JUDO 개인정보처리방침
The CherryLabs(이하 "회사")는 JUDO 서비스(이하 "서비스") 이용자의 개인정보를 중요시하며, 「개인정보 보호법」 등 관련 법령을 준수합니다.
제1조 (개인정보의 수집 항목 및 방법)
1. 수집 항목
가. 회원가입 시 (필수)
- 이메일 / 비밀번호 (소셜 로그인 시 미수집)
- 생년월일 (만 14세 이상 확인 목적)
- 닉네임 또는 이름
- 학년 (고1 / 고2 / 고3 / N수)
- 수능 선택 과목 (수학 트랙 / 탐구 2과목)
- 소셜 로그인 제공자 식별자 (Google / Apple / 네이버 / 카카오)
나. 회원가입 시 (선택)
- 목표 백분위 / 현재 백분위
- 전국 학습량 순위 참여 동의
다. 서비스 이용 중 자동 수집
- 문제 사진 (업로드한 이미지)
- 추가 질문 텍스트
- 학습 이력 / 풀이 기록 / 정답률
- 디바이스 정보 (OS / 버전 / 기기 모델 / 광고 식별자)
- 접속 로그 / IP 주소 / 쿠키
- 푸시 알림 토큰 (FCM)
라. 결제 시
- 결제 수단 (PG사가 보유 / 회사 자체 저장 X)
- 결제 내역 / 영수증 정보
- 환불 시 환불 사유
2. 수집 방법
- 회원가입 시 양식 입력
- 서비스 이용 중 자동 수집
- 회사 / 협력사 (PG사 / Firebase) 통한 간접 수집 (★ Pinecone 제외 = ADR-002)
제2조 (개인정보의 수집 및 이용 목적)
서비스 제공
- AI 풀이 제공 / 추가 질문 응답
- 학습 진도 분석 / 통계 / 약점 분석
- 푸시 알림 발송
회원 관리
- 본인 확인 / 회원 식별
- 만 14세 이상 확인
- 부정 이용 방지 / 어뷰저 차단
- 고객 응대
결제
- 결제 처리
- 환불 처리
- 부정 결제 방지
서비스 개선 (동의 시)
- Vision Confirm 데이터를 통한 AI 학습
- 사용 패턴 분석
- 신기능 개발
마케팅 (동의 시)
- 신상품 / 이벤트 안내
- 맞춤형 광고
법적 의무 이행
- 결제 내역 보관 (전자상거래법)
- 세무 자료 보관 (세법)
제3조 (개인정보의 보유 및 이용 기간)
- 회원 정보: 회원 탈퇴 시까지 (탈퇴 시 즉시 삭제)
- 개인 학습 기록 (복습·통계·플래너·잔디): 1년 보관 후 매년 12월 31일 초기화 (수능 사이클) / 회원 탈퇴 시 즉시 삭제
- 문제·풀이·만족도 데이터: 비식별화(학생 식별자 분리) 후 보관 — 개인정보에 해당하지 않으며, 서비스 품질(해설·결과 캐싱) 개선에 활용 (SPEC §14.7 / §14.8 해설 생성 / ★ 캐시 = 정확 해시 매칭만 = ADR-002)
- 푸시 토큰: 회원 탈퇴 또는 알림 거부 시 삭제
- 법정 보관 (관련 법령 의무):
- 계약 / 청약 철회 기록: 5년 (전자상거래법)
- 대금 결제 / 재화 공급 기록: 5년 (전자상거래법)
- 소비자 불만 / 분쟁 처리 기록: 3년 (전자상거래법)
- 표시 / 광고 기록: 6개월 (전자상거래법)
- 세금 관련 자료: 5년 (세법)
- 위 자료는 익명화 처리 후 보관 (회원 ID는 해시값으로 변환)
- Vision Confirm 학습 데이터 (동의 시): 동의 철회 시까지 / 동의 철회 시 본인 기여분 즉시 삭제 가능
제4조 (개인정보의 제3자 제공)
회사는 회원의 개인정보를 다음의 경우 외에는 제3자에게 제공하지 않습니다:
- 법령에 의한 경우: 법원, 수사기관 등의 적법한 영장 / 요청
- 회원의 명시적 동의가 있는 경우
- 통계 작성 등 가명처리 후 활용 (개인 식별 불가능한 형태)
회사는 현재 제3자에게 개인정보를 제공하지 않습니다.
제5조 (개인정보 처리 위탁)
회사는 서비스 운영을 위해 다음과 같이 개인정보 처리 업무를 위탁하고 있습니다:
| 수탁자 | 위탁 업무 | 보유 기간 |
|---|---|---|
| Google (Firebase) | 인증 / 데이터베이스 / 스토리지 / 분석 / 푸시 알림 | 회원 탈퇴 시까지 |
| Vercel | API 서버 호스팅 | 동일 |
| (삭제 — 미사용 / v6 LLM 단독·ADR-002) | — | |
| (삭제 — 미사용 / 캐시 = Firestore·ADR-002) | — | |
| Anthropic / OpenAI / Google AI | LLM 모델 추론 (학습 X 옵션 선택) | 즉시 (저장 X) |
| Mathpix | 수식 OCR | 즉시 (저장 X) |
| Upstash | Redis 캐시 | 24시간 |
| 토스페이먼츠 | 결제 처리 | 5년 (전자상거래법) |
| Apple / Google | 인앱결제 | 플랫폼 정책 |
| Resend | 시스템 이메일 발송 | 3개월 |
| Sentry | 에러 추적 (개인정보 마스킹) | 30일 |
| Helicone | LLM 호출 로깅 (개인정보 마스킹) | 30일 |
회사는 위탁 계약 시 개인정보 보호법에 따라 위탁업무 수행 목적 외 처리 금지, 기술적·관리적 보호 조치 등을 명시합니다.
제6조 (개인정보의 국외 이전)
회사는 다음과 같이 개인정보를 국외에 이전하고 있습니다:
| 이전 대상 | 이전 국가 | 이전 목적 |
|---|---|---|
| Google (Firebase) | 미국 / 한국 (asia-northeast3) | 인프라 운영 |
| OpenAI / Anthropic / Vercel 등 | 미국 | 인프라 운영 (★ Pinecone 제외 = ADR-002) |
회사는 위 업체들과 표준계약(GDPR / 개인정보보호법 기준)을 체결하여 개인정보를 보호합니다.
제7조 (이용자의 권리 및 행사 방법)
이용자는 다음의 권리를 행사할 수 있습니다 (개인정보 보호법 제35조~제37조):
열람권: 본인 데이터를 조회할 수 있는 권리
- 행사 방법: 인앱 [설정] > [개인정보] > [데이터 다운로드] 또는 이메일 요청
- 처리: ZIP 파일 자동 생성 후 이메일 발송 (5분 이내)
정정 / 삭제권: 잘못된 데이터를 수정 / 삭제 요청
- 인앱 [설정]에서 직접 수정 가능
- 회원 탈퇴 시 일괄 삭제
처리 정지권: AI 학습 활용 / 마케팅 수신 거부
- 인앱 [설정] > [알림] / [데이터 분석 활용]에서 즉시 토글
동의 철회권: 선택 동의 항목 철회
- 즉시 처리
본인 확인 절차:
- 회원 본인의 계정으로 로그인한 상태에서만 권리 행사 가능
- 본인이 아닌 자의 권리 행사 요청 시 본인인증 별도 진행
제8조 (만 14세 미만 / 미성년자 보호)
- 본 서비스는 만 14세 미만의 회원가입을 받지 않습니다.
- 회사는 가입 시 생년월일 입력을 통해 만 14세 이상을 확인하며, 만 14세 미만 신청은 자동 차단됩니다.
- 만 14세 미만으로 확인되는 회원이 발견될 경우 즉시 자격 정지 및 데이터 삭제 처리합니다.
- 만 19세 미만 미성년자의 결제는 월 100,000원의 한도 내에서만 가능하며, PG사 본인인증을 통해 확인됩니다.
제9조 (쿠키 / 모바일 광고 식별자)
- 회사는 서비스 개선을 위해 쿠키 / 광고 식별자 등을 사용할 수 있습니다.
- 회원은 디바이스 설정을 통해 광고 식별자 추적을 거부할 수 있습니다 (iOS: 추적 거부 / Android: 광고 ID 초기화).
제10조 (개인정보의 안전성 확보 조치)
회사는 다음의 기술적 / 관리적 보호 조치를 취하고 있습니다:
- 암호화: 전송 중 HTTPS 강제 / 저장 시 Firebase 자동 암호화
- 접근 제어: Firebase Security Rules / Vercel 인증 미들웨어 / IAM 역할 분리
- 로그 관리: 모든 개인정보 처리 자동 기록 (audit log / 3년 보관)
- 보안 시스템: Sentry 에러 추적 / Better Uptime 모니터링 / 비정상 패턴 자동 차단
- 임직원 교육: 개인정보 보호 책임자 지정 / 정기 교육 (1인 창업가는 자체 학습)
제11조 (개인정보 보호 책임자)
| 항목 | 내용 |
|---|---|
| 개인정보 보호 책임자 | 김상헌 (대표) |
| 부서 | The CherryLabs |
| 이메일 | legal@edujudo.kr |
| 연락 가능 시간 | 평일 10:00~18:00 (KST) |
회원은 서비스 이용 중 발생한 모든 개인정보 관련 문의 / 불만 / 피해 구제 등을 위의 책임자에게 문의할 수 있습니다.
제12조 (개인정보 유출 시 통지)
회사는 개인정보 유출 사고 발생 시 다음 절차로 대응합니다:
- 24시간 이내: 영향 받은 회원 개별 통지
- 24시간 이내: 한국인터넷진흥원(KISA) / 개인정보보호위원회 신고
- 72시간 이내: 공식 발표 / 보상 정책 공지
- 30일 이내: 사후 조치 / 보안 시스템 강화
통지 내용:
- 유출된 개인정보 항목 / 시점
- 유출 경위
- 회원의 피해 최소화 방법
- 회사의 대응 조치
제13조 (기타 권리 구제 방법)
본인의 개인정보 관련 권리를 침해받은 경우 다음 기관에 도움을 받을 수 있습니다:
- 개인정보분쟁조정위원회: privacy.go.kr / 1833-6972
- 개인정보침해 신고센터: privacy.kisa.or.kr / 118
- 대검찰청 사이버수사과: spo.go.kr / 1301
- 경찰청 사이버수사국: cyberbureau.police.go.kr / 182
제14조 (개인정보처리방침 변경)
- 본 방침은 2026년 [출시일]부터 시행됩니다.
- 본 방침이 변경될 경우 변경 사항을 7일 전 인앱 공지 / 이메일을 통해 고지합니다 (회원에게 불리한 변경 시 30일 전).
- 본 방침의 이전 버전은 [개인정보처리방침 이력] 메뉴에서 확인 가능합니다.
시행일: 2026년 [출시일] 최종 개정일: 2026.05.18 (v0.1 초안)
JUDO