개인정보처리방침

최종 개정: 2026-05-28 · 버전 v1.3 (PIPA 2026 + 데이터 보관 분리 정책)

1. 개인정보 처리 목적

회사는 「개인정보 보호법」 제15조에 따라 다음 목적으로 이용자의 개인정보를 수집·이용하며, 이용 목적이 변경될 경우 사전 동의를 받습니다:

회원 식별·인증 및 서비스 제공 — 회원 가입·로그인·콘텐츠 생성(음악·이미지·영상)·라이브러리 제공
유료 결제 처리 — 포인트 충전·구독 결제·환불·세금계산서 발급
이용자 응대 — 문의 처리·공지사항 안내·약관 변경 통지
서비스 안정성 확보 — 부정 이용·자동화 봇 탐지·어뷰징 차단(IP 가입 한도 등)
콘텐츠 모더레이션 — 실존 인물 도용·아동 보호법 위반·기타 약관 위반 콘텐츠 차단
통계 분석·서비스 개선 — 개인 식별 불가능한 집계 데이터로 한정

2. 수집 항목 및 수집 방법

회사는 다음 수집 항목을 보유하며, 각 항목은 서비스 이용 시점에 자동 또는 이용자 입력으로 수집됩니다:

회원 가입·인증: 이메일 주소, OAuth 제공자(Google/카카오) 식별자, 비밀번호 해시
결제: 결제 수단 정보(토스페이먼츠가 직접 처리, 회사 미보관), 결제 내역(주문번호·금액·일시)
서비스 이용 로그: 접속 IP, 쿠키, User Agent, 생성 요청 메타(프롬프트·생성 시각·모델)
YouTube 업로드(선택): Google OAuth 토큰(브라우저 메모리에만 보관, 서버 미저장)
생성 콘텐츠 메타: 사용자가 만든 음악·이미지·영상의 파일 URL·길이·생성 시각(회사 스토리지에 보관)

* 14세 미만의 가입을 허용하지 않으며, 만 14세 미만임이 확인될 경우 즉시 해당 계정과 정보를 파기합니다.

3. 보유 기간 및 파기

회사는 「개인정보 보호법」 제21조에 따라 수집 목적이 달성되거나 보유 기간이 경과한 즉시 개인정보를 파기합니다. 다만, 법령에 따라 보존이 필요한 경우 해당 기간 동안 분리 보관합니다.

3-1. 항목별 보유 기간

회원 정보(이메일·계정 식별자·해시 등): 회원 탈퇴 신청 후 90일 유예를 두고 완전 삭제 (오인 탈퇴 회복용·고객 응대 추적용, 이용자 명시 요청 시 즉시 파기 가능)
이용자 입력 프롬프트(생성 요청 텍스트): 수집일로부터 90일 보관 후 자동 익명화(개인 식별 가능 부분 제거, 모더레이션·서비스 개선 통계 목적의 비식별 데이터로 전환)
이용자 생성 결과물(음악·이미지·영상 파일): 영구 보관을 원칙으로 하되, 이용자 삭제 요청 시 7일 이내 회사 서버(R2 스토리지·D1 데이터베이스)에서 제거(법령에 따른 보관 의무·legal hold가 있는 경우 예외)
결제 내역: 「전자상거래 등에서의 소비자보호에 관한 법률」 제6조에 따라 5년 보관(주문번호·금액·일시 한정, 카드번호는 PG사 별도 보관)
서비스 이용 로그(접속 IP·User Agent 등): 「통신비밀보호법」에 따라 3개월 보관
부정 이용 기록: 재발 방지 목적 1년 보관
OAuth 토큰: 브라우저 세션 종료 시 자동 만료(서버 미보관)

3-2. 두 종류의 삭제 요청 — 시한 분리

이용자가 회사에 요청할 수 있는 삭제는 다음 두 종류로 분리되어 운영되며, 각각의 처리 시한이 다릅니다.

(A) 콘텐츠 삭제 요청 — 7일 이내 처리

이용자가 본인이 만든 특정 결과물(음악·이미지·영상) 또는 입력 프롬프트의 즉시 삭제를 요청하는 경우입니다. 회사는 요청 접수일로부터 7일 이내에 회사 서버(R2·D1)에서 해당 콘텐츠를 제거합니다. 다만 진행 중인 분쟁·법령상 보관 의무가 있는 데이터는 legal hold 처리되어 예외 적용을 받습니다.

(B) 계정 탈퇴 요청 — 90일 유예 후 완전 삭제

이용자가 회원 자체를 탈퇴하는 경우입니다. 탈퇴 신청 직후 즉시 로그인이 차단되고 서비스 이용이 중단되며, 오인 탈퇴 회복·고객 응대 추적·고지 의무 이행을 위해 90일 유예 기간을 거친 후 회원 정보를 완전 삭제합니다. 유예 기간 중 이용자가 명시적으로 즉시 파기를 요청하면 즉시 파기 처리하며, 결제 정보 등 법령에 따른 보관 의무가 있는 항목은 해당 법정 기간이 우선합니다.

파기 절차: 전자 파일 형태는 복구 불가능한 기술적 방법으로 영구 삭제하며, 출력물은 분쇄·소각합니다. 본 보유 기간 정책은 이용약관 제7조(지적재산권)와 cross-ref 되며, 약관 변경 시 본 조와 동시 갱신됩니다.

4. 개인정보의 처리 위탁 및 국외 이전

회사는 서비스 제공을 위해 일부 업무를 외부 사업자에 위탁합니다. 위탁 사실과 국외 이전은 「개인정보 보호법」 제26조·제28조의8에 따라 본 처리방침에 공개합니다.

4-1. 국내 처리 위탁

회사는 원활한 서비스 제공을 위해 다음 국내 사업자에 개인정보 처리를 위탁합니다:

수탁자	위탁 업무	개인정보 항목
토스페이먼츠 주식회사 (예정)	유료 결제 처리·환불	결제 수단·주문 정보

4-2. 개인정보의 국외 이전

회사는 서비스 제공을 위해 다음 국외 사업자에 개인정보 처리를 위탁(국외 이전)합니다. 이는 「개인정보 보호법」 제28조의8 제1항 제3호(정보주체와의 계약 이행을 위해 처리위탁이 필요하며 본 항목을 처리방침에 공개한 경우)에 따라 별도 동의 없이 이루어집니다.

Fal - Features & Labels, Inc. (fal.ai)

이전 항목: 이용자가 입력한 생성 프롬프트 텍스트(이미지·모션 프롬프트 포함)
이전 국가: 미국(United States)
이전 일시·방법: 서비스 이용(콘텐츠 생성 요청) 시점에 HTTPS API 호출로 전송
이전받는 자: Fal - Features & Labels, Inc. / 연락처: support@fal.ai (공용 지원 채널 — 개인정보 전용 창구 별도 미운영)
이용목적·보유기간: 목적: AI 모델 추론(음악·이미지·영상 생성) / 보유기간: fal.ai 개인정보처리방침에 따름

Cloudflare, Inc.

이전 항목: 접속 로그(IP·User Agent), 회원·콘텐츠 데이터, 생성 결과 파일
이전 국가: 미국(United States)
이전 일시·방법: 서비스 이용 시 상시 / HTTPS 통신으로 전송·보관
이전받는 자: Cloudflare, Inc. / 연락처: dpo@cloudflare.com (개인정보보호책임자, 권리행사 요청은 sar@cloudflare.com)
이용목적·보유기간: 목적: 웹 호스팅·CDN·DDoS 방어·데이터베이스·스토리지 / 보유기간: 회사가 R2 스토리지에 결과물을 보관하는 기간에 종속(본 방침 제3조 참조)

Google LLC

이전 항목: YouTube 업로드를 선택한 이용자의 OAuth 토큰(브라우저 메모리에만 보관, 회사 서버 미저장), 이용자가 업로드하는 영상 파일·제목·설명
이전 국가: 미국(United States)
이전 일시·방법: 이용자가 YouTube 업로드를 선택한 시점에 브라우저에서 HTTPS API 호출로 전송
이전받는 자: Google LLC / 연락처: 단일 개인정보 이메일을 별도 제공하지 않으며, 데이터 보호 문의는 Google Cloud 문의 폼(support.google.com/cloud/contact/dpo)을 통해 접수합니다
이용목적·보유기간: 목적: 이용자 본인 YouTube 채널에 콘텐츠 업로드 / 보유기간: 브라우저 세션 종료 시 토큰 자동 만료

본 항목 외 제3자에 대한 개인정보 제공은 없으며, 법령에 따른 적법한 요청이 있는 경우에 한해 제공할 수 있습니다. 이용자는 회사에 개인정보의 국외 이전을 거부할 수 있으나, 이 경우 콘텐츠 생성 등 핵심 서비스 이용이 제한될 수 있습니다.

5. 개인정보의 제3자 제공

회사는 이용자의 개인정보를 본 처리방침에 명시한 목적 범위를 초과하여 이용하거나 제3자에게 제공하지 않습니다. 다만, 다음 경우에는 「개인정보 보호법」 제17조에 따라 예외적으로 제공할 수 있습니다:

이용자가 사전에 동의한 경우
법령에 의하여 제공이 요구되는 경우
수사 목적으로 법령에 정해진 절차와 방법에 따라 수사기관의 요구가 있는 경우
회사·이용자·제3자의 생명·신체·재산상의 급박한 위험을 방지하기 위해 필요한 경우

* 제3자 제공과 처리 위탁(제4조)은 법적 성격이 다릅니다. 처리 위탁은 회사의 업무를 대행하는 수탁자에게 제한된 목적으로 정보를 이관하는 것이며, 제3자 제공은 별도의 개인정보처리자에게 정보를 이전하는 것입니다. 현재 회사는 본 조 단서에 해당하는 법적 의무 사항 외에 제3자에게 정보를 제공하고 있지 않습니다.

6. 정보주체 권리 및 행사 방법

이용자는 「개인정보 보호법」 제35조~제37조에 따라 개인정보 보호 관련 다음 권리를 언제든지 행사할 수 있습니다:

열람 요구 — 본인의 개인정보 처리 현황 조회
정정·삭제 요구 — 오류·누락 시 정정 또는 삭제 요청
처리 정지 요구 — 일시적 또는 영구적 처리 중단 요청
회원 탈퇴 및 계정 삭제 — 계정 삭제 페이지를 통해 즉시 처리 또는 7일 유예 선택
마케팅 수신 동의 철회 — 이메일 푸터의 수신 거부 링크 또는 직접 요청
법정 대리인을 통한 권리 행사 — 만 14세 미만 자녀의 경우 (현재 회사는 14세 미만 가입 미수용)

권리 행사 요청은 fv.vimu@gmail.com 으로 접수해 주시면 접수일로부터 10일 이내 처리 결과를 회신합니다. 이용자의 본인 여부 확인을 위해 추가 정보(가입 이메일 등)를 요청할 수 있습니다.

7. 자동화된 결정에 대한 권리 (PIPA 제37조의2)

회사는 「개인정보 보호법」 제37조의2(2026 시행)에 따라 이용자에게 영향을 미치는 자동화된 결정에 대한 권리를 보장합니다. 회사가 운영하는 자동화된 결정 시스템은 다음과 같습니다:

콘텐츠 모더레이션 차단 — 실존 인물 도용·아동 보호법 위반·기타 약관 위반 프롬프트의 자동 필터링
미리듣기·생성 차단 — 어뷰징 의심 패턴(IP 가입 한도·분당 요청 빈도) 자동 차단
결제·환불 자동 처리 — 결제 실패 시 자동 환급, 생성 실패 시 포인트 자동 환불
계정 자동 정지 — 약관 위반 사후 적발 시 자동 처분(중대한 경우 사람 검토 후 확정)

이용자는 자신에 대한 자동화된 결정에 대해 다음 권리를 행사할 수 있습니다:

거부할 권리 — 자동화된 결정에 의한 처분(차단·정지)을 거부하고 사람의 개입을 요구할 수 있습니다.
재검토를 요구할 권리 — 자동화된 결정 결과에 이의가 있는 경우 사람에 의한 재검토를 요구할 수 있습니다.
설명을 요구할 권리 — 자동화된 결정의 기준·근거·결과에 대해 설명을 요구할 수 있습니다.

자동화된 결정에 대한 권리 행사는 fv.vimu@gmail.com 으로 요청해 주시면 접수일로부터 10일 이내 사람이 직접 검토한 결과를 회신합니다. 단, 법령에 따른 적법한 자동 처리(예: 자금세탁방지법에 따른 비정상 거래 차단)는 거부할 수 없습니다.

8. 쿠키·로컬 스토리지 사용

서비스는 사용자 경험 향상을 위해 브라우저 localStorage 와 쿠키를 사용합니다:

로그인 세션 유지
최근 생성 콘텐츠 5개 임시 보관(브라우저 사이드만, 서버 미전송)
접근 통계(Cloudflare 기본 분석, 익명)

브라우저 설정에서 쿠키·localStorage 를 차단할 수 있으나 일부 기능이 제한될 수 있습니다.

9. 개인정보의 안전조치

회사는 「개인정보 보호법」 제29조에 따라 다음 기술적·관리적·물리적 안전조치를 시행하고 있습니다:

기술적 조치 — 전 구간 HTTPS(TLS 1.3) 통신 + HSTS(2년·서브도메인 포함) 강제
비밀번호 보호 — 단방향 해시(bcrypt) 저장, 평문 미보관·미전송
접근 통제 — 접근 권한 분리(개발자 ≠ 운영자), 권한 기반 행 단위 격리(BOLA 방어)
API 보안 — 웹훅·민감 API 호출은 HMAC 토큰 검증, OAuth 토큰은 브라우저 메모리에만 보관
속도 제한 — Rate Limiting(IP·User 양 겹) 적용, 비정상 패턴 자동 차단
가입 어뷰징 방지 — IP 월 가입 한도(3건), 카카오 로그인 강제 옵션
모니터링 — 정기적 보안 점검·취약점 스캔·로그 기록(접근·결제·삭제 등 민감 이벤트)
전송 보안 — Content Security Policy(CSP)로 XSS 방어, frame-ancestors none

10. 개인정보 보호 책임자

개인정보 보호 책임자 (CPO)

Forest Village Studio (1인 사업자 운영, 대표 겸직)

이메일: fv.vimu@gmail.com

통신판매업 신고번호: 제 2026-부천소사-0425 호

* 대표자 본명·전화번호의 공개 여부는 출시 D-30 시점 변호사 검토를 거쳐 확정될 예정이며, 현재는 이메일 단일 채널로 모든 개인정보 보호 관련 문의를 받습니다.

11. 개인정보 침해 신고 및 권리 구제

이용자는 본 회사의 개인정보 처리에 대해 다음 기관에 침해 신고·상담·분쟁 조정을 요청할 수 있습니다. 각 기관은 「개인정보 보호법」 등에 따라 독립적으로 운영되며, 회사와 별개로 권리 구제를 제공합니다:

개인정보침해 신고센터 (KISA)

전화: 국번 없이 118 (평일 09:00~18:00)

웹: privacy.kisa.or.kr

개인정보 침해 신고·상담의 1차 창구

개인정보 분쟁조정위원회

전화: 1833-6972

웹: www.kopico.go.kr

개인정보 관련 분쟁 조정 — 회사와 합의 불성립 시 활용

검찰청 사이버범죄수사단

전화: 1301 (24시간)

웹: cybercid.spo.go.kr

개인정보 침해가 형사 범죄에 해당하는 경우 수사 의뢰

12. 정책 변경

본 처리방침은 법령·서비스 변경에 따라 개정될 수 있으며, 개정 시 최소 7일 전(이용자에게 불리한 중대한 변경은 30일 전) 공지합니다. 개정된 처리방침은 회사 홈페이지 공지사항 및 이메일을 통해 통지하며, 이용자는 개정에 동의하지 않을 권리가 있습니다. 개정에 동의하지 않을 경우 회원 탈퇴 또는 일부 서비스 이용 제한이 적용될 수 있습니다.

본 처리방침 시행일: 2026-05-28 (v1.3)