주식회사 AKA AI(이하 "회사")는 이용자의 개인정보를 중요하게 생각하며, 「개인정보 보호법」, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」, GDPR, 일본 「개인정보 보호법(APPI)」, 미국 각 주의 개인정보 보호 관련 법률(캘리포니아 CPRA, 워싱턴 My Health My Data Act 등)을 준수합니다.
본 방침은 회사가 제공하는 정신 건강 일기·AI 기반 상담 서비스인 MindMuse(이하 "서비스")의 개인정보 수집·이용·보관·제3자 제공·국외 이전·파기에 관한 사항을 규정합니다.
1. 서비스 개요 및 민감정보 고지
서비스는 이용자의 감정 상태, 수면, 복약, 일기, 채팅 기록을 입력받아 AI로 분석하고 결과를 제공합니다. 이 중 정신 건강·수면·복약 관련 정보는 다음 법률상 민감정보(특별 범주 개인정보) 에 해당합니다.
- 대한민국 「개인정보 보호법」 제23조에 따른 "민감정보"
- 일본 「개인정보 보호법(APPI)」 상 "要配慮個人情報(특별 배려 개인정보)"
- 미국 캘리포니아 CPRA 의 "Sensitive Personal Information"
- 미국 워싱턴주 My Health My Data Act 의 "Consumer Health Data"
- EU GDPR 제9조 상 "특별 범주 개인정보(건강에 관한 데이터)"
회사는 해당 정보에 대해 별도의 명시적 동의를 받고 있으며, 수집 목적 외 용도로 사용하거나 제3자에게 제공하지 않습니다.
2. 수집하는 개인정보 항목
2.1. 계정 정보
- 이메일 주소, 비밀번호(해시 저장)
- Google 소셜 로그인 이용 시: Google 계정 식별자, 이메일, 이름, 프로필 이미지 URL
- 프로필 이름(표시 이름)
- IP 주소, User-Agent, 접속 국가 코드(동의 기록 및 보안 로그 용도)
2.2. 민감정보(서비스 이용 과정에서 이용자가 직접 입력)
- 일기 본문(감정, 생각, 사건, 자유 서술 내용)
- AI 뮤즈 챗 메시지(대화 전체 내용)
- 수면 기록(취침 시각, 첫 기상 시각, 최종 기상 시각)
- 복약 기록(복용 약품명, 수량, 복용 시각, 비고)
- AI 분석 결과(생각·감정·신체감각 점수, 키워드, 인사이트 텍스트)
2.3. 자동 수집되는 정보
- 접속 로그(쿠키·세션 ID), 오류 로그, 서비스 이용 기록
- 이용 국가 판단을 위한 대략적 위치 정보(국가 단위, IP 기반)
2.4. 연결(Connect) 커뮤니티 콘텐츠
연결 기능을 이용하는 경우 다음 정보가 수집됩니다. 연결 콘텐츠는 다른 로그인 이용자에게 공개되는 것을 전제로 작성되므로, 본 항의 데이터는 민감정보가 아닌 공개 콘텐츠로 처리됩니다.
- 글·댓글·답글 본문(제목, 본문, 카테고리)
- 공감(좋아요) 기록(대상 글/댓글 ID, 시각)
- 신고 기록(대상 글/댓글 ID, 사유 enum, 자유 기술 비고, 처리 결과)
- 모더레이션 이력(운영자 처분 사유, 처리 시각)
회사는 주민등록번호·운전면허번호·여권번호 등 고유식별정보는 수집하지 않습니다.
3. 개인정보 수집 및 이용 목적
| 목적 | 근거 | 필수/선택 |
|---|---|---|
| 회원 가입·인증·본인 확인 | 계약 이행 | 필수 |
| 일기·채팅·복약 기록 저장 및 조회 | 계약 이행 | 필수 |
| AI 기반 분석 서비스 제공 | 별도 동의 | 선택(거부 시 AI 분석 미제공) |
| 서비스 보안, 부정 이용 방지 | 정당한 이익 | 필수 |
| 동의 기록(IP·단말·시각) 보존 | 법령상 의무 | 필수 |
| 연결(Connect) 커뮤니티 운영(글·댓글·공감·신고 처리, 모더레이션) | 계약 이행 | 필수(연결 기능 이용 시) |
| 서비스 운영 알림 이메일(댓글·답글·모더레이션 등) | 계약 이행 | 선택(설정에서 항목별 변경 가능) |
| 마케팅·신기능 안내 이메일 발송 | 별도 동의 | 선택 |
| 법적 의무 이행 및 분쟁 대응 | 법령상 의무 | 필수 |
4. 처리 위탁 및 국외 이전
4.1. 처리 위탁 현황
| 수탁자 | 위탁 업무 | 처리 위치(리전) |
|---|---|---|
| Supabase (Supabase Inc.) | 인증 · 데이터베이스 호스팅 | 대한민국 서울 (ap-northeast-2) |
| Amazon Web Services — AWS Amplify | 웹 애플리케이션 호스팅 | 대한민국 서울 (ap-northeast-2) |
| Google LLC — Vertex AI (Gemini) | AI 분석 및 대화 생성 | 미국 등 Google LLC가 데이터센터를 운영하는 국가 (Google 글로벌 라우팅 정책에 따라 결정 — Gemini 3.x 계열 모델은 글로벌 엔드포인트에서만 제공되어 단일 리전 고정 불가) |
| Google LLC — Vertex AI Search | 복약 기록 입력 시 한국 약학정보원(health.kr) 공개 웹사이트 인덱스와의 약품명 매칭 (DB · 로컬 캐시 미히트 시 최초 1회) | 미국 등 Google Cloud 글로벌 데이터센터 소재국 (Google의 글로벌 라우팅 정책에 따라 결정 — 제3자 공개 웹사이트 인덱스의 기술적 제약으로 단일 리전 고정 불가) |
4.2. 국외 이전에 관한 고지
AI 분석·대화 기능 및 복약 기록 기능을 이용하는 경우, 다음 정보가 미국 등 해외에 위치한 Google 인프라(Vertex AI) 로 전송됩니다.
4.2.1. 일기 및 채팅 AI 분석 (Vertex AI Gemini)
| 구분 | 내용 |
|---|---|
| 이전받는 자 | Google LLC (Google Cloud Platform — Vertex AI) |
| 이전되는 국가 | 미국 등 Google LLC가 데이터센터를 운영하는 국가 (최종 처리 국가는 Google의 글로벌 라우팅 정책에 따라 결정) |
| 이전 방법 | HTTPS(TLS 1.2 이상)를 통한 API 호출 |
| 이전되는 항목 | 일기 본문, 채팅 메시지, 언어 코드, 분석용 시스템 프롬프트 |
| 이전 목적 | AI 기반 감정·생각·신체감각 분석 및 대화 응답 생성 |
| 보유·이용 기간 | Google 처리 후 모델 학습에 사용되지 않으며, Google의 추상적 운영 로그 정책을 따름. 회사 측 분석 결과는 제4조 제1항 수탁자(Supabase)에 저장·보유 |
| 글로벌 리전 사용 근거 | Gemini 3.x 계열 모델은 Google Cloud 정책상 글로벌 엔드포인트에서만 제공되므로 특정 단일 지역 리전으로 고정할 수 없음 |
| 개인정보 보호책임자 연락처 | info@akaintelligence.com |
4.2.2. 복약 기록 약품명 검색 (Vertex AI Search)
| 구분 | 내용 |
|---|---|
| 이전받는 자 | Google LLC (Google Cloud Platform — Vertex AI Search) |
| 이전되는 국가 | 미국 및 Google LLC의 데이터센터가 위치한 국가 (최종 처리 국가는 Google의 글로벌 라우팅 정책에 따라 결정) |
| 이전 방법 | HTTPS(TLS 1.2 이상)를 통한 API 호출 |
| 이전되는 항목 | 이용자가 입력한 약품명 문자열(예: "ris tab. 0.5 mg") — 사용자 식별자·IP·일기·채팅·세션 정보 미포함 |
| 이전 목적 | 한국 약학정보원(health.kr) 약품 코드 매칭을 위한 검색 인덱스 조회 |
| 이전 빈도 | DB 및 로컬 캐시에 매칭되는 약품이 없을 때에 한해 최초 1회 호출. 이후 동일 표기 입력에 대해서는 전송되지 않음 |
| 보유·이용 기간 | Google 운영 로그 정책(통상 30~90일). 회사는 응답값(약품 코드)만 자체 DB에 저장 |
| 글로벌 리전 사용 근거 | 제3자 공개 웹사이트(health.kr) 인덱스 기반 검색은 Google 정책상 도메인 소유권이 없는 경우 글로벌 리전에서만 데이터 저장소 생성이 가능하므로 특정 단일 리전으로 고정할 수 없음 |
| 개인정보 보호책임자 연락처 | info@akaintelligence.com |
회사는 Google Cloud의 데이터 처리 부속서(Data Processing Addendum, DPA) 및 표준 계약 조항(SCC) 에 서명하고, Vertex AI의 "고객 데이터를 모델 학습에 사용하지 않음" 정책을 적용받고 있습니다. 자세한 내용은 Google Vertex AI 데이터 거버넌스 문서를 참고하시기 바랍니다.
4.3. 이용자의 선택권
이용자는 AI 분석 동의를 거부하거나 언제든 철회할 수 있으며, 이 경우 회사는 이용자의 일기·채팅 내용을 Vertex AI (Gemini) 에 전송하지 않습니다. 다만 AI 분석·대화 기능은 이용할 수 없습니다.
이용자가 복약 기록 기능을 사용하지 않으면 약품명이 Vertex AI Search 로 전송되지 않습니다. 복약 기록 기능을 사용하더라도 데이터베이스 및 로컬 캐시에 이미 매칭되는 약품은 전송되지 않으며, 동일 표기의 약품명에 대해서는 최초 1회 외 전송이 발생하지 않습니다.
4.4. 연결(Connect) 커뮤니티 콘텐츠와 외부 전송
연결의 글·댓글·공감·신고 데이터는 일기·채팅과 달리 Google Vertex AI 등 외부 AI 제공사로 전송되지 않으며, AI 분석 또는 모델 학습에 사용되지 않습니다. 본 항의 데이터는 위 §4.1 의 수탁자 인프라 외부로 이전되지 않습니다.
5. 보유·이용 기간 및 파기
| 데이터 | 보유 기간 | 파기 방법 |
|---|---|---|
| 계정 정보 | 회원 탈퇴 시 즉시 파기 | DB 레코드 삭제(프로필 삭제 시 연관된 모든 일기·채팅·분석·복약 기록이 일괄 삭제) |
| 일기·채팅·분석 결과 | 회원 탈퇴 시 즉시 파기 | DB 레코드 삭제 |
| 연결(Connect) 글·댓글·공감 | 회원 탈퇴 시 즉시 파기 | DB 레코드 삭제(외래키 cascade 로 신고·공감 기록도 함께 파기). 단, 다른 이용자가 외부에 캡처·인용한 내용은 회사 통제 범위를 벗어남 |
| 연결 신고 기록 | 회원 탈퇴 시 즉시 파기(신고자 식별자만 NULL 처리) | 신고 본문은 통계·정책 검증을 위해 익명화 후 보관 가능 |
| 동의 기록(IP, UA, 시각) | 탈퇴 후 3년 보관 | 법령(전자상거래법) 상 분쟁 대비 의무 보존 후 파기 |
| 접속 로그 | 3개월 | 자동 삭제 |
| 마케팅 수신 동의 기록 | 수신거부 시 즉시 파기 | DB 레코드 삭제 |
6. 보호 조치
- 저장 시 암호화: 일기·채팅·분석·복약 등 모든 민감정보 필드는 AES-256-GCM 으로 애플리케이션 계층에서 암호화된 상태로 데이터베이스에 저장됩니다.
- 연결 콘텐츠의 평문 저장 예외: 연결(Connect) 커뮤니티의 글·댓글은 이용자가 다른 로그인 이용자에게 공개할 의도로 작성한 콘텐츠이므로, 검색·조회·모더레이션의 기능적 요구상 평문(plaintext) 으로 저장됩니다. 이용자는 본인의 신원·연락처·진단명 등 비공개 유지를 원하는 정보를 본문에 포함하지 않도록 주의해야 합니다.
- 전송 시 암호화: 클라이언트·서버·AI 제공사 간 모든 통신은 TLS 1.2 이상 으로 암호화됩니다.
- 접근 통제: 데이터베이스는 외부 네트워크에 직접 노출되지 않으며, 모든 데이터 접근은 회사가 운영하는 애플리케이션 서버의 인증·인가 레이어를 거칩니다. 이용자별 데이터(일기·채팅·분석 결과·복약 기록 등) 는 인증된 이용자 식별자를 기준으로 필터링되어 본인만 열람할 수 있도록 통제합니다. 연결 콘텐츠는 설계상 로그인한 모든 이용자에게 공개되며, 운영자(admin) 는 모더레이션 권한 범위 내에서 신고된 글·댓글을 열람할 수 있습니다.
- 암호화 키 관리: 암호화 키는 호스팅 환경의 시크릿 매니저에 격리 보관되며 코드 저장소에 포함되지 않습니다. 정기적·비상 시 키 교체(rotation) 가 가능한 구조로 운영됩니다.
- 최소 수집 원칙: 서비스 제공에 필요한 최소한의 정보만 수집합니다.
7. 이용자의 권리
이용자는 언제든 다음 권리를 행사할 수 있습니다.
- 개인정보 열람·정정·삭제·처리 정지 요구
- 회원 탈퇴를 통한 일괄 삭제 요구(설정 → 계정 삭제)
- 동의의 철회(설정 → 동의 관리)
- 이동권(본인 데이터의 구조화된 파일 다운로드) — GDPR·일본 APPI·캘리포니아 CPRA 적용 이용자
권리 행사는 서비스 내 "설정" 메뉴 또는 info@akaintelligence.com 으로 요청할 수 있습니다. 본인 확인 후 지체없이(원칙적으로 10일 이내) 처리합니다.
8. 아동의 개인정보
회사는 만 14세 미만(한국), 만 16세 미만(EU), 만 13세 미만(미국 COPPA), 만 16세 미만(일본 APPI 가이드라인) 아동의 개인정보를 수집하지 않습니다. 만약 위 연령 미만의 아동이 가입한 사실이 확인되면 즉시 계정을 삭제합니다.
9. 위기 상황 대응 안내
회사는 이용자가 입력한 일기·채팅·연결(Connect) 글·댓글 텍스트에서 위기 상황(자해·자살 등) 과 관련된 표현이 발견될 경우, 해당 텍스트가 저장(또는 전송)되는 시점에 한해 화면상에 전문가 상담 및 위기 핫라인 정보를 안내합니다. 이 감지는 이용자의 기기에서 즉시 이루어지며, 회사 서버에 저장되지 않고 이용자의 기기에도 별도로 기록되지 않습니다. 본 안내는 의료적 진단·개입을 대체하지 않으며, 단순 키워드 기반의 자동 감지 특성상 모든 위기 신호를 빠짐없이 감지함을 보장하지 않습니다.
연결(Connect) 커뮤니티에 등록된 글·댓글에 대해 회사는 다른 이용자의 안전을 위해 키워드 기반 우선순위 필터를 운영하며, 필터에 해당하거나 다른 이용자가 신고한 콘텐츠는 운영자(admin) 의 모더레이션 큐에서 우선 검토됩니다. 운영자는 신고된 콘텐츠와 작성자 식별자에 한해 열람할 수 있으며, 작성자의 일기·채팅·분석 결과 등 비공개 콘텐츠에는 접근하지 않습니다.
회사는 위 안내·필터 결과를 제3자(보험사·고용주 등)에 제공하지 않으며, 수사기관의 적법한 요청이 있는 경우에만 법령에 따라 제공합니다.
10. 쿠키의 사용
회사는 로그인 유지 및 동의 관리 목적으로 다음 쿠키를 사용합니다.
- 인증 세션 쿠키: 로그인 상태 유지
- 동의 임시 쿠키(
mm_pending_consents): 소셜 로그인 가입 시 동의 선택 값을 콜백까지 전달(최대 10분) - 테마·언어 설정: 로컬 스토리지 저장(쿠키 아님)
마케팅·분석 목적의 제3자 쿠키(Google Analytics 등)는 사용하지 않습니다.
11. 미국 이용자에 대한 추가 고지
11.1. 캘리포니아 주민(CPRA)
캘리포니아 주민은 본인의 민감 개인정보(Sensitive PI)의 사용 제한 요청권, 판매·공유 거부권(Opt-Out), 차별받지 않을 권리를 가집니다. 회사는 개인정보를 판매하거나 행동 광고 목적으로 공유하지 않습니다.
11.2. 워싱턴 주민(My Health My Data Act)
회사는 이용자의 정신 건강 데이터를 "Consumer Health Data" 로 인식하며, MHMDA 가 요구하는 별도의 유효 동의(Valid Authorization) 를 AI 분석 동의 절차를 통해 수령합니다. 이용자는 언제든 동의를 철회할 수 있습니다.
11.3. FTC Section 5
회사는 본 방침과 실제 데이터 처리가 일치하도록 유지하며, FTC 의 정신 건강 앱 관련 권고(2023) 를 준수합니다.
12. 일본 이용자에 대한 추가 고지
「個人情報の保護に関する法律」(일본 개인정보 보호법) 상 要配慮個人情報 취급에 대해 별도의 동의를 받습니다. Google LLC가 데이터센터를 운영하는 국가들로의 월경 이전에 대해서는, 해당 국가들이 모두 일본 개인정보보호위원회(PPC)가 고시한 "동등 수준국"에 해당하지는 않으므로, 동의에 기반한 이전 방식(APPI 제28조)을 채택합니다.
이전 관련 참고 정보:
- 주요 이전국 및 보호 제도:
- 미국: 포괄적 연방 법률 부재, 주별 법률(캘리포니아 CPRA, 워싱턴 MHMDA 등) 적용.
- EU 회원국·영국: GDPR·UK GDPR 적용 (일본 PPC는 EU·영국을 동등 수준국으로 인정).
- 일본·한국: 자국 개인정보 보호법 적용.
- 기타 Google 데이터센터 소재국: 각국 개인정보 보호 법령 적용. Google Cloud 데이터센터 위치는 Google Cloud locations 참조.
- 이전받는 자의 조치: Google LLC 는 ISO 27001, ISO 27017, ISO 27018, SOC 2 Type II 등 국제 표준을 준수하며, EU 표준 계약 조항(SCCs)과 Google Cloud Data Processing Addendum(DPA) 을 체결하고 있습니다.
13. 유럽경제지역(EEA) / 영국 이용자
GDPR · UK GDPR 상 적법 처리 근거는 다음과 같습니다.
- 계약 이행(Art. 6(1)(b)): 계정 관리, 일기·채팅 저장
- 명시적 동의(Art. 6(1)(a), Art. 9(2)(a)): AI 분석(민감정보), 마케팅
- 정당한 이익(Art. 6(1)(f)): 보안, 부정 이용 방지
EEA·영국 외 국가로의 이전(미국 등 Google LLC가 데이터센터를 운영하는 국가, 글로벌 라우팅에 따라 결정)은 Google Cloud 의 EU 표준 계약 조항(SCCs) 및 Google Cloud Data Processing Addendum(DPA) 에 근거하며, 필요한 경우 추가 보호조치(암호화, 접근 통제) 가 적용됩니다. 적정성 결정(Adequacy Decision) 미수여 국가로 이전될 경우, Google 의 글로벌 보안 인증(ISO 27001 / 27017 / 27018, SOC 2 Type II) 이 보충 안전조치로 함께 적용됩니다. 이용자는 관할 감독 기관에 민원을 제기할 권리가 있습니다.
14. 개인정보 보호책임자 및 분쟁 해결
- 개인정보 보호책임자: AKA AI Privacy Team
- 이메일: info@akaintelligence.com
- 주소: 서울특별시 중구 청계천로 100, 시그니처타워 서관 9층 (우편번호 04542)
- 문의 회신: 영업일 기준 10일 이내
침해 관련 구제는 아래 기관에 상담·신고할 수 있습니다.
- 대한민국: 개인정보분쟁조정위원회(1833-6972), 개인정보침해신고센터(118), 경찰청 사이버수사국(182)
- 일본: 개인정보보호위원회(03-6457-9849)
- EU/EEA: 거주국 감독 기관(국가별 DPA)
- 미국: 연방거래위원회(FTC), 주별 법무장관실
15. 방침의 변경
본 방침이 변경되는 경우 시행일 최소 7일 전(이용자에게 불리한 변경은 최소 30일 전)에 서비스 내 공지 및 이메일로 고지합니다. 중대한 변경은 재동의를 요구할 수 있습니다.