(주)아르크리에이티브허브(이하 "회사")는 「개인정보 보호법」 제30조에 따라 이용자의 개인정보를 보호하고 이와 관련한 고충을 처리하기 위하여 다음과 같이 개인정보 처리방침을 수립·공개합니다.
1. 개인정보의 처리 목적
회사는 다음의 목적을 위하여 개인정보를 처리합니다.
회원 관리: 회원가입, 본인 인증, 서비스 이용 자격 확인, 계정 관리
서비스 제공: AI 일기 생성, AI 이미지 생성, 오늘의 운세, 타임라인 기록, 건강 데이터 연동, 캘린더 연동
서비스 개선: 오류 진단, 서비스 안정성 확보, 사용 통계 분석
결제 관리: 인앱 결제(구독, 수프 구매) 처리, 환불 관리
2. 처리하는 개인정보의 항목
2.1 필수 수집 항목
항목
수집 방법
목적
이메일 주소
회원가입 시 직접 입력 또는 소셜 로그인
계정 식별, 로그인
비밀번호(해시값)
이메일 회원가입 시
계정 인증
닉네임(표시 이름)
회원가입 시 또는 프로필 설정
서비스 내 식별
일기 텍스트
사용자 직접 작성 또는 AI 생성
핵심 서비스 제공
2.2 선택 수집 항목
항목
수집 방법
목적
정확한 위치 정보
기기 GPS (백그라운드 포함)
타임라인 기록, 장소 자동 인식
[민감정보] 건강 데이터 (걸음수, 수면)
Apple HealthKit / Health Connect (별도 동의)
일기 콘텐츠에 건강 정보 반영
캘린더 일정
기기 캘린더 앱
일기 콘텐츠에 일정 정보 반영
사진
사용자가 직접 선택·촬영
일기에 사진 첨부, AI 분석
사진 EXIF 데이터 (촬영 시간, 위치)
사진 메타데이터 자동 추출
타임라인 보정
이름, 성별, 생년월일
운세 기능 사용 시 직접 입력
오늘의 운세 생성
프로필 이미지
사용자 직접 업로드
프로필 표시
2.3 자동 수집 항목
항목
수집 방법
목적
기기 정보 (OS 버전, 기기 모델)
앱 실행 시 자동
서비스 최적화, 오류 진단
앱 사용 로그
앱 이용 중 자동
사용량 관리, 서비스 개선
오류·크래시 정보
오류 발생 시 자동
앱 안정성 향상
구매 내역
인앱 결제 시
구독 관리, 환불 처리
※ 회사는 IDFA, IDFV 등 광고 식별자를 수집하지 않습니다.
2.4 민감정보 처리
건강 데이터(걸음수, 수면)는 「개인정보 보호법」 제23조에 따른 민감정보에 해당합니다. 회사는 민감정보를 수집·이용하기 전에 이용자로부터 별도의 동의를 받으며, 동의를 거부하더라도 기본 서비스(수동 일기 작성, 타임라인, 캘린더 연동 등)는 정상적으로 이용할 수 있습니다.
3. 개인정보의 처리 및 보유 기간
항목
보유 기간
비고
회원 계정 정보
회원 탈퇴 시까지
탈퇴 후 지체 없이 파기
일기·이미지
사용자 삭제 또는 탈퇴 시까지
소프트 삭제 후 30일 내 완전 파기
위치 데이터 (로컬)
앱 삭제 또는 수동 초기화 시까지
기기 내 저장
건강·캘린더 데이터
보유하지 않음
일기 생성 시 일시적으로 조회 후 즉시 삭제
결제 기록
「전자상거래법」에 따라 5년
법정 보관 의무
오류·크래시 로그
수집일로부터 90일
자동 만료
사용 로그
수집일로부터 1년
사용량 관리 목적
4. 개인정보의 제3자 제공
회사는 이용자의 개인정보를 제1조에서 명시한 범위 내에서만 처리하며, 정보주체의 동의, 법률의 특별한 규정 등 「개인정보 보호법」 제17조 및 제18조에 해당하는 경우에만 제3자에게 제공합니다.
회사는 현재 개인정보를 제3자에게 제공하고 있지 않습니다. AI 서비스 제공을 위한 외부 API 이용은 회사의 목적 범위 내에서 처리되는 「개인정보 보호법」 제26조에 따른 처리 위탁에 해당하며, 제6조에서 상세히 안내합니다.
5. 개인정보의 국외 이전
회사는 서비스 제공을 위해 「개인정보 보호법」 제28조의8에 따라 아래와 같이 개인정보를 국외로 이전(처리 위탁)합니다.
이전받는 자 (연락처)
이전 국가
이전 항목
이전 목적
이전 시기 및 방법
보유 기간
Google LLC (privacy@google.com)
미국
일기 텍스트, 사진, 위치·건강·캘린더 컨텍스트, 이름·성별·생년월일(운세)
AI 콘텐츠 생성 (일기, 이미지, 사진 분석, 운세)
서비스 이용 시 수시, API 호출을 통한 암호화 전송 (HTTPS/TLS 1.2 이상)
API 처리 완료 즉시 삭제
Functional Software Inc. (Sentry) (privacy@sentry.io)
미국
오류 로그, 기기 정보
앱 안정성 모니터링
오류 발생 시 수시, 암호화 전송
90일
Adapty Tech Inc. (privacy@adapty.io)
유럽연합
사용자 ID, 구독 상태, 결제 정보
인앱 결제 및 구독 관리
결제 발생 시 수시, 암호화 전송
구독 종료 후 3년
Supabase Inc. (privacy@supabase.io)
미국
회원 정보, 일기 데이터, 이미지
백엔드 서비스 (데이터베이스, 인증, 저장소)
서비스 이용 시 상시, 클라우드 서버 저장
회원 탈퇴 시까지
이용자는 위 국외 이전을 거부할 수 있으며, 거부를 원하는 경우 support@vlox.ai로 요청할 수 있습니다. 다만, 국외 이전을 거부하는 경우 서비스 이용이 제한될 수 있습니다.
6. 개인정보 처리의 위탁
① 회사는 원활한 서비스 제공을 위하여 다음과 같이 개인정보 처리업무를 위탁하고 있습니다.
수탁자
위탁 업무
위탁 항목
보유 기간
Google LLC
AI 콘텐츠 생성 (일기, 이미지, 사진 분석, 운세), 소셜 로그인 인증
일기 텍스트, 사진, 위치·건강·캘린더 컨텍스트, 이름·성별·생년월일, 인증 토큰
API 처리 완료 즉시 삭제 (인증: 세션 종료 시)
Supabase Inc.
클라우드 서버 운영, 데이터베이스 관리, 사용자 인증
회원 정보, 일기 데이터, 이미지
회원 탈퇴 시까지
Apple Inc.
소셜 로그인 인증, 인앱 결제 처리
인증 토큰, 결제 정보
세션 종료 시 / 결제 완료 시
Adapty Tech Inc.
인앱 결제 및 구독 관리
사용자 ID, 구독 상태, 결제 정보
구독 종료 후 3년
Functional Software Inc. (Sentry)
앱 오류 모니터링
오류 로그, 기기 정보
90일
카카오 주식회사
지도 및 장소 검색
위치 좌표
API 처리 완료 즉시 삭제
② 회사는 위탁계약 체결 시 「개인정보 보호법」 제26조에 따라 위탁업무 수행목적 외 개인정보 처리금지, 기술적·관리적 보호조치, 재위탁 제한, 수탁자에 대한 관리·감독, 손해배상 등 책임에 관한 사항을 계약서 등 문서에 명시하고, 수탁자가 개인정보를 안전하게 처리하는지를 감독하고 있습니다.
③ 위탁업무의 내용이나 수탁자가 변경될 경우에는 지체 없이 본 개인정보 처리방침을 통하여 공개하겠습니다.
7. 개인정보의 파기 절차 및 방법
① 회사는 개인정보 보유기간의 경과, 처리목적 달성 등 개인정보가 불필요하게 되었을 때에는 지체 없이 해당 개인정보를 파기합니다.
② 정보주체로부터 동의받은 개인정보 보유기간이 경과하거나 처리목적이 달성되었음에도 불구하고 다른 법령에 따라 개인정보를 계속 보존하여야 하는 경우에는, 해당 개인정보를 별도의 데이터베이스(DB)로 옮기거나 보관장소를 달리하여 보존합니다.
③ 개인정보 파기의 절차 및 방법은 다음과 같습니다.
파기 절차: 회사는 파기 사유가 발생한 개인정보를 선정하고, 회사의 개인정보 보호책임자의 승인을 받아 개인정보를 파기합니다.
파기 방법:
전자적 파일 형태로 기록·저장된 개인정보는 기록을 재생할 수 없는 기술적 방법을 사용하여 삭제
데이터베이스 레코드: 소프트 삭제 후 30일 이내 완전 삭제
로컬 저장소: 앱 삭제 시 자동 파기, 로그아웃 시 세션 데이터 즉시 삭제
이미지 파일: 클라우드 저장소에서 완전 삭제
④ 회원 탈퇴 시 계정 정보, 일기, 이미지, 저장된 장소 등 모든 개인정보를 지체 없이 파기합니다. 단, 법령에 따라 보존이 필요한 정보(결제 기록 등)는 해당 기간 동안 별도 보관 후 파기합니다.
8. 인공지능(AI) 서비스 관련 특별 조항
① 회사가 제공하는 인공지능(AI) 서비스와 관련하여, 이용자가 입력한 데이터(일기 텍스트, 사진, 위치·건강·캘린더 데이터 등)는 해당 요청에 대한 응답을 생성하는 목적으로만 처리됩니다. 회사는 이용자의 명시적인 동의 없이는 해당 데이터를 회사의 인공지능 모델 학습에 사용하지 않습니다.
② 외부 AI 모델(Google LLC의 AI API)을 사용하는 경우, 데이터 처리는 해당 제공업체의 개인정보처리방침에 따르며, 회사는 유료 API를 사용하여 데이터가 모델 학습에 사용되지 않도록 조치합니다.
③ AI가 생성한 일기 텍스트 및 이미지에는 "AI로 생성됨" 표시가 포함됩니다. AI 생성 콘텐츠의 정확성, 완전성은 보증되지 않으며, 이용자는 이를 편집·삭제할 수 있습니다.
④ 비식별화된 서비스 통계 데이터(평균 사용 시간, 기능 이용 빈도 등)는 개인을 식별할 수 없는 정보로서, 별도의 동의 없이 서비스 개선 및 통계 분석 목적으로 활용할 수 있습니다.
9. 정보주체와 법정대리인의 권리·의무 및 행사 방법
① 이용자(정보주체)는 회사에 대해 언제든지 다음의 권리를 행사할 수 있습니다.
개인정보 열람 요구
오류 등이 있을 경우 정정 요구
개인정보 삭제 요구
개인정보 처리 정지 요구
회원 탈퇴 (앱 내 프로필 > 계정 삭제)
개인정보 전송 요구 (데이터 내보내기)
자동화된 의사결정(AI 분석)에 대한 설명 요구 및 이의 제기
② 제1항에 따른 권리 행사는 앱 내 설정 또는 서면, 전자우편을 통하여 하실 수 있으며, 회사는 이에 대해 지체 없이 조치하겠습니다.
③ 정보주체가 개인정보의 오류 등에 대한 정정 또는 삭제를 요구한 경우, 회사는 정정 또는 삭제를 완료할 때까지 당해 개인정보를 이용하거나 제공하지 않습니다.
④ 제1항에 따른 권리 행사는 정보주체의 법정대리인이나 위임을 받은 자 등 대리인을 통하여 하실 수 있습니다. 이 경우 「개인정보 처리 방법에 관한 고시」 별지 제11호 서식에 따른 위임장을 제출하셔야 합니다.
⑤ 정보주체는 「개인정보 보호법」 등 관계 법령을 위반하여 회사가 처리하고 있는 정보주체 본인이나 타인의 개인정보 및 사생활을 침해하여서는 아니 됩니다.
10. 개인정보의 안전성 확보 조치
기술적 조치
전송 구간 암호화 (HTTPS/TLS 1.2 이상)
비밀번호 암호화 처리
데이터베이스 접근 통제 — 본인 데이터만 접근 가능
토큰 기반 인증 (자동 만료 및 갱신)
인증 토큰 안전 저장 (OS 제공 보안 저장소)
오류 보고 시 일기 내용·사진 자동 필터링
관리적 조치
개인정보 접근 권한 최소화
서버 측 API 키 보호 (클라이언트 노출 차단)
서비스 역할 키와 사용자 키 분리
11. 아동의 개인정보 보호
회사는 만 14세 미만 아동의 개인정보를 수집하지 않습니다. 만 14세 미만의 이용자가 개인정보를 제공한 사실을 알게 된 경우, 해당 정보를 지체 없이 파기합니다.
12. 개인정보 보호 책임자
회사는 개인정보 처리에 관한 업무를 총괄해서 책임지고, 개인정보 처리와 관련한 정보주체의 불만처리 및 피해구제 등을 위하여 아래와 같이 개인정보 보호책임자를 지정하고 있습니다.
이 개인정보 처리방침은 2026년 4월 1일부터 적용됩니다. 변경 사항이 있을 경우 시행일 7일 전 앱 내 공지 또는 이메일을 통해 안내합니다.
Privacy Policy
Gamja Diary (AutoPixel) · Effective: April 1, 2026 · Version 1.0
ARE CREATIVE HUB Co., Ltd. ("Company") establishes and discloses this Privacy Policy to protect users' personal information and address related concerns in accordance with Article 30 of the Personal Information Protection Act (PIPA) of the Republic of Korea.
Apple HealthKit / Health Connect (separate consent)
Health context in diary
Calendar events
Device calendar
Schedule context in diary
Photos
User selection or camera
Diary attachment, AI analysis
Photo EXIF data (time, location)
Auto-extracted from photos
Timeline correction
Name, gender, date of birth
User input (fortune feature)
Daily fortune generation
Profile image
User upload
Profile display
2.3 Automatically Collected Information
Item
Collection Method
Purpose
Device info (OS, model)
Automatic at app launch
Optimization, error diagnosis
App usage logs
Automatic during use
Usage management, service improvement
Crash/error data
Automatic on error
App stability improvement
Purchase history
In-app purchase
Subscription management, refund processing
Note: We do not collect advertising identifiers (IDFA, IDFV).
2.4 Sensitive Information
Health data (steps, sleep) constitutes sensitive information under PIPA Article 23. The Company obtains separate consent before collecting such data. You may refuse consent and still use the core service (manual diary writing, timeline, calendar integration, etc.).
3. Retention Period
Item
Retention
Note
Account information
Until account deletion
Destroyed promptly upon withdrawal
Diary & images
Until user deletion or withdrawal
Permanently deleted within 30 days of soft delete
Location data (local)
Until app deletion or manual reset
Stored on device
Health & calendar data
Not retained
Fetched temporarily, deleted immediately
Payment records
5 years
Legal requirement (E-Commerce Act)
Crash logs
90 days
Auto-expiry
Usage logs
1 year
Usage management
4. Third-Party Disclosure
The Company processes personal information only within the scope specified in Section 1 and provides it to third parties only in cases falling under Articles 17 and 18 of PIPA, such as data subject consent or special provisions of law.
The Company does not currently provide personal information to third parties. The use of external AI APIs for service provision constitutes data processing delegation under PIPA Article 26 and is detailed in Section 6.
5. International Data Transfers
The Company transfers personal information overseas (for processing delegation) in accordance with PIPA Article 28-8 as follows:
Recipient (Contact)
Country
Data
Purpose
Timing & Method
Retention
Google LLC (privacy@google.com)
United States
Diary text, photos, location/health/calendar context, name/gender/birth date (fortune)
AI content generation (diary, image, photo analysis, fortune)
As needed during use; encrypted API calls (HTTPS/TLS 1.2+)
Deleted immediately
Functional Software Inc. (Sentry) (privacy@sentry.io)
United States
Error logs, device info
App stability monitoring
Upon error; encrypted transmission
90 days
Adapty Tech Inc. (privacy@adapty.io)
European Union
User ID, subscription status, payment info
In-app purchase & subscription management
Upon payment; encrypted transmission
3 years after subscription end
Supabase Inc. (privacy@supabase.io)
United States
Account info, diary data, images
Backend services (database, auth, storage)
Continuous during use; cloud server storage
Until account deletion
You may refuse overseas transfers by contacting support@vlox.ai. However, refusing may limit your use of the Service.
6. Data Processing Delegation
① The Company delegates the following personal information processing tasks for smooth service provision:
Processor
Delegated Tasks
Data Items
Retention
Google LLC
AI content generation (diary, image, photo analysis, fortune), social login
② The Company ensures that delegation contracts include provisions on restricting processing beyond delegated tasks, technical/administrative safeguards, restrictions on re-delegation, supervision, and liability for damages, in accordance with PIPA Article 26.
③ Any changes to delegated tasks or processors will be disclosed promptly through this Privacy Policy.
7. Data Destruction
① The Company destroys personal information without delay when it becomes unnecessary due to expiration of the retention period or achievement of processing purposes.
② If personal information must be preserved under other laws despite expiration, it is moved to a separate database or storage location.
③ Destruction procedures and methods:
Procedure: The Company selects personal information for destruction and destroys it after obtaining approval from the Data Protection Officer.
Methods:
Electronic files: Deleted using irrecoverable technical methods
Database records: Fully deleted within 30 days of soft deletion
Local storage: Automatically destroyed on app uninstall; session data cleared on logout
Image files: Completely removed from cloud storage
④ Upon account deletion, all personal data (account, diary, images, saved places) is destroyed without delay, except for legally required records.
8. Special Provisions for AI Services
① User data (diary text, photos, location/health/calendar data) submitted to the Company's AI services is processed solely for the purpose of generating responses to the relevant requests. The Company does not use such data for training its own AI models without the user's explicit consent.
② When using external AI APIs (Google LLC), data processing follows the provider's privacy policy. The Company uses paid API tiers to ensure data is not used for model training.
③ AI-generated diary text and images are labeled as "Generated by AI." The accuracy and completeness of AI-generated content is not guaranteed; users may edit or delete such content.
④ De-identified service statistics (average usage time, feature frequency, etc.) do not constitute personal information and may be used for service improvement and statistical analysis without separate consent.
9. Your Rights
① You may exercise the following rights at any time:
Request access to your personal information
Request correction of errors in your data
Request deletion of your data
Request suspension of data processing
Delete your account (Profile > Delete Account)
Request data portability (data export)
Request explanation of and object to automated decisions (AI analysis)
② You may exercise these rights via in-app settings, written request, or email. The Company will take action without delay.
③ If you request correction or deletion of personal information due to errors, the Company will not use or provide such information until the correction or deletion is completed.
④ Rights may be exercised through a legal representative or authorized agent. In such cases, a power of attorney must be submitted.
10. Security Measures
Encryption in transit (HTTPS/TLS 1.2+)
Password encryption
Database access control — users can only access their own data
Token-based authentication (auto-expiry and refresh)
Secure token storage (OS-provided secure storage)
Diary content and photos automatically filtered from crash reports
API keys protected server-side (never exposed to client)
11. Children's Privacy
We do not knowingly collect personal information from children under 14 years of age. If we become aware that a child under 14 has provided personal information, we will delete it promptly.
12. Contact Us
The Company designates the following Data Protection Officer (DPO) to oversee personal information processing and handle complaints and damage relief: