클라우드
워크스페이스
이용약관

개인정보처리방침 개정안

공고일자: 2026년 5월 11일

시행일자: 2026년 5월 18일

썸플(이하 “회사”)는 「개인정보 보호법」 등 관련 법령에 따라 정보주체의 개인정보를 보호하고, 이와 관련한 고충을 신속하고 원활하게 처리하기 위하여 다음과 같이 개인정보처리방침을 수립·공개합니다.

제1조 (목적)

본 개인정보처리방침은 회사가 운영하는 “썸플” 관련 제반 서비스의 이용과 관련하여 정보주체의 개인정보를 수집, 이용, 보관, 제공, 위탁, 이전 및 파기하는 기준과 절차를 규정함을 목적으로 합니다.

제2조 (개인정보의 수집·이용)

  1. 회사는 고객 식별, 서비스 제공, 계약 이행, 결제 처리, 고객지원, 서비스 운영, 보안, 장애 대응, 품질 관리, 고객이 요청한 AI 기능 제공 및 법령 준수를 위하여 개인정보를 수집·이용합니다. AI 모델 학습, 재학습, 미세조정, 데이터셋 구축, 홍보자료 활용 또는 서비스 제공 범위를 초과한 연구개발·상업적 활용은 관련 법령에 따라 별도의 동의를 받은 경우에 한하여 수행합니다.
  2. 회사는 다음과 같은 개인정보를 수집·이용할 수 있습니다.

가. 회원가입, 로그인, 본인 여부 확인, SSO 연동

  • 이름 또는 닉네임, 아이디, 비밀번호, 이메일주소, 구글 계정 또는 기타 소셜 로그인 정보, 계정 식별자

나. 계약 이행 및 고객 문의 처리

  • 아이디, 이메일주소, 전화번호, 회사명, 소속, 문의 내용, 첨부자료, 상담이력

다. 서비스 이용 및 결제

  • 수령인정보, 결제정보, 구매내역, 결제수단 정보, 현금영수증정보, 세금처리 정보

라. 서비스 제공, AI 기능 수행, 품질 관리

  • 영상 파일, 음성 파일, 이미지 파일, 텍스트, 자막, 링크, 프롬프트, 편집 지시, 프로젝트 정보, 요약 결과물, 생성 결과물, 파생 산출물, 파일 메타데이터, 사용 로그, 피드백

마. 서비스 보안 및 운영

  • IP 주소, 쿠키, 접속 일시, 서비스 이용기록, 브라우저 및 기기 정보, 에러 로그, 세션 정보

바. 마케팅 및 프로모션

  • 이름, 이메일주소, 전화번호 단, 광고성 정보 발송은 정보주체의 동의가 있는 경우에 한합니다.
  1. 회사는 수집한 개인정보를 다음 목적을 위하여 이용할 수 있습니다.
    1. 회원가입 의사의 확인, 연령 확인, 고객 식별, 계정관리, 회원탈퇴 의사의 확인 등 회원관리
    2. 서비스 제공, 파일 처리, 프로젝트 관리, 고객지원, 결제 및 정산, 환불 처리 등 계약의 이행
    3. 서비스 운영, 유지보수, 장애 대응, 품질 개선, 고객 경험 개선, 기능 최적화
    4. 고객이 요청한 AI 기능 제공, 결과물 생성, 오류 대응, 품질 관리 및 안전성 점검
    5. 별도 동의를 받은 경우에 한한 AI 모델 학습, 재학습, 미세조정, 데이터셋 구축, 연구개발 및 상업적 활용
    6. 개인을 식별할 수 없는 통계 작성, 서비스 이용 분석 및 내부 운영 개선
    7. 부정 이용 행위 방지 및 제재, 계정도용 방지, 보안 대응, 법령 준수, 분쟁 해결
    8. 이벤트 정보 및 참여기회 제공, 광고성 정보 제공 등 마케팅 및 프로모션 목적
  2. 회사는 고객 콘텐츠 및 관련 데이터를 고객이 요청한 서비스 제공, AI 기능 수행, 보안, 장애 대응, 품질 관리 및 고객지원에 필요한 범위에서 처리합니다. AI 모델 학습, 데이터셋 구축, 홍보, 연구개발 또는 상업적 활용 목적의 처리는 별도의 동의를 받은 경우에 한하여 수행합니다.
  3. 회사는 고객의 개인정보를 수집·이용할 경우 관련 법령상 근거가 없는 한 필요한 동의 또는 고지를 거쳐 처리합니다.
  4. 회사는 회원 가입을 만 14세 이상인 경우에 가능하도록 하며, 만 14세 미만 아동의 개인정보는 원칙적으로 수집하지 않습니다.
  5. 회사는 원칙적으로 주민등록번호 등 고유식별정보 및 민감정보를 수집하지 않습니다. 다만, 고객이 업로드한 콘텐츠에 민감정보가 포함되는 경우 회사는 고객이 요청한 서비스 제공에 필요한 범위에서만 이를 처리하며, 별도의 법령상 근거 또는 동의 없이 AI 모델 학습, 데이터셋 구축, 홍보 또는 상업적 활용 목적으로 이용하지 않습니다.
  6. 민감정보 처리에 별도의 동의 또는 법령상 근거가 필요한 경우 회사는 관련 법령에 따라 별도 동의를 받거나 적법한 처리근거를 확인합니다.

제3조 (개인정보의 수집 방법)

회사는 다음과 같은 방법으로 개인정보를 수집할 수 있습니다.

  1. 회원가입, 로그인, 결제, 문의, 업로드, 프로젝트 생성, 서비스 이용 과정에서 고객이 직접 입력하는 방법
  2. Google 등 외부 로그인 또는 연동 서비스를 통하여 제공받는 방법
  3. 결제대행사, 인증서비스 제공자, 클라우드, AI 기술 제공자 등 외부 사업자로부터 처리 결과를 제공받는 방법
  4. 서비스 이용 과정에서 자동으로 생성·수집되는 방법

제4조 (수집한 개인정보의 이용)

  1. 회사는 수집한 개인정보를 제2조에서 고지한 목적 범위 내에서 이용합니다.
  2. 회사는 고객이 업로드하거나 입력한 콘텐츠에 포함된 개인정보를 고객이 요청한 서비스 제공, AI 기능 수행, 보안, 장애 대응, 품질 관리 및 고객지원에 필요한 범위에서 처리합니다.
  3. 회사는 정보주체의 동의 없이 개인정보를 수집 목적의 범위를 초과하여 이용하지 않습니다. 다만, 관련 법령에서 허용하거나 별도의 동의 또는 적법한 처리근거가 있는 경우에는 예외로 합니다.
  4. 회사는 통계 작성, 서비스 분석, 품질 개선을 위하여 필요한 경우 비식별화 또는 가명처리 등 보호조치를 적용할 수 있습니다.

제5조 (개인정보의 제3자 제공)

  1. 회사는 원칙적으로 정보주체의 개인정보를 외부에 제공하지 않습니다.
  2. 다만, 다음 각 호의 경우에는 예외로 합니다.
    1. 정보주체가 사전에 동의한 경우
    2. 법령에 특별한 규정이 있거나 수사기관, 법원 기타 국가기관이 적법한 절차에 따라 요청한 경우
    3. 정보주체 또는 제3자의 급박한 생명, 신체, 재산 이익을 위하여 필요하다고 인정되는 경우
    4. 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 가명처리한 경우 등 관련 법령이 허용하는 경우
  3. 회사가 개인정보를 제3자에게 제공하는 경우에는 제공받는 자, 제공 목적, 제공 항목, 보유 및 이용기간 등을 별도로 고지하고 필요한 경우 동의를 받습니다.
  4. 회사는 정보주체의 개인정보를 판매하지 않습니다. 향후 개인정보 판매 또는 타겟 광고 목적 처리가 발생하는 경우, 회사는 관련 법령에 따라 사전 고지하고 필요한 동의 또는 옵트아웃 수단을 제공합니다.

제6조 (개인정보의 처리위탁)

  1. 회사는 원활한 서비스 제공과 운영을 위하여 다음과 같이 개인정보 처리업무를 위탁할 수 있습니다.

가. 토스페이먼츠(주)

  • 국내 결제 처리, 환불 처리, 결제 관련 고객응대

나. Stripe, Inc.

  • 국외 결제 처리, 환불 처리, 결제 관련 고객응대

다. Vercel Inc.

  • 웹서비스 호스팅, 배포, 성능 관리, 로그 기반 운영 지원

라. Amazon Web Services INC

  • 데이터베이스 저장 및 관리, 백엔드/API 서버 운영, 파일 저장, AI 기능 처리, 프롬프트·입력 데이터·업로드 파일·결과물 처리, 서비스 로그 관리, 보안 및 오남용 방지, 장애 대응, 서비스 운영을 위한 클라우드 인프라 제공
  1. 회사는 위탁계약 체결 시 관련 법령에 따라 수탁자의 개인정보 보호조치, 재위탁 제한, 기술적·관리적 보호조치, 감독 의무 등을 계약에 반영합니다.
  2. 위탁업무의 내용 또는 수탁자가 변경되는 경우 회사는 본 개인정보처리방침을 통하여 지체 없이 공개합니다.

제7조 (개인정보의 국외 이전)

  1. 회사는 서비스 제공, AI 기능 수행, 데이터 저장 및 운영을 위하여 개인정보를 국외에 이전할 수 있습니다.
  2. 회사의 주요 국외 이전 내역은 다음과 같습니다.

가. Stripe, Inc.

  • 이전 국가: 미국 등 Stripe가 개인정보 처리 및 저장 인프라를 운영하는 국가
  • 이전 시점 및 방법: 이용자가 국외 결제 또는 카드 결제 등 Stripe를 통한 결제를 진행하는 경우 정보통신망을 통한 수시 전송
  • 이전 항목: 이름, 이메일 주소, 결제수단 정보, 카드 정보 일부 또는 결제 토큰, 결제 승인·취소·환불 내역, 청구 정보, 결제 관련 식별자, IP 주소, 기기 및 브라우저 정보 등 결제 처리에 필요한 정보
  • 이전 목적: 국외 결제 처리, 결제 승인, 정산, 환불 처리, 부정거래 방지, 결제 관련 고객응대 및 분쟁 대응
  • 보유 및 이용기간: 결제 처리 및 위탁 목적 달성 시까지 또는 관련 계약 종료 시까지. 다만, 관련 법령, 결제망 규정, 부정거래 방지 및 분쟁 대응을 위하여 필요한 정보는 해당 목적 달성에 필요한 기간 동안 보관될 수 있음
  • 이전받는 자의 연락처: https://stripe.com/privacy

나. Vercel Inc.

  • 이전 국가: 미국 등 Vercel이 데이터 처리 및 저장 인프라를 운영하는 국가
  • 이전 시점 및 방법: 서비스 이용 시 정보통신망을 통한 수시 전송
  • 이전 항목: 접속 로그, IP 주소, 브라우저 정보, 요청 정보, 기기 정보, 페이지 이용 기록 등 웹서비스 제공 및 보안·성능 관리에 필요한 정보
  • 이전 목적: 웹서비스 프론트엔드 호스팅, 배포, 보안, 성능 최적화, 트래픽 관리 및 장애 대응
  • 보유 및 이용기간: 위탁 목적 달성 시까지 또는 관련 계약 종료 시까지
  • 이전받는 자의 연락처: https://vercel.com/legal/privacy-policy

다. Amazon Web Services INC

  • 이전 국가: 미국 등 AWS가 데이터 처리 및 저장 인프라를 운영하는 국가
  • 이전 시점 및 방법: 회원가입, 서비스 이용, 프로젝트 생성, 파일 업로드, AI 기능 이용, 결과물 생성 등 서비스 이용 과정에서 정보통신망을 통한 수시 전송
  • 이전 항목: 회원정보, 접속 로그, IP 주소, 인증 및 보안 관련 정보, 프롬프트, 입력 텍스트, 업로드 파일, 프로젝트 데이터, 생성 결과물, 메타데이터, 데이터베이스 저장 정보, 백엔드/API 요청 및 응답 데이터 등 서비스 제공에 필요한 범위의 정보
  • 이전 목적: 데이터베이스 저장 및 관리, 백엔드/API 서버 운영, 파일 저장, AI 기능 처리, 요약·생성·분석 등 고객이 요청한 기능 제공, 보안 및 오남용 방지, 장애 대응, 로그 관리, 서비스 운영 및 기술 지원
  • 보유 및 이용기간: 서비스 제공 및 위탁 목적 달성 시까지 또는 관련 계약 종료 시까지. 다만, 보안, 오남용 방지, 장애 대응 및 법령 준수를 위하여 필요한 로그 등은 관련 정책 및 법령에 따라 제한된 기간 동안 보관될 수 있음
  • 이전받는 자의 연락처: https://aws.amazon.com/privacy
  1. 정보주체는 개인정보의 국외 이전을 원하지 않을 경우 고객센터 또는 개인정보 보호책임자에게 문의할 수 있습니다. 다만, 국외 이전이 서비스 제공에 필수적인 경우 서비스 이용이 제한될 수 있습니다.

제8조 (고객 개인정보의 보유 및 이용기간)

  1. 회사는 개인정보를 원칙적으로 고지 및 약정한 기간 동안 보유 및 이용하며, 개인정보의 수집 및 이용목적이 달성되거나 정보주체의 삭제 또는 파기 요청이 있는 경우 지체 없이 파기합니다.
  2. 다만, 다음 각 호의 경우에는 해당 기간 동안 보관할 수 있습니다.

가. 회원정보

  • 회원 탈퇴 시까지 다만, 부정이용 방지, 분쟁 대응, 미납요금 확인 기타 필요한 경우 관련 법령이 허용하는 범위에서 별도 보관 가능

나. 고객 콘텐츠 및 결과물

  • 고객이 삭제하거나 이용계약이 종료될 때까지. 다만, 백업 및 장애 복구를 위하여 삭제 후 최대 30일 동안 보관될 수 있으며, 분쟁 대응 또는 법령상 보관이 필요한 경우 해당 목적 달성 또는 법정 보관기간 종료 시까지 분리 보관될 수 있음

다. 관련 법령에 따른 보관

  • 통신비밀보호법: 로그기록, IP 등 3개월
  • 전자상거래법: 표시·광고 기록 6개월
  • 전자상거래법: 계약 또는 청약철회, 대금결제 및 재화·서비스 공급 기록 5년
  • 전자상거래법: 소비자 불만 또는 분쟁처리 기록 3년
  • 전자금융거래법: 전자금융거래 기록 5년
  • 국세기본법 등 세법: 세무 관련 증빙자료 법정 보관기간
  1. 개인정보가 삭제 또는 파기된 이후에도, 법령상 보관 의무가 있는 정보, 분쟁 대응 자료, 보안 로그 및 백업 데이터는 필요한 기간 동안 분리 보관될 수 있습니다. 개인을 식별할 수 없는 통계정보 또는 비식별 정보는 서비스 운영 및 개선을 위하여 이용될 수 있으나, AI 모델 학습, 데이터셋 구축, 연구개발 또는 상업적 활용 목적의 처리는 별도의 동의를 받은 경우에 한하여 수행합니다.

제9조 (개인정보의 파기절차 및 방법)

  1. 회사는 개인정보 보유기간의 경과, 처리목적 달성, 회원 탈퇴 등으로 개인정보가 불필요하게 되었을 때에는 지체 없이 해당 개인정보를 파기합니다.
  2. 다만, 관련 법령에 따라 보존하여야 하는 경우에는 해당 개인정보를 다른 개인정보와 분리하여 안전하게 보관한 후 법정 보존기간 종료 시 파기합니다.
  3. 파기절차는 다음과 같습니다.
    1. 파기 사유가 발생한 개인정보 선정
    2. 내부 승인 또는 자동화된 절차에 따른 파기 대상 확정
    3. 복구 또는 재생되지 않도록 안전한 방식으로 삭제 또는 폐기
  4. 파기방법은 다음과 같습니다.
    1. 전자적 파일 형태의 개인정보: 복구 및 재생이 불가능하거나 현저히 곤란한 방법으로 영구 삭제
    2. 종이 문서 형태의 개인정보: 분쇄 또는 소각

제10조 (정보주체와 법정대리인의 권리·의무 및 행사방법)

  1. 정보주체는 회사에 대하여 언제든지 다음 각 호의 권리를 행사할 수 있습니다.
    1. 개인정보 열람 요구
    2. 개인정보 정정·삭제 요구
    3. 개인정보 처리정지 요구
    4. 동의 철회 요구
    5. 자동화된 결정에 대한 거부, 설명 또는 검토 요구
    6. 기타 관련 법령이 보장하는 권리
    7. 적용 법령상 허용되는 경우 개인정보 판매, 타겟 광고 목적 처리, 프로파일링에 대한 거부 또는 옵트아웃 요구
    8. 개인정보 권리 요청 거절에 대한 이의제기
  2. 권리행사는 고객센터 또는 개인정보 보호책임자에게 전자우편 등으로 요청할 수 있습니다.
  3. 회사는 정보주체의 권리행사 요청을 받은 경우 지체 없이 필요한 조치를 하고 그 결과를 안내합니다.
  4. 정보주체는 자신의 개인정보를 정확하고 최신의 상태로 유지하여야 하며, 부정확한 정보 입력 또는 미수정으로 발생하는 불이익에 대하여 책임을 질 수 있습니다.
  5. 델라웨어주 거주자 등 적용 법령상 권리를 가지는 정보주체는 관련 법령에 따라 개인정보 처리 여부 확인, 열람, 정정, 삭제, 사본 제공, 제3자 제공 내역 확인, 판매 또는 타겟 광고 목적 처리에 대한 거부, 이의제기 권리를 행사할 수 있습니다.
  6. 회사가 권리행사 요청을 거절하는 경우, 정보주체는 회사가 안내하는 절차에 따라 이의를 제기할 수 있으며, 회사는 관련 법령에서 정한 기간 내에 이를 검토하고 결과를 안내합니다.

제11조 (자동수집 장치의 설치·운영 및 거부)

  1. 회사는 서비스 이용 편의성, 로그인 유지, 보안, 이용통계 분석 등을 위하여 쿠키, 세션, 로그 등 자동수집 장치를 사용할 수 있습니다.
  2. 회사가 수집할 수 있는 정보는 브라우저 종류, 접속 IP, 접속 일시, 방문기록, 이용기록, 기기 정보, 세션 식별자 등입니다.
  3. 정보주체는 웹브라우저 설정을 통하여 쿠키 저장을 거부하거나 삭제할 수 있습니다. 다만, 쿠키 저장을 거부하는 경우 일부 로그인 유지 기능이나 개인화 기능 이용이 제한될 수 있습니다.
  4. 회사가 타겟 광고, 제3자 광고 쿠키 또는 유사한 추적 기술을 사용하는 경우, 회사는 관련 법령에 따라 그 사실, 이용 목적 및 거부 방법을 고지하고 필요한 동의 또는 옵트아웃 수단을 제공합니다.

제12조 (개인정보의 안전성 확보조치)

회사는 개인정보의 안전성 확보를 위하여 다음과 같은 조치를 하고 있습니다.

  1. 개인정보 보호를 위한 내부관리계획 수립 및 시행
  2. 개인정보 접근권한의 최소화 및 권한관리
  3. 임직원 및 수탁자에 대한 개인정보 보호 교육
  4. 개인정보 처리시스템에 대한 접근통제 및 접속기록 관리
  5. 개인정보의 암호화 또는 이에 준하는 보호조치
  6. 보안프로그램 설치, 취약점 점검, 침해사고 대응체계 운영
  7. 물리적 접근 통제 및 백업 관리

제13조 (AI 처리 및 자동화된 결정에 관한 안내)

  1. 회사는 서비스 제공 과정에서 AI 기능을 활용하여 고객 콘텐츠를 분석하고 요약, 생성, 편집, 분류, 추천 또는 기타 결과물을 생성할 수 있습니다.
  2. 회사는 고객 콘텐츠 및 그에 포함된 개인정보를 고객이 요청한 AI 기능 제공, 결과물 생성, 품질 관리, 보안, 장애 대응 및 오남용 방지에 필요한 범위에서 처리할 수 있습니다.
  3. 회사가 고객 콘텐츠 또는 관련 데이터를 AI 모델 학습, 재학습, 미세조정, 데이터셋 구축, 연구개발, 홍보 또는 상업적 활용 목적으로 이용하는 경우에는 관련 법령에 따라 별도의 동의를 받습니다.
  4. 정보주체는 회사가 완전히 자동화된 시스템으로 개인정보를 처리하여 이루어지는 결정이 자신의 권리 또는 의무에 중대한 영향을 미치는 경우, 해당 결정의 거부, 설명 또는 검토를 요구할 수 있습니다.
  5. 회사는 자동화된 결정 관련 요구가 있는 경우 관련 법령에 따라 처리합니다.

제14조 (개인정보 보호책임자)

회사는 개인정보 처리에 관한 업무를 총괄하고, 개인정보 처리와 관련한 정보주체의 불만처리 및 피해구제 등을 위하여 아래와 같이 개인정보 보호책임자를 지정하고 있습니다.

정보주체는 회사의 서비스를 이용하면서 발생한 모든 개인정보 보호 관련 문의, 불만처리, 피해구제 등에 관한 사항을 개인정보 보호책임자에게 문의할 수 있습니다. 회사는 정보주체의 문의에 대해 지체 없이 답변 및 처리하도록 노력합니다.

제15조 (권익침해 구제방법)

정보주체는 개인정보 침해에 대한 신고나 상담이 필요한 경우 아래 기관에 문의할 수 있습니다.

  1. 개인정보분쟁조정위원회: www.kopico.go.kr
  2. 개인정보침해신고센터: privacy.kisa.or.kr
  3. 대검찰청: www.spo.go.kr
  4. 경찰청 사이버수사국: ecrm.police.go.kr
  5. 델라웨어 개인정보 관련 문의 또는 신고: Delaware Department of Justice Personal Data Privacy Portal (https://attorneygeneral.delaware.gov/fraud/personal-data-privacy-portal/)

제16조 (고지의 의무)

  1. 회사는 본 개인정보처리방침을 개정하는 경우 시행일자, 개정사유 등을 명시하여 서비스 화면 또는 홈페이지를 통하여 공지합니다.
  2. 내용의 추가, 삭제 또는 수정이 있는 경우에는 시행일 7일 전부터 공지합니다. 다만, 정보주체의 권리에 중대한 영향을 미치는 변경의 경우에는 시행일 30일 전부터 공지합니다.

부칙

본 개인정보처리방침은 2026년 5월 18일부터 시행합니다.