搜索

Prometric 全球隱私政策

語言聲明:
本政策以多種語言提供,以方便使用。如翻譯版本與英文版本之間存在任何差異或衝突,英文版本應被視為官方和控制性政策。

最後更新:2025年9月

介紹

Prometric LLC,包括 Paragon 及其其他全球子公司和附屬機構(以下統稱為“公司”、“我們”或“我們的”)可能根據其與您,即數據主體的關係擔任數據控制者或數據處理者。

本隱私政策(以下稱為“政策”)描述了我們對考試候選人、客戶、承包商和合作夥伴的個人數據的收集和處理(以下稱為“數據主體”、“您”或“您的”)。

公司致力於遵守公司運營所在國家的所有數據保護法律和法規,包括但不限於2016年4月27日歐洲議會和理事會第(EU)2016/679號法規,關於自然人有關個人數據處理的保護及該等數據的自由流動,以及廢止第95/46/EC號指令(通用數據保護條例)(“GDPR”);2018年加利福尼亞消費者隱私法案(“CCPA”),由2020年加利福尼亞隱私權法案(“CPPA”)修訂;中華人民共和國個人信息保護法(“PIPL”);兒童在線隱私保護法(“COPPA”);家庭教育權隱私法(“FERPA”);以及全球其他相關數據保護法律和法規。

作為其認證的一部分,公司遵循歐盟-美國數據隱私框架(EU-U.S. DPF)、英國擴展至歐盟-美國數據隱私框架,以及瑞士-美國數據隱私框架(Swiss-U.S. DPF),以及歐盟、英國和瑞士數據主體的權利。因此,公司受到美國聯邦貿易委員會(FTC)的調查和執法權限的約束。

除非另有註明,以下定義適用於本政策:

“適用法律”指與數據保護相關的相關國家、州或地區的數據保護法律或適用法規。

“個人數據”是指與已識別或可識別的自然人有關的任何信息。

“處理”是指對個人數據或個人數據集進行的任何操作或一組操作,無論是否通過自動化方式進行,例如收集、記錄、組織、結構化、存儲、適應或變更、檢索、諮詢、使用、通過傳輸披露、散佈或以其他方式提供、對齊或合併、限制、刪除或銷毀。

“監管機構”或“監管機構”指由政府機構設立的獨立公共機構,負責監督和/或執行特定司法管轄區內的數據保護法律和法規。

1. 我們收集哪些類型的個人數據?

根據您與公司的關係、考試的性質、提供的服務以及適用法律的要求,公司可能會收集以下個人數據:

  • 聯絡信息,包括姓名、地址、電話號碼、國家特定的識別號碼、電子郵件地址、登錄和密碼信息
  • 出生日期
  • 出生國
  • 性別
  • 入學日期(美國)
  • 主要語言
  • 家庭語言
  • 父母/監護人信息
  • 考生測試和課程安排詳情
  • 測試評估詳情,包括考生ID號碼、參加的考試及其時間、與這些考試相關的分數、結果,以及參加考試或任何特定考試部分的次數
  • 行為事件
  • 干預措施
  • 出勤情況
  • 評估結果
  • 在考試贊助商要求下的社會安全號碼(美國)
  • 支付和金融機構信息
  • 居住地和國籍
  • 照片
  • 簽名
  • 視頻錄像
  • 音頻錄音(在法律允許的範圍內及僅在特定司法管轄區內)
  • 來自身份、驗證或資格文件的信息
  • 交易和關係信息,包括揭示考生測試模式、測試地點、測試結果及我們的網站和應用程序的使用信息的要素。

此外,公司可能會根據適用法律處理特殊類別的個人數據,包括:

  • 生物識別數據(指紋和面部圖像)
  • 與考生申請測試便利相關的健康信息或醫療數據
  • 種族或民族,根據適用法律的規定

除非我們已獲得您的明示和肯定的同意(選擇加入),否則公司不會將特殊類別的個人數據用於其他目的。

我們的一些考試可能要求考試中心管理員掃描您的身份證明文件副本、記錄您的簽名並拍攝您的照片以作為身份證明,這些信息將直接存儲在公司的數據庫中。

2. 未成年人的個人數據

公司不會在未經未成年人父母或法定監護人同意的情況下,故意收集與未成年人有關的個人數據。公司期望未成年人的父母或法定監護人監督和監控他們孩子向公司及其代表披露個人數據的行為。

如有必要,我們協助學校履行其根據FERPA的義務。公司為未成年人提供有限的功能集和網站體驗。本政策中的任何內容均不旨在減少學生(或其父母或法定監護人)在其教育記錄方面的權利。公司特此同意不會披露任何違反FERPA的教育記錄中的個人數據,不會將此類信息用於任何銷售、營銷、廣告或其他禁止的用途,以及個人數據。

公司從教育機構接收創建學生賬戶所需的最少信息,通常包括電子郵件、密碼、姓名和由學生教師提供的唯一課堂代碼。超出這些信息,學生可以根據他們被分配的活動提交回應,這些回應將在教師和學生之間保密,僅用於學校/教師的目的。除了學生輸入的信息外,我們還自動收集與我們服務使用相關的信息。

公司不會為了分發、共享或銷售而累積有關任何未成年人或家庭的個人數據,除非在本政策中描述。沒有學生的檔案會向公眾或其他學生公開或可見。教師可以與他們在學校共同教授的其他教師分享自己的課堂,包括成績或分數,以幫助他們進行合作。

父母權利

公司授權已在我們這裡註冊賬戶的未成年人的父母和法定監護人行使其根據COPPA的法律權利。

任何希望獲取其子女個人數據副本的父母可以聯繫其子女的學校人員。在任何時候,學校也可以拒絕允許我們從其學生那裡收集進一步的個人數據,並可以要求我們刪除我們已收集的個人數據。

3. 我們如何收集您的個人資料?

在大多數情況下,公司直接從資料主體收集這些個人資料。

但是,在其他情況下,我們可能會從初級或次級學校、考試贊助商或第三方數據供應商那裡獲取信息。當資料主體訪問公司的網站、註冊或參加考試、使用我們的應用程序或與我們聯繫時,我們也會收集交易信息以用於客戶服務目的。

我們通過移動應用程序收集的所有個人資料均受本政策條款的保護和處理。我們還僅向選擇接收此類通知的用戶提供自動(“推送”)通知。任何個人都不需要向我們提供位置信息或啟用推送通知以使用我們的任何移動應用程序。

在使用我們的網站時,根據您配置的Cookie設置,我們可能會自動收集有關您使用網站的某些信息,例如您訪問網站的日期和時間、您用來訪問網站的瀏覽器、操作系統和設備、您訪問的網站頁面以及引用和退出網站頁面。公司可能會將這些信息用於各種目的,包括管理和改進公司的網站以及改進我們的產品和服務。

在適用法律允許的情況下,我們還可能使用信息來識別您的一般位置,以便為您提供服務或相關的市場營銷和上下文廣告。公司還收集互聯網協議(IP)地址和唯一設備識別碼,以便識別重複訪問我們網站的訪客,並促進您使用我們的服務。

某些公司的網站用戶選擇以需要公司收集個人資料的方式與我們互動,以便我們能夠為您提供所請求的服務。我們收集的信息的數量和類型取決於該互動的性質。

需要注意的是,公司的網站可能包含指向其他網站或在線服務的鏈接。當您使用這些鏈接時,您正在聯繫另一個網站或服務。公司對這些其他網站或服務以及它們的收集、使用、披露、保留和刪除您的個人信息不承擔任何責任或義務。請參閱適用於這些其他網站或在線服務的隱私政策和使用條款。

生物識別數據的收集

生物識別啟用的登記系統和公司的遠程監考平台(稱為ProProctor)旨在以保護考生隱私的方式增強測試過程的安全性和完整性,同時確認考生的身份。這些技術包括指紋和面部識別的使用,並用於身份驗證目的,以檢測和防止欺詐和虛假陳述,維護測試過程的完整性,並提高考試中心和遠程監考考試的安全性。

4. 我們為什麼收集您的個人資料?

代表我們的考試贊助商,公司收集您的個人資料的目的包括:

  • 安排考試
  • 驗證身份
  • 管理帳戶和管理考試及付款
  • 管理客戶服務請求
  • 檢測和防止未經授權的考生的欺詐和虛假陳述
  • 進行數據分析以維持測試過程的完整性
  • 向考生和考試贊助商報告考試結果
  • 進行市場營銷活動(例如公告、新考試、新考試中心、促銷、即將舉行的活動、新產品、特殊功能和商店開業),遵循適用法律
  • 保護和執行公司的法律權利、利益和救濟,並保護公司的業務、運營或客戶或其他人,包括執行任何使用條款、服務條款和其他管理訪問或使用公司的產品和服務的協議
  • 使用網站分析工具(例如Google Analytics 4)分析訪客行為
  • 評估和改善跨平台的數字廣告活動的性能
  • 訓練和測試我們的人工智能技術,遵循適用法律。

對於供應商和其他第三方,我們收集您的個人資料的目的如下:

  • 供應商管理和管理
  • 發票處理
  • 了解您的供應商的盡職調查和其他法律要求

我們僅向公司的員工、承包商和分包商披露個人資料,這些人:(i) 必須訪問該信息以代表我們處理或提供在公司網站及通過我們的移動應用程序上可用的服務;並且(ii) 同意不向他人披露該信息。公司不會將個人資料出租、出售或交換給任何第三方。

如果本政策涵蓋的個人資料將用於與最初收集該個人資料或隨後授權的用途在實質上不同的新用途,或以本政策未規定的方式披露給第三方,我們將提供給您選擇是否讓您的個人資料被如此使用或披露的機會。要求選擇退出此類個人資料使用或披露的請求應按照下方“如何聯繫我們”部分的說明發送給公司。

5. 處理您的個人資料的法律依據是什麼?

個人資料通常根據以下法律依據收集和處理:

  • 履行合同,包括註冊和安排考試、管理該考試、預防欺詐和處理考試結果。
  • 您對收集和處理特殊類別的個人資料的同意。
  • 根據適用法律,如果需要,您對跨境數據轉移的同意。
  • 出於合法的商業目的,例如發票處理和財務帳戶管理、備份目的以促進業務連續性、考試中心管理、業務規劃、合同管理、改善提供給我們客戶的測試服務、向現有考生提議相關服務和產品、網站管理、履行、分析、安全和防止欺詐、公司治理、災難恢復計劃、審計和報告,以及按適用法律允許的方式訓練和改善我們的人工智能技術。
  • 遵守任何法律或監管義務。

6. 個人資料的披露

可能處理您的個人資料的第三方包括其他公司附屬機構、授權考試中心、考試贊助商和我們的服務提供商,這些服務提供商作為公司的處理者,提供以下服務:數據託管、考試管理服務、商業生產力應用程序、客戶服務支持和客戶關係管理軟件。

政府機構可能會因合法請求而訪問個人資料,包括滿足國家安全或執法要求。

在適用法律允許的情況下,公司使用網站分析和廣告平台來了解我們網站上的用戶行為並投放相關廣告。這些平台可能使用Cookie、像素或類似技術來收集有關您與我們網站互動的數據。這些信息用於幫助我們衡量我們活動的有效性、個性化廣告內容並增強整體用戶體驗。這些工具的使用程度將取決於您決定如何配置瀏覽器上的Cookie設置,您可以隨時通過管理您的Cookie偏好來選擇退出個性化廣告。

生物識別數據僅可披露給第三方:

  • 為了與涉嫌不當行為相關的調查,僅出於調查作弊、未經授權的測試或其他考生不當行為的目的。
  • 與有管轄權和/或有權做出此類請求的監管、法律或政府機構的合法請求相關。

我們與第三方服務提供商簽訂合同,以確保個人數據的處理符合本政策和適用法律要求的任何其他適當保密和安全措施。

如果您是歐盟、英國或瑞士的數據主體,當我們將您的個人數據轉移給上述的第三方服務提供商,並且他們為我們或代表我們提供服務時,該公司對他們處理該數據負責,並且如果他們以不符合以下所述DPF原則的方式處理您的個人數據,則該公司將保持責任,除非我們證明我們對造成損害的事件不負責。

7. 我們會存儲您的個人數據多久?

該公司已採取全面的記錄管理程序及相關的保留計劃,以便於保留、存儲和銷毀在其業務過程中創建的所有記錄,包括那些包含個人數據的記錄。我們還部署了一個數據管理策略,根據地區定位的數據伺服器對數據進行隔離。

根據客戶特定合同要求和適用法律,我們的公司將在處理期間保留您的個人數據,最短為以下期限:

  • 自最後一次服務、測試或評估之日起五(5)年;或
  • 個人數據收集的目的到期;或
  • 個人數據收集地的適用法律。

該公司不會將個人數據保留超過上述目的所需的時間。然而,如果需要遵守客戶特定合同要求和適用法律,或為了保護或行使其權利,我們可能會更長時間保留個人數據。

在與加拿大移民、難民和公民事務部相關的測試結果的情況下,我們將根據加拿大移民、難民和公民事務部的要求,保留您的個人數據記錄,最短保留期限為(目前為十(10)年)。在與澳大利亞簽證相關的測試結果的情況下,我們將根據澳大利亞聯邦的要求,保留您的個人數據記錄,最短保留期限為(目前為七(7)年)。

生物識別數據的存儲

所有在計算機測試中心收集的生物識別數據都將安全地轉移並安全地存儲在公司位於歐盟的安全數據中心,並根據收集地的適用法律進行保留。生物識別數據在Microsoft Azure中存儲和保護的期限為三十(30)天。

8. 跨境個人數據轉移

我們的業務流程通常需要在公司及其附屬實體之間進行國際個人數據的轉移。根據您與公司的關係性質,並根據適用法律,您的個人數據存儲在位於美國的安全伺服器上。根據您的考試性質和測試地點,公司及其服務提供商可能會在美國以外的國家(包括加拿大、墨西哥、印度和其他位於歐盟或亞洲的國家)處理個人數據。

如果個人數據被披露給第三方或披露到不被視為根據適用法律提供足夠保護水平的國家,則公司將確保:

  • 實施相關監管機構批准的標準合同條款;
  • 採取適當的組織、技術和法律保障措施,以規範跨境數據轉移並確保根據適用法律所需和足夠的保護水平。
  • 如有必要,將評估轉移的情況及第三國的立法,並如有需要,完成數據轉移影響評估,以確定是否需要實施補充措施。

關於向美國的跨境數據轉移,公司遵守歐盟-美國DPF、英國對歐盟-美國DPF的擴展和瑞士-美國DPF,這些均由美國商務部所規定。

該公司已向美國商務部證明,它遵守歐盟-美國數據隱私框架原則(EU-U.S. DPF原則),並根據歐盟-美國DPF及英國對歐盟-美國DPF的擴展,處理從歐盟和英國接收的個人數據。該公司已向美國商務部證明,它遵守瑞士-美國數據隱私框架原則(Swiss-U.S. DPF原則),並根據瑞士-美國DPF處理從瑞士接收的個人數據。

如果本隱私政策中的條款與歐盟-美國DPF原則和/或瑞士-美國DPF原則之間存在任何衝突,則以原則為準。要了解有關數據隱私框架(DPF)計劃的更多信息,並查看我們的認證,請訪問 https://www.dataprivacyframework.gov/

9. 您的權利是什麼?

根據您的位置和適用法律,您可能擁有與您的個人數據相關的以下權利:

  • 訪問權
  • 更正權
  • 刪除權
  • 限制處理權
  • 反對處理權
  • 數據可攜權
  • 決定您的個人數據在死後如何使用的權利

行使這些權利受適用法律及監管機構相關指導的限制。

為了行使您的權利,數據主體可以按照“如何聯繫我們”一節中的描述聯繫公司。請注意,刪除記錄可能需要我們終止相關帳戶。在我們完成您的請求之前,公司可能會提出額外問題或採取其他步驟來確認請求者的身份。如果我們無法滿足您的請求(拒絕或限制),我們將以書面形式說明我們的決定。

根據歐盟-美國數據隱私框架(EU-U.S. DPF)、英國對歐盟-美國數據隱私框架的擴展以及瑞士-美國數據隱私框架(Swiss-U.S. DPF),公司承諾解決有關我們收集和使用您的個人數據的DPF原則相關的投訴。

對於有關我們根據歐盟-美國數據隱私框架、英國對歐盟-美國數據隱私框架擴展以及瑞士-美國數據隱私框架處理個人數據的查詢或投訴的歐盟、英國和瑞士數據主體,應首先按照“如何聯繫我們和投訴處理”一節中的描述聯繫公司。

加州隱私權

加州民法第1798條允許加州居民要求與其建立商業關係的公司提供有關公司與第三方分享個人數據以用於直接營銷目的的某些信息。公司不會在未經同意的情況下與第三方分享任何加州消費者的個人數據以用於營銷目的。如果您是測試候選人,我們將向您的測試贊助商提供您的個人數據,贊助商可能會根據其自身的隱私政策使用該信息。

10. 我們如何保護您的個人數據?

公司實施各種安全措施,例如技術性、物理性和管理性保障,以保護所有個人數據免受安全事件或未經授權的披露,以及更一般地防止個人數據洩露。這些安全措施被認可為行業中適當的安全標準,包括但不限於訪問控制、密碼、加密、嚴格的刪除時間限制、日誌機制和定期安全評估。

如果發生可能影響您的個人數據的個人數據洩露事件,公司將遵循其事件響應計劃,並將迅速採取適當措施以減輕對數據主體的風險。這些措施可能包括通知相關的監管機構和受影響的數據主體,同時提供事件的相關細節和根據適用法律可能要求的緩解措施。

公司的信息安全計劃每年由多個第三方機構多次審查,以確保其符合或超過可用於安全和數據隱私與保護的最高基準。此外,員工和承包商有義務及時報告任何已知或懷疑的濫用、遺失或未經授權的訪問情況。

11. 根據中華人民共和國個人信息保護法(“PIPL”)處理個人數據

當個人數據位於中華人民共和國(PRC)境內或當個人數據由我們位於PRC的子公司處理時,本節適用。

根據PIPL第13條,個人數據可以出於以下目的進行收集:

  • 基於個人的同意;
  • 為履行合同、合法商業利益;
  • 履行法定職責和責任或法定義務;
  • 處理公開可用數據;
  • 滿足法律要求。

根據PIPL第23條的要求以及第4節中提到的內容,向第三方轉移和共享您的個人數據將不會在未經(1)您的具體同意(如適用)或(2)履行根據適用法律的法定職責的情況下進行。

根據本政策中規定的目的,個人數據可能會被轉移到您居住地以外的國家或地區進行處理。在此情況下,公司將根據適用法律保護個人數據的安全,包括但不限於實施訪問控制、密碼、加密標準、嚴格的保留期限、日誌機制和定期安全評估。

根據PIPL第39條的要求,在將您的個人數據轉移到PRC以外之前,公司將充分告知您跨境數據轉移的情況,並獲得您的同意,告知您以下信息:出境接收者的名稱、聯繫信息、處理的目的、處理方法、個人數據的類型,並提醒您行使根據PIPL的權利的方法和程序。我們將要求您明確和單獨的同意來進行此操作。

如有需要,公司將根據適用法律進行跨境數據轉移風險評估,如果個人數據被轉移到PRC以外。

根據PIPL,敏感個人數據被定義為一旦洩露或非法使用可能會對自然人的尊嚴造成嚴重損害的個人數據,包括生物特徵信息、宗教信仰、特定身份狀態、醫療健康、金融賬戶、個人位置追蹤等信息,以及14歲以下未成年人的個人數據。

根據PIPL的要求,如本政策第1和第3節所述,處理敏感個人數據需經個人單獨同意,並且該處理需出於特定的商業目的。

公司不會在未經父母或其他監護人的單獨同意的情況下收集14歲以下未成年人的個人數據。我們僅在法律允許的範圍內使用或披露有關兒童的個人數據,根據適用的法律法規尋求家長同意或保護兒童。

如果發生個人數據洩露事件,若公司侵害了數據主體的個人數據權利,則應承擔民事責任,但不影響根據PIPL由數據控制者承擔的行政、刑事或其他法律責任。

12. 隱私政策的變更

公司可能會更新本政策,以遵循新的或不同的隱私實踐和適用法律的變更。更新版本的本政策將通過適當的渠道提供,並適用於其生效日期之後收集的數據。

13. 如何聯繫我們和投訴處理

如對本政策有任何詢問、意見或疑慮,或為了行使適用法律所允許的隱私權,請通過我們專門的門戶網站提交請求,網址為 個人數據請求

此外,您也可以通過以下地址聯繫我們的數據保護官: privacy@prometric.com

您也可以通過郵寄方式聯繫我們: 

Prometric 隱私計劃經理
Prometric LLC, 1501 South Clinton Street
Baltimore, Maryland 21224 USA

根據歐盟-美國數據保護框架(DPF)、英國對歐盟-美國 DPF 的擴展以及瑞士-美國 DPF,公司承諾配合並遵從由歐盟監管機構、英國信息專員辦公室(ICO)以及瑞士聯邦數據保護和信息專員(FDPIC)成立的委員會的建議,處理未解決的與我們對依賴於歐盟-美國 DPF、英國對歐盟-美國 DPF 的擴展以及瑞士-美國 DPF 收取的個人數據的處理相關的投訴。

如果您的 DPF 投訴無法通過上述渠道解決,在某些條件下,您可以對一些未通過其他救濟機制解決的剩餘索賠進行約束性仲裁。

您還有權直接向您相關司法管轄區的主管監管機構提出投訴。