개인정보처리방침

시행일: 2026년 05월 01일  ·  버전: 1.0.0

Habitate 팀은 「개인정보 보호법」 및 관계 법령을 준수하며,

이용자의 개인정보를 적법하고 안전하게 처리하기 위하여

본 개인정보처리방침을 수립·공개합니다.

개요

Habitate(이하 "회사"라 합니다)는 습관 트래킹 및 목표 달성을 게이미피케이션 방식으로 지원하는 모바일 서비스 "Habitate"(이하 "서비스"라 합니다)를 운영하고 있습니다.

회사는 「개인정보 보호법」 제30조에 따라 정보주체의 개인정보 처리에 관한 절차 및 기준을 안내하고, 이와 관련한 고충을 신속하고 원활하게 처리할 수 있도록 하기 위하여 다음과 같이 개인정보처리방침을 수립·공개합니다.

본 방침은 2026년 5월 1일부터 시행됩니다.

제1조 개인정보의 처리 목적, 처리 항목, 보유 및 이용기간

회사는 다음의 목적을 위하여 필요한 최소한의 개인정보를 수집하여 처리합니다. 처리하고 있는 개인정보는 다음의 목적 이외의 용도로는 이용되지 않으며, 이용 목적이 변경되는 경우에는 「개인정보 보호법」 제18조에 따라 별도의 동의를 받는 등 필요한 조치를 이행합니다.

① 회원가입 및 계정 관리

이메일/비밀번호 방식과 소셜 로그인(Google, Apple, Kakao, GitHub) 방식을 통해 서비스를 제공합니다.

구분수집 항목처리 목적법적 근거보유 기간
이메일/비밀번호 회원가입[필수] 이메일 주소, 닉네임, 비밀번호(암호화 저장) [자동 생성] 회원 고유 식별자(UUID), 가입일시회원 식별, 서비스 제공, 본인 확인, 서비스 부정이용 방지개인정보 보호법 제15조 제1항 제4호 (계약 이행)회원 탈퇴 시까지(탈퇴 후 30일 이내 파기)
소셜 로그인(Google/Apple/Kakao/GitHub)[제공받는 정보 - 제공자에 따라 상이] 이메일 주소(있는 경우), 소셜 제공자 고유 ID, 닉네임(있는 경우) [자동 생성] 회원 고유 식별자(UUID), 가입일시소셜 계정 연동을 통한 간편 로그인 제공, 회원 식별개인정보 보호법 제15조 제1항 제4호 (계약 이행)회원 탈퇴 시까지(탈퇴 후 30일 이내 파기)
비밀번호 재설정이메일 주소본인 확인 후 비밀번호 재설정 이메일 발송개인정보 보호법 제15조 제1항 제4호 (계약 이행)처리 완료 후 즉시 파기(재설정 링크: 발송 후 1시간)

② 서비스 이용 (게이미피케이션 기능)

목표 설정, 퀘스트 수행, 보상 시스템 및 가상 공간 꾸미기 기능을 제공합니다.

구분수집/생성 항목처리 목적법적 근거보유 기간
목표(Goal) 관리[이용자 입력] 목표 제목, 시작일, 종료일, 상태(진행중/완료/보관) [자동 생성] 총 일수, 완료 일수, 주간 보상 데이터(JSON)개인 목표 설정·관리 및 달성률 계산개인정보 보호법 제15조 제1항 제4호 (계약 이행)회원 탈퇴 시까지
퀘스트(Quest) 관리[이용자 입력 또는 AI 생성] 퀘스트 제목, 설명, 카테고리(일간/주간/월간), 난이도(쉬움/보통/어려움), 수행 요일 [자동 생성] 보상값(경험치·골드, JSON)퀘스트 생성·관리 및 달성 보상 계산개인정보 보호법 제15조 제1항 제4호 (계약 이행)회원 탈퇴 시까지
퀘스트 수행 기록(Quest Log)[자동 기록] 수행일(날짜), 완료 상태 [선택 - 미구현, 향후 도입 예정] 증빙 이미지 URL퀘스트 완료 이력 관리 및 통계 산출개인정보 보호법 제15조 제1항 제4호 (계약 이행)회원 탈퇴 시까지
이용자 게임 스탯[자동 생성·갱신] 레벨, 경험치(exp), 골드, 생성일시, 갱신일시게이미피케이션 요소(레벨업·보상) 제공개인정보 보호법 제15조 제1항 제4호 (계약 이행)회원 탈퇴 시까지
가상 공간(Room) 관리[이용자 설정] 공간 이름, 대표 공간 여부 [자동 기록] 가구 배치 데이터(JSON), 벽지·바닥 설정 ID, 정렬 순서개인화된 가상 공간 저장·복원개인정보 보호법 제15조 제1항 제4호 (계약 이행)회원 탈퇴 시까지
인벤토리·아이템[자동 기록] 보유 아이템 ID, 획득일시, 수량, 맥락 데이터(JSON)획득 아이템 관리 및 공간 배치 지원개인정보 보호법 제15조 제1항 제4호 (계약 이행)회원 탈퇴 시까지

③ AI 퀘스트 생성 서비스

Google Gemini API를 이용한 AI 기반 퀘스트 추천 및 이미지 생성 서비스를 제공합니다.

구분처리 항목처리 목적법적 근거보유 기간
AI 퀘스트 생성[AI 처리에 제공되는 정보] 목표 제목, 퀘스트 카테고리, 난이도 설정값 [AI 생성 결과물] 퀘스트 제목·설명(텍스트), AI 생성 이미지(PNG, Supabase Storage 저장)맞춤형 퀘스트 아이디어 및 아이템 이미지 자동 생성개인정보 보호법 제15조 제1항 제4호 (계약 이행)AI 생성 이미지: 아이템 카탈로그에 영구 보관(회원 탈퇴 시에도 아이템 데이터는 유지) 처리 프롬프트: AI 처리 후 즉시 삭제

※ AI 처리 관련 주의사항

· 목표 제목에 이름, 연락처, 주민등록번호 등 민감한 개인정보가 포함되지 않도록 주의하시기 바랍니다.

· AI 처리 과정에서 Google Gemini API 서버(미국 소재)로 해당 텍스트가 전송됩니다. 자세한 내용은 제6조(국외 이전)를 참조하십시오.

· AI 생성 이미지는 공개된 아이템 카탈로그에 등록될 수 있습니다.

④ 법령에 의한 보존

관련 법령에 의하여 보존할 의무가 있는 정보는 해당 법령에 따른 기간 동안 보존합니다.

보존 항목관련 법령보존 기간
계약 또는 청약철회 등에 관한 기록전자상거래 등에서의 소비자 보호에 관한 법률 제6조5년
대금결제 및 재화 공급에 관한 기록전자상거래 등에서의 소비자 보호에 관한 법률 제6조5년
소비자의 불만 또는 분쟁처리에 관한 기록전자상거래 등에서의 소비자 보호에 관한 법률 제6조3년
로그인 기록, 접속 IP 등 통신사실 확인자료통신비밀보호법 제41조3개월
서비스 이용 관련 분쟁 기록자체 방침 (분쟁 해결 목적)분쟁 해결 시까지

제2조 개인정보파일의 등록현황

회사는 「개인정보 보호법」 제32조에 따라 개인정보파일을 운영하고 있으며, 처리목적·보유기간 등은 제1조에 기재된 범위 내에서 처리됩니다. 주요 개인정보파일은 다음과 같습니다.

파일명주요 항목처리 목적보유 기간
회원 기본 정보 파일이메일, 닉네임, 비밀번호(해시), 소셜 제공자 정보, 회원 고유 ID회원 관리탈퇴 후 30일
게임 스탯 파일레벨, 경험치, 골드, 생성/수정일시서비스 제공탈퇴 후 30일
목표 및 퀘스트 파일목표·퀘스트 제목, 카테고리, 난이도, 보상값, 일정 정보서비스 제공탈퇴 후 30일
퀘스트 수행 기록 파일퀘스트 ID, 수행일, 완료 상태통계 및 이력 관리탈퇴 후 30일
가상 공간 파일공간명, 가구 배치 데이터(JSON), 벽지·바닥 ID서비스 제공탈퇴 후 30일
인벤토리 파일보유 아이템 ID, 획득일시, 수량서비스 제공탈퇴 후 30일
AI 생성 이미지 파일AI 생성 PNG 이미지 (Supabase Storage 저장)아이템 이미지 표시영구 보관

제3조 개인정보의 제3자 제공에 관한 사항

① 회사는 정보주체의 동의, 법률의 특별한 규정 등 「개인정보 보호법」 제17조 및 제18조에 해당하는 경우에만 개인정보를 제3자에게 제공합니다.

② 현재 회사는 원칙적으로 이용자의 개인정보를 제3자에게 제공하지 않습니다. 단, 다음의 경우에는 예외가 적용됩니다.

  • 이용자가 사전에 동의한 경우
  • 법령의 규정에 의거하거나, 수사 목적으로 법령에 정해진 절차와 방법에 따라 수사기관의 요구가 있는 경우
  • 서비스 제공에 따른 요금 정산을 위해 필요한 경우 (향후 유료 서비스 도입 시 적용)

③ 향후 제3자 제공이 발생하는 경우에는 본 방침을 즉시 개정하고 사전 동의를 받겠습니다.

제4조 추가적인 이용·제공 판단기준

회사는 「개인정보 보호법」 제15조 제3항 또는 제17조 제4항에 따라 정보주체의 동의 없이 개인정보를 추가적으로 이용·제공하는 경우, 다음 사항을 고려합니다.

1. 당초 수집 목적과의 관련성퀘스트 달성 통계 분석 등 서비스 개선 목적으로만 활용하며, 수집 목적의 범위를 벗어나지 않습니다.

2. 예측 가능성이용자가 서비스 이용 맥락에서 예측할 수 있는 범위 내에서만 처리합니다.

3. 이익 침해 여부정보주체의 이익을 부당하게 침해하지 않는 범위에서 처리합니다.

4. 안전성 확보 조치추가적 이용·제공 시에도 암호화 등 적절한 안전성 확보 조치를 취합니다.

제5조 개인정보처리의 위탁에 관한 사항

① 회사는 원활한 서비스 운영을 위하여 다음과 같이 개인정보 처리 업무를 위탁하고 있습니다.

수탁자위탁 업무개인정보 처리 항목
Supabase, Inc.(미국 소재)회원 인증 및 계정 관리, 데이터베이스 운영, 파일 스토리지(이미지) 제공이메일, 비밀번호(암호화), 소셜 계정 정보, 서비스 이용 데이터 전체
Google LLC(미국 소재, Gemini API)AI 기반 퀘스트 텍스트 생성 및 이미지 생성 처리목표 제목, 퀘스트 카테고리·난이도 설정값 (처리 후 즉시 삭제)
Render Services, Inc.(미국 소재)백엔드 서버 호스팅 및 운영서버를 통해 전달되는 API 요청/응답 데이터 (캐시·영구 저장 없음)

② 회사는 위탁계약 체결 시 「개인정보 보호법」 제26조에 따라 다음 사항을 계약서에 명시하고, 수탁자가 개인정보를 안전하게 처리하는지를 감독합니다.

  • 위탁 업무 수행 목적 외 개인정보 처리 금지
  • 안전성 확보 조치에 관한 사항
  • 재위탁 제한에 관한 사항
  • 수탁자에 대한 관리·감독에 관한 사항
  • 손해배상 등 책임에 관한 사항

③ 위탁 업무의 내용이나 수탁자가 변경될 경우에는 지체 없이 본 방침을 통해 공개하겠습니다.

제6조 국외 이전에 관한 사항

회사는 서비스 운영을 위해 다음과 같이 개인정보를 국외로 이전합니다. 해당 국외 이전은 「개인정보 보호법」 제28조의8에 따른 기준을 충족합니다.

이전받는자국가이전 항목이전 목적보유 기간보호 조치
Supabase, Inc.미국회원 계정 정보, 서비스 이용 데이터 전체인증, DB, 스토리지 서비스 제공회원 탈퇴 시까지표준 계약 조항(SCC) 및 SOC2 Type II 인증
Google LLC(Gemini API)미국목표 제목, 퀘스트 생성 파라미터 (처리 후 즉시 삭제)AI 퀘스트·이미지 생성AI 처리 완료 후 즉시 삭제Google Cloud 개인정보처리방침 및 데이터 처리 부가조항(DPA)
Render Services, Inc.미국API 요청/응답 데이터 (영구 저장 없음)백엔드 서버 호스팅처리 즉시 삭제표준 계약 조항(SCC) 및 SOC2 준수

제7조 개인정보의 파기절차 및 파기방법

① 회사는 개인정보 보유기간의 경과, 처리 목적 달성 등 개인정보가 불필요하게 되었을 때에는 지체 없이 해당 개인정보를 파기합니다.

② 정보주체로부터 동의받은 개인정보 보유기간이 경과하거나 처리 목적이 달성되었음에도 불구하고 다른 법령에 따라 개인정보를 계속 보존하여야 하는 경우에는, 해당 개인정보를 별도의 데이터베이스(DB)로 옮기거나 보관 장소를 달리하여 보존합니다.

③ 개인정보 파기의 절차 및 방법은 다음과 같습니다.

파기 절차

회원 탈퇴 요청 접수 → 파기 사유 확인 → 개인정보 보호책임자 승인 → 파기 실행 → 파기 확인(30일 이내)

파기 사유파기 시기파기 방법
회원 탈퇴탈퇴 요청 후 30일 이내전자적 파일: 복구 불가능한 방법으로 영구 삭제(Supabase DB 레코드 삭제, Storage 객체 삭제)
법령 보유기간 경과해당 보유기간 만료 후 즉시별도 DB 분리 후 보유기간 경과 시 영구 삭제
AI 처리 프롬프트AI 처리 완료 후 즉시메모리에서 즉시 삭제 (서버 미저장)
비밀번호 재설정 토큰발급 후 1시간 또는 사용 즉시Supabase Auth 토큰 만료 처리

제8조 정보주체와 법정대리인의 권리·의무 및 행사방법

① 정보주체는 회사에 대해 언제든지 다음과 같은 개인정보 보호 관련 권리를 행사할 수 있습니다.

권리내용행사 방법
개인정보 열람권본인의 개인정보 처리 여부, 처리 목적, 처리 항목, 보유 기간 등을 열람할 수 있습니다.앱 내 '내 정보' 메뉴 또는 이메일 문의
개인정보 정정·삭제권처리 중인 개인정보가 사실과 다를 경우 정정을 요청하거나 삭제를 요청할 수 있습니다. 단, 법령에서 수집을 의무화한 경우 삭제가 제한될 수 있습니다.앱 내 '닉네임 수정' 기능 또는 이메일 문의
개인정보 처리정지권개인정보 처리에 동의한 경우 언제든지 동의를 철회하고 처리 정지를 요청할 수 있습니다.이메일 문의 또는 회원 탈퇴
회원 탈퇴권(처리 철회)회원 탈퇴를 통해 개인정보 처리 동의를 철회할 수 있으며, 탈퇴 후 30일 이내 파기됩니다.앱 내 '계정 삭제' 메뉴 (구현 예정) 또는 이메일 문의
자동화된 결정에 대한 거부·설명 요청권AI 퀘스트 생성 등 자동화된 처리 결과에 대해 설명을 요청하거나 이의를 제기할 수 있습니다. (「개인정보 보호법」 제37조의2)이메일 문의

② 권리 행사는 다음의 방법으로 가능합니다.

  • 이메일: project.habitate@gmail.com
  • 앱 내 고객센터: 설정 > 고객센터 (구현 예정)
  • 권리 행사 시 본인 확인 절차를 거치며, 요청 접수 후 10일 이내 처리합니다.

③ 만 14세 미만 아동의 경우 법정대리인이 「개인정보 보호법」 제38조 제2항에 따라 해당 아동에 관한 개인정보의 열람·정정·삭제·처리정지를 요구할 수 있습니다. 회사는 만 14세 미만 아동의 회원가입을 원칙적으로 제한합니다.

④ 권리 행사는 정보주체의 법정대리인이나 위임을 받은 자 등 대리인을 통하여 하실 수도 있습니다. 이 경우 위임장과 함께 대리인 신분증 사본을 제출하셔야 합니다.

제9조 개인정보의 안전성 확보조치에 관한 사항

회사는 「개인정보 보호법」 제29조에 따라 다음과 같은 안전성 확보 조치를 취하고 있습니다.

1. 관리적 조치

  • 내부 관리계획 수립 및 시행
  • 개인정보 취급 직원에 대한 정기 교육 및 보안 서약
  • 개인정보 접근 권한을 업무 담당자에 한정하여 최소화
  • 개인정보 처리 현황 정기 점검

2. 기술적 조치

  • 비밀번호 암호화 저장: Argon2id 알고리즘 적용 (Supabase Auth)
  • 전송 구간 암호화: HTTPS/TLS 1.2 이상 적용 (모든 API 통신)
  • JWT(JSON Web Token) 기반 인증 토큰 발급, 유효기간 7일 설정
  • 인증 토큰의 클라이언트 측 안전 저장: React Native AsyncStorage (기기 내 암호화 저장소)
  • Supabase Row-Level Security(RLS): 이용자 본인의 데이터만 접근 가능하도록 DB 정책 설정
  • SQL Injection 등 웹 취약점 방어: FastAPI 프레임워크 및 Pydantic 입력값 검증
  • AI 이미지 생성 속도 제한(Rate Limiting): 남용 방지를 위한 API 호출 횟수 제한
  • 소셜 로그인: OAuth 2.0 표준 준수, 프론트엔드에서 제공자 비밀키 미노출

3. 물리적 조치

  • 클라우드 인프라(Supabase, Render) 데이터센터의 물리적 보안 (SOC2 Type II 인증)에 의존
  • 개발 환경과 운영 환경 분리: 환경변수(.env)를 통한 민감 정보 관리, 코드 저장소에 비포함
  • GitHub 저장소 보안: 비밀키·API 키를 코드에 직접 작성 금지, .gitignore 적용

제10조 개인정보를 자동수집하는 장치의 설치·운영 및 거부에 관한 사항

① 모바일 앱 (Habitate 앱)

Habitate는 React Native 기반 모바일 앱으로, 현재 버전(1.0.0)에서는 다음과 같은 자동수집 장치를 사용하지 않습니다.

항목사용 여부비고
쿠키(Cookie)미사용모바일 앱 환경이므로 해당 없음
위치 정보(GPS)미사용 (미수집)현재 버전에서 위치 기반 기능 없음
카메라·사진미사용 (미수집)퀘스트 증빙 사진 기능 향후 도입 예정 (도입 시 별도 동의 취득)
푸시 알림 기기 토큰미사용 (미수집)푸시 알림 기능 향후 도입 예정 (도입 시 별도 동의 취득)
제3자 분석 도구미사용Firebase Analytics, Mixpanel, Google Analytics 등 미적용
광고 식별자(IDFA/GAID)미사용광고 기능 없음
JWT 토큰 (인증용)사용이용자 인증을 위해 기기 로컬에 저장 (AsyncStorage). 앱 로그아웃 시 삭제 가능

② 웹사이트 (향후 도입 시)

향후 별도의 웹사이트 운영 시에는 쿠키(Cookie)를 사용할 수 있으며, 이 경우 쿠키 동의 팝업을 통해 이용자의 선택권을 보장하고 본 방침을 개정하여 공개합니다.

※ JWT 토큰 삭제(로그아웃) 방법

앱 내 설정 > 로그아웃 메뉴를 통해 기기에 저장된 인증 토큰을 즉시 삭제할 수 있습니다. 로그아웃 후에는 다시 로그인해야 서비스를 이용할 수 있습니다.

제11조 개인정보 보호책임자에 관한 사항

① 회사는 개인정보 처리에 관한 업무를 총괄하여 책임지고, 개인정보 처리와 관련한 정보주체의 불만처리 및 피해구제 등을 위하여 아래와 같이 개인정보 보호책임자를 지정하고 있습니다.

구분정보
직위개인정보 보호책임자(CPO)
담당 부서Habitate 개발팀
이메일project.habitate@gmail.com
처리 기간문의 접수 후 10일 이내

② 정보주체는 회사의 서비스를 이용하면서 발생한 모든 개인정보 보호 관련 문의, 불만, 피해구제 등에 관한 사항을 개인정보 보호책임자에게 문의할 수 있습니다. 회사는 정보주체의 문의에 대해 지체 없이 답변 및 처리해 드릴 것입니다.

제12조 개인정보의 열람청구를 접수·처리하는 부서

① 정보주체는 「개인정보 보호법」 제35조에 따른 개인정보의 열람청구를 아래의 부서에 할 수 있습니다.

처리 부서처리 파일문의 방법
Habitate 개발팀회원 기본 정보 파일 게임 스탯 파일 목표 및 퀘스트 파일 퀘스트 수행 기록 파일 가상 공간 파일 인벤토리 파일 AI 생성 이미지 파일이메일: project.habitate@gmail.com 답변 기간: 10일 이내

② 정보주체는 열람 등 요구에 대한 조치에 불만이 있거나 이의가 있을 경우 이의를 제기할 수 있고, 이의제기를 받은 날로부터 10일 이내에 조치 결과를 안내드립니다.

제13조 정보주체의 권익침해 구제방법

① 정보주체는 개인정보침해로 인한 구제를 받기 위하여 다음 기관에 분쟁 해결이나 상담 등을 신청할 수 있습니다.

기관명연락처주요 업무
개인정보분쟁조정위원회(국번없이) 1833-6972 www.kopico.go.kr개인정보 관련 분쟁 조정 신청
개인정보침해신고센터(한국인터넷진흥원)(국번없이) 118 privacy.kisa.or.kr개인정보 침해 신고 및 상담
경찰청 사이버범죄신고시스템(국번없이) 182 ecrm.police.go.kr사이버 범죄 피해 신고
대검찰청 사이버수사과02-3480-3573 www.spo.go.kr개인정보 침해 관련 고소·고발

② 「개인정보 보호법」 제35조(열람), 제36조(정정·삭제), 제37조(처리정지 등)의 규정에 의한 요구에 대한 처분 또는 부작위로 인하여 권리 또는 이익의 침해를 받은 자는 행정심판법이 정하는 바에 따라 행정심판을 청구할 수 있습니다.

※ 중앙행정심판위원회: (국번없이) 110 · www.simpan.go.kr

제14조 개인정보처리방침의 변경에 관한 사항

① 이 개인정보처리방침은 2026년 5월 1일부터 적용됩니다.

② 법령이나 서비스의 변경사항을 반영하기 위해 개인정보처리방침을 개정하는 경우, 개정 전 최소 7일 이전부터 앱 내 공지사항 또는 이메일을 통해 공지합니다. 다만, 이용자 권리에 중대한 변경이 발생하는 경우에는 최소 30일 이전에 고지합니다.

③ 이전의 개인정보처리방침은 버전 관리를 통해 확인할 수 있습니다.

버전적용일주요 변경 내용
v1.0.02026년 5월 1일최초 제정 및 시행

본 방침은 2026년 5월 1일부터 시행됩니다.

최종 수정일: 2026년 4월 26일  ·  Habitate 팀