个人数据。
2. 我们如何收集您的个人数据?
除非另有说明,公司直接从数据主体收集个人数据。对于考试候选人,这可能通过Prometric设备或考试候选人的个人设备(例如,个人台式机、笔记本电脑或手机作为第二台相机)进行。在其他情况下,我们可能会从初中或高中、测试赞助商或第三方数据供应商那里接收信息。当数据主体访问公司的官方网站、注册或参加考试、使用我们的应用程序或联系我们时,我们还会收集客户服务目的的交易信息。
我们通过移动应用程序收集的所有个人数据都受到保护,并根据本政策的条款进行处理。我们还仅向选择接收此类通知的用户提供自动(“推送”)通知。任何个人都不需要向我们提供位置信息或启用推送通知来使用我们的任何移动应用程序。
使用Cookies
访问我们的网站时,具体取决于您如何配置您的Cookie设置以及同意这些设置,我们可能会收集有关您使用网站的某些信息,例如您访问网站的日期和时间、您用于访问网站的浏览器、操作系统和设备、您访问的网站页面,以及引用和退出的网站页面。公司可以将这些信息用于各种目的,包括管理和改善公司的网页以及改善我们的产品和服务。
在适用法律允许的情况下,并在您的同意下,我们还可能使用信息来识别您的大致位置,以便为您提供服务或相关的营销和上下文广告。公司还收集互联网协议(IP)地址和唯一设备标识符,以便识别重复访问我们网站的访客并方便您使用我们的服务。
某些公司的网站用户选择以需要公司收集个人数据的方式与我们互动,以便我们能够为您提供您所请求的服务。我们收集的信息的数量和类型取决于该互动的性质。
需要注意的是,公司的官方网站可能包含指向其他网站或在线服务的链接。当您使用这些链接时,您是在联系另一个网站或服务。公司对这些其他网站或服务的个人信息收集、使用、披露、保留和删除不承担任何责任或义务。请参阅适用于这些其他网站或在线服务的隐私政策和使用条款。
生物识别数据的收集
生物识别启用的签到系统和公司的远程监考平台(称为ProProctor)旨在以保护考试考生隐私的方式改善测试过程的安全性和完整性,同时确认考生身份。在测试签到过程中,进行图像捕捉,收集面部特征的几何测量,并将其与考生在注册时提供的官方身份证件上的面部图像进行比较。对于ProProctor,面部图像验证在整个测试期间也会使用。
人工智能(AI)的使用
公司在多种欺诈预防和安全功能中使用人工智能(AI)和自动决策支持技术,包括但不限于:身份验证(包括面部识别和生物识别分析)、行为分析、异常检测、模式识别,以及在测试管理过程中识别未经授权的物体、个人或活动。AI驱动的系统还可以用于评估风险信号、标记不规则情况,并实时支持测试环境的完整性。
这些AI系统旨在增强——而不是替代——人类判断。任何可能导致潜在欺诈或不规则行为判定的AI工具生成的输出都须由合格人员进行审核和验证,然后才会对候选人或测试会话采取任何行动。
此外,AI可用于促进我们与测试赞助商的商业关系,提供自动化见解,以帮助我们更好地服务客户并预测他们的业务需求。
公司致力于以负责任、伦理和透明的方式使用AI,符合适用的数据保护法律和法规,包括在适用情况下的《欧盟人工智能法案》、《通用数据保护条例》(GDPR)以及其他相关的国家或地区框架。有关公司如何以伦理和负责任的方式使用AI的更多信息,请访问Prometric对负责任的AI的承诺。
3. 我们为什么收集您的个人数据?
公司收集个人数据的目的包括:
- 管理与测试赞助商和潜在客户的客户关系
- 安排测试考试
- 验证考生身份
- 管理考生账户、服务请求及管理考试和支付
- 检测和防止未经授权的候选人的欺诈和虚假行为
- 进行数据分析以维护测试过程的完整性
- 向考生和测试赞助商报告测试结果
- 进行市场活动(例如公告、新测试、新测试中心、促销、即将举行的活动、新产品、特别功能和商店开业),并遵循适用法律
- 保护和维护公司的法律权利、利益和救济,并保护公司或其他人的业务、运营或客户,包括执行任何使用条款、服务条款及其他管理访问或使用公司产品和服务的协议的条款
- 文档记录、记录保存、质量保证和培训(测试赞助商客户会议录音,需征得同意)
- 使用网站分析工具(例如Google Analytics)分析访客行为
- 评估和改善跨平台数字广告活动的表现
- 培训和测试我们的人工智能技术,遵循适用法律
- 管理我们的优惠券/代金券计划
对于供应商和其他第三方,我们收集您的个人数据的目的如下:
- 供应商管理和管理
- 文档记录、记录保存、质量保证和培训(客户会议录音,需征得同意)
- 发票处理
- 了解供应商的尽职调查和其他法律要求
我们仅向公司员工、承包商和分包商披露个人数据,这些人员:(i)必须访问该信息以便代表我们处理它或提供在公司网站和我们的移动应用程序上可用的服务;并且,(ii)同意不向他人披露该信息。公司不出租、出售或交换个人数据给任何第三方。
生物识别数据收集的目的
生物识别数据仅用于:(1)在考生参与当前和未来评估时持续验证其身份;(2)检测和防止未经授权的候选人的欺诈和虚假行为;(3)维护测试过程的完整性;(4)提高测试中心和/或测试内容的安全性;以及(5)根据法律要求用于某些许可项目。
如果本政策涵盖的个人数据用于与最初收集或随后授权的用途有实质性不同的新用途,或者以本政策未规定的方式向第三方披露,我们将提供机会让您选择是否让您的个人数据用于该用途或被披露。要求选择退出此类个人数据的使用或披露的请求应发送至公司,具体请参见下面的“如何联系我们”部分。
4. 处理您的个人数据的法律依据是什么?
个人数据的收集和处理是根据以下法律依据进行的:
- 履行合同,包括注册和安排测试、管理该测试以及处理测试结果。
- 您对特殊类别个人数据的收集和处理的同意,包括生物识别个人数据。
- 如适用法律要求的跨境数据传输的同意。
- 您对记录客户视频会议的同意
- 出于合法商业目的,例如发票处理和财务账户管理、备份目的以促进业务连续性、测试中心管理、业务规划、合同管理、改善提供给客户的测试服务、向现有考生提议相关服务和产品、网站管理、履行、分析、安全和欺诈预防、公司治理、灾难恢复规划、审计和报告,以及根据适用法律培训和改善我们的人工智能技术。
- 遵守任何法律或监管义务。
5. 个人数据的披露
可能处理您的个人数据的第三方包括其他公司附属机构、授权测试中心、测试赞助商以及作为公司处理者的服务提供商,提供以下服务:数据托管、测试管理服务、业务生产力应用、客户服务支持和客户关系管理软件。
政府机构可能会根据合法请求访问个人数据,包括满足国家安全或执法要求。
在适用法律允许的情况下,公司使用网站分析和广告平台来了解用户在我们网站上的行为并投放相关广告。这些平台可能使用 cookies、像素或类似技术来收集您与我们网站互动的数据。这些信息用于帮助我们衡量活动的有效性、个性化广告内容,以及提升整体用户体验。这些工具的使用程度将取决于您如何决定配置浏览器中的 cookie 设置,您可以通过管理您的 cookie 偏好随时选择退出个性化广告。
生物识别数据仅可披露给测试赞助商、执法机构或其他第三方:
- 出于与涉嫌不当行为相关的调查,仅用于作弊、未经授权测试或其他测试考生不当行为的调查目的。
- 与有管辖权和/或权力进行此类请求的监管、法律或政府机构的合法请求相关。
我们与第三方服务提供商签订合同,以确保个人数据的处理符合本政策及适用法律要求的任何其他适当的保密和安全措施。
如果您是欧盟、英国或瑞士的数据主体,在我们将您的个人数据转移给上述第三方服务提供商并为我们或代表我们提供服务的情况下,公司对他们处理该数据负责,并将继续承担责任,如果他们以与下面提到的 DPF 原则不一致的方式处理您的个人数据,除非我们证明我们对造成损害的事件不负有责任。
6. 我们会保存您的个人数据多久?
公司已采用全面的记录管理程序和相关的保留时间表,以便于保留、存储和销毁在其业务过程中创建的所有记录,包括那些包含个人数据的记录。我们还部署了一种数据管理策略,根据地区性的服务器对数据进行隔离。
根据客户特定合同要求和适用法律,我们公司将在处理期间保留您的个人数据,保留时间为以下较短时间:
- 自最后一次服务、测试或评估之日起五(5)年;或
- 个人数据收集目的的到期;或
- 根据收集个人数据的适用司法管辖区的法律。
公司不会将个人数据保留超过上述目的所需的时间。但是,如果需要遵守客户特定合同要求和适用法律,或保护或行使我们的权利,我们可能会更长时间保留个人数据。
在与移民、难民和加拿大公民事务部相关的测试结果的情况下,我们根据移民、难民和加拿大公民事务部的要求,至少保留您的个人数据记录(目前为七(7)年)。在与澳大利亚签证相关的测试结果的情况下,我们根据澳大利亚联邦的要求,至少保留您的个人数据记录(目前为七(7)年)。
生物识别数据的存储
在计算机基础测试中心收集的所有生物识别数据都安全地转移到公司在美国或欧盟的安全数据中心,并根据收集时所在司法管辖区的适用法律进行保留。生物识别数据在 Microsoft Azure 中存储并安全保管为期三十(30)天,除了作为我们 Paragon 测试服务的一部分的生物识别数据,最大保留期为三年。如果考生的个人数据与正在进行的安全问题或涉及不当行为的调查相关,则保留期可能更长。
7. 跨境个人数据转移
我们的业务流程通常需要在公司及其附属实体之间进行国际个人数据转移。根据您与公司的关系性质以及适用法律,您的个人数据存储在位于美国的安全服务器上。根据您的考试性质和测试地点,公司及其服务提供商可能会在美国以外的国家(包括加拿大、墨西哥、印度或位于欧盟或亚洲的国家)处理个人数据。
如果个人数据被披露给第三方或向不被视为根据适用法律提供足够保护水平的国家,则公司将确保:
- 实施相关监管机构批准的标准合同条款;
- 采取适当的组织、技术和法律保障措施,以管理跨境数据转移,并确保在适用法律下必要和充分的保护水平;
- 如有必要,将评估转移的情况和第三国的立法,并在需要时完成数据转移影响评估,以确定是否需要实施补充措施。
关于向美国的跨境数据转移,公司遵守欧盟-美国数据隐私框架(EU-U.S. DPF)、英国扩展到欧盟-美国数据隐私框架和瑞士-美国数据隐私框架,正如美国商务部所规定的。
公司已向美国商务部证明其遵守与处理来自欧盟和英国的个人数据相关的欧盟-美国数据隐私框架原则(EU-U.S. DPF Principles),并依赖于欧盟-美国数据隐私框架及其扩展。公司已向美国商务部证明其遵守与处理来自瑞士的个人数据相关的瑞士-美国数据隐私框架原则(Swiss-U.S. DPF Principles),并依赖于瑞士-美国数据隐私框架。
如果本隐私政策中的条款与欧盟-美国隐私框架原则和/或瑞士-美国隐私框架原则之间存在任何冲突,则应以原则为准。要了解有关DPF计划的更多信息,并查看我们的认证,请访问 https://www.dataprivacyframework.gov/。
8. 你的权利是什么?
根据你的所在地和适用法律,你可能拥有与个人数据相关的以下权利:
- 访问权
- 更正权
- 删除权
- 限制处理权
- 反对处理权
- 数据可携带权
- 决定个人数据去世后使用方式的权利
行使这些权利受适用法律和主管机关相关指导的限制。
要行使你的权利,你可以按照“如何联系我们”部分中描述的方式联系公司。请记住,删除记录可能需要我们终止相关账户。在我们完成你的请求之前,公司可能会询问额外问题或采取其他步骤以验证你的身份。如果我们无法满足你的请求(拒绝或限制),我们将以书面形式说明我们的决定。
根据欧盟-美国隐私框架、英国对欧盟-美国隐私框架的扩展以及瑞士-美国隐私框架的要求,公司承诺解决与我们收集和使用你的个人数据相关的隐私框架原则投诉。
欧盟、英国和瑞士的数据主体如对我们在依赖欧盟-美国隐私框架、英国对欧盟-美国隐私框架的扩展以及瑞士-美国隐私框架下处理个人数据的方式有疑问或投诉,应首先按照“如何联系我们和投诉处理”部分中描述的方式联系公司。
加州隐私权
加州民法第1798条允许加州居民要求与他们建立业务关系的公司提供有关公司与第三方共享个人数据以用于直接营销目的的某些信息。公司在未获得同意的情况下,不会将任何加州消费者的个人数据与第三方共享用于营销目的。如果你是测试候选人,我们将把你的个人数据提供给你的测试赞助人,赞助人可能会根据其自己的隐私政策使用该信息。
9. 我们如何保护你的个人数据?
公司实施各种安全措施,如技术、物理和管理保障,以保护个人数据免受安全事件或未经授权的披露,并更普遍地防止个人数据泄露。这些安全措施被认为是行业内适当的安全标准,包括但不限于访问控制、密码、加密、严格的删除时间限制、记录机制和定期安全评估。
如果发生可能影响你个人数据的个人数据泄露,公司将遵循其事件响应计划,并及时采取适当措施以减轻对数据主体的风险。这些措施可能包括通知适当的监管机构和受影响的数据主体,同时提供事件的相关细节和根据适用法律可能要求的缓解措施。
公司的信息安全计划每年由多个第三方组织审查,以确保其满足或超过安全和数据隐私保护的最高基准。此外,员工和承包商有义务立即报告任何已知或疑似的滥用、丢失或未经授权访问的情况。
10. 根据中华人民共和国个人信息保护法(‘PIPL’)处理个人数据
本节适用于个人数据位于中华人民共和国(PRC)境内或由我们位于PRC的公司处理时。
根据PIPL第13条的规定,个人数据可以出于以下目的收集:
- 基于个人的同意;
- 为履行合同、合法商业利益;
- 履行法定职责和责任或法定义务;
- 处理公开可用数据;
- 满足法律要求。
根据PIPL第23条的要求,个人数据的转移和共享不得在未获得(1)你的具体同意(如适用)或(2)为履行适用法律下的法定职责的情况下进行。
根据本政策规定的目的,个人数据可能会被转移到你居住地以外的国家或地区进行处理。在此情况下,公司将根据适用法律保护个人数据的安全,包括但不限于实施访问控制、密码、加密标准、严格的保留期限时间限制、记录机制和定期安全评估。
公司将在将你的个人数据转移到PRC以外之前,按照PIPL第39条的规定充分告知你跨境数据转移的情况,并获得你的同意,告知你以下事项:出境接收者的名称、联系信息、处理的目的、处理的方法、个人数据的类型,并提醒你可以根据PIPL行使权利的方法和程序。我们将请求你明确和单独的同意。
如有必要,公司将在个人数据转移到PRC以外时,根据适用法律进行跨境数据转移风险评估。
根据PIPL,敏感个人数据被定义为一旦泄露或非法使用,可能会严重损害自然人的尊严、个人或财产安全的个人数据,包括生物特征信息、宗教信仰、特殊身份、医疗健康、财务账户、个人位置跟踪等,以及14岁以下未成年人的个人数据。
根据PIPL,并如第2节所述,敏感个人数据的处理需获得数据主体的单独同意,并为特定的商业相关目的进行。
Prometric 不会在未获得父母或其他监护人的单独同意的情况下,收集未满 14 岁未成年人的个人数据。我们仅会在法律允许的范围内使用或披露关于儿童的个人数据,依据适用法律,寻求父母同意或保护儿童。
在个人数据泄露事件发生时,如果 Prometric 侵犯了数据主体的个人数据权利,则应对该数据主体承担民事责任,但不影响数据控制者根据《个人信息保护法》(PIPL)应承担的行政、刑事或其他法律责任。
11. 隐私政策的变更
公司可能需要更新其政策,以遵守新的或不同的隐私实践。此政策的更新版本将通过适当渠道提供,并适用于其生效日期之后收集的数据。
12. 如何联系我们和投诉处理
如对本政策有任何询问、意见或担忧,或希望行使适用法律允许的隐私权,请通过我们的专用门户提交请求,网址为 个人数据请求。
此外,您可以通过以下地址联系我方的数据保护官: privacy@prometric.com
您也可以通过邮寄方式与我们联系:
Prometric 隐私团队
Prometric LLC
6211 Greenleigh Avenue, Suite 400
Middle River, MD 21220
美国
为了遵守欧盟-美国隐私保护框架(DPF)、英国扩展到欧盟-美国隐私保护框架(DPF)以及瑞士-美国隐私保护框架(DPF),公司承诺与欧盟监督机构、英国信息专员办公室(ICO)和瑞士联邦数据保护和信息专员(FDPIC)建立的专门小组的建议合作和遵守,以处理关于我们处理依赖于欧盟-美国隐私保护框架、英国扩展到欧盟-美国隐私保护框架和瑞士-美国隐私保护框架的个人数据的未解决投诉。
如果您的 DPF 投诉无法通过上述渠道解决,在特定条件下,您可以为其他救济机制未解决的某些残余索赔请求具有约束力的仲裁。
您还有权直接向您相关司法管辖区的主管监督机构提出投诉。