최종 수정일: 2026년 4월 18일
시행일: 2026년 4월 18일
서문
AISnapEdit(이하 "AISnapEdit", "당사", "저희" 또는 "본 플랫폼"이라 합니다)은 웹사이트 https://aisnapedit.com 및 그 모든 하위 도메인, API 인터페이스, 관련 클라이언트(이하 통칭하여 "본 서비스"라 합니다)를 운영합니다. 본 서비스는 전 세계 이용자를 대상으로 하는 올인원(All-In-One) AI SaaS 플랫폼으로서, 이미지, 영상, 오디오, 음악 등 AI 콘텐츠 생성 기능을 제공합니다.
본 개인정보 처리방침(이하 "본 방침"이라 합니다)은 회원이 본 서비스에 접근, 가입, 이용할 때 당사가 어떠한 정보를 수집하고, 어떻게 이용하며, 누구에게 공개하고, 얼마나 보관하며, 회원에게 어떠한 권리가 있는지, 그리고 그 권리를 어떠한 방법으로 행사할 수 있는지에 관하여 상세히 설명합니다.
본 방침은 아래 법역에서의 개인정보 처리 투명성 요건을 동시에 충족하는 것을 목적으로 합니다.
- EU 일반 개인정보 보호법(GDPR, Regulation (EU) 2016/679)
- 영국 일반 개인정보 보호법(UK GDPR) 및 2018년 데이터 보호법
- 스위스 연방 데이터 보호법(FADP)
- 미국 캘리포니아 주 소비자 개인정보 보호법 / 개인정보 권리법(CCPA / CPRA)
- 미국 버지니아 주 소비자 데이터 보호법(VCDPA)
- 미국 콜로라도 주 개인정보 보호법(CPA)
- 미국 코네티컷 주 데이터 개인정보 보호법(CTDPA)
- 미국 유타 주 소비자 개인정보 보호법(UCPA)
- 미국 텍사스 주 데이터 개인정보 및 보안법(TDPSA)
- 워싱턴 주 「My Health My Data」법(MHMDA)
- 네바다 주 SB220
- 미국 아동 온라인 개인정보 보호법(COPPA)
- EU 인공지능법(EU AI Act, Regulation (EU) 2024/1689)
- EU 디지털 단일시장 저작권 지침(DSM, Directive (EU) 2019/790) 제4조 텍스트 및 데이터 마이닝(TDM) 조항
- 기타 적용 가능한 개인정보 보호 및 소비자 보호 법령
세 문서의 관계: 본 방침은 이용약관 및 환불 정책과 함께 회원과 AISnapEdit 사이의 완전한 계약 관계의 일부를 구성합니다. 세 문서 간의 용어 및 상호 참조 관계는 각 본문에 명확히 표시되어 있으며, 세 문서 사이에 직접적인 충돌이 발생하는 경우 본 방침은 데이터 처리 사항에 한하여 우선 해석력을 가집니다.
본 서비스에 접근 또는 이용하시는 것은 회원이 본 방침을 숙지, 이해하고 이에 구속되는 것에 동의한 것으로 간주됩니다. 본 방침의 어느 조항에라도 동의하지 아니하시는 경우에는 본 서비스를 이용하지 마십시오.
1. 정의
본 방침에서는 다음 용어를 사용하며, 이용약관 및 환불 정책과 공통되는 용어는 완전히 일치하도록 유지합니다.
공통 용어(세 문서에서 통일):
- 최초 구독 회원: 유일한 자연인 자격을 갖춘 최초 유료 구독 이용자를 의미하며, 이메일, 결제 수단, 기기 지문, IP 주소 등 다차원 지표를 종합적으로 판정하여 식별합니다. 본 정의를 회피하기 위하여 다수의 계정을 생성하는 행위는 위반 행위에 해당합니다.
- 당사의 재량: AISnapEdit이 합리적 판단에 기초하여 내리는 결정을 의미하며, 해당 결정은 최종적입니다.
- 영업일: 미국 연방 법정 영업일(토요일, 일요일 및 미국 연방 공휴일을 제외한 월요일부터 금요일)을 의미하며, 당사 운영 본부 소재지인 미국 태평양 표준시(PT)를 기준으로 산정됩니다.
- 최종 산출물 파일: 회원이 AI 생성을 정상적으로 개시하고, 최소 1회 이상 다운로드, 복사, 공유 또는 내보내기가 이루어진 이미지, 영상, 오디오, 텍스트 등의 콘텐츠를 의미합니다.
- 사용량: 성공한 API 호출, 크레딧 소진 또는 콘텐츠 생성 행위를 의미하며, 생성 결과의 보관 여부는 불문합니다.
- 크레딧(Credits): AISnapEdit이 이용자에게 지급하는 가상 소비재로서, 선불금, 보증금, 충전 잔액 또는 이에 유사한 일체의 금융 상품에 해당하지 아니합니다.
- 서비스 연속 이용 불가: 당사의 기술적 사유로 서비스가 24시간을 초과하여 연속적으로 이용 불가한 상태를 의미합니다.
- 지급 거절(Chargeback): 회원이 카드사에 직접 제기한 지급 이의 신청을 의미합니다.
- 블랙리스트(Blocklist): 위반으로 인해 등재된 리스크 관리 데이터 집합으로, 이메일 해시, 결제 카드 fingerprint, IP 주소, 기기 지문 등의 식별자를 포함합니다.
개인정보 처리방침 고유 용어:
- 개인 데이터(Personal Data): GDPR 제4(1)조에서 정의하는, 직접 또는 간접적으로 자연인을 식별할 수 있는 정보.
- 개인정보(Personal Information): CCPA / CPRA §1798.140(v)에서 정의하는, 특정 캘리포니아 주 주민과 관련되거나 합리적으로 연관될 수 있는 정보.
- 민감한 개인정보(Sensitive Personal Information): CPRA §1798.140(ae)에서 정의하는 9가지 유형의 민감 정보.
- 처리(Processing): GDPR 제4(2)조에서 정의하는, 개인 데이터에 대한 모든 자동화 또는 비자동화 작업.
- 데이터 컨트롤러(Controller): GDPR 제4(7)조에서 정의하는, 처리 목적 및 방법을 결정하는 주체.
- 프로세서(Processor): GDPR 제4(8)조에서 정의하는, 데이터 컨트롤러를 대신하여 데이터를 처리하는 주체.
- 하위 처리자(Sub-Processor): 프로세서로부터 위탁을 받아 다운스트림 데이터 처리를 수행하는 주체.
- SCCs: 2021년 모듈형 표준계약조항(Standard Contractual Clauses) EU 위원회 버전.
- DPF: EU-US 데이터 프라이버시 프레임워크(EU-US Data Privacy Framework, Commission Implementing Decision (EU) 2023/1795).
- GPC: 글로벌 프라이버시 컨트롤 신호(Global Privacy Control). 브라우저 또는 확장 프로그램이 웹사이트에 전달하는 opt-out 선호 표시.
- DPIA: 데이터 보호 영향 평가(Data Protection Impact Assessment, GDPR 제35조).
- ROPA: 처리 활동 기록(Record of Processing Activities, GDPR 제30조).
- TIA: 데이터 이전 영향 평가(Transfer Impact Assessment, Schrems II 판결 이후 요건).
- LIA: 정당한 이익 균형 평가(Legitimate Interest Assessment, GDPR 제6(1)(f)조).
- ADMT: 자동화된 의사결정 기술(Automated Decision-Making Technology, CCPA 2026 규칙).
2. 데이터 컨트롤러 정보
2.1 데이터 컨트롤러
유럽 경제 지역(EEA), 영국, 스위스 및 기타 데이터 컨트롤러를 명시할 것을 요구하는 법역에 적용:
AISnapEdit
- 웹사이트: https://aisnapedit.com
- 개인정보 전용 이메일: [email protected]
- 일반 문의 이메일: [email protected]
- 운영 본부 소재지 법역: 미국 캘리포니아 주(미국 태평양 표준시 PT로 운영)
AISnapEdit은 본 방침에서 기술하는 개인 데이터 처리 활동에 관하여 GDPR 상의 "데이터 컨트롤러" 역할을 수행합니다. 당사는 오로지 상기 이메일 주소를 통해서만 이용자 통지 및 정보주체의 권리 요청을 접수합니다. 법인 등록의 상세 정보는 본 방침의 정식 시행판에서 공시됩니다.
2.2 개인정보 보호 연락처
당사는 GDPR 제37조에서 요구하는 개인정보 보호책임자(DPO)의 필수 임명 기준(대규모 특수 범주 데이터 처리 또는 체계적 감시)에 해당하지 아니하나, 법무 책임자가 맡는 전담 **개인정보 보호 연락 담당자(Privacy Contact)**를 지정하여 아래의 업무를 수행하도록 합니다.
- 정보주체 권리 요청에 대한 응답
- 개인정보 유출 사고의 대응 및 통지 조율
- 규제 당국의 조사 및 문의 협조
- EU / 영국 대리인과의 연락
연락처: [email protected]
2.3 EU 대리인(GDPR 제27조)
GDPR 제27조에 따라, AISnapEdit은 유럽연합 역내에서의 당사 EU 대리인(EU Representative)으로서 다음의 제3자 전문 기관을 지정하였습니다:
- 기관명: Instant EU GDPR Representative Limited
- 등기상 주소: Office 2, 12a Lower Main Street, Lucan, Dublin, Ireland
- 연락 방법: [email protected] 경유(당사가 수령 후 EU 대리인에게 전달합니다)
유럽연합 역내의 정보주체는 위의 경로를 통하여 권리를 행사하실 수 있으며, 감독 기관 역시 동일한 연락처를 통하여 EU 대리인 또는 당사에 직접 연락하실 수 있습니다.
2.4 영국 대리인(UK GDPR 제27조)
UK GDPR 제27조에 따라, AISnapEdit이 지정하는 영국 대리인은 EU 대리인과 동일한 기관입니다:
- 기관명: Instant EU GDPR Representative Limited
- 등기상 주소: Office 2, 12a Lower Main Street, Lucan, Dublin, Ireland
- 연락 방법: [email protected] 경유(당사가 수령 후 영국 대리인에게 전달합니다)
3. 당사가 수집하는 정보
본 장은 정보의 출처 및 유형별로 당사가 수집하는 모든 데이터를 공시합니다. 각 유형의 데이터에 관하여는 §4(법적 근거), §5(용도), §7(수령자), §9(보관 기간)에서 추가로 설명합니다.
3.1 회원이 직접 제공하는 정보
| 데이터 유형 | 구체 항목 | 수집 시점 |
|---|---|---|
| 계정 인증 정보 | 이메일 주소, 사용자명, 비밀번호 해시(암호화 저장), OAuth 인증 정보 | 가입, 로그인 |
| 프로필 정보 | 아바타, 표시 이름, 환경 설정, 언어, 테마 | 가입 및 프로필 업데이트 시 |
| 결제 관련 정보 | 청구 성명, 청구 주소, 결제 카드의 BIN 및 말미 4자리, 결제 카드 fingerprint(Stripe가 반환하며 완전 카드번호로 역변환 불가), 거래 번호, 구독 상태 | 결제 및 구독 관리 시 |
| 커뮤니케이션 내용 | 이메일 송수신, 지원 티켓, 피드백 양식, 상담 대화(상담 기능이 활성화된 경우) | 회원이 자발적으로 연락을 시작하는 경우 |
| 회원 콘텐츠(AI 입력) | 프롬프트(prompt) 텍스트, 업로드된 이미지, 영상, 오디오 또는 기타 미디어 파일 | 생성 요청을 제출하시는 경우 |
| AI 생성 출력 | AI 모델이 회원의 입력에 기초하여 생성한 이미지, 영상, 오디오, 음악 등 최종 산출물 파일 | 생성 작업 완료 시 |
3.2 자동으로 수집되는 정보
| 데이터 유형 | 구체 항목 | 수집 시점 |
|---|---|---|
| 기기 정보 | 운영 체제, 브라우저 종류 및 버전, 기기 유형, 화면 해상도, 시간대, 언어 설정 | 본 서비스에 접근하시는 경우 |
| 사용 데이터 | 방문한 페이지 경로, 사용한 기능, 클릭 행위, 세션 시간, 타임스탬프, 선택된 AI 모델 | 세션 전체 기간 |
| 로그 데이터 | IP 주소(가입 시 IP 및 이후 접속 IP), 접속 시간, 리퍼러(referer), 오류 로그, API 요청 경로 및 상태 코드 | 서비스 가동 전 과정 |
| Cookie 및 유사 기술 | 세션 Cookie, 환경 설정 Cookie, 분석 Cookie, 마케팅 Cookie(상세는 §10 참조) | 본 서비스에 접근하시는 경우 |
3.3 제3자로부터 취득하는 정보
| 데이터 출처 | 공유 항목 | 용도 |
|---|---|---|
| OAuth 제공자(Google) | 회원이 허락하신 성명, 이메일, 아바타, OAuth 고유 식별자 | 소셜 로그인 기능 |
| 결제 대행사(Stripe) | 거래 상태, 결제 성공 / 실패 콜백, 결제 카드 fingerprint, Radar 리스크 점수 및 라벨 | 결제 검증, 부정 방지 |
| 분석 제공자 | 집계 단위의 접속 통계, 세션 리플레이 데이터 | 서비스 개선 |
3.4 부정 방지 및 계정 보안 데이터【신규 공시】
결제 부정, 다중 계정 남용 및 환불 남용을 방지하고, 적법 이용자의 이익 및 사업 연속성을 보호하기 위하여, 당사는 다음의 리스크 관리 관련 데이터를 수집, 처리 및 보관합니다.
| 데이터 유형 | 구체 내용 | 현재 상태 |
|---|---|---|
| 가입 및 접속 IP | 가입 시 및 이후 세션의 IP 주소 | 운영 중 |
| IP 블랙리스트 식별자 | 계정 정지로 블랙리스트에 등재된 IP 표지 | 운영 중 |
| 기초 기기 지문 신호 | 브라우저 종류 및 버전, 운영 체제, 기기 유형, UA 조합, 화면 해상도, 시간대 | 운영 중(이용약관 §3.2.2의 다차원 신원 식별 및 환불 정책 §4 부정 방지에 사용) |
| 고엔트로피 기기 지문 해시(확장 계획 중) | Canvas, WebGL, 폰트 등의 특징 조합을 SHA-256으로 불가역적 해시한 식별자 | 확장 계획 중 — 실제 배포 전에 본 방침의 공시 범위 및 보관 기간표를 동기하여 업데이트할 예정입니다 |
| 결제 카드 fingerprint | Stripe가 반환하는 pm_* 또는 card_fingerprint, 완전 카드번호로 역변환 불가 | 운영 중 |
| Stripe Radar 리스크 점수 | Stripe Radar가 승인 단계에서 반환하는 부정 점수 및 라벨 | 운영 중 |
| 행동 패턴 | 결제 시도 실패 횟수 및 시간 간격, 단기간 내 결제 수단 교체 빈도, 환불 신청 이력, chargeback 이력 | 운영 중 |
| 다중 계정 연관 신호 | 이메일 해시 유사도, 동일 결제 수단, 동일 IP에서의 다중 계정 연관 정황 | 운영 중 |
| 블랙리스트 식별자 | 영구 정지된 계정의 이메일 해시, 결제 카드 fingerprint, IP 주소, 기기 지문 해시 등의 집합 | 운영 중 |
상기 데이터는 환불 정책 §4에서 공시한 부정 방지 규칙과 직접 대응합니다. 계획되어 있으나 아직 배포되지 아니한 기기 지문 기술에 관하여, 당사는 다음을 확약합니다: 실제 배포 전에 본 방침에서 공시 범위를 명확히 업데이트하고, 보관 기간표도 동기하여 조정할 것입니다.
법적 근거: GDPR 제6(1)(f)조 정당한 이익 — 부정 방지, 적법 이용자의 이익 보호, 사업 연속성 유지. 당사는 본 처리 활동에 관하여 정당한 이익 균형 평가(LIA)를 완료하여 보관하고 있으며, [email protected]을 통하여 균형 평가 요약을 신청하실 수 있습니다.
3.5 추론 데이터 및 파생 데이터【CCPA / CPRA 요구 공시】
§3.1–§3.4의 원시 데이터에 기초하여, 당사는 일정한 추론성 또는 파생성 데이터를 생성합니다.
- 사용 선호 추론: 회원의 모델 선택 빈도, 생성 콘텐츠 유형 경향에 기초하여 기능 모듈에 대한 선호를 추론하고, 사용자 경험을 개선하는 데 사용합니다.
- 집계 리스크 점수: 부정 방지 시스템이 회원 계정에 대하여 수행하는 종합 리스크 등급 평가.
- 구독 및 크레딧 사용 프로파일: 구독 만료 알림, 크레딧 잔액 알림 등 기능에 필요한 상태 산정.
당사는 다음 범주에 대한 추론은 수행하지 아니함을 명확히 표명합니다.
- 인종 또는 민족적 배경
- 정치적 견해, 종교 또는 철학적 신념
- 노동조합 가입 여부
- 건강 상태 또는 의료 데이터
- 성적 지향 또는 성생활
- 유전 데이터 또는 생체 인식 템플릿
4. 처리의 법적 근거
GDPR 제6조, 제9조 및 관련 법역의 대응 조항에 따라, 당사는 각 유형의 데이터 및 각 처리 목적에 대하여 아래와 같은 법적 근거에 기초하여 처리합니다.
4.1 법적 근거 매트릭스
| 데이터 유형 | 처리 목적 | 법적 근거 |
|---|---|---|
| 계정 인증 정보, 프로필 정보 | 계정 생성, 본인 인증, 서비스 개인화 | GDPR 제6(1)(b)조 계약의 이행 |
| 회원 콘텐츠(프롬프트, 업로드 미디어) | AI 생성 서비스 제공, 최종 산출물 파일 표현 | GDPR 제6(1)(b)조 계약의 이행 |
| 결제 정보 | 결제 처리, 구독 관리, 세무 및 재무 기록 | 제6(1)(b) 계약의 이행 + 제6(1)(c) 법적 의무(세무 준수) |
| 사용 데이터, 로그 데이터 | 서비스 최적화, 장애 처리, 보안 모니터링 | 제6(1)(f) 정당한 이익(균형 평가 보관 완료) |
| Cookie 분석 및 마케팅 | 성능 분석, 이용 행태 인사이트, 마케팅 도달 | 제6(1)(a) 동의 |
| 부정 방지 데이터(§3.4) | 결제 부정, 다중 계정 남용, 환불 남용의 방지 | 제6(1)(f) 정당한 이익 |
| 블랙리스트 데이터 | 정지된 이용자의 재가입 회피 방지 | 제6(1)(f) 정당한 이익 + 제17(3)(e) 법적 청구 방어 예외 |
| 마케팅 이메일 구독 | 다이렉트 마케팅 통신 | 제6(1)(a) 동의(언제든 철회 가능) |
| 세무 및 거래 보관 | 법정 보관 의무의 이행(상세는 §9 참조) | 제6(1)(c) 법적 의무 |
| 법적 준수 및 집행 대응 | 소환에 대한 응대, 수사 협조, 법원 명령 준수 | 제6(1)(c) 법적 의무 |
| AI 생성 콘텐츠 관련 로그 | 남용 탐지, 콘텐츠 규정 준수 심사, 디버깅 | 제6(1)(f) 정당한 이익 |
4.2 특수 범주 데이터(GDPR 제9조)에 관한 진술
당사는 다음의 특수 범주 데이터를 능동적으로 수집하지 아니합니다.
- 인종 또는 민족적 배경, 정치적 견해, 종교 또는 철학적 신념, 노동조합 가입 여부를 드러내는 데이터
- 생체 인식 데이터(자연인을 고유하게 식별하기 위한 생체 인식 템플릿)
- 유전 데이터
- 건강 관련 데이터
- 성생활 또는 성적 지향 데이터
이용자가 본 서비스에 업로드하는 이미지에 포함될 수 있는 사람 얼굴에 대하여, 당사는 얼굴 인식, 신원 식별 또는 생체 인식 템플릿 추출을 수행하지 아니하며, 어떠한 생체 인식 데이터베이스도 구축하지 아니합니다. 본 제품의 deepfake, 인물 얼굴 교체, 실재 인물의 음성 복제 등 민감 기능의 경계에 관하여는 §6.5를 참조하여 주시기 바랍니다.
4.3 동의 철회의 권리
회원의 동의를 법적 근거로 하는 처리 활동(마케팅 이메일, 일부 선택 Cookie 등)에 관하여, 회원은 언제든지 동의를 철회하실 수 있습니다. 철회는 철회 이전에 동의에 기초하여 적법하게 수행된 처리의 효력에 영향을 미치지 아니합니다. 철회 방법에 관하여는 §10(Cookie 환경 설정 관리) 및 §11(권리 행사)을 참조하여 주시기 바랍니다.
5. 당사의 정보 이용 방법
본 장은 §4 법적 근거 매트릭스의 "처리 목적" 열에 대응하며, 더 자세히 설명합니다.
5.1 계정 및 서비스 제공
- 계정 생성 및 관리, 신원 확인
- 회원에 대한 AI 생성 서비스 제공(상세는 §6 참조)
- 최종 산출물 파일의 표현, 다운로드, 공유, 내보내기 지원
- 크레딧 잔액, 구독 상태, 이력의 관리
- 계정 관련 거래성 통지(주문 확인, 구독 갱신 알림, 비밀번호 재설정)의 발송
5.2 결제 및 부정 방지
- 결제, 구독 갱신, 환불 처리
- 환불 정책 §4에서 정한 부정 방지 규칙의 집행
- 자동화 리스크 관리 평가의 운영(상세는 §14.2 참조)
- 정지된 이용자의 재가입 회피 방지를 위한 블랙리스트 유지
5.3 서비스 개선 및 분석
- 기능 및 사용자 경험 개선을 위한 이용 행태 분석
- 오류 로그를 통한 장애 처리
- 익명화 또는 가명화된 데이터를 활용한 A / B 테스트 및 유용성 연구
- 서비스 전체 성과의 집계 통계
5.4 준수 및 보안
- 적용 법령, 규칙, 정부 명령의 준수
- 합법적인 집행기관의 요청, 소환, 법원 명령에 대한 응답
- 당사 및 기타 이용자의 권리, 재산, 안전의 보호
- 부정, 남용 및 기타 위법 행위의 방지
5.5 커뮤니케이션 및 마케팅
- 계정 관련 및 서비스 업데이트 관련 거래성 이메일 발송(계약 이행에 기초)
- 마케팅 이메일 발송(회원의 명시적 동의에 기초, 이메일 하단의 "구독 해지" 링크 또는 [email protected]으로의 연락을 통하여 언제든지 철회 가능)
- 사이트 내 통지를 통하여 중요한 정책 변경 또는 보안 사건 안내
6. AI 생성과 회원의 데이터
6.1 AI 서비스 아키텍처
AISnapEdit은 AI 생성 서비스에서 데이터 컨트롤러 역할을 담당합니다. 회원이 AI 생성 작업을 개시하시는 경우, 당사는 회원의 프롬프트, 업로드된 미디어 파일을 다운스트림 AI 모델 공급사(프로세서로서)에 전송하여 추론 연산을 수행하게 하고, 처리 완료 후 생성 결과를 회신받아 당사의 스토리지 서비스에 저장합니다.
당사는 AI 모델을 자체 훈련하지 아니하며, 서버 측에서 자체 모델의 파인튜닝 절차를 실행하지도 아니합니다. 구체적인 모델 선택은 회원이 사용자 인터페이스에서 능동적으로 선택한 모델에 따라 결정됩니다.
6.2 AI 모델 공급사와의 데이터 공유
다양한 생성 기능(이미지, 영상, 오디오, 음악 등)을 제공하기 위하여, 당사는 회원이 선택한 모델에 따라 입력 데이터를 아래 유형의 AI 모델 공급사로 라우팅합니다.
| 공급사 유형 | 생성 기능 | 공유 데이터 | 주요 수령 지역 |
|---|---|---|---|
| AI 이미지 생성 서비스 | 텍스트-이미지, 이미지-이미지, 이미지 편집 | 프롬프트, 업로드 미디어 | 미국, EU, 싱가포르, 홍콩 |
| AI 영상 생성 서비스 | 텍스트-영상, 이미지-영상, 영상 편집 | 프롬프트, 업로드 미디어, 영상 참고 | 미국, EU, 싱가포르, 홍콩 |
| AI 오디오 생성 서비스 | 음성 합성, 오디오 처리 | 프롬프트, 업로드 오디오 | 미국, EU, 싱가포르, 홍콩 |
| AI 음악 생성 서비스 | 텍스트-음악, 음악 편집 | 프롬프트, 스타일 파라미터 | 미국, EU |
현재 운용 중인 구체 AI 모델 공급사는 다음을 포함합니다(AI 생태계의 빠른 변화에 적응하기 위하여 기능 유형별로 공시하되, 공급사별 나열은 수행하지 아니함): Google(Gemini 시리즈), Replicate, Kie, Fal, Tuzi 등 AI 콘텐츠 생성 서비스. 완전하고 실시간으로 업데이트되는 모델 공급사 목록은 본 서비스의 모델 선택 페이지에서 확인하실 수 있습니다. 당사는 향후 /legal/ai-providers 독립 공시 페이지를 개설할 계획이며, 그 시점에 함께 공시할 예정입니다.
유의 사항: 현재 본 서비스는 AI 채팅(chat) 기능을 제공하지 아니합니다. 관련 진입점 및 OpenRouter 등 채팅 모델 라우팅 서비스는 제품에서 제거되었으며, 대화 메시지의 수집 또는 공유는 수행하지 아니합니다.
각 AI 모델 공급사는 자신의 개인정보 처리방침에 따라 회원의 데이터를 추가로 처리합니다. 당사는 해당 공급사와 체결한 데이터 처리 계약(DPA)을 통하여 상기 처리 행위에 대한 계약적 구속을 부과하며, 생성 서비스 제공에 필수적인 데이터에 한하여 다운스트림으로 라우팅되도록 상업상 최선의 노력을 다합니다.
6.3 훈련 데이터 정책
AISnapEdit은 회원의 프롬프트 또는 생성 출력을 당사 AI 모델의 훈련에 사용하지 아니합니다(당사는 자체 모델 훈련을 수행하지 아니합니다).
다운스트림 AI 모델 공급사에 대하여:
- 기본 정책(Opt-out 방식): 회원이 능동적으로 설정을 조정하지 아니하시는 경우, 회원의 입력은 다운스트림 AI 공급사에 의하여 모델 품질 개선에 사용될 수 있습니다(각 공급사의 표준 계약 조항에 따름). 회원은 계정 설정에서 언제든지 해당 콘텐츠를 이러한 용도로 사용하는 것에서 **이탈(opt-out)**을 선택하실 수 있습니다("모델 개선에 사용하지 않음" 스위치). 이탈 후 당사는 다운스트림으로 요청을 송신할 때 "훈련에 사용하지 않음"에 해당하는 표지를 부가합니다.
- 훈련 금지 데이터 유형: 회원이 opt-out을 활성화하였는지 여부와 상관없이, 결제 정보, 계정 인증 정보, 부정 방지 리스크 관리 데이터와 관련된 콘텐츠는 훈련 또는 개선 목적의 일체의 다운스트림 모델에 대한 전송을 금지합니다.
EU DSM 지침 제4조(TDM Opt-Out):
EU 디지털 단일시장 저작권 지침 제4조에 따라, 회원은 자신의 저작물에 대하여 텍스트 및 데이터 마이닝으로부터의 이탈을 주장할 권리를 가집니다. 본 서비스와 관련하여:
- 당사 웹사이트 루트 디렉터리에는
robots.txt및ai.txt선언이 배치되어 있으며, 모든 제3자 크롤러 및 AI 훈련 시스템에 적용되는 TDM opt-out 선호를 명시하였습니다. - 회원이 Gallery / 쇼케이스 페이지에 공개한 콘텐츠에 관하여는, [email protected]을 통하여 특정 콘텐츠에 대한 추가 opt-out 표지의 수행을 서면으로 당사에 요청하실 수 있습니다.
6.4 AI 처리 데이터 보관
| 데이터 유형 | 보관 기간 |
|---|---|
| 업로드된 입력 미디어 | 다운스트림 AI 공급사로 실시간 전송 후 장기 보관하지 아니함(회원이 자발적으로 계정에 저장한 경우 제외). 임시 처리 사본은 7일 이내 정리 |
| 생성된 출력 파일 | 회원이 자발적으로 삭제하거나 계정을 폐쇄할 때까지 보관 |
| 처리 로그(요청 경로, 상태 코드, 모델 선택, 오류 정보) | 90일 |
| 남용 탐지 샘플 | 위반 표지가 발동된 경우, 사건 처리 종료 후 추가로 2년 보관 |
6.5 생체 인식, 얼굴 및 Deepfake의 경계 선언
- 당사는 얼굴 인식, 신원 식별, 연령 추정, 감정 인식 또는 일체의 생체 인식 템플릿 추출을 수행하지 아니합니다.
- 이용자가 업로드한 얼굴이 포함된 이미지는 오로지 픽셀 데이터로서 다운스트림 AI 공급사로 전송되어 생성 처리에 사용되며, 처리 완료 후 어떠한 식별 데이터베이스의 구축에도 사용되지 아니합니다.
- 본 제품은 실재 인물의 얼굴 교체(face-swap), 실재 인물의 음성 복제(voice-cloning), 실재 자연인의 신원을 대상으로 하는 deepfake 생성 등 타인에게 중대한 오인 또는 명예 훼손을 초래할 수 있는 기능을 지원하지 아니합니다.
- 향후 본 서비스에 생체 인식과 관련된 기능이 새로 추가되는 경우, 당사는 별도로 회원의 명시적 동의를 취득(GDPR 제9(2)(a)조, BIPA §15(b), CPRA §1798.121)하며, 개시 전에 구체적인 처리 범위 및 이탈 방법을 눈에 띄는 방식으로 안내합니다.
7. 당사의 정보 공개 방법
아래에서 명확히 정한 상황을 제외하고, 당사는 회원의 개인정보를 외부에 공개하지 아니합니다.
7.1 서비스 제공자(하위 처리자 목록)
본 서비스의 제공, 유지, 개선을 위하여 당사는 엄선한 서비스 제공자에게 관련 데이터의 처리를 위탁합니다. 모든 제공자는 서면 데이터 처리 계약(DPA)을 통한 계약상의 구속을 받으며, 처리 범위는 해당 서비스 제공에 필요한 최소 범위로 한정됩니다.
| 유형 | 서비스 내용 | 운용 중인 제공자 | 공유 데이터 범위 |
|---|---|---|---|
| 결제 처리 | 구독 대금 인출, 일회성 결제, 청구서, 환불 | Stripe(Stripe Payments Europe Ltd. / Stripe, Inc.) | 청구 정보, 결제 금액, 카드 fingerprint, 거래 상태 |
| 결제 부정 방지(Stripe 하위 처리자) | 승인 단계에서의 부정 리스크 점수 및 차단 | Stripe Radar(Stripe의 하위 처리자로서 자동 활성화) | IP, 기기 지문 신호, 카드 fingerprint, 거래 이력, 이메일 도메인 |
| AI 모델 추론 | 이미지 / 영상 / 오디오 / 음악 생성 | 유형별 공시 AI 모델 공급사(상세는 §6.2 참조) | 프롬프트, 업로드 미디어 |
| 스토리지 및 콘텐츠 전달 | 이용자 업로드 파일, 생성 출력 파일, CDN 캐시 | Amazon Web Services (AWS S3), Cloudflare R2 | 업로드 파일, 생성 출력, 접근 요청 |
| Web 분석 | 페이지 방문 통계, 이용 행태 인사이트 | Google Analytics 4 | 페이지 경로, 이벤트, 기기 ID(가명화), IP(부분 가명화) |
| 세션 경험 분석 | 세션 리플레이, 히트맵, 클릭스트림 분석(민감 입력 영역은 기본적으로 녹화에서 제외) | Microsoft Clarity | 마우스 궤적, 클릭 이벤트, 페이지 상호작용. 민감 입력 필드(비밀번호, 결제 카드 등)는 마스킹 표지를 통해 제외 |
| 트랜잭션 이메일 발송 | 가입 인증, 주문 확인, 통지 푸시 | Resend | 수신 이메일, 이메일 본문 |
| 인프라(CDN / 엣지 / 캐시) | DDoS 방어, 가속, 엣지 라우팅 | Cloudflare | 모든 트래픽 메타데이터, IP |
| 인증 및 OAuth | 소셜 로그인 | Google OAuth | 회원이 허락한 범위 내의 기본 프로필 |
| 고객 서비스(활성화 시) | 온라인 상담, 티켓 | 구체적인 제공자는 활성화 시 공시 | 상담 대화 내용, 이메일 |
중요 안내:
- 본 표는 현재 실제로 운용 중인 서비스 제공자만을 공시합니다. 당사 코드에는 기타 통합 옵션(대체 결제 대행사, 대체 상담 도구 등)이 유지될 수 있으나, 해당 통합이 프로덕션 환경에서 활성화된 경우에만 실질적인 데이터 공개를 구성합니다.
- 당사는 본 방침의 개정을 통하여 하위 처리자 변경을 동적으로 업데이트할 예정입니다. 향후
/legal/sub-processors독립 공시 페이지를 개설할 계획이며, 그 시점에 함께 공시할 예정입니다.
7.2 법적 준수 및 집행 요청
아래의 경우, 당사는 법률 요구 및 합리적 범위 내에서 회원의 정보를 공개할 수 있습니다.
- 적용 법령, 규정, 법원 명령 또는 집행기관의 합법적 소환장 준수
- 진행 중인 조사 또는 사법 절차에 대한 협조
- AISnapEdit, 당사 이용자 또는 공공의 권리, 재산 및 안전의 보호
- 가능한 위법 행위 또는 본 이용약관 위반의 조사, 방지 또는 대응
7.3 사업 양수도
합병, 인수, 구조 개편, 자산 매각 또는 이와 유사한 기업 거래가 발생하는 경우, 회원의 정보는 양수 자산의 일부로서 새로운 법인에 이전될 수 있습니다. 당사는 이전 이전에 합리적인 방식으로 회원께 통지하며, 양수인이 본 방침보다 낮지 아니한 보호 기준으로 회원의 정보를 계속 처리할 것을 확보합니다.
7.4 회원 동의에 기초한 공개
회원의 명시적 수권을 전제로, 당사는 본 방침에서 포함되지 아니한 기타 목적으로 제3자에게 회원의 정보를 공개할 수 있습니다. 해당 수권은 언제든지 철회될 수 있습니다.
7.5 교차 맥락 행태 광고 및 정보 "공유" 공시【CPRA 전용】
캘리포니아 CPRA의 "sharing"에 대한 확장 정의에 따라, 일부 제3자 Cookie(특히 분석, 광고와 관련된 Cookie)는 전통적 의미의 "판매(sale)"를 구성하지 아니하더라도 "교차 맥락 행태 광고 공유"를 구성할 수 있습니다.
- 당사는 회원의 개인정보를 금전적 대가로 판매하지 아니합니다.
- 다만, Google Analytics 및 Microsoft Clarity가 활성화된 페이지에서 관련 데이터 전송은 CPRA 상 "sharing"을 구성할 수 있습니다.
- 캘리포니아 주민 및 유사 권리를 행사하는 기타 이용자는 아래 방법으로 이탈을 선택하실 수 있습니다.
- 웹사이트 푸터의 "Do Not Sell or Share My Personal Information" 링크 클릭
- 브라우저 또는 확장 프로그램을 통하여 GPC(Global Privacy Control) 신호 활성화 — 당사는 이를 자동 인식하여 opt-out 지시로 처리합니다
- [email protected]으로 이메일 송부
7.6 제3자 링크
본 서비스에는 제3자의 웹사이트, 플러그인 또는 애플리케이션에 대한 링크가 포함될 수 있습니다. 당사는 해당 제3자를 통제하지 아니하며, 그들의 개인정보 처리 관행에 대하여도 책임을 부담하지 아니합니다. 외부 링크를 클릭하시기 전에 해당 제3자의 개인정보 처리방침을 확인하실 것을 권장합니다.
8. 국제 데이터 이전
본 서비스의 다지역 아키텍처로 인하여, 회원의 개인 데이터는 거주국 이외의 국가로 이전되어 처리될 수 있습니다.
8.1 이전 방식
유럽 경제 지역, 영국 또는 스위스에서 적정성 결정을 받지 아니한 국가로의 이전에 대하여, 당사는 수령자의 자격에 따라 다음 방식 중 하나를 채택합니다.
- EU-US 데이터 프라이버시 프레임워크(EU-US DPF): 수령자가 DPF 하에 자체 인증을 받은 경우(Commission Implementing Decision (EU) 2023/1795) DPF를 적정성 보호 수단으로 원용합니다. 예를 들어 Stripe, Google, Cloudflare, AWS, Microsoft, Resend 등은 DPF에 가입되어 있습니다.
- 영국 확장 DPF(UK Extension): 영국으로부터 미국으로의 이전에 적용됩니다.
- 스위스-미국 DPF: 스위스로부터 미국으로의 이전에 적용됩니다.
- EU 표준계약조항(SCCs)(2021년 모듈형 버전): DPF에 가입하지 아니한 수령자에게 적용됩니다.
- 영국 국제 데이터 이전 협정(IDTA) 또는 영국 SCC 부록: 영국과 관련된 이전에 적용됩니다.
- 적정성 결정: EU 위원회가 보호 수준이 충분하다고 인정한 국가(일본, 한국, 캐나다 상업 부문 등)로의 이전에 적용됩니다.
8.2 주요 데이터 수령 지역
본 방침 §7에 열거된 실제 서비스 제공자에 기초하여, 회원의 데이터는 아래 지역으로 이전될 수 있습니다.
- 미국: Stripe, Google, AWS, Cloudflare, Resend, Microsoft Clarity 등
- EU: Stripe Europe, 일부 AWS / Cloudflare 노드
- 싱가포르, 홍콩: 일부 AI 모델 공급사의 추론 노드
- 영국: 일부 Cloudflare 엣지 노드
8.3 이전에 관한 회원의 권리
회원은 다음의 권리를 가집니다.
- 자신의 데이터가 어떤 국가로 이전되는지 알 권리
- 구체적 이전에 적용된 보호 조치 문서의 열람 요청(예: SCCs 사본의 상업적 민감 부분을 제외한 관련 부분)
- 특정 이전에 대한 이의 제기
8.4 데이터 이전 영향 평가(TIA)
EU 사법재판소 Schrems II 판결(Case C-311/18)의 요건에 따라, 당사는 DPF에 가입하지 아니한 미국 수령자 및 기타 고위험 이전 목적지에 대하여 데이터 이전 영향 평가(TIA)를 수행하였거나 진행 중이며, 수령국의 법적 환경 및 보호 조치가 정보주체의 기본권을 보호하기에 충분한지 여부를 평가합니다. TIA 요약은 [email protected]을 통하여 신청하실 수 있습니다.
9. 데이터 보관
당사는 본 방침에서 정한 목적의 이행, 법적 의무의 이행, 분쟁 해결, 계약 집행에 필요한 기간 내에만 회원의 개인 데이터를 보관합니다. 구체적인 보관 기간은 다음과 같습니다.
| 데이터 유형 | 보관 기간 | 법적 근거 |
|---|---|---|
| 계정 데이터(기본 프로필) | 계정 존속 기간 + 해지 후 30일 | 제6(1)(b) 계약의 이행 |
| 거래 기록(청구서, 결제 증빙) | 미국 7년 / EU 10년 / 영국 6년(회원 거주지의 법정 요구가 더 길다면 그에 따름) | 제6(1)(c) 세무 및 재무 법적 의무 |
| 사용 분석(집계 단위) | 26개월 | 제6(1)(f) 정당한 이익 |
| 지원 커뮤니케이션(티켓, 상담 대화) | 사안 해결 후 3년 | 제6(1)(f) 정당한 이익 |
| AI 처리 로그 | 90일 | 제6(1)(f) 장애 처리 |
| 업로드 입력 미디어 임시 사본 | 7일 이내 정리 | 제6(1)(b) 계약의 이행 |
| 생성 콘텐츠 | 회원이 자발적으로 삭제하거나 계정이 해지될 때까지 | 제6(1)(b) 계약의 이행 |
| 마케팅 구독 | 회원이 동의를 철회할 때까지 | 제6(1)(a) 동의 |
| 부정 방지 데이터(Stripe Radar 점수, 행동 패턴, 리스크 점수) | 5년 | 제6(1)(f) 정당한 이익 |
| 결제 카드 fingerprint 해시 | 7년(거래 기록과 동기) | 제6(1)(c) + 6(1)(f) |
| 블랙리스트 식별자(이메일 해시, 카드 fingerprint, IP, 기기 지문) | 무기한 | 제17(3)(e) 법적 청구 방어 예외 + 제6(1)(f) 정당한 이익 |
| DPIA 및 준수 문서 | 법정 및 업계 권장 사항에 따라 보관 | 제6(1)(c) 법적 의무 |
블랙리스트 무기한 보관에 관한 설명: GDPR 제17(3)(e)조에 따라, 데이터 처리가 "법적 청구의 수립, 행사 또는 방어"에 필요한 경우 정보주체의 삭제 권리는 적용되지 아니합니다. 부정 방지 블랙리스트 데이터는 (a) 정지된 이용자가 이후 다른 신원으로 제기하는 이의 주장에 대한 방어, (b) 정지된 이용자가 이용약관 제한을 회피하여 새로운 손실을 초래하는 것의 방지, (c) 동업 내 유명 부정 패턴 식별에의 협조에 있어 필요하므로, 고정된 삭제 기한을 설정하지 아니합니다. 당사는 매년 1회 블랙리스트의 필요성을 재검토합니다.
보관 기간 종료 후, 데이터는 안전하게 삭제되거나 불가역적 익명화 처리됩니다.
10. Cookie 및 추적 기술
10.1 당사가 사용하는 Cookie 유형
| Cookie 유형 | 용도 | 기본 활성화 여부 | 법적 근거 |
|---|---|---|---|
| 필수 Cookie | 로그인 세션, CSRF 보호, 기본 보안 | 예(동의 불요, 서비스 필수) | 제6(1)(f) 정당한 이익 |
| 환경 설정 Cookie | 언어, 테마, 표시 설정 | 예 | 제6(1)(f) 정당한 이익 |
| 분석 Cookie | Google Analytics, Clarity 사용 통계 및 세션 리플레이 | 회원 동의 필요 | 제6(1)(a) 동의 |
| 마케팅 Cookie | 프로모션 활동 어트리뷰션(활성화 시) | 회원 동의 필요 | 제6(1)(a) 동의 |
10.2 제3자 Cookie 및 이탈
| 제공자 | 용도 | 이탈 방법 |
|---|---|---|
| Google Analytics | 웹사이트 분석 | Google Analytics Opt-Out 또는 본 사이트의 Cookie 환경 설정 |
| Microsoft Clarity | 세션 리플레이, 히트맵 | Microsoft 개인정보 보호 또는 본 사이트의 Cookie 환경 설정 |
10.3 Cookie 관리
회원은 다음 방식으로 Cookie를 관리하실 수 있습니다.
- 브라우저 설정(Cookie 차단 또는 삭제)
- 본 서비스의 Cookie 동의 배너(단계적으로 배포 예정): EEA, 영국, 스위스 첫 방문 시 기본 opt-in, 미국 이용자는 기본 opt-out 및 GPC 신호 자동 인식
- 상기 제공자 각자의 이탈 링크
유의 사항: 필수 Cookie를 비활성화하시면 로그인이 불가능하거나 핵심 기능이 이용 불가능할 수 있습니다.
10.4 Do Not Track(DNT) 신호
DNT 신호에는 업계 통일의 구현 표준이 없으므로, 당사는 브라우저가 발송하는 DNT 신호에 응답하지 아니하나, 보다 새로운 GPC 신호에는 응답합니다(상세는 §10.5 참조).
10.5 글로벌 프라이버시 컨트롤(GPC)【신규 — CPRA 강제】
캘리포니아 CPRA 및 콜로라도 주, 코네티컷 주 등의 주법에 따라, 당사는 GPC(Global Privacy Control) 신호를 자동으로 인식하고 응답합니다. 당사가 회원의 브라우저 또는 확장 프로그램이 GPC 신호를 발송하고 있음을 감지하는 경우, 이를 회원의 CCPA / CPRA 상 "개인정보 판매 / 공유 이탈"의 유효한 지시로 처리하며, 이에 따라 분석 및 광고 유형 Cookie의 로딩 및 데이터 공유를 조정합니다.
11. 회원의 개인정보 관련 권리
11.1 GDPR 하에서의 권리(EEA, 영국, 스위스)
회원이 EEA, 영국 또는 스위스에 소재하는 경우, 회원은 다음의 권리를 가집니다.
| 권리 | 구체 내용 |
|---|---|
| 접근권(Art. 15) | 회원의 개인 데이터 사본 및 처리 관련 정보의 획득 요청 |
| 정정권(Art. 16) | 부정확하거나 불완전한 개인 데이터의 정정 요청 |
| 삭제권(Art. 17) | 법정 사유가 있는 경우 개인 데이터의 삭제 요청("잊혀질 권리") |
| 처리 제한권(Art. 18) | 특정 처리 활동의 제한 요청 |
| 데이터 이동권(Art. 20) | 구조화되고 기계 판독 가능한 형식으로 데이터를 수신하거나 다른 데이터 컨트롤러로의 이전 요청 |
| 반대권(Art. 21) | 정당한 이익에 기초한 처리(부정 방지 처리 포함. 다만 당사는 Art. 21(1) 예외를 주장할 수 있음)에 대한 반대 |
| 동의 철회권(Art. 7(3)) | 동의에 기초한 처리를 언제든지 철회 |
| 자동화된 의사결정으로부터 자유로울 권리(Art. 22) | 상세는 §14 참조 |
삭제권의 예외: GDPR 제17(3)조에 따라, 아래의 경우에는 삭제 요청이 거절될 수 있습니다.
- 법적 의무상 보관이 요구되는 경우(세무 기록 보관 기간 내의 거래 데이터 등)
- 법적 청구의 수립, 행사 또는 방어에 필요한 경우(부정 방지 블랙리스트 데이터가 이에 해당)
- 공익 또는 과학적 연구에 필요한 경우
회신 기한: 당사는 요청 수령 후 30일 이내에 회신합니다. 요청이 복잡하거나 건수가 많은 경우 60일 연장할 수 있으며, 연장 상황은 최초 30일 이내에 회원께 고지합니다.
11.2 CCPA / CPRA 하에서의 권리(캘리포니아 주민)
회원이 캘리포니아 주민인 경우, 다음의 권리를 가집니다.
| 권리 | 구체 내용 |
|---|---|
| 알 권리(§1798.100 / 110 / 115) | 당사가 수집, 이용, 공유한 개인정보의 유형 및 구체 내용의 공개 요청 |
| 삭제권(§1798.105) | 개인정보의 삭제 요청(법정 예외 제외) |
| 정정권(§1798.106) | 부정확한 개인정보의 정정 요청 |
| 판매 이탈(§1798.120) | 개인정보 판매의 이탈(당사는 판매하지 아니함) |
| 공유 이탈(§1798.120) | 교차 맥락 행태 광고와 관련된 "sharing"에서의 이탈 |
| 민감한 개인정보 이용 제한(§1798.121) | 민감한 개인정보 이용의 제한 |
| 차별받지 아니할 권리(§1798.125) | 권리 행사가 서비스 품질 또는 가격에 영향을 주지 아니함 |
당사가 수집하는 민감한 개인정보 유형(CPRA §1798.140(ae)):
- 계정 로그인 인증 정보(이메일 + 비밀번호 / OAuth token)
- 정확한 위치 정보(회원이 브라우저에 위치 권한을 부여한 경우에만)
- 회원이 업로드한 콘텐츠에 포함될 수 있는 민감 콘텐츠(회원 스스로의 결정)
당사는 민감 특성 추론을 목적으로 상기 민감한 개인정보를 이용하지 아니하며, CPRA가 허용하는 사업 목적(본인 인증, 부정 방지, 계약 이행)에만 사용합니다. 회원은 별도로 "이용 제한" 권리를 행사하지 아니하더라도 이 기본 보호를 받으실 수 있습니다.
회신 기한: 45일 이내 회신. 복잡한 경우 45일 연장 가능.
수권 대리인: 회원은 수권 대리인을 지정하여 대신 요청을 제출하게 할 수 있으며, 합리적인 신원 인증을 거쳐야 합니다.
캘리포니아 샤인 더 라이트 법(§1798.83): 상세는 §17 참조.
11.3 기타 미국 주법 하에서의 권리
| 법률 | 적용 주 | 주요 권리 |
|---|---|---|
| VCDPA | 버지니아 | 접근, 삭제, 정정, 이동, 판매 + 타겟 광고 이탈 |
| CPA | 콜로라도 | 상동 + Universal Opt-Out Mechanism 응답(당사는 GPC를 통하여 응답) |
| CTDPA | 코네티컷 | 상동 |
| UCPA | 유타 | 접근, 삭제, 이동(권리 범위가 상대적으로 좁음) |
| TDPSA | 텍사스 | 접근, 삭제, 정정, 이동, 판매 + 타겟 광고 + 프로파일링 이탈 |
| Nevada SB220 | 네바다 | 판매 이탈 신청 메커니즘(상세는 §18 참조) |
이의 제기: 회원의 권리 요청이 거절된 경우, 회원은 45일 이내에 이의를 제기할 권리가 있으며, 이의 제기는 전담자가 재심사합니다.
11.4 워싱턴 주 「My Health My Data」법(MHMDA)
본 서비스는 MHMDA가 정의하는 "소비자 건강 데이터(Consumer Health Data)"를 처리하지 아니하며, 어떠한 건강 관련 추론, 진단 또는 보조 의료 서비스도 수행하지 아니합니다. 회원이 본 서비스를 이용하는 과정에서 자발적으로 건강과 관련된 개인 콘텐츠를 업로드한 경우에도, 당사는 해당 정보를 상업적 목적으로 이용하거나 공개하지 아니하며, 데이터 브로커 등 제3자에게 판매하지도 아니합니다.
11.5 권리 행사 방법
- 이메일 제출: [email protected]으로 이메일을 송부하시되, 이메일 제목에 "Privacy Rights Request - [권리 유형]"을 명기하여 주시기 바랍니다.
- 웹사이트 양식: /privacy/rights-request를 통하여 구조화된 요청을 제출(단계적으로 개설 예정).
- 신원 인증: 도용 요청을 방지하기 위하여 당사는 가입 이메일, 연결된 결제 수단 등의 방법으로 신원 인증을 요구할 수 있으며, 이는 오로지 신원 확인에만 사용됩니다.
- 회신 기한: 회원의 거주지 법률이 정한 기한에 따름(GDPR 30일 + 60일 연장 가능; CCPA / CPRA 45일 + 45일 연장 가능).
- 거절 사유 및 이의 제기: 당사가 회원의 요청을 거절하는 경우, 서면으로 그 사유를 설명합니다. 회원은 [email protected]을 통하여 이의를 제기할 수 있으며, 이의 제기는 사람에 의한 재심사를 거쳐 5 영업일 이내에 회신합니다.
11.6 감독 기관에 대한 민원 제기
회원이 당사의 처리가 적용 법령에 위반된다고 생각하시는 경우, 회원은 감독 기관에 민원을 제기할 권리가 있습니다.
- EEA 거주자: 회원의 회원국 데이터 보호 기관. 전체 목록은 EDPB 공식 사이트 참조
- 영국 거주자: 정보 커미셔너 사무소(ICO), https://ico.org.uk
- 스위스 거주자: 연방 데이터 보호 및 정보 커미셔너(FDPIC)
- 미국 거주자: 연방무역위원회(FTC) https://ftc.gov 또는 각 주 법무부장관 사무소
12. 데이터 보안
당사는 처리 활동의 리스크에 상응하는 기술적 및 관리적 조치를 시행하여, 회원의 개인 데이터가 무단 접근, 유출, 변조 또는 파괴되지 아니하도록 보호합니다.
12.1 기술적 조치
- 전송 암호화: TLS 1.3 전 사이트 암호화
- 정적 암호화: 데이터베이스 및 객체 스토리지에 AES-256 암호화 적용
- 접근 통제: 역할 기반 접근 통제(RBAC), 최소 권한 원칙, 핵심 관리 작업에 대한 다중 인증(MFA) 강제
- 세션 보안: Better-Auth 기반 세션 관리, 단기 유효 기간 + 갱신 메커니즘
- 모니터링 및 경보: 7×24시간 이상 트래픽 및 접근 모니터링
- 정기 감사: 내부 및 외부의 정기 보안 감사, 취약점 스캔
12.2 관리적 조치
- 데이터 최소화: 처리 목적 달성에 필요한 데이터만 수집 및 보관
- 직원 교육: 모든 직원이 정기적으로 개인정보 준수 및 보안 교육을 이수
- 공급업체 평가: 모든 프로세서 및 하위 처리자에 대한 실사 수행, 표준화된 DPA 체결
- 사고 대응: 서면화된 사고 대응 절차 및 훈련 기록
- 데이터 라이프사이클 관리: 명확한 데이터 분류, 보관, 삭제 메커니즘
12.3 데이터 유출 통지
회원의 개인 데이터에 영향을 미칠 수 있는 유출 사고가 확인되는 경우:
- 감독 기관에의 통지: 당사는 최초 발견 후 72시간 이내에 관련 데이터 보호 기관에 통지합니다(GDPR 제33조).
- 정보주체에의 통지: 유출이 회원의 권리와 자유에 높은 위험을 초래할 수 있는 경우, 당사는 영향 범위 확인 후 72시간 이내에 회원께 통지를 발송합니다(GDPR 제34조). 통지 내용에는 사건의 성격, 대략의 영향받은 데이터 유형, 가능한 결과, 당사가 이미 취한 조치 및 회원께 권장하는 조치, 개인정보 담당자가 포함됩니다.
- 미국 주법의 규정: 각 주의 법률이 적용하는 기한(예: 캘리포니아 §1798.82, 뉴욕 SHIELD Act의 30~45일 등)에 따라 이행합니다.
13. 아동의 개인정보
본 서비스는 만 18세 이상의 이용자를 대상으로 합니다.
- 통일 연령 기준: 이용약관과 일치하게, 당사는 전 세계 모든 이용자에 대하여 18세의 최저 연령 기준을 설정합니다. 이 기준은 COPPA(미국 13세), GDPR 제8조(EU 기본 16세), UK GDPR(13세) 등 법역의 법정 하한보다 높습니다.
- 의도적 수집 금지: 당사는 만 18세 미만의 미성년자의 개인정보를 의도적으로 수집하지 아니합니다.
- 연령 확인: 가입 시 체크박스에 의한 연령 표명 방식으로 진행하며, 향후 가입 지역 안내와 결합하여 연령 확인을 추가로 강화할 예정입니다.
- 보호자 채널: 부모 또는 보호자가 미성년자가 동의 없이 당사에 개인정보를 제출한 사실을 발견하시는 경우, [email protected]을 통하여 삭제를 신청하실 수 있으며, 당사는 확인 후 신속하게 처리합니다.
14. 자동화된 의사결정 및 프로파일링
14.1 AI 콘텐츠 생성
당사의 AI 콘텐츠 생성은 전적으로 회원의 명시적 입력(회원이 선택한 모델, 회원이 제출한 프롬프트 및 미디어)에 기초합니다. 이러한 처리는 다음과 같습니다.
- 본질적으로 GDPR 제22(1)조에서 정한 "오로지 자동화된 처리에 기초하여 회원에게 법적 또는 유사한 중대한 영향을 미치는" 의사결정을 구성하지 아니합니다.
- 법적 근거는 제6(1)(b) 계약의 이행 + 제22(2)(a) 계약의 필수입니다.
- 회원은 언제든지 생성 기능의 이용을 중단할 수 있습니다.
14.2 부정 방지 자동화된 의사결정【핵심 공시 — GDPR 제22조 준수】
당사는 명확히 고지합니다: 결제 부정 및 계정 남용을 방지하기 위하여, 당사는 자동화 리스크 관리 시스템(Stripe Radar 및 당사 내부 규칙 엔진을 포함)을 운영하며, 해당 시스템은 특정 상황에서 자동으로 다음을 수행할 수 있습니다.
- 환불 요청의 거절
- 계정의 정지 또는 영구 정지
- 계정 내 크레딧의 즉시 실효
- 관련 이메일 해시, 결제 카드 fingerprint, IP, 기기 지문의 블랙리스트 등재
상기 의사결정은 GDPR 제22조에서 정한, 회원에게 법적 또는 유사한 중대한 영향을 미칠 수 있는 자동화된 의사결정에 해당합니다.
의사결정 로직(개요 공시):
부정 방지 정책의 민감 세부 사항이 노출되어 악의적 회피를 초래하지 아니하도록 하기 위하여, 당사는 의사결정 로직의 유형 및 일반적 차원만을 공시합니다.
- 결제 위험 차원: 반복 결제 실패, 단기간 내 빈번한 결제 수단 교체, Stripe Radar 부정 점수의 내부 임계값 초과
- 계정 연관 차원: 이메일 해시, 결제 카드 fingerprint, 기기 지문, IP의 다차원 매칭 신호
- 환불 이상 차원: 구매 후 극단적으로 짧은 시간(수 시간) 내의 환불 신청, 6개월 내 복수 환불, 과거 chargeback 기록의 존재
- 계정 행위 차원: 봇 / 크롤러 / 자동화 스크립트를 사용한 서비스 접근, 계정 및 크레딧의 판매 또는 공유, 본 방침 제한의 회피를 위한 다중 계정 생성
GDPR 제22(3)조 하에서의 회원의 권리:
- 사람의 개입 권리: 회원은 자동화된 의사결정에 대하여 사람에 의한 재심사를 요청하실 수 있습니다.
- 의견 표명권: 회원은 증빙 자료(사용 기록, 결제 증빙, 커뮤니케이션 기록, 거주지 합리성 설명 등)를 제공하여 시스템 판정에 반박할 수 있습니다.
- 이의 제기권: 환불 정책 §10에 기재된 절차에 따라 결정 수령 후 14일 이내에 [email protected]을 통하여 이의를 제기하실 수 있으며, 이의 제기는 사람에 의한 재심사를 거쳐 5 영업일 이내에 회신합니다.
- 설명권: 회원은 의사결정 로직의 일반적 설명(본 절에서 서술한 내용)의 취득 권리를 가집니다. 부정 방지 유효성의 필요에 따라, 당사는 구체적인 임계값, 가중치 또는 규칙 파라미터는 공개하지 아니합니다.
- 민원 제기권: 회원은 현지 데이터 보호 기관에 민원을 제기할 권리를 가집니다(상세는 §11.6 참조).
법적 근거: GDPR 제22(2)(a)조 계약 이행에 필수(이용약관 및 환불 정책에 기재된 부정 방지 의무의 이행) + 제6(1)(f)조 정당한 이익(부정 방지, 적법 이용자의 보호). 당사는 본 처리에 관하여 정당한 이익 균형 평가(LIA) 및 데이터 보호 영향 평가(DPIA)를 완료하였습니다(상세는 §15 참조).
14.3 서비스 개선용 프로파일링
사용 데이터에 기초하여 이용자 기능 선호를 추론하는 것(상세는 §3.5 참조)은 계정 상태에 영향을 주지 아니하며, 오로지 제품 개선 및 개인화 추천에 사용됩니다. 회원은 계정 설정에서 개인화 추천을 비활성화할 수 있습니다.
15. 데이터 보호 영향 평가(DPIA)
GDPR 제35조에 따라, 정보주체의 권리와 자유에 높은 위험을 초래할 수 있는 처리 활동에 대하여, 당사는 데이터 보호 영향 평가를 수행하였거나 진행 중입니다.
- 부정 방지 자동화된 의사결정 DPIA: 완료(§3.4의 데이터 유형 및 §14.2의 의사결정 절차 포함)
- AI 생성 남용 탐지 DPIA: 평가 중
- 계획 중인 기기 지문 기술 DPIA: 배포 전 완료 예정
상기 DPIA는 상응하는 위험 완화 조치(데이터 최소화, 불가역 해시, 제한된 보관 기간, 사람 이의 제기 채널 등)를 식별하였습니다. 회원은 [email protected]을 통하여 DPIA 요약을 신청하실 수 있습니다(상업 비밀 및 안전 민감 세부 사항 제외).
16. EU 인공지능법 준수
EU 인공지능법(EU AI Act, Regulation (EU) 2024/1689) 관련 투명성 조항은 2026년 8월 2일부터 단계적으로 집행됩니다. 본 서비스에 관하여는:
16.1 AI 시스템 위험 등급
당사는 AI 시스템의 다운스트림 배포자로서 제공하는 서비스는 생성형 AI(Generative AI) 유형에 속하며, 통상 AI 법이 정의하는 제한적 위험(limited risk) 유형에 해당합니다. 당사는 다음을 운영하지 아니합니다.
- 제5조 금지 AI 시스템(사회적 점수 평가, 잠재의식 조작 등)
- 부속서 III에 열거된 고위험 AI 시스템(채용 선별, 신용 평가, 법 집행 의사결정 등)
16.2 훈련 데이터 투명성
당사는 AI 모델을 자체적으로 훈련하지 아니하며, 사용하는 모델은 모두 해당 투명성 의무를 완료한 다운스트림 AI 모델 공급사가 운영합니다. 각 공급사의 훈련 데이터 공시 링크는 향후 개설될 /legal/ai-providers 페이지에서 통합 공시될 예정입니다. 해당 페이지 개설 전에 구체적 공급사의 훈련 데이터 공시를 조회하실 경우, [email protected]을 통하여 당사에 연락하여 주시기 바랍니다.
16.3 AI 생성 콘텐츠 표지(제50(2)조)
AI가 생성한 이미지, 영상, 오디오 등 합성 콘텐츠에 대하여:
- 당사는 다운스트림 AI 공급사의 지원 범위 내에서 기계 판독 가능한 표지(C2PA Content Credentials 등)를 삽입합니다.
- 일부 출력은 가시 워터마크를 동시에 포함할 수 있습니다.
- 회원은 상기 표지를 제거, 변조 또는 회피하여서는 아니 됩니다(상세는 이용약관 §5.4 참조).
16.4 AI 상호작용 고지(제50(1)(a)조)
회원이 본 서비스의 AI 생성 기능과 상호작용하실 때(이미지 편집, 영상 생성 등 포함), 사용자 인터페이스는 회원이 인공지능 시스템과 상호작용하고 있음을(사람이 아님을) 명확히 표시합니다.
16.5 Deepfake 고지 의무(제50(4)조)
본 제품은 실재 인물, 사건 또는 장소로 명백히 오인될 수 있는 deepfake 콘텐츠의 생성을 지원하지 아니하나(상세는 §6.5 경계 선언 참조), 회원이 AI 생성 콘텐츠를 공공의 관심이 있는 정보성 주제(뉴스, 정치, 의료 등)에 사용하시는 경우, 공표 시 AI 생성 또는 보조 생성임을 명확히 고지하셔야 합니다. 관련 계약상 의무는 이용약관 §5.4를 참조하여 주시기 바랍니다.
17. 캘리포니아 샤인 더 라이트 법
캘리포니아 민법 §1798.83("Shine the Light Act")에 따라, 캘리포니아 주민은 당사가 해당 제3자의 다이렉트 마케팅 목적을 위하여 제3자에게 공개한 개인정보의 목록을 요청할 수 있습니다. 당사는 회원의 개인정보를 해당 제3자의 다이렉트 마케팅 목적으로 제3자와 공유하지 아니합니다. 관련 처리 및 조회 요청은 [email protected]을 통하여 제출하실 수 있습니다.
18. 네바다 주 개인정보 권리
네바다 주 SB220에 따라, 네바다 주민은 개인정보의 판매 이탈을 선택할 수 있습니다. 당사는 회원의 개인정보를 금전적 대가로 판매하지 아니합니다. 회원은 [email protected]을 통하여 확인성 이탈 요청을 제출하실 수 있으며, 당사는 60일 이내에 회신합니다.
19. 본 방침의 변경
19.1 변경 방식
당사는 본 방침을 수시로 개정할 수 있습니다. 모든 개정 버전은 본 페이지에 공시되며, "최종 수정일" 및 "시행일"도 함께 갱신됩니다.
19.2 중대 변경 통지
회원의 권리에 실질적 영향을 미치는 개정(새로운 처리 목적의 추가, 국제 이전 방식의 변경, 새로운 제3자 하위 처리자 유형의 추가 등)에 대하여는, 당사는 개정 시행 전에 최소 30일의 여유를 두고 다음의 방식으로 회원께 통지합니다.
- 가입 이메일로 통지 이메일 발송
- 웹사이트의 눈에 띄는 위치에 공지 게시
- 회원이 다음 로그인하시는 경우 사이트 내 통지로 안내
19.3 이력 버전
모든 이력 버전은 향후 개설될 /privacy-policy/history 페이지에 아카이브 공시됩니다. 해당 페이지 개설 전에 이력 버전을 취득하고자 하시는 경우, [email protected]을 통하여 당사에 연락하여 주시기 바랍니다.
19.4 지속적 이용은 수락으로 간주됨
개정 시행 후 회원이 본 서비스를 계속 이용하시는 것은 개정 후 방침에 대한 수락으로 간주됩니다. 회원이 개정에 동의하지 아니하시는 경우 본 서비스 이용을 중단하시고 §11에 따라 삭제권을 행사하시기 바랍니다.
20. 문의처
20.1 전용 연락 이메일
| 용도 | 이메일 |
|---|---|
| 개인정보 사무, 데이터 보호, 정보주체 권리 | [email protected] |
| 이의 제기(부정 방지 의사결정 이의 제기, 권리 요청 거절 이의 제기 포함) | [email protected] |
| DMCA 통지, 남용 신고 | [email protected] |
| 일반 문의, 환불 신청 | [email protected] |
20.2 연락 방법
AISnapEdit
- 웹사이트: https://aisnapedit.com
- 운영 본부 소재지 법역: 미국 캘리포니아 주(미국 태평양 표준시 PT로 운영)
- 당사는 오로지 전자 우편을 통하여 이용자 통지, 권리 요청 및 법적 문서 송달을 수령합니다. §20.1에 열거된 전용 이메일을 이용하여 주시기 바랍니다.
- 법인 등록 세부 정보는 본 방침의 정식 시행판에서 공시됩니다.
20.3 EU 대리인 / 영국 대리인
EU 대리인(GDPR 제27조) 및 영국 대리인(UK GDPR 제27조)은 동일한 기관입니다:
- 기관명: Instant EU GDPR Representative Limited
- 등기상 주소: Office 2, 12a Lower Main Street, Lucan, Dublin, Ireland
- 연락 방법: [email protected] 경유(당사가 EU / 영국 대리인에게 전달합니다)
자세한 내용은 §2.3, §2.4를 참고하여 주시기 바랍니다.
20.4 회신 기한
| 법역 | 회신 기한 |
|---|---|
| GDPR(EEA, 영국, 스위스) | 30일(복잡한 경우 60일 연장 가능) |
| CCPA / CPRA(캘리포니아) | 45일(복잡한 경우 45일 연장 가능) |
| 기타 미국 주법 | 45일(일부 주는 60일) |
| 기타 법역 | 적용 법령에 따름 |
AISnapEdit을 이용하시는 것은 회원이 본 개인정보 처리방침을 숙지, 이해하고 이에 동의하시는 것으로 간주됩니다.
© 2026 AISnapEdit. All rights reserved.