개인정보처리방침

[PLACEHOLDER] (주)ClassAuto (이하 "회사") 는 「개인정보 보호법」, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 (이하 "정보통신망법"), GDPR 의 핵심 요구사항을 준수하여 회원의 개인정보를 처리합니다.

본 처리방침은 회사가 운영하는 ClassAuto 서비스 (https://classauto.live 및 하위 도메인) 와 그에 연결되는 모든 페이지·API 에 적용됩니다. 다른 외부 서비스 (HeyGen, ElevenLabs, Anthropic, OpenAI, Google Cloud, AWS, Stripe 등) 의 개인정보 처리에 대해서는 각 서비스의 개인정보처리방침이 별도로 적용됩니다.

회사는 서비스 제공 및 회원 관리를 위해 다음 항목을 수집합니다. 교수자 / 학습자 / 방문자 별로 구분하여 정리합니다.

서비스 이용 과정에서 자동으로 수집되는 정보로는 영상 시청 시간·진행률, Q&A 질문 내용·답변·RAG 유사도 점수, 평가 응답·정답률·응답 시각, 출석·집중도 하트비트, 접속 로그 (IP, 브라우저, 시간), 비용·토큰 사용량 등이 있습니다.

• 회원가입·정보 수정 시 회원의 직접 입력
• Google OAuth 2.0 등 외부 인증 사업자를 통한 식별자 수신 (이용자 동의 후)
• 서비스 이용 과정의 자동 수집 (영상 시청, Q&A, 평가, 집중도 하트비트, 접속 로그)
• 고객 문의 또는 피드백 제출 시 첨부된 정보
• 데모 페이지 (/demo) 의 익명 세션 입력 (별도 동의 절차 후 수집, §10 참조)

회사는 수집한 개인정보를 다음 목적 범위 내에서만 처리하며, 목적이 달성되거나 회원이 동의를 철회한 경우 즉시 처리를 중단합니다.

1. 회원 식별·인증·계정 관리
2. 강의 영상 자동 생성, 학습 세션 운영, 평가, RAG Q&A 등 서비스 핵심 기능 제공
3. 출석·정답률·참여도 등 학습 분석 및 교수자 대시보드 제공
4. 구독 결제 처리 및 환불·세금계산서 발행 등 청구 관련 업무
5. 고객 지원 (문의 응답, 장애 대응, 보안 사고 알림)
6. 서비스 안정성 확보 및 부정 사용 (봇·매크로·과다 호출) 탐지·차단
7. 법령에 따른 보존 의무 이행 및 분쟁 대응

회사는 회원의 개인정보를 광고·마케팅 자료 또는 외부 인공지능 모델의 학습 데이터로 사용하지 않습니다.

회사는 개인정보 보유 기간이 종료되거나 처리 목적이 달성된 경우 지체 없이 해당 정보를 파기합니다. 다만 관련 법령에 따라 보존이 필요한 경우 해당 기간 동안만 별도로 보관합니다.

회사는 원칙적으로 회원의 개인정보를 제3자에게 제공하지 않습니다. 다만 다음 각 호에 해당하는 경우에 한해 예외적으로 제공합니다.

1. 회원이 사전에 명시적으로 동의한 경우 (예: 기관 라이선스 계약상 학과 단위 통계를 학교 측에 제공)
2. 법령상 의무에 따라 제공이 요구되는 경우 또는 수사기관이 적법한 절차에 따라 요청하는 경우
3. 통계 작성·학술 연구·공익적 기록 보존을 위해 가명 처리된 형태로 제공하는 경우 (가명정보 보호조치 시행)
4. 회원 또는 제3자의 생명·신체·재산상 급박한 위험을 막기 위해 필요한 경우

회사는 원활한 서비스 제공을 위해 다음과 같이 일부 처리 업무를 외부 사업자에게 위탁하고 있습니다. 일부 수탁 사업자는 해외에 위치하며, 회사는 위탁 계약을 통해 개인정보보호 의무를 명시하고 있습니다.

회원은 회사 또는 개인정보 보호책임자에게 연락하여 위탁 사업자별 이전 항목·시점·방법·이전 받는 자의 개인정보보호책임자 연락처에 대한 자세한 정보를 요청할 수 있습니다.

회사는 강의 자료 기반 Q&A (RAG) 기능을 제공하기 위해 PPT 텍스트 청크를 OpenAI text-embedding 모델로 벡터화하고 pgvector 데이터베이스에 저장합니다. 임베딩 벡터는 다음 정책에 따라 처리됩니다.

• 임베딩은 해당 강의 영상의 RAG 검색 외 목적으로 사용되지 않습니다.
• 강의 또는 강의 영상이 삭제되면 연관된 임베딩도 함께 삭제됩니다.
• 회원이 계정을 해지하면 본인 소유의 강의 자료 및 그로부터 파생된 임베딩이 모두 §5 의 보존 기간에 따라 삭제됩니다.
• 임베딩 벡터는 외부 모델 학습용 데이터로 제공되거나 외부에 공유되지 않습니다.

회사는 학습자 (학생) 의 데이터를 일반 회원의 개인정보보다 한 단계 더 보수적으로 처리합니다. 본 항은 회사의 4가지 핵심 차별점 중 "학생 데이터 보호" 정책의 시행 조항입니다.

1. 광고·마케팅 목적의 사용을 일체 금지합니다.
2. 학습자 단위 데이터 (Q&A 본문, 평가 응답, 집중도 등) 는 해당 강의의 교수자 외에는 열람이 제한됩니다. 학과·단과대 단위 통계는 가명·집계 형태로만 제공됩니다.
3. 학습자 졸업·휴학·자퇴 후 또는 회원 탈퇴 시점에 자동 삭제 절차가 작동합니다 (§5 의 보존 기간 참조).
4. 만 14세 미만 미성년자의 가입은 보호자의 동의 절차를 거친 경우에만 허용되며, 회사는 별도의 미성년자 보호 절차 (제한된 데이터 수집·삭제 우선) 를 운용합니다.
5. 학습자는 자신의 데이터에 대해 §11 의 권리 (열람·정정·삭제·이전·처리정지) 를 언제든지 행사할 수 있으며, 행사 시 교수자에게도 동시에 통지됩니다.

데모 페이지 (/demo) 는 회원가입 없이 익명으로 접근할 수 있으므로 별도의 데이터 정책을 적용합니다. 데모 시작 버튼 클릭은 본 항의 정책에 대한 동의로 간주됩니다.

• 데모 세션 데이터 (입력 텍스트, AI 응답, 세션 지속 시간) 는 24시간 후 자동 삭제됩니다.
• 입력 텍스트는 익명화 처리 (개인 식별자·고유명사 제거) 후 모델 품질 개선 용도에만 사용됩니다.
• IP 주소·브라우저 fingerprint 는 데모 봇·남용 차단 목적 외의 용도로 사용되지 않으며 30일 이내 폐기됩니다.
• 데모 사용자는 회원이 아니므로 §11 의 권리 행사 시 세션 식별자 (브라우저 cookie / fingerprint) 가 필요할 수 있고, 24시간 자동 삭제 기간이 짧아 행사 가능성이 제한될 수 있습니다.

회원은 본인의 개인정보에 대해 다음 권리를 언제든지 행사할 수 있습니다. GDPR 적용을 받는 회원의 경우 GDPR 제15조-제22조에 명시된 권리를 동등하게 행사할 수 있습니다.

1. 열람 (Access) — 처리 중인 개인정보의 목록·목적·보유 기간·제3자 제공 내역 등 확인
2. 정정 (Rectification) — 부정확하거나 누락된 정보의 수정 요청
3. 삭제 (Erasure / Right to be forgotten) — 처리 목적이 달성되었거나 동의를 철회한 경우 정보 삭제 요청
4. 처리 정지 (Restriction) — 적법성 다툼 중 처리 일시 정지 요청
5. 이전 (Portability) — 본인이 제공한 정보를 기계 판독 가능한 형식으로 받을 권리 (Pro 플랜의 학생 데이터 CSV export 와 동일 절차)
6. 동의 철회 (Withdraw consent) — 동의에 기반한 처리에 대해 언제든지 철회 가능
7. 자동화된 의사결정 거부 — 자동 차단·이상 탐지 등의 결과에 대해 인적 검토 요청

권리 행사는 서비스 내 설정 화면, 또는 privacy@classauto.live 로 이메일을 통해 요청할 수 있습니다. 회사는 요청을 받은 날로부터 영업일 기준 10일 이내 처리하며, 부득이하게 지연되는 경우 사유와 예상 처리 일정을 통지합니다. 본인 확인을 위해 추가 자료를 요청할 수 있고, 권리 행사가 다른 사람의 권리를 침해하거나 법령에 위배되는 경우 일부 또는 전부 제한될 수 있습니다.

회사는 개인정보의 안전한 처리를 위해 기술적·관리적·물리적 보호 조치를 시행합니다. 자세한 사항은 [/security] 페이지의 보안 백서를 참조해 주세요.

• 전송 구간: TLS 1.3 적용
• 저장 구간: 데이터베이스 컬럼 단위 AES-256 암호화 (개인 식별 정보 한정)
• 접근 통제: RBAC (역할 기반 접근 제어) — 교수자는 자신의 강의에만 접근, 기관 관리자는 부여된 범위에 한함
• 인증 토큰: JWT 기반 access / refresh 분리, refresh 는 httpOnly cookie 로 전달
• 로그 관리: 접속 로그·이상 행위 로그를 Sentry · Prometheus 로 24시간 모니터링
• 백업: 정기 데이터베이스 백업 (최대 30일 보관) 후 암호화된 상태로 폐기
• 준수 기준: 한국 KISA 가이드라인, ISMS-P 인증 준비 (계획), GDPR 핵심 요구사항

회사는 침해 사고 발생을 인지한 경우 관련 법령에 따라 영향을 받는 회원 및 감독 기관에 72시간 이내 통지합니다.

회사는 인증 및 보안 목적으로 다음의 쿠키와 유사 기술을 사용합니다. 광고·트래킹 목적의 쿠키는 사용하지 않습니다.

회원은 브라우저 설정을 통해 쿠키 저장을 거부할 수 있으나, 이 경우 일부 서비스 기능 (자동 로그인, 영상 시청 진행률 저장 등) 이 제한될 수 있습니다.

회사는 개인정보의 처리에 관한 업무를 총괄하고, 개인정보 처리와 관련한 문의·불만·피해 구제를 처리하기 위해 개인정보 보호책임자를 지정·운영합니다.

• 개인정보 보호책임자: [PLACEHOLDER]
• 이메일: privacy@classauto.live
• 주소: [PLACEHOLDER]
• 관련 신고는 개인정보분쟁조정위원회 (1833-6972 / www.kopico.go.kr), 개인정보침해신고센터 (privacy.kisa.or.kr / 118), 대검찰청 사이버수사과 (1301), 경찰청 사이버수사국 (182) 으로도 가능합니다.

본 개인정보처리방침은 법령·정책 또는 서비스의 중요한 변경에 따라 수정될 수 있습니다. 변경 사항이 회원에게 불리한 경우 적용일 30일 전부터 서비스 화면 공지 또는 이메일을 통해 사전 안내합니다.

각 변경 시점의 처리방침은 변경 이력 (§아래) 에 기록되며, 이전 버전은 회원의 요청에 따라 제공됩니다.