개인정보처리방침

1. 개인정보의 수집·이용 목적

(주)윈에이아이(이하 “회사”)는 다음 목적을 위해 개인정보를 수집·이용합니다.[TODO: 법무 검토 — 목적 외 이용 금지 조항 문구]

• 회원 가입 및 본인 확인 (이메일·비밀번호 인증)
• 병원 마케팅용 콘텐츠(블로그, 보도자료, 영상, 이미지) 생성 서비스 제공
• 병원 홈페이지·블로그 SEO/AEO 진단 결과 제공
• 병원별 글쓰기 말투 학습 및 자동 적용
• 크레딧·결제·구독 관리
• 서비스 이용량·오류 모니터링 및 부정 이용 방지
• 고객 문의 응대 및 공지사항 전달 [TODO: 법무 검토 — 마케팅 활용 목적 분리 필요]

2. 수집하는 개인정보의 항목

아래는 코드 인벤토리(docs/PII_INVENTORY.md)에 기반한 현재 시점 수집 항목 목록입니다.[TODO: 법무 검토 — 필수/선택 구분 및 미동의 시 제한 안내]

2-1. 회원가입 시 (필수)

• 이메일
• 비밀번호 (Supabase가 해시로 저장. 평문 비저장)
• 병원명 (회원가입 시 ‘병원명’ 입력란이 사용자명 metadata로 저장됨)

2-2. 회원가입 시 (선택)

• 병원 홈페이지/블로그 URL
• 병원 주소
• 아바타 이미지 URL (소셜 가입 시)

2-3. 서비스 이용 중 자동 수집·생성

• 접속 IP의 해시값 (게스트 사용량 제한·중복 가입 방지 목적, SHA256)
• 사용 로그(생성한 콘텐츠 종류, 사용 토큰 수, 비용, 시각, action 타입)
• 크레딧 잔액·구독 플랜·만료일 정보
• 사용자가 입력·생성한 콘텐츠 본문(블로그/보도자료 제목·본문·키워드, 의사명·직함 등)
• 병원 사이트 진단 결과(URL, 점수, 분석 JSON)
• 업로드한 병원 이미지 메타데이터(파일명·크기·MIME·태그) 및 Storage 내 파일 자체
• 업로드한 영상 파일(처리용으로 영상 처리 서버에 전송) [TODO: 법무 검토 — 영상의 임시 보관 기간 명시 필요]
• 사용자가 자기 병원 네이버 블로그를 학습 대상으로 등록한 경우, 해당 블로그의 공개 게시글 텍스트
• 사용자가 작성한 블로그 본문의 임베딩 벡터 (유사도 검사 용도)
• 사용자가 남긴 내부 피드백(작성자명·본문)

2-4. 결제 시

결제 정보는 결제대행사(PG)를 통해 처리되며, 회사는 결제 결과(금액, 결제수단 종류, 거래 ID, 상태)만을 보관합니다. 카드번호 등 결제수단 자체의 정보는 회사가 직접 보관하지 않습니다.[TODO: 법무 검토 — 실제 PG 연동 사업자명·전송 항목 확정 필요. 현재 코드상 결제 흐름 미구현 상태로 확인됨]

2-5. 브라우저 LocalStorage

로그인 화면의 “로그인 정보 기억” 옵션을 선택한 경우, 이메일 주소가 사용자 기기의 브라우저 LocalStorage(winaid_remember_email)에 저장됩니다. 서버에는 별도 저장되지 않으며, 사용자가 브라우저 데이터를 삭제하면 함께 삭제됩니다.

3. 개인정보의 보유 및 이용기간

[TODO: 법무 검토 — 항목별 보유 기간 정의 — 회원 정보, 결제 기록(전자상거래법 5년), 사용 로그, 콘텐츠, 진단 이력, 이미지 등을 법무팀이 PIPA·전자상거래법·통신비밀보호법 기준으로 확정]

다만 다음 데이터는 코드상 자동 삭제·로테이션 정책이 확인되었습니다:

• 병원 학습용 크롤링 게시글: 출처 블로그별 최신 10건 초과 시 가장 오래된 항목부터 자동 삭제

그 외 항목은 현재 보존 기간 자동 만료 정책이 코드상 정의되어 있지 않습니다.[TODO: 법무 검토 — 법무 확정 후 정책 추가 PR 별도 진행 예정]

4. 개인정보의 제3자 제공

회사는 정보주체의 별도 동의 또는 법령에 근거가 있는 경우 외에는 개인정보를 제3자에게 제공하지 않습니다.[TODO: 법무 검토 — 현재 제3자 제공 사례 없음을 단언할지 / 개별 동의 시 절차 명시 여부]

5. 개인정보 처리위탁

서비스 제공을 위해 다음과 같이 개인정보 처리를 외부에 위탁하고 있습니다.[TODO: 법무 검토 — 국외 이전 동의 절차 (Google·Anthropic·OpenAI는 미국 소재)]

[TODO: 법무 검토 — 각 수탁자의 보유·파기 기준, 국외 이전 시 이전국가/일시/방법/근거 명시]

6. 정보주체의 권리·의무 및 그 행사방법

정보주체는 언제든지 자신의 개인정보에 대한 열람·정정·삭제·처리정지를 요구할 수 있습니다.[TODO: 법무 검토 — PIPA 제35~37조에 따른 권리 행사 절차·접수 방법·처리 기한 명시]

• 마이페이지에서 본인 프로필 정보(이름·병원명·홈페이지 URL·주소) 열람·수정 가능
• 회원탈퇴(처리정지·삭제) 절차는 별도 PR(CMP-001b)에서 구현 예정. 현재는 아래 “개인정보 보호책임자”에게 이메일로 문의해 주십시오.
• [TODO: 법무 검토 — 대리인을 통한 권리 행사 절차]

7. 개인정보의 안전성 확보조치

회사는 다음과 같은 기술적·관리적 조치를 시행하고 있습니다.[TODO: 법무 검토 — PIPA 시행령 제30조 기준에 맞춘 항목별 상세화]

• 비밀번호 단방향 해시 보관(Supabase Auth)
• 데이터베이스 Row Level Security(RLS) 정책 적용
• 전송 구간 TLS 암호화
• 접속 IP는 SHA256 해시 처리 후 보관
• [TODO: 법무 검토 — 접속기록 보관·점검 주기, 침해사고 대응 절차, 내부 관리계획 등 추가]

8. 개인정보 보호책임자

[TODO: 법무 검토 — PIPA 제31조에 따른 보호책임자 지정 — 성명·직책·연락처. 아래는 회사 대표 연락처 임시 표기]

9. 개인정보처리방침의 변경

본 처리방침은 법령·정책 또는 보안기술의 변경에 따라 내용이 추가·삭제 및 수정될 수 있으며, 변경 시 시행일 7일 전부터 본 페이지를 통해 공지합니다.[TODO: 법무 검토 — 중요한 변경 시 별도 동의 재취득 절차 명시 여부]

변경 이력

• 2026-05-06 — 최초 작성 (골격 단계, 법무 검토 진행 중)

10. 정보주체의 권익침해에 대한 구제방법

개인정보 침해로 인한 신고나 상담이 필요하신 경우 아래 기관에 문의하실 수 있습니다.[TODO: 법무 검토 — 각 기관 안내 문구 정확 표기 — 개인정보분쟁조정위원회, KISA 개인정보침해 신고센터, 대검찰청, 경찰청 등]

• [TODO: 법무 검토 — 개인정보분쟁조정위원회 — 1833-6972 / kopico.go.kr]
• [TODO: 법무 검토 — 한국인터넷진흥원(KISA) 개인정보침해 신고센터 — 118 / privacy.kisa.or.kr]
• [TODO: 법무 검토 — 대검찰청 사이버수사과 / 경찰청 사이버수사국]