개인정보 처리방침

㈜에이씨티(이하 "회사")는 개인정보 보호법 제30조에 따라 정보주체의 개인정보를 보호하고 이와 관련한 고충을 신속하고 원활하게 처리할 수 있도록 다음과 같이 개인정보 처리방침을 수립·공개합니다.

시행일자: 2026년 5월 1일

제1조 (개인정보의 처리 목적)

회사는 다음의 목적을 위하여 개인정보를 처리합니다. 처리하고 있는 개인정보는 다음의 목적 이외의 용도로는 이용되지 않으며, 이용 목적이 변경되는 경우에는 개인정보 보호법 제18조에 따라 별도의 동의를 받는 등 필요한 조치를 이행할 예정입니다.

1. 회원 가입 및 관리

회원제 서비스 제공에 따른 본인확인, 개인 식별, 부정이용 방지, 각종 고지·통지, 고충처리 등을 목적으로 개인정보를 처리합니다.

2. 서비스 제공

맞춤형 서비스 제공, 콘텐츠 제공, 본인인증, 요금결제·정산 등을 목적으로 개인정보를 처리합니다.

3. 마케팅 및 광고 활용 (선택)

신규 서비스 개발 및 맞춤 서비스 제공, 이벤트 및 광고성 정보 제공 및 참여기회 제공, 인구통계학적 특성에 따른 서비스 제공 및 광고 게재, 서비스의 유효성 확인, 접속빈도 파악 등을 목적으로 개인정보를 처리합니다.

제2조 (처리하는 개인정보 항목)

회사는 다음의 개인정보 항목을 처리하고 있습니다.

1. 필수항목

- 소셜 로그인 ID (카카오톡, 구글, 애플)

- 닉네임

- 이메일 주소

- 디바이스 시리얼 번호

2. 선택항목

- 데일리 기록 사진 (사용자가 직접 촬영한 피부 상태 사진)

- 피부 타입 설문 응답 (건성/지성/복합성 등)

- 연령대 (선택 시)

- 성별 (선택 시)

3. 자동 수집 항목

- 서비스 이용 기록

- 접속 로그

- IP 주소

- 쿠키

- 광고식별자 (ADID/IDFA)

- 기기정보 (OS 버전, 기기 모델명)

4. 위치정보

- GPS 좌표 (수집 즉시 날씨 인덱스로 변환 후 즉시 파기)

- 실제 GPS 좌표는 서버에 저장되지 않으며, 4바이트 날씨 인덱스만 저장됩니다

제3조 (카메라 사용 및 사진 수집)

1. 카메라 권한 사용 목적

회사는 다음 목적으로 카메라 권한을 요청합니다:

- 데일리 기록: 사용자가 자신의 피부 상태를 사진으로 기록

- 타임라인 관리: 날짜별 피부 변화 추적

2. 촬영 및 저장

- 사용자가 직접 촬영 버튼을 눌러야만 촬영됩니다

- 자동 촬영 또는 백그라운드 촬영하지 않습니다

- 얼굴 또는 신체 일부(피부)를 촬영할 수 있습니다

- 촬영한 사진은 AWS 서버에 암호화되어 저장됩니다

- 서버 저장 위치: AWS S3 (한국 리전)

3. 사진의 사용 목적

- 촬영한 사진은 다음 목적으로만 사용됩니다:

a) 사용자 본인의 타임라인 표시

b) 날짜별 피부 상태 비교

c) 비식별화 처리 후 서비스 개선 및 통계 분석

- 마케팅, 광고, 제3자 제공 목적으로 사용되지 않습니다

4. 생체정보 처리

- 본 서비스에서 수집하는 얼굴/피부 사진은 본인 확인이나 인증 목적이 아닌, 개인의 피부 상태 기록 목적으로만 사용됩니다

- 얼굴 인식, 생체 인증, AI 분석 등에 사용되지 않습니다

- 생체정보로 처리되지 않는 일반 사진으로 관리됩니다

5. 선택 및 거부

- 데일리 기록 사진 촬영은 선택사항입니다

- 카메라 권한을 거부하셔도 다른 서비스 이용에 제한이 없습니다

- 기기 설정에서 언제든지 카메라 권한을 철회할 수 있습니다

6. 보관 및 삭제

- 보관 기간: 회원 탈퇴 시 또는 삭제 요청 시까지

- 삭제 방법:

a) 타임라인에서 개별 사진 삭제

b) 설정 메뉴에서 전체 사진 일괄 삭제

c) 회원 탈퇴 시 모든 사진 즉시 삭제 (복구 불가)

- 삭제 처리: 요청 즉시 서버에서 완전 삭제

제4조 (개인정보의 처리 및 보유 기간)

회사는 법령에 따른 개인정보 보유·이용기간 또는 정보주체로부터 개인정보를 수집 시에 동의받은 개인정보 보유·이용기간 내에서 개인정보를 처리·보유합니다.

1. 회원 가입 및 관리: 회원 탈퇴 시까지

단, 다음의 사유에 해당하는 경우에는 해당 사유 종료 시까지

- 관계 법령 위반에 따른 수사·조사 등이 진행 중인 경우에는 해당 수사·조사 종료 시까지

- 서비스 이용에 따른 채권·채무관계 잔존 시에는 해당 채권·채무관계 정산 시까지

2. 데일리 기록 사진: 회원 탈퇴 시 또는 사용자 삭제 요청 시까지

3. 관계 법령에 따른 보존

- 계약 또는 청약철회 등에 관한 기록: 5년 (전자상거래법)

- 대금결제 및 재화 등의 공급에 관한 기록: 5년 (전자상거래법)

- 소비자 불만 또는 분쟁처리에 관한 기록: 3년 (전자상거래법)

- 표시·광고에 관한 기록: 6개월 (전자상거래법)

- 서비스 방문기록: 3개월 (통신비밀보호법)

제5조 (개인정보의 제3자 제공)

회사는 정보주체의 개인정보를 제1조(개인정보의 처리 목적)에서 명시한 범위 내에서만 처리하며, 정보주체의 동의, 법률의 특별한 규정 등 개인정보 보호법 제17조에 해당하는 경우에만 개인정보를 제3자에게 제공합니다.

회사는 다음과 같이 개인정보를 제3자에게 제공하고 있습니다:

1. 마일리지 포인트 전환 서비스

- 제공받는 자: ㈜카페24 (자사몰 운영)

- 제공 목적: 마일리지의 자사몰 포인트 전환

- 제공 항목: 휴대전화 번호 또는 Cafe24 계정 ID, 전환 마일리지 금액

- 보유 및 이용기간: 포인트 사용 완료 시 또는 회원 탈퇴 시까지

제6조 (개인정보처리의 위탁)

회사는 원활한 개인정보 업무처리를 위하여 다음과 같이 개인정보 처리업무를 위탁하고 있습니다.

1. AWS (Amazon Web Services)

- 위탁업무 내용: 클라우드 서버 호스팅, 데이터 저장

- 위탁기간: 회원 탈퇴 시 또는 위탁계약 종료 시까지

2. 소셜 로그인 제공사

- 카카오 (주식회사 카카오)

- 구글 (Google LLC)

- 애플 (Apple Inc.)

- 위탁업무 내용: 소셜 로그인 인증

- 위탁기간: 회원 탈퇴 시 또는 위탁계약 종료 시까지

제7조 (정보주체의 권리·의무 및 행사방법)

정보주체는 회사에 대해 언제든지 다음 각 호의 개인정보 보호 관련 권리를 행사할 수 있습니다.

1. 개인정보 열람 요구

2. 오류 등이 있을 경우 정정 요구

3. 삭제 요구

4. 처리정지 요구

권리 행사는 회사에 대해 서면, 전화, 전자우편, 모사전송(FAX) 등을 통하여 하실 수 있으며 회사는 이에 대해 지체 없이 조치하겠습니다.

권리 행사는 정보주체의 법정대리인이나 위임을 받은 자 등 대리인을 통하여 하실 수도 있습니다. 이 경우 개인정보 보호법 시행규칙 별지 제11호 서식에 따른 위임장을 제출하셔야 합니다.

정보주체는 개인정보 보호법 등 관계법령을 위반하여 회사가 처리하고 있는 정보주체 본인이나 타인의 개인정보 및 사적 생활을 침해하여서는 아니됩니다.

제8조 (개인정보의 파기)

회사는 개인정보 보유기간의 경과, 처리목적 달성 등 개인정보가 불필요하게 되었을 때에는 지체 없이 해당 개인정보를 파기합니다.

1. 파기절차

- 정보주체로부터 동의받은 개인정보 보유기간이 경과하거나 처리목적이 달성되었음에도 불구하고 다른 법령에 따라 개인정보를 계속 보존하여야 하는 경우에는, 해당 개인정보를 별도의 데이터베이스(DB)로 옮기거나 보관장소를 달리하여 보존합니다.

2. 파기방법

- 전자적 파일 형태의 정보는 기록을 재생할 수 없는 기술적 방법을 사용합니다

- 종이에 출력된 개인정보는 분쇄기로 분쇄하거나 소각하여 파기합니다

3. 데일리 기록 사진 파기

- 사용자가 개별 삭제 요청 시: 즉시 서버에서 완전 삭제

- 회원 탈퇴 시: 모든 사진 즉시 삭제 (복구 불가)

- 파기 방법: AWS S3 객체 영구 삭제

제9조 (개인정보의 안전성 확보조치)

회사는 개인정보의 안전성 확보를 위해 다음과 같은 조치를 취하고 있습니다.

1. 관리적 조치

- 내부관리계획 수립·시행

- 정기적 직원 교육

2. 기술적 조치

- 개인정보처리시스템 등의 접근권한 관리

- 접근통제시스템 설치

- 개인정보의 암호화

- 보안프로그램 설치 및 주기적 갱신·점검

3. 물리적 조치

- 전산실, 자료보관실 등의 접근통제

4. 사진 데이터 보안

- AWS S3 서버 측 암호화 (AES-256)

- HTTPS 전송 암호화

- 접근 권한 최소화 (본인만 열람 가능)

제10조 (개인정보 자동 수집 장치의 설치·운영 및 거부)

회사는 이용자에게 개별적인 맞춤서비스를 제공하기 위해 이용정보를 저장하고 수시로 불러오는 '쿠키(cookie)'를 사용합니다.

1. 쿠키의 사용 목적

- 이용자의 접속 빈도나 방문 시간 등을 분석

- 이용자의 취향과 관심분야를 파악

- 각종 이벤트 참여 정도 및 방문 회수 파악

- 타겟 마케팅 및 개인 맞춤 서비스 제공

2. 쿠키의 설치·운영 및 거부

- 이용자는 쿠키 설치에 대한 선택권을 가지고 있습니다

- 웹브라우저에서 옵션을 설정함으로써 모든 쿠키를 허용하거나, 쿠키가 저장될 때마다 확인을 거치거나, 모든 쿠키의 저장을 거부할 수도 있습니다

- 다만, 쿠키의 저장을 거부할 경우 로그인이 필요한 일부 서비스는 이용에 어려움이 있을 수 있습니다

제11조 (개인정보 보호책임자)

회사는 개인정보 처리에 관한 업무를 총괄해서 책임지고, 개인정보 처리와 관련한 정보주체의 불만처리 및 피해구제 등을 위하여 아래와 같이 개인정보 보호책임자를 지정하고 있습니다.

개인정보 보호책임자

- 성명: 장광우

- 전화번호: 1588-2983

- 이메일: [email protected]

정보주체는 회사의 서비스를 이용하시면서 발생한 모든 개인정보 보호 관련 문의, 불만처리, 피해구제 등에 관한 사항을 개인정보 보호책임자에게 문의하실 수 있습니다. 회사는 정보주체의 문의에 대해 지체 없이 답변 및 처리해드릴 것입니다.

제12조 (권익침해 구제방법)

정보주체는 개인정보침해로 인한 구제를 받기 위하여 개인정보분쟁조정위원회, 한국인터넷진흥원 개인정보침해신고센터 등에 분쟁해결이나 상담 등을 신청할 수 있습니다.

- 개인정보분쟁조정위원회: (국번없이) 1833-6972 (www.kopico.go.kr)

- 개인정보침해신고센터: (국번없이) 118 (privacy.kisa.or.kr)

- 대검찰청: (국번없이) 1301 (www.spo.go.kr)

- 경찰청: (국번없이) 182 (ecrm.cyber.go.kr)

제13조 (개인정보 처리방침의 변경)

이 개인정보 처리방침은 2026년 5월 1일부터 적용됩니다.

이전의 개인정보 처리방침은 아래에서 확인하실 수 있습니다.

- 해당사항 없음 (최초 제정)

㈜에이씨티 (ACT Inc.)

대표전화: 1588-2983

이메일: [email protected]

ACT Inc. (hereinafter referred to as "Company") establishes and discloses this Privacy Policy in accordance with Article 30 of the Personal Information Protection Act to protect the personal information of data subjects and to promptly and smoothly handle related grievances.

Effective Date: May 1, 2026

Article 1 (Purpose of Processing Personal Information)

The Company processes personal information for the following purposes. Personal information being processed is not used for purposes other than the following, and if the purpose of use changes, necessary measures will be taken, such as obtaining separate consent in accordance with Article 18 of the Personal Information Protection Act.

1. Member Registration and Management

Personal information is processed for the purposes of identity verification, personal identification, prevention of fraudulent use, various notices and notifications, and grievance handling in accordance with membership service provision.

2. Service Provision

Personal information is processed for the purposes of providing customized services, content provision, identity authentication, payment and settlement, etc.

3. Marketing and Advertising Use (Optional)

Personal information is processed for the purposes of developing new services and providing customized services, providing event and advertising information and participation opportunities, providing services and placing advertisements according to demographic characteristics, verifying service effectiveness, and identifying access frequency.

Article 2 (Personal Information Items Processed)

The Company processes the following personal information items:

1. Required Items

- Social login ID (KakaoTalk, Google, Apple)

- Nickname

- Email address

- Device serial number

2. Optional Items

- Daily record photos (skin condition photos taken by users themselves)

- Skin type survey responses (dry/oily/combination, etc.)

- Age group (when selected)

- Gender (when selected)

3. Automatically Collected Items

- Service usage records

- Access logs

- IP address

- Cookies

- Advertising identifier (ADID/IDFA)

- Device information (OS version, device model name)

4. Location Information

- GPS coordinates (immediately converted to weather index and immediately destroyed after collection)

- Actual GPS coordinates are not stored on the server; only 4-byte weather index is stored

Article 3 (Camera Use and Photo Collection)

1. Purpose of Camera Permission Use

The Company requests camera permission for the following purposes:

- Daily records: Users record their skin condition through photos

- Timeline management: Tracking skin changes by date

2. Photography and Storage

- Photos are taken only when the user directly presses the capture button

- No automatic photography or background photography

- Face or body parts (skin) can be photographed

- Photographed photos are encrypted and stored on AWS servers

- Server storage location: AWS S3 (Korea region)

3. Purpose of Photo Use

- Photographed photos are used only for the following purposes:

a) Displaying user's own timeline

b) Comparing skin condition by date

c) Service improvement and statistical analysis after de-identification processing

- Not used for marketing, advertising, or third-party provision purposes

4. Biometric Information Processing

- Face/skin photos collected by this Service are used only for the purpose of recording personal skin condition, not for identity verification or authentication purposes

- Not used for facial recognition, biometric authentication, AI analysis, etc.

- Managed as general photos that are not processed as biometric information

5. Selection and Rejection

- Daily record photo taking is optional

- Even if you refuse camera permission, there are no restrictions on using other services

- You can revoke camera permission at any time in device settings

6. Storage and Deletion

- Storage period: Until member withdrawal or deletion request

- Deletion method:

a) Delete individual photos from timeline

b) Batch delete all photos from settings menu

c) All photos immediately deleted upon member withdrawal (non-recoverable)

- Deletion processing: Complete deletion from server immediately upon request

Article 4 (Processing and Retention Period of Personal Information)

The Company processes and retains personal information within the personal information retention and use period according to laws or the personal information retention and use period agreed upon when collecting personal information from data subjects.

1. Member Registration and Management: Until member withdrawal

However, in the following cases, until the end of the relevant reason:

- If investigation or inquiry is in progress due to violation of related laws, until the end of such investigation or inquiry

- If credit or debt relationship remains from service use, until settlement of such credit or debt relationship

2. Daily Record Photos: Until member withdrawal or user deletion request

3. Retention According to Related Laws

- Records on contracts or withdrawal of offers: 5 years (Electronic Commerce Act)

- Records on payment and supply of goods: 5 years (Electronic Commerce Act)

- Records on consumer complaints or dispute resolution: 3 years (Electronic Commerce Act)

- Records on labeling and advertising: 6 months (Electronic Commerce Act)

- Service visit records: 3 months (Protection of Communications Secrets Act)

Article 5 (Provision of Personal Information to Third Parties)

The Company processes personal information of data subjects only within the scope specified in Article 1 (Purpose of Processing Personal Information), and provides personal information to third parties only when data subject consent, special provisions of law, etc. correspond to Article 17 of the Personal Information Protection Act.

The Company provides personal information to third parties as follows:

1. Mileage Point Conversion Service

- Recipient: Cafe24 Co., Ltd. (company mall operation)

- Provision purpose: Conversion of mileage to company mall points

- Provision items: Mobile phone number or Cafe24 account ID, conversion mileage amount

- Retention and use period: Until point use completion or member withdrawal

Article 6 (Consignment of Personal Information Processing)

The Company consigns personal information processing tasks as follows for smooth personal information processing:

1. AWS (Amazon Web Services)

- Consigned task content: Cloud server hosting, data storage

- Consignment period: Until member withdrawal or consignment contract termination

2. Social Login Providers

- Kakao (Kakao Corporation)

- Google (Google LLC)

- Apple (Apple Inc.)

- Consigned task content: Social login authentication

- Consignment period: Until member withdrawal or consignment contract termination

Article 7 (Rights and Obligations of Data Subjects and Exercise Methods)

Data subjects may exercise the following personal information protection-related rights against the Company at any time:

1. Request to view personal information

2. Request for correction if there are errors

3. Request for deletion

4. Request for suspension of processing

Rights may be exercised through writing, telephone, email, fax, etc. to the Company, and the Company will take action without delay.

Rights may be exercised through a legal representative of the data subject or an authorized agent. In this case, a power of attorney according to Form No. 11 of the Enforcement Rules of the Personal Information Protection Act must be submitted.

Data subjects must not violate the Personal Information Protection Act and other related laws to infringe on the personal information and private life of themselves or others processed by the Company.

Article 8 (Destruction of Personal Information)

The Company destroys personal information without delay when personal information becomes unnecessary, such as when the retention period has elapsed or the processing purpose has been achieved.

1. Destruction Procedure

- Even if the personal information retention period agreed upon from the data subject has elapsed or the processing purpose has been achieved, if personal information must continue to be preserved according to other laws, the relevant personal information is moved to a separate database (DB) or stored in a different storage location.

2. Destruction Method

- Information in electronic file format uses technical methods that cannot reproduce records

- Personal information printed on paper is destroyed by shredding with a shredder or incineration

3. Daily Record Photo Destruction

- When user requests individual deletion: Complete deletion from server immediately

- Upon member withdrawal: All photos immediately deleted (non-recoverable)

- Destruction method: AWS S3 object permanent deletion

Article 9 (Measures to Ensure Safety of Personal Information)

The Company takes the following measures to ensure the safety of personal information:

1. Administrative Measures

- Establishment and implementation of internal management plan

- Regular employee training

2. Technical Measures

- Access authority management for personal information processing systems

- Installation of access control systems

- Encryption of personal information

- Installation and periodic update and inspection of security programs

3. Physical Measures

- Access control to computer rooms, data storage rooms, etc.

4. Photo Data Security

- AWS S3 server-side encryption (AES-256)

- HTTPS transmission encryption

- Minimization of access authority (viewable only by the person)

Article 10 (Installation, Operation, and Rejection of Automatic Personal Information Collection Devices)

The Company uses 'cookies' that store and retrieve usage information to provide individualized customized services to users.

1. Purpose of Cookie Use

- Analysis of users' access frequency and visit time

- Identification of users' tastes and interests

- Identification of degree of participation in various events and number of visits

- Target marketing and provision of personalized services

2. Installation, Operation, and Rejection of Cookies

- Users have the right to choose cookie installation

- By setting options in the web browser, you can allow all cookies, go through confirmation each time cookies are stored, or refuse storage of all cookies

- However, if you refuse cookie storage, there may be difficulties in using some services that require login

Article 11 (Personal Information Protection Officer)

The Company designates a Personal Information Protection Officer as follows to oversee personal information processing tasks and to handle complaints and damage relief related to personal information processing by data subjects:

Personal Information Protection Officer

- Name: Jang Gwang-woo

- Phone: 1588-2983

- Email: [email protected]

Data subjects may contact the Personal Information Protection Officer regarding all personal information protection-related inquiries, complaint handling, damage relief, etc. that occur while using the Company's services. The Company will respond to and process data subjects' inquiries without delay.

Article 12 (Remedy for Rights Infringement)

Data subjects may apply for dispute resolution or consultation to the Personal Information Dispute Mediation Committee, Korea Internet & Security Agency Personal Information Infringement Report Center, etc. to receive relief for personal information infringement.

- Personal Information Dispute Mediation Committee: 1833-6972 (without area code) (www.kopico.go.kr)

- Personal Information Infringement Report Center: 118 (without area code) (privacy.kisa.or.kr)

- Supreme Prosecutors' Office: 1301 (without area code) (www.spo.go.kr)

- National Police Agency: 182 (without area code) (ecrm.cyber.go.kr)

Article 13 (Changes to Privacy Policy)

This Privacy Policy is effective from May 1, 2026.

Previous Privacy Policies can be found below:

- Not applicable (initial enactment)

ACT Inc.

Phone: 1588-2983

Email: [email protected]