QM Lab(이하 "회사")은 Trove(이하 "서비스")를 운영하면서 이용자의 개인정보를 소중히 다루며, 「개인정보 보호법」 등 관련 법령을 준수합니다. 이 개인정보처리방침은 회사가 어떤 개인정보를 어떤 목적으로 처리하고, 얼마 동안 보유하며, 이를 보호하기 위해 어떤 조치를 취하는지를 이용자가 쉽게 알 수 있도록 설명합니다.
1. 총칙
Trove는 이용자가 저장한 콘텐츠를 회사 서버에 저장하지 않습니다. 이 점이 이 서비스의 가장 중요한 구조적 특징입니다.
이용자가 Trove에 저장하는 글, 메모, 파일 등의 콘텐츠는 회사의 서버가 아니라 오직 다음 두 곳에만 보관됩니다.
이용자 본인의 기기: 이용자가 사용하는 브라우저 내부의 저장소(IndexedDB)
이용자 본인의 구글 드라이브: 서비스는 구글 드라이브에 대해 "이 앱이 직접 만든 파일에만 접근할 수 있는 권한(drive.file)"만 사용합니다. 즉 이용자의 다른 구글 드라이브 파일에는 접근할 수 없으며, Trove가 생성한 파일만 읽고 씁니다.
따라서 이용자가 저장한 콘텐츠의 내용은 회사가 열람하거나 서버에 축적하지 않습니다. 회사 서버에는 서비스 운영에 필요한 최소한의 계정 정보(로그인 이메일, 요금제, 사용량 카운트)만 저장됩니다. 또한 "보안 잠금"으로 설정한 항목은 회사 서버는 물론 아래에서 설명하는 AI 처리(위탁) 대상으로도 전송되지 않습니다.
2. 수집하는 개인정보의 항목 및 수집 방법
2-1. 수집 항목
가. 구글 로그인(회원 가입·인증) 시 구글로부터 제공받는 정보
이메일 주소
이름
프로필 사진 URL
나. 회사 서버(Cloudflare Workers 및 D1 데이터베이스)에 저장되는 정보
이메일 주소
요금제 구분(무료 / 프로)
월별 사용량 카운트
다. 서비스 이용 과정에서 자동으로 생성·수집되는 정보
접속 로그: 서비스가 이용하는 클라우드 인프라(Cloudflare)에서 기본적으로 생성되는 수준의 접속 기록(예: 접속 IP, 접속 시각 등 인프라 로그)
라. 유료 기능 이용 시 일시적으로 경유하는 정보
웹 클리핑 및 AI 요약 기능을 사용할 때, 해당 기능의 대상이 되는 콘텐츠(웹페이지 내용, 요약 대상 텍스트 등)가 처리 목적으로만 일시적으로 서버를 경유합니다. 이 콘텐츠는 처리 후 회사 서버에 저장되지 않습니다.
회사는 위에 명시된 항목 외의 개인정보(예: 주민등록번호, 별도의 결제 정보 등)를 수집하지 않습니다.
2-2. 수집 방법
이용자가 구글 계정으로 로그인(구글 OAuth)할 때 이용자의 동의에 따라 구글로부터 제공받음
서비스 이용 과정에서 자동 생성(사용량 카운트, 인프라 접속 로그)
유료 기능 이용 시 이용자의 요청에 따라 처리 대상 콘텐츠가 일시 경유
3. 개인정보의 수집 및 이용 목적
회원 식별 및 로그인 인증: 이메일, 이름, 프로필 사진 URL
서비스 제공 및 요금제 관리: 이메일, 요금제 구분
사용량 관리 및 이용 한도 적용: 월별 사용량 카운트
유료 기능(웹 클리핑·AI 요약) 제공: 처리 목적으로 일시 경유하는 콘텐츠
서비스 안정성 확보 및 부정 이용 방지: 인프라 접속 로그
회사는 위 목적 범위를 벗어나 개인정보를 이용하지 않으며, 이용자의 콘텐츠를 광고·마케팅·프로파일링 목적으로 사용하지 않습니다.
4. 개인정보의 보유 및 이용 기간
계정 정보(이메일, 요금제 구분): 회원 자격이 유지되는 동안 보유하며, 회원이 탈퇴하면 지체 없이 파기합니다.
월별 사용량 카운트: 이용 한도 적용 및 운영 통계를 위해 보유하며, 회원 탈퇴 시 개인을 식별할 수 있는 형태의 기록은 파기합니다. 개인을 식별할 수 없도록 처리된 통계 정보는 서비스 운영·개선을 위해 계속 보관할 수 있습니다.
유료 기능 처리 시 경유하는 콘텐츠: 처리 목적 달성 즉시 소멸하며 별도로 보관하지 않습니다.
인프라 접속 로그: 클라우드 인프라(Cloudflare)의 정책에 따라 일정 기간 보관 후 파기됩니다.
관련 법령에서 일정 기간 보존을 요구하는 경우, 회사는 해당 법령에서 정한 기간 동안 보관하며 다른 목적으로 이용하지 않습니다.
5. 개인정보의 처리 위탁 및 국외 이전
회사는 서비스 제공을 위해 아래와 같이 개인정보의 처리를 국외 사업자에게 위탁(이전)하고 있습니다.
수탁자(이전받는 자)
이전되는 국가
이전되는 개인정보 항목
이전 목적
이전 일시 및 방법
Cloudflare, Inc.
미국 등
이메일, 요금제 구분, 월별 사용량 카운트, 인프라 접속 로그
서버·데이터베이스 등 클라우드 인프라 운영
서비스 이용 시 네트워크를 통한 전송(수시)
Google LLC
미국 등
이메일, 이름, 프로필 사진 URL(로그인) / 이용자 본인 구글 드라이브 내 서비스 생성 파일(저장) / 유료 기능 이용 시 처리 대상 콘텐츠(AI 요약, Gemini API)
구글 로그인 인증, 이용자 구글 드라이브 연동 저장, AI 요약·처리
서비스 이용 시 네트워크를 통한 전송(수시)
"보안 잠금"으로 설정한 항목은 위 수탁자를 포함한 어떤 외부로도 전송되지 않습니다.
이용자는 국외 이전을 원하지 않을 경우 서비스 이용(회원 가입 및 관련 기능 이용)을 하지 않음으로써 이전을 거부할 수 있습니다. 다만 이 경우 서비스의 전부 또는 일부를 이용할 수 없습니다.
6. 정보주체(이용자)의 권리와 그 행사 방법
이용자는 언제든지 개인정보 열람·정정·삭제·처리정지를 요구할 수 있습니다. 권리 행사는 아래 개인정보 보호책임자에게 이메일로 요청할 수 있으며, 회사는 지체 없이 필요한 조치를 취합니다. 또한 이용자는 서비스 내에서 직접 다음을 수행할 수 있습니다.
저장 콘텐츠는 이용자 본인의 기기 및 구글 드라이브에 있으므로 직접 열람·수정·삭제할 수 있습니다.
계정 정보는 회원 탈퇴를 통해 파기를 요청할 수 있습니다.
구글 드라이브 연동 권한은 이용자의 구글 계정 설정에서 언제든지 철회할 수 있습니다.
7. 개인정보의 파기 절차 및 방법
파기 절차: 회원 탈퇴 또는 처리 목적 달성 등 파기 사유가 발생한 개인정보는 내부 방침 및 관련 법령에 따라 파기 대상으로 분류된 후 파기됩니다.
파기 방법: 회사 서버(D1 데이터베이스)의 계정 정보는 복구·재생할 수 없는 기술적 방법으로 삭제합니다. 이용자 콘텐츠는 회사 서버에 저장되지 않으므로 서버 측 파기 대상이 아니며, 이용자 본인이 자신의 기기 및 구글 드라이브에서 직접 삭제할 수 있습니다.
8. 개인정보의 안전성 확보 조치
관리적 조치: 개인정보 취급 최소화 및 내부 관리 원칙 수립
기술적 조치: 통신 구간 암호화(HTTPS), 콘텐츠를 회사 서버에 저장하지 않는 구조 설계, "보안 잠금" 항목의 외부(서버·AI) 미전송 처리, 구글 드라이브 접근을 서비스 생성 파일로만 한정(drive.file)
물리적 조치: 인프라(Cloudflare, Google)의 데이터센터 보안 체계에 의존하며, 수탁자에 대해 관련 법령에 따른 관리·감독을 수행합니다.
개인정보 보호 관련 문의, 불만 처리, 피해 구제 등에 관한 사항을 위 연락처로 문의할 수 있으며, 회사는 지체 없이 답변 및 처리합니다.
10. 개인정보처리방침의 변경 및 고지 의무
이 방침은 법령·정책 또는 서비스 내용의 변경에 따라 개정될 수 있으며, 변경 시 서비스 내 공지 또는 웹페이지 게시를 통해 시행일 이전에 고지합니다. 중요한 변경(수집 항목 추가, 이용 목적 변경, 국외 이전 대상 변경, 결제 기능 도입 등)이 있는 경우 그 내용을 명확히 안내합니다.
결제 기능 안내: 현재 서비스에는 결제 기능이 없습니다. 향후 도입 시 관련 사항을 이 방침에 반영해 사전 고지 후 시행합니다.