개인정보 처리방침

시행일: 2026년 5월 15일

최종 수정일: 2026년 6월 15일

버전: 1.3

1. 개요

Soria Labs AS(이하 "회사", "당사")는 노르웨이에 등록된 법인으로, Soria(이하 "서비스") 이용자의 개인정보를 보호하기 위해 최선을 다합니다.

본 개인정보 처리방침은 EU 일반개인정보보호규정(GDPR, Regulation (EU) 2016/679), 노르웨이 개인정보보호법(Personopplysningsloven), 그리고 관련 EEA 데이터 보호 법규에 따라 작성되었습니다.

회사 정보

상호: Soria Labs AS

소재지: 노르웨이

데이터 보호 관련 문의: contact@sorialabs.no

2. 수집하는 개인정보 항목

2.1 계정 정보

항목	수집 시점	필수 여부
이메일 주소	회원가입 시	필수
표시 이름	프로필 설정 시	선택

2.2 음성 및 콘텐츠 데이터

항목	설명
음성 녹음 파일	사용자가 직접 녹음하거나 업로드한 오디오 파일
전사 텍스트	음성을 텍스트로 변환한 결과물
AI 요약 및 정제 텍스트	AI가 생성한 요약, 톤 변환, 인사이트 결과물
폴더 구조 및 노트 메타데이터	사용자가 생성한 폴더명, 노트 제목, 태그, 생성/수정 일시
화자 태깅 정보	다중화자 분리 시 사용자가 지정한 화자 이름

2.3 자동 수집 정보

항목	목적
기기 정보 (OS, 기기 모델, 앱 버전)	서비스 안정성 및 오류 추적
IP 주소	보안 및 부정 이용 방지
앱 사용 로그 (기능 사용 빈도, 오류 로그)	서비스 개선
익명 사용 분석 (기능 이벤트, 국가, 앱 버전, 플랫폼, OS, 언어)	서비스 개선 — 설정 > 개인정보에서 끌 수 있으며, 녹음·전사 내용은 제외됩니다. 자체 인프라(Supabase)에 저장하고 제3자 분석업체와 공유하지 않습니다
구독 및 결제 상태	요금제 관리

2.4 수집하지 않는 정보

사용자의 연락처 목록, 사진 라이브러리, 위치 정보는 수집하지 않습니다.

결제 카드 및 은행 계좌 정보는 당사 서버에 저장되지 않습니다. 모든 결제 수단은 토큰화되어 결제 처리 업체 — Paddle(웹 구독), Apple In-App Purchase 또는 Google Play Billing(모바일 구독) — 에 의해서만 처리됩니다. 당사는 서비스 운영에 필요한 비민감 거래 메타데이터(구독 상태, 카드 끝 4자리, 청구 국가 등)만 수신합니다.

3. 개인정보의 처리 목적 및 법적 근거

GDPR 제6조에 따른 처리 목적 및 법적 근거는 다음과 같습니다.

처리 목적	법적 근거 (GDPR 제6조)	설명
서비스 제공 및 계정 관리	계약 이행 (제6조 1항 b호)	회원가입, 로그인, 서비스 핵심 기능 제공
음성 전사 및 AI 처리	계약 이행 (제6조 1항 b호)	음성→텍스트 변환, AI 요약, 톤 변환 등 핵심 기능
구독 및 결제 관리	계약 이행 (제6조 1항 b호)	요금제 관리 및 사용량 추적
오류 추적 및 서비스 안정성	정당한 이익 (제6조 1항 f호)	Sentry를 통한 앱 오류 모니터링
서비스 개선 및 분석	정당한 이익 (제6조 1항 f호)	기능 사용 패턴 분석을 통한 서비스 품질 향상
법적 의무 준수	법적 의무 (제6조 1항 c호)	세무, 회계 등 법률상 의무
마케팅 커뮤니케이션	동의 (제6조 1항 a호)	뉴스레터, 프로모션 (사전 동의 시에만)

4. 제3자 데이터 처리 및 국제 전송

서비스 제공을 위해 다음 제3자 서비스 제공업체와 데이터를 공유합니다.

4.1 데이터 처리 위탁업체

업체	목적	처리 데이터	서버 위치	전송 근거
Supabase (미국)	인증, 데이터 저장, 클라우드 동기화	계정 정보, 노트 데이터, 메타데이터	AWS (미국/EU)	표준계약조항 (SCC)
Vercel (미국)	웹 애플리케이션 호스팅 및 엣지 전송	요청 메타데이터, IP 주소, 기기 정보	미국/EU	표준계약조항 (SCC)
OpenAI (미국)	음성 전사 및 텍스트 처리(요약·정제)	음성 파일, 전사 텍스트	미국	표준계약조항 (SCC)
Deepgram (미국)	고품질 음성 전사	음성 파일	미국	표준계약조항 (SCC)
Sentry (미국)	오류 추적 및 모니터링	기기 정보, 오류 로그	미국	표준계약조항 (SCC)
Paddle.com Market Limited (영국)	웹 구독 결제 — Merchant of Record 자격으로 결제 수령 및 VAT/판매세를 당사 대신 납부	청구 명의, 주소, 국가, 결제 수단 토큰, 거래 내역	영국 / 미국(하위 처리자)	영국 GDPR 적정성 결정 + 비영국 하위 처리자에 대해 표준계약조항(SCC)
Apple / Google	모바일 인앱 결제 (App Store / Google Play Billing)	플랫폼이 처리하는 결제 정보	미국	표준계약조항 (SCC)

4.2 EEA 외 국제 전송

상기 업체 중 일부는 유럽경제지역(EEA) 외부에 위치합니다. 이 경우 GDPR 제46조에 따라 EU 표준계약조항(Standard Contractual Clauses, SCC)을 체결하여 적절한 보호 수준을 보장합니다.

4.3 AI 데이터 처리에 관한 투명성

음성 데이터: 음성 인식 처리업체(OpenAI, Deepgram)로 전송되어 텍스트로 변환됩니다. 변환 후 해당 업체 서버에서 즉시 삭제됩니다.

텍스트 데이터: 요약, 톤 변환, 인사이트 생성을 위해 OpenAI 텍스트 처리 API로 전송됩니다.

AI 학습 미사용: 당사는 OpenAI API의 비학습 정책(Zero Data Retention 또는 API Terms에 따른 학습 제외)을 적용하며, 사용자의 데이터가 AI 모델 학습에 사용되지 않습니다.

프롬프트 인젝션 방어: 사용자 입력이 AI 시스템을 악용하는 것을 방지하기 위한 보안 조치를 적용합니다.

5. 데이터 보안

당사는 개인정보를 보호하기 위해 업계 표준 수준의 기술적·관리적 조치를 시행합니다.

전송 구간 암호화: 모든 데이터 전송은 업계 표준에 따라 암호화됩니다.

저장 시 암호화: 데이터베이스 및 파일 스토리지는 저장 시 암호화됩니다.

OTP 인증: 이메일로 발송되는 일회용 인증코드(OTP)로 인증하며, 사용자 비밀번호는 서비스에 보관하지 않습니다.

접근 통제: 논리적 접근 통제를 적용하여 사용자 본인의 데이터에만 접근할 수 있습니다.

인증 보안: 토큰 기반 세션 관리 및 적절한 세션 만료 정책을 적용합니다.

정기 점검: 보안 점검 및 소프트웨어 업데이트를 정기적으로 수행합니다.

6. 데이터 보유 및 삭제

데이터 유형	보유 기간	삭제 방법
계정 정보	계정 유지 기간 동안	계정 삭제 요청 시 30일 이내 삭제
음성 녹음 파일	사용자 삭제 시까지	사용자가 앱 내에서 직접 삭제 가능
전사 텍스트 및 AI 결과물	사용자 삭제 시까지	사용자가 앱 내에서 직접 삭제 가능
오류 로그 (Sentry)	최대 90일	자동 삭제
결제 기록	법적 의무 기간 (노르웨이 회계법에 따라 5년)	법정 기간 경과 후 삭제
마케팅 동의 기록	동의 철회 시까지	철회 요청 시 즉시 처리

계정 삭제 시: 사용자가 계정 삭제를 요청하면, 법적 보유 의무가 있는 데이터를 제외한 모든 개인정보를 30일 이내에 완전히 삭제합니다. 삭제 전 30일의 유예 기간 동안 계정 복구가 가능합니다.

7. 이용자의 권리 (GDPR 제15조~제22조)

EEA 거주자는 GDPR에 따라 다음의 권리를 행사할 수 있습니다.

권리	설명
열람권 (제15조)	당사가 보유한 본인의 개인정보에 대한 사본을 요청할 수 있습니다.
정정권 (제16조)	부정확하거나 불완전한 개인정보의 수정을 요청할 수 있습니다.
삭제권 (잊힐 권리) (제17조)	특정 조건 하에 개인정보의 삭제를 요청할 수 있습니다.
처리 제한권 (제18조)	특정 상황에서 개인정보 처리의 제한을 요청할 수 있습니다.
데이터 이동권 (제20조)	본인의 개인정보를 구조화된 형식으로 받거나 다른 서비스로 이전할 수 있습니다.
반대권 (제21조)	정당한 이익에 기반한 처리에 대해 이의를 제기할 수 있습니다.
자동화된 의사결정에 대한 권리 (제22조)	자동화된 처리에만 기반한 의사결정의 대상이 되지 않을 권리가 있습니다.
동의 철회권	동의에 기반한 처리의 경우 언제든지 동의를 철회할 수 있습니다.

권리 행사 방법

이메일: contact@sorialabs.no

앱 내 설정: 설정 > 계정 > 데이터 관리

요청 접수 후 **30일 이내**에 응답합니다. 요청이 복잡하거나 다수인 경우 추가 60일이 소요될 수 있으며, 이 경우 사전에 통지합니다.

본인 확인을 위해 추가 정보를 요청할 수 있습니다.

감독 기관에 대한 불만 제기

당사의 개인정보 처리에 불만이 있는 경우, 노르웨이 데이터 보호 기관(Datatilsynet)에 불만을 제기할 수 있습니다.

Datatilsynet (노르웨이 데이터 보호 기관)

웹사이트: https://www.datatilsynet.no

이메일: postkasse@datatilsynet.no

또한 거주지 또는 근무지의 EU/EEA 감독 기관에도 불만을 제기할 수 있습니다.

8. 쿠키 및 유사 기술

8.1 웹 서비스 (usesoria.com)

당사 웹사이트에서는 다음과 같은 쿠키를 사용합니다.

쿠키 유형	목적	법적 근거
필수 쿠키	로그인 세션 유지, 보안	정당한 이익
분석 쿠키	서비스 이용 패턴 분석	동의

8.2 모바일 앱

모바일 앱에서는 브라우저 쿠키를 사용하지 않으며, 인증 토큰은 기기의 보안 저장소(iOS Keychain / Android Keystore)에 안전하게 저장됩니다.

9. 아동의 개인정보

본 서비스는 16세 미만의 아동을 대상으로 하지 않습니다 (노르웨이 및 EEA 기준). 16세 미만 아동의 개인정보를 인지하게 될 경우, 즉시 해당 데이터를 삭제합니다. 아동의 개인정보가 수집되었다고 판단되는 경우 contact@sorialabs.no으로 연락해 주십시오.

10. 개인정보 처리방침의 변경

본 방침은 법률 변경, 서비스 변경 또는 사업상 필요에 따라 수정될 수 있습니다.

정보주체의 권리에 영향을 미치는 중요 변경: 합리적 사전 통지를 제공하며(관련 법령상 요구되는 경우 최소 30일 전), 이메일 또는 앱 내 알림으로 안내합니다.

경미한 변경: 본 페이지를 갱신하고 상단의 "최종 수정일"을 갱신합니다.

변경 시행일 이후 서비스를 계속 이용하시면 변경된 방침에 동의한 것으로 간주됩니다. 변경에 동의하지 않을 경우 시행일 이전에 서비스 이용을 중단하고 계정 삭제를 요청할 수 있습니다.

11. 데이터 보호 담당자 (DPO) 및 문의

개인정보 처리에 관한 질문, 우려 또는 권리 행사 요청은 아래로 연락해 주십시오.