K-LCI Hub 개인정보처리방침
시행일: 2026-06-23 (예정) 버전: 1.0 (베타) 상태: 베타 운영 기준 초안 — 정식 서비스 전 최종 고지 예정. 준거 법령: 대한민국 「개인정보 보호법」(2024 개정), 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」, GDPR(EU 사용자 적용 시)
K-LCI Hub(이하 "회사")는 정보주체의 자유와 권리 보호를 위해 「개인정보 보호법」 및 관계 법령이 정한 바를 준수합니다. 본 개인정보처리방침은 회사가 어떤 개인정보를 수집·이용·보관하며, 정보주체가 어떤 권리를 행사할 수 있는지를 안내합니다.
1. 개인정보 처리 목적
회사는 다음 목적을 위해 개인정보를 처리합니다. 처리 중인 개인정보는 다음 목적 이외의 용도로 이용되지 않으며, 이용 목적이 변경될 경우 「개인정보 보호법」에 따라 별도의 동의를 받는 등 필요한 조치를 이행합니다.
- 회원 식별 및 인증: 회원가입, 로그인, 비밀번호 관리
- 서비스 제공: 활동데이터 산정, 프로젝트 관리, 산정 결과·근거 패키지 생성, 시나리오 분석
- 고객 지원: 문의 응대, 공지·안내 발송
- 법령상 의무 이행: 관련 법령에서 요구하는 경우
2. 수집하는 개인정보 항목 및 보유 기간
2.1 회원이 직접 입력하는 개인정보
| 항목 | 수집 시점 | 필수/선택 | 처리 목적 | 보유 기간 |
|---|---|---|---|---|
| 이메일 주소 | 회원가입 | 필수 | 회원 식별, 로그인, 알림 | 회원 탈퇴 시까지 |
| 비밀번호 | 회원가입 | 필수 | 인증 (Argon2 단방향 해시 저장, 평문 저장 X) | 회원 탈퇴 시까지 |
| 표시명(이름) | 회원가입 | 선택 | 화면 표시 | 회원 탈퇴 시까지 |
| 조직명(소속 회사) | 회원가입 | 필수 | 워크스페이스 식별 | 조직 내 마지막 회원 탈퇴 시까지 |
2.2 자동으로 수집되는 정보
| 항목 | 처리 목적 | 보유 기간 |
|---|---|---|
| IP 주소 | 부정 접근 차단, 보안 모니터링 | 90일 |
| 쿠키, 세션 식별자 | 로그인 유지 | 세션 종료 시까지 |
| JWT 토큰 | 인증 (24시간 만료) | 토큰 만료 시까지 |
| 서비스 이용 로그 (접속 시각, API 호출 등) | 서비스 품질 개선, 장애 대응 | 90일 |
2.3 회원이 본 서비스에 입력하는 활동데이터·산정 결과
활동데이터(원료·연료·전력 사용량), 프로젝트 정보, 산정 결과는 일반적으로 개인정보에 해당하지 않으나, 회원이 입력한 영업 정보로서 회사는 이를 회원의 자료로 보관하며 본 약관 제10조의 데이터 소유권 조항에 따라 처리합니다.
2.4 보유 기간 종료 후 처리
- 보유 기간이 종료된 개인정보는 지체 없이 파기합니다.
- 단, 「전자상거래 등에서의 소비자보호에 관한 법률」, 「통신비밀보호법」 등 관련 법령에서 정한 보관 기간이 있는 경우 해당 기간만큼 별도 보관 후 파기합니다.
3. 개인정보의 처리 위탁 및 외부 제공
회사는 서비스 제공을 위해 다음 외부 사업자에게 개인정보 처리를 위탁합니다.
| 수탁자 | 위탁 업무 | 위탁 정보 | 보유 기간 |
|---|---|---|---|
| Render Inc. (미국) | 백엔드 호스팅 및 데이터베이스 운영 | 회원 식별 정보, 활동데이터, 산정 결과, 로그 일체 | 위탁 계약 종료 시까지 |
| Vercel Inc. (미국) | 프론트엔드 호스팅, CDN | IP 주소, 쿠키, 접속 로그 | 위탁 계약 종료 시까지 |
| Anthropic PBC (미국) | Claude API를 통한 AI 매칭·요약 처리 | 활동데이터의 일부(raw_name 등 산정 매칭 입력값) | 호출 시점 처리 후 즉시 (Anthropic 자체 보존 정책에 따름) |
| OpenAI, L.L.C. (미국, 향후 도입 예정) | 표준 문서 검색용 임베딩 처리 | 사용자 활동데이터는 전송하지 않음. 표준 문서(CDP·SBTi·GHG Protocol PDF) 문단만 임베딩 처리 | 호출 시점 처리 후 즉시 |
| GitHub Inc. (미국) | 소스 코드 저장소 | 개인정보 미위탁 (코드만) | 해당 없음 |
| 공공데이터포털 (data.go.kr / odcloud.kr) | KEITI EPD OpenAPI 등 공공 데이터 조회 | API 키만 (사용자 데이터 미전송) | 해당 없음 |
회사는 위탁계약 시 「개인정보 보호법」 제26조에 따라 위탁업무 수행목적 외 개인정보 처리 금지, 기술적·관리적 보호조치, 재위탁 제한, 수탁자에 대한 관리·감독, 손해배상 등 책임에 관한 사항을 계약서 등 문서에 명시하고 위탁업무를 감독합니다.
4. 개인정보의 국외 이전
회사는 서비스 제공을 위해 다음과 같이 개인정보를 국외 이전합니다. 회원은 회원가입 시 본 항목에 대해 별도 동의를 제공합니다.
| 이전 받는 자 | 이전 국가 | 이전 일시 및 방법 | 이전 항목 | 이용 목적 | 보유 기간 |
|---|---|---|---|---|---|
| Render Inc. | 미국 | 회원가입 즉시·서비스 이용 중 상시 (네트워크 전송) | 회원 식별 정보, 활동데이터, 산정 결과, 접속 로그 | 백엔드·DB 운영 | 위탁 종료 시까지 |
| Vercel Inc. | 미국 | 서비스 이용 시 상시 (네트워크 전송) | IP, 쿠키, 접속 로그 | 프론트엔드 호스팅 | 위탁 종료 시까지 |
| Anthropic PBC | 미국 | API 호출 시점 (네트워크 전송) | 활동데이터 raw_name 등 일부 | AI 매칭 처리 | 호출 시점 즉시 |
| OpenAI, L.L.C. | 미국 (향후) | 표준 문서 적재 시 (네트워크 전송) | 표준 PDF 청크 (개인정보 미포함) | 임베딩 생성 | 호출 시점 즉시 |
회원은 본 개인정보처리방침의 국외 이전 동의를 거부할 권리가 있습니다. 단, 거부 시 본 서비스 이용이 제한될 수 있습니다.
5. 정보주체의 권리·의무 및 행사 방법
회원은 「개인정보 보호법」 제35조부터 제37조에 따라 다음 권리를 행사할 수 있습니다.
- 개인정보 열람권: 본인의 개인정보 처리 현황 조회 (서비스 내
/auth/me또는 이메일 요청) - 개인정보 정정·삭제권: 본인 정보의 정정 또는 삭제 요청
- 개인정보 처리정지권: 개인정보 처리 중단 요청
- 개인정보 처리에 대한 동의 철회권: 회원 탈퇴 또는 부분 철회
권리 행사는 다음 방법으로 가능합니다.
- 서비스 내 회원 메뉴 (V1: 일부 기능은 베타 기간 미구현 — 이메일 요청으로 대체)
- 이메일: (회사 지정 이메일 주소) ← 변호사 검토 시 확정 필요
회사는 권리 행사 요청 접수 후 지체 없이(10일 이내) 조치하며, 처리 결과를 회원에게 통지합니다.
6. 개인정보의 안전성 확보 조치
회사는 「개인정보 보호법」 제29조에 따라 다음 안전성 확보 조치를 취하고 있습니다.
6.1 기술적 조치
- 비밀번호 단방향 암호화: Argon2id 알고리즘으로 해시 저장 (평문·복호화 가능 형태 저장 X)
- 인증 토큰: JWT(HS256) 24시간 만료, secret은 환경변수에만 저장
- 전송 암호화: HTTPS/TLS 1.2 이상 (Render, Vercel 자동 적용)
- 저장 암호화: Render PostgreSQL 저장 데이터 자동 암호화 (AT REST)
- 데이터 격리: Multi-tenancy 기반 organization_id 격리, 다른 조직의 데이터 접근 불가
6.2 관리적 조치
- 개인정보 접근 권한 관리: 회사 운영자에 한해 최소 권한 원칙 적용
- 개인정보 처리시스템 접근 통제: Render Dashboard 2FA 필수
- 외부 위탁사에 대한 관리·감독: 본 처리방침 §3에 따라 위탁계약 명시 및 감독
6.3 물리적 조치 (해당 없음)
회사는 자체 서버를 운영하지 않으며 클라우드 위탁사(Render, Vercel)의 물리적 보안 정책을 따릅니다.
7. 개인정보 보호책임자 및 담당자
회사는 개인정보를 보호하고 개인정보와 관련한 불만을 처리하기 위하여 다음과 같이 개인정보 보호책임자를 지정합니다.
| 구분 | 성명 | 직위 | 연락처 |
|---|---|---|---|
| 개인정보 보호책임자 | (회원 본인 또는 별도 지정) | 대표 | 이메일: (지정 필요) |
| 개인정보 처리 담당 | (동일) | 대표 | 이메일: (지정 필요) |
변호사 검토 시 확정 필요: 사용자 본인이 베타 단계에서 개인정보 보호책임자를 겸할 것인지, 별도 담당자 지정할 것인지 결정.
회원은 개인정보 처리에 관한 문의·불만 등을 위 책임자에게 제기할 수 있으며, 회사는 지체 없이 답변·처리합니다.
8. 개인정보 침해에 대한 권리 구제
회원은 개인정보 침해로 인한 구제를 받기 위하여 다음 기관에 분쟁 해결이나 상담을 신청할 수 있습니다.
- 개인정보 분쟁조정위원회: (국번 없이) 1833-6972, https://www.kopico.go.kr
- 개인정보 침해 신고센터: (국번 없이) 118, https://privacy.kisa.or.kr
- 대검찰청 사이버범죄수사단: (국번 없이) 1301, https://www.spo.go.kr
- 경찰청 사이버수사국: (국번 없이) 182, https://ecrm.cyber.go.kr
9. 자동화된 의사결정에 대한 정보주체의 권리 (개인정보 보호법 제37조의2)
회사는 K-LCI Hub의 산정·매칭·시나리오·CDP/SBTi 자가 진단 등 일부 처리에서 AI(Claude API, 향후 OpenAI 임베딩) 등 자동화된 의사결정을 활용합니다. 회원은 다음 권리를 행사할 수 있습니다.
- 자동화된 의사결정에 대한 설명 요구권
- 거부권 (서비스 이용 제한 가능)
- 사람에 의한 검토 및 재처리 요구권 (베타 기간에는 이메일 요청으로 처리)
10. 쿠키(Cookie) 운영
회사는 회원의 로그인 유지·서비스 사용 편의를 위해 쿠키를 사용합니다.
- 사용 목적: 인증 토큰(JWT) 보관, 세션 식별, 사용자 환경설정 저장
- 보관 기간: 토큰 24시간, 환경설정 무제한 (브라우저 설정 시까지)
- 거부 방법: 브라우저 설정에서 쿠키 차단 가능 (단, 로그인 등 서비스 이용에 제한 발생)
11. 개인정보처리방침의 변경
본 개인정보처리방침은 2026-06-23부터 적용됩니다. 법령·정책·서비스 변경에 따라 본 방침이 변경될 수 있으며, 변경 시 시행일 7일 전(중대한 변경의 경우 30일 전)까지 서비스 내 공지·이메일을 통해 통지합니다.
변호사 검토 시 확인 권장 항목
- 개인정보 보호책임자 지정 (§7): 사용자 본인 정보(성명·이메일) 또는 별도 담당자 명시 필요
- 국외 이전 동의 분리 (§4): 한국 개인정보보호법 제28조의8(2024 개정)에 따라 국외 이전은 별도 동의 필수 — 회원가입 동의 흐름에서 이를 별도 체크박스로 분리할지 통합할지 결정
- 자동화된 의사결정 권리 (§9): 2024 개정 신설 조항. AI 매칭이 "중요한 결정에 영향을 미치는" 자동화 처리에 해당하는지 검토 (산정 결과는 보고용 참고이므로 해당 안 될 가능성, 그러나 안전 측면에서 명시)
- Anthropic·OpenAI 데이터 보존 정책 (§3): 각 사의 API 데이터 보존 정책(현재 Anthropic은 30일, OpenAI는 30일 default·zero-retention 신청 가능)을 확인 후 정확히 명시 권장
- GDPR 호환성: 현재 한국 사용자 가정. 향후 EU 사용자 유입 시 GDPR 별도 정책 작성 필요 (영문 별도)
- 보유 기간 90일 vs 1년: IP·접속 로그 90일은 통신비밀보호법 최소치. 보안 사고 대응 측면에서 6개월~1년 권장 가능 — 회사 정책 결정
- 회원 탈퇴 시 즉시 삭제 vs 30일 유예: 즉시 삭제는 사용자 친화적이나 백업·실수 복구 측면에서 30일 유예가 일반적
- 분쟁조정위 외 기관 연락처: 위 §8의 기관·번호가 2026 시점에도 유효한지 최신화
- 쿠키 항목 상세화 (§10): GDPR 호환 쿠키 배너 도입 시 (3rd party / 1st party / functional / analytics 분류) 추가