語言聲明:
本政策提供多種語言版本以便使用。如翻譯版本與英語版本之間存在任何不一致或衝突,則應視英語版本為官方且具約束力的政策。
最後更新:2026年6月
簡介
Prometric LLC,包括Paragon及其其他全球子公司和附屬機構(以下統稱為“公司”、“我們”、“我們的”或“我們”)可能根據其與您(數據主體)的關係,擔任數據控制者或數據處理者。
本隱私政策(以下簡稱“政策”)描述了我們對測試候選人、客戶、承包商和合作夥伴(以下簡稱“數據主體”、“您”或“您的”)的個人數據的收集和處理。
公司努力遵守其運營地區的所有數據保護法律和法規,包括但不限於2016年4月27日歐洲議會和理事會第(EU)2016/679號條例,該條例涉及對自然人處理個人數據的保護以及此類數據的自由流動,並廢止第95/46/EC號指令(通用數據保護條例)(“GDPR”);2018年加州消費者隱私法案(“CCPA”),由2020年加州隱私權法案(“CPPA”)修訂;中華人民共和國個人信息保護法(“PIPL”);兒童在線隱私保護法(“COPPA”);家庭教育權利隱私法(“FERPA”);以及全球其他相關的數據保護法律和法規。
作為其認證的一部分,公司遵守歐盟-美國數據隱私框架(EU-U.S. DPF)、英國對EU-U.S. DPF的擴展以及瑞士-美國數據隱私框架(Swiss-U.S. DPF)以及對歐盟、英國和瑞士數據主體的權利。因此,公司受到美國聯邦貿易委員會(FTC)的調查和執法權力的約束。
除非另有註明,以下定義適用於本政策:
- “適用法律”指與數據保護相關的相關國家、州或地區的數據保護法律或適用法規。
- “個人數據”是指與已識別或可識別的自然人(“數據主體”)有關的任何信息。
- “處理”是指對個人數據或個人數據集合進行的任何操作或一組操作,無論是通過自動化手段進行,包含收集、記錄、組織、結構化、存儲、適應或更改、檢索、諮詢、使用、通過傳輸披露、散佈或以其他方式提供、對齊或合併、限制、刪除或銷毀。
- “監管機構”或“監管機構”是指數據保護機構,作為由政府機構設立的獨立公共機構,負責在特定法域內監督和/或執行數據保護法律和法規的應用。
1. 我們收集哪些類型的個人數據?
根據您與公司的關係、考試的性質、提供的服務以及適用法律,公司可能會收集以下個人數據:
- 聯絡信息,包括姓名、地址、電話號碼、國家特定的識別號碼、電子郵件地址、登錄和密碼信息
- 出生日期
- 出生國家
- 性別
- 入學日期(美國)
- 主要語言
- 家庭語言
- 父母/監護人信息
- 候選人的考試和課程安排詳情
- 考試評估詳情,包括考試候選人ID號碼、所參加的考試及時間、相關的考試分數、結果、考試或任何特定部分的考試次數
- 行為事件
- 干預措施
- 出勤情況
- 評估結果
- 在考試贊助商要求下的社會安全號碼(美國)
- 支付和金融機構信息
- 住址和國籍
- 照片
- 簽名
- 視頻錄像
- 音頻錄音(根據適用法律允許且僅在特定司法管轄區內)
- 來自身份識別、驗證或資格文件的信息
- 交易和關係信息,包括揭示候選人考試模式、考試地點、考試結果以及有關我們的網站和應用程序使用的信息的要素
- 憑證/優惠券信息
此外,公司可能根據適用法律處理特殊類別的個人數據,包括:
- 生物識別數據(指紋和面部圖像)
- 與考試候選人要求測試適應有關的健康信息或醫療數據
- 種族或民族,根據適用法律的允許
除非我們已收到您的明確同意(選擇加入),否則公司不會將特殊類別的個人數據用於除其最初收集或隨後經數據主體授權的目的之外的其他用途。
我們的一些考試可能要求考試現場管理員掃描您的身份證明文件的副本,記錄您的簽名並拍攝您的照片以作身份驗證之用,這些將直接存儲在公司的數據庫中。
未成年人個人數據
公司不會在未經未成年人的父母或法定監護人同意的情況下,故意收集有關未成年人的個人數據。公司期望未成年人的父母或法定監護人監督和監控其孩子對公司及其代表的個人數據披露。
如有必要,我們協助學校履行其根據FERPA的義務。公司為學生,包括未成年人,提供有限的功能集和網站體驗。本政策中的任何內容均不旨在減少任何學生(或其父母或法定監護人)對其教育記錄的權利。公司特別同意不違反FERPA披露任何教育記錄中的個人數據,不將此類信息用於任何銷售、營銷、廣告或其他禁止的目的。
公司從教育機構接收創建學生帳戶所需的最少信息,通常包括電子郵件、密碼、名字和姓氏以及學生老師提供的獨特課堂代碼。除了這些信息外,學生可以根據分配的活動提交回應,這些回應將在教師和學生之間保密,僅用於學校/教師的目的。除了學生輸入的信息外,我們還會自動收集與我們服務使用相關的信息。
公司不會累積任何有關學生,包括未成年人或家庭的個人數據以供分發、共享或出售,除非如本政策所述。沒有學生的資料可以公開或可見給公眾或其他學生。教師可以與他們在學校共同授課的其他教師分享他們的班級,包括成績或分數,以幫助他們協作。
父母的權利
公司授權已在我們這裡註冊帳戶的未成年人的父母和法定監護人行使其根據COPPA的法律權利。
任何想要獲取我們可能存儲的其子女個人數據副本的父母可以聯繫其子女的學校人員。在任何時候,學校也可以拒絕允許我們從其學生那裡收集進一步的個人數據,並可以要求我們刪除我們已經收集的個人數據。
2. 我們如何收集您的個人數據?
除非另有註明,否則公司直接從數據主體收集個人數據。對於考試候選人,這可能通過Prometric設備或考試候選人的個人設備(例如個人桌面電腦、筆記本電腦或作為第二個攝像頭的手機)進行。在其他情況下,我們可能會從主要或次要學校、考試贊助商或第三方數據供應商那裡接收信息。當數據主體訪問公司的網站、註冊或參加考試、使用我們的應用程序或聯繫我們時,我們也會收集交易信息以進行客戶服務。
我們通過我們的移動應用程序收集的所有個人數據均根據本政策的條款受到保護和處理。我們還僅向選擇接收我們推送通知的人提供自動(“推送”)通知。任何個人都不需要向我們提供位置信息或啟用推送通知即可使用我們的任何移動應用程序。
使用 Cookies
當訪問我們的網站時,根據您如何配置您的 Cookie 設置和同意這些設置,我們可能會收集有關您使用網站的某些信息,例如您訪問網站的日期和時間、您用於訪問網站的瀏覽器、操作系統和設備、您訪問的網站頁面以及引用和退出網站頁面。公司可能將該信息用於各種目的,包括管理和改善公司的網站以及改善我們的產品和服務。
在適用法律允許的範圍內,並在您同意的情況下,我們還可以使用信息來識別您的一般位置,以便為您提供服務,或相關的營銷和上下文廣告。公司還收集互聯網協議(IP)地址和唯一設備標識符,以便識別重複訪問我們網站的訪客,並促進您使用我們的服務。
某些公司的網站用戶選擇以需要公司收集個人數據的方式與我們互動,以便我們能為您提供所請求的服務。我們收集的信息的數量和類型取決於該互動的性質。
重要的是要注意,公司的網站可能包含指向其他網站或在線服務的鏈接。當您使用這些鏈接時,您正在聯繫另一個網站或服務。公司對這些其他網站或服務及其收集、使用、披露、保留和刪除您的個人信息沒有責任或責任,也無法控制。請參閱適用於這些其他網站或在線服務的隱私政策和使用條款。
生物識別數據的收集
生物識別啟用的登記系統和公司的遠程監考平台(稱為 ProProctor)旨在以保護考生隱私的方式提高測試過程的安全性和完整性,同時確認考生的身份。在測試登記過程中,會拍攝圖像以收集面部特徵的幾何測量,並將其與考生在註冊時出示的官方身份證明文件上的面部圖像進行比對。對於 ProProctor,面部圖像驗證在整個測試過程中也會使用。
人工智能(AI)的使用
公司在一系列防欺詐和安全功能中使用人工智能(AI)和自動決策支持技術,包括但不限於:身份驗證(包括面部識別和生物識別分析)、行為分析、異常檢測、模式識別,以及在測試管理過程中識別未經授權的物體、個體或活動。基於 AI 的系統還可以用來評估風險信號、標記不規則情況,並實時支持測試環境的完整性。
這些 AI 系統旨在增強——而不是取代——人類判斷。任何 AI 工具生成的輸出,可能導致對潛在欺詐或不規則行為的判斷,都需由合格人員進行審查和驗證,才能在對候選人或測試會話採取任何行動之前。
此外,AI 還可以用來促進我們與測試贊助商的商業關係,提供自動化見解,幫助我們更好地服務客戶並預測他們的商業需求。
公司致力於以負責任、道德和透明的方式使用 AI,符合適用的數據保護法律和法規,包括(在適用的情況下)歐盟 AI 法案、一般數據保護條例(GDPR)和其他相關的國家或地區框架。欲了解更多有關公司如何以道德和負責任的方式使用 AI 的信息,請訪問 Prometric 對負責任 AI 的承諾。
3. 我們為什麼收集您的個人數據?
公司收集個人數據的目的包括:
- 管理與測試贊助商和潛在客戶的客戶關係
- 安排測試考試
- 驗證考生身份
- 管理考生賬戶、服務請求以及執行測試和付款
- 檢測和防止未經授權的考生的欺詐和虛假陳述
- 進行數據分析以維護測試過程的完整性
- 向考生和測試贊助商報告測試結果
- 進行市場營銷活動(例如公告、新測試、新測試中心、促銷、即將舉行的活動、新產品、特殊功能和商店開業),受適用法律的約束
- 保護和維護公司的法律權利、利益和補救措施,並保護公司或其他人的業務、運營或客戶,包括執行任何使用條款、服務條款以及其他管理對公司產品和服務的訪問或使用的協議
- 文檔記錄、記錄保存、質量保證和培訓(測試贊助商客戶會議錄音,需經同意)
- 使用網站分析工具分析訪客行為(例如 Google Analytics)
- 評估和改善跨平台數字廣告活動的表現
- 培訓和測試我們的 AI 啟用技術,受適用法律的約束
- 管理我們的優惠券/折扣券計劃
對於供應商和其他第三方,我們收集您的個人數據的目的如下:
- 供應商管理和管理
- 文檔記錄、記錄保存、質量保證和培訓(客戶會議錄音,需經同意)
- 發票處理
- 了解供應商的盡職調查和其他法律要求
我們僅向公司的員工、承包商和分包商披露個人數據:(i)必須訪問該信息以代表我們處理或提供公司網站和我們的移動應用程序上可用的服務;以及(ii)同意不向他人披露該信息。公司不會將個人數據租賃、出售或交換給任何第三方。
生物識別數據收集的目的
生物識別數據僅用於:(1)在考生參加當前和未來評估時持續驗證其身份;(2)檢測和防止未經授權的考生的欺詐和虛假陳述;(3)維護測試過程的完整性;(4)改善測試中心和/或測試內容的安全性;以及(5)法律要求的某些執照計劃。
如果本政策涵蓋的個人數據將用於與最初收集該個人數據的目的或隨後授權的目的有實質性不同的新目的,或以本政策未明確規定的方式向第三方披露,我們將提供給您選擇機會,讓您選擇是否讓您的個人數據這樣使用或披露。請求選擇退出此類個人數據的使用或披露應按照下方“如何聯繫我們”部分的說明發送給公司。
4. 處理您的個人數據的法律依據是什麼?
根據以下法律依據收集和處理個人數據:
- 執行合同,包括註冊和安排測試、執行該測試和處理測試結果。
- 您對特殊類別個人數據的收集和處理的同意,包括生物識別個人數據。
- 如果適用法律要求,您對跨境數據轉移的同意。
- 您對錄製客戶視頻會議的同意
- 出於合法商業目的,例如發票處理和財務賬戶管理、備份目的以促進業務連續性、測試中心管理、業務規劃、合同管理、改善我們提供給客戶的測試服務、向現有考生提出相關的服務和產品、網站管理、履行、分析、安全和防欺詐、公司治理、災難恢復計劃、審計和報告,以及培訓和改善我們的人工智能技術,依據適用法律的允許。
- 遵守任何法律或法規義務。
5. 個人數據的披露
可能處理您的個人數據的第三方包括其他公司附屬機構、授權的測試中心、測試贊助商以及作為公司的處理者行事的服務提供商,提供以下服務:數據託管、測試管理服務、商業生產力應用、客戶服務支持和客戶關係管理軟體。
政府機構可能會根據合法請求訪問個人數據,包括滿足國家安全或執法要求。
在適用法律允許的情況下,公司使用網站分析和廣告平台來了解用戶在我們網站上的行為並提供相關廣告。這些平台可能會使用cookies、像素或類似技術來收集有關您與我們網站互動的數據。這些信息用於幫助我們衡量我們活動的有效性、個性化廣告內容並提升整體用戶體驗。這些工具的使用程度將取決於您如何決定在瀏覽器中配置cookie設置,您可以隨時通過管理您的cookie偏好選擇退出個性化廣告。
生物識別數據僅在以下情況下可以透露給測試贊助商、執法機構或其他第三方:
- 為了調查與涉嫌不當行為相關的調查,僅用於調查作弊、未經授權的測試或其他測試候選人的不當行為。
- 與有管轄權和/或權限提出此類請求的監管、法律或政府機構的合法請求相關。
我們與第三方服務提供商簽訂合同,以確保個人數據的處理符合本政策及適用法律要求的任何其他適當的保密和安全措施。
如果您是歐盟、英國或瑞士的數據主體,當我們將您的個人數據轉移給如上所述的第三方服務提供商並為我們或代表我們提供服務時,公司對他們的數據處理負責,如果他們以不符合以下提到的DPF原則的方式處理您的個人數據,則仍將承擔責任,除非我們證明我們不對引起損害的事件負責。
6. 我們將您的個人數據保存多長時間?
公司已採納全面的記錄管理計劃和相關的保留計劃,以便在其業務過程中保留、存儲和銷毀所有創建的記錄,包括包含個人數據的記錄。我們還部署了一個數據管理策略,根據地區定位的數據伺服器對數據進行隔離。
根據客戶特定的合同要求和適用法律,我們公司將在處理期間保留您的個人數據,保留時間為以下較短的期間:
- 自上次服務、測試或評估之日起五(5)年;或
- 個人數據收集的目的到期;或
- 根據收集個人數據的適用司法管轄區的法律。
公司不會將個人數據保留超過上述目的所需的時間。然而,若有必要遵守客戶特定的合同要求和適用法律,或有必要保護或行使我們的權利,我們可能會更長時間地保留個人數據。
關於移民、難民和加拿大公民身份部的測試結果,我們根據該部的要求保留您的個人數據記錄,保留的最短時間(目前為七(7)年)。關於澳大利亞簽證的測試結果,我們根據澳大利亞聯邦的要求保留您的個人數據記錄,保留的最短時間(目前為七(7)年)。
生物識別數據的存儲
所有在計算機基礎的測試中心收集的生物識別數據都會安全地轉移並安全存儲在公司位於美國或歐洲聯盟的安全數據中心(根據測試候選人的位置而定),並根據收集地的適用法律進行保留。生物識別數據在Microsoft Azure中存儲和保護為期三十(30)天,除非作為我們的Paragon測試服務的一部分的生物識別數據,最多保留3年。如果候選人的個人數據與活躍的安全問題或涉及不當行為的調查相關,則保留期限可能會更長。
7. 個人數據的跨境轉移
我們的業務流程通常需要在公司及其附屬實體之間進行國際個人數據的轉移。根據您與公司的關係性質以及適用法律,您的個人數據存儲在位於美國的安全伺服器上。根據您的考試性質和測試地點,公司及其服務提供商可能會在美國以外的國家(包括加拿大、墨西哥、印度或位於歐洲聯盟或亞洲的國家)處理個人數據。
如果將個人數據披露給第三方或披露給根據適用法律不被認為提供足夠保護水平的國家,則公司將確保:
- 實施相關監管機構批准的標準合同條款;
- 採取適當的組織、技術和法律保障措施,以管理跨境數據轉移並確保根據適用法律所需和足夠的保護水平;
- 如果需要,將評估轉移的情況和第三國的立法,如果需要,完成數據轉移影響評估,以確定是否需要實施補充措施。
關於向美國的跨境數據轉移,公司遵守歐盟-美國DPF、英國對歐盟-美國DPF的擴展以及由美國商務部規定的瑞士-美國DPF。
公司已向美國商務部證明其遵守歐盟-美國數據隱私框架原則(EU-U.S. DPF原則),該原則涉及根據歐盟-美國DPF和英國對歐盟-美國DPF的擴展處理從歐盟和英國收到的個人數據。公司已向美國商務部證明其遵守瑞士-美國數據隱私框架原則(Swiss-U.S. DPF原則),該原則涉及根據瑞士-美國DPF處理從瑞士收到的個人數據。
如果本隱私政策中的條款與歐盟-美國DPF原則和/或瑞士-美國DPF原則有任何衝突,則以原則為準。要了解有關DPF計劃的更多信息,並查看我們的認證,請訪問 https://www.dataprivacyframework.gov/。
8. 你的權利是什麼?
根據你的所在地和適用法律,你可能擁有與你的個人數據相關的以下權利:
- 訪問權
- 更正權
- 刪除權
- 限制處理權
- 反對處理權
- 數據可攜權
- 決定你的個人數據在去世後如何使用的權利
行使這些權利受到適用法律和監管機構相關指導的限制。
要行使你的權利,你可以按照“如何聯繫我們”部分中的描述聯繫公司。請記住,刪除記錄可能需要我們終止相關帳戶。在我們能完成你的請求之前,公司可能會詢問額外問題或採取其他步驟以驗證你的身份。如果我們無法滿足你的請求(拒絕或限制),我們將以書面形式說明我們的決定。
根據歐盟-美國DPF、英國擴展至歐盟-美國DPF和瑞士-美國DPF的要求,公司承諾解決與我們收集和使用你的個人數據有關的DPF原則投訴。
對於依賴於歐盟-美國DPF、英國擴展至歐盟-美國DPF和瑞士-美國DPF處理的個人數據有查詢或投訴的歐盟、英國和瑞士數據主體,應首先按照“如何聯繫我們和投訴處理”部分中的描述聯繫公司。
加利福尼亞隱私權
加利福尼亞民法典第1798條允許加利福尼亞居民要求與他們建立商業關係的公司提供有關公司與第三方分享個人數據以進行直接營銷的某些信息。公司在未經同意的情況下,不會將任何加利福尼亞消費者的個人數據與第三方分享以進行營銷。如果你是測試候選人,我們將向你的測試贊助商提供你的個人數據,該贊助商可能根據其自身的隱私政策使用該信息。
9. 我們如何保護你的個人數據?
公司實施各種安全措施,例如技術、物理和行政保護措施,以保護個人數據免受安全事件或未經授權的披露,更一般地說,保護個人數據泄露。這些安全措施被認可為業界適當的安全標準,包括,但不限於,訪問控制、密碼、加密、嚴格的刪除時間限制、日誌機制和定期安全評估。
如果發生可能影響你的個人數據的個人數據泄露,公司將遵循其事件響應計劃,並迅速採取適當行動以減輕對數據主體的風險。此類措施可能包括通知適當的監管機構和受影響的數據主體,同時提供事件和減輕措施的相關詳細信息,這些可能根據適用法律的要求而定。
公司的信息安全計劃每年接受多個第三方組織的審查,以確保其符合或超過可用的最高安全和數據隱私及保護基準。此外,員工和承包商有義務及時報告任何已知或懷疑的濫用、遺失或未經授權訪問的情況。
10. 根據中華人民共和國個人信息保護法(‘PIPL’)處理個人數據
當個人數據位於中華人民共和國(PRC)境內或當個人數據由我們位於PRC的公司處理時,本節適用。
根據PIPL第13條,可以出於以下目的收集個人數據:
- 基於個人的同意;
- 為履行合同,為合法商業利益;
- 履行法定職責和責任或法定義務;
- 處理公開可用數據;
- 滿足法律要求。
根據PIPL第23條的要求,以及第4部分提到的內容,將你的個人數據轉移和共享給第三方,將不會在沒有(1)你的特定同意(如適用)或(2)履行適用法律下的法定職責的情況下進行。
根據本政策中規定的目的,個人數據可以轉移到你居住地以外的國家或地區進行處理。在此時,公司將根據適用法律保護個人數據的安全,包括但不限於實施訪問控制、密碼、加密標準、嚴格的保留期限限制、日誌機制和定期安全評估。
公司將根據PIPL第39條的要求,在將你的個人數據轉移到PRC以外之前,充分告知你跨境數據轉移並獲得你的同意,告知你以下信息:出境接收方的名稱、聯繫信息、處理的目的、處理的方法、個人數據的類型,並提醒你可以根據PIPL行使權利的方法和程序。我們將要求你的明確和單獨的同意來進行此操作。
如果個人數據在PRC以外轉移,公司將根據適用法律進行跨境數據轉移風險評估。
根據PIPL,敏感個人數據被定義為一旦洩露或非法使用,可能會輕易對自然人的尊嚴造成損害,甚至對個人或財產安全造成重大損害的個人數據,包括生物特徵信息、宗教信仰、特殊身份、醫療健康、財務賬戶、個人位置跟踪等,以及14歲以下未成年人的個人數據。
根據PIPL的要求,敏感個人數據的處理必須經數據主體的單獨同意,並且必須為特定的商業目的進行。
Prometric 不會在未獲得父母或其他監護人的單獨同意下,從未滿 14 歲的未成年人處收集個人數據。我們僅會在法律允許的範圍內使用或披露有關兒童的個人數據,以尋求父母同意或保護兒童。
如發生個人數據洩露,Prometric 將對數據主體承擔民事責任,如果侵犯了數據主體的個人數據權利,並且不影響根據 PIPL 由數據控制者承擔的行政、刑事或其他法律責任。
11. 隱私政策的變更
本公司可能需要更新其政策,以遵守新的或不同的隱私實踐。此政策的更新版本將通過適當渠道提供,並適用於其生效日期之後收集的數據。
12. 如何聯繫我們及投訴處理
如對本政策有任何詢問、評論或疑慮,或為了行使適用法律允許的隱私權,請透過我們專用入口提交請求,網址為 個人數據請求。
此外,您也可以通過以下地址聯繫我們的數據保護官: privacy@prometric.com
您也可以通過郵寄方式與我們聯繫:
Prometric 隱私團隊
Prometric LLC
6211 Greenleigh Avenue, Suite 400
Middle River, MD 21220
USA
根據歐盟-美國 DPF、英國擴展至歐盟-美國 DPF 和瑞士-美國 DPF,本公司承諾配合並遵循由歐盟監管機構、英國資訊專員辦公室 (ICO) 和瑞士聯邦數據保護和資訊專員 (FDPIC) 成立的專門小組對於我們處理基於歐盟-美國 DPF、英國擴展至歐盟-美國 DPF 和瑞士-美國 DPF 收到的個人數據的未解決投訴的建議。
如果您的 DPF 投訴無法通過上述渠道解決,在某些條件下,您可以對其他救濟機制未解決的某些剩餘索賠要求進行具有約束力的仲裁。
您也有權直接向您相關管轄區的主管監管機構提出投訴。