개인정보처리방침

수집하는 개인정보

• OAuth 로그인 정보: 이름, 이메일 주소, 프로필 이미지 (Google, Kakao 제공)
• 감정 데이터: 안정화 단계에서 선택한 감정, 그라운딩 응답
• Transform 이미지: 업로드한 사진 (처리 후 즉시 삭제, 서버에 저장하지 않음)
• Circle 데이터: 체크인 내용, 기분 점수, 실천 약속, 동료 응답, 닉네임
• 결제 정보: Stripe를 통한 구독 정보 (카드 번호는 HealFrame 서버에 저장되지 않음)
• 세션 데이터: sessionStorage를 통한 분석 결과 (브라우저 종료 시 삭제)
• 회복 리포트: AI가 생성한 분석 결과 및 감정 추이 데이터

수집 목적

• 서비스 제공: 회복 단계 안내, 개인화된 AI 가이던스 생성
• AI 분석: Google Gemini API를 통한 안전 분류, 이미지 리스크립팅, 회복 반영
• 결제 처리: Stripe를 통한 Pro 구독 관리
• 서비스 개선: 익명화된 사용 패턴 분석

처리의 법적 근거 (GDPR)

EU/EEA 이용자의 개인정보 처리는 다음 법적 근거에 기반합니다:

• 동의 (제6조 1항 a호): 이미지 업로드, Circle 참여, AI 분석 등 선택적 기능 이용 시
• 계약 이행 (제6조 1항 b호): 서비스 제공 및 계정 관리를 위한 처리
• 정당한 이익 (제6조 1항 f호): 서비스 보안, 사기 방지, 서비스 개선
• 법적 의무 (제6조 1항 c호): 결제 기록 보관 등 법령 준수

제3자 제공

• Google Gemini API: AI 분석을 위해 텍스트 및 이미지 데이터를 전송합니다. API를 통해 전송된 데이터는 Google의 AI 모델 학습에 사용되지 않습니다. Google의 개인정보처리방침이 적용됩니다.
• Stripe: 결제 처리를 위해 결제 정보를 전송합니다. Stripe의 개인정보처리방침이 적용됩니다.
• OAuth 제공자 (Google, Kakao): 로그인 인증을 위해 기본 프로필 정보를 제공받습니다.
• Vercel: 서비스 호스팅 및 배포를 위해 이용됩니다. Vercel의 개인정보처리방침이 적용됩니다.

국제 데이터 이전

서비스 운영을 위해 개인정보가 다음과 같이 국외로 이전될 수 있습니다:

• Google (미국): AI 분석을 위한 텍스트/이미지 데이터 전송. Google은 EU-US Data Privacy Framework에 참여하고 있습니다.
• Stripe (미국): 결제 처리를 위한 결제 정보 전송. Stripe는 EU-US Data Privacy Framework 인증을 받았습니다.
• Vercel (미국): 서비스 호스팅. 표준 계약 조항(SCC)이 적용됩니다.

모든 국제 이전은 적정성 결정, 표준 계약 조항(SCC), 또는 EU-US Data Privacy Framework 등 적절한 안전장치를 통해 보호됩니다.

자동화된 의사결정

서비스는 다음과 같은 자동화된 처리를 수행합니다:

• AI 콘텐츠 안전 분류: Circle 체크인 및 응답에 대해 AI가 안전 수준(GREEN/AMBER/RED)을 자동 분류합니다. RED로 분류된 콘텐츠는 자동 차단되며 위기 자원이 안내됩니다.
• AI 회복 반영: Pro 이용자의 체크인에 대해 AI가 자동으로 개인화된 반영을 생성합니다.

이용자는 자동화된 의사결정에 대해 이의를 제기하거나 인적 개입을 요청할 수 있습니다. contact@soursea.io으로 연락해주세요.

개인정보 처리 위탁

서비스는 원활한 운영을 위해 다음과 같이 개인정보 처리를 위탁합니다:

• Google LLC: AI 분석 처리 (텍스트/이미지 안전 분류, 반영 생성)
• Stripe, Inc.: 결제 처리 및 구독 관리
• Vercel, Inc.: 서비스 호스팅, 배포, 서버리스 함수 실행
• Resend, Inc.: 이메일 발송 서비스

보유 기간

• 계정 정보: 회원 탈퇴 시까지
• Circle 데이터: 서클 탈퇴 후 30일 이내 삭제
• Transform 이미지: 처리 즉시 삭제 (서버 미저장)
• 결제 기록: 관련 법령에 따라 5년 보관 (전자상거래법, 국세기본법)

보유 기간이 만료된 개인정보는 지체 없이 파기합니다. 전자적 파일은 복구 불가능한 방법으로 영구 삭제하며, 종이 문서는 분쇄 또는 소각합니다.

데이터 주체 권리

• 열람권: 수집된 개인정보의 열람을 요청할 수 있습니다.
• 삭제권: 계정 및 관련 데이터의 삭제를 요청할 수 있습니다.
• 동의 철회: 언제든지 개인정보 수집 및 이용 동의를 철회할 수 있습니다.
• 이동권: 본인의 데이터를 구조화된 형식(JSON)으로 받을 수 있습니다. 계정 설정에서 직접 내보내기가 가능합니다.
• 정정권: 부정확한 개인정보의 정정을 요청할 수 있습니다.
• 처리 제한권: 특정 조건 하에서 개인정보 처리의 제한을 요청할 수 있습니다.

아동 개인정보 보호

서비스는 만 14세 미만 아동의 개인정보를 의도적으로 수집하지 않습니다. 미국 이용자의 경우 COPPA(아동 온라인 프라이버시 보호법)에 따라 만 13세 미만, EU/EEA 이용자의 경우 GDPR에 따라 만 16세 미만(회원국에 따라 다를 수 있음)의 이용을 제한합니다. 해당 연령 미만 아동의 개인정보가 수집된 것을 발견한 경우 즉시 삭제합니다.

쿠키 및 로컬 저장소

서비스는 필수적인 쿠키만 사용하며, 추적 또는 광고 목적의 쿠키는 사용하지 않습니다.

• NextAuth 세션 쿠키 (필수): 로그인 상태 유지에 사용됩니다. 브라우저 종료 시 또는 세션 만료 시 삭제됩니다.
• 쿠키 동의 쿠키 (필수): 쿠키 동의 상태를 저장합니다. 1년간 유지됩니다.
• localStorage (기능): 테마 설정(라이트/다크 모드) 저장에 사용됩니다.
• sessionStorage (기능): 단계 간 분석 결과 전달에 사용되며, 브라우저 종료 시 자동 삭제됩니다.

EU/EEA 이용자 추가 권리 (GDPR)

EU/EEA에 거주하는 이용자는 위 권리에 추가하여 다음 권리를 가집니다:

• 감독 기관에 불만을 제기할 권리: 거주 국가의 데이터 보호 감독 기관에 불만을 제기할 수 있습니다.
• 처리 반대권: 정당한 이익에 기반한 처리에 대해 반대할 수 있습니다.
• 자동화된 의사결정에 대한 권리: 프로파일링을 포함한 자동화된 의사결정의 대상이 되지 않을 권리가 있습니다.

캘리포니아 이용자 권리 (CCPA/CPRA)

캘리포니아 거주 이용자는 다음 추가 권리를 가집니다:

• 알 권리: 수집, 사용, 공유, 판매되는 개인정보의 범주 및 구체적 항목을 알 권리가 있습니다.
• 삭제 요청권: 수집된 개인정보의 삭제를 요청할 수 있습니다.
• 판매/공유 거부권: 개인정보의 판매 또는 공유를 거부할 수 있습니다.
• HealFrame은 이용자의 개인정보를 판매하지 않으며, 타겟 광고 목적으로 공유하지 않습니다.
• 비차별: 프라이버시 권리를 행사하더라도 서비스 이용에 차별을 받지 않습니다.

일본 이용자 고지 (APPI)

• 국외 이전: 서비스는 미국 소재 Google, Stripe, Vercel에 개인정보를 이전합니다. 이전 대상 국가의 개인정보 보호 제도에 관한 정보는 개인정보보호위원회 웹사이트를 참조해주세요.
• 공동 이용: Circle 기능에서 체크인 내용, 기분 점수, 닉네임은 같은 서클 멤버들과 공동으로 이용됩니다. 공동 이용의 관리 책임자는 HealFrame입니다.
• 이용 목적의 특정: 개인정보는 상기 명시된 목적 범위 내에서만 이용되며, 목적 외 이용 시 사전 동의를 구합니다.

한국 이용자 고지 (개인정보보호법)

• 개인정보보호 책임자: HealFrame 개인정보보호 담당 (contact@soursea.io). 개인정보 처리에 관한 불만 또는 피해 구제는 개인정보분쟁조정위원회(www.kopico.go.kr), 개인정보침해신고센터(privacy.kisa.or.kr)에서도 가능합니다.
• 파기 절차 및 방법: 보유 기간 경과 또는 처리 목적 달성 후 내부 방침에 따라 지체 없이 파기합니다.
• 안전성 확보 조치: 개인정보의 안전한 처리를 위해 내부관리계획 수립, 접근 권한 관리, 접속기록 보관, 암호화 등의 조치를 시행합니다.

문의

개인정보 관련 문의: contact@soursea.io