MORI 개인정보 처리방침 (초안 v0.1)
1. 서문
Connect AI Co., Ltd. (이하 "회사")는 MORI 서비스(이하 "서비스")를 운영하면서 정보주체의 개인정보를 보호하고 관련 법령(개인정보 보호법, 정보통신망법, GDPR 등)을 준수하기 위해 본 개인정보 처리방침을 수립·공개합니다.
- 시행일: [TBD-시행일자]
- 최종 개정일: 2026-05-07
2. 수집하는 개인정보 항목
2.1 회원가입 및 서비스 이용 시 직접 수집
| 분류 | 항목 |
|---|---|
| 필수 | 이메일, 이름 |
| 선택 | 회사명, 직책, 전화번호, 프로필 이미지 |
| 결제 | 결제 수단 식별자(카드 번호는 미보관), 청구 주소 |
| 인증 | OAuth provider 식별자(Google sub 등), 액세스/리프레시 토큰 |
카드 번호는 PCI-DSS 준수를 위해 PG사(KG Inicis)에 직접 입력·처리되며 회사는 카드 번호 자체를 저장하지 않습니다. 결제창은 PG사 페이지로 분리되어 회사 서버가 카드 번호를 수신하지 않습니다.
2.2 서비스 이용 중 자동 수집
- 접속 IP, 브라우저 종류, 운영체제, 접속 일시
- 쿠키 (세션 식별, CSRF 방어)
- 서비스 이용 기록 (메일 발송 이력, 로그인 기록 등)
2.3 사용자가 업로드한 바이어(잠재 고객) 데이터
회사는 사용자가 자신의 영업 활동을 위해 업로드한 바이어 개인정보(이메일, 이름, 회사명, 직책 등)를 사용자(위탁자)의 위탁을 받아 처리(수탁자) 합니다.
- 사용자는 업로드 시점에 해당 바이어 정보를 수집·이용할 법적 근거(동의, 정당한 이익 등) 를 본인이 확보하였음을 서비스 이용약관을 통해 확약합니다.
- 회사는 사용자의 지시 없이 바이어 정보를 다른 목적으로 이용하지 않습니다.
3. 개인정보의 수집·이용 목적
| 목적 | 처리 항목 |
|---|---|
| 회원 식별 및 인증 | 이메일, OAuth 토큰, 일회용 인증 코드(OTP). OTP는 검증 직후 폐기되며 회사는 사용자 비밀번호를 수집·저장하지 않습니다. |
| 서비스 제공 | 회사명, 직책, 이용 기록 |
| AI 기반 영업 콘텐츠 추천 및 분석 (메시지 초안 생성, 바이어 우선순위 분류, 답장 자동 감지, 명함 OCR, 브로슈어 분석 등) | 업로드 문서·명함 이미지·메시지·답장 일부 (Sub-processor 위탁) |
| 이메일 발송 (사용자 outreach) | 사용자가 연결한 메일 계정의 OAuth 토큰 또는 SMTP 자격 |
| 결제 및 청구 | 결제 식별자, 청구 주소 |
| 고객 지원 및 분쟁 처리 | 사용자 식별 정보(이메일, 이름 등), 이용 기록, 결제 기록. Google API 등을 통해 받은 사용자 데이터(메일 본문 등)는 본 목적의 직접 열람 대상에서 제외되며, §12 Limited Use 원칙에 따라 ① 사용자의 명시적 동의 ② 보안 조사 ③ 법령 준수 ④ 익명화된 내부 운영 의 경우에만 제한적으로 접근 |
| (선택 동의 시) 마케팅 정보 제공 | 이메일, 이름 |
4. 보유 및 이용 기간
- 원칙: 회원 탈퇴 시 지체 없이 파기.
- 법령에 따른 보관: 다음의 경우 해당 법령이 정한 기간 동안 보관 후 파기.
- 계약·청약철회 등에 관한 기록: 5년 (전자상거래법)
- 대금결제 및 재화 등의 공급에 관한 기록: 5년 (전자상거래법)
- 소비자의 불만 또는 분쟁처리에 관한 기록: 3년 (전자상거래법)
- 표시·광고에 관한 기록: 6개월 (전자상거래법)
- 로그인 기록: 3개월 (통신비밀보호법)
5. 개인정보의 제3자 제공
회사는 다음의 경우 외에는 정보주체의 동의 없이 개인정보를 제3자에게 제공하지 않습니다.
| 제공받는 자 | 목적 | 항목 | 보유기간 |
|---|---|---|---|
| KG Inicis (㈜케이지이니시스) | 결제 처리 | 결제 식별자, 청구 정보 | KG Inicis 정책 |
6. 개인정보의 처리 위탁 (Sub-processors)
회사는 서비스 제공을 위해 다음과 같이 일부 업무를 위탁하며, 위탁받는 업체와 GDPR Article 28에 따른 데이터 처리 계약(DPA) 또는 동등한 약정을 체결합니다 [TBD - 위탁 업체별 체결 상태].
| 수탁자 | 위탁 업무 | 처리 항목 | 위치 |
|---|---|---|---|
| Anthropic, PBC | AI(Claude) 기반 텍스트 분석 | 업로드 문서/메시지 일부 | 미국 |
| OpenAI, LLC | 임베딩 생성 | 업로드 문서/메시지 일부 | 미국 |
| Google LLC | Google Workspace (Meet 녹화·transcript), Gmail API (메일 발송·답장 추적) | 사용자 OAuth 토큰, 메일 본문 일부 | 미국 |
| KG Inicis (㈜케이지이니시스) | 결제 게이트웨이 | 결제 식별자, 결제 금액 | 한국 |
| Resend, Inc. | 시스템 트랜잭셔널 메일(가입 인증, 알림) 발송 | 이메일, 이름 | 미국 |
| Amazon Web Services, Inc. (SES) | 시스템 트랜잭셔널 메일 및 대용량 공지·digest 발송 | 이메일, 이름 | [TBD-SES 운영 region] |
회사는 트랜잭셔널 메일 발송을 위해 Resend, AWS SES 등 복수의 처리자를 활용할 수 있으며, 어떤 처리자를 사용하더라도 본 처리방침에 명시된 동일한 항목·목적·보호 조치를 적용합니다.
업로드 파일(브로슈어, 명함 이미지 등)은 회사가 운영하는 자체 인프라(국내 소재)에 저장됩니다. 저장 인프라 또는 처리자가 변경되는 경우 본 처리방침이 갱신됩니다.
7. 개인정보의 국외 이전
위 §6 수탁자 중 미국 소재 업체에 개인정보를 이전합니다.
| 이전받는 자 | 국가 | 이전 항목 | 이전 일시·방법 | 이용 목적 | 보유 기간 |
|---|---|---|---|---|---|
| Anthropic | 미국 | 업로드 문서/메시지 일부 | API 호출 시 실시간 | AI 분석 | 처리 후 즉시 폐기 |
| OpenAI | 미국 | 업로드 문서/메시지 일부 | API 호출 시 실시간 | 임베딩 | 처리 후 즉시 폐기 |
| 미국 | OAuth 토큰, 메일 본문 일부 | API 호출 시 실시간 | 메일 발송·답장 추적 | 사용자 권한 회수까지 | |
| Resend | 미국 | 이메일, 이름 | API 호출 시 실시간 | 트랜잭셔널 메일 발송 | 발송 후 30일 |
| AWS SES | [TBD-SES 운영 region] | 이메일, 이름 | API 호출 시 실시간 | 트랜잭셔널 및 공지·digest 메일 발송 | 발송 후 30일 |
GDPR 적용 대상자에 대해서는 Standard Contractual Clauses(SCC)를 적용합니다.
8. 정보주체의 권리 (Data Subject Rights)
정보주체는 다음의 권리를 행사할 수 있습니다.
- 열람: 본인의 개인정보 처리 현황 확인
- 정정·삭제: 잘못된 정보 정정, 처리 정지·파기 요청
- 처리정지: 처리 일부 또는 전부 정지 요청
- 이동권 (GDPR): 본인 데이터를 기계 판독 가능한 형식으로 받을 권리
- 감독기관 신고권 (GDPR): EU 회원국 감독당국에 진정 제기
권리 행사 방법:
- 이메일:
privacy@connectai.biz - 회원 마이페이지의 [계정 설정] → [개인정보 관리]
- 권리 행사 요청에 대해 회사는 30일 이내 처리 결과를 통지합니다.
9. 개인정보의 안전성 확보 조치
- 암호화:
- 전송 구간: HTTPS (TLS 1.2 이상)
- 저장: 일회용 OTP는 해시 후 짧은 TTL 경과 시 폐기되며 회사는 사용자 비밀번호를 수집·저장하지 않습니다. OAuth 토큰 및 SMTP 자격은 산업 표준 대칭키 암호화 알고리즘으로 보호하여 저장합니다.
- 접근 통제: 역할 기반 권한 관리(RBAC), 최소권한 원칙
- 로그 통제: 개인정보 접근 기록 보존, 분기별 검토
- 물리적 보안: 회사가 운영하는 자체 인프라(국내 소재) 및 일부 외부 사업자(AWS 등) 시설 사용. 데이터센터 출입 통제·CCTV·24시간 모니터링 등 물리적 보안 통제 적용
10. 쿠키의 사용
| 쿠키 분류 | 용도 | 보유 기간 |
|---|---|---|
| 인증 / 세션 | 로그인 상태 유지, OAuth 인증 흐름의 CSRF 방어 | 서비스 제공에 필요한 기간 내 |
| 사용자 설정 | UI 언어 등 사용자 선호 저장 | 최대 1년 |
브라우저 설정에서 쿠키를 거부할 수 있으나 일부 기능 사용이 제한될 수 있습니다.
11. 개인정보 보호책임자
| 항목 | 정보 |
|---|---|
| 이름 | [TBD-보호책임자 이름] |
| 직책 | [TBD-직책] |
| 연락처(이메일) | [TBD-책임자 이메일] |
| 부서 | [TBD-부서] |
12. Google API Services User Data Policy 준수 (Limited Use)
회사가 Google API를 통해 받은 사용자 데이터의 사용 및 다른 앱으로의 전송은 Google API Services User Data Policy(https://developers.google.com/terms/api-services-user-data-policy)를 준수하며, 이는 다음 Limited Use 요구사항을 포함합니다:
MORI's use and transfer to any other app of information received from Google APIs will adhere to the Google API Services User Data Policy, including the Limited Use requirements:
- We will not use Google user data to develop, improve, or train generalized AI and/or ML models.
- We will not transfer Google user data to third parties except as necessary to provide or improve user-facing features that are prominent in the application's user interface.
- We will not use or transfer Google user data for serving advertisements, including retargeting, personalized, or interest-based advertising.
- We will not allow humans to read Google user data unless we have obtained the user's affirmative agreement, are doing so for security purposes (such as investigating abuse), to comply with applicable law, or for the app's internal operations and only when the data has been aggregated and anonymized.
한국어 요약 (참고용. 영문 원문이 우선):
- 회사는 Google 사용자 데이터를 일반화된 AI/ML 모델의 개발·개선·학습에 사용하지 않습니다.
- 회사는 사용자 인터페이스에 명시적으로 노출되는 사용자 대상 기능을 제공·개선하기 위해 필요한 경우를 제외하고는 Google 사용자 데이터를 제3자에게 전송하지 않습니다.
- 회사는 광고(리타게팅, 개인화 광고, 관심사 기반 광고 등) 제공을 위해 Google 사용자 데이터를 사용·전송하지 않습니다.
- 회사는 (a) 사용자의 명시적 동의, (b) 보안 목적(예: 어뷰즈 조사), (c) 적용 법령 준수, (d) 데이터를 집계·익명화한 상태에서의 앱 내부 운영 외에는 사람이 Google 사용자 데이터를 직접 열람하도록 허용하지 않습니다.
13. Google API 사용 스코프 및 목적
회사가 사용자에게 요청하는 Google API 권한과 그 목적은 다음과 같습니다:
| 스코프 | 목적 | 데이터 사용 |
|---|---|---|
openid, email, profile | 회원 식별·인증 (/auth Google 로그인) | 이메일, 이름, 프로필 이미지를 사용자 계정 생성/로그인에 사용 |
https://www.googleapis.com/auth/gmail.send | 사용자가 작성·검토한 영업 이메일을 사용자의 Gmail 계정에서 바이어에게 발송 | AI가 생성한 초안을 포함한 모든 메시지는 사용자가 직접 검토·승인한 경우에만 발송됩니다. 회사는 사용자 승인 없이 자동으로 메시지를 발송하지 않습니다. |
https://www.googleapis.com/auth/gmail.readonly | 발송한 이메일에 대한 답장을 감지하여 'Hot Lead' 자동 분류 기능을 제공 | 회사 시스템은 발송한 메시지에 대한 답장 메타데이터·본문 일부만 처리. 다른 메일 본문은 처리하지 않음 |
스코프 권한은 사용자가 동의 화면에서 명시적으로 허용한 범위에서만 사용되며, 회사는 위 §12 Limited Use 원칙에 따라 처리합니다.
14. 권한 회수 및 데이터 삭제 방법
14.1 OAuth 권한 회수
사용자는 언제든지 다음 페이지에서 MORI에 부여한 OAuth 권한을 회수할 수 있습니다:
권한 회수 시 회사는 해당 토큰을 더 이상 API 호출에 사용하지 않으며, 다음 회사 시스템 동기화 시점에 토큰을 무효 상태로 표시합니다.
14.2 회사 보관 데이터 삭제 요청
서비스 내 보관된 모든 개인정보의 삭제는 다음 경로로 요청합니다:
- 이메일:
privacy@connectai.biz(제목: "데이터 삭제 요청") - 마이페이지: [계정 설정] → [회원 탈퇴]
요청 접수 후 30일 이내 처리하며, 법령에 따른 보관 의무가 있는 항목은 §4에 명시한 기간 동안 별도 보관 후 파기합니다.
15. 변경 이력 및 통지
본 처리방침의 중요 변경 사항은 시행 7일 전 회사 홈페이지(https://connectai.kr) 공지 및 가입 시 등록한 이메일을 통해 사전 통지합니다.
| 버전 | 일자 | 변경 사항 |
|---|---|---|
| v0.1 | 2026-05-07 | 초안 작성 |
부록 A. EU 대표 (GDPR Article 27)
GDPR 적용 시 EU 대표 지정 여부는 [TBD-법무 검토 결과]. 지정 시 다음 정보를 추가합니다:
| 항목 | 정보 |
|---|---|
| EU Representative | [TBD-Prighter / EDPO 등 서비스명] |
| 주소 | [TBD-EU 주소] |
| 이메일 | [TBD-GDPR 전용 연락처] |