개인정보 처리방침

운영 주체: 주식회사 BUSTER·시행일: 2026-04-17·최종 개정: 2026-04-17

개인정보 처리의 기본 원칙
수집하는 개인정보 항목
수집 목적
⭐ 생체정보 처리 특별 조항 (중요)
보유 및 이용 기간
제3자 제공 및 위탁
정보주체의 권리
안전성 확보 조치
⭐ 보안 사고 통보 의무
쿠키(Cookie) 정의
사용하는 쿠키 종류
제3자 쿠키
쿠키 거부 방법
개인정보 보호책임자

제 1조. 개인정보 처리의 기본 원칙

주식회사 BUSTER(이하 "회사")는 「개인정보 보호법」, GDPR, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」을 준수하며, 회원의 개인정보를 최소한으로 수집하고 안전하게 관리할 것을 약속합니다. 본 방침은 FaceRight 서비스의 특수성(생체정보 처리)을 반영한 특별 조항을 포함합니다.

제 2조. 수집하는 개인정보 항목

필수 항목

공통: 이메일, 비밀번호(해시 저장), 이름 또는 회사명, 가입일시, 접속 IP
모델 추가: 성별, 연령대, 키, 주요 활동 카테고리, 은행 계좌 정보(정산용, 암호화 저장)
광고주 추가: 사업자등록번호, 법정 대리인, 결제 수단 정보(카드사 토큰화)

민감정보 · 생체정보 (모델 한정)

얼굴 임베딩 벡터: InsightFace 모델로 추출한 512차원 부동소수점 벡터
신체 포즈 벡터: MediaPipe Pose로 추출한 33개 키포인트의 정규화 좌표

자동 수집 항목

접속 로그, 쿠키, 브라우저 정보, 서비스 이용 기록

제 3조. 수집 목적

회원 식별 및 인증, 서비스 제공
모델 초상권 PT ID 발행 및 블록체인 기록
라이선스 거래·정산·세금계산서 발행
CT ID 기반 콘텐츠 추적 및 침해 탐지
고객 지원, 공지사항 전달, 법적 의무 이행

제 4조. ⭐ 생체정보 처리 특별 조항 (중요)

특허 자료 반영 핵심 조항

원본 이미지 단기 보관 및 삭제 처리 원칙: 모델이 업로드한 촬영 원본 이미지는 얼굴·신체 벡터 추출 완료 후 최대 48시간 이내에 삭제 처리되며, 삭제 처리 이후에는 회사 서버의 운영 저장소에서 원본 이미지가 제거됩니다. (48시간 보관 사유: 벡터 추출 오류 시 재처리, 감사 로그 대조, 장애 복구 목적)

AES-256 암호화 저장: 추출된 얼굴 임베딩 벡터 및 신체 포즈 벡터는 AES-256-GCM 방식으로 암호화되어 저장되며, 암호화 키는 HSM(Hardware Security Module)에서 관리됩니다.

수학적 비가역성: 저장된 벡터로부터 원본 얼굴 이미지를 역산하는 것은 수학적으로 불가능합니다. 벡터는 512차원/33점의 압축된 특징 표현이며, 이미지 복원에 필요한 고해상도 픽셀 정보는 포함하지 않습니다.

처리 근거

모델의 명시적 동의 (전자 동의서 서명)
「개인정보 보호법」 제23조 (민감정보의 처리 제한) 준수
GDPR Article 9(2)(a) explicit consent 충족

이용 제한

벡터는 오직 초상권 인증 및 침해 탐지(얼굴 유사도 매칭) 목적으로만 사용됩니다.
제3자에게 어떠한 형태로도 제공·판매·임대되지 않습니다.
회사 내부에서도 엄격한 접근 제어(계층별 권한)가 적용됩니다.

제 5조. 보유 및 이용 기간

계정 정보: 회원 탈퇴 시까지. 탈퇴 후 30일간 민원 대응을 위해 최소 정보만 보관 후 삭제 처리.
생체 벡터: 회원 탈퇴 시 24시간 이내 즉시 파기 처리. 블록체인 상의 PT ID는 "revoked" 상태로 전환되며, 벡터 데이터는 운영 저장소에서 삭제 처리됩니다.
거래 기록: 전자상거래법에 따라 5년간 보관. 단, 거래 당사자 식별 정보는 익명 처리 가능합니다.
접속 로그: 통신비밀보호법에 따라 3개월간 보관.

제 6조. 제3자 제공 및 위탁

원칙적 비공개

회사는 회원의 개인정보를 원칙적으로 외부에 제공하지 않습니다. 다만 아래의 경우에는 예외로 합니다.

회원이 사전에 명시적으로 동의한 경우
법령에 의한 수사기관의 정당한 요청이 있는 경우
침해 대응을 위해 해당 국가의 법무 대리인에게 증거 패키지를 이관하는 경우 (KR/US/CN/EU/JP)

처리 위탁

클라우드 인프라: AWS (서울 리전)
결제 처리: 토큰 충전 PG사 (Stripe Connect 또는 국내 PG)
알림 발송: SendGrid / SMS 게이트웨이

제 7조. 정보주체의 권리

회원은 아래 권리를 언제든 행사할 수 있습니다.

열람권: 자신의 개인정보 처리 현황 조회
정정·삭제권: 오류 정보 수정 및 삭제 요청
처리정지권: 처리 중단 요청
이동권: 개인정보를 구조화된 형식으로 받을 권리 (GDPR Article 20)
동의 철회권: 생체정보 처리 동의를 언제든 철회 가능 (철회 시 PT ID 자동 비활성화)

권리 행사는 privacy@busters.co.kr 또는 서비스 내 [계정 설정 > 개인정보] 메뉴를 통해 가능합니다.

제 8조. 안전성 확보 조치

개인정보 암호화 저장 (AES-256-GCM)
비밀번호 단방향 해시 (Argon2id)
JWT 토큰 1시간 단기 만료 + Redis 즉시 무효화
접근 통제 (IAM 최소 권한 원칙, 4-Eyes 검토)
물리적 접근 제한 (데이터센터 출입 통제)
정기 보안 교육 및 모의 침투 테스트 (연 2회)

제 9조. ⭐ 보안 사고 통보 의무

48시간 통보 · 72시간 신고

48시간 이내 통보: 개인정보 유출 사고 발생 시, 영향을 받은 회원에게 사고 인지 후 48시간 이내에 이메일 및 서비스 내 공지로 통보합니다.

72시간 이내 신고: 「개인정보 보호법 시행령」 및 GDPR Article 33에 따라, 감독기관(개인정보보호위원회 / 관할 DPA)에 72시간 이내 신고합니다.

통보 포함 사항: 유출된 정보 항목, 유출 시점 및 경위, 피해 최소화 조치, 회원이 취할 수 있는 조치, 담당 부서 연락처

제 10조. 쿠키(Cookie) 정의

쿠키란 웹사이트가 사용자의 컴퓨터 또는 모바일 기기에 저장하는 작은 텍스트 파일입니다. FaceRight는 서비스 품질 향상과 사용자 경험 개선을 위해 최소한의 쿠키를 사용합니다.

제 11조. 사용하는 쿠키 종류

구분	목적	보관 기간
필수 쿠키	세션 유지, 로그인 상태 보존, CSRF 토큰	세션 종료 시
기능 쿠키	언어·테마 등 환경 설정 저장	1년
분석 쿠키	서비스 이용 패턴 분석 (익명 집계)	6개월
광고 쿠키	사용하지 않음	—

제 12조. 제3자 쿠키

회사는 다음 제3자 서비스의 쿠키를 제한적으로 사용합니다.

Stripe: 결제 세션 유지 및 이상 거래 탐지
Cloudflare: CDN 및 봇 방어
Plausible Analytics: 쿠키 없는 익명 분석 (PII 비수집)

제 13조. 쿠키 거부 방법

쿠키 설정은 브라우저에서 직접 변경할 수 있습니다.

Chrome: 설정 → 개인정보 및 보안 → 쿠키 및 기타 사이트 데이터
Safari: 환경설정 → 개인 정보 보호 → 쿠키 및 웹사이트 데이터
Firefox: 설정 → 개인 정보 및 보안 → 쿠키 및 사이트 데이터
Edge: 설정 → 쿠키 및 사이트 권한 → 쿠키 및 사이트 데이터 관리

필수 쿠키를 거부하면 서비스의 주요 기능(로그인, 결제, 보안)이 동작하지 않을 수 있습니다.

제 14조. 개인정보 보호책임자

회원은 개인정보 관련 문의·불만·피해 구제를 아래 연락처로 요청할 수 있습니다.

직책: 개인정보 보호책임자 (DPO)
이메일: privacy@busters.co.kr

또한 아래 기관에 권리 구제를 요청할 수 있습니다.

개인정보보호위원회: privacy.go.kr / ☎ 1833-6972
개인정보침해신고센터: privacy.kisa.or.kr / ☎ 118
대검찰청 사이버수사과: spo.go.kr / ☎ 1301

본 문서에 대한 문의는 문의 페이지 또는 legal@busters.co.kr 로 보내주시기 바랍니다. 본 문서는 법적 효력을 갖는 계약의 일부로 간주되며, 개정 시 최소 7일 전 공지 후 발효됩니다.