개인정보 처리방침
시행일자: 2026년 4월 9일 | 버전: 2.0
인피카(이하 "회사")는 「개인정보 보호법」 제30조에 따라 정보주체의 개인정보를 보호하고 이와 관련한 고충을 신속하고 원활하게 처리할 수 있도록 다음과 같이 개인정보 처리방침을 수립·공개합니다.
본 방침은 회사가 운영하는 모든 서비스(halvvy, DALSKIN, GADI, Befomi, mednari)에 공통 적용됩니다.
제1조 (개인정보의 처리 목적)
회사는 다음의 목적을 위하여 개인정보를 처리합니다.
- 회원 가입 및 관리: 회원 가입의사 확인, 본인 식별·인증, 회원자격 유지·관리, 부정이용 방지, 고충처리
- 서비스 제공: 콘텐츠 제공, 맞춤서비스 제공, AI 기반 분석 결과 제공
- 결제 처리: 요금 결제·정산, 환불 처리
- 마케팅 및 광고 활용(선택 동의 시): 이벤트·광고성 정보 제공, 맞춤형 서비스 제공
- 서비스 개선: 접속빈도 파악, 이용 통계, 서비스 분석
제2조 (수집하는 개인정보의 항목 및 법적근거)
1. 동의 없이 처리하는 개인정보 (계약 이행)
「개인정보 보호법」 제15조 제1항 제4호에 따라 서비스 계약의 체결·이행을 위해 수집합니다.
- 카카오 소셜 로그인: 카카오 계정 ID, 이메일, 프로필 닉네임
- 구글 소셜 로그인: 구글 계정 ID, 이메일, 프로필 이름
- 애플 소셜 로그인: 애플 계정 ID, 이메일(제공 시)
2. 동의를 받아 처리하는 개인정보
선택 동의 항목: 프로필 사진, 생년월일, 성별, 전화번호, 마케팅 수신 설정
서비스별 민감정보 (별도 동의):
- [DALSKIN] 피부 사진 및 분석 결과 — 건강 관련 민감정보에 해당할 수 있어 별도 동의
- [mednari] 건강 관련 정보 — 의료기관 AI 분석 목적으로만 위탁 처리
- [GADI] 법률 상담 내용 — AI 분석 후 즉시 처리, 별도 저장하지 않음
3. 자동 수집 항목
- 기기 정보(OS, 기기 모델, 앱 버전), IP 주소, 서비스 이용 기록, 접속 로그
4. 결제 시 수집 항목
- 결제수단 정보(카드번호 일부 등) — PortOne을 통해 처리, 카드번호 전체 미저장
5. 위치정보 (해당 서비스만)
- [halvvy, Befomi] 매장 검색을 위한 위치정보 — 「위치정보법」에 따라 별도 동의
제3조 (개인정보의 처리 및 보유 기간)
| 보존 항목 | 보존 기간 | 근거 법령 |
|---|
| 회원 가입 정보 | 탈퇴 시까지 | 개인정보 보호법 |
| 계약/청약철회 기록 | 5년 | 전자상거래법 |
| 대금결제/재화 공급 기록 | 5년 | 전자상거래법 |
| 소비자 불만/분쟁처리 기록 | 3년 | 전자상거래법 |
| 표시·광고 기록 | 6개월 | 전자상거래법 |
| 접속 로그 | 최소 1년 | 안전조치기준 |
| 통신사실확인자료 | 3개월 | 통신비밀보호법 |
제4조 (개인정보의 제3자 제공)
회사는 원칙적으로 정보주체의 동의 없이 제3자에게 개인정보를 제공하지 않으며, 법률의 특별한 규정이 있는 경우에만 예외적으로 제공합니다.
제5조 (개인정보 처리의 위탁)
| 위탁받는 자 | 위탁 업무 | 보유 기간 |
|---|
| Supabase Inc. (미국) | 클라우드 인프라·DB 운영 | 계약 종료 시 |
| Anthropic PBC (미국) | AI API 처리 (학습 미사용) | 호출 시 즉시 처리 |
| (주)토스페이먼츠 | 결제 처리 | 계약 종료 시 |
| 카카오 (주) | 소셜 로그인 | 계약 종료 시 |
| Google LLC (미국) | 소셜 로그인, 분석 | 계약 종료 시 |
| Vercel Inc. (미국) | 웹 호스팅·CDN | 계약 종료 시 |
제6조 (개인정보의 국외 이전)
| 이전받는 자 | 이전 국가 | 이전 목적 | 보호조치 |
|---|
| Supabase Inc. | 미국 (AWS 서울리전) | DB·인프라 운영 | TLS 암호화, RLS |
| Anthropic PBC | 미국 | AI 분석 처리 | 호출 시만 전송, 미보관 |
| Google LLC | 미국 | OAuth 인증 | OAuth 2.0 |
| Vercel Inc. | 미국 | 웹 호스팅 | TLS 암호화 |
제7조 (개인정보의 파기)
- 전자적 파일: 복원 불가능한 방법으로 영구 삭제
- 종이 문서: 분쇄 또는 소각
- 자동 파기: Supabase Edge Function을 통한 정기 파기
제8조 (정보주체의 권리·의무 및 행사방법)
정보주체는 다음 권리를 행사할 수 있습니다.
- 개인정보 열람, 정정, 삭제, 처리정지 요구
- 개인정보 전송 요구 (「개인정보 보호법」 제35조의2)
- 자동화된 의사결정에 대한 설명 요구 및 거부
행사 방법: 앱 내 설정 > 개인정보 관리 또는 이메일(privacy@inpica.com 또는 help@inpica.com)로 요청. 10일 이내 조치 결과 통지.
제8조의2 (자동화된 의사결정)
| 서비스 | 자동화 결정 내용 | 법적 효과 |
|---|
| DALSKIN | 피부 사진 분석 및 관리 추천 | 없음 (참고용) |
| GADI | 법률 상담 분석 및 서류 보조 | 없음 (자문 대체 불가) |
| mednari | 의료 데이터 분석 추천 | 없음 (의료진 판단 대체 불가) |
| halvvy | 콘텐츠 추천 | 없음 (추천 목적) |
AI 서비스의 분석 결과는 참고용이며, 전문적인 법률·의료·미용 자문을 대체하지 않습니다.
제9조 (안전성 확보 조치)
- 관리적 조치: 내부관리계획 수립, 취급자 지정·권한 최소화, 반기 자체점검, 연 1회 교육
- 기술적 조치: SSL/TLS 암호화, Row Level Security(RLS), 접근권한 관리(anon/service key 분리), 접속기록 1년 보관, 의존성 취약점 점검, Edge Function 서버사이드 처리
- 물리적 조치: 클라우드 기반 운영 (Supabase AWS 서울리전)
제10조 (쿠키 및 자동 수집 장치)
이용자는 웹브라우저 설정 또는 앱 내 설정에서 쿠키 저장을 거부할 수 있습니다.
제11조 (행태정보)
서비스 이용 기록을 수집·분석하여 맞춤형 콘텐츠를 제공할 수 있으며, 이용자는 앱 내 설정에서 거부할 수 있습니다. 제3자에게 행태정보 수집을 허용하지 않습니다.
제12조 (만 14세 미만 아동)
만 14세 미만 아동의 개인정보 수집 시 법정대리인의 동의를 받습니다. 법정대리인은 아동의 개인정보 열람·정정·삭제·처리정지를 요구할 수 있습니다.
제13조 (개인정보 보호책임자)
- 성명: 서원택
- 직위: 대표 (CPO/CISO 겸임)
- 이메일: privacy@inpica.com
제14조 (권익침해 구제방법)
- 개인정보 침해신고센터 (KISA): privacy.kisa.or.kr / 118
- 개인정보 분쟁조정위원회: www.kopico.go.kr / 1833-6972
- 대검찰청 사이버수사과: www.spo.go.kr / 1301
- 경찰청 사이버안전국: ecrm.police.go.kr / 182
제15조 (처리방침의 변경)
변경 시 시행 7일 전, 불리한 변경은 30일 전에 공지합니다.