搜索

Prometric 全球隱私政策

語言聲明:
本政策以多種語言提供,方便使用。如翻譯版本與英文版本之間存在任何不一致或衝突,則英文版本應被視為官方和具有控制性的政策。

最後更新:2026年1月

介紹

Prometric LLC,包括Paragon及其其他全球子公司和附屬機構(以下統稱為“公司”,“我們”或“我們的”)可能根據其與您(數據主體)的關係,作為數據控制者或數據處理者。

本隱私政策(以下簡稱“政策”)描述了我們對測試候選人、客戶、承包商和合作夥伴(以下簡稱“數據主體”,“您”或“您的”)的個人數據的收集和處理。

公司努力遵守公司運營所在國家的所有數據保護法律和法規,包括但不限於2016年4月27日歐洲議會和理事會第2016/679號法規(關於自然人處理個人數據的保護及該數據的自由流動,並廢止第95/46/EC號指令(通用數據保護條例))(“GDPR”);2018年加州消費者隱私法(“CCPA”),由2020年加州隱私權法(“CPPA”)修訂;中華人民共和國個人信息保護法(“PIPL”);兒童在線隱私保護法(“COPPA”);家庭教育權利與隱私法(“FERPA”);以及全球其他相關數據保護法律和法規。

作為其認證的一部分,公司遵守歐盟-美國數據隱私框架(EU-U.S. DPF)、英國擴展至歐盟-美國DPF以及瑞士-美國數據隱私框架(Swiss-U.S. DPF)以及歐盟、英國和瑞士數據主體的權利。因此,公司受美國聯邦貿易委員會(FTC)的調查和執法權限的約束。

除非另有說明,否則以下定義適用於本政策:

  • “適用法律”指與數據保護相關的相關國家、州或地區的數據保護法律或適用法規。
  • “個人數據”指任何與已識別或可識別的自然人(“數據主體”)相關的信息。
  • “處理”指對個人數據或一組個人數據執行的任何操作或一組操作,無論是否通過自動化手段,例如收集、記錄、組織、結構化、存儲、調整或改變、檢索、查詢、使用、通過傳輸披露、散佈或以其他方式提供、對齊或組合、限制、刪除或銷毀。
  • “監管機構”或“監管機構”指數據保護機構或機關,作為獨立的公共機構,或由政府機構成立,負責監督和/或執行特定管轄區內數據保護法律和法規的應用。

1. 我們收集哪些類型的個人數據?

根據您與公司的關係、考試的性質、提供的服務以及適用法律的要求,公司可能收集以下個人數據:

  • 聯絡資訊,包括姓名、地址、電話號碼、國家特定身份號碼、電子郵件地址、登錄和密碼信息
  • 出生日期
  • 出生國
  • 性別
  • 入學日期(美國)
  • 主要語言
  • 家庭語言
  • 父母/監護人信息
  • 候選人測試和課程安排詳情
  • 測試評估詳情,包括測試候選人ID號碼、參加的考試及其時間、與這些考試相關的分數、結果、參加考試或任何特定考試部分的次數
  • 行為事件
  • 干預措施
  • 出勤情況
  • 評估結果
  • 在測試贊助商要求下的社會安全號碼(美國)
  • 付款和金融機構信息
  • 居住地和國籍
  • 照片
  • 簽名
  • 視頻錄像
  • 音頻錄音(根據適用法律的許可,僅在特定管轄區內)
  • 來自身份驗證或資格證明文件的信息
  • 交易和關係信息,包括揭示候選人測試模式、測試地點、測試結果的信息,以及有關我們的網站和應用程式使用情況的信息
  • 優惠券/代金券信息

此外,公司可能根據適用法律處理特殊類別的個人數據,這些數據可能包括:

  • 生物識別數據(指紋和面部圖像)
  • 與測試候選人要求測試便利相關的健康信息或醫療數據
  • 種族或民族,根據適用法律的許可

公司不會將特殊類別的個人數據用於其他目的,除非該數據最初收集的目的或隨後經數據主體授權的目的,除非我們已獲得您的明確同意(選擇加入)。

我們的一些考試可能要求測試地點管理員掃描您的身份證明文件、記錄您的簽名並拍攝您的照片以進行身份驗證,這些信息將直接存儲在公司的數據庫中。

未成年人個人數據

公司不會在未經未成年人父母或法定監護人同意的情況下,故意收集與未成年人相關的個人數據。公司期望未成年人的父母或法定監護人監督和監控其子女向公司及其代表披露的個人數據。

如有必要,我們協助學校履行其根據FERPA的義務。公司為學生,包括未成年人,提供有限的功能集和網站體驗。本政策中的任何內容均不旨在削弱任何學生(或其父母或法定監護人)在其教育記錄方面的權利。公司特別同意不會違反FERPA披露任何來自教育記錄的個人數據,也不會將此類信息用於任何銷售、營銷、廣告或其他禁止的目的。

公司從教育機構獲取創建學生帳戶所需的最少信息,通常包括電子郵件、密碼、名字和姓氏以及由學生的老師提供的唯一課堂代碼。除了這些信息,學生可以根據他們被指派的活動提交回應,這些回應將在老師和學生之間保密,僅用於學校/老師的目的。除了學生輸入的信息外,我們還會自動收集與我們服務使用相關的信息。

公司不會累積有關任何學生,包括未成年人,或家庭的個人數據供分發、共享或銷售,除非在本政策中描述。沒有學生的個人資料對外公開或對其他學生可見。教師可以與他們在學校共同授課的其他教師分享他們的班級,包括成績或分數,以幫助他們進行協作。

父母權利

公司授權已在我們這裡註冊的未成年人的父母和法定監護人行使根據COPPA的法律權利。

任何希望獲得我們可能存儲的子女個人數據副本的父母可以聯繫其子女的學校人員。學校隨時可以拒絕我們從其學生那裡收集進一步的個人數據,並可以要求我們刪除我們已收集的個人數據。

2. 我們如何收集您的個人數據?

在大多數情況下,公司直接從數據主體收集此類個人數據。然而,在其他情況下,我們可能會從初級或中級學校、測試贊助商或第三方數據供應商那裡獲取信息。當數據主體訪問公司的網站、註冊或參加考試、使用我們的應用程序或聯繫我們時,我們也會收集交易信息以供客戶服務使用。

我們通過我們的行動應用程式收集的所有個人數據都根據本政策的條款受到保護和處理。 我們也僅向選擇接收此類通知的用戶提供自動(“推送”)通知。 沒有任何個人需要向我們提供位置資訊或啟用推送通知以使用我們的任何行動應用程式。

使用 Cookie

在訪問我們的網站時,根據您配置的 Cookie 設置和對設置的同意,我們可能會收集有關您使用網站的某些資訊,例如您訪問網站的日期和時間、您用來訪問網站的瀏覽器、操作系統和設備、您訪問的網站頁面以及引用和退出的網站頁面。 公司可以將該資訊用於各種目的,包括管理和改善公司的網站以及改善我們的產品和服務。  

在適用法律允許的範圍內,並在您的同意下,我們還可以使用資訊來識別您的大致位置,以便為您提供服務或相關的行銷和上下文廣告。 公司還收集互聯網協議(IP)地址和唯一設備識別碼,以便識別重複訪問我們網站的訪客並促進您使用我們的服務。

某些公司的網站用戶選擇以需要公司收集個人數據的方式與我們互動,以便我們能夠為您提供所請求的服務。 我們收集的資訊的數量和類型取決於該互動的性質。  

重要的是要注意,公司的網站可能包含指向其他網站或在線服務的鏈接。 當您使用這些鏈接時,您是在聯繫另一個網站或服務。 公司對這些其他網站或服務及其收集、使用、披露、保留和刪除您的個人資訊不承擔任何責任或義務。 請參閱適用於這些其他網站或在線服務的隱私政策和使用條款。

生物識別數據的收集

生物識別啟用的登記系統和公司的遠程監考平台(稱為 ProProctor)旨在以保護考生隱私的方式提高測試過程的安全性和完整性,同時確認考生身份。在測試登記過程中,會拍攝圖像以收集面部特徵的幾何測量,並將其與考生在註冊時出示的官方身份證件上的面部圖像進行比對。 對於 ProProctor,面部圖像驗證也會在整個測試過程中使用。

面部識別技術也可能涉及人工智能(AI)的使用。 有關 Prometric 如何使用 AI 的更多資訊,請訪問 Prometric對負責任AI的承諾

3. 我們為什麼收集您的個人數據?

代表我們的測試贊助商,公司的目的是收集您的個人數據:  

  • 安排測試考試
  • 驗證身份
  • 管理帳戶和管理測試及付款
  • 管理客戶服務請求
  • 檢測和防止未經授權的考生的欺詐和虛假陳述
  • 進行數據分析以保持測試過程的完整性
  • 向考生和測試贊助商報告測試結果
  • 進行市場活動(例如公告、新測試、新測試中心、促銷、即將舉行的活動、新產品、特殊功能和商店開業),受適用法律的約束
  • 保護和執行公司的法律權利、利益和救濟,並保護公司的業務、運營或客戶或其他人的利益,包括執行任何使用條款、服務條款和其他協議,這些協議管理對公司的產品和服務的訪問或使用
  • 使用網站分析工具(例如 Google Analytics)分析訪客行為
  • 評估和改善跨平台的數字廣告活動的效能
  • 根據適用法律培訓和測試我們的 AI 啟用技術
  • 管理我們的優惠券/折扣券計劃 

對於供應商和其他第三方,我們收集您的個人數據用於以下目的:

  • 供應商管理和行政
  • 發票處理
  • 了解供應商的盡職調查和其他法律要求 

我們僅向公司的員工、承包商和分包商披露個人數據: (i) 必須訪問該資訊以代表我們處理它或提供在公司網站上和通過我們的行動應用程式可用的服務;以及 (ii) 同意不將該資訊披露給他人。 公司不會將個人數據出租、出售或交換給任何第三方。

生物識別數據收集的目的

生物識別數據僅用於: (1) 在候選人參加當前和未來的評估時持續驗證其身份; (2) 檢測和防止未經授權的候選人的欺詐和虛假陳述; (3) 維護測試過程的完整性; (4) 改善測試中心和/或測試內容的安全性; (5) 根據法律要求某些執照計劃使用。  

如果本政策所涵蓋的個人數據將用於與最初收集個人數據的目的或隨後授權的目的在實質上不同的新目的,或者以本政策未規定的方式披露給第三方,我們將為您提供選擇是否讓您的個人數據如此使用或披露的機會。 要求選擇退出此類個人數據的使用或披露的請求應根據下方“如何聯繫我們”部分的說明發送給公司。

4. 處理您的個人數據的法律依據是什麼?

個人數據通常根據以下法律依據收集和處理:

  • 履行合同,包括註冊和安排測試、管理該測試以及處理測試結果。
  • 您對收集和處理特殊類別的個人數據(包括生物識別個人數據)的同意。
  • 如果適用法律要求跨境數據轉移,則需要您的同意。
  • 出於合法商業目的,例如發票處理和財務帳戶管理、備份目的以促進業務連續性、測試中心管理、業務規劃、合同管理、改善提供給客戶的測試服務、向現有考生提議相關服務和產品、網站管理、履行、分析、安全和防止欺詐、公司治理、災難恢復計劃、審計和報告,以及根據適用法律培訓和改進我們的人工智能技術。
  • 遵守任何法律或監管義務。

5. 個人數據的披露

可能處理您的個人數據的第三方包括其他公司的附屬機構、授權的測試中心、測試贊助商和作為公司的處理者提供服務的服務提供者,提供以下服務:數據託管、測試管理服務、業務生產力應用、客戶服務支持和客戶關係管理軟件。  

政府機構可能會根據合法請求訪問個人數據,包括滿足國家安全或執法要求。

在適用法律允許的範圍內,公司使用網站分析和廣告平台來了解用戶在我們網站上的行為並提供相關廣告。 這些平台可能會使用 Cookie、像素或類似技術來收集有關您與我們網站互動的數據。 這些資訊用於幫助我們衡量我們活動的有效性、個性化廣告內容和提升整體用戶體驗。 此類工具的使用程度將取決於您決定如何在瀏覽器上配置 Cookie 設置,並且您可以隨時通過管理 Cookie 偏好來選擇退出個性化廣告。

生物識別數據僅可披露給測試贊助商、執法機構或其他第三方:  

  • 為了調查與所謂的不當行為相關的調查,僅用於調查作弊、未經授權的測試或其他測試候選人的不當行為。   
  • 與有管轄權和/或有權發出此類請求的監管、法律或政府機構的合法請求有關。 

我們與第三方服務提供商簽訂合同,以確保個人數據的處理符合本政策及任何其他根據適用法律要求的適當保密和安全措施。  

如果您是歐盟、英國或瑞士的數據主體,當我們將您的個人數據轉移給上述的第三方服務提供商並為我們或代表我們提供服務時,公司對該數據的處理負責,如果他們以與下面提及的DPF原則不一致的方式處理您的個人數據,則仍將承擔責任,除非我們證明我們對造成損害的事件不負責。  

6. 我們會儲存您的個人數據多久? 

公司已採取全面的記錄管理計劃和相關的保留時間表,並遵循該計劃,以便在業務過程中保留、存儲和銷毀所有創建的記錄,包括那些包含個人數據的記錄。 我們還部署了一個數據管理策略,根據地區性數據伺服器劃分數據。   

根據客戶特定的合同要求和適用法律,我們公司將在處理期間保留您的個人數據,最少為:  

  • 自最後一次服務、測試或評估之日起五(5)年;或
  • 收集個人數據的目的到期;或
  • 根據收集個人數據的適用管轄區的法律。  

公司不會將個人數據保留超過上述目的所需的時間。然而,如果為遵守客戶特定的合同要求和適用法律所需,或為保護或行使我們的權利所需,我們可能會更長時間保留個人數據。 

就與移民、難民和加拿大公民事務部相關的測試結果而言,我們按照移民、難民和加拿大公民事務部的要求,保留您的個人數據記錄,最少保留期限(目前為十(10)年)。就與澳大利亞簽證相關的測試結果而言,我們按照澳大利亞聯邦的要求,保留您的個人數據記錄,最少保留期限(目前為七(7)年)。 

生物識別數據的存儲 

所有在計算機基礎的測試中心收集的生物識別數據都會安全地轉移到公司位於美國或歐洲聯盟的安全數據中心中,並根據收集地的適用法律進行保留。 生物識別數據在Microsoft Azure中存儲和保護的時間為三十(30)天,但我們的Paragon測試服務中的生物識別數據則保留最多三年。如果候選人的個人數據與積極的安全問題或涉及不當行為的調查有關,則保留期限可能會更長。  

7. 個人數據的跨境傳輸

我們的業務流程通常需要在公司與其附屬實體之間進行國際間的個人數據傳輸。 根據您與公司的關係性質以及適用法律,您的個人數據存儲在位於美國的安全伺服器上。根據您的考試性質和測試地點,公司及其服務提供商可能在美國以外的國家處理個人數據,包括加拿大、墨西哥、印度或位於歐洲聯盟或亞洲的國家。   

如果個人數據被披露給第三方或被披露給不被認為提供足夠保護水平的國家,則公司將確保:  

  • 實施相關監管機構批准的標準合同條款;
  • 採取適當的組織、技術和法律保障措施,以管理跨境數據傳輸並確保根據適用法律的必要和適當的保護水平;
  • 如有必要,將評估轉移的情況及第三國的立法,並如有需要,完成數據轉移影響評估,以確定是否需要實施補充措施。  

關於向美國的跨境數據傳輸,公司遵守歐盟-美國DPF、英國擴展至歐盟-美國DPF以及瑞士-美國DPF,這些均由美國商務部規定。 

公司已向美國商務部證明其遵守歐盟-美國數據隱私框架原則(EU-U.S. DPF原則),以處理來自歐盟和英國的個人數據,並依賴於歐盟-美國DPF和英國擴展至歐盟-美國DPF。 公司已向美國商務部證明其遵守瑞士-美國數據隱私框架原則(Swiss-U.S. DPF原則),以處理來自瑞士的個人數據,並依賴於瑞士-美國DPF。 

如果本隱私政策中的條款與歐盟-美國DPF原則和/或瑞士-美國DPF原則之間有任何衝突,則以原則為準。要了解有關DPF計劃的更多信息,並查看我們的認證,請訪問 https://www.dataprivacyframework.gov/

8. 您的權利是什麼? 

根據您的位置和適用法律,您可能擁有與您的個人數據相關的以下權利: 

  • 訪問權
  • 更正權
  • 刪除權
  • 限制處理權
  • 反對處理權
  • 數據可攜權
  • 有權決定您的個人數據在身後如何使用 

行使這些權利受適用法律和監管機構的相關指導所限制。

要行使您的權利,您可以按照「如何聯繫我們」部分所述聯繫公司。請注意,刪除記錄可能需要我們終止相關帳戶。在我們能完成您的請求之前,公司可能會要求額外的問題或採取其他步驟來驗證您的身份。如果我們無法滿足您的請求(拒絕或限制),我們將以書面形式說明我們的決定。

根據歐盟-美國數據隱私框架(EU-U.S. DPF)、英國對歐盟-美國數據隱私框架的擴展和瑞士-美國數據隱私框架(Swiss-U.S. DPF),公司承諾解決與我們收集和使用您的個人數據相關的DPF原則投訴。 

對於基於歐盟-美國數據隱私框架、英國對歐盟-美國數據隱私框架的擴展和瑞士-美國數據隱私框架而收到的個人數據處理有疑問或投訴的歐盟、英國和瑞士數據主體,應首先按照「如何聯繫我們和投訴處理」部分所述聯繫公司。

加州隱私權

加州民法第1798條允許加州居民要求與其建立商業關係的公司提供有關該公司與第三方共享個人數據以進行直接營銷目的的某些信息。公司在未經同意的情況下不會將任何加州消費者的個人數據與第三方共享以進行營銷目的。如果您是測試候選人,我們將向您的測試贊助者提供您的個人數據,贊助者可能會根據其自己的隱私政策使用該信息。

9. 我們如何保護您的個人數據?

公司實施各種安全措施,例如技術、物理和管理保障,以保護個人數據免受安全事件或未經授權的披露,並更一般地防止個人數據泄露。這些安全措施被認為是行業內適當的安全標準,包括但不限於訪問控制、密碼、加密、嚴格的刪除時間限制、日誌記錄機制和定期安全評估。 

在可能影響您的個人數據的個人數據泄露事件中,公司遵循其事件響應計劃,並將迅速採取適當行動以減輕對數據主體的風險。這些措施可能包括通知相關的監管機構和受影響的數據主體,同時提供事件和減輕措施的相關細節,這些細節可能依據適用法律的要求而有所不同。

公司的信息安全計劃每年由多個第三方組織審查,以確保其滿足或超過可用的最高安全和數據隱私及保護基準。此外,員工和合同方有義務及時報告任何已知或懷疑的誤用、丟失或未經授權的訪問事件。

10. 根據中華人民共和國個人信息保護法(‘PIPL’)處理個人數據

當個人數據位於中華人民共和國(PRC)的邊界內或由我們位於PRC的公司處理時,本節適用。

根據PIPL第13條,個人數據可出於以下目的收集:

  • 基於個人的同意;
  • 為履行合同、合法商業利益;
  • 履行法定職責和責任或法定義務;
  • 處理公開可用的數據;
  • 滿足法律要求。

根據PIPL第23條的要求以及第4節中提到的內容,未經(1)您的具體同意(如適用),或(2)為履行適用法律下的法定職責,將不會將您的個人數據轉移和共享給第三方。

根據本政策規定的目的,個人數據可能會轉移到您居住地以外的國家或地區進行處理。在這種情況下,公司將根據適用法律保護個人數據的安全,包括但不限於實施訪問控制、密碼、加密標準、嚴格的保留期限、日誌記錄機制和定期安全評估。

公司將根據PIPL第39條在將您的個人數據轉移到PRC以外之前充分告知您跨境數據轉移的情況,並獲得您的同意,告知您以下內容:出境接收者的名稱、聯繫信息、處理的目的、處理的方法、個人數據的類型,並提醒您可以根據PIPL行使權利的方法和程序。我們將要求您明確和單獨的同意以執行此操作。

如有需要,公司將根據適用法律進行跨境數據轉移風險評估,如果個人數據轉移到PRC以外。

根據PIPL,敏感個人數據被定義為一旦泄露或非法使用,可能會輕易對自然人的尊嚴造成嚴重損害或對個人或財產安全造成重大損害的個人數據,包括生物特徵、宗教信仰、特殊身份、醫療健康、金融賬戶、個人位置跟踪等信息,以及14歲以下未成年人的個人數據。

根據PIPL及第2節的詳細內容,敏感個人數據的處理需經數據主體的單獨同意,並出於特定的商業目的進行。

Prometric不會在未經父母或其他監護人的單獨同意的情況下收集14歲以下未成年人的個人數據。我們僅在法律允許的範圍內使用或披露有關兒童的個人數據,根據適用法律尋求父母的同意或保護兒童。

在發生個人數據泄露事件時,如果侵犯了數據主體的個人數據權利,Prometric應承擔對數據主體的民事責任,並不影響數據控制者根據PIPL所應承擔的行政、刑事或其他法律責任。

11. 隱私政策的變更

公司可能需要更新其政策以遵守新的或不同的隱私實踐。此政策的更新版本將通過適當的渠道提供,並將適用於其生效日期之後收集的數據。

12. 如何聯繫我們及投訴處理

如對本政策有任何查詢、意見或疑慮,或為行使適用法律允許的隱私權,請通過我們的專用入口提交請求,網址為 個人數據請求

此外,您也可以通過以下地址聯繫我們的數據保護官: privacy@prometric.com

您也可以透過郵政郵件與我們聯繫:  

Prometric 隱私團隊 
Prometric LLC
6211 Greenleigh Avenue, Suite 400  
Middle River, MD 21220  
USA 

根據歐盟 - 美國隱私盾、英國擴展的歐盟 - 美國隱私盾及瑞士 - 美國隱私盾,公司承諾配合並遵守由歐盟監管機構、英國信息專員辦公室 (ICO) 及瑞士聯邦數據保護和信息專員 (FDPIC) 設立的專家小組的建議,針對我們在依賴歐盟 - 美國隱私盾、英國擴展的歐盟 - 美國隱私盾及瑞士 - 美國隱私盾處理的個人數據中未解決的投訴。 

如果您的隱私盾投訴無法通過上述渠道解決,在某些條件下,您可以對其他救濟機制未解決的一些剩餘索賠啟動具約束力的仲裁。  

您還有權直接向您相關法域的主管監管機構提出投訴。