개인정보 처리방침

서비스명: 뚱냥쌤 — 어린이 영어 학습 (Chubby Cat Teacher) 대상 연령: 5세 이상 (13세 미만은 부모 동의 필수) 시행일: 2026년 4월 11일 버전: 3.1.0 적용 법령: 대한민국 개인정보 보호법(PIPA), 미국 어린이 온라인 개인정보 보호법(COPPA), 일본 개인정보보호법(APPI), 대만 개인자료보호법 — 본 서비스는 현재 EU/EEA/영국 시장을 대상으로 하지 않으므로 GDPR 적용 범위 밖에 있으며, 그럼에도 정보주체의 권리는 자발적으로 존중합니다

1. 본 방침의 목적

뚱냥쌤(이하 "서비스")은 정보주체(자녀와 부모) 의 개인정보를 보호하고 관련 법령을 준수하기 위하여 본 개인정보 처리방침(이하 "본 방침")을 수립·공개합니다. 본 방침은 서비스가 어떤 개인정보를 어떤 목적으로 수집·이용·제공·파기하는지, 정보주체가 어떤 권리를 가지는지를 설명합니다.

본 방침은 다음 법령에 따라 작성되었습니다:

  • 대한민국 「개인정보 보호법」 (PIPA)
  • EU 일반 개인정보 보호 규정 (Regulation (EU) 2016/679, GDPR)
  • 미국 어린이 온라인 개인정보 보호법 (16 CFR Part 312, COPPA)
  • 일본 「개인정보 보호에 관한 법률」 (APPI)
  • 영국 「데이터 보호법 2018」 및 UK GDPR

2. 개인정보처리자(Controller) 정보

| 항목 | 내용 | |---|---| | 개인정보처리자 (Controller) | W78 | | 사업자등록번호 | 206-30-88843 | | 대표자 / 책임자 | 김명호 (Myungho Kim) | | 주소 | 서울특별시 광진구 자양로 181-1, 1층 102호 (구의동), 우편번호 05024, 대한민국 | | 연락처 (이메일) | info@chubbycat.net | | 연락처 (개인정보 관련) | privacy@chubbycat.net | | 웹사이트 | https://chubbycat.net |

3. 지리적 범위 및 EU 대리인

3.1 현재 서비스 제공 지역

본 서비스는 현재 다음 지역을 대상으로 운영됩니다:

  • 대한민국 (주요 시장)
  • 미국
  • 일본
  • 중국, 대만, 홍콩
  • 동남아시아 (싱가포르, 말레이시아, 인도네시아, 태국, 베트남, 필리핀 등)

3.2 EU/EEA/영국 출시 유보

본 서비스는 현재 EU 회원국, EEA, 영국 시장에서 출시되지 않습니다. 구체적으로:

  • Apple App Store 및 Google Play에서 EU 27개국 + EEA 3개국(아이슬란드, 리히텐슈타인, 노르웨이) + 영국 + 스위스, 총 32개 지역에 대한 제공이 비활성화 되어 있습니다
  • 공식 웹사이트 (chubbycat.net) 는 EU 언어(독일어, 프랑스어, 스페인어 등)를 지원하지 않으며, EU 거주자를 대상으로 한 마케팅 활동을 수행하지 않습니다
  • 본 서비스는 GDPR 제3조 제2항의 "EU 정보주체에게 상품/서비스를 의도적으로 제공함"에 해당하지 않으므로, 현재 GDPR 의 지역적 적용 범위 밖에 있습니다

3.3 EU 대리인 (GDPR 제27조)

본 서비스가 현재 EU 시장을 대상으로 하지 않으므로 GDPR 제27조에 따른 EU 대리인을 지정하지 않았습니다. 향후 EU 시장 출시 결정 시, 본 서비스는 GDPR 제27조에 따라 EU 내 대리인을 서면으로 지정하고, 본 방침 §3을 업데이트한 뒤 최소 30일 전에 사전 공지할 예정입니다.

3.4 EU 거주자에 대한 자발적 권리 존중

본 서비스가 EU 를 타게팅하지 않음에도 불구하고, 본 서비스는 정보주체의 개인정보 보호 권리를 자발적으로 존중합니다. 만약 귀하가 EU 거주자이며 본 서비스 사용 중 개인정보 관련 문의가 있으시다면 privacy@chubbycat.net 으로 연락해 주시기 바랍니다. 본 서비스는 GDPR 제15-22조에 상응하는 권리(열람, 정정, 삭제, 처리 제한, 데이터 이동, 반대, 자동화 의사결정 거부, 동의 철회)를 §12에 명시된 절차로 처리합니다.

4. 개인정보보호책임자

| 항목 | 내용 | |---|---| | 개인정보보호책임자 (한국 PIPA) | 김명호 (Myungho Kim) | | 연락처 | privacy@chubbycat.net | | DPO (GDPR Art. 37) | 미선임 (소규모 사업자, 핵심 활동에 해당하지 않음) |

자녀의 개인정보 처리와 관련한 문의, 불만 처리, 피해 구제는 위 연락처로 접수하시기 바랍니다.

5. 본 방침의 적용 범위

본 방침은 다음에 적용됩니다:

  • 모바일 애플리케이션 "뚱냥쌤" (iOS / Android)
  • 웹사이트 https://chubbycat.net 및 그 하위 페이지
  • 서비스가 운영하는 모든 백엔드 API 및 Edge Function

본 방침은 서비스 외부의 제3자 사이트 또는 앱에는 적용되지 않습니다.

6. 수집하는 개인정보 항목

6.1 부모(법정대리인)로부터 수집하는 정보

| 항목 | 수집 방법 | 필수 여부 | |---|---|---| | 이메일 주소 | 회원가입 시 직접 입력 또는 Apple/Google Sign-In | 필수 | | 부모 이름 (선택) | 회원가입 시 직접 입력 | 선택 | | 결제 정보 | Apple App Store / Google Play를 통해 처리 (서비스가 직접 저장하지 않음) | 구독 시 필수 | | 부모 동의 기록 (시각, 동의한 정책 버전) | 회원가입 시 자동 기록 | 필수 |

6.2 자녀(만 13세 미만)로부터 수집하는 정보

중요 — 음성 데이터의 법적 분류

본 서비스가 처리하는 자녀의 음성 녹음은 화자 식별(speaker identification) 목적이 아니라, 발음의 정확도 평가 및 음성-텍스트 변환(STT) 용도로만 사용됩니다. 따라서:

  • GDPR 제9조 (생체 데이터 — "자연인을 고유하게 식별할 목적의 생체 데이터") 의 특수 카테고리에 해당하지 않습니다. 음성은 발음 점수 계산 후 즉시 삭제되며 목소리 지문으로 저장되지 않습니다.
  • 한국 개인정보 보호법 제23조 (민감정보) 에도 해당하지 않습니다. 음성은 학습 피드백 제공 목적의 일반 개인정보로만 처리됩니다.
  • 본 서비스는 음성을 화자 식별, 행동 분석, 광고 프로파일링, AI 모델 학습 데이터 등 어떠한 2차 목적으로도 사용하지 않을 것을 약속합니다. 이 약속을 위반하려면 새로운 동의를 받고 본 방침을 개정해야 합니다.
  • 향후 처리 목적이 확장되어 Art. 9 또는 PIPA 제23조에 해당하게 되는 경우, 정보주체에게 사전 통지하고 새로운 명시적 동의를 받을 것입니다.

부모의 검증된 동의 하에서만 다음 정보를 수집합니다:

| 항목 | 수집 방법 | 사용 목적 | |---|---|---| | 자녀 닉네임 (실명 미수집) | 회원가입 시 직접 입력 | 학습 화면 인사말, 진도 표시 | | 자녀 나이 (연령) | 회원가입 시 직접 입력 | 학습 난이도 조정 | | 학습 진행 데이터 (점수, 학습일, 완료 단어/문장) | 자동 수집 | 진도 저장, 부모 대시보드 | | 발음 평가 점수 | 자동 수집 | 학습 피드백 | | 학습 세션의 음성 녹음 | 발음 평가 시 일시적 캡처 | 발음 평가 직후 즉시 파기 (영구 저장 없음) | | AI 회화 대화 내용 | AI 회화 사용 시 캡처 | 회화 응답 생성 후 짧은 기간 보관 (학습 분석용) | | 앱 설정 (볼륨, 테마, 알림 선호) | 자동 수집 | 사용자 경험 개인화 |

6.3 자동으로 수집되는 정보

| 항목 | 수집 목적 | 식별 가능성 | |---|---|---| | 익명화된 충돌 로그 (Sentry) | 앱 안정성 개선 | 비식별 (이메일/IP/이름 자동 제거) | | 앱 실행 횟수 및 기능 사용 빈도 | 서비스 개선 통계 | 비식별 집계 | | 디바이스 모델 / OS 버전 | 호환성 디버깅 | 비식별 | | 언어 설정 | 다국어 화면 표시 | 비식별 |

6.4 수집하지 않는 정보 (네거티브 리스트)

다음 정보는 어떠한 경우에도 수집하지 않습니다:

  • 자녀의 실명, 주민등록번호, 생년월일, 주소
  • 자녀의 사진, 동영상 (이미지 라이브러리 권한 미요청)
  • 위치 정보 (GPS 권한 미요청, '산책 모드'는 게임 비유)
  • 전화번호, 연락처
  • 광고 식별자 (IDFA, Android Ad ID 미수집)
  • 친구 목록 또는 SNS 계정 정보
  • 결제 카드 정보 (Apple/Google이 처리, 서비스는 접근 불가)
  • 생체 정보 (지문, 얼굴 인식 등)

7. 처리 목적 및 적법한 근거 (GDPR Art. 6 / Art. 13(1)(c))

각 처리 활동에 대한 적법한 근거는 다음과 같습니다:

| 처리 활동 | 데이터 카테고리 | 적법한 근거 (GDPR Art. 6) | 목적 | |---|---|---|---| | 계정 생성 및 인증 | 부모 이메일, 자녀 닉네임/나이 | 계약 이행 (Art. 6(1)(b)) | 서비스 제공의 필수 요건 | | 학습 진행 저장 및 동기화 | 학습 진행 데이터 | 계약 이행 (Art. 6(1)(b)) | 사용자가 신청한 서비스 핵심 기능 | | AI 발음 평가 | 자녀 음성 녹음 (일시적), 텍스트 | 부모 동의 (Art. 6(1)(a) + Art. 8) | 학습 피드백 제공 | | AI 회화 (Chat) | 자녀 대화 텍스트, 음성 | 부모 동의 (Art. 6(1)(a) + Art. 8) | 회화 학습 | | 부모 대시보드 | 학습 진행 통계 | 계약 이행 (Art. 6(1)(b)) | 부모의 자녀 학습 모니터링 | | 구독 결제 처리 | 부모 이메일, 구독 상태 | 계약 이행 (Art. 6(1)(b)) | 유료 기능 제공 | | 이메일 알림 (구독 갱신, 중요 공지) | 부모 이메일 | 계약 이행 (Art. 6(1)(b)) | 서비스 운영상 필수 | | 마케팅 이메일 (출시, 할인, 신기능) | 부모 이메일 | 명시적 동의 (Art. 6(1)(a)) | 사용자 옵트인 시에만 | | 충돌 리포팅 및 디버깅 | 익명 충돌 로그 | 정당한 이익 (Art. 6(1)(f)) | 서비스 안정성 (개인 식별 불가) | | 보안 위협 탐지 | 익명 접속 로그 | 법적 의무 + 정당한 이익 (Art. 6(1)(c), (f)) | 부정 사용 방지 | | 법적 분쟁 대응 | 필요한 모든 데이터 | 법적 의무 (Art. 6(1)(c)) | 법령 준수 |

8. 아동의 개인정보 보호

본 서비스는 5~10세 어린이를 주 대상으로 합니다. 아동의 개인정보는 다음 법령에 따라 강화된 보호를 받습니다:

8.1 GDPR 제8조 (유럽 연합)

GDPR은 디지털 서비스 동의의 최저 연령을 16세로 설정하며, 회원국이 13세까지 인하할 수 있습니다 (독일 16세, 프랑스 15세, 영국 13세, 스페인 14세 등). 본 서비스는 모든 EU 거주 미성년자에 대해 법정대리인(부모)의 검증 가능한 동의를 필수로 합니다.

8.2 한국 개인정보 보호법 + 정보통신망법

대한민국 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제31조 및 「개인정보 보호법 시행령」에 따라, 만 14세 미만 아동의 개인정보 수집 시 법정대리인의 동의를 받습니다.

8.3 미국 COPPA (16 CFR Part 312)

미국 「어린이 온라인 개인정보 보호법」에 따라, 13세 미만 아동의 개인정보를 수집하기 전 부모의 검증 가능한 동의(verifiable parental consent)를 받습니다.

8.4 부모 동의 검증 절차

본 서비스는 다음과 같은 단계로 부모의 동의를 검증합니다:

  1. 회원가입 시 부모 이메일 주소 입력
  2. 동의 화면에서 4개 항목 분리 동의 (이용약관, 개인정보처리방침 + 부모 동의, 마이크/AI 처리, [선택] 마케팅)
  3. 동의 시각, 동의한 정책 버전, IP 주소 해시 기록
  4. 부모 이메일로 검증 메일 발송 → 클릭 확인 후 계정 활성화 (Group 6 구현 후 적용)
  5. 부모는 언제든 부모 게이트(수학 문제)를 통과하여 자녀의 데이터를 열람·수정·삭제할 수 있음

8.5 아동 데이터의 특별 보호 조치

  • 광고 표시 없음: 어떤 형태의 광고도 표시하지 않습니다 (배너, 팝업, 보상형, 네이티브 모두 금지)
  • 행동 분석 추적 없음: Google Analytics, Facebook Pixel, Mixpanel 등 어떤 분석 SDK도 사용하지 않습니다
  • 광고 식별자 미수집: IDFA, Android Ad ID를 수집하지 않습니다
  • 제3자 마케팅 미사용: 자녀의 정보는 어떤 제3자에게도 마케팅 목적으로 제공되지 않습니다

9. 개인정보의 제3자 제공 및 처리 위탁 (Sub-processors)

본 서비스는 운영을 위해 다음 제3자 서비스에 개인정보의 처리를 위탁합니다 (GDPR Art. 13(1)(e), 한국 PIPA 제17조 / 제26조):

| # | 서비스 | 제공자 | 처리 목적 | 위탁 데이터 | 보관 위치 | 안전장치 | |---|---|---|---|---|---|---| | 1 | 클라우드 데이터베이스 | Supabase Inc. | 학습 데이터 저장·동기화 | 자녀 닉네임/나이, 학습 진행, 대화 텍스트 | Supabase Seoul (한국) | DPA + SCC | | 2 | 충돌 리포팅 | Functional Software Inc. (Sentry) | 앱 안정성 디버깅 | 익명 충돌 스택 (PII 자동 제거됨) | 미국 | DPA + SCC | | 3 | 인증 (Apple) | Apple Inc. | Sign in with Apple | 부모 이메일 (또는 Apple 릴레이 이메일) | 글로벌 (Apple) | Apple DPA | | 4 | 인증 (Google) | Google LLC | Google Sign-In | 부모 이메일 | 글로벌 (Google) | Google DPA + SCC | | 5 | TTS (Text-to-Speech) | Amazon Web Services (AWS Polly) | 학습 음성 합성 | 텍스트만 (개인정보 없음) | 미국 (us-east-1) | AWS DPA + SCC | | 6 | TTS (대체) | Google Cloud Text-to-Speech | TTS 대체 음성 합성 | 텍스트만 | 미국 / EU 리전 | Google Cloud DPA + SCC | | 7 | AI 발음 평가 | SpeechAce LLC | 자녀 음성의 발음 정확도 평가 | 자녀의 음성 녹음 (평가 후 즉시 삭제) | 미국 | DPA + SCC (출시 전 체결 필요) | | 8 | AI 회화 (Vertex AI) | Google LLC (Cloud Vertex AI Gemini) | 자녀의 영어 대화 응답 생성 | 자녀의 대화 텍스트, 학습 컨텍스트 | 미국 / EU 리전 | Google Cloud DPA + SCC | | 9 | AI 회화 (대체) | OpenAI, L.L.C. (GPT) | Vertex 실패 시 fallback 회화 생성 | 자녀의 대화 텍스트 | 미국 | OpenAI Enterprise DPA + SCC (출시 전 체결 필요) | | 10 | 음성 인식 (STT) | Google LLC (Cloud Speech-to-Text V2 / Chirp 2) | 자녀 음성을 텍스트로 변환 | 자녀의 음성 녹음 (변환 후 즉시 삭제) | 미국 / EU 리전 | Google Cloud DPA + SCC | | 11 | 음성 인식 (대체) | OpenAI, L.L.C. (Whisper) | Google STT 실패 시 fallback | 자녀의 음성 녹음 (변환 후 즉시 삭제) | 미국 | OpenAI Enterprise DPA + SCC (출시 전 체결 필요) | | 12 | 결제 처리 | Apple Inc. / Google LLC | 인앱 구독 결제 | 결제 정보 (서비스가 접근 불가) | 글로벌 | Apple/Google DPA | | 13 | 푸시 알림 | Apple APNs / Google FCM | 학습 알림 발송 | 일시적 디바이스 토큰 (DB에 저장 안 함) | 글로벌 | Apple/Google DPA |

중요 — 새로 추가된 항목 (#7, #8, #9, #10, #11): 본 5개 항목은 v2.0.0 방침에서 누락되어 있었으며, v3.0.0에서 GDPR Art. 13(1)(e) 및 한국 PIPA 제17조/제26조 준수를 위해 명시적으로 추가되었습니다.

본 항목 외의 어떤 제3자에게도 개인정보를 제공·판매·임대하지 않습니다.

10. 국제 데이터 전송 (GDPR Art. 44-49)

본 서비스는 한국에서 운영되며, 일부 데이터가 다음 국가로 전송됩니다:

| 전송 대상국 | 전송되는 데이터 | 적용 안전장치 | |---|---|---| | 미국 (USA) | 충돌 로그(Sentry), TTS 텍스트(AWS), 자녀 음성(SpeechAce, OpenAI), 자녀 대화(OpenAI fallback) | EU-US Data Privacy Framework (DPF) 가입 처리자 우선, 미가입 처리자에 대해서는 표준 계약 조항(SCC) | | EU 회원국 | AI 처리(Vertex AI EU 리전, Google Cloud STT/TTS EU 리전) | EEA 내 처리, 별도 안전장치 불필요 | | 글로벌 (Apple/Google) | 인증, 푸시 알림 | Apple/Google DPA + SCC | | 한국 | 학습 진행, 자녀 프로필, 부모 이메일 | 국내 처리, 한국 PIPA 적용 |

참고 — EU 출시 유보: 본 서비스는 현재 EU/EEA/영국 시장을 대상으로 하지 않으므로 GDPR 제44-49조의 적정 보호 수준 요구는 현재 적용되지 않습니다. 향후 EU 출시 결정 시 다음 조치를 구현할 예정입니다:

  1. EU-US Data Privacy Framework(DPF) 가입 처리자 우선 사용 또는 표준 계약 조항(SCC 2021/914 모듈 II/III) 체결
  2. Schrems II 판결 (CJEU C-311/18) 이후 요구되는 보충 조치(supplementary measures):
    • 전송 시 TLS 1.2 이상 암호화
    • 미국 정부의 접근 요청에 대한 투명성 보고
    • 데이터 최소화 원칙 준수 (음성은 평가 직후 삭제)
    • 정기적 보안 감사 및 접근 제어 로그
  3. 한국 개인정보 보호법 제17조 국외 이전 절차 준수: 정보주체에 사전 고지 + 동의

이러한 조치는 본 섹션에 명시적으로 기재되며 최소 30일 전 사전 공지됩니다.

11. 보유 및 파기 (GDPR Art. 13(2)(a))

| 데이터 카테고리 | 보유 기간 | 파기 사유 | |---|---|---| | 부모 이메일 (계정) | 계정 유지 기간 | 계정 삭제 시 | | 자녀 닉네임/나이 | 계정 유지 기간 | 계정 삭제 시 | | 학습 진행 데이터 | 계정 유지 기간 | 계정 삭제 시 | | 학습 세션 음성 녹음 | 즉시 삭제 (평가 직후, 영구 저장 없음) | 평가 완료 | | AI 회화 대화 텍스트 | 30일 (학습 분석 후 익명화 또는 삭제) | 분석 완료 | | 부모 동의 기록 | 계정 종료 후 5년 (법적 입증용) | 보존 기간 만료 | | 충돌 로그 (Sentry) | 90일 자동 삭제 | 보존 기간 만료 | | 구독 결제 기록 | 5년 (전자상거래법상 보존 의무) | 법정 보존 기간 만료 | | 익명 통계 | 무기한 (개인 식별 불가) | 해당 없음 |

계정 삭제 시: 부모가 계정 삭제를 요청하면 30일 이내에 모든 개인정보가 영구 파기됩니다. 단, 위 표의 "법적 보존 의무" 항목은 법령이 요구하는 기간 동안만 별도로 보관됩니다.

12. 정보주체의 권리 (GDPR Art. 15-22, 한국 PIPA 제35조-제37조)

부모(법정대리인) 및 자녀는 다음 권리를 행사할 수 있습니다:

12.1 열람권 (Art. 15) — Right of Access

자녀에 대해 처리되고 있는 모든 개인정보를 열람할 수 있습니다.

  • 앱 내 행사: 부모 게이트 통과 → 부모 대시보드 → 학습 기록 열람
  • 서면 행사: privacy@chubbycat.net으로 이메일 요청

12.2 정정권 (Art. 16) — Right to Rectification

부정확한 개인정보의 정정을 요청할 수 있습니다.

  • 앱 내 행사: 설정 → 자녀 프로필 → 닉네임/나이 수정
  • 서면 행사: 위 이메일로 요청

12.3 삭제권 / 잊혀질 권리 (Art. 17) — Right to Erasure

모든 개인정보의 삭제를 요청할 수 있습니다.

  • 앱 내 행사: 설정 → 부모 게이트 → 계정 삭제 (즉시 처리, 30일 이내 완전 파기)
  • 법적 보존 의무 항목 제외: 결제 기록 등은 법령이 요구하는 기간 동안 별도 보관

12.4 처리 제한권 (Art. 18) — Right to Restriction of Processing

처리의 일시적 제한을 요청할 수 있습니다 (예: 정확성 확인 중).

  • 서면 행사: privacy@chubbycat.net

12.5 데이터 이동권 (Art. 20) — Right to Data Portability

구조화된, 일반적으로 사용되는, 기계가 읽을 수 있는 형식으로 개인정보를 받을 권리.

  • 앱 내 행사: 설정 → 부모 게이트 → "내 데이터 내보내기" → JSON 파일 다운로드
  • 서면 행사: privacy@chubbycat.net

12.6 반대권 (Art. 21) — Right to Object

정당한 이익을 근거로 한 처리에 반대할 수 있습니다.

  • 서면 행사: privacy@chubbycat.net

12.7 자동화된 의사결정 거부권 (Art. 22) — Right against Automated Decisions

법적 효과 또는 유사하게 중대한 영향을 미치는 자동화된 의사결정의 대상이 되지 않을 권리. (본 서비스의 자동화 처리에 대해서는 §13 참조 — 본 서비스의 AI 처리는 학습 피드백 제공 목적이며, 사용자에게 법적 효과나 유사하게 중대한 영향을 미치지 않습니다.)

12.8 동의 철회권 (Art. 7(3)) — Right to Withdraw Consent

동의를 근거로 한 처리에 대한 동의를 언제든지 철회할 수 있습니다. 철회는 철회 이전의 처리의 적법성에 영향을 미치지 않습니다.

  • 앱 내 행사: 설정 → 동의 관리 → 항목별 토글
  • 서면 행사: privacy@chubbycat.net

12.9 권리 행사 절차 및 응답 시한

| 행사 방법 | 응답 시한 | |---|---| | 앱 내 직접 행사 | 즉시 | | 이메일 요청 (privacy@chubbycat.net) | GDPR Art. 12(3)에 따라 1개월 이내 (복잡한 경우 2개월 추가 연장 가능, 사전 통지) | | 한국 PIPA 기준 | 10일 이내 |

권리 행사 시 본인 확인을 위해 회원가입 시 사용한 이메일에서 요청해 주십시오. 법정대리인이 자녀를 대신하여 권리를 행사하는 경우, 법정대리인 관계를 확인할 수 있는 정보를 함께 제공해 주십시오.

13. 자동화된 의사결정 (GDPR Art. 22)

본 서비스는 다음과 같은 자동화된 처리를 수행합니다:

| 자동화 처리 | 설명 | 사용자에 대한 효과 | |---|---|---| | AI 발음 평가 (SpeechAce) | 자녀의 영어 발음을 음소 단위로 점수화 | 법적/유사 효과 없음 — 학습 피드백 목적, 외부 영향 없음 | | AI 회화 응답 생성 (Vertex AI / OpenAI) | 자녀의 영어 발화에 자연스러운 응답 생성 | 법적/유사 효과 없음 — 회화 학습 목적 | | 학습 난이도 자동 조정 | 진행 상황에 따라 다음 학습 내용 추천 | 법적/유사 효과 없음 — 학습 경험 개인화 |

본 서비스의 자동화된 처리는 GDPR Art. 22에 따른 "법적 효과 또는 유사하게 중대한 영향을 미치는 결정"에 해당하지 않습니다. 그러나 정보주체는 언제든 자동화 처리에 대한 인적 검토를 요청할 수 있습니다 (privacy@chubbycat.net).

14. 개인정보의 보안 조치 (GDPR Art. 32)

본 서비스는 개인정보 보호를 위해 다음 기술적·관리적 조치를 취합니다:

14.1 기술적 보호 조치

  • 전송 암호화: 모든 데이터 전송에 TLS 1.2 이상 적용
  • 저장 암호화: 인증 토큰을 SecureStore (iOS Keychain / Android Keystore)에 저장
  • 데이터베이스 접근 제어: Supabase Row Level Security(RLS)로 사용자별 데이터 격리
  • API 인증: 모든 백엔드 API에 JWT 기반 인증 + Rate Limiting
  • Sentry PII 자동 제거: 충돌 로그에서 이메일/IP/이름이 자동으로 스크럽됨
  • 음성 데이터 일시 처리: 발음 평가를 위한 음성 녹음은 평가 직후 즉시 메모리/디스크에서 삭제
  • 백업 암호화: 백업 데이터는 암호화된 상태로 보관

14.2 관리적 보호 조치

  • 개인정보 처리 직원 최소화 (현재 단일 개발자)
  • 정기적인 개인정보 처리 활동 점검
  • 개인정보 처리 시스템에 대한 접근 권한 관리
  • 개인정보 침해 사고 대응 절차 마련

15. 개인정보 침해 통보 (GDPR Art. 33-34)

개인정보 침해 사고가 발생할 경우:

  1. 감독기관 통보: 인지 후 72시간 이내 EU 정보주체 관련 시 관할 DPA에 통보 (Art. 33)
  2. 정보주체 통보: 침해가 정보주체의 권리와 자유에 높은 위험을 초래할 경우, 지체 없이 영향받는 정보주체에게 통보 (Art. 34)
  3. 한국 PIPA: 한국 정보주체 관련 시 개인정보보호위원회 및 한국인터넷진흥원에 통보, 정보주체에게도 통보
  4. 통보 내용: 침해의 성격, 영향받는 데이터 카테고리, 예상되는 결과, 취해진 또는 취할 예정인 대응 조치

16. 감독기관에 대한 진정 권리 (GDPR Art. 13(2)(d))

본 서비스의 개인정보 처리에 불만이 있을 경우 다음 감독기관에 진정할 수 있습니다:

16.1 한국

  • 개인정보보호위원회 (PIPC): https://www.pipc.go.kr
  • 개인정보침해신고센터 (KISA): 국번 없이 118 / https://privacy.kisa.or.kr
  • 개인정보분쟁조정위원회: https://www.kopico.go.kr

16.2 EU / EEA

EU 거주자는 거주지 또는 침해 발생지의 회원국 감독기관(DPA)에 진정할 수 있습니다.

  • 유럽 데이터 보호 위원회 (EDPB): https://edpb.europa.eu (각국 DPA 목록 제공)

주요 회원국 DPA:

  • 🇩🇪 독일: BfDI — https://www.bfdi.bund.de
  • 🇫🇷 프랑스: CNIL — https://www.cnil.fr
  • 🇮🇪 아일랜드: DPC — https://www.dataprotection.ie
  • 🇪🇸 스페인: AEPD — https://www.aepd.es
  • 🇮🇹 이탈리아: Garante — https://www.garanteprivacy.it

16.3 영국 (UK)

  • Information Commissioner's Office (ICO): https://ico.org.uk

16.4 미국

  • Federal Trade Commission (FTC): https://www.ftc.gov/complaint
  • California Privacy Protection Agency (CPPA): https://cppa.ca.gov (캘리포니아 거주자)

17. 본 방침의 변경 이력 및 변경 절차

17.1 변경 이력

| 버전 | 시행일 | 주요 변경 | |---|---|---| | 3.1.0 | 2026-04-11 | 지리적 범위 명확화: EU/EEA/영국 출시 유보, §3을 "지리적 범위 및 EU 대리인"으로 재구성, EU 대리인 미지정 상태 명시, §10 국제 전송 안전장치를 EU 출시 유보에 맞춰 조정, 자발적 권리 존중 조항 추가 | | 3.0.0 | 2026-04-11 | GDPR 전면 준수 프레임워크 도입: 컨트롤러 신원, EU 대리인 (placeholder), 9개 sub-processor 전체 공개, 정보주체 8가지 권리, 적법한 근거, 자동화 처리 공개 | | 2.0.0 | 2026-04-09 | 초기 COPPA 중심 방침 |

17.2 변경 절차

본 방침을 변경할 경우:

  1. 사전 공지 (시행 30일 전): 앱 내 공지, 등록된 부모 이메일로 알림, 웹사이트 게시
  2. 중대한 변경의 경우 (예: 새로운 처리 목적 추가, 새로운 sub-processor 추가): 부모의 재동의 필수
  3. 사소한 변경의 경우 (예: 표현 수정): 사전 공지 후 묵시적 동의로 효력 발생
  4. 변경된 방침은 본 페이지에 게시되며, 이전 버전은 요청 시 제공됩니다

18. 문의 및 신고

| 문의 유형 | 연락처 | |---|---| | 일반 문의 | info@chubbycat.net | | 개인정보 관련 문의 / 권리 행사 | privacy@chubbycat.net | | EU 거주자 문의 (EU 대리인 경유) | [EU 대리인 이메일 — 출시 전 확정] | | 신고 (부정 사용, 보안 취약점 등) | security@chubbycat.net |

버전: 3.0.0 시행일: 2026년 4월 11일 언어: 한국어 (이 문서가 한국 거주자에 대한 정본입니다. 다른 언어 버전 간 해석 차이가 있을 경우 한국어 버전이 우선합니다.) 관할법: 대한민국 개인정보 보호법 + EU GDPR (EU 거주자에 한해) + COPPA (미국 13세 미만에 한해)