개인정보 처리방침
Daloomy(이하 “회사”)는 「개인정보 보호법」 제30조에 따라 정보주체의 개인정보를 보호하고 이와 관련한 고충을 신속하고 원활하게 처리할 수 있도록 하기 위하여 다음과 같이 개인정보 처리방침을 수립·공개합니다.
본 처리방침은 1차 드래프트(법무 검토 전)입니다. 정식 검토 완료 후 v1.0 으로 확정됩니다.
1. 개인정보의 처리 목적
회사는 다음의 목적을 위하여 개인정보를 처리합니다. 처리하고 있는 개인정보는 다음의 목적 이외의 용도로는 이용되지 않으며, 이용 목적이 변경되는 경우에는 「개인정보 보호법」 제18조에 따라 별도의 동의를 받는 등 필요한 조치를 이행할 예정입니다.
| 목적 | 처리 내용 |
|---|---|
| 서비스 제공 | 회원가입·로그인·계정 식별, AI 일기 자동 생성, 사진·일정·위치 기반 컨텍스트 처리, 일기 저장 및 조회 |
| 알림 발송 | 일기 작성 리마인더, 주간/월간 요약 알림 |
| 결제·구독 관리 | 유료 구독 결제, 구독 상태 확인, 환불 처리 (구독 출시 후) |
| 고객 지원 | 문의 접수·응답, 분쟁 처리, 서비스 개선 |
| 마케팅 (선택 동의) | 신규 기능·이벤트 안내 (이메일·푸시 발송) |
| 법적 의무 이행 | 전자상거래 등에서의 소비자보호에 관한 법률 등 관계 법령 준수 |
2. 처리하는 개인정보 항목
가. 필수 항목 (서비스 이용에 필수)
- 회원가입 시: 이메일 주소, 비밀번호 (해시 저장)
- 자동 수집: IP 주소, 디바이스 식별자, 디바이스 모델·OS 버전, 디바이스 타임존, 디바이스 언어, 앱 버전, 서비스 이용 기록(접속 로그, 화면 이동 기록)
- 푸시 발송: APNS(Apple Push Notification Service) / FCM(Firebase Cloud Messaging) 디바이스 토큰
나. 민감정보 (별도 동의 필요)
다음 항목은 「개인정보 보호법」 제23조의 민감정보에 해당하거나, 이용자의 정신건강·생활 패턴 등을 추론할 수 있는 민감한 정보로 분류되어 별도의 동의 절차를 거쳐 처리합니다.
- 일기 본문: 이용자가 직접 작성하거나 AI가 생성한 일기 텍스트. 정신건강·감정 상태·인간관계·종교·정치적 견해 등을 추론할 수 있는 가능성이 있어 회사는 이를 민감정보에 준하여 보호합니다.
- 사진 및 사진 메타데이터(EXIF): 이용자가 일기에 첨부한 사진과, 사진에 포함된 EXIF 메타데이터에서 추출한 위치 좌표(GPS), 촬영 시각, 카메라 정보. 회사는 사진 메타데이터에서 위치 좌표를 추출하여 일기 컨텍스트로 활용함을 명시합니다.
- 위치 정보: 디바이스에서 직접 수집한 GPS 좌표(이용자 동의 시), 또는 이용자가 직접 입력한 방문 장소
- 캘린더 정보: 디바이스 캘린더에서 가져온 일정의 제목, 장소, 시작/종료 시각 (이용자 동의 시)
다. 결제 관련 (구독 출시 후 적용 예정)
- Apple In-App Purchase / Google Play Billing 의 트랜잭션 ID, 구독 상태, 결제 일시
- 회사는 카드번호·계좌번호 등 직접적인 결제 수단 정보를 보관하지 않으며, 결제 처리는 Apple/Google 의 결제 시스템을 통해 이루어집니다.
라. 선택 항목
- 마케팅 정보 수신 동의 여부 (선택)
3. EXIF GPS 좌표 추출에 관한 별도 고지
회사는 이용자가 일기에 첨부한 사진의 EXIF 메타데이터에서 다음 정보를 추출하여 처리합니다:
- 사진 촬영 시 GPS 위도·경도 좌표
- 사진 촬영 시각 (timestamp)
- 사진 촬영에 사용된 카메라 모델 (선택적)
이러한 EXIF 데이터는 사진 픽셀과 함께 디바이스 사진첩에 저장되어 있는 정보로, 이용자가 사진을 첨부하는 시점에 회사 서버로 전송됩니다. 회사는 이 위치 정보를 사용하여 AI 일기 생성 시 “어디에서 보낸 하루였는지”의 컨텍스트로 활용합니다. EXIF 위치 정보의 처리를 원하지 않는 경우, 디바이스 설정에서 사진의 위치 정보 저장을 비활성화하거나, 회사 앱에서 사진 첨부 기능을 사용하지 않으실 수 있습니다.
4. 개인정보의 보유 및 이용 기간
회사는 법령에 따른 개인정보 보유·이용 기간 또는 정보주체로부터 개인정보를 수집 시에 동의받은 개인정보 보유·이용 기간 내에서 개인정보를 처리·보유합니다.
| 구분 | 보유 기간 |
|---|---|
| 회원 정보 (이메일, 일기 본문, 설정 등) | 회원 탈퇴 시 즉시 파기 (R2 사진은 30일 이내 완전 삭제) |
| 결제·구독 기록 | 5년 (전자상거래 등에서의 소비자보호에 관한 법률 제6조) |
| 사진 원본 (Premium 구독자) | 1년 (구독 해지 또는 회원 탈퇴 시 즉시 삭제) |
| 자동 수집 정보 (접속 로그, IP) | 3개월 (통신비밀보호법 제15조의2) |
| 부정 이용 기록 (체험 어뷰징 방지용 디바이스 식별자) | 1년 |
회원 탈퇴 후에는 위 법정 보유 기간 내 항목을 제외하고 모든 개인정보가 30일 이내 완전히 삭제됩니다.
5. 개인정보의 제3자 제공
회사는 정보주체의 개인정보를 제1조(처리 목적)에서 명시한 범위 내에서만 처리하며, 정보주체의 동의·법률의 특별한 규정 등 「개인정보 보호법」 제17조 및 제18조에 해당하는 경우에만 제3자에게 제공합니다.
현재 회사는 이용자의 개인정보를 제3자에게 제공하지 않습니다. 모든 외부 서비스는 아래 6항의 “개인정보 처리 위탁” 으로만 운영됩니다.
6. 개인정보 처리의 위탁
회사는 원활한 서비스 제공을 위하여 다음과 같이 개인정보 처리 업무를 위탁하고 있습니다.
| 수탁자 | 위탁 업무 | 처리 항목 | 위탁 국가 |
|---|---|---|---|
| Cloudflare, Inc. | 사진 저장(R2 Object Storage), API 서버 운영(Workers), 웹 호스팅(Pages), 콘텐츠 전송 | 사진, EXIF, 일기 본문(전송 중), IP, 디바이스 식별자 | 미국·글로벌 분산 |
| Supabase Inc. | 사용자 인증, 데이터베이스 운영 | 이메일, 비밀번호 해시, 일기 본문, 설정값, 위치, 캘린더 메타데이터 | 미국 또는 EU (리전 선택) |
| OpenAI, L.L.C. | AI 일기 생성을 위한 추론 API | 사진(리사이즈본), EXIF 위치, 일정·장소 텍스트, 일기 생성 프롬프트 | 미국 |
| Apple Inc. | 푸시 알림 전송 (APNS) | APNS 디바이스 토큰 | 미국 |
| Google LLC | 푸시 알림 전송 (FCM) | FCM 디바이스 토큰 | 미국 |
| Expo, Inc. | 푸시 알림 인프라 | 푸시 페이로드 라우팅 | 미국 |
OpenAI 학습 미사용에 관한 명시 고지
회사는 OpenAI API 의 기본 정책(2023년 3월 1일 이후, OpenAI Platform API 데이터 사용 정책)에 따라 이용자의 데이터가 OpenAI 의 모델 학습에 사용되지 않음을 확인하였습니다. 회사는 OpenAI 측 organization-level data sharing 설정을 opt-out 으로 유지하며, 본 정책이 변경될 경우 즉시 본 처리방침을 갱신하고 이용자에게 고지합니다.
7. 개인정보의 국외 이전
회사는 다음과 같이 개인정보를 국외에 이전하고 있습니다.
| 이전받는 자 | 이전 국가 | 이전 일시·방법 | 이전 항목 | 보유·이용 기간 |
|---|---|---|---|---|
| Cloudflare, Inc. | 미국 (글로벌 엣지 분산) | 서비스 이용 시점 네트워크를 통한 전송 | 위 6항 위탁 항목 | 위탁 기간 종료 시까지 |
| Supabase Inc. | 미국 또는 EU | 서비스 이용 시점 네트워크를 통한 전송 | 위 6항 위탁 항목 | 위탁 기간 종료 시까지 |
| OpenAI, L.L.C. | 미국 | AI 일기 생성 요청 시점 네트워크를 통한 전송 | 사진(리사이즈본), EXIF 위치, 텍스트 컨텍스트 | API 호출 처리 즉시 폐기 (OpenAI 측 30일 이내 폐기 정책) |
| Apple Inc. / Google LLC / Expo, Inc. | 미국 | 푸시 알림 발송 시 | 푸시 토큰 및 푸시 페이로드 | 푸시 발송 즉시 |
이용자는 「개인정보 보호법」 제28조의8에 따라 국외 이전에 대한 동의를 거부할 수 있습니다. 거부 시에는 일부 서비스 이용이 제한될 수 있습니다.
8. 정보주체와 법정대리인의 권리·의무 및 행사 방법
이용자는 회사에 대해 언제든지 다음 권리를 행사할 수 있습니다:
- 개인정보 열람 요구
- 오류 등이 있을 경우 정정 요구
- 삭제 요구
- 처리정지 요구
- 개인정보 이동 요구 (전송 가능한 형식으로의 export)
권리 행사는 회사에 대해 서면, 전화, 전자우편(support@daloomy.com), 앱 내 설정(계정 → 권한·삭제) 을 통하여 하실 수 있으며 회사는 이에 대해 7일 이내 응답합니다. 권리 행사는 정보주체의 법정대리인이나 위임을 받은 자 등 대리인을 통하여 할 수 있으며, 이 경우 「개인정보 처리 방법에 관한 고시(제2020-7호)」 별지 제11호 서식에 따른 위임장을 제출하셔야 합니다.
회사는 개인정보 보호법 제35조 제4항, 제37조 제2항에 의하여 정보주체의 권리가 제한될 수 있는 경우 지체 없이 그 사유를 알려드립니다.
9. 만 14세 미만 아동의 개인정보 보호
가. 한국 (PIPA)
회사 서비스는 만 14세 이상부터 이용 가능합니다. 회사는 만 14세 미만 아동의 개인정보를 수집하지 않으며, 만 14세 미만임이 확인되는 경우 즉시 해당 계정 및 모든 데이터를 삭제합니다.
나. 미국 (COPPA)
For users in the United States, Daloomy does not knowingly collect personal information from children under 13 years of age as defined by the Children’s Online Privacy Protection Act (COPPA). Accounts identified as belonging to children under 13 will be deleted immediately.
회원가입 시 이용자는 본인이 만 14세(한국) 또는 만 13세(미국) 이상임을 확인하는 절차를 거치며, 허위로 가입한 경우 발생한 불이익에 대해 회사는 책임지지 않습니다.
10. 개인정보의 안전성 확보 조치
회사는 「개인정보 보호법」 제29조에 따라 다음과 같은 안전성 확보 조치를 취하고 있습니다.
가. 관리적 조치
- 개인정보 보호책임자 지정 및 정기 점검
- 개인정보 취급자 최소화 및 접근 권한 차등 부여
- 정기적인 보안 교육 (내부 정책)
나. 기술적 조치
- 암호화 저장: Supabase 의 encryption at rest (AES-256), Cloudflare R2 의 default object encryption 적용
- 전송 구간 암호화: HTTPS/TLS 1.2 이상 강제
- 비밀번호 보호: bcrypt 해시 저장, 평문 비밀번호 미보관
- 접근 통제: Row Level Security(RLS) 정책으로 본인 데이터만 접근 가능
- API 도메인 분리: API 서버(
api.daloomy.com)와 웹 서비스(daloomy.com)를 별도의 origin 으로 분리하여 Same-Origin Policy 격리, CORS 명시 통제, 마케팅 픽셀과 사용자 데이터 격리 - 접근 기록 보관: 인증·결제·민감 데이터 변경 이벤트 로그 3개월 이상 보관
- 백업 및 복구: 일일 자동 백업, 재해 복구 절차
다. 물리적 조치
- 회사는 자체 서버 시설을 운영하지 않으며, 위탁 수탁자(Cloudflare, Supabase) 의 데이터센터 물리 보안 정책을 준수합니다.
11. 자동수집 정보 및 거부 방법
가. 자동수집 항목
- IP 주소, 디바이스 식별자, 앱 버전, OS 버전, 화면 이동 기록(앱 사용 로그), 접속 일시
나. 수집 방법
- 회사는 이용자가 앱을 실행하고 사용하는 과정에서 위 정보를 자동으로 수집합니다.
- 회사 앱은 모바일 전용으로 웹 쿠키를 직접 사용하지 않습니다. 다만 웹사이트(
daloomy.com)에서는 추후 마케팅 분석 목적의 쿠키가 도입될 수 있으며, 도입 시 본 처리방침에 별도 명시합니다.
다. 자동수집 거부 방법
- 자동수집은 서비스 이용을 위해 필수적이므로 거부 시 서비스 전체 이용이 제한됩니다.
- 거부를 원하시는 경우 앱을 사용하지 않으시거나 회원 탈퇴를 진행하시기 바랍니다.
12. 개인정보 처리 동의 거부 권리 및 불이익
이용자는 개인정보 처리에 대한 동의를 거부할 권리가 있습니다. 다만 다음과 같은 불이익이 발생할 수 있습니다:
| 동의 항목 | 거부 시 불이익 |
|---|---|
| 필수 항목 (이메일, 비밀번호 등) | 회원가입 및 서비스 이용 불가 |
| 민감정보 (사진·EXIF·위치·캘린더·일기 본문) | AI 일기 자동 생성 기능 제한, 일부 컨텍스트 누락 |
| 마케팅 정보 수신 (선택) | 서비스 이용에 영향 없음. 신규 기능·이벤트 안내 미수신 |
| 국외 이전 | 일부 서비스 이용 제한 (AI 일기 생성, 클라우드 저장 등) |
13. 개인정보 침해 신고
개인정보 침해로 인한 신고나 상담이 필요하신 경우 아래 기관에 문의하시기 바랍니다.
- 개인정보보호위원회: privacy.go.kr / 국번 없이 182
- 한국인터넷진흥원(KISA) 개인정보침해신고센터: privacy.kisa.or.kr / 국번 없이 118
- 대검찰청 사이버수사과: spo.go.kr / 02-3480-3573
- 경찰청 사이버수사국: ecrm.cyber.go.kr / 국번 없이 182
14. 개인정보 보호책임자
회사는 개인정보 처리에 관한 업무를 총괄해서 책임지고, 개인정보 처리와 관련한 정보주체의 불만 처리 및 피해 구제 등을 위하여 아래와 같이 개인정보 보호책임자를 지정하고 있습니다.
- 개인정보 보호책임자: 회사 대표 (직책)
- 연락처: support@daloomy.com
- 응답 시한: 영업일 기준 7일 이내
정보주체께서는 회사의 서비스를 이용하시면서 발생한 모든 개인정보 보호 관련 문의, 불만 처리, 피해 구제 등에 관한 사항을 개인정보 보호책임자에게 문의하실 수 있습니다.
15. 처리방침의 변경
본 개인정보 처리방침은 시행일로부터 적용되며, 법령 및 방침에 따른 변경 내용의 추가, 삭제 및 정정이 있는 경우에는 변경사항의 시행 7일 전부터 본 페이지(daloomy.com/legal/ko/privacy) 및 앱 내 공지를 통하여 고지합니다.
다만 이용자 권리에 중요한 변경이 있을 경우 앱 진입 시점에 재동의 절차(Splash Gate)를 통해 명시적 동의를 받습니다.
시행일자: 2026년 5월 6일 (1차 드래프트) 문의: support@daloomy.com