개인정보처리방침

제1조 (개인정보의 수집·이용 목적)

회사는 다음의 목적을 위하여 개인정보를 처리하며, 처리 목적 이외의 용도로 이용하지 않습니다. 이용 목적이 변경되는 경우 「개인정보 보호법」 제18조에 따라 별도의 동의를 받는 등 필요한 조치를 이행합니다.

• 회원 식별, 가입·탈퇴 처리, 본인 확인
• 이력서 AI 분석, 채용공고 매칭, 전략 리포트 생성
• AI 자기소개서 워크스페이스 기능 제공 (작성·저장·관리)
• AI 면접 시뮬레이터 기능 제공 (질문 생성, 답변 피드백)
• 분석 결과 저장·조회 및 공유 링크 기능 제공
• 이메일 인증, 비밀번호 재설정
• 크레딧 관리 및 거래 내역 기록
• 서비스 품질 개선을 위한 피드백 분석
• 부정 이용 방지 및 보안 유지
• 서비스 유입 경로 파악을 통한 서비스 개선 (UTM 데이터 집계 통계, 개인 식별 또는 마케팅 타겟팅에 사용하지 않음)
• 법령상 의무 이행

제2조 (수집하는 개인정보의 항목 및 수집 방법)

가. 회원가입 시 (이메일/비밀번호)

• 필수: 이메일 주소, 이름(성명), 비밀번호 (bcrypt 단방향 암호화 저장, 원문 미보관)
• 선택: 서비스를 알게 된 경로 (직접 입력)
• 자동 수집: 가입 시점 IP 주소 (부정 가입 방지), 서비스 유입 경로 파라미터 (UTM source·medium·campaign, 쿠키 ss_utm에서 추출 — 서비스 개선 통계 목적)

나. 소셜 로그인 시 (OAuth)

• Google: 이메일, 이름, 프로필 이미지 URL
• Kakao: 이메일, 닉네임, 프로필 이미지 URL
• 자동 수집: 가입 시점 UTM 파라미터 (쿠키 ss_utm에서 추출)

OAuth 제공자가 전달하는 항목만 수집하며, 비밀번호는 수집하지 않습니다.

다. 서비스 이용 시

• 이력서 원본 파일(PDF): 텍스트 파싱 목적으로만 서버 메모리에서 처리됩니다. 원본 파일 자체는 서버에 저장되지 않으며 파싱 완료 즉시 파기됩니다.
• 이력서 파싱 데이터(JSON): 원본 이력서에서 추출된 구조화 데이터(성명, 경력, 학력, 기술스택 등 이력서에 기재된 정보). 이력서 원본 파일 자체는 저장되지 않으나, 이력서에 기재된 내용은 파싱 데이터 형태로 서버에 보관됩니다.
• 파이프라인 분석 결과: AI가 생성한 적합도 점수, 역량 분석, 전략 브리핑, 면접 준비 자료 등. 로그인 사용자는 최근 20건까지 서버에 저장됩니다. 비로그인 사용자는 브라우저 sessionStorage에만 임시 저장됩니다.
• 채용공고 텍스트 또는 URL: 매칭 분석을 위해 처리되며, 분석 결과에 포함되어 저장됩니다.
• 자기소개서 프로젝트 데이터: 이용자가 작성·저장한 내용 (회사명, 포지션명, 채용공고 텍스트, 자소서 초안, 경험 소재 등). 계정당 최근 10건까지 서버에 저장됩니다.
• 면접 시뮬레이터 데이터: AI가 생성한 면접 질문, 이용자의 면접 답변 텍스트, AI 피드백 및 점수. 세션 정보와 함께 서버에 저장됩니다.
• 크레딧 거래 내역: 크레딧 충전·사용 일시, 유형, 금액 등 거래 내역.
• 피드백 데이터: 별점, 의견 텍스트, 희망 가격 (자발적 제출 시에만)

라. 자동 수집 정보

• IP 주소: API 요청 제한(Rate Limiting) 목적으로 임시 저장 후 자동 만료
• 브라우저 정보(User-Agent): 서비스 호환성 확인용
• 마지막 로그인 일시: 계정 보안 관리 목적

수집 방법: 이용자의 직접 입력, 서비스 이용 과정 중 자동 수집, OAuth 제공자 전달

제3조 (개인정보의 보유 및 이용기간)

회사는 법령에 따른 보유·이용기간 또는 이용자로부터 동의 받은 보유·이용기간 내에서 개인정보를 처리·보유합니다.

• 회원 계정 정보: 회원 탈퇴 시까지. 탈퇴 즉시 영구 삭제.
• 이력서 파싱 데이터 및 파이프라인 분석 결과: 계정 삭제 시 함께 삭제. 최근 20건 초과 시 오래된 순으로 자동 삭제.
• 자기소개서 프로젝트 데이터: 계정 삭제 시 함께 삭제. 최근 10건 초과 시 오래된 순으로 자동 삭제.
• 면접 시뮬레이터 데이터: 계정 삭제 시 함께 삭제.
• 크레딧 거래 내역: 「전자상거래 등에서의 소비자보호에 관한 법률」에 따라 대금결제 기록으로서 5년간 보관 후 파기.
• 피드백 데이터: 서비스 종료 시 또는 이용자 요청 시 삭제.
• IP 주소(Rate Limiting): Redis에 임시 저장, 설정된 창(window) 경과 후 자동 만료.
• UTM 파라미터: 계정 정보와 함께 보관, 계정 삭제 시 함께 삭제.
• 비로그인 분석 결과: 브라우저 sessionStorage에만 저장, 탭·브라우저 종료 시 자동 삭제.

제4조 (개인정보의 파기절차 및 방법)

회사는 개인정보 보유 및 이용기간이 경과하거나 처리 목적이 달성된 경우 지체 없이 해당 개인정보를 파기합니다.

가. 파기 절차

이용자가 입력한 정보는 보유기간 경과 또는 처리 목적 달성 후 내부 방침 및 관계 법령에 따른 기간 이후 지체 없이 파기됩니다. 법령에 따라 보관이 필요한 정보는 별도 DB 또는 서류함으로 분리하여 보관하며, 법률에 의한 경우가 아니고서는 다른 목적으로 이용하지 않습니다.

나. 파기 방법

• 전자적 파일 형태: 기록을 재생할 수 없는 기술적 방법(영구 삭제 명령, DB 레코드 삭제)으로 복구 불가능하게 영구 삭제
• 종이 문서 형태: 분쇄기 분쇄 또는 소각을 통해 파기

제5조 (정보주체와 법정대리인의 권리·의무 및 행사방법)

가. 권리

이용자는 회사에 대해 언제든지 다음의 개인정보 보호 관련 권리를 행사할 수 있습니다.

• 개인정보 열람 요청
• 오류 정정 요청
• 삭제 요청 (계정 삭제 기능 이용 또는 이메일 요청)
• 처리 정지 요청

나. 행사 방법

위 권리 행사는 「개인정보 보호법 시행령」 제41조 제1항에 따라 서면, 전자우편(contact.sixsecond@gmail.com) 등을 통해 하실 수 있으며, 회사는 지체 없이(원칙적으로 접수일로부터 10일 이내) 조치합니다. 정당한 사유 없이 요청을 거절하거나 지연하지 않습니다.

다. 대리 행사

위 권리는 정보주체의 법정대리인이나 위임을 받은 자 등 대리인을 통해 행사할 수 있습니다. 이 경우 「개인정보 보호법 시행규칙」 별지 제11호 서식에 따른 위임장을 제출해야 합니다.

라. 권리 행사의 제한

다음의 경우 권리 행사가 제한될 수 있습니다.

• 개인정보 열람 및 처리정지 요구: 「개인정보보호법」 제35조 제5항, 제37조 제2항에 따라 제한될 수 있습니다.
• 정정·삭제 요구: 법령에 수집 대상으로 명시된 개인정보(예: 전자상거래법상 의무 보관 거래 기록)는 삭제가 불가합니다.

마. 계정 삭제

이용자는 대시보드의 "계정 삭제" 기능을 통해 언제든지 계정을 삭제할 수 있습니다. 삭제 시 관련 모든 데이터(분석 이력, 자소서 프로젝트, 면접 데이터, 공유 링크 등)가 즉시 파기됩니다. 단, 전자상거래법에 따른 크레딧 거래 내역은 법정 보관 기간 동안 보관됩니다.

제6조 (개인정보의 제3자 제공)

회사는 이용자의 개인정보를 원칙적으로 제3자에게 제공하지 않습니다. 다음의 경우에는 예외로 합니다.

• 이용자가 사전에 동의한 경우
• 법령의 규정에 따르거나 수사·조사 목적으로 법령에 정해진 절차와 방법에 따라 수사기관 및 감독당국의 요구가 있는 경우

단, 이용자가 "공유 링크" 기능을 활성화한 경우 해당 링크를 소지한 누구든 분석 결과를 열람할 수 있습니다. 이는 이용자 본인이 직접 공개하는 것으로 회사의 제3자 제공과 구별됩니다. 분석 결과에는 이력서 파싱 데이터 등 민감한 정보가 포함될 수 있으므로 공유 기능 이용 시 신중을 기하시기 바랍니다.

제7조 (개인정보 처리 위탁)

회사는 서비스 제공을 위해 아래와 같이 개인정보 처리를 위탁합니다. 회사는 수탁자가 개인정보를 안전하게 처리하도록 위탁 계약 시 필요한 사항을 명시하고 관리·감독합니다.

제8조 (개인정보의 국외 이전)

회사가 이용하는 수탁자 중 일부는 대한민국 외부에 서버를 운영합니다. 이용자는 회원가입 시 본 개인정보처리방침에 동의함으로써 아래의 국외 이전에 동의한 것으로 봅니다(「개인정보 보호법」 제28조의8에 따른 고지). 국외 이전을 원하지 않는 경우 서비스 가입 또는 이용을 중단하고 계정을 삭제할 수 있습니다.

각 이전 국가의 개인정보 보호 수준은 대한민국과 다를 수 있습니다. 이에 동의하지 않는 경우 서비스 이용을 중단하고 계정을 삭제하실 수 있습니다.

제9조 (쿠키 및 유사 기술)

• 인증 쿠키: NextAuth.js가 생성하는 JWT 기반 세션 쿠키 (로그인 상태 유지에 필수). 브라우저 종료 또는 세션 만료 시 삭제됩니다.
• UTM 추적 쿠키(ss_utm): 서비스 유입 경로 파악을 통한 서비스 개선 목적. 개인 식별 또는 맞춤형 광고 타겟팅에는 사용되지 않으며, 가입 완료 후 자동 소멸됩니다.
• localStorage: 언어 설정(ko/en), UI 환경설정 등 저장
• sessionStorage: 비로그인 사용자 분석 결과 임시 저장 (탭 종료 시 자동 삭제)

브라우저 설정에서 쿠키를 거부할 수 있으나, 인증 쿠키 거부 시 로그인이 필요한 서비스 이용이 제한됩니다.

제10조 (개인정보의 안전성 확보 조치)

회사는 이용자의 개인정보를 취급함에 있어 분실·도난·누출·변조·훼손되지 않도록 다음의 기술적·관리적 조치를 강구하고 있습니다.

• 비밀번호 bcrypt 단방향 암호화 저장
• 전송 구간 HTTPS(TLS) 암호화
• CSRF 방어를 위한 Origin 검증 미들웨어 적용
• API Rate Limiting을 통한 무단 대량 접근 방지
• PDF 업로드 시 파일 유형 검증 (악성 파일 차단)
• 데이터베이스 행 단위 접근 제어(Row Level Security) 적용
• 데이터베이스 접근 권한 최소화 (서비스 계정 분리)
• 정기적인 보안 점검 실시
• AI 학습 미사용: SixSecond는 이용자가 서비스를 통해 업로드하거나 입력한 이력서, 자기소개서, 면접 답변 등 일체의 데이터를 자체 AI 모델 훈련·학습에 사용하지 않습니다. AI 분석을 위해 Anthropic API로 전송되는 데이터의 처리는 Anthropic의 API 이용약관 및 개인정보처리방침에 따르며, Anthropic은 API를 통해 수신한 데이터를 모델 훈련에 사용하지 않는다고 자사 약관에 명시하고 있습니다.

제11조 (만 14세 미만 아동의 개인정보 처리)

본 서비스는 만 14세 미만 아동을 대상으로 하지 않으며, 만 14세 미만 아동의 개인정보를 의도적으로 수집하지 않습니다. 만 14세 미만 아동의 정보가 수집된 사실을 인지하는 경우 즉시 삭제 조치합니다.

제12조 (개인정보처리방침의 변경)

본 방침이 변경되는 경우 시행 7일 전(이용자에게 불리한 중요한 변경의 경우 30일 전)에 서비스 내 공지사항을 통해 고지합니다. 변경된 방침은 고지된 시행일부터 효력이 발생하며, 고지 후 계속하여 서비스를 이용하는 경우 변경된 방침에 동의한 것으로 봅니다. 변경 내용에 동의하지 않는 경우 계정을 삭제하고 서비스 이용을 중단할 수 있습니다.

제13조 (개인정보 보호책임자)

회사는 개인정보 처리 업무를 총괄하며, 이용자의 불만 처리 및 피해구제를 위해 아래와 같이 개인정보 보호책임자를 지정합니다.

• 담당 부서: SixSecond 개인정보 보호팀
• 이메일: contact.sixsecond@gmail.com

개인정보 관련 불만·문의는 위 연락처로 접수하시면 원칙적으로 접수일로부터 10일 이내에 답변 드립니다. 아울러 개인정보침해 신고·상담 및 권리 침해에 대한 불복 신청은 아래 기관에 문의하실 수 있습니다.

• 개인정보 침해신고센터: privacy.kisa.or.kr / 국번 없이 118
• 개인정보 분쟁조정위원회: www.kopico.go.kr / 1833-6972
• 대검찰청 사이버수사과: www.spo.go.kr / 국번 없이 1301
• 경찰청 사이버수사국: ecrm.cyber.go.kr / 국번 없이 182