개인정보 처리방침

1. 수집하는 개인정보 항목

필수 항목

• 이름
• 이메일 주소
• 비밀번호 (암호화 저장)
• 학교명 (NEIS 학교 코드 포함)
• 학년
• 반
• 생년월일 (만 14세 미만 이용 제한 확인용)

선택 항목

• 진로 분야 및 관심 학과
• 목표 대학군
• 성적 (내신 등급, 교과별 성적)
• 수강 과목 목록
• 마케팅 정보 수신 동의

자동 수집 항목

서비스 이용 과정에서 다음 정보가 자동으로 생성 및 수집됩니다.

• IP 주소
• 접속 일시 및 이용 기록
• 브라우저 종류 및 버전, OS 정보
• 기기 정보 (화면 해상도, 언어 설정 등)
• 공유 링크 접근 시 접근자 IP 주소 (별도 수집, 6항 참조)

2. 개인정보의 수집 및 이용 목적

서비스는 다음의 목적을 위하여 개인정보를 처리합니다. 처리하고 있는 개인정보는 다음의 목적 이외의 용도로는 이용되지 않으며, 이용 목적이 변경되는 경우에는 「개인정보 보호법」 제18조에 따라 별도의 동의를 받는 등 필요한 조치를 이행할 예정입니다.

3. 개인정보의 보유 및 이용 기간

서비스는 법령에 따른 개인정보 보유 및 이용 기간 또는 이용자로부터 개인정보를 수집 시에 동의받은 개인정보 보유 및 이용 기간 내에서 개인정보를 처리하고 보유합니다.

회원 탈퇴 시 처리

• 회원 탈퇴 요청 시 모든 데이터를 즉시 비활성화(soft delete)합니다.
• 비활성화 후 7일간 복구 기간을 거칩니다.
• 7일 경과 후 영구 삭제합니다.

감사 로그

데이터 공유 활동(공유 설정, 해제, 열람, 내보내기 등)에 대한 감사 로그는 3년간 보존 후 자동 삭제됩니다.

법령에 따른 보존

관계 법령에 따라 보존할 필요가 있는 경우 해당 법령에서 정한 기간 동안 보존합니다.

• 계약 또는 청약 철회 등에 관한 기록: 5년 (전자상거래 등에서의 소비자 보호에 관한 법률)
• 대금 결제 및 재화 등의 공급에 관한 기록: 5년 (전자상거래 등에서의 소비자 보호에 관한 법률)
• 소비자의 불만 또는 분쟁 처리에 관한 기록: 3년 (전자상거래 등에서의 소비자 보호에 관한 법률)
• 접속에 관한 기록: 3개월 (통신비밀보호법)

4. 개인정보의 제3자 제공 및 처리 위탁

서비스는 이용자의 개인정보를 「2. 개인정보의 수집 및 이용 목적」에서 명시한 범위 내에서만 처리하며, 이용자의 동의 없이 그 범위를 초과하여 이용하거나 원칙적으로 제3자에게 제공하지 않습니다. 다만, 서비스 제공을 위해 다음과 같이 개인정보 처리 업무를 위탁하고 있습니다.

서비스는 위탁 계약 시 「개인정보 보호법」 제26조에 따라 위탁 업무 수행 목적 외 개인정보 처리 금지, 기술적 및 관리적 보호 조치, 재위탁 제한, 수탁자에 대한 관리 및 감독, 손해배상 등 책임에 관한 사항을 계약서 등 문서에 명시하고 있습니다.

5. 정보주체의 권리 및 행사 방법 (개인정보보호법 준수)

정보주체의 권리

이용자는 서비스에 대해 언제든지 다음 각 호의 개인정보 보호 관련 권리를 행사할 수 있습니다.

1. 개인정보 열람 요구: 서비스가 보유한 자신의 개인정보를 열람할 수 있습니다.
2. 정정 요구: 개인정보에 오류가 있을 경우 정정을 요구할 수 있습니다.
3. 삭제 요구: 개인정보의 삭제를 요구할 수 있습니다.
4. 처리 정지 요구: 개인정보 처리의 정지를 요구할 수 있습니다.

위 권리 행사는 서비스의 설정 페이지에서 직접 수행하거나, 개인정보 보호책임자에게 서면 또는 전자우편을 통하여 하실 수 있으며, 서비스는 이에 대해 지체없이 조치하겠습니다.

만 14세 미만 아동의 개인정보

서비스는 만 14세 미만 아동의 회원 가입을 제한합니다. 「개인정보 보호법」 제22조의2에 따라 만 14세 미만 아동의 개인정보를 처리하기 위해서는 법정대리인의 동의가 필요하며, 서비스는 회원 가입 시 생년월일을 확인하여 이를 준수합니다. 법정대리인은 아동의 개인정보에 대해 열람, 정정, 삭제, 처리 정지를 요구할 수 있습니다.

이용자의 의무

이용자는 자신의 개인정보를 최신의 상태로 유지해야 하며, 이용자의 부정확한 정보 입력으로 발생하는 문제의 책임은 이용자 자신에게 있습니다. 타인의 개인정보를 도용하여 서비스에 가입한 경우 이용자 자격을 상실하거나 관련 법령에 의해 처벌받을 수 있습니다.

6. IP 주소 수집 고지

공유 링크 접근 시 IP 로깅

이용자가 생성한 공유 링크에 외부인이 접근하는 경우, 서비스는 보안 및 감사 추적 목적으로 접근자의 IP 주소를 기록합니다.

• 수집 목적: 공유 데이터에 대한 무단 접근 탐지, 감사 추적, 보안 사고 대응
• 보유 기간: 감사 로그와 동일하게 3년간 보존 후 자동 삭제
• 수집 범위: 공유 링크 접근 시점의 IP 주소 및 접근 시간만 기록

일반 서비스 이용 시

로그인 및 일반 서비스 이용 시에도 접속 로그의 일부로 IP 주소가 기록되며, 이는 「통신비밀보호법」에 따라 3개월간 보존됩니다.

7. 쿠키 사용

서비스는 이용자 인증 및 세션 관리를 위해 쿠키(Cookie)를 사용합니다.

사용하는 쿠키

• 인증 세션 쿠키 (Supabase): 로그인 상태 유지 및 사용자 인증에 필수적으로 사용됩니다. 이 쿠키 없이는 서비스 이용이 불가합니다.
• 테마 설정 쿠키: 이용자의 다크모드/라이트모드 설정을 저장합니다.

쿠키 보안 정책

• SameSite 정책: CSRF(교차 사이트 요청 위조) 방지를 위해 SameSite=Lax 정책을 적용합니다.
• Secure 플래그: HTTPS 환경에서만 쿠키가 전송됩니다.
• HttpOnly 플래그: 인증 쿠키는 JavaScript에서 접근할 수 없도록 설정됩니다.

서비스는 광고 추적 쿠키 또는 제3자 분석 쿠키를 사용하지 않습니다.

8. AI 데이터 처리 고지 (인공지능 기본법)

서비스는 AI 기반 학교생활기록부 초안 생성 기능을 제공하기 위해 외부 AI 서비스(Anthropic Claude API)를 활용합니다. 「인공지능 기본법」에 따라 다음 사항을 고지합니다.

AI 생성 콘텐츠 표시

서비스에서 AI가 생성한 모든 콘텐츠(학교생활기록부 초안, 상담 답변, 활동 추천 등)에는 AI 생성 표시가 부착됩니다. 이용자는 AI가 생성한 콘텐츠와 사람이 작성한 콘텐츠를 명확하게 구분할 수 있습니다.

AI 의사결정에 대한 설명 요구권

이용자는 AI가 수행한 의사결정(활동 분류, 초안 생성 방향, 상담 답변 등)에 대해 설명을 요구할 권리가 있습니다. 서비스는 AI의 판단 근거와 처리 과정을 이용자가 이해할 수 있는 수준으로 설명합니다.

AI 학습에 사용자 데이터 미사용

Anthropic Claude API 정책에 따라 API를 통해 전송된 이용자 데이터는 AI 모델 학습에 활용되지 않습니다. 전송된 데이터는 API 요청 처리 시에만 일시적으로 사용되며, 처리 완료 후 Anthropic 측에서 보관하지 않습니다.

API로 전송되는 데이터

• 이용자가 입력한 활동 기록 내용
• AI 채팅 대화 내용
• 생기부 초안 생성에 필요한 맥락 정보 (학년, 과목 등)

이용자의 활동 기록 및 AI 채팅 기록은 서비스의 데이터베이스(Supabase)에 저장되며, 이는 이용자가 서비스를 지속적으로 이용하기 위한 목적으로만 사용됩니다.

9. 학교생활기록부 관련 데이터 처리

서비스는 학교생활기록부 작성 지원을 목적으로 학생의 교육 활동 관련 데이터를 처리합니다. 해당 데이터는 민감한 교육 정보로서 다음과 같이 엄격하게 관리됩니다.

처리 대상 데이터

• 학교생활 활동 기록 (교과세특, 창의적 체험활동, 행동특성 및 종합의견 등)
• AI가 생성한 학교생활기록부 초안
• 가상 학교생활기록부 데이터
• 성적 및 수강 과목 정보

교사-학생 공유 시 데이터 범위

교사와 학생 간 공유가 설정된 경우, 교사 유형별로 접근 가능한 데이터가 엄격히 제한됩니다. 담임교사는 모든 활동 기록 및 가상 생기부에 접근할 수 있고, 교과교사는 해당 교과목 수업 활동 기록에만, 동아리교사는 동아리 활동 기록에만 접근할 수 있습니다. AI 채팅 기록, 비밀번호 등 이용자의 사적 데이터는 어떤 교사 유형에게도 공유되지 않습니다.

보호 원칙

• 학교생활기록부 데이터는 기본 비공개이며, 이용자의 명시적 동의 없이 타인에게 공유되지 않습니다.
• 공유 링크를 통한 외부 접근 시 24시간 자동 만료가 적용되며, 접근자의 IP 주소가 기록됩니다.
• 모든 데이터 접근 활동은 감사 로그에 기록되어 3년간 보존됩니다.

10. 개인정보의 파기 절차 및 방법

서비스는 개인정보 보유 기간의 경과, 처리 목적 달성 등 개인정보가 불필요하게 되었을 때에는 지체없이 해당 개인정보를 파기합니다.

파기 절차

• 이용자가 회원 탈퇴를 요청하면 해당 이용자의 개인정보는 즉시 비활성화(soft delete) 처리됩니다.
• 7일간의 복구 기간 경과 후 모든 데이터가 영구적으로 삭제됩니다.
• 법령에 따라 일정 기간 보관이 필요한 정보는 별도의 데이터베이스로 옮겨져 해당 기간 경과 후 파기됩니다.

파기 방법

• 전자적 파일 형태: 기술적 방법을 사용하여 복구 및 재생이 불가능하도록 완전히 삭제합니다.
• 종이 문서: 서비스는 종이 문서로 개인정보를 수집하지 않습니다.

11. 개인정보의 안전성 확보 조치

서비스는 「개인정보 보호법」 제29조에 따라 다음과 같이 안전성 확보에 필요한 기술적, 관리적, 물리적 조치를 하고 있습니다.

기술적 조치

• 데이터 암호화: 모든 개인정보는 전송 시 TLS 1.3 이상으로 암호화되며, 저장 시 AES-256 암호화가 적용됩니다.
• 비밀번호 암호화: 이용자의 비밀번호는 단방향 해시 함수(bcrypt)로 암호화하여 저장합니다.
• 접근 통제: 개인정보에 대한 접근 권한을 최소한으로 제한하며, Row Level Security(RLS) 정책을 통해 데이터베이스 수준에서 접근을 통제합니다.
• 감사 로그: 개인정보의 열람, 수정, 삭제, 공유, 내보내기 등 모든 처리 활동에 대해 감사 로그를 기록하며, 3년간 보존합니다.
• 보안 업데이트: 시스템 및 의존성 패키지의 보안 업데이트를 주기적으로 적용합니다.

관리적 조치

• 개인정보 취급자의 최소화 및 교육 실시
• 내부 관리 계획 수립 및 시행
• 개인정보 보호책임자를 통한 정기 점검

물리적 조치

• 데이터는 Supabase(AWS) 클라우드 인프라에 저장되며, 해당 인프라의 물리적 보안 정책(ISO 27001, SOC 2 등)을 따릅니다.

12. 또래 인사이트 데이터 처리 (예정)

서비스는 향후 “또래 인사이트” 기능을 통해 동일 학년 및 진로 분야 학생들의 활동 경향을 비교 및 분석하는 기능을 제공할 예정입니다.

데이터 처리 원칙

• 개인 식별이 불가능한 익명 통계 데이터만 활용합니다
• 집계 데이터(평균, 분포, 비율 등)만 생성 및 표시하며, 개별 학생의 원본 데이터는 노출하지 않습니다
• 통계 생성 목적으로만 제한적으로 활용하며, 다른 목적으로는 사용하지 않습니다
• 이용자는 설정에서 또래 인사이트 데이터 제공을 거부할 수 있습니다

13. 개인정보 보호책임자

서비스는 개인정보 처리에 관한 업무를 총괄해서 책임지고, 개인정보 처리와 관련한 이용자의 불만 처리 및 피해 구제 등을 위하여 아래와 같이 개인정보 보호책임자를 지정하고 있습니다.

이용자는 서비스를 이용하면서 발생한 모든 개인정보 보호 관련 문의, 불만 처리, 피해 구제 등에 관한 사항을 개인정보 보호책임자에게 문의하실 수 있습니다. 서비스는 이용자의 문의에 대해 지체없이 답변 및 처리해 드리겠습니다.

권익 침해 구제 방법

이용자는 개인정보 침해로 인한 구제를 받기 위하여 아래 기관에 분쟁 해결이나 상담 등을 신청할 수 있습니다.

• 개인정보분쟁조정위원회: (국번없이) 1833-6972 (www.kopico.go.kr)
• 개인정보침해신고센터: (국번없이) 118 (privacy.kisa.or.kr)
• 대검찰청 사이버수사과: (국번없이) 1301 (www.spo.go.kr)
• 경찰청 사이버수사국: (국번없이) 182 (ecrm.police.go.kr)

부칙

1. 이 개인정보 처리방침은 2026년 3월 18일부터 시행됩니다.
2. 2026년 3월 20일자로 시행 예정이었던 종전 개인정보 처리방침은 이 방침으로 대체됩니다.