LOCAL-FIRST TRANSPARENCY
개인정보·로컬 데이터 정책
식단과 장보기 상태가 어디에 남는지, KAMIS 조회 때 무엇이 이동하는지, 운영 방식이 달라지기 전에 무엇을 먼저 확정해야 하는지 설명합니다.
- 버전
- 실증 정책 v1.3
- 시행일
- 2026-07-13
- 적용 범위
- 안전알뜰 장바구니 실증 MVP
EXTERNAL REVIEW HANDOFF · HISTORICAL V13 · UNREVIEWED
외부검토 전달팩 재검토 필요 · 운영 차단
세 서비스 v10 내부 증적·정책 v1.1 기준선, v11 정책 v1.2 변경, v12 통제 강화와 v13 로컬 반환 검증 후보의 redacted 증적 18건을 법률·Gmail·Sites 검토 질문 12개로 묶은 과거 후보 증거입니다. 현재 정책 v1.3의 테마 저장 변경은 이 전달팩 범위에 포함되지 않습니다. 전달팩이 준비됐다는 뜻일 뿐 전문가 의견, provider 답변, 계정 확인 또는 운영 승인을 받았다는 뜻은 아닙니다.
개인 운영 사실은 그대로, 자동 면제는 금지
제공할 수 없는 사업자 값과 개인 거주지를 새로 요구하지 않습니다.
- 운영 형태
- 개인·비사업자
- 법인·사업자
- 아님 · 관련 값 해당 없음
- 개인 거주지
- 비요청·비수집·비공개
- 책임정보
- 기존 Omnilude 공개 이름·이메일만 참조
개인·비사업자라는 이유로 법 적용을 자동 면제하거나 Google consumer로 자동 분류하지 않습니다.
Sites 계약 사실과 한국법 결론을 분리
2026-07-09 공개된 공식 Sites 문서를 새 기준선으로 반영했습니다.
- Sites Terms: OpenAI가 이용자를 대신해 사이트를 호스팅
- 개인용 Sites DPA: Hosted Data에 대해 OpenAI를 processor로 설명
- DPA 목적: 호스팅·유지보수·지원
- Hosted Data 범주: 제공 콘텐츠와 생성 로그·usage·device·cookie
- 보관: 계약 기간과 종료 후 의무·삭제에 필요한 기간
이 계약상 표현을 한국 개인정보 보호법상 처리위탁·국외이전 결론으로 자동 복사하지 않습니다. 현재 계정 적용성과 실제 필드·보관도 미확정입니다.
Google 약관 전환일에 자동으로 실패 폐쇄
2026-07-30 이후 또는 다른 출처의 revalidateAfter 경과 뒤 재수집·재검토 없이는 pack을 stale로 차단합니다.
- 현행
- 2024-05-22 시행
- 예정
- 2026-07-30 시행
- 계정 유형
- 미확정 · 실제 계정 확인 필요
- Gmail lifecycle
- 미승인 · 실왕복 미실시
반환 JSON은 선택한 기기 안에서만 판정
이용자가 명시적으로 선택한 최대 64 KiB의 redacted 외부검토 반환 JSON만 브라우저 메모리에서 구조·현재성을 한 번 확인합니다.
- 허용 범주: pack·result ID와 digest·유효시각, 3 track의 비식별 reviewer·provenance ref·자격 유형·관할·이해상충, 12문항의 판정·제한·adverse·unresolved·source/evidence ref, verification·declared status enum
- 실제 이름·이메일·주소·사업자 값·비밀은 허용하지 않음
- 업로드·네트워크 전송·영구저장·입력 로그 없음
- 원문·파일명 표시 없음
- 로컬 시스템 시계를 일회성 판정 기준으로 사용
- 초기화·새 파일 선택·화면 이탈 시 메모리 판정 폐기
- 원본 로컬 파일은 앱이 삭제하지 않음
- CLI는 일반 파일만 읽고 redacted 요약만 출력하며, 미검증 결과는 exit 3
구조·현재성 통과는 서명, 검토자 신원·자격 또는 법률 결론의 독립 검증이 아닙니다. 외부검토·운영·공개 gate는 계속 차단됩니다.
- LEGAL-01실제 처리 흐름상 개인정보처리자 해당 여부와 적용 범위는 무엇인가? 개인·비사업자를 자동 면제 근거로 쓰지 않는다.
- LEGAL-02서비스별 처리 항목·목적·법적 근거·최소수집·민감정보 제한은 충분한가?
- LEGAL-03처리방침·투명성·책임정보 요건과 기존 공개 이름·이메일의 충분성은 무엇인가?
- LEGAL-04열람·정정·삭제·처리정지, 비례적 본인확인, 법 적용 시 10일 결과통지와 예외를 어떻게 운영해야 하는가?
- LEGAL-05요청 종결 후 보유·파기·법적 보존·분쟁 예외와 최소 처리기록 기간은 무엇인가?
- LEGAL-06Gmail·Sites의 처리위탁·국외이전·안전조치와 법정 영향평가 적용 대상 여부는 무엇인가?
- GMAIL-01한국 Google 약관상 현재 계정 유형과 공식 권리요청 채널 이용 가능성은 무엇인가? 개인이라는 이유로 consumer로 자동 분류하지 않는다.
- GMAIL-02Gmail 처리 항목·주체·위치·하위처리자·권리·침해사고 지원 경계는 무엇인가?
- GMAIL-03Gmail UI 삭제·휴지통·백업·수신자 사본과 운영자 보유기간을 어떻게 분리하는가?
- SITES-01Sites Terms·개인용 DPA가 현재 계정과 owner-only 사이트에 적용되는가?
- SITES-02Hosted Data의 실제 항목과 역할은 무엇인가? 계약상 processor 표현과 한국법상 분류를 분리한다.
- SITES-03보관·내보내기·삭제·서비스 종료·하위처리자·국외처리·사고지원·민감정보 제한은 무엇인가?
출처 digest는 페이지 본문 아카이브가 아닌 source ID descriptor 표시이고, 증적 digest는 JSON route에 내장된 redacted payload의 SHA-256입니다. 외부검토자는 원문을 다시 열어 현재성·적용성을 확인해야 합니다. 어떤 attestation도 아직 없으며, 검토가 완료돼도 Gmail lifecycle, 계정보안, live 왕복과 실제 사고대응 gate가 남아 있으면 공개 운영은 차단됩니다.
01 · STORED ON THIS DEVICE
계획 데이터와 실증 증적을 분리합니다
식단과 장보기를 복원하는 정보
한 주 예산, 가격 기준 지역, 가구 인원, 저녁 식사 수, 최대 조리시간, 고정 선택형 제외 재료, 생성된 세 식단의 메뉴·예상비·영양·안전 계산값, 선택 식단과 메뉴 잠금·교체 상태, 장바구니 품목·구매 수량·체크 상태, 제공기관 실증 시나리오를 이 브라우저의 로컬 저장소에 보관합니다. 구매 수량 칸은 최대 80자의 문자열을 저장하므로 수량·단위 외 이름, 연락처, 건강 상태 같은 내용을 입력하지 마세요.
목적: 새로고침하거나 다시 방문해도 같은 장보기 흐름 이어가기실증 품질을 확인하는 최소 집계
자유서술이 아닌 고정 피드백, 일별 허용 action 합계, fixture KAMIS· 참가격·식품안전·영양·레시피·live KAMIS 등 6개 공급자의 상태 구간만 별도 저장 키에 보관합니다. 각 공급자의 fresh·stale·unavailable, 제공 모드, 마지막 정상 시점의 연령 구간과 고정 오류·저장 모드 분류만 남깁니다.
KST 날짜 단위 · 최근 30일 · 지역, 예산, 식단, 품목, 수량, 가격과 결합하지 않음밝은·어두운 테마 선택
화면에서 밝은 테마 또는 어두운 테마를 직접 고르면safe-budget-grocery:theme:v1 키에 그 선택값 하나만 저장합니다. 시스템 설정을 선택하면 키를 제거하고 기기의 색상 모드 변경을 따릅니다. 이 값은 운영 서버·분석 도구나 외부검토 파일 처리로 보내지 않습니다.
저식별은 익명성이나 재식별 불가능을 보증한다는 뜻이 아닙니다. 이 서비스에서는 입력 항목과 증적 범위를 최소화한다는 설계 원칙을 뜻합니다.
02 · PURPOSE, RETENTION & DELETION
삭제 범위를 사용자가 선택할 수 있습니다
식단·장보기 복원을 위해 현재 브라우저에 남으며, 사용자가 전체 삭제를 실행하거나 브라우저 사이트 데이터를 지울 때까지 유지됩니다.
KST 기준 최근 30일만 유지합니다. 날짜가 바뀔 때 보관 범위를 다시 계산하고 오래된 일별 집계를 물리적으로 제거합니다.
메인 화면의 ‘피드백·진단만 지우기’는 식단·장바구니를 보존하고 고정 피드백·action 합계·공급자 상태 구간만 삭제합니다.
상단 ‘내 저장 데이터 지우기’는 도메인 데이터, 테마 선택과 저식별 증적을 함께 초기화합니다. 현재 문서의 색상은 즉시 강제로 바꾸지 않으며 다음 문서 로드부터 시스템 설정을 따릅니다. 브라우저 설정의 사이트 데이터 삭제를 사용하면 이 출처의 로컬 저장소도 직접 지울 수 있습니다. 브라우저가 삭제를 막으면 화면에 실패 상태를 알리며, 새로고침 시 남은 저장이 복원될 수 있으므로 브라우저 설정에서 다시 삭제해야 합니다.
03 · PROCESSING BOUNDARIES
앱 코드와 호스팅 계층의 처리를 구분합니다
자동 분석 전송 없음
현재 안전알뜰 앱 코드는 도메인 로컬 데이터와 저식별 증적을 운영 서버, 중앙 telemetry 또는 분석 도구로 자동 전송하지 않습니다. CSV·JSON 내보내기는 사용자가 누른 경우에만 기기에서 파일을 만듭니다.
장보기 CSV에는 품목명, 구매 수량 칸 문자열, 포장단위, 체크 상태, 사용 메뉴·횟수와 가격 출처·조사일·신뢰도가 들어갑니다. 저식별 JSON에는 날짜, 허용 기능 합계, 고정 피드백과 정규화된 공급자 진단값이 들어갑니다. 내려받은 뒤에는 브라우저 다운로드 폴더, 동기화 드라이브 또는 사용자가 전달한 앱의 정책이 적용됩니다. 사이트 데이터 삭제로 이미 내려받은 파일은 지워지지 않으므로 직접 삭제해야 합니다.
접속·인증 메타데이터는 별도
2026-07-09 Sites Terms·개인용 DPA는 OpenAI가 이용자를 대신해 사이트를 호스팅하고 Hosted Data에 대해 processor로 처리한다고 설명합니다. 이는 안전알뜰의 로컬 식단 저장과 구분되며 앱의 삭제 버튼으로 처리되지 않습니다. 현재 계정 적용성, 실제 필드·보관·삭제와 한국법상 처리위탁·국외이전 분류는 외부검토 전 미확정입니다.
공식 권리행사 이메일은 Gmail 경계입니다
사용자가 mailto 링크 또는 이메일 앱에서 보내기를 실행할 때만 이동합니다. 이 사이트에는 자동 전송 폼·자동 접수번호·추적 기능이 없습니다.
발신 이메일 주소, 제목·본문, 사용자가 임의로 넣은 첨부, 답신·본인확인 내용과 송수신 시각·주소 등 메일 메타데이터가 이용자의 이메일 제공자 → Google/Gmail 환경의 omnilude@gmail.com 메일함과 답신 경로에 이동·보관될 수 있습니다. 앱의 ‘내 저장 데이터 지우기’로 메일·첨부·답신·제공자 메타데이터를 지울 수 없습니다. 합성 오프라인 탁상훈련만 PASS했으며 실 Gmail에서 본인확인·처리기록·결과 통지·파기를 시험하지 않았습니다. Google이 공개한 Gmail UI·일반 삭제 기준선은 확인했지만 안전알뜰의 정확한 보관·파기 일정과 위탁·국외 이전 해당 여부는 운영자 승인·법률 및 Google/Gmail 제공자 검토 전 미확정입니다.
첫 이메일에는 서비스명 ‘안전알뜰 장바구니’와 요청 유형만 적어 주세요. 발신 주소로 회신받을 수 있으면 별도 회신 주소도 적지 마세요. 직장·직무·선택 지역·소득·주거 정보와 관련 증빙, 주민등록번호, 신분증 사본, 계좌·카드정보, 집주소, 비밀번호·인증자료, 식단·알레르기·질환 등 건강정보와 불필요한 첨부는 보내지 마세요.
04 · KAMIS GATEWAY
공식 가격 확인을 누를 때만 지역 코드를 사용합니다
‘공식 가격 확인’을 명시적으로 누른 경우에만 조회를 시작합니다.
브라우저는 선택 지역 slug만 동일 출처 게이트웨이에 보내고 Next.js Route Handler가 KAMIS 광역 코드로 바꿉니다.
검증·정규화한 채소류 조사 참고가 또는 마지막 정상값만 표시합니다.
- 주간 예산, 가구 인원, 제외 재료, 식단·레시피, 장바구니 품목·수량·체크 상태는 KAMIS에 보내지 않습니다.
- Next.js Route Handler는 KAMIS 서버 간 요청 query에 고정 채소류 코드·최근 영업일과 서버에 보관한 서비스 인증정보를 포함합니다. 인증정보는 브라우저 응답과 저장 스냅샷의 출처 URL에는 남기지 않지만 KAMIS·네트워크 계층에서 요청 메타데이터를 처리할 수 있습니다. 그 보관·삭제 기준은 아직 확인되지 않았고 ‘내 저장 데이터 지우기’로 삭제되지 않습니다.
- 현재 배포 실증은 KAMIS 공식 문서의 sample mode이며 발급받은 운영 인증키가 아닙니다. 샘플 응답은 운영 연동 성공이나 이용 승인을 증명하지 않습니다.
- 게이트웨이는 검증된 공개 가격 스냅샷을 지역·채소류 기준으로 서버 프로세스 메모리에 일시 보관하지만 사용자 식단, 장바구니, 저식별 증적은 서버에 저장하지 않습니다.
- 프로세스 메모리에는 공급자·지역·채소류 범위별 최신 공개 가격, 확인 시각과 출처를 공유 캐시로 덮어써 보관합니다. 사용자 계정이나 식단과 연결하지 않으며 ‘내 저장 데이터 지우기’의 대상도 아닙니다. 마지막 정상값은 갱신 시각 기준 72시간 이내만 제공합니다. 다음 유효한 게이트웨이 요청에서 72시간을 초과한 메모리 행을 오래된 순으로 최대 50건 물리 삭제합니다. 무트래픽·정리 실패·50건 초과 적체 시 후속 요청까지 잔존할 수 있어 수명주기 게이트는 부분 구현 상태입니다. 서버 프로세스가 종료되면 전체 메모리 캐시는 사라집니다.
- 현재 native Next.js 런타임은 서버 프로세스의 공유 메모리 저장소만 사용합니다. 이 저장소는 사용자 식단과 결합하지 않지만 프로세스 수명에 따르며 사용자별 삭제 경로가 아닙니다.
- KAMIS 가격은 참고 레이어이며 fixture 식단 예상비에 자동 반영하거나 실제 판매가·구매 단위를 보장하지 않습니다.
05 · EXTERNAL LINKS & DO NOT ENTER
외부 정책을 확인하고 민감한 정보는 입력하지 마세요
KAMIS 공식 명세 등 서비스 밖의 공식 링크를 클릭하면 해당 기관의 개인정보 처리방침과 이용조건이 적용됩니다. 이동 전 링크와 출처를 확인하세요.
이 실증 서비스에는 실명, 전화번호·이메일·주소 같은 연락처, 주민등록번호, 계좌·신용정보, 질환·알레르기·복약·장애 등 건강정보와 민감정보를 입력하지 마세요. 구매 수량 칸에는 수량과 단위만 적고 사람 이름, 연락처나 건강 상태를 메모하지 마세요.
06 · MANUAL EMAIL RUNBOOK
합성 오프라인 탁상훈련의 의미와 한계
omnilude@gmail.com만 공개하며 웹 폼·자동 접수·자동 모니터링·접수번호·처리 추적·자율 응답 SLA 없음. 첫 이메일에는 서비스명과 요청 유형만 받고, 발신 주소로 회신할 수 있으면 별도 회신 주소를 받지 않습니다. 2026-07-12에는 실제 개인정보·첨부·외부 발송 없이 합성 요청 3건의 입력·답신 초안·8필드 기록을 rubric으로 대조했습니다.
PASS · 문서·템플릿 증적만: 실제 개인정보·첨부·외부 발송 없이 합성 입력, 답신 초안, 8필드 기록 템플릿을 rubric으로 대조한 문서·템플릿 증적 실 Gmail 접수·회신, 운영자 응답시간, Gmail 보관·파기, 제공자 처리 결과, 법률 검토, 높은 잔여위험의 해소·수용 또는 법정 개인정보 영향평가 완료의 증거가 아님
필요한 경우에만 비례 확인
요청 대상과 위험상 필요한 경우에만 최소 범위로 비례 확인하며, 이유와 방법을 별도로 먼저 안내합니다.
로컬 전용 데이터는 추가 증빙 없이 자체 삭제 경로를 안내합니다.
신분증·여권·주민등록번호·가족관계·금융·건강 증빙은 기본 본인확인 수단으로 요구하지 않습니다.
같은 Gmail thread에만 최소 기록
같은 Gmail 이메일 thread 안의 최소 처리 메모 · 별도 DB·스프레드시트·CRM 처리대장을 만들지 않음
receivedAtservicerequestTypescopeverificationdecisionoutcomeclosedAt
회신에 남기는 네 가지
결정 · 조치 · 제한 사유 · 다음 경로
같은 이메일 thread에서 앱·Gmail·제공자 경계를 구분해 회신하며, 처리하지 못한 범위를 자동 완료로 표시하지 않습니다.
요청을 네 경계로 먼저 분류합니다
현재 기기의 로컬 전용 데이터
- 예시
- 식단·장보기·테마 선택 localStorage와 저식별 실증 증적
- 확인
- 추가 본인 증빙을 요구하지 않음
- 처리
- 화면의 자체 삭제와 브라우저 사이트 데이터 삭제 경로를 안내합니다. 중앙 보관 데이터의 삭제를 완료했다고 표현하지 않습니다.
Gmail 이메일 thread
- 예시
- 발신 주소·본문·첨부·답신·송수신 메타데이터와 필요한 경우 별도 안내 후 받은 최소 본인확인 정보
- 확인
- 같은 thread의 발신·회신 맥락을 우선 사용하고, 요청 대상과 위험상 필요한 경우에만 비례적으로 확인
- 처리
- 같은 thread에서 수동으로 결정과 결과를 회신합니다. 정확한 Gmail 보관·파기 일정은 전문 검토 전 확정하지 않습니다.
Sites·KAMIS·외부 제공자 메타데이터
- 예시
- Sites 접속·workspace 인증 로그, KAMIS·네트워크 요청 메타데이터와 제공자 시스템의 기록
- 확인
- 운영자는 앱과 제공자 범위를 먼저 분리하며, 제공자가 자체 경로에서 별도 확인을 요구할 수 있음
- 처리
- 확인된 공식 제공자 경로와 제한을 안내하고 운영자가 제공자 기록의 삭제 완료를 보장하지 않습니다.
향후 계정·서버 앱 데이터
- 예시
- 현재 서비스가 처리하지 않는 계정, 서버 저장 식단·장보기 또는 중앙 분석 데이터
- 확인
- 현재 존재하는 데이터처럼 응답하지 않으며, 기능 도입 시 확정된 인증·권리 절차를 적용
- 처리
- 계정·서버 기능 공개 전에 정책·인벤토리·인증·삭제 runbook을 먼저 개정하고 시험합니다.
오프라인 탁상훈련 결과 3건
로컬 삭제 요청
- 경계
- synthetic-only-offline-tabletop · local-only
- rubric
- synthetic-only · 실제 개인정보·첨부·외부 발송 없음 PASS · 케이스별 필수 처리 경계 PASS · 원격 삭제·제공자 삭제·첨부 파기 완료 금지 PASS · 8필드 최소 처리기록 PASS · 결정·실제 조치·제한 사유·다음 경로 PASS
- 잔여 gap
- 실제 Gmail 요청·회신 왕복과 이용자 이해도 미검증 · 지원 브라우저별 삭제 성공·실패 복구 실훈련 미실시
Sites·KAMIS 제공자 메타데이터 요청
- 경계
- synthetic-only-offline-tabletop · sites-provider
- rubric
- synthetic-only · 실제 개인정보·첨부·외부 발송 없음 PASS · 케이스별 필수 처리 경계 PASS · 원격 삭제·제공자 삭제·첨부 파기 완료 금지 PASS · 8필드 최소 처리기록 PASS · 결정·실제 조치·제한 사유·다음 경로 PASS
- 잔여 gap
- Sites·KAMIS 실제 메타데이터 항목·보관·권리 경로 미확정 · 제공자 본인확인·응답·삭제 결과와 실 Gmail 왕복 미검증
민감 첨부 유입 요청
- 경계
- synthetic-only-offline-tabletop · gmail-thread
- rubric
- synthetic-only · 실제 개인정보·첨부·외부 발송 없음 PASS · 케이스별 필수 처리 경계 PASS · 원격 삭제·제공자 삭제·첨부 파기 완료 금지 PASS · 8필드 최소 처리기록 PASS · 결정·실제 조치·제한 사유·다음 경로 PASS
- 잔여 gap
- 실제 Gmail 첨부 접근제어·보관·파기 절차 미승인 · 민감정보 사고 대응 전문 검토·높은 잔여위험 해소와 실훈련 미실시 · 법정 개인정보 영향평가 대상 여부는 전문가 확인 전 미판정
Google의 Gmail UI 삭제, 일반 삭제·백업, 전 세계 서버 처리, 개인 계정 휴면 기준은 제공자 공개 기준선으로만 확인했습니다. 미승인 · 안전알뜰 Gmail thread 보유·파기 일정 미확정 · 미검토 · 위탁·국외이전 법적 분류 미확정 · 미검증 · 실제 계정의 Google 보안진단·2단계 인증·복구 이메일·복구 전화 설정을 확인하지 않음
첫 이메일에는 서비스명 ‘안전알뜰 장바구니’와 요청 유형만 적어 주세요. 발신 주소로 회신받을 수 있으면 별도 회신 주소도 적지 마세요. 직장·직무·선택 지역·소득·주거 정보와 관련 증빙, 주민등록번호, 신분증 사본, 계좌·카드정보, 집주소, 비밀번호·인증자료, 식단·알레르기·질환 등 건강정보와 불필요한 첨부는 보내지 마세요. Gmail thread의 정확한 보관·파기 일정은 적용 법령과 Google/Gmail 제공자 조건을 전문 검토하기 전까지 미확정입니다. 자율적인 최초 응답 SLA나 특정 최초응답 일수를 약속하지 않습니다. 법 적용 시 개인정보 보호법 시행령 제41·43·44조의 요구일로부터 10일 이내 결과 통지 기준은 자율 SLA와 분리하며 실제 적용·예외는 전문 검토 전 미판정입니다. 실 Gmail 접수·회신, 운영자 응답시간, Gmail 보관·파기, 제공자 처리 결과, 법률 검토, 높은 잔여위험의 해소·수용 또는 법정 개인정보 영향평가 완료의 증거가 아님
이용자용 수동 처리 runbook 전체 보기POLICY v1.2 · CALCULATED EVIDENCE
개인정보 Phase Zero 계산 증거
문구를 완료로 바꾸는 것만으로 통과하지 않습니다. 입력값·근거·사전조건을 다시 계산하며, 현재 일관성 검증과 별개로 실 운영 판정은 NO-GO입니다.
법 적용 시 10일 결과 통지 · 자율 SLA와 별개
적용 여부는 아직 전문 검토 전입니다. 개인·비사업자라는 사실만으로 면제하지 않으며, 법이 적용되는 경우 아래 결과 통지 기준을 사용합니다. 현재 자율 최초응답 SLA는 채택하지 않았습니다.
열람
10일 이내법 적용 시 요구를 받은 날부터 10일 이내 열람 가능 범위·일시·장소 등을 통지
정정·삭제
10일 이내법 적용 시 요구를 받은 날부터 10일 이내 조치 사실 또는 거절 사유·이의제기 방법을 통지
처리정지
10일 이내법 적용 시 요구를 받은 날부터 10일 이내 조치 사실 또는 거절 사유·이의제기 방법을 통지
이 10일은 법 적용 시 결과 통지 기준입니다. 운영자가 별도로 약속하는 최초응답 SLA나 Gmail 보관기간으로 바꾸어 읽지 않습니다.
실사용자 메일 수명주기는 아직 승인하지 않았습니다
- 운영자 보유기간
- 미확정
- 운영자 삭제기간
- 미확정
- Gmail 휴지통 UI
- 30일
- 법적 근거·절차 승인
- 미확정 · 미승인
Gmail 휴지통 30일은 제공자 UI 동작 기준입니다. 이를 안전알뜰의 보유기간이나 파기기간으로 사용하면 계산 검증에 실패합니다. Google 일반 저장시스템·백업과 수신자 사본의 삭제 완료도 이 값으로 증명할 수 없습니다.
자율 위험평가는 계산 완료 · 높은 잔여위험으로 NO-GO
이 register는 자율 개인정보 위험평가이며 법정 개인정보 영향평가가 아닙니다. 법정 평가 대상 여부는 별도 미판정 상태입니다. 5×5 방식으로 다시 계산한 결과 높은 잔여위험 6건이 남아 공개 운영을 허용하지 않습니다.
민감 첨부 유입
이용자가 신분·건강·금융 증빙을 Gmail에 첨부해 보내는 상황
- 현재 통제
- 최초 이메일 최소정보 안내 · 오프라인 첨부 대응 탁상훈련
- 다음 통제
- 실 Gmail에서 첨부 비열람·격리·파기·회신 경계를 승인하고 훈련
Gmail 계정 탈취
계정 또는 연결 앱이 탈취되어 요청 메일과 답신이 노출·변조되는 상황
- 현재 통제
- Google 공식 보안 체크리스트 정의
- 다음 통제
- 보안진단 12항목을 실제 계정에서 점검하고 미승인 접근 0건 증적 확보
보관·파기 일정 불명확
Gmail 휴지통 30일을 운영자 정책으로 오인하거나 thread가 무기한 남는 상황
- 현재 통제
- Gmail UI 기준과 Google 일반 삭제 기준 분리
- 다음 통제
- 적용 근거에 맞는 운영자 보유·파기 기간과 예외·확인 절차 승인
국외 처리·위탁 분류 미확정
Gmail·Sites 처리관계와 위치를 잘못 분류해 필요한 고지·계약·통제를 빠뜨리는 상황
- 현재 통제
- Google·Sites 제공자 경계를 앱 데이터와 분리해 공개
- 다음 통제
- 개인·비사업자 여부와 무관하게 전문 검토로 관계·위치·의무 판정
1인 운영자 부재
운영자 부재·계정 잠금 중 권리요청 또는 사고가 처리되지 않는 상황
- 현재 통제
- 대리 없음과 1인 운영을 공개 · 운영 중단 규칙 정의
- 다음 통제
- 대리자 신설을 가정하지 않는 중단·복구·공지 연속성 절차 훈련
삭제 완료 오진
Gmail UI 삭제를 제공자 저장시스템·백업 또는 수신자 사본 삭제 완료로 회신하는 상황
- 현재 통제
- 완료 주장 금지 문구 · 상충 주장 변이테스트
- 다음 통제
- 실 왕복훈련에서 UI 조치·제공자 한계·수신자 사본을 구분한 답신 검증
개인·비사업자여도 전문검토 항목을 면제하지 않습니다
Gmail 처리관계
미판정 · 전문 검토 필요권리요청 메일 처리에서 Google/Gmail의 위탁·제3자 관계와 책임은 무엇인가
결론·근거: 전문 검토 전 미기록Gmail 국외 처리
미판정 · 전문 검토 필요처리 위치·이전 유형·고지 또는 추가 조치가 필요한가
결론·근거: 전문 검토 전 미기록Gmail 보관·삭제
미판정 · 전문 검토 필요운영자 보유기간·예외·휴지통·백업·수신자 사본을 어떻게 구분할 것인가
결론·근거: 전문 검토 전 미기록Gmail 보안·사고
미판정 · 전문 검토 필요1인 운영 계정 보안과 침해사고 협조·통지 경계는 충분한가
결론·근거: 전문 검토 전 미기록Sites 처리관계
미판정 · 전문 검토 필요Sites 접속·인증 메타데이터의 처리 주체·역할·하위 제공자 경계는 무엇인가
결론·근거: 전문 검토 전 미기록Sites 보관·삭제
미판정 · 전문 검토 필요Sites 전용 로그 항목·보유기간·삭제·권리행사 경로를 확인할 수 있는가
결론·근거: 전문 검토 전 미기록권리처리 법 적용
미판정 · 전문 검토 필요이 서비스에 적용되는 열람·정정·삭제·처리정지 의무와 예외는 무엇인가
결론·근거: 전문 검토 전 미기록법정 개인정보 영향평가 대상
미판정 · 전문 검토 필요법정 개인정보 영향평가 대상인지 별도 판단이 필요한가
결론·근거: 전문 검토 전 미기록공식 기준
- 국가법령정보센터 · 개인정보 보호법 시행령제41·43·44조의 10일 결과 통지 기준 · 실제 적용·예외는 전문 검토 필요새 창
- Google 계정 보안 강화Security Checkup·복구 수단·2단계 인증·패스키·연결 앱 기준새 창
- Gmail 보안 도움말위임·전달·필터·POP·IMAP·다른 주소 발신 점검 기준새 창
- Gmail 메일 삭제휴지통 최대 30일은 Gmail UI 동작 기준이며 운영자 보유기간이 아님새 창
- Google 데이터 보관과 삭제일반 삭제 절차·백업·수신자 사본 한계새 창
- Google 휴면 계정 정책개인 계정의 2년 휴면 위험과 사전 알림 기준새 창
08 · CHANGE CONTROL
운영 경계를 넓히기 전에 정책부터 바꿉니다
사용자 데이터의 서버 저장, 중앙 telemetry, 실제 계정, 개인화 건강정보 또는 공개 운영·파일럿을 시작하기 전에 데이터 항목·목적·법적 근거· 보관기간·삭제 절차·제3자 처리를 재검토하고 이 정책을 개정합니다.
공개 근거와 운영자 확인: 운영자 옴니루드 운영자(김종민 대표), 개인정보 보호책임자 김종민 대표, 담당 부서 해당 없음(1인 운영), 공식 이메일 omnilude@gmail.com.
계속 미확정: 실 Gmail 권리요청 왕복훈련과 운영자 응답시간, Gmail 정확한 보관·파기 운영정책과 위탁·국외 이전 판단, 전문 법률 검토, 자율 개인정보 위험평가에서 계산된 높은 잔여위험의 해소, 법정 개인정보 영향평가 대상 여부의 전문가 확인, KAMIS·Sites 제공자 경계와 사고대응 연속성. 이를 확정하고 법률 검토를 마치기 전에는 실계정·개인화 건강정보·공개 운영 또는 파일럿으로 전환하지 않습니다.
- 확인 근거
- 운영자 확인(2026-07-12)
- 운영 형태
- 개인 운영
- 법인
- 해당 없음 · 법인이 아님
- 개인사업자
- 해당 없음 · 개인사업자가 아님
- 상호·등록·신고
- 상호 해당 없음 · 사업자등록 해당 없음 · 통신판매업 신고 해당 없음
- 사업장 주소
- 해당 없음
- 개인 거주지
- 개인 거주지는 서비스 운영에 불필요하며 최소화 원칙상 수집·공개하지 않음
- 대리
- 해당 없음 · 1인 운영
- 자율 최초응답 SLA
- 해당 없음
- 처리 시점 설명
- 특정 최초응답 일수를 자율 약속하지 않습니다. 법 적용 시 개인정보 보호법 시행령 제41·43·44조의 10일 결과 통지 기준은 자율 SLA와 분리해 적용 여부를 전문 검토합니다.
비사업자 개인 운영이라는 결정은 전문 법률 검토 완료, 법률 준수 인증 또는 공개 서비스 운영 적격성을 증명하지 않음
권리행사 이메일 앱 열기첫 이메일에는 서비스명 ‘안전알뜰 장바구니’와 요청 유형만 적어 주세요. 발신 주소로 회신받을 수 있으면 별도 회신 주소도 적지 마세요. 직장·직무·선택 지역·소득·주거 정보와 관련 증빙, 주민등록번호, 신분증 사본, 계좌·카드정보, 집주소, 비밀번호·인증자료, 식단·알레르기·질환 등 건강정보와 불필요한 첨부는 보내지 마세요. 이 링크는 이메일 앱만 열며 자동 접수번호, 처리 추적 또는 삭제 완료를 제공하지 않습니다.
Omnilude Novel의 Astryx UI 체계를 참조한 밝은·어두운·시스템 테마와 기기 내 테마 선택 저장·삭제 경계를 추가했습니다. v13 외부검토 전달팩은 정책 v1.2의 과거 후보 증적으로만 유지하며 현재 변경을 검토한 것으로 간주하지 않고 공개 운영 NO-GO를 유지합니다.
v10 첫 변경통제, 대리 없는 연속성·기술사고 합성 훈련과 2026-07-09 Sites Terms·개인용 DPA 기준선, 법률·Gmail·Sites 외부검토 전달팩을 추가하되 실운영 NO-GO를 유지
법정 10일 결과 통지와 자율 SLA 분리, Gmail 미승인 수명주기·보안 12항목, 계산형 자율 위험 register, 전문검토와 실 합성 Gmail readiness NO-GO를 추가
개인·1인 운영 사실, 로컬·제공자 경계와 합성 오프라인 권리요청 탁상훈련 3건을 기록
서비스 화면의 짧은 안내와 본 정책이 충돌하면 더 구체적이고 더 엄격하게 데이터 처리를 제한하는 원칙을 우선합니다. 실제 처리 방식이 본 정책과 달라지는 기능은 먼저 중단하고 정책·화면·구현을 함께 고친 뒤 다시 검증합니다.
09 · REFERENCES
참고 기준
아래 링크는 향후 법정 개인정보 처리방침과 KAMIS 운영 연동을 설계할 때 확인할 공식 참고자료입니다. 링크 제시는 현재 서비스의 준수 인증, 법률 검토 완료, KAMIS 이용 승인 또는 운영키 검증을 뜻하지 않습니다.
- Omnilude 한국어 이용약관서비스 운영자를 ‘옴니루드 운영자(김종민 대표)’로 정의새 창
- Omnilude 한국어 개인정보 처리방침CPO 김종민 대표, 담당 부서 없음(1인 운영), 권리행사 이메일 omnilude@gmail.com과 본인 확인 후 법령상 기간·방식에 따른 처리를 공개새 창
- 개인정보보호위원회 · 개인정보 처리방침 작성지침(2026.4. 개정)2026-04-23 게시된 현재 안내서와 원문 PDF의 공식 게시 페이지새 창
- 개인정보보호위원회 · 2026 개인정보 처리방침 작성지침 개정 공개온디바이스 처리·권리행사·민감정보 입력 주의 등을 설명하는 공식 개정 공개 페이지새 창
- 국가법령정보센터 · 개인정보 보호법적용 법령의 현행 본문을 확인하는 공식 경로 · 개별 의무 충족 여부는 전문 검토 필요새 창
- KAMIS 농산물유통정보 · Open API 이용안내 (새 창)