LOCAL-FIRST TRANSPARENCY

개인정보·로컬 데이터 정책

식단과 장보기 상태가 어디에 남는지, KAMIS 조회 때 무엇이 이동하는지, 운영 방식이 달라지기 전에 무엇을 먼저 확정해야 하는지 설명합니다.

TRANSPARENCY RECEIPTLOCAL FIRST
버전
실증 정책 v1.3
시행일
2026-07-13
적용 범위
안전알뜰 장바구니 실증 MVP

EXTERNAL REVIEW HANDOFF · HISTORICAL V13 · UNREVIEWED

외부검토 전달팩 재검토 필요 · 운영 차단

세 서비스 v10 내부 증적·정책 v1.1 기준선, v11 정책 v1.2 변경, v12 통제 강화와 v13 로컬 반환 검증 후보의 redacted 증적 18건을 법률·Gmail·Sites 검토 질문 12개로 묶은 과거 후보 증거입니다. 현재 정책 v1.3의 테마 저장 변경은 이 전달팩 범위에 포함되지 않습니다. 전달팩이 준비됐다는 뜻일 뿐 전문가 의견, provider 답변, 계정 확인 또는 운영 승인을 받았다는 뜻은 아닙니다.

RELEASE · BLOCKED
과거 v13 전달팩STALE · BLOCKEDexternal-review-handoff/v1 · v10→v11 정책 · v11→v12 통제 · v12→v13 로컬 검증
외부검토NOT STARTED법률 0/6 · Gmail 0/3 · Sites 0/3
실계정·외부행위0계정 접근·메일 발송·provider mutation 없음
운영 결정NO-GO공개 확장·서버 개인화·SLA 차단
01

개인 운영 사실은 그대로, 자동 면제는 금지

제공할 수 없는 사업자 값과 개인 거주지를 새로 요구하지 않습니다.

운영 형태
개인·비사업자
법인·사업자
아님 · 관련 값 해당 없음
개인 거주지
비요청·비수집·비공개
책임정보
기존 Omnilude 공개 이름·이메일만 참조

개인·비사업자라는 이유로 법 적용을 자동 면제하거나 Google consumer로 자동 분류하지 않습니다.

02

Sites 계약 사실과 한국법 결론을 분리

2026-07-09 공개된 공식 Sites 문서를 새 기준선으로 반영했습니다.

  • Sites Terms: OpenAI가 이용자를 대신해 사이트를 호스팅
  • 개인용 Sites DPA: Hosted Data에 대해 OpenAI를 processor로 설명
  • DPA 목적: 호스팅·유지보수·지원
  • Hosted Data 범주: 제공 콘텐츠와 생성 로그·usage·device·cookie
  • 보관: 계약 기간과 종료 후 의무·삭제에 필요한 기간

이 계약상 표현을 한국 개인정보 보호법상 처리위탁·국외이전 결론으로 자동 복사하지 않습니다. 현재 계정 적용성과 실제 필드·보관도 미확정입니다.

03

Google 약관 전환일에 자동으로 실패 폐쇄

2026-07-30 이후 또는 다른 출처의 revalidateAfter 경과 뒤 재수집·재검토 없이는 pack을 stale로 차단합니다.

현행
2024-05-22 시행
예정
2026-07-30 시행
계정 유형
미확정 · 실제 계정 확인 필요
Gmail lifecycle
미승인 · 실왕복 미실시
04

반환 JSON은 선택한 기기 안에서만 판정

이용자가 명시적으로 선택한 최대 64 KiB의 redacted 외부검토 반환 JSON만 브라우저 메모리에서 구조·현재성을 한 번 확인합니다.

  • 허용 범주: pack·result ID와 digest·유효시각, 3 track의 비식별 reviewer·provenance ref·자격 유형·관할·이해상충, 12문항의 판정·제한·adverse·unresolved·source/evidence ref, verification·declared status enum
  • 실제 이름·이메일·주소·사업자 값·비밀은 허용하지 않음
  • 업로드·네트워크 전송·영구저장·입력 로그 없음
  • 원문·파일명 표시 없음
  • 로컬 시스템 시계를 일회성 판정 기준으로 사용
  • 초기화·새 파일 선택·화면 이탈 시 메모리 판정 폐기
  • 원본 로컬 파일은 앱이 삭제하지 않음
  • CLI는 일반 파일만 읽고 redacted 요약만 출력하며, 미검증 결과는 exit 3

구조·현재성 통과는 서명, 검토자 신원·자격 또는 법률 결론의 독립 검증이 아닙니다. 외부검토·운영·공개 gate는 계속 차단됩니다.

LEGAL · 6
  1. LEGAL-01실제 처리 흐름상 개인정보처리자 해당 여부와 적용 범위는 무엇인가? 개인·비사업자를 자동 면제 근거로 쓰지 않는다.
  2. LEGAL-02서비스별 처리 항목·목적·법적 근거·최소수집·민감정보 제한은 충분한가?
  3. LEGAL-03처리방침·투명성·책임정보 요건과 기존 공개 이름·이메일의 충분성은 무엇인가?
  4. LEGAL-04열람·정정·삭제·처리정지, 비례적 본인확인, 법 적용 시 10일 결과통지와 예외를 어떻게 운영해야 하는가?
  5. LEGAL-05요청 종결 후 보유·파기·법적 보존·분쟁 예외와 최소 처리기록 기간은 무엇인가?
  6. LEGAL-06Gmail·Sites의 처리위탁·국외이전·안전조치와 법정 영향평가 적용 대상 여부는 무엇인가?
GMAIL · 3
  1. GMAIL-01한국 Google 약관상 현재 계정 유형과 공식 권리요청 채널 이용 가능성은 무엇인가? 개인이라는 이유로 consumer로 자동 분류하지 않는다.
  2. GMAIL-02Gmail 처리 항목·주체·위치·하위처리자·권리·침해사고 지원 경계는 무엇인가?
  3. GMAIL-03Gmail UI 삭제·휴지통·백업·수신자 사본과 운영자 보유기간을 어떻게 분리하는가?
SITES · 3
  1. SITES-01Sites Terms·개인용 DPA가 현재 계정과 owner-only 사이트에 적용되는가?
  2. SITES-02Hosted Data의 실제 항목과 역할은 무엇인가? 계약상 processor 표현과 한국법상 분류를 분리한다.
  3. SITES-03보관·내보내기·삭제·서비스 종료·하위처리자·국외처리·사고지원·민감정보 제한은 무엇인가?

출처 digest는 페이지 본문 아카이브가 아닌 source ID descriptor 표시이고, 증적 digest는 JSON route에 내장된 redacted payload의 SHA-256입니다. 외부검토자는 원문을 다시 열어 현재성·적용성을 확인해야 합니다. 어떤 attestation도 아직 없으며, 검토가 완료돼도 Gmail lifecycle, 계정보안, live 왕복과 실제 사고대응 gate가 남아 있으면 공개 운영은 차단됩니다.

01 · STORED ON THIS DEVICE

계획 데이터와 실증 증적을 분리합니다

도메인 로컬 데이터

식단과 장보기를 복원하는 정보

한 주 예산, 가격 기준 지역, 가구 인원, 저녁 식사 수, 최대 조리시간, 고정 선택형 제외 재료, 생성된 세 식단의 메뉴·예상비·영양·안전 계산값, 선택 식단과 메뉴 잠금·교체 상태, 장바구니 품목·구매 수량·체크 상태, 제공기관 실증 시나리오를 이 브라우저의 로컬 저장소에 보관합니다. 구매 수량 칸은 최대 80자의 문자열을 저장하므로 수량·단위 외 이름, 연락처, 건강 상태 같은 내용을 입력하지 마세요.

목적: 새로고침하거나 다시 방문해도 같은 장보기 흐름 이어가기
별도 저식별 증적

실증 품질을 확인하는 최소 집계

자유서술이 아닌 고정 피드백, 일별 허용 action 합계, fixture KAMIS· 참가격·식품안전·영양·레시피·live KAMIS 등 6개 공급자의 상태 구간만 별도 저장 키에 보관합니다. 각 공급자의 fresh·stale·unavailable, 제공 모드, 마지막 정상 시점의 연령 구간과 고정 오류·저장 모드 분류만 남깁니다.

KST 날짜 단위 · 최근 30일 · 지역, 예산, 식단, 품목, 수량, 가격과 결합하지 않음
화면 환경설정

밝은·어두운 테마 선택

화면에서 밝은 테마 또는 어두운 테마를 직접 고르면safe-budget-grocery:theme:v1 키에 그 선택값 하나만 저장합니다. 시스템 설정을 선택하면 키를 제거하고 기기의 색상 모드 변경을 따릅니다. 이 값은 운영 서버·분석 도구나 외부검토 파일 처리로 보내지 않습니다.

목적: 재방문 시 화면 대비 복원 · 시스템 설정은 별도 저장 없음

저식별은 익명성이나 재식별 불가능을 보증한다는 뜻이 아닙니다. 이 서비스에서는 입력 항목과 증적 범위를 최소화한다는 설계 원칙을 뜻합니다.

02 · PURPOSE, RETENTION & DELETION

삭제 범위를 사용자가 선택할 수 있습니다

도메인 데이터 보관

식단·장보기 복원을 위해 현재 브라우저에 남으며, 사용자가 전체 삭제를 실행하거나 브라우저 사이트 데이터를 지울 때까지 유지됩니다.

증적 보관

KST 기준 최근 30일만 유지합니다. 날짜가 바뀔 때 보관 범위를 다시 계산하고 오래된 일별 집계를 물리적으로 제거합니다.

증적만 삭제

메인 화면의 ‘피드백·진단만 지우기’는 식단·장바구니를 보존하고 고정 피드백·action 합계·공급자 상태 구간만 삭제합니다.

전체 삭제

상단 ‘내 저장 데이터 지우기’는 도메인 데이터, 테마 선택과 저식별 증적을 함께 초기화합니다. 현재 문서의 색상은 즉시 강제로 바꾸지 않으며 다음 문서 로드부터 시스템 설정을 따릅니다. 브라우저 설정의 사이트 데이터 삭제를 사용하면 이 출처의 로컬 저장소도 직접 지울 수 있습니다. 브라우저가 삭제를 막으면 화면에 실패 상태를 알리며, 새로고침 시 남은 저장이 복원될 수 있으므로 브라우저 설정에서 다시 삭제해야 합니다.

03 · PROCESSING BOUNDARIES

앱 코드와 호스팅 계층의 처리를 구분합니다

APP

자동 분석 전송 없음

현재 안전알뜰 앱 코드는 도메인 로컬 데이터와 저식별 증적을 운영 서버, 중앙 telemetry 또는 분석 도구로 자동 전송하지 않습니다. CSV·JSON 내보내기는 사용자가 누른 경우에만 기기에서 파일을 만듭니다.

장보기 CSV에는 품목명, 구매 수량 칸 문자열, 포장단위, 체크 상태, 사용 메뉴·횟수와 가격 출처·조사일·신뢰도가 들어갑니다. 저식별 JSON에는 날짜, 허용 기능 합계, 고정 피드백과 정규화된 공급자 진단값이 들어갑니다. 내려받은 뒤에는 브라우저 다운로드 폴더, 동기화 드라이브 또는 사용자가 전달한 앱의 정책이 적용됩니다. 사이트 데이터 삭제로 이미 내려받은 파일은 지워지지 않으므로 직접 삭제해야 합니다.

HOSTING

접속·인증 메타데이터는 별도

2026-07-09 Sites Terms·개인용 DPA는 OpenAI가 이용자를 대신해 사이트를 호스팅하고 Hosted Data에 대해 processor로 처리한다고 설명합니다. 이는 안전알뜰의 로컬 식단 저장과 구분되며 앱의 삭제 버튼으로 처리되지 않습니다. 현재 계정 적용성, 실제 필드·보관·삭제와 한국법상 처리위탁·국외이전 분류는 외부검토 전 미확정입니다.

RIGHTS EMAIL

공식 권리행사 이메일은 Gmail 경계입니다

사용자가 mailto 링크 또는 이메일 앱에서 보내기를 실행할 때만 이동합니다. 이 사이트에는 자동 전송 폼·자동 접수번호·추적 기능이 없습니다.

발신 이메일 주소, 제목·본문, 사용자가 임의로 넣은 첨부, 답신·본인확인 내용과 송수신 시각·주소 등 메일 메타데이터이용자의 이메일 제공자 → Google/Gmail 환경의 omnilude@gmail.com 메일함과 답신 경로에 이동·보관될 수 있습니다. 앱의 ‘내 저장 데이터 지우기’로 메일·첨부·답신·제공자 메타데이터를 지울 수 없습니다. 합성 오프라인 탁상훈련만 PASS했으며 실 Gmail에서 본인확인·처리기록·결과 통지·파기를 시험하지 않았습니다. Google이 공개한 Gmail UI·일반 삭제 기준선은 확인했지만 안전알뜰의 정확한 보관·파기 일정과 위탁·국외 이전 해당 여부는 운영자 승인·법률 및 Google/Gmail 제공자 검토 전 미확정입니다.

첫 이메일에는 서비스명 ‘안전알뜰 장바구니’와 요청 유형만 적어 주세요. 발신 주소로 회신받을 수 있으면 별도 회신 주소도 적지 마세요. 직장·직무·선택 지역·소득·주거 정보와 관련 증빙, 주민등록번호, 신분증 사본, 계좌·카드정보, 집주소, 비밀번호·인증자료, 식단·알레르기·질환 등 건강정보와 불필요한 첨부는 보내지 마세요.

04 · KAMIS GATEWAY

공식 가격 확인을 누를 때만 지역 코드를 사용합니다

01사용자 클릭

‘공식 가격 확인’을 명시적으로 누른 경우에만 조회를 시작합니다.

02선택 지역 코드

브라우저는 선택 지역 slug만 동일 출처 게이트웨이에 보내고 Next.js Route Handler가 KAMIS 광역 코드로 바꿉니다.

03공개 참고가

검증·정규화한 채소류 조사 참고가 또는 마지막 정상값만 표시합니다.

  • 주간 예산, 가구 인원, 제외 재료, 식단·레시피, 장바구니 품목·수량·체크 상태는 KAMIS에 보내지 않습니다.
  • Next.js Route Handler는 KAMIS 서버 간 요청 query에 고정 채소류 코드·최근 영업일과 서버에 보관한 서비스 인증정보를 포함합니다. 인증정보는 브라우저 응답과 저장 스냅샷의 출처 URL에는 남기지 않지만 KAMIS·네트워크 계층에서 요청 메타데이터를 처리할 수 있습니다. 그 보관·삭제 기준은 아직 확인되지 않았고 ‘내 저장 데이터 지우기’로 삭제되지 않습니다.
  • 현재 배포 실증은 KAMIS 공식 문서의 sample mode이며 발급받은 운영 인증키가 아닙니다. 샘플 응답은 운영 연동 성공이나 이용 승인을 증명하지 않습니다.
  • 게이트웨이는 검증된 공개 가격 스냅샷을 지역·채소류 기준으로 서버 프로세스 메모리에 일시 보관하지만 사용자 식단, 장바구니, 저식별 증적은 서버에 저장하지 않습니다.
  • 프로세스 메모리에는 공급자·지역·채소류 범위별 최신 공개 가격, 확인 시각과 출처를 공유 캐시로 덮어써 보관합니다. 사용자 계정이나 식단과 연결하지 않으며 ‘내 저장 데이터 지우기’의 대상도 아닙니다. 마지막 정상값은 갱신 시각 기준 72시간 이내만 제공합니다. 다음 유효한 게이트웨이 요청에서 72시간을 초과한 메모리 행을 오래된 순으로 최대 50건 물리 삭제합니다. 무트래픽·정리 실패·50건 초과 적체 시 후속 요청까지 잔존할 수 있어 수명주기 게이트는 부분 구현 상태입니다. 서버 프로세스가 종료되면 전체 메모리 캐시는 사라집니다.
  • 현재 native Next.js 런타임은 서버 프로세스의 공유 메모리 저장소만 사용합니다. 이 저장소는 사용자 식단과 결합하지 않지만 프로세스 수명에 따르며 사용자별 삭제 경로가 아닙니다.
  • KAMIS 가격은 참고 레이어이며 fixture 식단 예상비에 자동 반영하거나 실제 판매가·구매 단위를 보장하지 않습니다.

05 · EXTERNAL LINKS & DO NOT ENTER

외부 정책을 확인하고 민감한 정보는 입력하지 마세요

KAMIS 공식 명세 등 서비스 밖의 공식 링크를 클릭하면 해당 기관의 개인정보 처리방침과 이용조건이 적용됩니다. 이동 전 링크와 출처를 확인하세요.

입력 금지

이 실증 서비스에는 실명, 전화번호·이메일·주소 같은 연락처, 주민등록번호, 계좌·신용정보, 질환·알레르기·복약·장애 등 건강정보와 민감정보를 입력하지 마세요. 구매 수량 칸에는 수량과 단위만 적고 사람 이름, 연락처나 건강 상태를 메모하지 마세요.

06 · MANUAL EMAIL RUNBOOK

합성 오프라인 탁상훈련의 의미와 한계

omnilude@gmail.com만 공개하며 웹 폼·자동 접수·자동 모니터링·접수번호·처리 추적·자율 응답 SLA 없음. 첫 이메일에는 서비스명과 요청 유형만 받고, 발신 주소로 회신할 수 있으면 별도 회신 주소를 받지 않습니다. 2026-07-12에는 실제 개인정보·첨부·외부 발송 없이 합성 요청 3건의 입력·답신 초안·8필드 기록을 rubric으로 대조했습니다.

PASS · 문서·템플릿 증적만: 실제 개인정보·첨부·외부 발송 없이 합성 입력, 답신 초안, 8필드 기록 템플릿을 rubric으로 대조한 문서·템플릿 증적 실 Gmail 접수·회신, 운영자 응답시간, Gmail 보관·파기, 제공자 처리 결과, 법률 검토, 높은 잔여위험의 해소·수용 또는 법정 개인정보 영향평가 완료의 증거가 아님

VERIFICATION

필요한 경우에만 비례 확인

요청 대상과 위험상 필요한 경우에만 최소 범위로 비례 확인하며, 이유와 방법을 별도로 먼저 안내합니다.

로컬 전용 데이터는 추가 증빙 없이 자체 삭제 경로를 안내합니다.

신분증·여권·주민등록번호·가족관계·금융·건강 증빙은 기본 본인확인 수단으로 요구하지 않습니다.

THREAD RECORD

같은 Gmail thread에만 최소 기록

같은 Gmail 이메일 thread 안의 최소 처리 메모 · 별도 DB·스프레드시트·CRM 처리대장을 만들지 않음

  • receivedAt
  • service
  • requestType
  • scope
  • verification
  • decision
  • outcome
  • closedAt
REPLY

회신에 남기는 네 가지

결정 · 조치 · 제한 사유 · 다음 경로

같은 이메일 thread에서 앱·Gmail·제공자 경계를 구분해 회신하며, 처리하지 못한 범위를 자동 완료로 표시하지 않습니다.

요청을 네 경계로 먼저 분류합니다

local-only

현재 기기의 로컬 전용 데이터

예시
식단·장보기·테마 선택 localStorage와 저식별 실증 증적
확인
추가 본인 증빙을 요구하지 않음
처리
화면의 자체 삭제와 브라우저 사이트 데이터 삭제 경로를 안내합니다. 중앙 보관 데이터의 삭제를 완료했다고 표현하지 않습니다.
gmail-thread

Gmail 이메일 thread

예시
발신 주소·본문·첨부·답신·송수신 메타데이터와 필요한 경우 별도 안내 후 받은 최소 본인확인 정보
확인
같은 thread의 발신·회신 맥락을 우선 사용하고, 요청 대상과 위험상 필요한 경우에만 비례적으로 확인
처리
같은 thread에서 수동으로 결정과 결과를 회신합니다. 정확한 Gmail 보관·파기 일정은 전문 검토 전 확정하지 않습니다.
sites-provider

Sites·KAMIS·외부 제공자 메타데이터

예시
Sites 접속·workspace 인증 로그, KAMIS·네트워크 요청 메타데이터와 제공자 시스템의 기록
확인
운영자는 앱과 제공자 범위를 먼저 분리하며, 제공자가 자체 경로에서 별도 확인을 요구할 수 있음
처리
확인된 공식 제공자 경로와 제한을 안내하고 운영자가 제공자 기록의 삭제 완료를 보장하지 않습니다.
future-app-data

향후 계정·서버 앱 데이터

예시
현재 서비스가 처리하지 않는 계정, 서버 저장 식단·장보기 또는 중앙 분석 데이터
확인
현재 존재하는 데이터처럼 응답하지 않으며, 기능 도입 시 확정된 인증·권리 절차를 적용
처리
계정·서버 기능 공개 전에 정책·인벤토리·인증·삭제 runbook을 먼저 개정하고 시험합니다.

오프라인 탁상훈련 결과 3건

SBG-RR-TT-20260712-001

로컬 삭제 요청

PASS
경계
synthetic-only-offline-tabletop · local-only
rubric
synthetic-only · 실제 개인정보·첨부·외부 발송 없음 PASS · 케이스별 필수 처리 경계 PASS · 원격 삭제·제공자 삭제·첨부 파기 완료 금지 PASS · 8필드 최소 처리기록 PASS · 결정·실제 조치·제한 사유·다음 경로 PASS
잔여 gap
실제 Gmail 요청·회신 왕복과 이용자 이해도 미검증 · 지원 브라우저별 삭제 성공·실패 복구 실훈련 미실시
SBG-RR-TT-20260712-002

Sites·KAMIS 제공자 메타데이터 요청

PASS
경계
synthetic-only-offline-tabletop · sites-provider
rubric
synthetic-only · 실제 개인정보·첨부·외부 발송 없음 PASS · 케이스별 필수 처리 경계 PASS · 원격 삭제·제공자 삭제·첨부 파기 완료 금지 PASS · 8필드 최소 처리기록 PASS · 결정·실제 조치·제한 사유·다음 경로 PASS
잔여 gap
Sites·KAMIS 실제 메타데이터 항목·보관·권리 경로 미확정 · 제공자 본인확인·응답·삭제 결과와 실 Gmail 왕복 미검증
SBG-RR-TT-20260712-003

민감 첨부 유입 요청

PASS
경계
synthetic-only-offline-tabletop · gmail-thread
rubric
synthetic-only · 실제 개인정보·첨부·외부 발송 없음 PASS · 케이스별 필수 처리 경계 PASS · 원격 삭제·제공자 삭제·첨부 파기 완료 금지 PASS · 8필드 최소 처리기록 PASS · 결정·실제 조치·제한 사유·다음 경로 PASS
잔여 gap
실제 Gmail 첨부 접근제어·보관·파기 절차 미승인 · 민감정보 사고 대응 전문 검토·높은 잔여위험 해소와 실훈련 미실시 · 법정 개인정보 영향평가 대상 여부는 전문가 확인 전 미판정
Google 제공자 공개 기준선 · 운영자 정책 미승인

Google의 Gmail UI 삭제, 일반 삭제·백업, 전 세계 서버 처리, 개인 계정 휴면 기준은 제공자 공개 기준선으로만 확인했습니다. 미승인 · 안전알뜰 Gmail thread 보유·파기 일정 미확정 · 미검토 · 위탁·국외이전 법적 분류 미확정 · 미검증 · 실제 계정의 Google 보안진단·2단계 인증·복구 이메일·복구 전화 설정을 확인하지 않음

첫 이메일에는 서비스명 ‘안전알뜰 장바구니’와 요청 유형만 적어 주세요. 발신 주소로 회신받을 수 있으면 별도 회신 주소도 적지 마세요. 직장·직무·선택 지역·소득·주거 정보와 관련 증빙, 주민등록번호, 신분증 사본, 계좌·카드정보, 집주소, 비밀번호·인증자료, 식단·알레르기·질환 등 건강정보와 불필요한 첨부는 보내지 마세요. Gmail thread의 정확한 보관·파기 일정은 적용 법령과 Google/Gmail 제공자 조건을 전문 검토하기 전까지 미확정입니다. 자율적인 최초 응답 SLA나 특정 최초응답 일수를 약속하지 않습니다. 법 적용 시 개인정보 보호법 시행령 제41·43·44조의 요구일로부터 10일 이내 결과 통지 기준은 자율 SLA와 분리하며 실제 적용·예외는 전문 검토 전 미판정입니다. 실 Gmail 접수·회신, 운영자 응답시간, Gmail 보관·파기, 제공자 처리 결과, 법률 검토, 높은 잔여위험의 해소·수용 또는 법정 개인정보 영향평가 완료의 증거가 아님

이용자용 수동 처리 runbook 전체 보기

POLICY v1.2 · CALCULATED EVIDENCE

개인정보 Phase Zero 계산 증거

문구를 완료로 바꾸는 것만으로 통과하지 않습니다. 입력값·근거·사전조건을 다시 계산하며, 현재 일관성 검증과 별개로 실 운영 판정은 NO-GO입니다.

OVERALLNO-GO높은 잔여위험 6
STATUTORY NOTICE · CONDITIONAL

법 적용 시 10일 결과 통지 · 자율 SLA와 별개

미판정 · 전문 검토 필요

적용 여부는 아직 전문 검토 전입니다. 개인·비사업자라는 사실만으로 면제하지 않으며, 법이 적용되는 경우 아래 결과 통지 기준을 사용합니다. 현재 자율 최초응답 SLA는 채택하지 않았습니다.

시행령 제41

열람

10일 이내

법 적용 시 요구를 받은 날부터 10일 이내 열람 가능 범위·일시·장소 등을 통지

시행령 제43

정정·삭제

10일 이내

법 적용 시 요구를 받은 날부터 10일 이내 조치 사실 또는 거절 사유·이의제기 방법을 통지

시행령 제44

처리정지

10일 이내

법 적용 시 요구를 받은 날부터 10일 이내 조치 사실 또는 거절 사유·이의제기 방법을 통지

이 10일은 법 적용 시 결과 통지 기준입니다. 운영자가 별도로 약속하는 최초응답 SLA나 Gmail 보관기간으로 바꾸어 읽지 않습니다.

GMAIL LIFECYCLE

실사용자 메일 수명주기는 아직 승인하지 않았습니다

미승인 초안
운영자 보유기간
미확정
운영자 삭제기간
미확정
Gmail 휴지통 UI
30
법적 근거·절차 승인
미확정 · 미승인

Gmail 휴지통 30일은 제공자 UI 동작 기준입니다. 이를 안전알뜰의 보유기간이나 파기기간으로 사용하면 계산 검증에 실패합니다. Google 일반 저장시스템·백업과 수신자 사본의 삭제 완료도 이 값으로 증명할 수 없습니다.

VOLUNTARY PRIVACY RISK REGISTER

자율 위험평가는 계산 완료 · 높은 잔여위험으로 NO-GO

계산 완료

이 register는 자율 개인정보 위험평가이며 법정 개인정보 영향평가가 아닙니다. 법정 평가 대상 여부는 별도 미판정 상태입니다. 5×5 방식으로 다시 계산한 결과 높은 잔여위험 6건이 남아 공개 운영을 허용하지 않습니다.

높음 위험3 × 5 = 15

민감 첨부 유입

이용자가 신분·건강·금융 증빙을 Gmail에 첨부해 보내는 상황

현재 통제
최초 이메일 최소정보 안내 · 오프라인 첨부 대응 탁상훈련
다음 통제
실 Gmail에서 첨부 비열람·격리·파기·회신 경계를 승인하고 훈련
높음 위험3 × 5 = 15

Gmail 계정 탈취

계정 또는 연결 앱이 탈취되어 요청 메일과 답신이 노출·변조되는 상황

현재 통제
Google 공식 보안 체크리스트 정의
다음 통제
보안진단 12항목을 실제 계정에서 점검하고 미승인 접근 0건 증적 확보
높음 위험4 × 4 = 16

보관·파기 일정 불명확

Gmail 휴지통 30일을 운영자 정책으로 오인하거나 thread가 무기한 남는 상황

현재 통제
Gmail UI 기준과 Google 일반 삭제 기준 분리
다음 통제
적용 근거에 맞는 운영자 보유·파기 기간과 예외·확인 절차 승인
높음 위험3 × 4 = 12

국외 처리·위탁 분류 미확정

Gmail·Sites 처리관계와 위치를 잘못 분류해 필요한 고지·계약·통제를 빠뜨리는 상황

현재 통제
Google·Sites 제공자 경계를 앱 데이터와 분리해 공개
다음 통제
개인·비사업자 여부와 무관하게 전문 검토로 관계·위치·의무 판정
높음 위험4 × 4 = 16

1인 운영자 부재

운영자 부재·계정 잠금 중 권리요청 또는 사고가 처리되지 않는 상황

현재 통제
대리 없음과 1인 운영을 공개 · 운영 중단 규칙 정의
다음 통제
대리자 신설을 가정하지 않는 중단·복구·공지 연속성 절차 훈련
높음 위험3 × 5 = 15

삭제 완료 오진

Gmail UI 삭제를 제공자 저장시스템·백업 또는 수신자 사본 삭제 완료로 회신하는 상황

현재 통제
완료 주장 금지 문구 · 상충 주장 변이테스트
다음 통제
실 왕복훈련에서 UI 조치·제공자 한계·수신자 사본을 구분한 답신 검증
GMAIL · SITES PROFESSIONAL REVIEW

개인·비사업자여도 전문검토 항목을 면제하지 않습니다

미판정 · 전문 검토 필요

Gmail 처리관계

미판정 · 전문 검토 필요

권리요청 메일 처리에서 Google/Gmail의 위탁·제3자 관계와 책임은 무엇인가

결론·근거: 전문 검토 전 미기록

Gmail 국외 처리

미판정 · 전문 검토 필요

처리 위치·이전 유형·고지 또는 추가 조치가 필요한가

결론·근거: 전문 검토 전 미기록

Gmail 보관·삭제

미판정 · 전문 검토 필요

운영자 보유기간·예외·휴지통·백업·수신자 사본을 어떻게 구분할 것인가

결론·근거: 전문 검토 전 미기록

Gmail 보안·사고

미판정 · 전문 검토 필요

1인 운영 계정 보안과 침해사고 협조·통지 경계는 충분한가

결론·근거: 전문 검토 전 미기록

Sites 처리관계

미판정 · 전문 검토 필요

Sites 접속·인증 메타데이터의 처리 주체·역할·하위 제공자 경계는 무엇인가

결론·근거: 전문 검토 전 미기록

Sites 보관·삭제

미판정 · 전문 검토 필요

Sites 전용 로그 항목·보유기간·삭제·권리행사 경로를 확인할 수 있는가

결론·근거: 전문 검토 전 미기록

권리처리 법 적용

미판정 · 전문 검토 필요

이 서비스에 적용되는 열람·정정·삭제·처리정지 의무와 예외는 무엇인가

결론·근거: 전문 검토 전 미기록

법정 개인정보 영향평가 대상

미판정 · 전문 검토 필요

법정 개인정보 영향평가 대상인지 별도 판단이 필요한가

결론·근거: 전문 검토 전 미기록

08 · CHANGE CONTROL

운영 경계를 넓히기 전에 정책부터 바꿉니다

사용자 데이터의 서버 저장, 중앙 telemetry, 실제 계정, 개인화 건강정보 또는 공개 운영·파일럿을 시작하기 전에 데이터 항목·목적·법적 근거· 보관기간·삭제 절차·제3자 처리를 재검토하고 이 정책을 개정합니다.

공개 근거와 운영자 확인: 운영자 옴니루드 운영자(김종민 대표), 개인정보 보호책임자 김종민 대표, 담당 부서 해당 없음(1인 운영), 공식 이메일 omnilude@gmail.com.
계속 미확정: 실 Gmail 권리요청 왕복훈련과 운영자 응답시간, Gmail 정확한 보관·파기 운영정책과 위탁·국외 이전 판단, 전문 법률 검토, 자율 개인정보 위험평가에서 계산된 높은 잔여위험의 해소, 법정 개인정보 영향평가 대상 여부의 전문가 확인, KAMIS·Sites 제공자 경계와 사고대응 연속성. 이를 확정하고 법률 검토를 마치기 전에는 실계정·개인화 건강정보·공개 운영 또는 파일럿으로 전환하지 않습니다.

확인 근거
운영자 확인(2026-07-12)
운영 형태
개인 운영
법인
해당 없음 · 법인이 아님
개인사업자
해당 없음 · 개인사업자가 아님
상호·등록·신고
상호 해당 없음 · 사업자등록 해당 없음 · 통신판매업 신고 해당 없음
사업장 주소
해당 없음
개인 거주지
개인 거주지는 서비스 운영에 불필요하며 최소화 원칙상 수집·공개하지 않음
대리
해당 없음 · 1인 운영
자율 최초응답 SLA
해당 없음
처리 시점 설명
특정 최초응답 일수를 자율 약속하지 않습니다. 법 적용 시 개인정보 보호법 시행령 제41·43·44조의 10일 결과 통지 기준은 자율 SLA와 분리해 적용 여부를 전문 검토합니다.

비사업자 개인 운영이라는 결정은 전문 법률 검토 완료, 법률 준수 인증 또는 공개 서비스 운영 적격성을 증명하지 않음

권리행사 이메일 앱 열기

첫 이메일에는 서비스명 ‘안전알뜰 장바구니’와 요청 유형만 적어 주세요. 발신 주소로 회신받을 수 있으면 별도 회신 주소도 적지 마세요. 직장·직무·선택 지역·소득·주거 정보와 관련 증빙, 주민등록번호, 신분증 사본, 계좌·카드정보, 집주소, 비밀번호·인증자료, 식단·알레르기·질환 등 건강정보와 불필요한 첨부는 보내지 마세요. 이 링크는 이메일 앱만 열며 자동 접수번호, 처리 추적 또는 삭제 완료를 제공하지 않습니다.

2026-07-13실증 정책 v1.3

Omnilude Novel의 Astryx UI 체계를 참조한 밝은·어두운·시스템 테마와 기기 내 테마 선택 저장·삭제 경계를 추가했습니다. v13 외부검토 전달팩은 정책 v1.2의 과거 후보 증적으로만 유지하며 현재 변경을 검토한 것으로 간주하지 않고 공개 운영 NO-GO를 유지합니다.

2026-07-12실증 정책 v1.2

v10 첫 변경통제, 대리 없는 연속성·기술사고 합성 훈련과 2026-07-09 Sites Terms·개인용 DPA 기준선, 법률·Gmail·Sites 외부검토 전달팩을 추가하되 실운영 NO-GO를 유지

2026-07-12실증 정책 v1.1

법정 10일 결과 통지와 자율 SLA 분리, Gmail 미승인 수명주기·보안 12항목, 계산형 자율 위험 register, 전문검토와 실 합성 Gmail readiness NO-GO를 추가

2026-07-12실증 정책 v1.0

개인·1인 운영 사실, 로컬·제공자 경계와 합성 오프라인 권리요청 탁상훈련 3건을 기록

정책 우선 원칙

서비스 화면의 짧은 안내와 본 정책이 충돌하면 더 구체적이고 더 엄격하게 데이터 처리를 제한하는 원칙을 우선합니다. 실제 처리 방식이 본 정책과 달라지는 기능은 먼저 중단하고 정책·화면·구현을 함께 고친 뒤 다시 검증합니다.

09 · REFERENCES

참고 기준

아래 링크는 향후 법정 개인정보 처리방침과 KAMIS 운영 연동을 설계할 때 확인할 공식 참고자료입니다. 링크 제시는 현재 서비스의 준수 인증, 법률 검토 완료, KAMIS 이용 승인 또는 운영키 검증을 뜻하지 않습니다.

피드백 보내기