개인정보처리방침

도움이(이하 “서비스”)는 다음의 목적을 위하여 개인정보를 처리하며, 처리 목적이 변경되는 경우에는 「개인정보 보호법」 제18조에 따라 별도의 동의를 받는 등 필요한 조치를 이행합니다.

1. 회원 가입 및 관리 — 회원 가입 의사 확인, 이용자 식별·인증, 이용약관 위반 이용자에 대한 이용 제한 조치, 서비스 이용 기록 관리.
2. 서비스 제공 — AI 기반 막힘 분석 및 답변 생성, 공공 웹사이트 양식의 자동입력 기능 제공, 음성 입력의 텍스트 변환, 요청 이력 제공.
3. 서비스 안정성 확보 — 비정상 트래픽 차단, 요청 한도 제어, 부정 이용 방지.
4. 서비스 개선 — 개인을 식별할 수 없도록 처리된 통계의 작성 및 분석 (이 경우 「개인정보 보호법」 제28조의2에 따른 가명처리 또는 익명처리 후 이용).

서비스는 법령에 따른 보유·이용 기간 또는 정보주체로부터 동의받은 기간 내에서 개인정보를 처리·보유하며, 보유 기간이 경과하거나 처리 목적이 달성된 경우에는 지체 없이 파기합니다.

서비스는 다음과 같은 개인정보 항목을 처리합니다.

1. 필수 수집 항목

• Google OAuth 계정의 이메일 주소, 이름, 프로필 이미지 URL (Google이 발급하는 ID 토큰 검증을 통해 제공받음)

2. 선택 수집 항목 (이용자 직접 입력)

• 자동입력용 프로필: 이름, 휴대전화번호, 주소, 생년월일
• 요청 이력에 포함될 질문 텍스트

3. 자동 생성·수집 항목

• 인증 토큰의 해시값(개인 식별 불가)
• 요청 시각, 응답 메타데이터
• 서비스 이용 기록(페이지 URL, 페이지 제목)
• 막힘 감지 알고리즘이 사용하는 행동 패턴 이벤트 — 무동작 시간, 동일 요소 반복 클릭, 뒤로가기 직후 재진입 등 (개인 식별 불가)

4. 일시 처리 항목 (서버 비저장)

• 활성 탭 DOM 요약 — 페이지 제목, 버튼·링크·입력 필드의 라벨 등. AI 모델 호출 직후 메모리에서 폐기되며 서버에 저장되지 않습니다. 최대 20,000자 길이로 제한됩니다.
• 스크린샷 — 이용자가 “화면 첨부” 기능을 직접 사용한 경우에만 전송되며, AI 처리 직후 폐기됩니다.
• 음성 입력 — 음성→텍스트 변환 직후 원본 음성은 폐기되며, 텍스트 결과만 요청 처리에 사용됩니다.

5. 수집하지 않는 정보

서비스는 「개인정보 보호법」 제23조의 민감정보 및 같은 법 제24조의 고유식별정보(주민등록번호, 여권번호, 운전면허번호, 외국인등록번호), 그리고 신용카드번호·계좌번호·비밀번호·생체정보·진료기록을 수집·저장·전송하지 않습니다. 공공 웹사이트의 본인인증, 결제, 최종 제출 단계는 항상 이용자가 직접 수행합니다.

서비스는 정보주체의 동의, 법률의 특별한 규정 등 「개인정보 보호법」 제17조 및 제18조에 해당하는 경우에만 개인정보를 제3자에게 제공하며, 그 외에는 정보주체의 개인정보를 제3자에게 제공하지 않습니다. 현재 서비스는 정보주체의 개인정보를 제3자에게 제공하지 않습니다.

서비스는 원활한 개인정보 업무처리를 위하여 다음과 같이 개인정보 처리업무를 위탁하고 있습니다. 위탁 계약 체결 시 「개인정보 보호법」 제26조에 따라 위탁업무 수행 목적 외 개인정보 처리 금지, 기술적·관리적 보호조치, 재위탁 제한, 수탁자에 대한 관리·감독, 손해배상 등 책임에 관한 사항을 계약서 등 문서에 명시하고 있습니다.

위탁업무의 내용이나 수탁자가 변경될 경우에는 지체 없이 본 개인정보처리방침을 통하여 공개합니다.

서비스는 「개인정보 보호법」 제28조의8 및 제28조의9에 따라 정보주체에게 다음과 같이 국외 이전 사실을 고지합니다. 이용자는 본 처리방침의 동의 거부권이 있으나, 거부 시 서비스의 핵심 기능 (AI 응답 생성, 회원 인증)을 이용할 수 없습니다.

정보주체는 서비스에 대해 언제든지 다음과 같은 개인정보 보호 관련 권리를 행사할 수 있습니다.

1. 개인정보 처리현황 통지요구권
2. 개인정보 열람요구권
3. 개인정보 정정·삭제 요구권
4. 개인정보 처리정지 요구권
5. 개인정보 자동화된 결정에 대한 거부 및 설명 요구권

권리 행사는 대시보드 화면에서 직접 수행하거나, 본 방침 제13조의 개인정보 보호책임자에게 서면, 전자우편 등을 통하여 요청할 수 있으며 서비스는 지체 없이 조치합니다.

• 열람·정정·삭제·처리정지: 대시보드 → 프로필 편집·요청 이력 삭제, 또는 회원 탈퇴.
• 요청 이력의 개별 삭제: 대시보드 → 요청 이력 → 개별 항목 삭제 버튼.
• 회원 탈퇴(처리 동의 철회): 대시보드 → 회원 탈퇴. 탈퇴 즉시 모든 회원 데이터가 데이터베이스에서 영구 삭제됩니다.

정보주체가 만 14세 미만 아동의 법정대리인인 경우 아동의 개인정보 열람·정정·삭제·처리정지를 요구할 수 있습니다. 권리 행사 시 「개인정보 보호법 시행규칙」 제11조에 따른 위임장을 제출하여 본인임을 증명할 수 있습니다.

서비스는 개인정보 보유 기간의 경과, 처리 목적 달성 등 개인정보가 불필요하게 되었을 때에는 지체 없이 해당 개인정보를 파기합니다.

파기 절차

파기 사유가 발생한 개인정보는 개인정보 보호책임자의 승인을 거쳐 파기됩니다.

파기 방법

• 전자적 파일: 데이터베이스 레코드 영구 삭제 (DELETE) 후 소프트 삭제 플래그가 아닌 실제 행 제거. 백업본은 정기 보존주기 종료 시 함께 폐기됩니다.
• 메모리상 일시 데이터: 응답 송신 직후 변수 범위 종료 및 가비지 컬렉션을 통해 폐기됩니다.
• 종이 출력물: 해당 없음. 서비스는 종이 형태로 개인정보를 보관하지 않습니다.

서비스는 「개인정보 보호법」 제29조 및 「개인정보의 안전성 확보조치 기준」 고시에 따라 다음과 같은 조치를 취하고 있습니다.

관리적 조치

• 개인정보 취급자의 최소화 및 교육
• 내부관리계획 수립·시행
• 접근권한의 부여·변경·말소 기록 관리

기술적 조치

• 전송 구간 전 구간 HTTPS(TLS 1.2 이상) 암호화
• 비밀번호 일방향 암호화 (Supabase가 관리, bcrypt 또는 동등 이상)
• API 인증 토큰 기반 접근 제어 및 사용자별 데이터 격리(RLS)
• 요청 한도 제어 및 이상 트래픽 자동 차단
• 개발·운영 환경 분리, 환경변수 기반 비밀 키 관리
• 최소 권한 원칙에 따른 Chrome 익스텐션 권한 설계

물리적 조치

서비스는 자체 데이터센터를 운영하지 않으며, 클라우드 호스팅 사업자(Supabase, Vercel 등)의 물리적 보안 통제에 의존합니다. 해당 수탁사는 SOC 2 Type II, ISO 27001 등 국제 인증을 보유하고 있습니다.

서비스는 이용자에게 맞춤형 서비스를 제공하기 위해 쿠키 및 유사 저장소를 사용합니다.

쿠키 및 로컬 저장소 사용 항목

• 웹사이트: Supabase 인증 세션 쿠키 (이름 형식 sb-<projectRef>-auth-token), 언어 설정 doumi-locale, 회원 인증 상태 유지를 위한 localStorage 항목.
• Chrome 익스텐션: chrome.storage.local에 인증 토큰, 프로필 캐시, 사이드바 폭, 진행 중인 에이전트 세션 정보. chrome.storage.session에 임시 로그인 탭 ID.

쿠키 거부 방법

• 웹브라우저 설정 → 개인정보·보안 → 쿠키 차단 또는 사이트별 차단.
• Chrome 익스텐션 설정 → 도움이 → “설정” → 데이터 삭제 또는 익스텐션 제거.
• 거부 시 회원 인증 상태가 유지되지 않으며 자동입력 등 개인화 기능을 사용할 수 없습니다.

서비스는 광고 식별자, 행태정보(웹사이트·앱 방문 이력, 검색 이력, 구매 이력 등)를 수집·이용·제공하지 않습니다. 외부 광고망과 연동되어 있지 않으며 제3자 추적 픽셀이나 SDK를 사용하지 않습니다.

서비스는 통계작성, 과학적 연구, 공익적 기록보존을 위하여 가명정보를 처리할 수 있으며, 이 경우 「개인정보 보호법」 제28조의2부터 제28조의7까지의 규정을 준수합니다. 현재 가명정보를 별도로 처리하고 있지 않습니다.

서비스의 Chrome 익스텐션은 Chrome Web Store 개발자 프로그램 정책의 “User Data Policy” 및 “Limited Use Policy”를 준수합니다. 익스텐션이 요구하는 권한과 그 사용 목적은 다음과 같습니다.

User Data Policy 준수 사항

• 이용자 데이터의 단일 목적(Single Purpose) 사용 — 디지털 소외계층의 공공서비스 이용 보조
• 이용자 데이터를 광고 목적으로 사용하지 않음
• 이용자 데이터를 제3자에게 판매·중개하지 않음
• 이용자 데이터를 신용평가·대출 결정에 사용하지 않음
• 이용자 데이터에 사람이 접근하지 않음 (다음 예외 제외: 이용자의 명시적 사전 동의, 보안 목적, 적용 가능한 법률 준수, 익명·집계 통계)

서비스의 Google OAuth 2.0 사용은 Google API Services User Data Policy의 Limited Use Requirements를 포함하여 모든 요건을 준수합니다. 자세한 정책은 Google API Services User Data Policy를 참고해 주세요.

서비스가 Google로부터 받는 정보는 다음과 같습니다.

• scope: openid, email, profile
• 받는 정보: 이메일 주소, 표시 이름, 프로필 이미지 URL
• 사용 목적: 회원 식별 및 로그인 상태 유지 (그 외 용도로 사용하지 않음)

이용자는 언제든 Google 계정 권한 페이지에서 도움이의 접근 권한을 철회할 수 있습니다.

서비스는 「개인정보 보호법」 제22조의2에 따라 원칙적으로 만 14세 미만 아동의 개인정보를 수집하지 않습니다. 회원 가입 시 만 14세 이상임을 확인하며, 만 14세 미만임이 확인된 경우 가입을 제한하고 해당 계정 정보를 즉시 파기합니다.

서비스는 개인정보 처리에 관한 업무를 총괄해서 책임지고, 개인정보 처리와 관련한 정보주체의 불만 처리 및 피해 구제 등을 위하여 아래와 같이 개인정보 보호책임자를 지정하고 있습니다.

정보주체는 서비스 이용 중 발생한 모든 개인정보 보호 관련 문의, 불만처리, 피해구제 등에 관한 사항을 위 보호책임자에게 문의하실 수 있습니다. 서비스는 정보주체의 문의에 대해 지체 없이 답변 및 처리해 드립니다.

정보주체는 「개인정보 보호법」 제35조에 따른 개인정보의 열람 청구를 제16조의 개인정보 보호책임자에게 할 수 있습니다. 서비스는 정보주체의 열람청구가 신속하게 처리되도록 노력합니다.

정보주체는 개인정보 침해로 인한 구제를 받기 위하여 개인정보분쟁조정위원회, 한국인터넷진흥원 개인정보침해신고센터 등에 분쟁해결이나 상담 등을 신청할 수 있습니다. 또한 「개인정보 보호법」 제35조(개인정보의 열람), 제36조(개인정보의 정정·삭제), 제37조(개인정보의 처리정지 등)의 규정에 의한 요구에 대하여 공공기관의 장이 행한 처분 또는 부작위로 인하여 권리 또는 이익의 침해를 받은 자는 행정심판법이 정하는 바에 따라 행정심판을 청구할 수 있습니다.

• 개인정보분쟁조정위원회 — (국번 없이) 1833-6972 / www.kopico.go.kr
• 개인정보침해신고센터 — (국번 없이) 118 / privacy.kisa.or.kr
• 대검찰청 사이버수사과 — (국번 없이) 1301 / www.spo.go.kr
• 경찰청 사이버수사국 — (국번 없이) 182 / ecrm.cyber.go.kr

해당 없음. 서비스는 영상정보처리기기(CCTV 등)를 설치·운영하지 않습니다.

본 개인정보처리방침은 시행일로부터 적용되며, 법령 및 방침에 따른 변경 내용의 추가, 삭제 및 정정이 있는 경우에는 변경 사항의 시행 7일 전(이용자에게 불리한 변경의 경우 30일 전)부터 웹사이트 공지사항 또는 익스텐션 알림을 통하여 사전 공지합니다. 다만, 수집하는 개인정보의 항목, 이용 목적의 변경 등과 같이 정보주체의 권리에 중요한 영향을 미치는 변경에 대해서는 별도의 동의를 다시 받습니다.

개정 이력
v1.0 (2026년 4월 25일 시행) — 최초 제정