개인정보 처리방침
1. 개인정보처리자 및 적용 범위
본 개인정보 처리방침은 미국 델라웨어 주에서 설립된 유한책임회사 Codia Tech, LLC(등록 주소: 1111B S Governors Ave STE 21043, Dover, DE 19904, United States, 이하 "Codia", "당사")가 codia.ai, Codia Studio, NoteSlide, 당사의 Figma 플러그인, API 및 당사가 제공하는 기타 모든 제품 또는 서비스(총칭 "서비스")를 귀하가 이용할 때 개인정보를 수집·이용·제공·보호하는 방법을 설명합니다.
EU/UK 일반 개인정보 보호법(이하 "GDPR"), 브라질 일반 개인정보 보호법(Lei Geral de Proteção de Dados, 이하 "LGPD"), 대한민국 개인정보 보호법(이하 "PIPA"), 일본 개인정보 보호법(이하 "APPI"), 미국 캘리포니아 소비자 프라이버시법 / 프라이버시 권리법(이하 "CCPA/CPRA") 및 유사 법령의 목적상, Codia는 본 방침에 따라 처리되는 개인정보의 개인정보처리자(Controller) 입니다.
본 방침은 쉬운 용어로 작성되었으며, AI 학습, 데이터 보유, 저장 위치, 제3자 제공에 대해 구체적인 약속을 명시하여 귀하의 데이터가 실제로 어떻게 처리되는지 명확히 알 수 있도록 하였습니다.
2. 수집하는 정보
귀하가 제공하는 정보
- 계정 정보 — 이름, 이메일, 비밀번호(해시 저장), 프로필 사진, 언어 설정.
- 결제 정보 — 청구 이름, 주소, VAT/세금 ID, 카드 브랜드 및 마지막 4자리, 거래 내역. 전체 신용카드 번호는 PCI-DSS 준수 결제 서비스 제공자(Stripe 등)가 처리하며 Codia에 저장되지 않습니다.
- 사용자 콘텐츠 — 귀하가 제출하는 파일, 이미지, PDF, PSD/AI 파일, Office 문서, Notion 내보내기, URL, 텍스트 프롬프트, 참조 이미지 및 기타 자료.
- 통신 기록 — 지원, 영업, DMCA, DSA, 개인정보 보호, 보안 채널로 보내시는 메시지.
자동으로 수집되는 정보
- 사용 데이터 — 조회 페이지, 사용 기능, 클릭, 작업, 타임스탬프, 세션 시간, 레퍼러.
- 기기 및 네트워크 데이터 — 브라우저 유형, 운영 체제, 기기 유형, 화면 해상도, 언어, IP 주소, IP에서 도출된 대략적 위치 정보, 크래시 로그.
- 쿠키 및 유사 기술 — 제10조 참조.
제3자로부터 수집하는 정보
- OAuth 제공자 — Google 또는 GitHub으로 로그인하는 경우 귀하의 승인에 따라 이름, 이메일, 프로필 사진을 수신합니다.
- SSO / OIDC 제공자 — 싱글사인온을 이용하는 기업 고객용.
- Figma 플러그인 환경 — 플러그인 매니페스트에 기재된 제한적 플러그인 권한 데이터.
3. 처리의 법적 근거(EEA / 영국 / 스위스 / 브라질)
| 목적 | GDPR 근거 | LGPD 근거 |
|---|---|---|
| 서비스 제공 및 사용자 콘텐츠 처리 | 계약 이행(제6(1)(b)조) | 계약 이행(제7조 V) |
| 청구, 사기 방지, 보안 | 법적 의무 + 정당한 이익(제6(1)(c), (f)조) | 법적 의무 + 정당한 이익(제7조 II, IX) |
| 제품 개선 및 분석 | 정당한 이익(제6(1)(f)조) — 집계 또는 가명 데이터 사용 | 정당한 이익(제7조 IX) |
| 마케팅 통신 | 동의(제6(1)(a)조) | 동의(제7조 I) |
| 비필수 쿠키 | 동의(ePrivacy 지침 + GDPR) | 동의 |
| 법령 준수, 법적 청구 방어 | 법적 의무 / 법적 청구의 확립(제6(1)(c), 9(2)(f)조) | 법적 의무(제7조 II) |
귀하가 명시적으로 활성화한 제3자 통합(예: Notion, Canva, Figma)으로의 임시 이전에 대해서는 GDPR 제49(1)(b)조(계약상 필요)에 따릅니다.
4. 정보 이용 방법
당사는 개인정보를 다음 목적으로 사용합니다: (a) 서비스 제공·유지·보호; (b) 거래 처리, 구독 관리, 사기 방지, 세법 준수; (c) 사용자 인증 및 남용 탐지; (d) 귀하의 프롬프트에 따른 AI 출력 생성; (e) 거래 이메일(인증, 비밀번호 재설정, 청구, 사고 알림) 발송; (f) 귀하가 동의한 경우 또는 적용 법령이 옵트아웃을 전제로 정당한 이익 근거를 허용하는 경우의 마케팅; (g) 집계 기반 사용 추세 분석; (h) 법령 준수 및 이용 약관 집행.
당사는 개인정보를 판매하지 않으며, CCPA/CPRA가 정의하는 크로스컨텍스트 행태 광고 목적으로 개인정보를 "공유"하지 않습니다. 캘리포니아 거주자에 대해 Global Privacy Control(GPC) 신호를 존중합니다.
5. AI 학습 및 모델 개선
당사는 귀하의 사용자 콘텐츠, 프롬프트, 업로드 파일, AI 생성 출력물을 당사 자체 모델을 포함한 어떠한 AI 모델, 그리고 제3자 기반 모델 제공자의 모델의 학습·파인튜닝·개선에도 사용하지 않습니다.
- 입력은 암호화되어 전송되며, 귀하가 요청한 출력 생성 목적으로만 처리되고 어떠한 학습 코퍼스에도 추가되지 않습니다.
- 당사의 AI 수탁처리자는 API 입출력에 대해 계약상 비학습 약정(예: OpenAI API 기본 정책, Google Gemini API 상업 조건)에 따라 운영됩니다. 귀하가 명시적으로 동의하지 않는 한 해당 원칙이 유지됩니다.
- 시스템 성능 측정 및 개선을 위해 집계·완전 비식별화된 지표(예: 일일 생성 건수, 지연 시간)를 사용할 수 있습니다. 이러한 지표에는 귀하의 사용자 콘텐츠나 개인정보가 포함되지 않습니다.
- 당사 서비스는 의미 있는 인간 검토 없이 법적 또는 이에 준하는 중대한 영향을 미치는 자동화된 의사결정을 수행하지 않습니다(GDPR 제22조, LGPD 제20조).
6. 정보 제공
당사는 제3자 자신의 상업·마케팅·광고 또는 AI 학습 목적을 위해 귀하의 개인 데이터 또는 사용자 콘텐츠를 판매·대여·교환·제공하지 않습니다.
서비스 운영을 위해 당사를 대리하여 엄격히 행동하는 제한된 수의 수탁처리자(Sub-processors)에 의존하며, 이들은 GDPR 제28조 조항, 해당되는 경우 2021 EU 표준계약조항(SCCs), UK International Data Transfer Addendum, 브라질 맞춤형 SCCs, PIPA 제28조 준수 국외 이전 조항을 포함한 서면 데이터 처리 계약을 준수합니다.
현재 주요 수탁처리자(전체 최신 목록은 /docs/subprocessors에서 유지):
| 수탁처리자 | 목적 | 처리 위치 |
|---|---|---|
| Amazon Web Services, Inc. | 클라우드 인프라, 객체 스토리지(S3), 데이터베이스 | 미국(us-west-1) |
| Stripe, Inc. | 결제 처리 | 미국 / EEA |
| OpenAI, LLC | 기반 모델(LLM, 이미지) | 미국 |
| Google LLC(Gemini / Imagen) | 기반 모델(LLM, 이미지) | 미국 |
| Anthropic, PBC | 기반 모델(LLM) | 미국 |
| Black Forest Labs GmbH | 이미지 기반 모델(FLUX) | 독일 / 미국 |
| Recraft AI | 이미지 기반 모델 | 미국 |
| Ideogram, Inc. | 이미지 기반 모델 | 미국 |
| ByteDance(SeeDream) | 이미지 기반 모델 | 싱가포르(지역 엔드포인트를 통해 라우팅; 비중국 사용자에 대해 중국 처리 없음) |
| Amazon SES(Amazon Web Services, Inc.) | 거래 이메일 발송 | 미국 |
본 목록에 대한 중요한 변경 사항은 최소 30일 전 에 통지합니다. 합리적인 개인정보 보호 사유로 신규 수탁처리자에 이의를 제기하시는 경우, 유료 구독을 해지하고 이용하지 않은 기간에 대해 일할 환불을 받으실 수 있습니다.
다음과 같은 제한적 상황에서도 정보를 공개할 수 있습니다: (a) 법률, 규정, 유효한 법적 절차 또는 정부 요청에 따라 필요한 경우(과도하게 광범위한 요청에는 이의를 제기하며, 법적으로 허용되는 경우 영향을 받는 사용자에게 통지); (b) Codia, 사용자 또는 공중의 권리·재산·안전을 보호하기 위하여; (c) 사전 통지와 함께 합병·인수·자산 매각과 관련하여; (d) 귀하의 동의가 있는 경우.
7. 데이터 보유
| 유형 | 보유 기간 |
|---|---|
| 처리 데이터 — 업로드 파일, 프롬프트, 생성 출력물 | 처리 완료 후 7일 이내 자동 삭제 |
| 계정 및 프로필 데이터 | 계정 존속 기간 + 삭제 후 30일의 유예 기간, 이후 삭제 또는 익명화 |
| 귀하가 명시적으로 계정에 저장한 프로젝트 / 사용자 콘텐츠 | 계정 존속 기간; 계정 해지 후 30일 이내 삭제 |
| 청구 기록(세금계산서, 세무) | 적용 세법이 요구하는 기간(통상 7〜10년) |
| 보안 및 남용 방지 로그 | 최대 90일, 진행 중인 사고 조사가 필요한 경우 그 이상 |
| 백업 | 90일 이내 롤오프 |
| 집계 / 익명화 분석 | 개인정보에 해당하지 않으므로 무기한 보유될 수 있음 |
제9조에 따라 언제든지 조기 삭제를 요청하실 수 있습니다.
8. 데이터 저장 위치 및 국외 이전
개인정보는 미국 내(us-west-1) Amazon Web Services(AWS) 인프라 및 당사 수탁처리자가 운영하는 기타 국가에 저장·처리됩니다. 해당 국가는 귀하의 본국과 동일한 수준의 보호를 제공하지 않을 수 있습니다.
다음 이전 수단을 사용합니다:
| 출발지 | 도착지 | 수단 |
|---|---|---|
| EEA | 미국 | 2021 EU 표준계약조항(Module 2 Controller→Processor)과 문서화된 보완 조치 — 전송 및 저장 시 암호화, VPC 격리, Schrems-II 이전 영향 평가. EU–US 데이터 프라이버시 프레임워크 자체 인증 평가 중. |
| 영국 | 미국 | 국제 데이터 이전 계약(IDTA) 또는 2021 SCCs + UK Addendum(ICO 발행 B.1.0). UK Extension to DPF 평가 중. |
| 스위스 | 미국 | 스위스 FDPIC 인정 SCCs 및 보완 조치. Swiss–US DPF 평가 중. |
| 대한민국 | 미국/기타 | 가입 시 PIPA 제28조에 따른 명시적 동의 취득 및 PIPA 기준을 충족하는 수령자와의 서면 합의 |
| 브라질 | 미국/기타 | LGPD 제33조 — 특정 계약 조항(브라질 적응형 SCCs), 필요한 경우 귀하의 명시적 동의 |
| 일본 | 미국/기타 | 수령자가 "충분성" 결정 국가가 아닐 경우 APPI 제28조 공개 및 동의 |
| 싱가포르 | 미국/기타 | PDPA 이전 제한 의무 — 계약을 통한 동등 보호 |
| 중국 홍콩 특별행정구/중국 대만/기타 | 미국/기타 | 표준 계약 안전장치; 정보주체 권리 보장 |
관련 SCCs 또는 IDTA 사본은 [email protected]로 요청하실 수 있습니다.
대한민국 이용자 국외 이전 고지(PIPA 제28조의8)
PIPA에 따라 대한민국 이용자에게 다음 사항을 고지합니다:
- 이전되는 개인정보 항목: 계정 정보, 사용자 콘텐츠, 사용 및 로그 데이터
- 이전받는 자: Codia Tech, LLC(미국) 및 본 방침 제6조의 수탁처리자
- 이전되는 국가: 미국(및 제6조 표에 기재된 관련 국가)
- 이전 일시 및 방법: 서비스 이용 시점에 암호화된 네트워크를 통해 실시간 이전
- 이전받는 자의 이용 목적 및 보유 기간: 본 방침 제4조 및 제7조에 기재된 대로
- 거부 권리: 이용자는 국외 이전을 거부할 권리가 있으며, 거부 시 서비스 이용이 제한될 수 있습니다.
9. 귀하의 권리
거주 지역과 관계없이 귀하는 다음 권리를 가집니다:
- 당사가 보유한 귀하의 개인정보에 대한 접근
- 부정확하거나 불완전한 데이터의 수정
- 개인정보의 삭제("잊힐 권리")
- 처리의 제한 또는 이의 제기
- 데이터 이동성 — 구조화되고 일반적으로 사용되며 기계가 읽을 수 있는 형식으로 데이터를 받을 권리
- 언제든 동의 철회 — 철회 이전의 처리 적법성에는 영향을 미치지 않음
- 인간 검토 없이 이루어지는 중대한 자동화된 의사결정의 적용 대상이 되지 않을 권리(제5조 참조)
- 감독 기관에 진정 제기
9.1 권리 행사 방법
[email protected]로 이메일을 보내주시거나 계정 설정의 개인정보 요청 링크를 이용해 주세요. 신원 확인(사칭자에게 데이터를 공개하지 않기 위함) 후 다음 기한 내에 답변드립니다:
| 지역 | 응답 기한 |
|---|---|
| EEA / 영국 / 스위스(GDPR) | 30일(복잡한 요청은 60일 연장 가능) |
| 캘리포니아(CCPA / CPRA) | 45일(45일 연장 가능) |
| 브라질(LGPD) | 15일 |
| 대한민국(PIPA) | 10일 |
| 일본(APPI) | 합리적 기한, 통상 30일 이내 |
| 기타 관할 | 30일 |
당사는 권리 행사를 이유로 귀하를 차별 대우하지 않습니다.
9.2 대리인 및 감독 기관
- 최고 개인정보 보호책임자(모든 지역 포함; 대한민국 PIPA 제31조 개인정보 보호책임자 / 브라질 LGPD 제41조 Encarregado / 일본 APPI 연락 담당 겸임): Chief Privacy Officer, Codia Tech, LLC —
[email protected] - EU 대리인(GDPR 제27조): 지정 절차 진행 중. 현재는 EU 관련 요청을
[email protected]로 보내주세요. - 영국 대리인(UK GDPR 제27조): 지정 절차 진행 중. 현재는 영국 관련 요청을
[email protected]로 보내주세요. - 영국 감독 기관: Information Commissioner's Office — ico.org.uk
- 브라질: Autoridade Nacional de Proteção de Dados(ANPD) — gov.br/anpd
- 대한민국: 개인정보보호위원회 — pipc.go.kr
- 일본: 個人情報保護委員会 — ppc.go.jp
- 중국 대만: 國家發展委員會個人資料保護委員會
- 중국 홍콩 특별행정구: Office of the Privacy Commissioner for Personal Data — pcpd.org.hk
- 싱가포르: Personal Data Protection Commission — pdpc.gov.sg
9.3 지역별 참고 사항
- 유럽 경제 지역 / 영국(GDPR): 정당한 이익에 기반한 처리에 대해 언제든 이의를 제기할 수 있습니다. 현지 감독 기관에 진정을 제기할 수 있습니다.
- 캘리포니아(CCPA / CPRA): 당사는 개인정보를 "판매" 또는 "공유"하지 않습니다. 본인 확인을 조건으로 권한 있는 대리인을 지정할 수 있으며, 민감한 개인정보의 사용을 제한할 수 있습니다.
- 기타 미국 주 거주자(네바다, 콜로라도, 버지니아, 코네티컷, 유타, 텍사스, 오리건, 몬태나, 아이오와, 테네시 등): 적용되는 주 프라이버시 법령에 따라 유사한 권리를 가지며 동일한 채널을 이용합니다.
- 브라질(LGPD): LGPD 제18조의 9가지 권리(처리 확인, 이동권, 공유 대상 정보 포함)를 가집니다.
- 대한민국(PIPA): 국외 이전은 가입 시 수령한 귀하의 명시적 동의에 따라 이루어집니다.
- 일본(APPI): 국외 이전에 대해 요청 시 미국 개인정보 보호 관행 정보를 제공합니다.
- 싱가포르(PDPA), 중국 홍콩(PDPO), 중국 대만(個人資料保護法): 접근 및 수정 요청은 [email protected]로 보내실 수 있습니다.
10. 쿠키
| 유형 | 목적 | 예시 |
|---|---|---|
| 필수 | 인증 및 핵심 보안; 비활성화 불가 | Codia.AuthKey, Codia.UserId, CSRF 토큰 |
| 환경 설정 | 언어, 테마, UI 상태 기억 | locale, theme |
| 분석 | 집계 사용 지표(EEA/영국/브라질/스위스에서는 동의 후에만) | 1st-party 제품 텔레메트리 |
| 마케팅 | 캠페인 효과 측정(동의 후에만) | 전환 추적 |
EEA, 영국, 스위스, 브라질 이용자는 최초 방문 시 동의 배너를 보게 됩니다. 푸터의 쿠키 환경 설정 컨트롤에서 언제든지 선택을 변경할 수 있습니다. 필수 쿠키는 항상 활성 상태입니다.
11. 보안
위험에 상응하는 기술적·관리적 조치로 TLS 1.2 이상 전송, 저장 아티팩트의 AES-256, AWS VPC 네트워크 격리, 역할 기반 접근 통제, 최소 권한 프로비저닝, 시크릿 로테이션, 보안 로그, 취약점 관리, 연간 침투 테스트, 지속 모니터링을 적용합니다. 취약점 신고는 [email protected]로 연락해 주세요.
귀하의 정보에 영향을 미치는 개인정보 유출 사고가 발생한 경우, 법적으로 요구되는 경우(GDPR 제33조, LGPD 제48조 및 유사 법령) 72시간 이내에 관련 감독 기관에 통지하고 영향을 받는 이용자에게 지체 없이 통지합니다. PIPA에서 요구되는 경우 관련 절차에 따라 한국인터넷진흥원(KISA) 및 이용자에게 통지합니다.
어떠한 시스템도 100% 안전하지 않으며, 절대적인 보안을 보장할 수는 없습니다.
12. 아동
본 서비스는 해당 국가의 디지털 동의 최소 연령 미만 아동을 대상으로 하지 않습니다:
- 만 13세 미만(미국 — COPPA)
- 만 14세 미만(대한민국 — PIPA; 브라질은 12세 미만 보호자 동의, 18세부터 독립 동의)
- 만 16세 미만(대부분의 EEA 국가 — GDPR; 영국은 만 13세; 일본은 2022년부터 18세를 성년으로 인정)
현지 법령상 보호자 동의가 요구되는 경우, 계정 생성 전에 해당 동의를 받습니다. 필요한 동의 없이 아동으로부터 정보를 수집한 사실이 확인되면 즉시 삭제합니다.
13. 제3자 링크 및 연동
본 서비스는 제3자 제품(Figma, Notion, Canva, 결제사, 분석 도구 등)과 링크되거나 연동될 수 있습니다. 이들의 개인정보 처리 관행은 각사의 정책에 따라 규율되므로 확인을 권장합니다.
14. 본 방침의 변경
당사는 본 방침을 수시로 업데이트할 수 있습니다. 중요한 변경 사항은 최소 30일 전에 이메일 및/또는 제품 내 배너로 통지하고 "최종 업데이트" 날짜를 변경합니다.
15. 문의
- 개인정보처리자: Codia Tech, LLC
- 등록 주소: 1111B S Governors Ave STE 21043, Dover, DE 19904, United States
- 개인정보 보호팀: [email protected]
- 최고 개인정보 보호책임자(LGPD Encarregado, 대한민국 CPO 개인정보 보호책임자, 일본 APPI 연락 담당 겸임): [email protected]
- EU GDPR 제27조 대리인: 지정 절차 진행 중 — [email protected]로 연락
- 영국 GDPR 제27조 대리인: 지정 절차 진행 중 — [email protected]로 연락
- 보안 문제: [email protected]
- B2B / DPA 요청: [email protected]