개인정보처리방침
Thetawave AI 개인정보처리방침
최종 업데이트: 2026년 5월 9일
본 개인정보처리방침은 델라웨어 법인인 Thetawave AI, Inc. ("Thetawave," "당사," "우리" 또는 "당사의")가 당사 웹사이트(https://thetawave.ai), 모바일 애플리케이션 및 관련 서비스(이하 "서비스")를 이용하실 때 정보를 수집, 이용, 공개 및 보호하는 방법을 설명합니다.
서비스를 이용하심으로써 귀하는 본 방침에 기재된 처리 관행에 동의하시는 것입니다. 동의하지 않으시는 경우 서비스를 이용하지 마십시오. 본 방침은 당사의 이용약관에 통합됩니다.
중요 안내사항
- 당사는 귀하의 사용자 콘텐츠로 AI 모델을 학습시키지 않습니다. 귀하가 업로드한 노트, 문서, 오디오, 이미지 및 기타 자료는 Thetawave의 모델을 학습시키는 데 사용되지 않으며, 당사는 제3자 AI 및 음성인식 제공자에게도 귀하의 입력값으로 모델을 학습시키지 않도록 계약상 요구하고 있습니다. 섹션 5를 참조하십시오.
- 당사는 서비스에 제3자 광고를 표시하지 않으며, California Consumer Privacy Act에서 정의된 의미에서의 금전적 대가를 받고 귀하의 개인정보를 "판매"하지 않습니다.
- 글로벌 사용자. 서비스는 미국에서 운영됩니다. 당사는 EU/UK/스위스 (GDPR), 일본 (APPI), 대한민국 (PIPA), 홍콩 (PDPO), 대만 (PDPA), 캐나다 (PIPEDA), 미국 (CCPA/CPRA 및 주(州)법)의 적용 가능한 개인정보 보호법을 준수합니다. 지역별 권리에 관해서는 섹션 7과 12를 참조하십시오.
목차
- 당사가 수집하는 정보
- 정보의 이용 방법
- 처리의 법적 근거 (EEA / UK / 스위스)
- 정보의 공유 방법
- 사용자 콘텐츠의 AI 처리
- 쿠키, 추적 기술 및 푸시 알림
- 국제 데이터 이전
- 데이터 보유
- 데이터 보안
- 아동 개인정보
- 정보주체의 권리 — 글로벌 개요
- 지역별 권리 및 안내사항
- 12.1 유럽 경제 지역, 영국 및 스위스 (GDPR)
- 12.2 캘리포니아 (CCPA/CPRA)
- 12.3 기타 미국 주
- 12.4 일본 (APPI)
- 12.5 대한민국 (PIPA)
- 12.6 홍콩 (PDPO)
- 12.7 대만 (개인자료보호법)
- 12.8 캐나다 (PIPEDA)
- 12.9 기타 관할권
- 권리 행사 방법
- Do-Not-Track 신호
- 모바일 앱 개인정보 공시 (App Store / Google Play)
- 제3자 링크 및 서비스
- 본 방침의 변경
- 문의처
1. 당사가 수집하는 정보
당사는 다음 세 가지 범주의 정보를 수집합니다.
1.1 귀하가 제공하는 정보
- 계정 정보: 이름, 이메일 주소, 비밀번호(해시 처리되어 저장됨), 프로필 환경설정, 그리고 — 제3자 ID 제공자(예: Google, Apple)로 로그인하는 경우 — 해당 제공자가 당사와 공유하는 기본 프로필 데이터.
- 구독 및 결제 정보: 웹 구매의 경우 Stripe가 처리하는 결제 정보(당사는 거래 확인서 및 카드의 마지막 네 자리만 수신하며, 전체 결제 카드 번호는 저장하지 않습니다); 모바일 인앱 구매의 경우 Apple 또는 Google로부터의 거래 확인서.
- 커뮤니케이션: 귀하가 (이메일을 통해) 고객지원에 보내는 메시지, 피드백 및 설문조사 응답.
- 사용자 콘텐츠: 귀하가 서비스를 통해 업로드, 생성 또는 만들어내는 노트, 문서, 음성 녹음, 이미지, 동영상 및 기타 자료. 귀하의 사용자 콘텐츠는 "민감한" 것으로 간주될 수 있으며(예: 학생의 학업 기록, 음성 녹음), 그에 따라 처리됩니다 — 섹션 5와 12를 참조하십시오.
사용자 콘텐츠 내의 제3자 개인정보. 귀하의 사용자 콘텐츠가 제3자에 관한 개인정보를 포함하는 경우(예: 귀하의 노트에 있는 동급생 이름, 또는 강의 녹음의 교수 음성), 귀하는 해당 정보의 개인정보처리자(controller)로서 행동하며, 그러한 정보를 당사와 공유하기 위해 필요한 동의 또는 기타 적법한 근거를 보유하고 있음을 보증합니다. 당사는 그러한 제3자 정보를 본 방침과 이용약관 섹션 6.4 및 9에 따라 귀하에게 서비스를 제공하기 위해 오로지 귀하를 대신하여 처리합니다.
1.2 자동으로 수집되는 정보
귀하가 서비스를 이용할 때 당사 및 당사의 분석 제공자는 다음을 자동으로 수집합니다.
- 기기 및 기술 데이터: IP 주소, 브라우저 유형 및 버전, 운영체제, 기기 식별자(OS 수준에서 비활성화하지 않은 경우 모바일 광고 식별자 포함), 화면 크기, 언어, 시간대.
- 이용 데이터: 방문 페이지, 사용 기능, 클릭, 사용 시간, 추천 URL, 서비스 내 검색어, 그리고 IP 주소에서 추론된 대략적인 위치.
- 진단 데이터: 충돌 보고서, 오류 로그, 성능 지표.
1.3 제3자로부터의 정보
- ID 제공자: 귀하가 Google Sign-In, Apple Sign-In 또는 이와 유사한 서비스를 이용하는 경우 당사는 귀하가 승인한 기본 프로필 정보를 수신합니다.
- 결제 처리자: Stripe, Apple 및 Google은 구매 이행에 필요한 거래 데이터를 당사와 공유할 수 있습니다.
- 서비스 제공자: 당사의 분석, 오류 추적 및 고객지원 도구는 귀하가 서비스를 어떻게 이용하는지에 관한 집계 및 이벤트 수준 데이터를 공유합니다(섹션 4 참조).
당사는 데이터 브로커로부터 개인정보를 구매하지 않으며, 광고 네트워크로부터 개인정보를 수신하지 않습니다.
2. 정보의 이용 방법
당사는 위에 설명된 정보를 다음 목적으로 이용합니다.
- 귀하의 계정 인증, 기기 간 콘텐츠 동기화, 거래 처리를 포함한 서비스의 제공, 운영, 유지 및 보안;
- 귀하의 입력에 대응한 AI 출력 생성(섹션 5 참조);
- 귀하의 계정, 거래, 중요한 방침 변경, 그리고 (귀하의 동의를 받거나 법으로 허용되는 경우) 제품 업데이트에 관한 커뮤니케이션;
- 고객지원 제공 및 문의 응대;
- 사기, 남용, 보안 사고 및 이용약관 위반의 탐지, 조사 및 방지;
- 집계된 이용 분석을 포함한 서비스 분석 및 개선;
- 법적 의무 준수 및 이용약관 집행;
- 귀하의 동의를 얻어, 수집 시점에 공개된 기타 목적.
당사는 사람의 검토 없이 귀하에게 법적 또는 그와 유사하게 중대한 영향을 미치는 자동화된 의사결정에 귀하의 정보를 이용하지 않습니다.
마케팅 커뮤니케이션 및 수신 거부. 당사가 (귀하의 동의를 받거나 법으로 허용되는 경우) 마케팅 또는 홍보성 커뮤니케이션을 발송하는 경우 귀하는 다음 방법으로 언제든지 수신을 거부할 수 있습니다.
- 마케팅 이메일의 "수신거부(unsubscribe)" 링크 클릭;
- 계정 설정에서 알림 환경설정 전환; 또는
- contact@thetawave.ai 으로 이메일 발송.
거래 및 계정 관련 커뮤니케이션(예: 보안 알림, 구독 청구 안내, 중요한 방침 변경)은 서비스 제공 및 법적 의무 준수에 필요하므로 계정이 활성화되어 있는 동안에는 수신 거부할 수 없습니다.
3. 처리의 법적 근거 (EEA, UK, 스위스)
귀하가 유럽 경제 지역, 영국 또는 스위스에 거주하는 경우 당사는 다음 법적 근거에 따라 귀하의 개인 데이터를 처리합니다.
| 목적 | 법적 근거 |
|---|---|
| 귀하의 입력에 대한 AI 추론을 포함한 서비스 제공 | 계약의 이행 (Art. 6(1)(b) GDPR) |
| 결제 처리 및 사기 방지 | 계약의 이행; 법적 의무; 정당한 이익 |
| 서비스 보안 및 남용 방지 | 사용자 및 서비스 보호에 대한 정당한 이익 |
| 제품 분석 및 개선 | 정당한 이익; 비필수 쿠키에 대한 동의 |
| 마케팅 커뮤니케이션 | 동의(언제든지 철회 가능) |
| 법적 요청 준수 | 법적 의무 |
| 사용자 콘텐츠 내 "특별 범주" 데이터의 처리(있는 경우) | 귀하의 명시적 동의 (Art. 9(2)(a)) |
귀하는 정당한 이익에 근거한 처리에 반대할 권리가 있습니다 — 섹션 12.1을 참조하십시오.
4. 정보의 공유 방법
당사는 다음 범주의 수령자와만 귀하의 정보를 공유하며, 이들 모두는 계약상 비밀유지 및 개인정보 보호 의무를 부담합니다.
4.1 서비스 제공자 (수탁자)
당사는 당사를 대신하여 서비스를 운영하는 제3자 서비스 제공자를 이용합니다. 이들은 귀하의 정보를 오로지 당사에 서비스를 제공하기 위해서만 이용할 수 있으며, 적절한 비밀유지 및 보안 의무를 준수해야 합니다. 아래 범주는 당사의 현재 수탁자 구성을 반영하며, 이 목록은 벤더 변경에 따라 변동될 수 있습니다.
| 범주 | 목적 | 현재 주요 벤더 |
|---|---|---|
| 클라우드 호스팅 및 데이터베이스 | 백엔드 운영 및 계정 데이터, 사용자 콘텐츠 저장 | Supabase (PostgreSQL, 인증, 스토리지); 클라우드 인프라 제공자 |
| AI 추론 (LLM) | 귀하의 입력으로부터 AI 출력(노트, 요약, 플래시카드, 퀴즈, 학습 채팅) 생성 | OpenAI, Anthropic, Google (섹션 5 참조) |
| 음성 인식 | 오디오 사용자 콘텐츠(예: 강의 녹음)를 후속 AI 처리를 위한 텍스트로 변환 | Soniox, Inc., Deepgram, Inc. |
| 웹 결제 처리 | 웹사이트를 통해 구매한 구독 처리 | Stripe, Inc. (https://stripe.com/privacy) |
| 모바일 인앱 구매 및 구독 관리 | App Store / Google Play 구매 처리 및 정산 | Apple Inc., Google LLC, RevenueCat, Inc. |
| 제품 분석 | 서비스 이용 양태 파악 | Mixpanel, Inc. |
| 오류 추적 및 진단 | 문제의 탐지 및 디버깅 | Sentry (Functional Software, Inc.) |
| 고객지원 | 이메일 기반 문의 응대 | 이메일 인프라(현재 제3자 티켓팅 도구 미사용) |
수탁자 변경 통지. 당사가 중요한 수탁자를 추가하거나 교체하는 경우 변경 시행 최소 14일 전에 본 방침을 업데이트합니다. 활성 유료 구독을 보유한 사용자에게는 이메일 또는 인앱 메시지로 추가 통지합니다. 새로운 수탁자에 반대하는 경우 변경 시행 전에 계정을 해지할 수 있으며, 적용 가능한 법률에서 요구하는 경우 비례 환불을 요청할 수 있습니다.
4.2 기타 공개
- 법규 준수 및 안전. 당사는 (a) 적용 가능한 법률, 법적 절차 또는 정부 요청 준수; (b) 이용약관 집행; (c) Thetawave, 사용자 또는 공중의 권리, 안전 또는 재산 보호; 또는 (d) 사기, 보안 또는 기술적 문제의 탐지, 방지 또는 대응을 위해 공개가 필요하다고 신의에 따라 믿는 경우 정보를 공개할 수 있습니다.
- 사업 양도. Thetawave가 합병, 인수, 자금 조달, 조직 개편 또는 자산 매각에 관여하는 경우 귀하의 정보가 해당 거래의 일부로 이전될 수 있습니다. 당사는 소유권 또는 귀하의 개인정보 이용에 변경이 있는 경우 (예: 이메일 및/또는 서비스 상의 두드러진 통지로) 귀하에게 통지합니다.
- 귀하의 동의. 귀하가 그렇게 지시하는 경우 당사는 다른 당사자들과 정보를 공유할 수 있습니다.
4.3 당사가 하지 않는 일
- 당사는 금전적 대가를 받고 귀하의 개인정보를 판매하지 않습니다.
- 당사는 교차 맥락 행동 광고를 위해 귀하의 개인정보를 제3자와 공유하지 않습니다(당사는 그러한 광고를 운영하지 않습니다).
- 당사는 AI 또는 음성인식 제공자가 귀하의 사용자 콘텐츠로 학습하도록 허용하지 않습니다(섹션 5).
CCPA "판매" / "공유" — 방어적 주석. 캘리포니아 CCPA는 "판매"와 "공유"를 광범위하게 정의합니다. 당사의 분석, AI, 음성인식 또는 오류 추적 수탁자에 대한 공개가 CCPA/CPRA에서 "판매" 또는 "공유"로 해석될 수 있는 경우, 당사는 그러한 활동을 거부 가능한 것으로 취급하고 기술적으로 가능한 경우 거부 신호(Global Privacy Control / GPC 포함)를 존중합니다. 추가적인 캘리포니아 권리에 관해서는 섹션 12.2를 참조하십시오.
5. 사용자 콘텐츠의 AI 처리
본 섹션은 귀하의 입력값과 사용자 콘텐츠가 AI 모델과 어떻게 상호작용하는지 설명합니다. 이는 서비스의 작동 방식의 핵심이므로 반드시 읽어주십시오.
5.1 AI 추론 및 음성 인식의 작동 방식
귀하가 AI 기능(예: 노트 생성, PDF 요약, 플래시카드 생성)을 이용할 때 귀하의 입력 — 사용자 콘텐츠 또는 그 발췌를 포함할 수 있음 — 은 응답 생성을 위해 당사의 제3자 AI 제공자(현재 OpenAI, Anthropic 및 Google) 중 하나에 전송됩니다. 귀하가 오디오(예: 강의 녹음)를 업로드하는 경우 먼저 당사의 음성인식 제공자(Soniox, Deepgram) 중 하나에 전송되어 텍스트로 변환된 후 위에서 설명한 대로 AI 제공자에 의해 처리됩니다.
응답은 귀하에게 반환되어 귀하의 사용자 콘텐츠와 연계되어 귀하의 Thetawave 계정에 저장됩니다. AI 제공자와 음성인식 제공자는 섹션 5.3에 설명된 대로 처리 중에 입력과 출력을 잠시 보관할 수 있지만, 귀하의 사용자 콘텐츠와 AI가 생성한 출력의 영구적인 기록은 제공자가 아닌 귀하의 Thetawave 계정에 보관됩니다.
5.2 귀하의 콘텐츠로 학습하지 않음
Thetawave는 귀하의 사용자 콘텐츠로 어떠한 AI 또는 머신러닝 모델도 학습시키지 않습니다. 당사는 각 AI 및 음성인식 제공자로부터 학습 금지 및 제한된 보유에 관한 계약상 약속에 의존합니다. 구체적으로:
- OpenAI: 당사는 OpenAI API를 이용합니다. OpenAI의 API 데이터 이용 정책에 따라 OpenAI는 API 입력 또는 출력을 모델 학습에 이용하지 않습니다.
- Anthropic: 당사는 Anthropic API를 이용합니다. Anthropic의 상업 이용약관에 따라 Anthropic은 API를 통해 제출된 입력 또는 출력으로 모델을 학습시키지 않습니다.
- Google: 당사는 Google이 당사의 유료 API 콘텐츠로 모델을 학습시키는 것을 허용하지 않는 약관 하에 Google AI / Gemini API를 이용합니다.
- Soniox: 당사는 Soniox가 당사가 전송하는 오디오 콘텐츠로 모델을 학습시키는 것을 허용하지 않는 약관 하에 Soniox의 상업 API를 이용합니다.
- Deepgram: 당사는 Deepgram이 당사가 전송하는 오디오 콘텐츠로 모델을 학습시키는 것을 허용하지 않는 약관 하에 Deepgram의 상업 API를 이용합니다.
당사가 AI 또는 음성인식 제공자를 변경하거나 해당 제공자에 적용되는 약관이 중요하게 변경되는 경우 본 방침을 업데이트합니다. 귀하는 이러한 제공자 중 하나로 처리를 위해 전송되기를 원하지 않는 정보를 서비스에 업로드해서는 안 됩니다.
5.3 AI / 음성인식 제공자에서 제공자 지정 한도를 초과한 영구 저장 없음
AI 및 음성인식 제공자는 자체 개인정보 처리방침에 따라 안전, 남용 모니터링 및 운영 목적으로 입력과 출력을 잠시 보유할 수 있습니다. 당사는 가능한 경우 그러한 보유를 최소화하는 엔터프라이즈 / API 등급 구성(예: 무 데이터 보유 또는 단기 보유 모드)을 사용합니다.
5.4 집계 및 비식별화 데이터
당사는 비식별화 또는 집계 데이터(귀하와 합리적으로 연결될 수 없음)를 제품 분석, 보안 및 서비스 개선에 이용할 수 있습니다. 당사는 업계 표준 비식별화 기법(예: 직접 식별자 제거, 집계, 그리고 정보가 개인과 합리적으로 연계될 수 없도록 설계된 기타 기술적 조치)을 사용하며, 당사로부터 비식별화 데이터를 수신하는 모든 당사자가 이를 재식별하려 시도하는 것을 계약상 금지합니다.
6. 쿠키, 추적 기술 및 푸시 알림
6.1 쿠키 및 유사 기술
당사 및 당사의 서비스 제공자는 서비스를 운영하기 위해 쿠키, 픽셀, 로컬 스토리지, 소프트웨어 개발 키트(SDK) 및 유사한 기술을 이용합니다. 당사는 교차 사이트 행동 광고를 위해 쿠키를 이용하지 않습니다. 법률에서 요구하는 경우(EEA, UK, 스위스, 일본, 한국에서 비필수 쿠키에 대해 포함), 당사는 비필수 쿠키를 설치하기 전에 쿠키 배너를 통해 귀하의 동의를 요청합니다. 귀하는 쿠키 배너 또는 브라우저 설정을 통해 쿠키 환경설정을 관리할 수 있습니다.
당사가 사용하는 주요 쿠키 및 유사 기술은 다음과 같습니다.
| 이름 / 패턴 | 유형 | 목적 | 제공자 | 대략적 보유 기간 |
|---|---|---|---|---|
sb-* (인증 토큰) | 엄격하게 필요 | 세션 인증 및 로그인 유지 | Supabase | 세션 / 최대 1년 |
| CSRF / 위조 방지 토큰 | 엄격하게 필요 | 교차 사이트 요청 위조 방지 | Thetawave | 세션 |
cookie_consent | 엄격하게 필요 | 쿠키 배너 선택 사항 기억 | Thetawave | 1년 |
theme, locale | 기능적 | UI 환경설정 기억(예: 다크 모드, 언어) | Thetawave | 1년 |
mp_* | 분석 (필요한 경우 옵트인) | 제품 분석 — 기능 사용 측정 및 서비스 개선 | Mixpanel | 최대 1년 |
| Sentry 세션 태그 | 엄격하게 필요 | 디버깅을 위해 오류 보고서를 세션과 연계 | Sentry | 최대 30일 |
쿠키의 중요한 범주를 추가하거나 변경하는 경우 본 표를 업데이트합니다.
6.2 푸시 알림
귀하가 모바일 앱을 통해 푸시 알림에 옵트인하는 경우 당사는 iOS의 경우 Apple Push Notification service ("APNs") 또는 Android의 경우 Firebase Cloud Messaging ("FCM") 이 제공하는 기기별 푸시 토큰을 수집하고 오로지 다음 알림을 전달하기 위해서만 이용합니다.
- 서비스 관련 알림(예: 음성 인식 완료, 귀하가 설정한 학습 알림);
- 계정 관련 알림(예: 보안 알림);
- 귀하의 추가 동의를 받은, 가끔의 제품 업데이트 알림.
귀하는 기기의 알림 설정을 통해 언제든지 푸시 알림을 비활성화할 수 있습니다. 푸시 알림을 비활성화해도 서비스의 다른 부분에는 영향을 미치지 않습니다.
7. 국제 데이터 이전
Thetawave는 미국에 본사를 두고 있으며, 당사의 서버 및 여러 서비스 제공자는 미국 및 기타 국가에 위치하고 있습니다. 귀하가 서비스를 이용할 때 귀하의 개인정보는 미국 및 잠재적으로 다른 국가로 이전되어 저장되고 처리되며, 이러한 국가는 귀하 거주 국가와 다른 개인정보 보호법을 가질 수 있습니다.
당사는 국제 이전을 보호하기 위해 다음 안전장치에 의존합니다.
- EEA / UK / 스위스: 수탁자와의 유럽위원회 승인 표준 계약 조항("SCCs")(및 UK Addendum / 스위스 동등 조항), 그리고 전송 중 및 저장 중 암호화, 접근 통제, (해당하는 경우) 이전 영향 평가로 보완. 당사는 현재 EU-US Data Privacy Framework ("DPF")에 따라 인증되어 있지 않으며, 주요 이전 메커니즘으로 SCCs에 의존합니다.
- 일본: 국경 간 이전을 위해 APPI에서 요구하는 경우 당사는 귀하의 동의를 얻거나 동등한 안전장치(수령자와의 SCC 동등 계약 조항 포함)에 의존합니다.
- 대한민국: 개인정보의 해외 이전을 위해 PIPA에서 요구하는 경우 당사는 PIPA 제28조의8에 따라 요구되는 공개를 제공하고 해당하는 경우 귀하의 동의를 얻습니다.
- 홍콩, 대만, 캐나다: 당사는 수령자가 각각 PDPO, PDPA 및 PIPEDA와 일관된 계약상 의무를 부담하도록 보장합니다.
서비스를 이용하심으로써 귀하는 위에 설명된 대로 귀하의 정보가 국제적으로 이전될 것임을 이해하시는 것입니다.
8. 데이터 보유
당사는 서비스 제공 및 본 방침에 설명된 목적에 필요한 동안 개인정보를 보유하며, 법으로 더 긴 보유 기간이 요구되는 경우는 예외입니다.
| 데이터 범주 | 보유 기간 |
|---|---|
| 계정 정보 | 계정이 활성화된 동안; 계정 삭제 후 30일 이내 삭제(백업 제외) |
| 사용자 콘텐츠 | 계정이 활성화된 동안; 콘텐츠 또는 계정 삭제 후 30일 이내 삭제 |
| 백업 | 삭제 후 최대 90일까지 보유 후 영구 삭제 |
| 결제 및 청구 기록 | 세무, 회계 및 감사 의무 준수를 위해 7년 보유 |
| 고객지원 커뮤니케이션 | 해결 후 최대 3년 |
| 진단 / 로그 데이터 | 최대 12개월 |
| 비식별화 또는 집계 데이터 | 무기한 보유 가능(귀하와 연계 불가능) |
귀하는 섹션 13에 설명된 대로 언제든지 조기 삭제를 요청할 수 있으며, 제한된 예외(예: 법으로 보유가 요구되는 경우)가 적용됩니다.
9. 데이터 보안
당사는 다음을 포함하여 귀하의 정보를 보호하기 위해 설계된 관리적, 기술적 및 물리적 안전장치를 시행합니다.
- 전송 중(TLS) 및 저장 중 암호화;
- 당사 직원에 대한 접근 통제 및 최소 권한 원칙;
- 안전한 소프트웨어 개발 관행 및 코드 검토;
- 수탁자에 대한 벤더 보안 검토;
- 로깅 및 모니터링; 그리고
- 사고 대응 절차.
완벽한 보안 조치는 없으며, 당사는 절대적인 보안을 보장할 수 없습니다.
유출 통지. 당사가 귀하의 정보에 영향을 미치는 개인 데이터 유출을 인지하게 되는 경우 당사는 다음을 포함하여 적용 가능한 법률에서 요구하는 대로 귀하 및 적절한 감독 당국에 통지합니다.
- GDPR / UK GDPR / FADP: 인지 후 72시간 이내(가능한 경우) 감독 당국에 통지하고, 권리와 자유에 대한 높은 위험이 있는 경우 부당한 지연 없이 영향을 받는 개인에게 통지;
- 일본 APPI (제26조): APPI에서 요구하는 방식과 일정에 따라 즉시 개인정보보호위원회(PPC) 및 영향을 받는 개인에게 통지;
- 대한민국 PIPA (제34조): 영향을 받는 개인에게 지체 없이 통지하고 — 1,000명 이상의 개인 또는 민감정보가 관련된 유출의 경우 — 24시간 이내에 PIPC에 통지;
- 미국 주(州)법: 각 적용 가능한 주(州) 유출 통지 법령에서 요구하는 일정 및 절차에 따라 통지;
- 기타 관할권: 적용 가능한 법률에서 요구하는 대로.
10. 아동 개인정보
서비스는 13세 미만 아동을 대상으로 하지 않으며, 당사는 미국에서 13세 미만 아동 또는 거주 국가의 디지털 동의 최저 연령(예: 스페인 14세, 프랑스 15세, 독일 16세) 미만 아동으로부터 개인정보를 알면서 수집하지 않습니다.
13세에서 17세 사이(또는 귀하 관할권의 성년 연령)에 해당하는 경우 귀하는 부모 또는 법정대리인의 관여와 동의 하에서만 서비스를 이용할 수 있습니다.
부모가 COPPA (아동 온라인 개인정보 보호법) 및 동등 법률에 따라 검증 가능한 부모 동의를 제공하는 방법(및 이를 철회하는 방법)에 관한 자세한 내용은 이용약관 섹션 2.2를 참조하십시오.
당사가 검증된 부모 동의 없이 적용 가능한 연령 미만 아동으로부터 개인정보를 수집한 사실을 알게 되는 경우 가능한 한 빨리 이를 삭제합니다. 자녀가 동의 없이 개인정보를 제공한 것으로 의심하는 부모는 contact@thetawave.ai 으로 연락할 수 있습니다.
학생과 함께 서비스를 이용하는 학교 및 교육자: 귀하는 COPPA, FERPA, GDPR, APPI, PIPA 및 동등 법률에서 요구하는 동의를 얻고 해당 법률에 따른 적절한 권한자 역할을 수행할 책임이 있습니다.
11. 정보주체의 권리 — 글로벌 개요
귀하의 거주지에 따라 귀하는 다음을 포함하는 권리를 가질 수 있습니다.
- 접근: 당사가 귀하에 관해 보유한 개인정보를 알고 사본을 받을 권리;
- 정정: 부정확하거나 불완전한 정보를 정정할 권리;
- 삭제 ("잊혀질 권리"): 귀하의 정보 삭제를 요청할 권리;
- 이동성: 일정한 정보를 이동 가능한 형식으로 받을 권리;
- 제한 / 반대: 일정한 처리를 제한하거나 이에 반대할 권리;
- 동의 철회: 귀하가 부여한 동의를 철회할 권리;
- "판매" / "공유" / 표적 광고에 대한 거부: 해당하는 경우 거부할 권리;
- 감독 당국에 민원 제기.
당사는 귀하가 거주하는 곳과 관계없이 합리적으로 가능한 범위에서 이러한 권리를 존중합니다. 지역별 세부사항은 섹션 12를, 권리 행사 방법은 섹션 13을 참조하십시오.
12. 지역별 권리 및 안내사항
12.1 유럽 경제 지역, 영국 및 스위스 (GDPR / UK GDPR / FADP)
귀하가 EEA, UK 또는 스위스에 거주하는 경우 귀하는 일반 개인정보 보호 규정(GDPR), UK GDPR 및 스위스 연방 개인정보보호법(FADP)에 따라 섹션 11에 설명된 권리를 각각 가집니다. 또한 귀하는 다음 권리를 가집니다.
- 현지 개인정보보호 감독 당국에 민원을 제기할 권리(EEA의 경우 https://edpb.europa.eu/about-edpb/about-edpb/members_en 에서 목록을 이용할 수 있고; UK의 경우 https://ico.org.uk/ 의 ICO; 스위스의 경우 https://www.edoeb.admin.ch 의 FDPIC).
당사 처리의 법적 근거는 섹션 3에 나열되어 있습니다.
EU 대리인 (Article 27 GDPR). 당사 처리의 성격, 범위, 맥락 및 목적에 대한 평가에 기초하여 — 그리고 당사의 EEA 개인 데이터 처리가 GDPR 제9조에 따른 특별 범주의 데이터 또는 GDPR 제10조에 따른 형사 유죄판결 데이터에 관해 "대규모"가 아니므로 — 당사는 Article 27 GDPR에 따른 EU 대리인을 임명하지 않았습니다. EEA 사용자는 GDPR 관련 문의에 대해 contact@thetawave.ai 로 직접 연락할 수 있으며, 당사는 적용 가능한 법률에 부합하게 응답합니다. 당사는 사용자 기반과 처리 활동이 발전함에 따라 이 결정을 재평가할 것입니다.
12.2 캘리포니아 (CCPA / CPRA)
귀하가 캘리포니아 거주자인 경우 귀하는 California Consumer Privacy Act(California Privacy Rights Act에 의해 개정됨, "CCPA/CPRA")에 따른 권리를 가집니다.
당사가 수집하는 개인정보의 범주
지난 12개월 동안 당사는 다음 범주의 개인정보(Cal. Civ. Code § 1798.140에 정의됨)를 수집했습니다.
| 범주 | 예시 | 수집? | 판매? | 공유 (교차 맥락 행동 광고)? |
|---|---|---|---|---|
| A. 식별자 | 이름, 이메일, IP 주소, 기기 ID, 계정 이름 | 예 | 아니오 | 아니오 |
| B. 고객 기록 | 청구 주소, 결제 정보 | 예 | 아니오 | 아니오 |
| C. 보호 분류 | 연령(제공된 경우), 국가 | 제한적 | 아니오 | 아니오 |
| D. 상업 정보 | 구독 이력, 거래 기록 | 예 | 아니오 | 아니오 |
| E. 생체 정보 | (업로드된 경우 오디오 사용자 콘텐츠 내 음성 특징) | 업로드하는 경우 | 아니오 | 아니오 |
| F. 인터넷 활동 | 이용 데이터, 서비스와의 상호작용 | 예 | 아니오 | 아니오 |
| G. 지리적 위치 | IP에서 추출한 대략적 위치 | 예 | 아니오 | 아니오 |
| H. 감각 데이터 | 사용자 콘텐츠 내 오디오, 이미지, 동영상(업로드하는 경우) | 업로드하는 경우 | 아니오 | 아니오 |
| I. 직업/고용 | 수집 안 함 | 아니오 | — | — |
| J. 교육 정보 | 사용자 콘텐츠 내 학업 콘텐츠(노트, 학습 자료) | 예 | 아니오 | 아니오 |
| K. 추론 | 이용으로부터 도출된 환경설정 및 학습 패턴 | 예 | 아니오 | 아니오 |
| L. 민감 PI | 계정 자격증명; 서비스 내 커뮤니케이션의 정확한 내용 | 예 | 아니오 | 아니오 |
캘리포니아 거주자로서의 귀하의 권리
- 당사가 어떤 개인정보를 수집했는지, 어떻게 이용하고 공유하는지를 알 권리;
- 법적 예외 사항을 조건으로 삭제를 요청할 권리;
- 부정확한 개인정보를 정정할 권리;
- "판매" 또는 "공유"에 대해 거부할 권리 — 당사는 CCPA/CPRA에 정의된 의미에서 교차 맥락 행동 광고를 위해 귀하의 개인정보를 "판매"하거나 "공유"하지 않지만, 기술적으로 가능한 경우 거부 신호(Global Privacy Control / GPC 포함)를 존중합니다;
- 민감 개인정보의 이용을 제한할 권리 — 서비스 수행에 필요한 범위로;
- 귀하의 권리 행사에 대한 차별 금지 권리.
"Shine the Light" (Cal. Civ. Code § 1798.83)
캘리포니아 거주자는 직접 마케팅 목적으로 제3자에게 개인정보를 공개한 사실에 관한 정보를 요청할 수 있습니다. 당사는 그러한 공개에 관여하지 않습니다.
12.3 기타 미국 주
귀하가 버지니아 (VCDPA), 콜로라도 (CPA), 코네티컷 (CTDPA), 유타 (UCPA), 텍사스 (TDPSA), 오레곤 (OCPA), 몬태나 (MTCDPA), 아이오와 (ICDPA), 테네시 (TIPA), 델라웨어 (DPDPA), 뉴저지 (NJDPA), 뉴햄프셔 (NHPA), 메릴랜드 (MODPA), 미네소타 (MCDPA), 인디애나 (INCDPA), 네브래스카 (NDPA), 로드아일랜드 (RIDPA) 또는 켄터키 (KCDPA) 에 거주하는 경우 귀하는 (귀하의 주에 따라) 표적 광고, "판매" 및 일정한 종류의 프로파일링에 대한 접근, 정정, 삭제, 이동 및 거부 권리를 포함하여 위에 설명된 것과 유사한 권리를 가집니다. 요구되는 경우 귀하는 당사의 요청 거절에 대해 이의를 제기할 권리가 있습니다 — 섹션 13을 참조하십시오.
귀하는 또한 귀하를 대신하여 요청하는 권한 있는 대리인을 지정할 권리를 가질 수 있습니다. 당사는 권한 있는 대리인의 요청을 존중하기 전에 검증을 요구할 것입니다.
12.4 일본 (個人情報保護法 / APPI)
귀하가 일본에 거주하는 경우 당사는 개인정보 보호에 관한 법률(APPI) 에 따라 귀하의 개인정보를 처리합니다.
- 이용 목적은 섹션 2에 설명되어 있습니다. 당사는 귀하의 동의 없이는, APPI에서 허용되는 경우를 제외하고, 그 외의 목적으로 귀하의 개인정보를 이용하지 않습니다.
- 국경 간 이전: 섹션 7에 설명된 대로 귀하의 정보는 미국 및 기타 국가로 이전됩니다. 서비스를 이용함으로써 귀하는 APPI 제28조에 따라 이러한 이전에 동의하시는 것입니다. 당사는 요청 시 수령 국가의 개인정보 보호 시스템 및 당사가 시행한 안전장치에 관한 정보를 제공합니다.
- 귀하의 권리: 귀하는 당사가 보유한 귀하의 개인정보의 공개, 정정, 추가, 삭제, 이용 정지, 제3자 제공 정지를 요청하고 사본을 받을 권리를 가집니다.
- 개인정보 취급 사업자: Thetawave AI, Inc.가 귀하의 개인정보를 취급하는 사업자입니다. 연락처: contact@thetawave.ai.
- 유출 통지: APPI 제26조에서 요구하는 대로 당사는 자격 있는 유출에 대해 개인정보보호위원회(PPC) 및 영향을 받는 개인에게 통지합니다.
- 민원: 당사가 귀하의 우려 사항을 해결할 수 없는 경우 귀하는 일본 개인정보보호위원회(PPC)와 상담할 수 있습니다.
12.5 대한민국 (개인정보 보호법 / PIPA)
귀하가 대한민국에 거주하는 경우 당사는 개인정보 보호법(PIPA) 및 관련 법령에 따라 귀하의 개인정보를 처리합니다.
- 수집 및 이용 목적: 섹션 2에 설명된 바와 같습니다.
- 수집 항목: 섹션 1에 설명된 바와 같습니다.
- 보유 기간: 섹션 8에 설명된 바와 같습니다.
- 국외 이전 (PIPA 제28조의8): 귀하의 개인정보는 섹션 4에 나열된 AI 제공자, 음성인식 제공자, 호스팅 제공자 및 기타 수탁자에게 미국 및 기타 국가로 이전될 수 있습니다. 당사는 필요한 경우 그러한 이전에 대한 귀하의 동의를 얻고 PIPA에 따라 요구되는 공개를 제공합니다.
- 정보주체의 권리: 열람, 정정, 삭제, 처리 정지 및 동의 철회. PIPA 제35조에 따라 당사는 열람 및 정정 요청에 10일 이내에 응답합니다(합리적으로 필요한 경우 추가로 10일 연장 가능).
- 개인정보 보호책임자: contact@thetawave.ai 으로 연락하십시오.
- 유출 통지 (PIPA 제34조): 당사는 영향을 받는 정보주체에게 지체 없이 통지하고 — 1,000명 이상의 개인 또는 민감정보가 관련된 유출의 경우 — 24시간 이내에 개인정보 보호위원회에 통지합니다.
- 민원: 귀하는 개인정보 보호위원회 (PIPC) 또는 한국인터넷진흥원 (KISA), 그리고 개인정보 침해신고센터 (privacy.go.kr / 118)에 민원을 제기할 수 있습니다.
12.6 홍콩 (個人資料(私隱)條例 / PDPO)
귀하가 홍콩에 거주하는 경우 당사는 Personal Data (Privacy) Ordinance (PDPO) 및 6대 데이터 보호 원칙에 따라 귀하의 개인 데이터를 처리합니다. 귀하는 귀하의 개인 데이터에 대한 접근 및 정정을 요청할 권리를 가집니다. 요청은 contact@thetawave.ai 으로 할 수 있습니다. 민원은 Office of the Privacy Commissioner for Personal Data (PCPD) 에 제기할 수 있습니다.
12.7 대만 (個人資料保護法 / PDPA)
귀하가 대만에 거주하는 경우 당사는 Personal Data Protection Act (PDPA) 에 따라 귀하의 개인정보를 처리합니다. 귀하는 귀하의 개인정보에 대해 문의하고, 사본을 요청하고, 보충하거나 정정하고, 당사가 수집/처리/이용을 중단하도록 요청하고, 삭제를 요청할 권리를 가집니다. 요청은 contact@thetawave.ai 으로 할 수 있습니다. 요구되는 경우 당사는 귀하의 개인정보의 국제 이전 전에 귀하의 동의를 얻습니다.
12.8 캐나다 (PIPEDA)
귀하가 캐나다에 거주하는 경우 당사는 Personal Information Protection and Electronic Documents Act (PIPEDA) 및 적용 가능한 주(州) 법률(예: 퀘벡 Law 25)에 따라 귀하의 개인정보를 처리합니다. 귀하는 접근, 정정 및 동의 철회 권리를 가집니다. 민원은 Office of the Privacy Commissioner of Canada 에 https://www.priv.gc.ca/ 를 통해 제기할 수 있습니다.
12.9 기타 관할권
당사는 위에 구체적으로 나열되지 않더라도 귀하의 거주지에 적용 가능한 개인정보 보호법을 존중합니다. 귀하가 적용 가능한 법률(예: 브라질 LGPD, 호주 Privacy Act, 인도 DPDP Act, UAE PDPL, 또는 기타)이 있는 관할권에 거주하는 경우 권리 요청에 대해 contact@thetawave.ai 으로 연락하십시오; 당사는 적용 가능한 법률에 부합하게 응답합니다.
13. 권리 행사 방법
위에 설명된 권리를 행사하시려면:
- 제목을 "Privacy Request"로 하여 contact@thetawave.ai 으로 이메일 발송; 또는
- 당사가 제공하는 모든 인앱 개인정보 보호 통제 사용.
귀하의 정보를 보호하기 위해 당사는 귀하의 신원을 확인할 필요가 있을 수 있습니다(통상 귀하의 계정과 연계된 이메일 주소의 통제를 확인함으로써). 권한 있는 대리인을 이용하시는 경우 당사는 권한의 증명을 요구할 수 있습니다.
당사는 다음을 포함하여 적용 가능한 법률에서 요구하는 기간 내에 검증 가능한 요청에 응답합니다.
| 법률 | 응답 기한 |
|---|---|
| GDPR / UK GDPR | 1개월, 복잡하거나 다수의 요청의 경우 추가 2개월 연장 가능 |
| CCPA / CPRA | 45일, 합리적으로 필요한 경우 추가 45일 연장 가능 |
| 기타 미국 주 개인정보보호법 | 각 법령에서 요구하는 대로(통상 45일 또는 60일) |
| 한국 PIPA | 10일, 추가 10일 연장 가능 |
| 일본 APPI | 부당한 지연 없이; 당사는 30일 이내 응답을 목표로 합니다 |
| 기타 관할권 | 적용 가능한 법률에서 요구하는 대로 |
당사는 귀하의 권리 행사에 대해 차별하지 않습니다.
당사가 요청을 거절하는 경우 그 이유를 설명하고 — 해당하는 경우 — 귀하는 당사의 결정에 이의를 제기할 권리가 있습니다. 이의를 제기하시려면 당사의 응답 이메일에 60일 이내 답신하십시오. 이의 제기가 거절되는 경우 귀하는 귀하의 개인정보보호 감독 당국 또는 검찰총장에게 민원을 제기할 수 있습니다.
14. Do-Not-Track 신호
대부분의 브라우저는 "Do Not Track"(DNT) 신호를 제공합니다. DNT 신호의 업계 표준 해석이 없기 때문에 서비스는 현재 DNT 신호에 응답하지 않습니다. 다만, 당사는 법률에서 요구하는 거부 신호(예: 해당하는 경우 Global Privacy Control / GPC)는 존중합니다.
15. 모바일 앱 개인정보 공시 (App Store / Google Play)
본 방침 외에 당사는 Apple과 Google이 요구하는 플랫폼 메커니즘을 통해 개인정보 공시를 합니다.
- Apple App Store 개인정보 영양 라벨 및 iOS Privacy Manifest (
PrivacyInfo.xcprivacy) 는 Apple이 요구하는 형식으로 iOS 애플리케이션이 수집하는 데이터의 범주와 이를 이용하는 방법을 설명합니다. - Google Play Data Safety form 은 Google이 요구하는 형식으로 Android 애플리케이션이 수집, 공유하는 데이터의 범주와 당사가 따르는 보안 관행을 설명합니다.
해당 양식의 공시는 본 방침과 일관되도록 의도되어 있습니다. 플랫폼 공시와 본 방침 사이에 의도하지 않은 불일치가 발생하는 경우 본 방침이 우선하며, 당사는 정렬되도록 플랫폼 공시를 업데이트하기 위해 노력합니다.
16. 제3자 링크 및 서비스
서비스에는 제3자 웹사이트 또는 통합(예: ID 제공자, 결제 처리자, AI 제공자)에 대한 링크가 포함될 수 있습니다. 본 방침은 그러한 제3자에게 적용되지 않습니다. 그들에게 정보를 제공하기 전에 그들의 개인정보처리방침을 검토하실 것을 권장합니다.
17. 본 방침의 변경
당사는 수시로 본 개인정보처리방침을 업데이트할 수 있습니다. 상단의 "최종 업데이트" 날짜는 가장 최근 버전을 반영합니다. 중요한 변경이 있는 경우 당사는 변경 시행 전 최소 14일 전(또는 적용 가능한 법률에서 요구하는 경우 더 빨리)에 이메일 또는 서비스 상의 두드러진 통지로 귀하에게 통지합니다. 수탁자에 영향을 미치는 중요한 변경은 또한 섹션 4.1의 통지 요건의 적용을 받습니다. 시행일 이후 귀하가 서비스를 계속 이용하는 것은 수락을 구성합니다.
18. 문의처
개인정보 관련 질문, 요청 또는 민원:
Thetawave AI, Inc. Attn: Privacy 이메일: contact@thetawave.ai 웹사이트: https://thetawave.ai
Thetawave AI는 귀하의 개인정보를 보호하고 귀하의 데이터 처리 방식에 관해 투명하게 하는 데 헌신합니다. 본 방침에서 불분명한 점이 있으면 연락주십시오 — 기꺼이 도움을 드리겠습니다.