개인정보처리방침
최종 갱신 · 시행일
채점쏙(이하 "회사")은 「개인정보 보호법」, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 등 관련 법령을 준수하며, 이용자의 개인정보를 안전하게 보호하기 위해 최선을 다하고 있습니다. 본 방침은 회사가 제공하는 서비스에서 처리되는 개인정보의 항목·목적·기간· 위수탁 관계와 정보주체의 권리를 명확히 고지하기 위해 수립되었습니다.
1. 처리하는 개인정보의 항목
1-1. 이용자(학원 원장·강사·조교)
- 필수: 이름, 이메일, 비밀번호(단방향 해시), 학원명
- 선택: 사업자등록번호, 전화번호, 프로필 이미지
- 자동 수집: IP 주소, 접속 로그, 쿠키, 기기 정보, 서비스 이용 기록
1-2. 학원이 등록하는 학생
- 필수: 학생 이름
- 선택: 생년월일, 메모(강사 입력), 소속 반, 학부모 전화번호(AES-256 암호화), 카카오 수신동의 여부, 월 수강료·납부 상태
- 자동 생성: 학생 고유 코드(6자리 숫자, 학원 내 고유)
- 서비스 이용으로 생성: 시험 점수·채점 결과·오답 이력, 출결 이력, 상담·수업 메모, 수강료 납부 이력
1-3. 학부모 (비회원)
- 학부모 전화번호는 학원이 학생 등록 시 수집하며, 회사는 이를 암호화하여 보관하다가 학원의 요청에 따라 카카오 알림톡 발송에만 사용합니다.
- 성적 조회 페이지 접근 시 HMAC 토큰의 검증·사용 로그, 조회 시각을 기록합니다.
2. 개인정보의 처리 목적
- 회원 식별·인증·본인 확인
- 학원 업무 수행 지원(학생 관리, 반·시간표 운영, OMR 채점, 성적표 생성, 진도 기록)
- 출결 관리 및 학부모 출결 안내 알림 발송
- 학원 운영자의 학부모·학생 상담 기록 보관
- 수강료 청구·납부 관리·미납 안내
- 학부모의 수강료 비회원 결제 인프라 제공(통신판매중개) 및 결제 요청·영수증·환불 안내 알림톡 발송
- 수강료 환불 자동 계산(학원법 시행령 §18 별표4 강행규정) 및 카드 부분 취소 처리
- 학부모 알림톡·SMS 발송(성적·진도·공지)
- 매월 1일 자동 정기 학습 리포트 발송 (학부모의 별도 동의를 받은 학생에 한해 발송. 학부모는 학원에 통보하여 언제든 수신을 중단할 수 있음. 정통망법 §50 정합)
- 요금제 결제·청구·환불·영수증 발행
- Top-up 단발 결제 처리 및 사용량 차감 추적
- 부정 이용 방지, 보안 사고 대응
- 법령상 의무 이행(개인정보 보호법·세법·전자상거래법·정보통신망법·학원법)
- 이용자 문의 응대 및 공지사항 전달
- 채점 정확도 개선·부정 마킹 패턴 자동 탐지·서비스 통계 작성을 위한 이용 데이터 통계 처리(개인정보 보호법 제28조의2). 회사는 시험 답안·점수·OMR 마킹 패턴·메모·출결 등 이용 과정에서 생성된 정보를가명처리 또는 익명처리한 후 (1) 각 학원 내부의 부정 마킹·중복 답안 등 이상 패턴 자동 탐지, (2) 채점 알고리즘 정확도 향상, (3) 서비스 품질 개선을 위한 통계 작성에 활용할 수 있습니다. 가명·익명 처리된 정보의 결과물은 특정 개인을 식별할 수 없는 형태로만 산출되며, 학원·학생·학부모를 식별할 수 있는 raw 데이터가 다른 학원에 노출되거나 외부에 제공되지 않습니다. 가명정보 처리 안전조치는 보호법 시행령 제29조의5 기준을 따릅니다.
3. 개인정보의 보유 및 이용 기간
| 항목 | 보유 기간 | 근거 |
|---|---|---|
| 회원 계정 정보 | 서비스 이용 기간 · 탈퇴 후 5일 이내 파기 | 개인정보 보호법 제21조 |
| 학생 개인정보 | 재원 기간 · 퇴원 처리 후 5일 이내 파기 | 개인정보 보호법 제21조 |
| OMR 원본 이미지 (테스트) | 7일 후 자동 삭제 | 최소 수집 원칙 |
| OMR 원본 이미지 (숙제) | 30일 후 자동 삭제 | 최소 수집 원칙 |
| 성적표 PDF | 90일 후 자동 삭제 | 최소 수집 원칙 |
| 채점 결과 데이터 | 서비스 이용 기간 · 탈퇴 후 파기 | 계약 이행 |
| 출결 이력 | 3년 | 학원 운영 기록·민원 대응 기간 |
| 상담·수업 메모 | 3년 | 학원 운영 기록·민원 대응 기간 |
| 수강료 청구·납부 이력 | 5년 | 국세기본법 제85조의3(거래 증빙 보관) |
| 결제·세금계산서 기록 | 5년 | 전자상거래법 제6조, 국세기본법 |
| 소비자 불만·분쟁 처리 기록 | 3년 | 전자상거래법 제6조 |
| 접속 로그 | 6개월 | 통신비밀보호법 · 정보통신망법 |
4. 14세 미만 학생에 대한 특례
회사의 이용자는 학원·강사이며 학생은 회사와 직접 계약하지 않습니다. 다만 학원이 14세 미만 학생의 정보를 서비스에 등록할 경우, 학원은 「개인정보 보호법」 제22조에 따라 법정대리인(학부모)의 동의를 수집해야 합니다. 회사는 아래 지원을 제공합니다:
- 학생 등록 화면에서 "법정대리인 동의를 받으셨습니까?" 확인 체크박스 필수
- 표준 동의서 PDF 템플릿 제공(오프라인 수집용)
- 동의 기록 전산 보관
5. 개인정보의 제3자 제공
회사는 이용자의 사전 동의 없이 개인정보를 제3자에게 제공하지 않습니다. 아래는 학원(이용자)이 학부모에게 카톡 알림을 발송하기 위해 발생하는 제공 관계이며, 학원은 가입 시 이에 대해 학부모의 별도 동의를 받아야 합니다.
5-1. 회사와 학원의 처리 관계 (공동처리자 책임 분담)
회사는 학원이 등록한 학부모·학생 개인정보에 대해 「개인정보 보호법」 제26조 위탁자인 동시에, 다음 사항을 결정하므로 공동처리자(joint controller) 성격을 함께 가집니다:
- 개인정보 보관 기간 (본 방침 §3 표)
- 안전성 확보 조치 (HTTPS · AES-256 암호화 · RLS · HMAC 토큰)
- 학부모 알림 발송 채널 (카카오 알림톡 · SMS) 및 발송 정책
- 국외이전 수탁자 선정 (본 방침 §6 표)
반면 학원은 다음 사항을 책임집니다:
- 학부모/학생 개인정보 수집 동의 (필수 + 카카오 수신 동의 + 14세 미만 법정대리인 동의)
- 등록 정보의 정확성 (학부모 연락처 · 학생 정보 등)
- 동의 철회 요청 처리 및 정정·삭제 청구 1차 응대
- 학원이 알림톡·SMS 변수에 입력하는 본문의 적법성 (광고성 정보·민감 정보 미혼입)
학원이 본 책임을 위반하여 학부모로부터 분쟁이 제기될 경우, 회사는 보호법 제26조에 따라 학원에 대한 관리·감독 의무를 다하되, 1차 책임은 학원에게 귀속됩니다(이용약관 제8조). 회사는 학원과의 표준계약(DPA, Data Processing Agreement)을 사내 draft 부속서로 게시하며, 결제 정식 오픈 시점에 외부 변호사 1회 검토 후 안정 버전으로 갱신합니다. 이용자는 가입 시 본 방침에 동의함으로써 위 책임 분담에 동의합니다.
| 제공받는 자 | 목적 | 항목 |
|---|---|---|
| 카카오 (카카오 비즈메시지) | 알림톡 발송 | 수신자 전화번호, 알림톡 템플릿 변수(학생 이름·성적 등) |
6. 개인정보 처리의 위탁 및 국외 이전
서비스 제공을 위해 회사는 다음 업체에 개인정보 처리를 위탁하고 있습니다. 미국 등 국외 소재 업체에 이전되는 항목은 이용자의 별도 동의를 받습니다(개인정보 보호법 제28조의8).
| 수탁자 | 위탁 업무 / 이전 항목 | 이전 국가 | 이전 방법 | 보유 기간 |
|---|---|---|---|---|
| Supabase Inc. | 데이터베이스·인증·파일 저장 / 회원·학생·학부모 정보 일체 | 미국 (저장은 Seoul 리전, 모회사 접근 가능) | HTTPS(TLS 1.2+) 암호화 전송 | 위탁 계약 종료 시까지 |
| Vercel Inc. | 웹사이트 호스팅·CDN / 접속 로그·IP·요청 메타데이터 | 미국·글로벌 엣지 | HTTPS | 최대 30일 (Edge 캐시·로그) |
| Google LLC (Gemini API · 유료 플랜) | OMR 이미지 AI 분석 / 학생 이름·코드 포함 OMR 이미지·답안 텍스트 | 미국 | HTTPS · 유료 API 정책상 학습 미사용·응답 직후 폐기 (zero data retention) | 응답 직후 폐기 |
| Anthropic, Inc. (Claude API) | AI 보조 기능 (학부모 피드백 초안·월간 리포트 초안·자동 보충 학습지 생성·약점 분석 코멘트) / 학생 이름·점수·메모·출결 등 학습 관련 텍스트 | 미국 | HTTPS · API 정책상 학습 미사용·응답 직후 폐기 (zero data retention) | 응답 직후 폐기 |
| 포트원 (PortOne) | 회사 구독 결제(카드·간편결제), Top-up 단발 결제, 학부모 수강료 비회원 결제 sub-MID 라우팅(자금은 학원 가맹점 계좌로 직결, 회사 미보관) / 결제 카드 토큰·금액·이메일·결제 ID | 대한민국 | HTTPS | 전자상거래법·세법상 5년 |
| 솔라피 (Solapi) | 카카오 알림톡·SMS 발송 / 수신자 전화번호·메시지 변수 | 대한민국 | HTTPS · HMAC 인증 | 발송 후 90일 (내역 조회용) |
| Resend (Resend, Inc.) | 트랜잭션 이메일 발송 / 수신자 이메일·메시지 본문 | 미국 | HTTPS | 발송 후 30일 |
| Cloudflare, Inc. | 봇 차단(Turnstile)·DNS·CDN / IP·요청 헤더 | 미국·글로벌 엣지 | HTTPS | 최대 7일 (Edge 로그) |
| Sentry · PostHog | 오류·분석 이벤트 수집 / 사용자 ID·이벤트·세션 메타 | 미국 | HTTPS · 익명화·가명화 적용 | 최대 90일 |
이용자는 회원가입 시 본 국외 이전에 대해 별도 동의를 제공하며, 동의를 거부할 권리가 있으나 거부 시 본 서비스의 이용이 제한될 수 있습니다(국외 이전 없이는 클라우드 인프라 기반 서비스 제공이 사실상 불가능).
회사는 수탁자가 관련 법령을 위반하지 않도록 관리·감독하며, 위탁 종료 시 개인정보가 파기되도록 조치합니다.
7. 정보주체의 권리와 행사 방법
- 이용자는 언제든지 자신의 개인정보를 열람·정정·삭제·처리정지 요청할 수 있습니다.
- 서비스 내 설정 페이지에서 직접 변경·탈퇴가 가능하며, 그 외의 요청은 문의를 통해 접수합니다.
- 회사는 요청을 받은 날로부터 10일 이내에 조치 결과를 통지합니다.
- 학원이 등록한 학생·학부모 정보에 대한 열람·정정 요청은 원칙적으로 해당 학원(이용자)에게 청구하되, 회사는 학원이 처리할 수 있도록 지원합니다.
8. 개인정보의 파기 절차·방법
- 파기 사유가 발생한 경우 지체 없이, 법령상 보관 기간이 지난 후에는 해당 기간 종료 즉시 파기합니다.
- 전자 파일 형태의 정보는 복구·재생이 불가능한 방법으로 삭제합니다.
- 파일 형태로 저장된 OMR 이미지는 Supabase Storage에서 완전 삭제합니다.
9. 안전성 확보 조치
- 통신 구간 HTTPS(TLS 1.2+) 적용
- 비밀번호 bcrypt 단방향 해시
- 학부모 전화번호·연락처 등 민감 개인정보 AES-256 암호화 저장
- 학원 간 데이터 격리를 위한 PostgreSQL Row Level Security 정책
- API 키·DB 비밀번호 등은 서버 환경변수로만 관리, 코드에 포함하지 않음
- 접근 권한 최소화 및 관리자 활동 로그 1년 보관(이용자 5만명 초과 또는 민감정보·고유식별정보 처리 시 2년 자동 연장 — 개인정보 보호법 시행령 제30조)
- 연 1회 이상 자체 보안 점검
10. 자동 수집 장치(쿠키) 설치·운영
서비스는 이용자 경험 개선을 위해 쿠키를 사용합니다. 상세한 사용 목적·종류·거부 방법은 쿠키 정책에서 확인할 수 있습니다.
11. 개인정보 유출 시 통지
개인정보 유출을 인지한 경우 정보주체에게 72시간 이내로 통지하며, 유출 원인·피해 규모·대응 조치를 포함하여 투명하게 안내합니다(개인정보 보호법 제34조 + 시행령 제40조).
- 1천명 이상 정보주체에 영향 또는 민감정보·고유식별정보가 유출된 경우: 즉시 개인정보보호위원회 + KISA 개인정보침해신고센터(118)에 동시 신고합니다(보호법 제34조 제2항).
- 통지 방법: 이메일 + 서비스 내 공지. 대규모 유출 시 일간지 등 일반 공지 매체 추가 공고(시행령 제39조).
- 대응 절차: 유출 인지 → 24시간 이내 1차 통지(개략 사실관계) → 72시간 이내 정식 통지(원인·범위·조치) 2단계.
12. 개인정보 보호책임자
- 책임자 직책: 채점쏙 운영 책임자
※ 본 서비스는 개발·베타 진행 중이며, 사업자등록 완료 시점에 실명·직위·전화번호로 갱신됩니다. 그 시점까지의 개인정보 분쟁·민원 ·열람·정정·삭제·처리정지 요청은 아래 이메일을 통해 운영자가 직접 접수·처리합니다 (영업일 기준 10일 이내 응답). - 책임자 연락처: support@chaejeom-ssok.com
- 개인정보 분쟁·민원·열람·정정·삭제·처리정지 요청은 위 이메일로 접수하면 영업일 기준 10일 이내 응답합니다.
13. 권익 침해 구제 방법
- 개인정보분쟁조정위원회: 1833-6972 / www.kopico.go.kr
- 개인정보침해신고센터: 118 / privacy.kisa.or.kr
- 대검찰청 사이버수사과: 1301 / www.spo.go.kr
- 경찰청 사이버수사국: 182 / ecrm.police.go.kr
14. 방침의 변경
본 방침은 시행일 기준 적용되며, 법령·서비스 변경에 따라 수정될 경우 시행일 7일 전(중대한 변경은 30일 전) 공지합니다.