개인정보처리방침

시행일: 2026년 3월 8일 · 최종 개정: 2026년 5월 2일

1. 서문

kissinskin("당사")은 https://kissinskin.net 웹사이트를 운영합니다. 본 개인정보처리방침은 AI 메이크업 분석 서비스("서비스") 이용 시 이용자의 정보를 어떻게 수집, 이용, 보호, 공개하는지 설명합니다.

당사는 EU 일반개인정보보호법(GDPR), UK GDPR, 미국 캘리포니아 소비자 프라이버시법(CCPA/CPRA), 브라질 LGPD, 대한민국 개인정보 보호법(PIPA), 캐나다 PIPEDA, 일본 개인정보보호법(APPI), 호주 프라이버시법 1988 등 전 세계 데이터 보호법 준수를 약속합니다.

2. 개인정보 관리자

서비스를 통해 처리되는 개인정보에 대한 관리자는 kissinskin입니다. 결제 관련 데이터는 Polar가 독립적인 관리자로서 책임집니다.

3. 수집하는 정보

3.1 업로드한 사진 (생체/얼굴 데이터)

  • 서비스 이용 시 AI 분석을 위해 얼굴 사진을 업로드합니다.
  • 사진은 처리를 위해 OpenAI API로 전송되며, 당사 서버에 저장되지 않습니다.
  • 사진은 실시간 메모리에서 처리되며 결과 생성 후 즉시 폐기됩니다.
  • 당사는 사진을 어떠한 형태로도 보관, 보존, 백업하지 않습니다.
  • 생체 데이터 고지: 얼굴 사진은 일부 법률(예: 미국 일리노이 BIPA, 텍사스 CUBI, 워싱턴주 법)상 생체 데이터에 해당할 수 있습니다. 당사는 사진에서 생체 식별자 또는 템플릿을 추출, 저장, 생성하지 않습니다. 사진은 오직 AI 메이크업 시뮬레이션 생성 목적으로만 사용되며 보관되지 않습니다.

3.2 결제 정보

  • 모든 결제 처리는 Polar(polar.sh)가 Merchant of Record 자격으로 수행합니다.
  • 당사는 신용카드 번호, CVV, 전체 청구 세부사항을 수신·열람·저장하지 않습니다.
  • Polar가 거래 처리에 필요한 결제 정보(카드 정보, 청구 주소, 이메일)를 수집합니다. 해당 데이터는 Polar의 개인정보처리방침의 적용을 받습니다.
  • 당사는 Polar로부터 거래 확인, 주문 금액, 고객 지원용 참조 ID를 전달받을 수 있습니다.

3.3 자동 수집 데이터 · 쿠키 · 광고

당사는 사이트 운영, 측정, 광고 게재를 위해 다음 제3자 서비스의 쿠키와 유사 기술(localStorage, 픽셀)을 사용합니다. EU/EEA·영국 이용자에게는 Google Consent Mode v2가 적용되어, 쿠키 배너에서 "모두 동의"를 선택하기 전까지 광고/분석 쿠키는 비활성 상태로 유지됩니다.

서비스목적쿠키/저장소보관 기간
Google AdSense (ca-pub-5109067049933124)본 사이트의 무료 콘텐츠 운영 비용 충당을 위한 광고 게재 및 측정제3자 쿠키 (`__gads`, `__gpi`, `IDE`, `ANID` 등) — google.com / doubleclick.net 도메인 발행최대 13개월
Google Analytics 4 (G-JJ7G39W5T3)익명 트래픽 분석 및 사이트 개선자체 쿠키 (`_ga`, `_ga_*`) — kissinskin.net 도메인최대 14개월
Microsoft Clarity (w5fx3z4rfg)익명 사용성 분석 (히트맵·스크롤 패턴). 텍스트는 마스킹되어 전송자체 + 제3자 쿠키 (`_clck`, `_clsk`, `MUID` 등)최대 1년
Cloudflare호스팅·CDN·보안(봇 방지)엄격히 필요한 기술 쿠키 (`__cf_bm` 등)세션 또는 30분
kissinskin (자체)쿠키 동의 결정·언어 설정 저장localStorage (`kissinskin_cookie_consent`, `kissinskin_locale`)이용자가 삭제할 때까지

Google AdSense 광고: 본 사이트는 제3자 공급업체인 Google이 본 사이트와 다른 사이트에서의 이용자의 방문 정보에 기반해 광고를 게재할 수 있도록 허용합니다. Google은 광고 쿠키를 통해 광고를 게재합니다. 이용자는 Google 광고 설정에서 맞춤 광고를 거부할 수 있으며, aboutads.info 또는 youronlinechoices.eu(EU)에서 일부 제3자 공급업체의 맞춤 광고를 거부할 수 있습니다.

동의 변경: 쿠키 동의는 브라우저 저장소를 비우거나 사이트 데이터를 삭제하면 다시 표시됩니다. EU/EEA·영국 이용자는 동의 전까지 Google AdSense가 비개인화(non-personalized) 광고만 게재하도록 설정되어 있습니다.

4. 처리의 법적 근거 (GDPR 제6조)

EU/EEA 및 영국 이용자에 대해 당사는 다음 법적 근거에 따라 데이터를 처리합니다.

처리 활동법적 근거GDPR 조항
AI 분석을 위한 사진 처리이용자의 명시적 동의 (능동 업로드·제출)제6조(1)(a), 제9조(2)(a)
결제 처리계약 이행제6조(1)(b)
익명 분석 (Cloudflare)정당한 이익 (서비스 개선)제6조(1)(f)
고객 문의 대응계약 이행 / 정당한 이익제6조(1)(b), 제6조(1)(f)
법적 준수법적 의무제6조(1)(c)

5. 정보 이용 방식

데이터목적보관 기간
업로드한 사진AI 메이크업 분석 생성미보관 (실시간 처리 후 즉시 삭제)
분석 결과브라우저 표시브라우저 세션 한정 (서버 미저장)
결제 정보Polar를 통한 결제 처리Polar 보관 정책에 따름
거래 참조고객 지원최대 12개월 또는 세무/회계법이 요구하는 기간
익명 분석서비스 품질 개선집계·개인정보 미포함, Cloudflare 관리

6. 자동화된 의사결정 및 프로파일링

GDPR 제22조에 따라:

  • 서비스는 메이크업 시뮬레이션 및 피부 분석 리포트 생성을 위해 자동화된 처리(OpenAI 모델)를 사용합니다.
  • 이 자동 처리는 예술적/화장적 성격의 결과를 생성하며, 법적 효과나 이에 준하는 중대한 영향을 발생시키지 않습니다.
  • 당사는 이용자의 데이터를 프로파일링, 타겟 광고, 신용 평가 또는 법적·중대한 영향을 미치는 의사결정에 이용하지 않습니다.
  • 본 자동 처리의 법적 근거는 사진 업로드 및 분석 개시 시 제공된 이용자의 명시적 동의입니다.

7. 제3자 서비스 및 처리자

당사는 다음 제3자 서비스를 이용하며, 각 서비스는 자체 개인정보처리방침을 가집니다.

서비스역할목적전송 데이터위치개인정보처리방침
OpenAI처리자AI 이미지 생성 및 텍스트 분석업로드 사진 (일시적)미국openai.com/privacy
Polar독립 관리자결제 처리 (MoR)결제 및 청구 정보미국 / EUpolar.sh/legal/privacy
Cloudflare처리자웹사이트 호스팅, CDN, 보안익명 분석, IP (일시적)글로벌 (엣지 네트워크)cloudflare.com/privacy

중요: OpenAI의 API 데이터 이용 정책에 따르면 API를 통해 전송된 데이터는 모델 학습에 사용되지 않습니다. 이용자 사진은 OpenAI 또는 당사에 의해 AI 학습에 사용되지 않습니다.

8. 국경 간 데이터 이전

데이터는 거주 국가 외 국가(미국 포함)로 이전·처리될 수 있습니다. 당사는 적절한 보호 장치를 마련합니다.

  • EU/EEA → 미국: OpenAI 및 Polar로의 이전은 EU 집행위원회가 채택한 표준계약조항(SCC) 및/또는 해당하는 경우 EU-미국 데이터 프라이버시 프레임워크로 보호됩니다.
  • 영국: 이전은 UK 국제데이터이전협약(IDTA) 또는 EU SCC에 대한 UK 부록으로 보호됩니다.
  • 대한민국: 국경 간 이전은 개인정보 보호법 제17조 요구사항을 준수합니다. 서비스 이용에 대한 동의는 명시된 목적의 국경 간 데이터 이전에 대한 동의에 해당합니다.
  • 브라질: LGPD 제33조에 따라 동의 및 적절한 보호 장치 기반으로 이전됩니다.
  • 일본: APPI 요구사항을 준수하여 적절한 보호 장치와 함께 이전됩니다.
  • 당사는 사진 또는 개인정보를 서버에 저장하지 않으므로, 실제 데이터 이전은 일시적이며 API 처리 시간에 한정됩니다.

9. 수집하지 않는 데이터

  • 이름, 전화번호, 주소를 직접 수집하지 않습니다(결제 시 Polar에 제공되는 경우, 분석 리포트 발송용 이메일 입력 시 제외).
  • 사용자 계정이나 프로필을 강제 생성하지 않습니다.
  • 업로드한 사진을 AI 모델 학습에 이용하지 않습니다 — OpenAI API 사용 시 학습 비활용 옵션이 적용됩니다.
  • 생체 식별자(얼굴 임베딩 벡터·해시·템플릿)를 생성하거나 저장하지 않습니다.
  • 당사 자체적으로는 개인정보를 판매·대여하지 않습니다. 다만 Google AdSense를 통해 게재되는 광고는 Google이 자체 정책에 따라 이용자의 일반 인구 통계 추정치를 활용할 수 있으며, 이용자는 Google 광고 설정에서 거부할 수 있습니다.

10. 데이터 보안

  • 모든 데이터 전송은 HTTPS/TLS(TLS 1.2 이상)로 암호화됩니다.
  • 사진은 브라우저에서 당사의 안전한 서버리스 함수를 거쳐 OpenAI API로 직접 전송됩니다 — 중간 저장이 없습니다.
  • 인프라는 Cloudflare Workers(서버리스)에서 실행되므로 데이터가 저장되거나 접근될 수 있는 영구 서버가 존재하지 않습니다.
  • 무단 접근, 변경, 공개 또는 파기로부터 데이터를 보호하기 위한 적절한 기술적·조직적 조치를 구현합니다.

11. 데이터 유출 통지

개인정보가 관련된 유출 사고 발생 시(가능성은 낮으나):

  • EU/EEA (GDPR): 사실 인지 후 72시간 이내에 감독기관에 통지합니다(제33조). 이용자의 권리와 자유에 높은 위험이 있는 경우 지체 없이 개인에게도 통지합니다(제34조).
  • 영국: 72시간 이내에 정보위원회(ICO)에 통지합니다.
  • 대한민국 (PIPA): 영향받는 개인 및 개인정보보호위원회(PIPC)에 지체 없이 통지합니다.
  • 브라질 (LGPD): 국가데이터보호청(ANPD) 및 영향받는 개인에게 통지합니다.
  • 캘리포니아 (CCPA): Cal. Civ. Code § 1798.82 요구에 따라 영향받는 주민에게 통지합니다.
  • 캐나다 (PIPEDA): 실질적 피해 위험이 있는 유출의 경우 캐나다 프라이버시 커미셔너 및 영향받는 개인에게 통지합니다.
  • 호주: Notifiable Data Breaches scheme에 따라 OAIC 및 영향받는 개인에게 통지합니다.

12. 이용자의 권리

12.1 모든 이용자의 권리

거주 지역과 무관하게 이용자는 다음 권리를 가집니다.

  • 열람: 당사가 보유한 이용자 데이터를 확인할 수 있습니다(상기한 바와 같이 사실상 없음).
  • 삭제: 모든 데이터의 삭제를 요청할 수 있습니다. 사진 및 개인정보를 저장하지 않으므로 주로 Polar가 보관하는 결제 기록에 해당합니다.
  • 이동: 데이터를 이동 가능한 형식으로 요청할 수 있습니다.
  • 처리 반대: 데이터 처리에 반대할 수 있습니다.
  • 동의 철회: 언제든 동의를 철회할 수 있습니다. 철회 이전 처리의 적법성에는 영향을 주지 않습니다.

12.2 EU/EEA 이용자 (GDPR)

위 권리에 더해 다음 권리를 가집니다.

  • 정정: 부정확한 개인정보의 수정 (제16조)
  • 제한: 특정 상황에서 처리 제한 요청 (제18조)
  • 정당한 이익 처리 반대: 정당한 이익 기반 처리에 반대 (제21조)
  • 자동화된 의사결정 배제: 자동 처리에 관한 권리 (제22조) — 상기 제6조 참조
  • 민원 제기: 거주지 데이터보호당국(DPA)에 민원을 제기할 권리. EU DPA 목록: edpb.europa.eu

12.3 대한민국 이용자 (PIPA)

  • 개인정보 보호법에 따라 개인정보 열람, 정정, 삭제 및 처리 정지 요구권을 가집니다.
  • 당사는 목적 달성 시 개인정보를 파기할 의무를 준수합니다 — 사진은 처리 즉시 파기됩니다.
  • 개인정보보호위원회(PIPC)(pipc.go.kr)에 민원을 제기할 수 있습니다.
  • 한국인터넷진흥원(KISA) 개인정보침해신고센터(privacy.kisa.or.kr)를 통해서도 분쟁 해결이 가능합니다.

12.4 영국 이용자 (UK GDPR)

  • UK GDPR 및 데이터보호법 2018에 따라 EU 이용자와 동등한 권리를 가집니다.
  • 정보위원회(ICO)(ico.org.uk)에 민원을 제기할 수 있습니다.

12.5 캘리포니아 이용자 (CCPA/CPRA)

  • 알 권리: 지난 12개월 수집된 개인정보 카테고리 및 구체적 항목 공개 요청.
  • 삭제권: 개인정보 삭제 요청.
  • 정정권: 부정확한 개인정보 정정 요청.
  • 판매/공유 거부권: 당사는 CCPA/CPRA 정의상 개인정보를 판매하거나 공유하지 않습니다. 별도 거부 요청이 필요하지 않습니다.
  • 비차별: CCPA/CPRA 권리 행사로 인한 차별을 받지 않습니다.
  • 권한 있는 대리인: 대리인을 지정하여 요청할 수 있습니다.
  • 당사는 확인 가능한 소비자 요청에 45일 이내 대응합니다.

12.6 브라질 이용자 (LGPD) / 캐나다 이용자 (PIPEDA) / 일본 이용자 (APPI) / 호주 이용자 (Privacy Act 1988)

  • 브라질: LGPD상 확인, 열람, 정정, 익명화, 이동, 삭제, 공유 정보, 동의 철회 권리. ANPD에 민원 가능.
  • 캐나다: PIPEDA상 접근, 정확성 이의제기, 동의 철회 권리. OPC(priv.gc.ca)에 민원 가능.
  • 일본: APPI상 공개, 정정, 이용 정지, 삭제 요청 권리. PPC에 민원 가능.
  • 호주: 호주 프라이버시 원칙(APP)상 접근 및 정정 권리. OAIC(oaic.gov.au)에 민원 가능.

권리 행사: [email protected]으로 문의해 주십시오. 관련 법률이 요구하는 기간(일반적으로 30일, CCPA의 경우 45일) 내에 답변드립니다.

13. 아동 개인정보

  • 본 서비스는 만 16세 미만(또는 관할지역의 최소 연령) 아동을 대상으로 하지 않습니다.
  • 당사는 만 16세 미만(미국 COPPA상 만 13세 미만)의 데이터를 고의로 수집하지 않습니다.
  • 아동이 서비스를 이용했다고 판단되면 문의해 주시고, 잘못 수집된 데이터를 삭제하는 등 적절한 조치를 취하겠습니다.
  • EU/EEA의 최소 연령은 GDPR 제8조에 따라 회원국별로 13~16세 범위입니다.
  • 대한민국의 최소 연령은 개인정보 보호법상 만 14세입니다.

14. Do Not Track (DNT) 신호

당사 서비스는 제3자 웹사이트에서 이용자를 추적하지 않으므로 Do Not Track(DNT) 신호에 응답하지 않습니다. 당사는 어떠한 교차 사이트 추적에도 관여하지 않습니다.

15. 데이터 보관 및 파기

  • 사진: 미보관. AI 처리 완료 즉시 파기.
  • 분석 결과: 브라우저 세션에만 존재. 서버 미저장.
  • 거래 참조: 고객 지원 및 법률/세무 준수를 위해 최대 12개월 보관 후 삭제.
  • 결제 데이터: Polar의 데이터 보관 정책 및 관련 금융 규정에 따라 Polar가 보관.
  • PIPA(대한민국), LGPD(브라질) 및 기타 관련법의 데이터 파기 요구사항을 준수합니다.

16. 방침 변경

본 개인정보처리방침은 수시로 갱신될 수 있습니다. 중요한 변경 사항은 상단에 갱신된 시행일과 함께 반영됩니다. 법률(GDPR, PIPA 등)이 요구하는 경우 시행 전 중요 변경을 통지합니다. 변경 후에도 서비스를 계속 이용하는 것은 변경에 대한 동의로 간주됩니다.

17. 문의

개인정보 관련 질문, 데이터 요청 또는 권리 행사:

모든 개인정보 관련 문의에 30일 이내(또는 관련 지역법이 요구하는 기간 내) 답변드립니다.