개인정보처리방침
시행일: 2026년 5월 21일 · 최종 수정일: 2026년 5월 21일
ReFund(이하 "서비스")는 사용자의 개인정보를 매우 중요하게 다루며, 「개인정보 보호법」과 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」, 그리고 Google API Services User Data Policy를 준수합니다. 본 방침은 서비스가 수집하는 개인정보의 종류, 이용 목적, 보관 기간, 사용자의 권리 등을 설명합니다.
1. 수집하는 정보
서비스는 다음 정보를 수집합니다:
- Google 계정 정보: 이메일 주소, 이름, 프로필 사진 (Google OAuth 표준 정보)
- Gmail 메일 metadata: 발신자, 제목, 날짜, snippet (Gmail이 자동 제공하는 짧은 미리보기). 결제·구독 관련 키워드가 포함된 메일만 스캔합니다 (receipt, invoice, 구독, 결제, 영수증, billing, subscription, payment, charge 등).
- 분석 결과: AI 분류를 통해 추출된 구독 정보 (서비스명, 결제 금액, 결제 주기, 최근 결제일 등)
- OAuth refresh token: Gmail 자동 스캔을 위한 인증 토큰 (Supabase DB에 암호화 저장)
⚠️ 메일 본문은 절대 저장하거나 처리하지 않습니다. Gmail API가 자동으로 제공하는 짧은 snippet 만 분석에 사용됩니다.
2. 정보의 사용 목적
수집된 정보는 다음 목적에 한정해 사용됩니다:
- 사용자의 구독 결제 메일 자동 탐지 및 분류
- 구독 정보 대시보드 표시 (서비스명, 금액, 주기)
- 머천트별 환불 가이드 매칭
- 새 결제 알림 및 갱신 알림 (사용자 동의 시)
사용자가 명시적으로 동의한 위 기능 외에는 어떠한 목적으로도 사용되지 않습니다.
3. Google Workspace API 데이터 사용 (Limited Use Policy)
ReFund는 Google API에서 수신한 정보의 사용 및 전송에 있어 Google API Services User Data Policy의 모든 요구사항을 준수하며, 특히 Limited Use 요건을 충실히 이행합니다.
영문 선언 (English Declaration):
"ReFund's use and transfer of information received from Google APIs to any other app will adhere to Google API Services User Data Policy, including the Limited Use requirements."
구체적으로 다음을 보장합니다:
- Gmail 데이터는 광고 또는 마케팅 목적으로 사용되지 않습니다.
- Gmail 데이터는 AI/ML 모델 학습에 사용되지 않습니다. 분류 목적의 실시간 처리에만 사용됩니다.
- Gmail 데이터는 제3자에게 판매되거나 양도되지 않습니다 (서비스 제공에 필수적인 분류 처리는 예외, 제5조 참조).
- 회사 직원은 Gmail 데이터에 접근하지 않습니다. 단, (a) 사용자의 명시적 지원 요청, (b) 보안 사고 조사, (c) 법적 의무 이행의 경우는 예외입니다.
- 사용자가 OAuth 권한을 철회하는 즉시 해당 사용자의 모든 Gmail 관련 데이터가 삭제됩니다.
4. 제3자 제공
서비스는 사용자의 데이터를 제3자에게 제공하지 않습니다. 단, 서비스 제공에 필수적인 다음 처리위탁은 예외입니다:
| 수탁자 | 목적 | 처리 정보 |
|---|---|---|
| Supabase | 데이터베이스 및 인증 | 사용자 정보, 분석 결과 |
| Anthropic (Claude API) | 메일 metadata 분류 | 발신자, 제목, snippet (학습에 사용 안 됨) |
| Vercel | 웹 호스팅 | 접속 로그 |
| Resend | 알림 이메일 발송 | 사용자 이메일, 알림 내용 |
Anthropic Claude API는 약관에 따라 우리 데이터를 모델 학습에 사용하지 않으며, 별도 보존하지 않습니다.
5. 보관 기간
- 분류된 구독 정보: 사용자가 계정을 삭제하거나 권한을 철회할 때까지 보관, 그 후 즉시 삭제
- OAuth refresh token: 사용자가 권한을 철회하는 즉시 삭제
- 접속 로그: 30일 후 자동 삭제
- 이메일 metadata: 별도 저장하지 않음 (실시간 처리 후 폐기, 결과만 저장)
6. 사용자의 권리
사용자는 언제든지 다음 권리를 행사할 수 있습니다:
- 열람권: 본인의 개인정보 열람 요청
- 정정·삭제권: 본인의 개인정보 정정·삭제 요청
- 처리 정지권: 개인정보 처리 정지 요청
- OAuth 권한 철회: Google 계정 권한 페이지에서 즉시 가능. 철회 시 ReFund의 Gmail 데이터 접근이 즉시 차단되고, 관련 데이터는 자동 삭제됩니다.
- 계정 삭제: 운영자 이메일로 요청 (liyto4306@gmail.com) — 요청 후 7일 이내 모든 데이터 삭제 완료
7. 보안 조치
- OAuth refresh token 등 민감 정보는 암호화되어 저장
- HTTPS 통신 강제 (TLS 1.2 이상)
- Supabase Row Level Security(RLS)로 사용자별 데이터 격리
- 최소 권한 원칙: gmail.readonly 만 요청, 송신 권한 없음
- 접근 로그 모니터링
8. 쿠키 사용
서비스는 사용자 인증을 위한 필수 쿠키만 사용합니다. 광고·추적 쿠키는 사용하지 않습니다.
9. 정책 변경
본 방침이 변경되는 경우 변경 사항을 본 페이지에 공지하며, 중요한 변경의 경우 사용자에게 이메일로 사전 안내합니다. 최종 수정일은 페이지 상단에 명시되어 있습니다.
10. 문의처
개인정보 침해와 관련된 신고나 상담이 필요한 경우 다음 기관에 문의하실 수 있습니다:
- 개인정보침해신고센터 (privacy.go.kr) · 국번없이 182
- 개인정보보호위원회 (pipc.go.kr) · 국번없이 1833-6972
- 대검찰청 사이버수사과 (spo.go.kr) · 02-3480-3573
- 경찰청 사이버수사국 (ecrm.cyber.go.kr) · 국번없이 182