개인정보처리방침
시행일: 2026-04-21 버전: 1.0
Theta One AI(이하 "회사")는 이용자의 개인정보를 소중히 다룹니다. 본 방침은 회사가 Theta One API 콘솔 및 관련 API 서비스(이하 "서비스") 운영을 위해 어떤 개인정보를 수집·이용·제공·이전·보관하는지, 그리고 이용자의 권리를 설명합니다.
본 방침은 다음 두 가지 처리 유형에 모두 적용됩니다.
- 계정 개인정보 — 개발자·법인 이용자 가입 과정에서 수집하는 정보(회사는 개인정보처리자 Controller)
- 최종 이용자 데이터 — 고객사의 앱이 API를 호출하며 제출하는 오디오 등(회사는 고객사를 대리하여 처리하는 수탁자 Processor)
EU/EEA/영국, 캘리포니아, 한국 이용자 특화 고지는 뒤에 별도 섹션으로 안내합니다.
1. 수집하는 개인정보
1.1 계정 개인정보(회사=처리자)
| 구분 | 항목 | 수집 경로 |
|---|---|---|
| 식별정보 | 이메일, 사용자명, 계정 유형, 소속(회사명), 전화번호 | 가입 시 이용자 |
| 인증정보 | 비밀번호(해시), 이메일 인증 토큰, 소셜 로그인 식별자 | 이용자/ID 공급자 |
| 결제정보 | 결제수단 말 4자리, 청구처 이름·주소, 부가세 번호, 인보이스 내역 | 결제사, 이용자 |
| 이용정보 | API 키 메타데이터, 호출 수, 타임스탬프, 오류 코드, 호출 IP | 서비스 자동 생성 |
| 지원정보 | support@thetaone.co 문의, 설문 응답 | 이용자 |
| 동의 기록 | 동의 항목·버전·일시·IP·User-Agent·관할 | 서비스 자동 생성 |
1.2 API로 제출되는 최종 이용자 데이터(회사=수탁자)
고객사의 API 호출 시 회사는 다음을 수신합니다.
- 오디오 (.wav / .mp3) — 화자(미성년자 포함 가능)의 음성;
- 텍스트 / 기준 문장 — 발음 채점용;
- 요청 메타데이터 — 타임스탬프, 사용된 API 키, IP.
본 데이터는 요청 결과 반환 및 서비스 운영 목적으로만, 이용약관 및 개인정보 처리위탁계약에 따라 처리됩니다.
1.3 쿠키 및 유사 기술
별도 쿠키 정책 참조.
2. 이용 목적과 법적 근거
회사는 다음 목적으로 개인정보를 처리하며, EU/영국 이용자의 경우 괄호 안의 GDPR 법적 근거에 따릅니다.
- 서비스 제공 — 계정 생성, 인증, API 키 발급·검증, API 응답 반환 (계약 이행, Art. 6(1)(b))
- 청구·세무 — 요금 청구, 인보이스 발행, 세무·회계 의무 이행 (계약 이행·법적 의무, (b)(c))
- 보안·부정 사용 방지 — 남용 탐지, 키 속도 제한, 사고 조사, 감사 로그 (정당한 이익, (f))
- 서비스 운영·개선 — 장애 분석, 용량 계획. API로 제출된 오디오·텍스트는 명시적 별도 계약이 없는 한 모델 학습에 사용하지 않습니다 (제4조 참조)
- 커뮤니케이션 — 고객 지원, 서비스 공지(계약 이행); 마케팅은 명시적 사전 동의 시에만 ((a))
- 법적 준수 — 관계 법령 준수, 약관 집행, 법적 청구 방어 (법적 의무, 정당한 이익)
3. 개인정보 제3자 제공 및 처리위탁
회사는 개인정보를 판매하지 않으며, 다음 경우에만 공유합니다.
- 처리위탁(수탁자). 인프라, 인증, 이메일 발송, 결제 공급자. 최신 목록·소재지·목적은 수탁자 목록에서 공개합니다.
- 전문가. 변호사·회계사·감사인(비밀유지 의무).
- 법적 의무·안전. 법령, 영장, 적법한 요구, 권리·안전·재산 보호를 위해 필요한 경우.
- 사업 양도. 합병·인수·자산 매각 등 사업 구조조정 시 본 방침 준수를 조건으로 이전.
4. 모델 학습
회사는 API로 제출된 오디오·텍스트를 모델 학습·미세조정에 사용하지 않습니다. 학습 이용은 계정 관리자와의 별도 서면 옵트인 계약이 있어야 하며, 가입만으로는 활성화되지 않습니다.
5. 국외이전 (개인정보의 국외이전)
회사의 본사는 대한민국에 있으나, 서비스 운영을 위해 일부 개인정보를 미국 등 국외로 이전합니다(일부 EU 리전 사용). 본 가입을 통해 이용자는 PIPA 제28조의8에 따라 아래 이전에 동의합니다.
| 이전받는 자 | 국가 | 목적 | 항목 | 보유 기간 | 이전 방법 |
|---|---|---|---|---|---|
| Supabase, Inc. | 미국 | 인증·DB·스토리지 | 계정정보, 동의 기록 | 제6조에 따름 | 암호화 네트워크(TLS) |
| Amazon Web Services | 미국 | 컴퓨팅·스토리지 | API 요청 메타데이터, 단기 로그 | 최대 12개월 | 암호화 네트워크(TLS) |
| Stripe, Inc. | 미국 | 결제 처리 | 결제정보 | Stripe 정책 | 암호화 네트워크(TLS) |
최신 목록은 수탁자 목록에서 확인할 수 있습니다. 국외이전을 거부할 수 있으나, 거부 시 서비스 제공이 제한될 수 있습니다.
6. 보유·이용 기간
| 구분 | 기간 |
|---|---|
| API 요청 오디오·텍스트 | 메모리에서 처리 후 응답 반환과 동시에 폐기. 최대 24시간 단기 디버그 로그는 메타데이터만 포함하며 페이로드 내용은 포함하지 않음 |
| 계정정보 | 계정 유지 기간 + 계약·세무 대응 목적 3년 |
| 결제 기록 | 「국세기본법」상 5년 이상(법령이 요구하는 경우 그 기간) |
| 동의 기록 | 계정 유지 기간 + 5년 (PIPA·GDPR 증빙) |
| 접속 기록 | 「통신비밀보호법」·PIPA에 따라 최대 12개월 |
| 고객 지원 | 종결 후 3년 |
보관 기간 종료 시 지체 없이 삭제하거나 복원 불가능하게 익명화합니다.
7. 안전성 확보 조치
회사는 PIPA 제29조 및 GDPR Art. 32에 따라 다음 조치를 취합니다.
- 전송 구간 TLS 1.2 이상 암호화, 저장 데이터 암호화(AES-256)
- 접근 통제(최소권한·역할 기반), 관리자 콘솔 MFA
- 감사 로그 및 모니터링
- API 키·시크릿 자동 탐지 및 회전 정책
- 인프라 취약점 정기 점검
완벽한 보안은 존재하지 않습니다. 개인정보 유출 사고 발생 시 법령이 정한 기한 내 이용자와 규제기관에 통지합니다(국내: 72시간 이내 KISA·PIPC 신고).
8. 이용자의 권리
이용자는 법령이 정하는 범위에서 다음 권리를 행사할 수 있습니다.
- 열람 — 보유 개인정보 확인
- 정정·삭제 — 오류 수정, 삭제 요청
- 처리 정지 — 특정 처리 중단 요청
- 이전(portability) — 표준 형식으로 데이터 수령
- 동의 철회 — 동의 기반 처리의 철회(철회 전 처리의 적법성은 영향받지 않음)
- 민원 제기 — 감독기관에 민원 제기(제11조 참조)
권리 행사는 콘솔 설정 → Privacy 페이지 또는 privacy@thetaone.co로 요청할 수 있습니다. 본인 확인 후 법령이 정한 기간(통상 10~30일) 내 답변합니다.
9. EU/EEA/영국 이용자 (GDPR)
- 처리자: Theta One AI (상기 연락처)
- EU 대리인(Art. 27): 지정 예정. 지정 전까지 privacy@thetaone.co로 연락
- 법적 근거: 제2조 참조
- 국외이전: 제5조 참조, SCC·UK IDTA 등 체결
- 감독기관: 거주지 감독기관(예: 영국 ICO)에 민원 제기 가능
- 자동화된 의사결정: 이용자에게 법적 또는 이와 유사한 중대한 영향을 미치는 자동화 의사결정은 수행하지 않습니다.
10. 캘리포니아 거주자 (CCPA/CPRA)
- 수집 항목: 식별자·상거래 정보·인터넷 활동·오디오 녹음·추론(제한적).
- 출처: 이용자, 이용자의 기기, 수탁자.
- 업무 목적: 제2조와 동일.
- 판매·공유: 회사는 CPRA상 개인정보의 판매 또는 '공유'를 하지 않습니다.
- 권리: 알 권리·삭제·정정·이전·민감 PI 사용 제한·판매/공유 거부·차별 금지. privacy@thetaone.co 또는 콘솔로 요청.
- 대리인: 대리인을 지정할 수 있으며, 회사는 대리권 및 본인 요청을 검증합니다.
11. 한국 이용자 (PIPA)
11.1 수집 항목·목적·보유
| 항목 | 목적 | 보유 |
|---|---|---|
| 이메일, 비밀번호(해시), 사용자명 | 회원 가입·인증 | 계정 유지 + 3년 |
| 계정 유형·소속·전화번호 | 서비스 제공·지원 | 계정 유지 + 3년 |
| 결제수단(토큰화) | 요금 청구 | 카드 제거 또는 5년 중 장기(세법) |
| API 이용 로그·IP | 서비스 운영·남용 방지 | 12개월 |
| 동의 기록 | 법적 동의 증빙 | 계정 유지 + 5년 |
| 마케팅 수신 동의(선택) | 마케팅 이메일·제품 업데이트 | 철회 시까지 |
11.2 국외이전
제5조 표와 같습니다. 국외이전 동의는 회원가입 시 별도 동의 항목으로 확인하며, 거부 시 서비스 이용이 제한됩니다.
11.3 아동
본 서비스는 만 19세 이상만 이용할 수 있습니다. 만 14세 미만 아동으로부터 회사가 직접 개인정보를 수집하지 않습니다. 미성년자 가입이 확인되면 privacy@thetaone.co 연락 시 즉시 삭제합니다.
11.4 정보주체의 권리
이용자는 PIPA 제35조~제37조에 따라 열람·정정·삭제·처리정지·이전을 요구할 수 있습니다. 개인정보보호위원회(privacy.go.kr) 또는 **한국인터넷진흥원(KISA) 개인정보침해신고센터(국번없이 118)**에 분쟁조정·민원을 제기할 수 있습니다.
11.5 개인정보 보호책임자(CPO)
- 성명: 지정 예정
- 이메일: privacy@thetaone.co
- 전화: 지정 예정
12. 아동
회사는 만 19세 미만 이용자로부터 직접 개인정보를 수집하지 않습니다. 고객사가 서비스를 이용해 미성년자의 음성을 처리하는 경우, 해당 데이터의 Controller는 고객사이며 PIPA·COPPA·GDPR 제8조 등 관계 법령상 동의(특히 법정대리인 동의)를 확보해야 합니다.
13. Do Not Track
업계 표준 부재로 DNT 신호에는 응답하지 않으나, 캘리포니아 거주자의 판매/공유 거부에 대해서는 Global Privacy Control(GPC) 신호를 존중합니다.
14. 방침의 변경
중대한 변경은 시행일 30일 전(법령이 더 긴 기간을 요구하면 그 기간) 계정 관리자 이메일로 고지하며, 필요한 경우 재동의를 요청합니다. 경미한 변경은 본 페이지에 시행일을 갱신하여 게시합니다.
15. 연락처
Theta One AI 개인정보 관련: privacy@thetaone.co 고객 지원: support@thetaone.co
주소: 추후 기재.