개인정보 처리방침

개요

Privacy-First 원칙

SagePlate AI는 로컬 우선(Local-First) 아키텍처를 채택합니다. 귀하의 건강 데이터는 기본적으로 귀하의 기기에만 저장되며, 광고 목적으로 판매·공유되지 않습니다.

Canto("회사", "저희")는 SagePlate AI 앱(패키지명: com.canto.sageplateai, 이하 "앱" 또는 "서비스")을 운영합니다. 본 방침은 「개인정보 보호법」(PIPA), EU 일반 개인정보 보호규정(GDPR), 미국 캘리포니아 소비자 개인정보 보호법(CCPA)을 포함한 관련 법령을 준수하여 작성되었습니다.

본 방침은 영문으로도 제공됩니다(영문 버전). 한국어 버전이 원본이며, 한국어 버전과 영문 버전 간 내용이 상충할 경우 한국어 버전이 우선합니다.

의료 면책 고지. 본 앱은 개인 웰니스 기록 도구입니다. 의료기기, 진단 도구, 또는 의료 서비스가 아닙니다. 앱이 제공하는 칼로리 추정치·영양소 정보·체중 분석은 일반 정보 제공 및 개인 기록 목적이며, 의학적 조언을 대체하지 않습니다.

Section 01

수집하는 개인정보

1-1. 이용자가 직접 입력하는 정보

체중 기록 (날짜, 체중값, 메모)
식단 기록 (음식명, 섭취량, 칼로리, 영양소)
물 섭취량
목표 체중, 목표 칼로리
진행 사진 (선택, 기기 로컬 암호화 저장)

1-2. 건강 플랫폼 연동 시 수집 정보 (선택적 동의)

체중 (Apple HealthKit 또는 Google Health Connect 경유)
걸음 수
기타 건강 지표 (향후 확장 예정)

건강 플랫폼 연동은 선택 사항이며, 언제든지 앱 내 설정에서 연동을 해제할 수 있습니다.

1-3. 자동 수집 정보

기기 식별자 (광고 ID — 비개인화 광고 게재 및 빈도 제어 목적. 개인 식별·타겟팅에 사용되지 않음)
구독 상태 (RevenueCat 경유, 결제 검증 목적)

1-4. 수집하지 않는 정보

이름, 이메일, 전화번호 등 신원 식별 정보 (현재 계정 기능 미도입)
위치 정보 (GPS)
결제 카드 번호 (결제는 Apple App Store / Google Play가 처리)
음식 사진 원본 (AI 인식 완료 후 즉시 삭제, 서버 미저장)

Section 02

개인정보 이용 목적 및 법적 근거

이용 목적	처리 데이터	법적 근거 (PIPA)
앱 핵심 기능 제공 (체중·식단 기록)	체중, 식단, 사진	명시적 동의 (개인정보보호법 제23조 제1항, GDPR 제9조제2항(a)) — 온보딩 시 별도 opt-in 동의 획득
AI 음식 인식	음식 사진 (임시 전송)	명시적 동의 (개인정보보호법 제23조 제1항, GDPR 제9조제2항(a)) — 건강 인접 데이터로서 별도 동의 필요
건강 플랫폼 데이터 동기화	체중, 걸음 수	명시적 동의 (개인정보보호법 제23조 제1항, GDPR 제9조제2항(a)) — 건강 데이터 접근 전 opt-in 동의 필요
구독 관리 및 결제 검증	구독 상태, 영수증	계약 이행
비개인화 광고 게재 (무료 플랜)	광고 ID (빈도 제어 전용)	정당한 이익
법적 의무 이행	관련 기록	법령상 의무

Section 03

건강 데이터 특별 고지

SagePlate AI는 귀하의 건강 데이터를 제3자에게 판매하지 않으며, 광고 타겟팅에 사용하지 않습니다.

Apple HealthKit (iOS)

HealthKit에서 수집된 데이터는 앱 내 건강 및 피트니스 기능 제공에만 사용됩니다. Apple의 HealthKit 프레임워크 정책에 따라, HealthKit 데이터를 제3자와 공유하거나 광고 목적으로 사용하는 행위는 엄격히 금지됩니다.

Google Health Connect (Android)

Health Connect를 통해 수집된 데이터는 Google Health Connect 개발자 정책에 따라 처리됩니다. 건강 데이터는 앱의 기본 서비스 이외 목적으로 사용되지 않습니다.

광고와 건강 데이터의 기술적 분리

SagePlate AI 무료 플랜에서는 Google AdMob을 통해 비개인화 배너 광고가 표시됩니다. 다음의 기술적 격리가 보장됩니다.

Google AdMob이 수집하는 기기 광고 식별자(IDFA/GAID)는 Apple HealthKit 또는 Google Health Connect에서 수집된 어떠한 데이터와도 완전히 분리되며 절대 결합되지 않습니다. 이 분리는 코드 수준에서 강제됩니다. AdMob은 모든 건강 플랫폼 API와 독립적으로 초기화되며, 건강 데이터에서 파생된 지표·식별자·이용 패턴은 어떠한 광고 서비스에도 전달되지 않습니다.

이는 Apple App Store 심사 지침 5.1.1(v) 및 Google Play Health Connect 권한 정책(제한적 사용 정책)을 준수하는 기술적 구현입니다.

건강 데이터 저장 위치

연동된 건강 데이터는 귀하의 기기 로컬 SQLite 데이터베이스에 저장됩니다.

Section 04

AI 음식 인식 및 사진 처리

처리 흐름

이용자가 음식 사진을 촬영 또는 선택합니다.
사진이 Google Gemini Vision API로 전송되어 음식명·칼로리·영양소 추정값을 반환받습니다.
분석 완료 후 전송된 사진은 서버에 저장되지 않습니다.
기기 내 임시 파일은 처리 즉시 삭제됩니다.

Google Gemini API 데이터 정책 확인 사항

현재 플랜: Google AI Studio (유료 청구 계정 연결, Tier 1)

Tier 1 플랜에서 Google은 API 입력(음식 사진 포함)을 AI 모델 학습에 사용하지 않습니다. 예외적으로 정책 위반 탐지 목적으로만 최대 55일간 로그를 보관합니다.

AI 인식 정확도 한계

AI 음식 인식은 추정 기술이며 다음과 같은 한계가 있습니다.

사진만으로 정확한 섭취량 측정 어려움
조리 방법·재료 품질에 따른 영양소 편차
유사한 음식 간 혼동 가능성

AI가 제공하는 모든 수치는 참고용 추정값이며 의학적 판단의 근거로 사용해서는 안 됩니다.

Section 05

제3자 서비스 현황

앱은 서비스 제공을 위해 아래 제3자 서비스를 활용합니다. 각 서비스는 자체 개인정보 처리방침을 보유합니다.

제3자 서비스	제공자	처리 목적	데이터 소재지
Gemini Vision API	Google LLC (미국)	AI 음식 인식	미국
RevenueCat	RevenueCat, Inc. (미국)	구독 관리 및 결제 검증	미국
AdMob	Google LLC (미국)	배너 광고 (무료 플랜)	미국
USDA FoodData Central	미국 농무부 (USDA)	라틴 스크립트 음식 영양소 DB 조회 (온라인)	미국 (공공 API)
BLS 4.0 (Bundeslebensmittelschlüssel)	BfR — 독일 연방위해평가원 (독일)	라틴 스크립트 음식 영양소 DB 검색 (오프라인, 앱 번들 로컬 DB)	기기 로컬 — 외부 전송 없음
Open Food Facts API	Open Food Facts (프랑스, 오픈소스 커뮤니티)	라틴 스크립트 음식 영양소 DB — 온라인 최종 폴백	프랑스 — 검색어 텍스트만 전송
식품안전나라 API	식품의약품안전처 (대한민국)	한국 식품 영양소 DB 조회 (온라인)	대한민국 (공공 API)

Section 06

개인정보 제공·공유

Canto는 귀하의 개인정보를 제3자에게 판매하지 않습니다.

다음의 경우에 한하여 개인정보를 제공할 수 있습니다.

서비스 제공을 위한 위탁: 제5조에 명시된 제3자 서비스 제공업체에 서비스 제공 목적 내에서 제공합니다.
법적 의무: 법원 명령, 수사기관 요청, 또는 관련 법령에 따라 공개가 요구되는 경우.
이용자 동의: 귀하가 명시적으로 동의한 경우.
사업 양수: 합병·인수·자산 양수 시 사전 통지 후 승계될 수 있으며, 귀하는 데이터 삭제를 요청할 권리가 있습니다.

Section 07

개인정보 보존 및 파기

보존 기간

데이터 유형	보존 위치	보존 기간
체중·식단·사진 기록	기기 로컬	이용자가 삭제할 때까지 (무기한)
AI 추론 로그	기기 로컬	90일 후 자동 삭제
비활성 계정 (미래 계정 기능 도입 후)	서버	SagePlate AI는 기본적으로 모든 데이터를 사용자 기기에만 저장합니다. 클라우드 계정을 생성한 경우, 2년 이상 비활성 시 이메일 경고 후 계정이 삭제될 수 있습니다.

파기 방법

「개인정보 보호법」 제21조에 따라 개인정보는 다음과 같이 파기됩니다.

전자 파일: 복원이 불가능한 방법으로 영구 삭제합니다.
진행 사진: AES-256 암호화 파일을 기기에서 완전 삭제합니다.

직접 삭제 방법

앱 내 설정 → 개인정보 보호 → 모든 데이터 삭제를 통해 기기 내 모든 데이터를 즉시 영구 삭제할 수 있습니다. 삭제 전 CSV 내보내기를 권장합니다.

Section 08

정보주체의 권리 및 행사 방법

귀하는 개인정보 처리에 관하여 다음의 권리를 보유합니다.

별도로 당사에 요청하실 필요가 없습니다.

권리	행사 방법
열람권	앱 내에서 언제든지 직접 데이터를 확인하거나, 설정 > 데이터 내보내기를 통해 내보낼 수 있습니다.
정정권	직접 입력한 데이터(체중 기록, 식단 일지, 프로필)는 앱 내에서 언제든지 직접 수정할 수 있습니다. Apple HealthKit 또는 Google Health Connect에서 읽기 전용으로 동기화된 데이터(예: 걸음 수)는 해당 플랫폼에서 직접 수정하시기 바랍니다.
삭제권 (잊힐 권리)	설정 > 개인정보 보호 > 모든 데이터 삭제를 통해 기기에 저장된 모든 데이터를 즉시 완전히 삭제할 수 있습니다
이동권 (데이터 내보내기)	설정 > 데이터 내보내기를 통해 CSV 형식으로 내보낼 수 있습니다. 무료 플랜은 최근 30일 데이터만 내보내기 가능하며, 구독자는 기간 제한 없이 전체 데이터를 내보낼 수 있습니다.
동의 철회	설정 > 건강 연동에서 언제든지 건강 플랫폼 연동을 해제할 수 있습니다.
광고 관련	SagePlate AI는 모든 사용자에게 항상 비개인화 광고만 표시합니다. 귀하의 행동 데이터·건강 데이터는 광고에 일절 활용되지 않으며, 이는 앱 코드 수준에서 고정된 설정입니다. 별도로 거부하실 필요가 없습니다.

앱 내에서 직접 처리할 수 없는 권리 행사는 bacio0215@gmail.com로 문의하시기 바랍니다. 30일 이내에 처리하며, 불가피한 경우 추가 30일 연장 후 사유를 통지합니다.

Section 09

개인정보의 국외 이전

「개인정보 보호법」 제28조의9 준수

서비스 제공을 위해 아래와 같이 개인정보를 국외로 이전합니다. 이전에 앞서 귀하의 동의를 받거나 적법한 이전 근거를 확보합니다.

이전 업체	국가	이전 정보 항목	이전 목적	이전 방법	해외 수신자 연락처	보유 기간	이전 근거
Google LLC (Gemini API, AdMob)	미국	음식 사진 (임시), 광고 ID (빈도 제어)	AI 음식 인식, 비개인화 광고 게재	HTTPS/TLS 1.3 암호화 API 호출 — 사용자 사진 촬영 시점에 전송	privacy@google.com	처리 완료 즉시 삭제 (사진) / 서비스 이용 기간	정보주체 동의 / 계약 이행
RevenueCat, Inc.	미국	구독 상태, 구매 영수증	구독 관리 및 결제 검증	HTTPS/TLS 1.3 암호화 API 호출 — 구독 이벤트 발생 시 전송	privacy@revenuecat.com	구독 종료 후 법정 보존 기간	계약 이행

Google LLC 및 RevenueCat, Inc.는 EU-US 데이터 프라이버시 프레임워크(DPF) 및 표준 계약 조항(SCC)에 따라 적법한 데이터 이전을 보장합니다.

국외 이전에 동의하지 않을 권리가 있습니다. 단, 동의하지 않을 경우 AI 음식 인식, 구독 서비스 등 일부 기능을 이용할 수 없습니다.

Section 10

아동 개인정보 보호

SagePlate AI는 체중·식단·체형 사진 등 민감한 건강 정보를 다루는 앱의 특성상 만 18세 이상만 사용할 수 있습니다. 당사는 모든 대상 시장에서 가장 높은 보호 수준을 기준으로 만 18세 이상 통일 기준을 적용합니다. 각 지역의 법적 최소 연령 기준은 다음과 같습니다.

대한민국 (개인정보보호법 제22조 제5항): 만 14세 미만 아동의 개인정보 수집 시 법정대리인의 동의가 필수입니다.
미국 (COPPA): 만 13세 미만 아동의 개인정보는 확인 가능한 부모 동의 없이 수집이 엄격히 금지됩니다.
유럽연합 (GDPR 제8조): 디지털 서비스 동의 가능 연령은 회원국별로 만 13세~16세로 상이합니다. 해당 연령 미만의 EU 회원국 이용자는 부모 또는 보호자의 동의가 필요합니다.

당사의 만 18세 이상 통일 기준은 위 모든 지역 기준을 초과합니다. 온보딩 과정에서 생년월일 확인을 통해 연령을 검증합니다. 만 18세 미만인 경우 본 앱을 사용하지 마십시오.

보호자가 자녀의 앱 설치 사실을 인지한 경우, 설정 > 개인정보 보호 > 모든 데이터 삭제를 통해 데이터를 삭제하고 앱을 제거해 주십시오. 추가 문의는 bacio0215@gmail.com로 연락하십시오.

COPPA(미국 아동 온라인 개인정보 보호법)에 따라 만 13세 미만 아동의 개인정보는 수집하지 않습니다. 만 13세 미만 사용자가 확인될 경우 즉시 접근을 차단하고 관련 데이터를 삭제합니다.

Section 11

보안 조치

「개인정보 보호법」 제29조에 따라 개인정보 보호를 위한 다음의 기술적·관리적 보호 조치를 시행합니다.

보안 조치	내용
데이터베이스 암호화	SQLite 데이터베이스 AES-256 암호화 적용 (SQLCipher)
진행 사진 암호화	저장 사진 파일 AES-256 암호화, 암호화 키는 iOS Keychain / Android KeyStore 보관
전송 구간 보안	모든 네트워크 통신 TLS 1.3 적용
임시 파일 처리	AI 인식 사용 사진 임시 파일 처리 즉시 삭제
API 키 보안	빌드 타임 주입 (dart-define), 소스코드 미포함
자동 로그 삭제	AI 추론 로그 90일 자동 파기

다만, 인터넷을 통한 데이터 전송은 완전한 보안을 보장할 수 없습니다. 보안 취약점을 발견하신 경우 bacio0215@gmail.com로 신고하여 주시기 바랍니다.

Section 12

자동 수집 장치 (기기 식별자)

본 앱은 웹 쿠키를 사용하지 않습니다. 모바일 앱으로서 다음의 기기 식별자를 자동으로 수집할 수 있습니다.

수집 항목	수집 목적	거부 방법
광고 식별자 (iOS: IDFA, Android: GAID)	비개인화 광고 빈도 제어 (동일 광고 반복 노출 방지). 행동 프로파일링·타겟팅에 사용되지 않음	앱은 항상 비개인화 광고를 표시하므로 별도 설정 없이 개인 데이터가 광고에 사용되지 않습니다. 광고 ID 자체를 삭제하려면: iOS: 설정 → 개인정보 보호 → 추적 / Android: 설정 → Google → 광고 → 광고 ID 삭제
앱 설치 식별자 (익명)	RevenueCat 구독 상태 관리	구독 서비스 해지 시 연결 해제

Premium 구독자는 광고가 표시되지 않으며 광고 ID 수집 대상에서 제외됩니다.

Section 13

개인정보보호책임자

「개인정보 보호법」 제31조에 따라 다음과 같이 개인정보보호책임자를 지정합니다.

성명	Canto 개인정보보호책임자
이메일	bacio0215@gmail.com
운영사	Canto
처리방침 게시 위치	앱 내 설정 → 개인정보 처리방침 및 www.canto.ai.kr/sageplateai/privacy-policy-ko

개인정보 침해 신고 또는 상담은 아래 기관에 문의할 수 있습니다.

개인정보보호위원회: www.pipc.go.kr / 국번 없이 182
개인정보 침해신고센터: privacy.kisa.or.kr / 국번 없이 118
대검찰청 사이버수사과: www.spo.go.kr / 02-3480-3573
경찰청 사이버안전국: ecrm.cyber.go.kr / 국번 없이 182

Section 14

처리방침 변경 안내

본 개인정보 처리방침은 법령·서비스 변경에 따라 수정될 수 있습니다.

변경 시 시행 최소 7일 전 앱 내 알림으로 고지합니다.
중요한 변경(수집 항목 추가, 이용 목적 변경 등)의 경우 30일 전 고지합니다.
이 페이지 상단의 "시행일"이 함께 업데이트됩니다.

변경된 방침의 시행일 이후 앱을 계속 사용하면 변경 내용에 동의한 것으로 간주합니다.

Section 15

권리 구제 방법

개인정보 처리에 관한 권리 침해가 있다고 판단되는 경우 아래 방법으로 권리 구제를 신청할 수 있습니다.

사내 민원: bacio0215@gmail.com로 문의 (수신 후 30일 이내 처리)
개인정보보호위원회 분쟁조정: www.pipc.go.kr
개인정보 분쟁조정위원회: www.kopico.go.kr / 1833-6972