개인정보 처리방침

Oracle 22 (이하 “회사”)는 「개인정보 보호법」 제30조에 따라 정보주체의 개인정보를 보호하고 이와 관련한 고충을 신속하고 원활하게 처리할 수 있도록 다음과 같이 개인정보 처리방침을 수립·공개합니다.

1.1 적용 범위

본 개인정보 처리방침은 다음 서비스에 적용됩니다:

• Oracle 22 웹 애플리케이션 (https://oracle22.com)
• Oracle 22 모바일 애플리케이션 (향후 출시 예정)

1.2 법적 근거

• 「개인정보 보호법」 (PIPA 2025)
• 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」
• 「전자상거래 등에서의 소비자보호에 관한 법률」
• 「AI 기본법」 (2026년 1월 시행 예정)

회사는 수집한 개인정보를 다음의 목적을 위해 활용합니다:

2.1 필수 목적 (서비스 제공)

• 회원 가입 및 관리: 회원 식별, 본인 확인, 부정 이용 방지
• 타로 상담 서비스 제공: AI 기반 타로 해석, 3D 캐릭터 음성 생성, 상담 기록 저장
• 포인트 결제 및 관리: 포인트 구매, 결제 처리, 환불 처리, 결제 오류 방지
• 고객 지원: 문의 응대, 불만 처리, 공지사항 전달
• 서비스 개선: 사용 패턴 분석, 오류 수정, 품질 향상

2.2 선택 목적 (별도 동의)

마케팅 및 광고: 신규 서비스 안내, 이벤트 정보 제공, 맞춤형 광고 ⭐ 선택 (미동의 시 서비스 이용 가능)

3.1 회원 가입 시 수집

(1) 이메일 회원가입

• 이메일 주소 (필수)
• 비밀번호 - 암호화 저장 (필수)
• 만 14세 이상 여부 (필수)

(2) 소셜 로그인 (Google OAuth)

• 이메일 주소 (필수)
• 프로필 사진 (선택)
• 사용자 ID - Google UID (필수)

3.2 서비스 이용 과정에서 자동 수집

• IP 주소 (보안, 부정 이용 방지, 6개월 보유)
• 쿠키 및 세션 정보 (로그인 유지, 세션 종료 시 삭제)
• 기기 정보 - OS, 브라우저 (서비스 최적화, 1년 보유)
• 서비스 이용 기록 (상담 2년, 결제 5년 보유)
• 오류 로그 (서비스 안정성 개선, 90일 보유)

3.3 결제 과정에서 수집

3.4 AI 타로 상담 과정에서 수집

회사는 개인정보 수집 및 이용 목적이 달성된 후 지체 없이 파기합니다. 단, 법령에 따라 일정 기간 보존합니다:

서비스 이용 기록 보유 기간

• 회원 정보: 회원 탈퇴 시까지
• 타로 상담 기록: 2년
• 대화 내용(채팅 로그): 6개월
• 포인트 거래 내역: 5년 (전자상거래법 제6조)

법령에 의한 보존

• 계약/청약철회 기록: 5년 (전자상거래법)
• 대금결제 및 재화 공급 기록: 5년 (전자상거래법)
• 소비자 불만/분쟁처리 기록: 3년 (전자상거래법)
• 표시·광고 기록: 6개월 (전자상거래법)
• 로그 기록(접속 IP, 이용 시간): 3개월 (통신비밀보호법)

자동 파기 정책

자동 파기 시스템 (향후 구현):
  대화 내용: 6개월 후 자동 삭제
  상담 기록: 2년 후 익명화 (통계 목적)
  세션 로그: 90일 후 자동 삭제
  오류 로그: 90일 후 자동 삭제

회사는 원칙적으로 정보주체의 개인정보를 제3자에게 제공하지 않습니다. 다만, 다음의 경우는 예외로 합니다:

서비스 제공을 위한 필수 제공

• Anthropic Inc. (미국): 사용자 질문(PII 제거 후) → AI 타로 해석 생성 → 즉시 파기
• ElevenLabs Inc. (미국): AI 해석 텍스트 → 음성 생성(TTS) → 즉시 파기
• PortOne (한국): 결제 정보 → 결제 처리 (PG: KCP, KG이니시스) → 5년 보존
• Supabase Inc. (미국): 회원 정보, 서비스 이용 기록 → 데이터베이스 호스팅 → 회원 탈퇴 시까지

제공 동의 철회 시 서비스 제한

정보주체는 언제든지 제3자 제공 동의를 철회할 수 있으나, AI 타로 해석 및 음성 생성 서비스 이용이 불가능해집니다.

이전 대상 국가 및 기관

(1) Anthropic Inc. (미국)

이전 국가: 미국 (United States)
이전 기관: Anthropic Inc.
  - 주소: 548 Market St, PMB 45750, San Francisco, CA 94104
  - 연락처: privacy@anthropic.com

이전 항목: 사용자 질문 (PII 자동 제거 후)
이전 목적: AI 기반 타로 해석 생성
이전 일시: 타로 상담 요청 시마다 실시간 전송
보유 기간: 즉시 파기 (API 응답 후 삭제, 30일 이내)

(2) ElevenLabs Inc. (미국)

이전 국가: 미국 (United States)
이전 기관: ElevenLabs Inc.
  - 주소: 20-22 Wenlock Road, London, N1 7GU, UK
  - 연락처: support@elevenlabs.io

이전 항목: AI 생성 타로 해석 텍스트 (개인정보 비포함)
이전 목적: 음성 생성 (TTS, Text-to-Speech)
이전 일시: 타로 해석 결과 음성 생성 시
보유 기간: 즉시 파기 (음성 파일 생성 후 삭제)

(3) Supabase Inc. (미국)

이전 국가: 미국 (United States)
이전 기관: Supabase Inc.
  - 주소: 970 Toa Payoh North, #07-04, Singapore 318992
  - 연락처: support@supabase.io

이전 항목: 회원 정보, 서비스 이용 기록
이전 목적: 데이터베이스 호스팅 및 인증 서비스
이전 일시: 회원가입 시 및 서비스 이용 시
보유 기간: 회원 탈퇴 시까지 (SOC 2 Type II, ISO 27001 인증)

국외 이전 시 보호 조치

1. 표준 계약 조항(SCC): EU Standard Contractual Clauses 준수
2. 암호화 전송: TLS 1.3 이상 사용 (HTTPS)
3. PII 자동 제거: AI API 전송 전 개인식별정보 자동 삭제
4. 데이터 최소화: 서비스 제공에 필요한 최소한의 데이터만 전송
5. 즉시 파기: API 응답 생성 후 즉시 삭제

국외 이전 거부 시 제한사항

정보주체는 국외 이전을 거부할 수 있으나, 다음의 서비스 이용이 제한됩니다:

• ❌ AI 타로 해석 서비스 이용 불가
• ❌ 음성 생성(Luna 캐릭터 목소리) 이용 불가
• ❌ 회원가입 불가 (Supabase 인증 시스템 필수)

AI 시스템 개요

Oracle 22는 다음의 AI 시스템을 사용합니다:

• 생성형 AI: Anthropic Claude 3.5 Sonnet → 타로 카드 해석 생성
• 음성 합성 AI: ElevenLabs eleven_multilingual_v2 → 캐릭터 음성 생성 (한국어)

AI 처리 방식 - 타로 해석 생성 (Claude)

입력 데이터:
  - 사용자 질문 (PII 제거 후)
  - 선택한 타로 카드 (3장: 과거, 현재, 미래)
  - Luna 캐릭터 페르소나 (THE HIGH PRIESTESS 컨셉)

처리 과정:
  1. 사용자 질문에서 개인정보 자동 제거
  2. Claude API로 암호화 전송 (HTTPS)
  3. AI가 타로 카드 조합 분석
  4. Luna 캐릭터 톤으로 해석 생성
  5. 한국어 자연스러운 문장 생성

출력 데이터:
  - 타로 해석 텍스트 (500-1,000자)
  - 감정 태그 (EMOTION:calm, EMOTION:thoughtful 등)

AI 사용에 따른 정보주체의 권리

1. 설명을 요구할 권리: AI 해석 생성 과정에 대한 설명 요청 가능
2. 이의 제기 권리: AI 해석 결과에 대한 이의 제기 가능
3. 인간 개입 요구 권리: 중요한 결정 시 인간 상담사 개입 요청 가능 (향후 제공 예정)

AI 윤리 원칙

회사는 다음의 AI 윤리 원칙을 준수합니다:

• 투명성: AI 사용 사실을 명확히 고지
• 공정성: 특정 집단에 대한 차별 방지
• 설명가능성: AI 처리 과정 설명 제공
• 안전성: 유해한 콘텐츠 생성 방지
• 프라이버시: 개인정보 보호 우선

파기 절차

1. 선별: 파기 대상 개인정보 선별
2. 검토: 법정 보존 기간 확인
3. 파기: 복구 불가능한 방법으로 파기
4. 기록: 파기 일시, 담당자 기록

파기 방법

• 전자 파일: 복구 불가능한 덮어쓰기 (DOD 5220.22-M 방식)
• 데이터베이스: DELETE + VACUUM (PostgreSQL 완전 삭제)
• 종이 문서: 파쇄 또는 소각

자동 파기 정책

자동 파기 일정 (Supabase Cron Job):
  - 대화 내용: 6개월 후 자동 삭제
  - 상담 기록: 2년 후 익명화 (user_id 삭제, 통계 목적 보존)
  - 세션 로그: 90일 후 자동 삭제
  - 오류 로그: 90일 후 자동 삭제

권리 목록

정보주체는 다음의 권리를 행사할 수 있습니다:

• 열람권: 자신의 개인정보 열람 요구 → 마이페이지 → 내 정보
• 정정권: 잘못된 개인정보 수정 요구 → 마이페이지 → 프로필 수정
• 삭제권: 개인정보 삭제 요구 → 마이페이지 → 계정 삭제
• 처리 정지권: 개인정보 처리 일시 정지 요구 → privacy@oracle22.com
• 이동권: 개인정보를 다른 사업자에게 이전 요구 → 마이페이지 → 데이터 다운로드

권리 행사 절차

데이터 다운로드 (이동권):
  1. 로그인 → 마이페이지
  2. "내 데이터 다운로드" 클릭
  3. JSON 파일 다운로드 (회원 정보, 상담 기록, 포인트 내역, 대화 내용)

계정 삭제 (삭제권):
  1. 로그인 → 마이페이지 → 설정
  2. "계정 삭제" 클릭
  3. 최종 확인 후 삭제
  - 즉시 삭제: 회원 정보, 대화 내용
  - 법정 보존: 결제 내역 (5년)

이메일/전화 행사:
  - 이메일: privacy@oracle22.com
  - 전화: 02-XXXX-XXXX (평일 10:00-18:00)
  - 처리 기한: 요청 접수 후 10일 이내 (개인정보보호법 제35조)

법정 대리인의 권리

만 14세 미만 아동의 경우: ❌ 서비스 이용 불가 (회원가입 시 만 14세 이상 확인)

기술적 조치

• 암호화: 비밀번호 bcrypt (cost 12), 통신 TLS 1.3 (HTTPS), 데이터베이스 AES-256 (향후 적용)
• 접근 제어: Supabase RLS (Row Level Security), API 인증 JWT, Rate Limiting 1분당 60회
• 보안 프로그램: Sentry (에러 모니터링), Vercel (DDoS 방어), npm audit (의존성 취약점 스캔)

관리적 조치

• 접근 권한 관리: 최소 권한 원칙 (Least Privilege), 관리자 계정 분리, 로그 기록 및 정기 검토
• 개인정보 취급자 교육: 신규 직원 교육 (입사 시), 정기 교육 (연 1회), 보안 사고 대응 훈련
• 내부 관리 계획: 개인정보 보호책임자 지정, 접근 기록 보관 (6개월), 개인정보 파기 절차 수립

물리적 조치

서버 보안: 클라우드 호스팅 (Supabase, Vercel), 물리적 접근 제한 (데이터센터 보안), 백업 및 복구 시스템

개인정보 보호책임자

성명: [미정 - Launch 전 지정]
직책: 개인정보 보호책임자 (CPO)
이메일: privacy@oracle22.com
전화: 02-XXXX-XXXX

권익 침해 구제 방법

개인정보 침해로 인한 신고나 상담이 필요하신 경우:

• 개인정보 침해신고센터: (국번없이) 118 | privacy.kisa.or.kr
• 개인정보 분쟁조정위원회: 1833-6972 | www.kopico.go.kr
• 대검찰청 사이버범죄수사단: (국번없이) 1301 | www.spo.go.kr
• 경찰청 사이버안전국: (국번없이) 182 | cyberbureau.police.go.kr

본 개인정보 처리방침은 법령, 정부 정책 또는 서비스 변경에 따라 내용이 변경될 수 있습니다.

변경 사항 공지

1. 사전 공지: 변경 최소 7일 전 공지 (중요 변경: 30일 전)
2. 공지 방법: 홈페이지 공지사항, 이메일 알림
3. 재동의: 중요 변경 시 재동의 요청

변경 이력