개인정보처리방침

OK NPL(이하 "회사")은 개인정보보호법, 정보통신망 이용촉진 및 정보보호 등에 관한 법률 등 관련 법령에 따라 이용자의 개인정보를 보호하고, 이와 관련한 고충을 신속하게 처리하기 위하여 다음과 같이 개인정보처리방침을 수립·공개합니다.

회사는 다음의 목적을 위하여 개인정보를 처리합니다. 처리하는 개인정보는 다음의 목적 이외의 용도로는 이용되지 않으며, 이용 목적이 변경될 경우 개인정보보호법 제18조에 따라 별도의 동의를 받는 등 필요한 조치를 이행합니다.

• 회원 식별 및 본인 확인
• 서비스 제공 및 계약 이행 (사건·채권 관리 기능 제공 포함)
• AI 어시스턴트(채팅·웹검색) 기능 제공 — 이용자의 질의·대화 내역·첨부 파일·관련 사건 데이터의 LLM 추론 처리 및 응답 생성
• AI 어시스턴트 토큰 사용량·비용 산정 및 청구(과금)
• 고객 문의 응대 및 분쟁 해결
• 서비스 운영·장애 대응 및 법령 준수를 위한 관리자 지원
• 서비스 개선 및 통계 분석
• 유료 구독 결제 처리 및 정산 (유료 플랜 이용 시)
• 마케팅 및 이벤트 안내 (선택 동의 시)

필수 항목

• 이메일 주소
• 비밀번호 (단방향 해시 저장, 원문 보관 없음)
• 이름

선택 항목

• 휴대전화 번호

자동 수집 항목

• IP 주소
• 쿠키 및 세션 정보
• 접속 일시, 서비스 이용 기록
• User-Agent (브라우저 및 운영체제 정보)

AI 어시스턴트 이용 데이터

이용자가 AI 어시스턴트를 이용하는 경우 다음 항목이 생성·저장됩니다. 대화 입력·출력 내용은 영구 저장되며, 이용자가 직접 삭제하거나 회원 탈퇴 시 파기됩니다.

• 이용자가 입력한 질의·대화 내용 및 AI의 응답 내용 (대화 이력)
• 첨부 파일의 메타정보(파일명·형식 등) 및 LLM 처리를 위해 전송되는 첨부 내용
• 웹검색 이용 시 검색어
• 요청별 토큰 사용량(입력·출력·합계), 추론 비용, 호출 횟수, 사용 모델명

이용자가 업로드·입력한 콘텐츠

이용자는 본 서비스에 사건·채권 정보, 메모, 분석 자료, 첨부 파일 등을 등록할 수 있습니다. 이 콘텐츠에는 채무자·임차인 등 제3자의 개인정보가 포함될 수 있으며, 회사는 이를 이용자(개인정보처리자)의 지시에 따라 처리하는 수탁자(처리자)의 지위에서 저장·처리합니다. 해당 제3자에 대한 수집·이용 근거 확보 및 고지·동의 등의 책임은 이를 입력한 이용자에게 있습니다. AI 어시스턴트가 해당 콘텐츠를 처리하는 경우 그 내용이 LLM 추론을 위해 국외로 이전될 수 있습니다(제5조 참조).

SNS 로그인 시 추가 수집 항목

Google, Kakao, Naver 등 소셜 계정으로 가입 시 해당 플랫폼이 제공하는 범위 내에서 다음 항목을 수집합니다.

• 이메일 주소
• 이름 (닉네임 포함)
• 프로필 이미지 URL

만 14세 미만 아동의 개인정보는 수집하지 않습니다. 서비스는 만 14세 이상만 이용 가능하며, 만 14세 미만임이 확인될 경우 즉시 해당 계정 및 개인정보를 삭제합니다.

회사는 법령에 따른 개인정보 보유·이용 기간 또는 정보주체로부터 개인정보를 수집 시에 동의 받은 개인정보 보유·이용 기간 내에서 개인정보를 처리·보유합니다.

• 회원 정보: 탈퇴 신청 즉시 soft-delete 처리 후 30일 보유, 이후 영구 삭제. 부정 이용 방지를 위한 최소 식별 기록은 1년 보관.
• 이용자 업로드·입력 콘텐츠(사건·채권 정보, 메모, 분석, 첨부 파일 등): 회원 자격 유지 기간 동안 보유하며, 이용자가 직접 삭제하거나 회원 탈퇴 후 30일이 경과하면 데이터베이스 및 파일 스토리지(object storage)에서 복원 불가능한 방식으로 삭제합니다. 다만 백업·로그 등에는 기술적 제약상 일정 기간 잔존할 수 있으며, 해당 잔존분은 보존 기간 경과 후 순차 파기합니다.
• AI 어시스턴트 대화 이력: 이용자가 직접 삭제하거나 회원 탈퇴 후 30일 경과 시 파기. 다만 토큰 사용량·비용 기록은 아래 청구 기록 기준에 따릅니다.
• AI 어시스턴트 토큰 사용량·비용 기록(청구용): 5년 (전자상거래 등에서의 소비자 보호에 관한 법률상 대금 결제·재화 등의 공급에 관한 기록 준용). 대화 본문이 삭제되더라도 청구·정산 목적의 사용량·비용 집계 기록은 익명·최소화하여 보존합니다.
• 접속 로그 및 감사 기록(audit_log): 5년 (정보통신망법 제29조 관련 고시 기준). 관리자 지원·임퍼소네이션 접근 기록을 포함합니다.
• 결제·구독 기록: 5년 (전자상거래 등에서의 소비자 보호에 관한 법률) — 유료 구독 결제 도입·이용 시 적용. 계약 또는 청약 철회 등에 관한 기록은 5년, 소비자의 불만 또는 분쟁 처리에 관한 기록은 3년 보관합니다.

회사는 개인정보 보유 기간의 경과, 처리 목적 달성 등 개인정보가 불필요하게 되었을 때에는 지체 없이 해당 개인정보를 파기합니다(개인정보보호법 제21조). 다만 법령에 따라 보존해야 하는 경우에는 해당 기간 동안 별도로 분리·보관합니다.

파기 절차

• 회원 탈퇴 시 계정·콘텐츠는 즉시 soft-delete(논리 삭제) 처리되어 일반 이용에서 차단되고, 30일의 유예 기간(복구 가능 기간) 경과 후 영구 파기됩니다.
• 파기 대상 개인정보는 다른 데이터와 분리하여, 법령상 보존 의무가 없는 한 추가 이용을 금지합니다.

파기 방법

• 데이터베이스(PostgreSQL)에 저장된 전자적 파일: 복원이 불가능한 방법으로 삭제.
• 파일 스토리지(object storage)에 저장된 첨부 파일·이미지: 해당 객체를 복원이 불가능한 방법으로 삭제.
• 백업 데이터 또는 운영 로그에 포함된 정보는 기술적 제약상 즉시 삭제가 어려운 경우 일정 기간 분리·보관 후 파기될 수 있습니다.
• AI 어시스턴트 대화 이력: 데이터베이스에서 복원 불가능한 방법으로 삭제. 단, 청구·정산 목적의 사용량·비용 집계 기록은 제3조에 따른 보존 기간 동안 분리 보관 후 파기합니다.

회사는 원칙적으로 이용자의 개인정보를 제3자에게 제공하지 않습니다. 다만, 다음의 경우에는 예외로 합니다.

• 이용자가 사전에 동의한 경우
• 법령의 규정에 의거하거나 수사, 재판 등의 목적으로 법령에 정해진 절차와 방법에 따라 수사기관 또는 감독기관의 요청이 있는 경우 (최소한의 정보만 제공)

회사는 원활한 서비스 제공을 위해 다음과 같이 개인정보 처리 업무를 위탁하고 있으며, 위탁 계약 시 개인정보보호법 제26조 및 같은 법 시행령에 따라 개인정보가 안전하게 관리되도록 필요한 사항을 규정하고 있습니다. 수탁자 및 위탁 업무 내용은 본 처리방침을 통해 지속적으로 공개합니다.

* Google·Kakao·Naver 소셜 로그인은 이용자가 선택한 인증 수단으로, 해당 사업자로부터 회사가 프로필 정보를 제공받는 관계이며 별도 안내에 따릅니다.

* better-auth는 회사 인프라에서 직접 구동되는 인증 라이브러리로 외부 위탁에 해당하지 않습니다.

개인정보의 국외 이전 (개인정보보호법 제28조의8)

회사는 서비스 제공을 위해 아래와 같이 이용자의 개인정보를 국외로 이전(처리위탁·보관)하고 있습니다. 이용자는 국외 이전에 동의하지 않을 권리가 있으며, 동의를 거부하는 경우 해당 기능 또는 서비스 전부의 이용이 제한될 수 있습니다. 본 처리방침을 통한 공개로써 같은 법 제28조의8 제1항 제3호에 따른 절차를 갈음합니다.

* 각 수탁자의 정확한 소재지·연락처는 위 표에 기재된 해당 사업자의 개인정보처리방침을 통해 확인할 수 있습니다. 정보주체는 위 처리방침에 안내된 각 수탁자의 문의 채널로 직접 권리를 행사하거나, [email protected] 으로 요청하면 회사가 이를 안내·중계합니다. 회사는 국외 이전에 따른 정보주체 권리 보호를 위해 필요한 보호조치를 마련하기 위해 노력합니다.

이용자는 개인정보주체로서 다음과 같은 권리를 행사할 수 있습니다.

• 개인정보 처리 현황 열람 요구
• 오류 정정 요구
• 삭제(탈퇴) 요구
• 처리 정지 요구
• 이의 제기

권리 행사는 계정 설정 화면에서 직접 하거나 [email protected]으로 이메일을 통해 요청할 수 있습니다. 회사는 요청을 받은 날로부터 10일 이내에 처리 결과를 통보합니다.

회사는 개인정보보호법 제29조에 따라 다음과 같이 안전성 확보에 필요한 기술적·관리적 조치를 취하고 있습니다.

• 비밀번호 단방향 해시 처리 — 원문 복원 불가
• HTTPS(TLS) 전송 암호화
• 데이터베이스 접근 권한 최소화 및 접근 통제
• 모든 중요 변경 사항에 대한 감사 로그(audit_log) 기록 및 보관
• Sentry 오류 모니터링 시 PII 마스킹 적용

운영자의 지원 목적 계정 접근(임퍼소네이션)

회사는 고객 지원·장애 대응·법령 준수 등 정당한 목적에 한해, 권한 있는 최소한의 운영자(플랫폼 관리자)가 이용자 계정으로 일시 로그인하여 해당 이용자의 데이터(이용자가 보유한 제3자 정보 포함)를 열람·조작할 수 있는 기능을 운영합니다. 이때 다음의 통제가 적용됩니다.

• 접근 권한은 사전 인가된 최소 인원의 운영자에게만 부여됩니다.
• 각 접근의 시작·종료 시점과 대상은 감사 로그(audit_log)에 기록되며, 접근 세션은 일정 시간(약 30분) 후 자동 만료됩니다.
• 운영자가 자기 자신 또는 다른 관리자(admin 권한) 계정에 임퍼소네이션하는 것은 차단되며, 접근 중에는 화면에 안내 배너가 표시됩니다.

① 회사는 서비스 운영을 위해 다음과 같은 쿠키를 사용합니다.

• 세션 쿠키: 로그인 상태 유지. HttpOnly, Secure, SameSite=Lax 속성 적용.
• 세션 캐시 쿠키(cookieCache): 매 요청마다 데이터베이스를 조회하지 않도록 세션 정보를 약 30분간 임시 캐싱하여 성능을 개선하기 위한 쿠키.
• 관리자 세션 보조 쿠키(admin_session): 운영자의 지원 목적 계정 접근(임퍼소네이션) 시, 원래 관리자 세션을 복원하기 위해 사용되는 서명된 쿠키(제7조 참조).

② 이용자는 웹 브라우저 설정을 통해 쿠키 저장을 거부할 수 있습니다. 다만, 쿠키를 거부하는 경우 로그인이 필요한 서비스 이용이 제한될 수 있습니다.

정보통신망 이용촉진 및 정보보호 등에 관한 법률 제50조에 따라 이용자는 광고성 정보(마케팅, 이벤트 안내 등)의 수신을 거부할 수 있습니다.

• 회원가입 시: 마케팅 정보 수신 동의 항목을 선택 해제하여 수신을 거부할 수 있습니다.
• 가입 후: 계정 설정 화면에서 언제든지 수신 동의를 철회하거나, [email protected]으로 수신 거부 요청을 할 수 있습니다.

수신 거부 요청은 처리 시점 이후 발송분부터 즉시 적용되며, 서비스 이용에 필수적인 안내 (비밀번호 재설정, 거래 확인 등 거래 관련 정보 및 고객 문의 응대)는 거부 대상에서 제외됩니다.

회사는 개인정보 처리에 관한 업무를 총괄하고 개인정보 처리와 관련한 이용자의 불만 처리 및 피해 구제를 위하여 아래와 같이 개인정보 보호책임자를 지정합니다.

개인정보 처리에 관한 문의는 위 연락처로 하시거나 개인정보보호위원회(privacy.go.kr) 또는 개인정보 침해 신고센터(118)에 신고하실 수 있습니다.

이 개인정보처리방침은 시행일로부터 적용되며, 변경 시 변경 적용일로부터 최소 7일 이전에 서비스 공지 또는 이메일을 통해 사전 고지합니다.

① 이 개인정보처리방침은 [개정 시행일 — 공지 후 기재]부터 시행합니다.

② 종전의 개인정보처리방침(2026년 4월 27일 시행)은 본 방침으로 대체됩니다.