개인정보처리방침

시행일: 2026년 3월 17일 | 버전: 2.0

(주)넥스테인(이하 "회사")은 개인정보보호법 제30조에 따라 이용자의 개인정보 처리에 관한 사항을 아래와 같이 공개합니다.

1. 개인정보의 처리 목적

회사는 다음 목적을 위해 개인정보를 처리합니다. 처리된 개인정보는 다음 목적 이외의 용도로는 사용되지 않으며, 목적이 변경되는 경우에는 별도 동의를 받겠습니다.

목적	처리 근거
회원 가입 및 본인 확인 (OAuth 로그인)	계약 이행
API 크레딧 차감 및 사용량 집계	계약 이행
구독 플랜·결제 상태 동기화	계약 이행
API 키 발급 및 관리	계약 이행
서비스 보안·장애 대응·남용 탐지	정당한 이익
서비스 품질 분석 및 개선	정당한 이익
법적 의무 이행 (세금 기록, 분쟁 해결)	법적 의무

2. 처리하는 개인정보의 항목

가입·인증 시 수집 (Google / Discord OAuth)

항목	수집 경로	필수/선택
이메일 주소	OAuth 제공자	필수
이름 (표시 이름)	OAuth 제공자	필수
프로필 이미지 URL	OAuth 제공자	선택

서비스 이용 과정에서 생성·수집

항목	설명
API 키	이용자가 직접 생성·삭제하는 서비스 접근 키
크레딧 잔액·사용 이력	크레딧 차감 내역 및 누적 사용량
사용 로그	요청 시각, 모델명, 입력/출력 토큰 수, 소모 크레딧
접속 로그	IP 주소, 요청 경로, HTTP 상태 코드, 접속 시각

결제 정보

결제는 LemonSqueezy(Merchant of Record)가 독립적으로 처리합니다. 회사는 카드번호 등 결제 원본 정보를 직접 저장하지 않으며, 구독 상태, 결제 이벤트 ID, 갱신 예정일만 보유합니다.

3. 개인정보의 처리 및 보유 기간

항목	보유 기간	근거
계정 정보 (이메일, 이름, 프로필)	탈퇴 시까지	계약 이행
사용 로그, API 키	탈퇴 시까지	계약 이행
결제 이벤트 기록	탈퇴 후 5년	전자상거래법 제6조
접속 로그 (IP 포함)	3개월	통신비밀보호법 제15조의2
부정이용 방지 정보	탈퇴 후 6개월	정당한 이익

탈퇴 처리 시: 탈퇴 요청 접수 후 7일 이내 위 법령 보유 항목을 제외한 모든 개인정보를 완전 삭제합니다.

4. 개인정보의 제3자 제공

회사는 이용자의 개인정보를 원칙적으로 제3자에게 제공하지 않습니다. 다만, 아래의 경우는 예외입니다.

이용자가 사전에 동의한 경우
법령의 규정에 의하거나, 수사 목적으로 법령에 정해진 절차에 따른 경우

5. 개인정보 처리 위탁

회사는 원활한 서비스 제공을 위해 다음 업체에 개인정보 처리를 위탁합니다.

수탁자	위탁 업무	보유·이용 기간
LemonSqueezy (Lemon Squeezy, LLC, 미국)	결제 처리, 구독 관리	계약 종료 시
Google LLC (미국)	OAuth 인증, 방문 분석(Google Analytics), 서버 인프라(Firebase)	위탁 계약 기간
Discord Inc. (미국)	OAuth 인증	위탁 계약 기간
Vercel Inc. (미국)	웹 서비스 호스팅	위탁 계약 기간

6. 개인정보의 국외 이전

위 수탁업체들은 모두 미국에 소재합니다. 이에 따라 해당 업체들에 대한 개인정보 처리 위탁 시 국외 이전이 발생합니다. 회사는 개인정보보호법 제28조의8에 따라 이전 전 정보주체에게 고지하며, 각 업체의 보호 조치를 확인하고 있습니다.

이전 국가	이전받는 자	목적	보호 조치
미국	LemonSqueezy	결제 처리	계약 체결
미국	Google LLC	인증, 분석, 호스팅	구글 데이터 처리 약관
미국	Discord Inc.	OAuth 인증	디스코드 처리 약관
미국	Vercel Inc.	호스팅	버셀 DPA

7. 정보주체의 권리·의무 및 행사 방법

이용자(정보주체)는 언제든지 다음 권리를 행사할 수 있습니다.

열람: 자신의 개인정보 처리 현황 확인
정정: 오류가 있는 개인정보 수정 요청
삭제: 개인정보 삭제 또는 회원 탈퇴
처리정지: 특정 목적의 개인정보 처리 정지 요청
자동화된 결정 거부: AI·알고리즘 기반 자동 결정에 대한 인간 검토 요청 (해당 시)

행사 방법: privacy@nextain.io로 요청하거나, 서비스 내 설정 > 계정 삭제를 통해 직접 탈퇴하실 수 있습니다. 처리 결과는 10일 이내 회신드립니다.

법정대리인은 만 14세 미만 아동을 대신하여 위 권리를 행사할 수 있습니다.

8. 개인정보의 파기 절차 및 방법

개인정보 보유 기간이 경과하거나 처리 목적이 달성된 경우 지체 없이 파기합니다.

전자 파일: 복원 불가능한 방법으로 영구 삭제
종이 문서: 분쇄 또는 소각 (해당 시)

9. 개인정보의 안전성 확보 조치

회사는 다음과 같은 조치를 통해 개인정보를 안전하게 관리합니다.

접근 권한 관리: 개인정보 처리 시스템 접근은 업무 필요 최소한의 인원으로 제한
접속기록 보관: 접속 기록 최소 1년 이상 보관 및 정기 점검
암호화: 비밀번호, API 키 등 민감 정보를 암호화하여 저장 및 전송
보안 프로그램: 악성프로그램 방지 소프트웨어 운용
HTTPS: 모든 데이터 전송 구간 TLS 1.2 이상 암호화

10. 자동화된 결정에 관한 사항

현재 서비스에서 이용자에게 법적 효력 또는 중대한 영향을 미치는 자동화된 결정은 이루어지지 않습니다. 크레딧 차감은 이용자의 API 요청에 따라 자동으로 처리되며, 이는 이용자가 직접 요청한 작업의 실행 결과입니다.

11. 개인정보 보호책임자

항목	내용
성명	양병석
직책	대표이사
이메일	privacy@nextain.io
전화	support@nextain.io (이메일 문의 우선)

개인정보 관련 모든 민원은 위 담당자에게 접수하실 수 있습니다. 회사는 이용자의 민원을 신속하고 성실하게 처리하겠습니다.

또한 개인정보 침해 신고·상담은 아래 기관에 문의하실 수 있습니다.

개인정보보호위원회: privacy.go.kr / 국번없이 182
한국인터넷진흥원 개인정보침해신고센터: privacy.kisa.or.kr / 국번없이 118
대검찰청 사이버수사과: spo.go.kr / 1301
경찰청 사이버안전국: ecrm.police.go.kr / 182

12. 개인정보 처리방침의 변경

이 처리방침은 법령·정책 변경에 따라 내용이 추가·삭제·수정될 수 있습니다.

중요 변경: 시행 30일 전 서비스 공지사항을 통해 사전 안내
일반 변경: 시행 7일 전 공지

이전 버전의 처리방침은 하단 개정 이력에서 확인하실 수 있습니다.

13. EU 사용자 추가 고지 (GDPR)

유럽연합(EU) 및 유럽경제지역(EEA) 거주자는 GDPR에 따라 다음 권리를 추가로 보유합니다.

이동권 (Art. 20): 처리 중인 개인정보를 기계 판독 가능한 형식으로 수령 요청
이의권 (Art. 21): 정당한 이익에 기반한 처리에 대해 이의 제기
처리 제한권 (Art. 18): 특정 상황에서 처리 일시 정지 요청
감독기관 이의 제기: 거주 국가의 데이터 보호 감독기관(DPA)에 이의 제기 가능

처리 법적 근거: 서비스 제공은 계약 이행(Art. 6(1)(b)), 보안·남용 탐지는 정당한 이익(Art. 6(1)(f)), 법령 의무 이행은 법적 의무(Art. 6(1)(c))에 해당합니다.

한국 → 미국 데이터 이전: 각 수탁업체와의 데이터 처리 계약(DPA) 및 표준계약조항(SCCs)을 통해 GDPR 수준의 보호 조치를 유지합니다.

EU 내 대리인 지정에 관한 사항은 서비스 규모 및 EU 이용자 현황에 따라 검토 중이며, 지정 시 즉시 고지하겠습니다.

14. 캘리포니아 사용자 추가 고지 (CCPA)

캘리포니아 거주자는 캘리포니아 소비자 프라이버시법(CCPA/CPRA)에 따라 다음 권리를 보유합니다.

알 권리: 수집 정보 범주, 목적, 공유 현황 확인
삭제권: 개인정보 삭제 요청
판매·공유 거부권: 회사는 개인정보를 제3자에게 판매하지 않습니다
비차별권: 권리 행사로 인한 불이익 금지

요청: privacy@nextain.io로 문의하시면 45일 이내 처리합니다.

이 처리방침은 대한민국 법원을 준거 법원으로 합니다.