개인정보처리방침
시행일: 2026년 6월 15일 | 「개인정보 보호법」 제30조 준거
플레움에이아이(Pleum.ai)(이하 "회사")는 「개인정보 보호법」 제30조에 따라 정보주체의 개인정보를 보호하고 이와 관련한 고충을 신속하고 원활하게 처리할 수 있도록 다음과 같이 개인정보처리방침을 수립·공개합니다. 본 방침은 PleumRouter 서비스(이하 "서비스")에 적용됩니다.
제1조 (개인정보의 처리 목적)
회사는 다음의 목적을 위하여 개인정보를 처리하며, 목적 외의 용도로는 이용하지 않습니다. 이용 목적이 변경되는 경우 「개인정보 보호법」 제18조에 따라 별도 동의를 받습니다.
① 회원 가입·관리(본인 식별·인증, 부정이용 방지, 고지·통지), ② AI API 라우팅 서비스 제공(요청 라우팅, API 키 발급·관리, 사용량 측정), ③ 결제·정산(선불 크레딧 충전·차감, 원화 결제, 환불), ④ 세금계산서·거래증빙 발급, ⑤ 고객지원·민원처리, ⑥ 서비스 개선·보안(부정·비정상 이용 탐지, 봇 차단).
제2조 (수집하는 개인정보 항목 및 방법)
| 구분 | 수집 항목 | 수집 방법 |
|---|---|---|
| 회원가입(이메일) | 이메일, 비밀번호(일방향 암호화), 표시명 | 회원가입 양식 |
| 회원가입(소셜) | 소셜 회원식별자, 이메일, 닉네임 (동의 범위) | 카카오·네이버 OAuth |
| 결제 | 결제 승인내역(수단·승인번호·금액·일시) | 결제 양식(나이스페이먼츠) |
| 사업자·세금계산서 | 사업자등록번호, 상호, 대표자, 주소, 담당자 연락처 | 사업자 인증 양식 |
| 서비스 이용(자동) | IP, 접속일시, API 요청 메타데이터(모델·토큰·상태), User-Agent, 쿠키 | 자동 수집 |
| 봇 방지 | IP, 브라우저 정보 (Cloudflare Turnstile) | 자동 수집 |
카드번호 전체 등 민감 결제정보는 결제대행사 나이스페이먼츠(주)(NICEPAY)를 통해 처리되며 회사가 직접 보관하지 않습니다. API 요청 본문(프롬프트·생성 결과)은 라우팅 처리를 위해 전송되며, 회사는 과금·통계에 필요한 메타데이터를 처리합니다.
회사는 「개인정보 보호법」 제22조에 따라 동의 항목을 필수와 선택으로 구분하여 수집합니다. ① 필수: 이용약관 동의, 위 표의 가입·결제·운영에 필요한 개인정보, 만 14세 이상 여부. ② 선택: 마케팅 정보 수신(이메일), 서비스 개선을 위한 입력 내용(프롬프트·응답)의 저장·분석 활용. 선택 항목은 동의하지 않아도 서비스 이용에 제한이 없으며, 동의 후에도 '설정 > 동의 관리'에서 언제든지 철회할 수 있습니다. '서비스 개선을 위한 입력 내용 활용'에 동의하지 않으면 입력·응답 본문은 저장되지 않고 사용량 메타데이터만 기록됩니다.
제2조의2 (가명정보의 처리)
회사는 「개인정보 보호법」 제28조의2에 따라 통계작성, 과학적 연구(서비스 품질 개선을 위한 모델 라우팅 연구·개발 등 산업적 연구를 포함합니다), 공익적 기록보존 등의 목적으로 정보주체의 동의 없이 가명정보를 처리할 수 있습니다. 가명정보란 추가 정보 없이는 특정 개인을 알아볼 수 없도록 처리한 정보를 말합니다.
① 처리 항목: API 요청의 의도 분류(코드·번역·추론·창작·일반 등), 입력·출력 토큰 수, 이미지 포함 여부, 최대 토큰·temperature 등 요청 파라미터, 대화 차수, 요청·응답 모델, 처리 결과 신호(재시도·평가 등) 및 프롬프트의 비가역 해시값. 회사는 입력·응답 본문(원문)을 저장하지 아니합니다.
② 가명처리 방법: 계정 식별자(회원 ID 등)는 복원이 불가능한 가명키로 대체되며, 직접 식별정보는 가명정보에 포함되지 아니합니다.
③ 안전성 확보 및 재식별 금지: 회사는 「개인정보 보호법」 제28조의4에 따라 가명정보와 추가정보(가명키 생성·복원에 관한 정보 등)를 분리하여 보관·관리하며, 동법 제28조의5에 따라 특정 개인을 알아보기 위한 목적으로 가명정보를 처리하지 아니합니다. 처리 과정에서 특정 개인이 식별되는 정보가 생성된 경우 즉시 처리를 중지하고 해당 정보를 회수·파기합니다.
제3조 (개인정보의 처리 및 보유 기간)
| 보존 항목 | 보유 기간 | 근거 |
|---|---|---|
| 회원 정보(이메일·비밀번호·소셜 연동) | 회원 탈퇴 시까지 | 정보주체 동의 |
| 계약·청약철회 기록 | 5년 | 전자상거래법 |
| 대금결제·재화공급 기록 | 5년 | 전자상거래법 |
| 소비자 불만·분쟁처리 기록 | 3년 | 전자상거래법 |
| 세금계산서 등 거래·증빙 장부 | 5년 | 국세기본법·부가가치세법 |
| 전자금융거래 기록 | 5년 | 전자금융거래법 |
| 접속(로그인) 기록 | 1년 이상 | 개인정보 보호법 제29조 및 안전성 확보조치 기준 |
보유기간이 경과하거나 처리목적이 달성된 개인정보는 제7조에 따라 지체 없이 파기합니다.
제4조 (개인정보 처리의 위탁)
회사는 원활한 서비스 제공을 위하여 다음과 같이 개인정보 처리업무를 위탁하며, 「개인정보 보호법」 제26조에 따라 위탁계약 시 목적 외 처리 금지·보호조치·재위탁 제한·관리·감독 등을 문서로 명시하고 수탁자를 감독합니다.
| 수탁자 | 위탁 업무 | 비고 |
|---|---|---|
| 나이스페이먼츠(주) (NICEPAY) | 결제대행(PG) 게이트웨이, 결제 승인·취소, 자동결제(빌링키) | 국내 |
| 팝빌(주) (링크허브) | 전자세금계산서·거래증빙 발급·전송 | 국내 |
| Resend, Inc. | 거래·인증·고지 이메일 발송 | 국외(미국) |
| Railway Corp. | 클라우드 인프라(호스팅·DB) 운영 · 데이터 보관 리전: 싱가포르 | 국외(싱가포르) |
| Cloudflare, Inc. | 봇 차단·보안(Turnstile) | 국외(글로벌 엣지) |
제5조 (개인정보의 제3자 제공 및 국외 이전)
회사는 정보주체의 동의 또는 법령에 근거하는 경우 외에는 개인정보를 제3자에게 제공하지 않습니다. AI API 라우팅 서비스의 특성상, 회원이 입력한 요청 본문(프롬프트)은 회원이 선택한 AI 모델 제공자에게 처리를 위해 전송되며, 이 중 일부는 국외로 이전됩니다. 회사는 이러한 국외 이전이 계약(서비스 제공)의 이행을 위하여 필요한 처리위탁에 해당하므로, 「개인정보 보호법」 제28조의8제1항제3호에 따라 아래 사항을 본 방침을 통해 공개함으로써 별도의 국외 이전 동의를 갈음합니다.
| 이전받는 자(연락처) | 이전 항목·이용목적 | 이전 국가 | 입력의 모델 학습 사용 | 보유·이용기간 |
|---|---|---|---|---|
| OpenAI, L.L.C. (privacy@openai.com) | API 요청 본문(프롬프트) — 모델 응답 생성 | 미국 | 미사용(명시 동의 시에만) | 오남용 모니터링 30일 후 파기 |
| Anthropic, PBC (privacy@anthropic.com) | API 요청 본문(프롬프트) — 모델 응답 생성 | 미국(저장)·미국/EU/아시아/호주(추론 라우팅) | 미사용(유료 API) | 30일 후 파기 |
| Google LLC (googlecloud-compliance@google.com) | API 요청 본문(프롬프트) — 모델 응답 생성 | 글로벌(Google 시설 소재 임의 국가, 보장 없음) | 미사용(유료 API. 무료 등급은 학습·사람 검토) | 정책 집행 모니터링 55일 후 파기 |
| DeepSeek (Hangzhou DeepSeek AI · service@deepseek.com) | API 요청 본문(프롬프트) — 모델 응답 생성 | 중국 | ⚠️ 사용(거부 옵션 미제공) | 보존기간 미명시 |
| MiniMax (Nanonoble Pte. Ltd. · api@minimax.io) | API 요청 본문(프롬프트) — 모델 응답 생성 | 미국(운영: 싱가포르 법인) | 불명확(사용 가능성) | 목적 달성 시까지 |
| Alibaba Cloud Singapore (Model Studio · dashscope-intl.aliyuncs.com) | API 요청 본문(프롬프트) — Qwen 모델 응답 생성 | 싱가포르(저장)·중국 본토 외 글로벌(추론) | 미사용 | 전송 후 미저장 |
| Z.ai (Jingsheng Hengxing Technology Pte. Ltd. · api.z.ai) | API 요청 본문(프롬프트) — GLM 모델 응답 생성 | 싱가포르(계열사·제3자 해외 이전 가능) | 미사용(기업·개발자 API) | 전송 후 미저장(DPA) |
| 네이버클라우드 주식회사 (dl_ncloud_privacy@navercorp.com) | API 요청 본문(프롬프트) — HyperCLOVA X(CLOVA Studio) 모델 응답 생성 | 대한민국(국내 처리 — 모델 추론으로 인한 국외 이전 없음. 단, 네이버클라우드 처리방침상 재난·재해 복구 목적 최소 데이터의 싱가포르 백업 이전 조항 존재) | 불명확(약관에 추론 입력의 학습 사용 여부·거부 옵션 미명시) | 미명시(API 입출력 전용 보존기간을 명시한 공식 문서 미확인) |
| Upstage, Inc. (help@upstage.ai) | API 요청 본문(프롬프트) — Solar 모델 응답 생성 | 미국(AWS 등 추론 인프라) | 미사용(동기 API) | 전송 후 미저장 |
| X.AI LLC (privacy@x.ai) | API 요청 본문(프롬프트) — Grok·Composer 모델 응답 생성 | 미국 | 미사용(명시 허가 시에만) | 30일 후 파기 |
| Mistral AI SAS (privacy@mistral.ai) | API 요청 본문(프롬프트) — 모델 응답 생성 | 프랑스/EU | 미사용(유료 API) | 오남용 모니터링 30일 후 파기 |
| Moonshot AI · Kimi (support@moonshot.cn) | API 요청 본문(프롬프트) — Kimi 모델 응답 생성 | 중국 | ⚠️ 사용(거부 옵션 미제공) | 보존기간 미명시 |
| Perplexity AI, Inc. (support@perplexity.ai) | API 요청 본문(프롬프트) — Sonar 모델 응답 생성 | 미국 | 미사용(Sonar API Zero-Data-Retention) | 전송 후 미저장 |
| Eleven Labs Inc. (legal@elevenlabs.io) | API 요청 본문(TTS 텍스트·STT 오디오) — 음성 합성·인식 | 미국 | ⚠️ 사용(표준 API. Enterprise에서 거부 가능) | 정책상 보존 |
| KLING AI PTE. LTD. (support@kling.ai) | API 요청 본문(영상 프롬프트) — 영상 생성 | 싱가포르(중국 잔류 가능성 배제 불가) | 불명확(학습 미사용 보장 없음) | 정책상 보존 |
| FriendliAI Corp (privacy@friendli.ai) | API 요청 본문(프롬프트) — EXAONE 모델 응답 생성 | 미국(추론 인프라) | 불명확(학습 미사용 명문 없음) | 정책상 보존 |
| DeepInfra, Inc. (deepinfra.com) | API 요청 본문(프롬프트) — NVIDIA Nemotron 모델 응답 생성 | 미국 | 미사용(추론 호스팅 · 자체 모델 학습 없음) | 정책상 보존 |
| BytePlus Pte. Ltd. (ByteDance 국제판 · byteplus.com) | API 요청 본문(프롬프트·이미지 프롬프트) — Doubao·Seedream 모델 응답 생성 | 싱가포르(ap-southeast · 중국본토 Volcengine과 별도) | 불명확 | 정책상 보존 |
① 이전 시기·방법: 회원이 API를 호출하는 시점에 HTTPS(TLS) 암호화 통신으로 실시간 전송됩니다.
② 이전받는 자의 이용목적: 회원이 선택한 모델의 응답(추론) 생성에 한합니다. 회사는 가능한 한 입력이 학습에 사용되지 않는 기업용 API 경로(opt-out / Zero-Data-Retention 등)를 사용하나, 일부 모델 제공자는 입력을 모델 개선·학습에 사용하거나 그 사용 여부가 불명확합니다. 제공자별 학습 사용 여부는 위 표의 '입력의 모델 학습 사용' 열에 표시하며, 회원은 이를 확인하고 모델을 선택할 수 있습니다(학습에 사용되지 않기를 원하면 해당 열이 '미사용'인 모델만 선택하십시오).
③ 이전을 거부하는 방법·절차 및 효과: 회원은 (가) API 키별 '개인정보 마스킹(PII Masking)' 옵션을 활성화하여 민감정보가 마스킹된 후 전송되도록 하거나, (나) 국외 이전 없이 국내에서 추론·처리되는 모델만 선택하여 모델 제공자로의 국외 이전을 회피할 수 있습니다(한국 사업자가 제공하는 모델이라도 추론 인프라가 국외에 있는 경우 — 예: Upstage Solar는 미국 인프라에서 처리 — 위 표에 국외 이전 대상으로 기재됩니다). 다만 아래 ⑤의 서비스 운영 인프라에 따른 국외 보관은 서비스 제공(계약 이행)에 불가피하여 회피 대상이 아닙니다. 거부 시에는 해당 국외 모델을 이용할 수 없으며, 그 외 서비스 이용에는 제한이 없습니다.
④ 회사는 국외 이전되는 개인정보를 처리목적 달성에 필요한 최소한으로 한정하며, 회원이 '서비스 개선을 위한 입력 내용 활용'에 동의하지 않은 경우 입력·응답 본문을 저장하지 않고 사용량 메타데이터(모델·토큰·비용·시각 등)만 보관합니다. 또한 회사가 제2조의2에 따라 통계·연구 목적으로 처리하는 가명정보에는 입력·응답 본문이 포함되지 아니하며, 해당 가명정보는 「개인정보 보호법」 제28조의2에 따라 국외 이전을 위한 별도 동의 없이 처리될 수 있습니다.
⑤ 서비스 운영 인프라의 국외 보관: 회사의 클라우드 인프라(서버·데이터베이스)는 현재 국외(싱가포르)에 위치합니다. 따라서 회원이 어떤 모델을 사용하든 계정·이용기록·동의이력 및 위 ④에 따라 저장되는 입력·응답 본문은 국외 인프라에 보관됩니다. 이는 계약 이행에 필요한 국외 보관으로 「개인정보 보호법」 제28조의8제1항제3호에 따라 다음과 같이 공개합니다 — 이전받는 자: Railway Corp.(미국 법인, 연락처 privacy@railway.app) / 이전 국가: 싱가포르(데이터센터 리전) / 이전 항목: 서비스 이용에 수반되는 개인정보 일체 / 시기·방법: 가입·이용 시점에 HTTPS(TLS)로 전송·보관 / 이용목적: 호스팅·데이터베이스 운영 / 보유기간: 회원 탈퇴 또는 보유기간 경과 시 파기(제3조·제7조) / 거부 방법·효과: 인프라 보관은 서비스 제공에 불가피하므로, 거부를 원하시면 회원 탈퇴로 처리됩니다. 그 밖에 이메일 발송(Resend, Inc.·미국)과 봇 차단(Cloudflare, Inc.·글로벌 엣지)도 동일한 근거로 국외에서 처리됩니다.
제6조 (정보주체와 법정대리인의 권리·의무 및 행사방법)
① 정보주체는 언제든지 개인정보 열람·정정·삭제·처리정지 요구 및 동의 철회(「개인정보 보호법」 제35조·제36조·제37조)를 할 수 있습니다.
② 권리 행사는 서비스 내 설정 또는 아래 개인정보 보호책임자 연락처로 요청할 수 있으며, 회사는 지체 없이(10일 이내) 조치합니다. 대리인을 통한 행사 시 위임장을 제출하여야 합니다.
③ 만 14세 미만 아동의 경우 법정대리인이 권리를 행사합니다.
제7조 (개인정보의 파기 절차 및 방법)
① 회사는 보유기간 경과·처리목적 달성 등 개인정보가 불필요하게 되면 지체 없이 파기합니다. 다른 법령에 따라 보존하는 정보는 분리 저장·관리합니다.
② 전자적 파일은 복구할 수 없는 기술적 방법으로 영구 삭제하고, 종이 문서는 분쇄·소각합니다.
제8조 (개인정보의 안전성 확보조치)
회사는 (1) 내부관리계획 수립·시행 및 취급 직원 최소화, (2) 비밀번호 일방향 암호화(bcrypt)·전송구간 암호화(SSL/TLS)·API 키 해시 저장, (3) 접근권한 차등 부여·접근통제, (4) 침입 차단·탐지 및 봇 차단(Cloudflare Turnstile), (5) 접속기록 보관·위변조 방지 등의 조치를 취합니다.
제9조 (개인정보 자동 수집 장치 — 쿠키)
회사는 로그인 세션 유지, 보안 검증, 이용 통계 분석을 위하여 쿠키를 사용합니다. 정보주체는 웹브라우저 설정에서 쿠키 저장을 거부·삭제할 수 있으나, 이 경우 로그인이 필요한 일부 서비스 이용에 제한이 있을 수 있습니다.
제10조 (개인정보 보호책임자)
회사는 개인정보 처리에 관한 업무를 총괄하고 정보주체의 불만처리·피해구제를 담당하는 개인정보 보호책임자를 지정합니다. (소규모 사업자로서 「개인정보 보호법」 제31조 제2항에 따라 대표자가 보호책임자가 됩니다.)
개인정보 보호책임자: 이원영 (대표자)
연락처: support@pleum.ai · 010-4869-1806
제11조 (권익침해 구제방법)
정보주체는 개인정보 침해 구제를 위하여 다음 기관에 분쟁해결·상담을 신청할 수 있습니다. 개인정보분쟁조정위원회(1833-6972, kopico.go.kr), 개인정보침해신고센터(118, privacy.kisa.or.kr), 대검찰청 사이버수사과(1301), 경찰청 사이버수사국(182, ecrm.police.go.kr).
제12조 (개인정보처리방침의 변경)
이 개인정보처리방침은 2026년 6월 15일부터 적용되며, 변경 시 시행 7일(중요한 변경은 30일) 전부터 서비스 공지를 통해 안내합니다.