개인정보 처리방침
최종 업데이트: 2026년 6월 9일
YUKI SATO(개인사업자, 이하 「운영자」)는 건강 관리 애플리케이션 「Wellsy」(이하 「서비스」)를 운영합니다. 본 개인정보 처리방침은 운영자가 개인정보를 수집·이용·보호하는 방법을 설명합니다. 본 방침은 일본 개인정보 보호법, GDPR, CCPA/CPRA 및 한국 개인정보 보호법을 준수합니다. 서비스를 이용함으로써 본 방침에 동의하게 됩니다.
1. 개인정보 처리자
- 이름: YUKI SATO
- 서비스: Wellsy
- 연락처: wellsy.support@gmail.com
- GDPR 문의: wellsy.support@gmail.com (제목: GDPR)
- CCPA 문의: wellsy.support@gmail.com (제목: CCPA)
- 개인정보 보호법 문의: wellsy.support@gmail.com (제목: PIPA)
2. 수집하는 개인정보
직접 제공하는 정보
- 계정: 표시 이름, 이메일 주소
- 프로필 사진 (Firebase Storage 저장: users/{uid}/profile/avatar.webp)
- 건강 프로필: 키, 나이, 성별, 활동 수준 (선택)
- 체중 및 체지방률, 단위
- 식사 기록: 음식명, 유형, 재료, 칼로리, 영양소(단백질/지방/탄수화물), 메모
- AI 분석용 음식 사진 (users/{uid}/meals/{mealId}/image.webp)
- 수면 기록: 취침 시간, 기상 시간, 수면 시간
- 그룹 게시물: 음식 사진, 칼로리, 영양소, 캡션 (24시간 후 자동 삭제)
- 그룹 게시물 댓글 (최대 100자)
- 반응: 유형(5가지) 및 선택적 셀피 사진
- 신고 및 차단: 신고된 콘텐츠 ID, 차단된 사용자 ID
자동으로 수집되는 정보
- Firebase UID (Firebase Authentication의 고유 식별자)
- FCM 토큰 (푸시 알림용 기기 토큰)
- 언어 및 시간대 설정
- AI 분석 사용 횟수 (Cloud Firestore: users/{uid}/usage_limits)
- 생성/업데이트 타임스탬프
- 연속 기록(스트리크) 데이터
- 구독 상태 (결제 도입 시)
제3자 로그인을 통한 정보
- Apple Sign In: 이메일 주소(공개한 경우) 및 사용자 식별자
- Google Sign In: 이메일, 표시 이름, 프로필 사진 URL
현재 수집하지 않는 정보
- 결제/신용카드 정보 (결제 기능 미구현)
- 위치 정보
- 상세 충돌 보고서 또는 사용 분석 (현재 비활성화)
3. 처리 목적 및 법적 근거 (GDPR)
| 목적 | 법적 근거 (GDPR 제6조) |
|---|---|
| 계정 생성, 인증 | 계약 이행 (b) |
| 식사, 체중, 수면 기록 및 표시 | 계약 이행 (b) |
| OpenAI API를 통한 AI 음식 분석 | 계약/동의 (b)/(a) |
| ML Kit를 통한 기기 내 OCR (영양 성분표) | 계약 이행 (b) |
| 그룹 기능: 게시물, 댓글, 반응, 신고, 차단 | 계약 이행 (b) |
| 푸시 및 로컬 알림 | 동의 (a) |
| 사기 탐지 및 보안 | 정당한 이익 (f) |
| 버그 수정 및 서비스 개선 | 정당한 이익 (f) |
| 고객 지원 | 계약/정당한 이익 (b)/(f) |
| 법적 의무 준수 | 법적 의무 (c) |
| 구독 관리 (향후) | 계약 이행 (b) |
4. OpenAI API 데이터 전송
- AI 음식 분석 기능 이용 시, 음식 사진 또는 텍스트가 Cloud Functions(asia-northeast1 지역)를 통해 OpenAI, Inc.(미국)로 전송됩니다.
- 음식 이미지 또는 텍스트만 전송되며, UID, 이름, 이메일은 OpenAI로 전송되지 않습니다.
- OpenAI는 API 데이터를 모델 학습에 사용하지 않습니다(2023년 3월부터의 정책).
- 이용 한도: 무료 플랜 하루 2회, 프리미엄 하루 10회(예정).
- OpenAI 개인정보처리방침: https://openai.com/privacy
5. ML Kit OCR
- 당사는 Google ML Kit OCR(기기 내 처리)을 사용하여 식품 포장 및 영양 성분표의 텍스트를 인식합니다.
- 모든 OCR 처리는 기기 내에서 이루어지며, Google 서버로 데이터를 전송하지 않습니다.
- 인식된 텍스트는 식사 기록 입력을 돕기 위해 Cloud Firestore에 저장됩니다.
6. Firebase Storage 및 데이터 저장 위치
당사는 Google Firebase(프로젝트 ID: wellsy-53ae4)를 사용합니다. Cloud Firestore, Firebase Storage 및 Cloud Functions는 asia-northeast1(도쿄) 지역에서 운영됩니다. Firebase Authentication은 Google의 글로벌 인프라를 사용합니다.
Cloud Firestore 컬렉션
- users/{uid}: 표시 이름, 프로필 사진 URL, 언어, 시간대, FCM 토큰
- users/{uid}/meal_logs: 음식명, 재료, 칼로리, 영양소, 사진 URL, AI 코멘트
- users/{uid}/weight_logs: 체중, 체지방, 단위
- users/{uid}/sleep_logs: 취침 시간, 기상 시간, 수면 시간
- users/{uid}/usage_limits: AI 분석 사용 횟수
- groups/{groupId}: 그룹명, 초대 코드, 회원 수
- groups/{groupId}/sharedMeals: 게시물(24시간 TTL), 댓글, 반응, 셀피 URL
Firebase Storage 경로
- users/{uid}/profile/avatar.webp
- users/{uid}/meals/{mealId}/image.webp
- groups/{groupId}/icon.webp
- groups/{groupId}/reactions/{mealId}/{uid_timestamp}.webp
Firebase 개인정보처리방침: https://firebase.google.com/support/privacy
7. 그룹 콘텐츠 공개 범위
- 표시 이름, 프로필 사진, 스트리크 수: 모든 그룹 구성원에게 공개
- 그룹 게시물(사진, 칼로리, 영양소, 캡션): 모든 구성원에게 공개 (24시간 후 자동 삭제)
- 댓글, 반응, 셀피 사진: 모든 구성원에게 공개
- 일일 상태(식사/체중/수면 기록 여부): 구성원에게 공개
- 세부 영양소 수치, 정확한 체중, 상세 수면 데이터는 공유되지 않습니다
8. 신고 및 차단
- 부적절한 콘텐츠를 신고할 수 있습니다. 신고된 콘텐츠 ID와 카테고리를 수집합니다.
- 다른 사용자를 차단할 수 있습니다. 차단 정보는 Cloud Firestore에 저장됩니다.
- 신고 데이터는 안전 및 콘텐츠 모더레이션 목적으로만 사용됩니다.
- 신고/차단 데이터는 법적 요구 시를 제외하고 제3자와 공유되지 않습니다.
9. 데이터 보유 기간
| 데이터 유형 | 보유 기간 |
|---|---|
| 계정 정보 (UID, 이메일, 이름) | 계정 활성 기간; 계정 삭제 시 신속하게 삭제 |
| 식사, 체중, 수면 기록 | 계정 활성 기간; 계정 삭제 시 신속하게 삭제 |
| 음식 및 프로필 사진 | 계정 활성 기간; 계정 삭제 시 신속하게 삭제 |
| 그룹 게시물, 댓글, 반응, 셀피 | 게시 후 24시간 내 자동 삭제 |
| FCM 토큰 | 계정 활성 기간; 로그아웃/삭제 시 삭제 |
| 신고 및 차단 데이터 | 조사 완료 또는 계정 삭제 후 삭제 |
| 향후 결제 기록 | 관련 법령에 따름 |
| 지원 메시지 | 해결 후 합리적인 기간 동안 보유 |
10. 계정 삭제 및 데이터 삭제
- 계정을 삭제하면 Cloud Functions(deleteUserData)가 실행되어 Firebase Authentication, Cloud Firestore, Firebase Storage에서 데이터를 삭제합니다.
- 삭제 항목: 인증 정보, 모든 기록, 프로필 및 음식 사진, 그룹 게시물/댓글/반응/셀피, FCM 토큰, 신고/차단 데이터.
- 법적으로 보관이 요구되는 데이터는 삭제되지 않습니다.
- 삭제는 복구할 수 없습니다.
11. 제3자 제공 및 데이터 판매
- 개인정보를 제3자에게 판매하지 않습니다.
- 맞춤형 광고 목적으로 데이터를 공유하지 않습니다.
- 서비스 운영을 위해 서비스 제공업체(Firebase, OpenAI, RevenueCat)에 한하여 데이터를 공유할 수 있습니다.
12. 보안
- 모든 통신에 TLS 1.2+ 암호화 적용
- Firebase 보안 규칙 (사용자는 자신의 데이터에만 접근 가능)
- Firebase Authentication의 비밀번호 해싱 처리
- API 키는 클라이언트에 노출되지 않으며 모든 민감한 호출은 Cloud Functions를 통해 처리
13. EU/EEA 이용자 권리 (GDPR)
EU/EEA 거주자는 GDPR에 따라 다음 권리를 보유합니다:
- 열람권 (제15조): 데이터 사본 요청
- 정정권 (제16조): 부정확한 데이터 수정
- 삭제권 (제17조): 삭제 요청('잊힐 권리')
- 처리 제한권 (제18조): 처리 제한 요청
- 이동권 (제20조): 기계 판독 가능한 형식으로 데이터 수령
- 이의제기권 (제21조): 정당한 이익에 근거한 처리에 이의 제기
- 동의 철회: 언제든지 철회 가능, 이전 처리에 영향 없음
감독 기관 이의 제기: https://edpb.europa.eu/about-edpb/about-edpb/members_en. 건강 데이터는 명시적 동의에 근거하여 GDPR 제9조의 특수 범주 데이터로 처리됩니다.
14. 캘리포니아 거주자 (CCPA/CPRA)
캘리포니아 거주자는 다음 권리를 보유합니다:
- 알 권리: 수집되는 데이터의 범주와 목적
- 삭제 요청권: 개인정보 삭제 요청
- 거부권: 당사는 맞춤형 광고를 위해 데이터를 판매하거나 공유하지 않습니다
- 정정권 (CPRA): 부정확한 개인정보 수정
- 비차별: 권리 행사 시 차별적 대우 없음
요청 주소: wellsy.support@gmail.com (제목: CCPA Rights Request)
15. 한국 거주자 (개인정보 보호법)
- 한국 거주자는 개인정보의 열람, 정정, 삭제 또는 처리 정지를 요청할 수 있습니다.
- 개인정보 보호 책임자: YUKI SATO (wellsy.support@gmail.com)
- 국외 이전: 개인정보 보호법 요건에 따라 일본(Firebase)과 미국(OpenAI)에서 데이터가 처리됩니다.
- 이의 제기: 개인정보보호위원회(www.pipc.go.kr) 또는 한국인터넷진흥원(privacy.kisa.or.kr)
16. 아동 개인정보 보호
- 서비스는 만 13세 미만(한국 만 14세 미만, EU 만 16세 미만)을 대상으로 하지 않습니다.
- 해당 연령 미만의 아동으로부터 데이터를 수집한 사실을 알게 된 경우 즉시 삭제합니다.
- 문의: wellsy.support@gmail.com
17. 방침 변경
- 법령 변경 또는 서비스 업데이트를 반영하기 위해 본 방침을 변경할 수 있습니다.
- 중요한 변경 사항은 앱 내 공지 또는 이메일을 통해 30일 전에 안내합니다.
- 변경 후 서비스를 계속 이용하면 변경된 방침에 동의한 것으로 간주합니다.
18. 문의
- 개인정보 보호 책임자: YUKI SATO
- 이메일: wellsy.support@gmail.com
- 지원 언어: 일본어, 영어
- 응답 시간: 합리적인 기간 내 (일반적으로 평일)