홈으로
MAX MUSIC

개인정보처리방침

버전 6 · 시행일 2026년 5월 20일

패스토랩스(이하 "회사")는 MAX-MUSIC 서비스(이하 "서비스")를 제공함에 있어 「개인정보 보호법」 등 관련 법령을 준수하고, 정보주체의 개인정보를 보호하기 위하여 다음과 같이 개인정보처리방침을 수립·공개합니다.


회사는 서비스의 성격상 매장 운영자인 회원과 매장에 방문하여 신청곡 또는 이미지/메시지 전송 기능(서비스 화면상 "메시지 보내기"로 표시될 수 있음)을 이용하는 손님 이용자를 구분하여 개인정보를 처리합니다. 손님 이용자에 대해서는 이름, 전화번호, 이메일 등 직접 식별 가능한 가입 정보를 요구하지 않습니다. 다만 서비스 제공, 부정 이용 방지, 장애 대응 및 분쟁 대응을 위해 서버가 발급한 손님 세션 식별자, 해당 식별자의 해시값, 요청 기록, 닉네임, 메시지 등 일부 정보가 처리될 수 있습니다.


제1조 개인정보의 처리 목적


회사는 다음 목적을 위하여 개인정보를 처리합니다. 처리 목적이 변경되는 경우에는 관련 법령에 따라 별도 동의를 받거나 필요한 고지 절차를 이행합니다.


1. 회원 가입 및 계정 관리

- 소셜 로그인 기반 회원 식별, 계정 생성 및 유지, 회원 본인 확인, 계정 복구, 약관 및 개인정보처리방침 동의 이력 관리


2. 매장 운영 서비스 제공

- 매장 생성 및 관리, 매장 설정 저장, 팀 멤버 초대 및 권한 관리, 플레이리스트 및 재생 화면 운영, 재생 기기 충돌 방지


3. 손님 참여 기능 제공

- 신청곡 접수 및 대기열 반영, 이미지/메시지 전송 기능(서비스 화면상 "메시지 보내기"로 표시될 수 있음) 및 매장 화면 표시, 중복 요청 및 과도한 요청 방지, 비정상 이용 제한


4. 결제 및 구독 관리

- 무료체험 제공, 유료 구독 신청 및 유지, 결제수단 등록·폐기, 정기결제 처리, 인보이스·영수증 제공, 환불·정산·분쟁 대응


5. 서비스 안정성 및 보안 확보

- 오류 분석, 장애 대응, 보안 로그 확인, 부정 이용 및 자동화 공격 방지, 권리침해 신고 대응, 수사기관 또는 법원의 적법한 요청에 대한 협조


6. 무료체험 중복 이용 방지

- 탈퇴 및 재가입을 통한 무료체험 반복 이용 방지를 위해 소셜 로그인 제공자 식별자의 가명처리 또는 해시 처리된 값을 처리합니다. 해당 처리는 회사의 정당한 이익에 근거하며, 목적 달성에 필요한 최소 기간 동안만 보관합니다.


제2조 처리하는 개인정보 항목


회사는 서비스 제공에 필요한 범위에서 다음 항목을 처리합니다.


1. 회원 계정 정보


- 필수 계정 정보: 회원 UUID, 소셜 로그인 제공자, 소셜 로그인 제공자 식별자, 이메일 주소, 서비스 닉네임

- 계정 복구 및 무료체험 관리 정보: 소셜 로그인 제공자 식별자의 salted SHA-256 해시값, 탈퇴 시점 닉네임 스냅샷

- 정책 동의 이력: 동의한 정책 문서, 동의 시각, IP 주소 해시, User-Agent 해시


회사는 Kakao OAuth 인증 과정에서 전달될 수 있는 프로필 사진 등 서비스 운영에 불필요한 메타데이터를 서비스 프로필 정보로 저장하지 않도록 최소화합니다.


2. 매장 및 팀 운영 정보


- 매장 정보: 매장 ID, 매장명, 지역, 업종, 시간대, 생성·수정·삭제 시각

- 매장 설정: 신청곡 기능 사용 여부, 이미지/메시지 전송 기능 사용 여부, 쿨다운 설정, 화면 표시 문구, 기본 플레이리스트 설정 등

- 팀 관리 정보: 매장 구성원 ID, 역할, 초대자 ID, 초대 토큰 해시, 초대 상태, 초대 만료·수락 시각

- 플레이리스트 정보: 플레이리스트명, 외부 콘텐츠 플랫폼의 영상 ID, 제목, 채널명, 재생시간, 정렬 순서

- 재생 기기 제어 정보: 플레이어 세션 ID, 사용자 ID, 기기 라벨, 잠금 획득 시각


3. 손님 이용자 정보


손님 이용자는 회원가입 없이 서비스를 이용할 수 있으며, 회사는 손님의 이름, 전화번호, 이메일을 요구하지 않습니다. 다만 신청곡 및 이미지/메시지 전송 기능(서비스 화면상 "메시지 보내기"로 표시될 수 있음)을 제공하고 부정 이용을 방지하기 위해 다음 항목을 처리할 수 있습니다.


- 손님 세션 정보: 서버가 발급한 손님 세션 식별자, 해당 식별자의 SHA-256 해시값, 매장 ID, 발급·만료 시각

- 신청곡 정보: 외부 콘텐츠 플랫폼 영상 ID, 제목, 채널명, 재생시간, 콘텐츠 유형, 요청 문구, 손님 닉네임, 요청 상태, 생성·완료·취소 시각

- 이미지/메시지 전송 정보: 이미지 파일, 저장 경로, MIME 타입, 파일 크기, 메시지 내용, 손님 닉네임, 요청 상태, 생성·완료·취소·삭제 시각

- 비정상 이용 방지 정보: 요청 횟수 제한을 위한 세션 식별자 해시, IP 주소 또는 IP 기반 rate limit 키, User-Agent, 요청 시각


손님 닉네임은 손님이 직접 입력한 경우에만 처리되며, 이용자 편의를 위해 브라우저 localStorage에 저장될 수 있습니다. 손님 세션 식별자는 서버가 임의로 생성한 무작위 UUID이며, 회사는 이를 통해 서비스 내부의 동일 세션 여부를 확인할 수 있으나 그 값만으로 손님의 이름, 연락처 등 현실의 신원을 직접 확인하지 않습니다.


4. 결제 및 구독 정보


유료 결제 기능을 이용하는 경우 다음 항목을 처리합니다.


- 구독 정보: 구독 상태, 요금제 금액, 무료체험 종료일, 결제 주기, 결제 재시도 횟수, 해지 시각

- 결제수단 정보: 결제대행사가 발급한 빌링키의 암호화 값, 카드사 코드, 카드명, 마스킹 카드번호, 기본 결제수단 여부

- 결제 이력: 주문번호, 거래 ID, 결제금액, 통화, 세액, 영수증 URL, 결제 성공·실패·취소 상태, 실패 코드·메시지, 결제 이벤트 로그


회사는 카드번호 전체, CVC, 비밀번호 등 원 결제정보를 서비스 데이터베이스에 저장하지 않습니다.


5. 자동 생성·운영 정보


서비스 이용 과정에서 다음 정보가 자동으로 생성되거나 처리될 수 있습니다.


- IP 주소 또는 그 해시값

- User-Agent 및 브라우저·OS 정보

- 요청 URL, 요청 시각, 응답 상태, 오류 메시지 및 스택 트레이스

- 페이지 이동 및 성능 통계

- Sentry 오류 분석 정보 및 에러 발생 세션에 한한 마스킹된 재현 정보

- Vercel Analytics 통계 정보

- Supabase 인증 쿠키, `session_started` 쿠키, `mm-guest` 쿠키

- 브라우저 localStorage 또는 sessionStorage에 저장되는 닉네임, 플레이리스트 재생 위치, 플레이어 세션 ID, UI 상태 정보


제3조 개인정보의 처리 및 보유기간


회사는 법령에 따른 보존 의무가 있는 경우를 제외하고, 개인정보의 처리 목적이 달성되거나 보유기간이 경과하면 지체 없이 파기합니다.


1. 회원 계정 정보

- 회원 탈퇴 요청일로부터 30일 이내 파기합니다.

- 단, 30일 이내 재로그인 복구를 위해 탈퇴 시점 닉네임 스냅샷을 별도 보관할 수 있으며, 해당 스냅샷은 탈퇴일로부터 30일간 보관합니다.


2. 정책 동의 이력

- 회원 탈퇴 후 30일 이내 파기합니다.

- 단, 분쟁 대응 또는 법령상 보관 필요가 있는 경우에는 해당 목적에 필요한 기간 동안 보관할 수 있습니다.


3. 무료체험 중복 방지용 소셜 로그인 식별자 해시

- 생성일 또는 무료체험 부여일로부터 1년간 보관합니다.


4. 손님 세션 쿠키

- 발급 후 6시간 동안 유지됩니다.


5. 손님 신청곡 및 이미지/메시지 전송 기록

- 손님 신청곡 및 이미지/메시지 전송 기록 중 손님 세션 식별자 해시, 닉네임, 요청 문구, 메시지 내용 등 손님 이용자와 관련될 수 있는 항목은 서비스 운영, 부정 이용 방지, 장애 대응 및 분쟁 대응에 필요한 범위에서 보관합니다.

- 회사는 서비스 운영상 필요한 범위를 초과하여 장기 보관하지 않도록 보유기간 및 익명화 기준을 정기적으로 점검합니다.

- 외부 콘텐츠 플랫폼의 영상 ID, 제목, 채널명, 재생시간, 신청 시각, 요청 상태 등 매장 운영 이력, 통계 및 서비스 품질 개선에 필요한 비식별 운영 정보는 손님 식별 정보와 분리하여 계속 보관할 수 있습니다.


6. 이미지/메시지 전송 이미지 파일

- 화면 표시 또는 요청 처리 완료 후 삭제를 시도합니다.

- 전송 완료로 이어지지 않은 임시 업로드는 약 30분 후 정리합니다.

- 시스템 장애, 저장소 장애, 권리침해 신고 또는 분쟁 대응 등 불가피한 사유가 없는 한, 화면 표시가 완료되었거나 취소된 후 남아 있는 이미지 파일은 24시간 이내 삭제합니다.

- 이미지 파일 자체는 장기 보관하지 않는 것을 원칙으로 합니다.


7. 플레이어 락 정보

- 잠금 해제 또는 만료 후 삭제하며, 잔존 데이터는 정기 정리 작업으로 삭제합니다.


8. 결제수단 빌링키

- 결제수단 삭제 또는 회원 탈퇴 시 결제대행사 API를 통해 폐기하고, 회사 데이터베이스의 결제수단 정보도 삭제합니다.


9. 결제 이력, 인보이스, 결제 이벤트

- 「전자상거래 등에서의 소비자보호에 관한 법률」 및 「전자금융거래법」 등 관련 법령상 보존기간에 따라 최대 5년간 보관합니다.


10. 오류·보안 로그 및 Sentry 정보

- 오류 분석 및 장애 대응을 위해 수탁 서비스의 보관 정책에 따라 90일 이내 보관 후 삭제 또는 비식별화합니다.


11. Rate limit 키

- 각 제한 창(window) 만료 후 삭제 또는 덮어쓰기됩니다.


관련 법령에 따라 보존하는 주요 항목은 다음과 같습니다.


- 계약 또는 청약철회 등에 관한 기록: 「전자상거래 등에서의 소비자보호에 관한 법률」에 따라 5년

- 대금결제 및 재화 등의 공급에 관한 기록: 「전자상거래 등에서의 소비자보호에 관한 법률」에 따라 5년

- 소비자 불만 또는 분쟁처리에 관한 기록: 「전자상거래 등에서의 소비자보호에 관한 법률」에 따라 3년

- 전자금융거래에 관한 기록: 「전자금융거래법」에 따라 5년

- 기타 관계 법령에 따라 보존할 필요가 있는 정보: 해당 법령에서 정한 기간


제4조 개인정보의 제3자 제공


회사는 정보주체의 개인정보를 제1조의 처리 목적 범위 내에서만 처리하며, 다음의 경우를 제외하고 정보주체의 동의 없이 제3자에게 제공하지 않습니다.


1. 정보주체가 사전에 동의한 경우

2. 법령에 특별한 규정이 있는 경우

3. 수사기관, 법원 등 권한 있는 기관이 적법한 절차에 따라 요청한 경우

4. 생명, 신체, 재산의 이익을 위하여 긴급히 필요한 경우로서 관련 법령이 허용하는 경우


회사가 손님 이용자의 이름, 전화번호, 이메일을 수집하지 않은 경우, 적법한 기관 요청이 있더라도 회사가 보유한 범위 내의 자료만 제공할 수 있습니다. 회사는 신고자, 피해 주장자, 회원, 손님 또는 제3자에게 업로더의 개인정보, 접속정보, 세션 식별정보, 운영기록을 법령상 근거 없이 임의로 제공하지 않습니다.


제5조 개인정보처리의 위탁


회사는 원활한 서비스 제공을 위하여 다음과 같이 개인정보 처리 업무를 위탁합니다. 회사는 위탁계약 체결 시 수탁자가 개인정보를 안전하게 처리하도록 필요한 사항을 정하고 관리·감독합니다.


- Supabase Inc.

- 위탁 업무: 데이터베이스, 인증, 스토리지, 실시간 통신 인프라 제공

- 처리 항목: 회원·매장·손님 요청·이미지 업로드 메타데이터·정책 동의·결제 관련 DB 정보


- Vercel Inc.

- 위탁 업무: 애플리케이션 호스팅, 서버리스 실행, 배포, 웹 분석

- 처리 항목: 접속 로그, 요청 정보, 성능 및 이용 통계


- Cloudflare, Inc.

- 위탁 업무: 권한 DNS, DNSSEC, 도메인 보안 설정, 회사 업무용 문의 이메일 수신·전달

- 처리 항목: DNS 질의 정보, DNS 레코드 및 도메인 보안 설정 정보, 회사 업무용 문의 이메일 수신·전달 과정에서 처리되는 발신자·수신자 이메일 주소, 메일 헤더 등 기술 정보

- Cloudflare Email Routing은 회사의 업무용 문의 이메일 수신·전달을 위해 사용되며, 서비스 내 회원가입, 신청곡, 이미지/메시지 전송, 결제 또는 알림 발송 기능에는 사용되지 않습니다.


- Upstash, Inc.

- 위탁 업무: Rate limit 및 분산 키 저장

- 처리 항목: IP 기반 또는 세션 해시 기반 rate limit 키, 요청 시각

- 운영 리전: 도쿄 리전


- Functional Software, Inc. (Sentry)

- 위탁 업무: 오류 추적, 성능 모니터링, 장애 분석

- 처리 항목: 회원 UUID 또는 손님 세션 식별자(서버가 생성한 무작위 UUID), 매장 식별자, 오류 메시지, 스택 트레이스, 요청 경로, 브라우저·기기 정보, 마스킹된 에러 세션 재현 정보

- 운영 설정: Data Storage Region은 EU이며, 프로젝트 수준의 Data Scrubber, Default Scrubber, Prevent Storing IP Addresses 설정을 사용합니다. 추가 민감 필드로 이메일 주소를 지정합니다.


- ㈜카카오

- 위탁 업무: 소셜 로그인 인증

- 처리 항목: 카카오 계정 식별 정보, 이메일 등 인증에 필요한 정보


- 회사가 계약한 결제대행사

- 위탁 업무: 결제 기능을 이용하는 경우 결제수단 등록, 빌링키 발급·폐기, 정기결제, 결제 승인·취소·조회

- 처리 항목: 결제대행사에 전달되는 결제 요청 정보, 빌링키, 거래 ID, 결제 결과 정보


제6조 개인정보의 국외 이전


회사는 원칙적으로 서비스 데이터 저장 및 주요 서비스 실행을 국내 리전에서 처리하도록 설정합니다. 현재 회사가 확인한 운영 기준상 Supabase와 Vercel의 주요 서비스 리전은 대한민국입니다.


다만 일부 수탁 서비스의 장애 분석, 보안, 로그, 통계, 고객지원 또는 글로벌 인프라 운영 과정에서 개인정보가 국외에서 조회·처리·보관될 수 있습니다. 회사는 국외 이전이 발생하는 경우 「개인정보 보호법」 등 관련 법령에 따라 이전받는 자, 이전 국가, 이전 항목, 이전 목적, 보유기간 및 거부 방법을 개인정보처리방침 또는 별도 고지로 안내합니다.


1. Supabase Inc.

- 이전 국가: 주요 데이터 저장 리전은 대한민국. 단, 운영·지원·장애 대응 과정에서 국외 접근이 발생하는 경우 해당 접근 국가

- 이전 일시 및 방법: 서비스 이용 시 네트워크 전송 또는 운영상 접근

- 이전 항목: 회원·매장·손님 요청·이미지 업로드 메타데이터·정책 동의 관련 정보

- 이전 목적: 데이터베이스, 인증, 스토리지, 실시간 통신 인프라 제공

- 보유 및 이용기간: 회원 탈퇴, 위탁계약 종료 또는 본 방침상 보유기간 만료 시까지


2. Vercel Inc.

- 이전 국가: 주요 서비스 실행 리전은 대한민국. 단, 로그·분석·운영 인프라 처리 과정에서 국외 접근이 발생하는 경우 해당 접근 국가

- 이전 일시 및 방법: 서비스 접속 및 서버리스 실행 시 네트워크 전송

- 이전 항목: 접속 로그, 요청 정보, 성능 및 이용 통계

- 이전 목적: 애플리케이션 호스팅, 서버리스 실행, 배포, 웹 분석

- 보유 및 이용기간: 위탁계약 종료 또는 수탁자 보관정책에 따른 기간


3. Cloudflare, Inc.

- 이전 국가: 미국, EU 등 Cloudflare의 글로벌 네트워크 및 운영 인프라 소재 국가

- 이전 일시 및 방법: DNS 질의 처리, DNSSEC 검증, 도메인 보안 설정 적용 또는 회사 업무용 문의 이메일 라우팅 이용 시 네트워크 전송

- 이전 항목: DNS 질의 정보, DNS 레코드 및 도메인 보안 설정 정보, 회사 업무용 문의 이메일 수신·전달 과정에서 처리되는 발신자·수신자 이메일 주소, 메일 헤더 등 기술 정보

- 이전 목적: 권한 DNS, DNSSEC, 도메인 보안 설정, 회사 업무용 문의 이메일 수신·전달

- 보유 및 이용기간: 위탁계약 종료 또는 수탁자 보관정책에 따른 기간


4. Upstash, Inc.

- 이전 국가: 일본(도쿄 리전)

- 이전 일시 및 방법: 요청 제한 적용 시 네트워크 전송

- 이전 항목: IP 기반 또는 세션 해시 기반 rate limit 키, 요청 시각

- 이전 목적: Rate limit 및 분산 키 저장

- 보유 및 이용기간: 각 제한 창 만료 또는 수탁자 보관정책에 따른 기간


5. Functional Software, Inc. (Sentry)

- 이전 국가: EU 리전

- 이전 일시 및 방법: 오류 발생 또는 성능 모니터링 이벤트 발생 시 네트워크 전송

- 이전 항목: 오류 메시지, 스택 트레이스, 요청 경로, 브라우저·기기 정보, 회원 UUID 또는 손님 세션 식별자(서버가 생성한 무작위 UUID), 마스킹된 에러 세션 재현 정보

- 이전 목적: 오류 추적, 성능 모니터링, 장애 분석

- 보유 및 이용기간: 수탁 서비스의 보관 정책에 따라 90일 이내


정보주체는 회사 고객지원 채널을 통해 국외 이전에 관한 문의 또는 거부 의사를 표시할 수 있습니다. 다만 위 국외 이전은 클라우드 인프라, 보안, 오류 분석 등 서비스 제공에 필요한 처리위탁에 해당하므로, 거부 시 서비스의 전부 또는 일부 이용이 제한될 수 있습니다.


제7조 개인정보의 파기 절차 및 방법


1. 파기 절차

- 회사는 보유기간 경과, 처리 목적 달성, 회원 탈퇴 등 개인정보가 불필요하게 된 경우 해당 정보를 파기합니다.

- 법령상 보존이 필요한 정보는 별도 분리하여 보관하고, 보존 목적 외로 이용하지 않습니다.


2. 파기 방법

- 전자적 파일 형태의 정보는 복구 또는 재생이 어렵도록 삭제하거나, 접근 권한을 제거하고 정기 정리 작업을 통해 영구 삭제합니다.

- 결제 빌링키는 결제대행사 API를 통해 폐기하고, 회사 데이터베이스의 결제수단 정보도 삭제합니다.

- 손님 신청곡 및 이미지/메시지 전송 기록 중 운영 통계로 계속 보관할 필요가 있는 정보는 손님 식별 정보와 분리하거나 익명화하여 보관할 수 있습니다.


제8조 정보주체와 법정대리인의 권리 및 행사방법


정보주체는 회사에 대해 다음 권리를 행사할 수 있습니다.


1. 개인정보 열람 요구

2. 개인정보 정정·삭제 요구

3. 개인정보 처리정지 요구

4. 개인정보 처리 동의 철회

5. 관련 법령에서 정하는 개인정보 전송 요구

6. 자동화된 결정에 대한 거부 또는 설명 요구


권리 행사는 회사 이메일로 요청할 수 있으며, 회사는 본인 확인 후 관련 법령에 따라 조치합니다. 다만 다음의 경우 권리 행사가 제한될 수 있습니다.


- 법령상 보관 의무가 있는 경우

- 다른 사람의 생명·신체·재산 기타 권익을 침해할 우려가 있는 경우

- 무료체험 중복 방지, 부정 이용 방지 등 회사의 정당한 이익을 위해 최소한의 가명정보 또는 해시값 보관이 필요한 경우

- 회사가 해당 정보를 보유하고 있지 않거나, 정보주체를 특정할 수 없는 경우


손님 이용자의 경우 회사가 이름, 전화번호, 이메일 등 직접 식별정보를 수집하지 않으므로, 권리 행사 시 요청자와 특정 손님 세션 또는 요청 기록의 관계를 확인하기 어려울 수 있습니다. 이 경우 회사는 보유한 기록 범위 내에서 합리적으로 조치합니다.


제9조 자동화된 결정에 관한 사항


회사는 정보주체에게 법적 효과를 발생시키거나 중대한 영향을 미치는 완전 자동화된 결정을 수행하지 않습니다.


서비스에는 중복 신청 제한, 요청 횟수 제한, 비속어 필터링, 비정상 요청 차단 등 자동화된 운영·보안 규칙이 적용될 수 있습니다. 이는 서비스 안정성 및 부정 이용 방지를 위한 기술적 조치이며, 이용자는 고객지원 채널을 통해 이의제기 또는 검토를 요청할 수 있습니다.


제10조 자동화된 개인정보 수집 장치의 설치·운영 및 거부


서비스는 다음과 같은 쿠키, localStorage, sessionStorage를 사용할 수 있습니다.


- Supabase 인증 쿠키

- 예시: `sb-*-auth-token`

- 목적: 회원 로그인 세션 유지

- 보관기간: 인증 세션 정책에 따름


- 세션 시작 쿠키

- 명칭: `session_started`

- 목적: 회원 세션 최대 30일 제한 관리

- 보관기간: 30일


- 손님 세션 쿠키

- 명칭: `mm-guest`

- 목적: 매장 입장 및 손님 요청 권한 확인

- 보관기간: 6시간


- localStorage

- 예시: `max-music-guest-nickname`, 플레이리스트 재생 위치 등

- 목적: 손님 닉네임 보존, 재생 위치 유지, UI 편의 기능

- 보관기간: 이용자가 브라우저에서 삭제할 때까지


- sessionStorage

- 예시: 플레이어 세션 ID

- 목적: 같은 매장의 다중 재생 기기 충돌 방지

- 보관기간: 브라우저 탭 종료 시까지


이용자는 브라우저 설정을 통해 쿠키 또는 웹 스토리지 저장을 거부하거나 삭제할 수 있습니다. 다만 이 경우 로그인, 매장 입장, 신청곡, 이미지/메시지 전송, 플레이어 제어 등 일부 기능이 제한될 수 있습니다.


회사는 회사 자체 목적으로 맞춤형 광고 또는 행태정보 기반 광고를 운영하지 않습니다. 다만 외부 콘텐츠 플랫폼의 임베드 플레이어, 썸네일, 폰트, CDN 등 외부 리소스를 이용하는 과정에서 해당 외부 사업자가 자신의 정책에 따라 쿠키 또는 유사 기술을 사용할 수 있습니다.


제11조 외부 콘텐츠 플랫폼 이용에 관한 안내


서비스는 회사가 자체 보유한 음원 또는 영상을 전송하는 방식이 아니라, 외부 콘텐츠 플랫폼의 검색 결과, 영상 식별자, 썸네일, 임베드 플레이어 등을 활용하여 매장 운영자가 선택한 콘텐츠의 재생 제어 환경을 제공합니다.


이 과정에서 다음 정보가 처리될 수 있습니다.


- 회원 또는 손님이 입력한 검색어

- 외부 콘텐츠 플랫폼의 영상 ID, 제목, 채널명, 재생시간, 썸네일 URL

- 브라우저가 외부 콘텐츠 플랫폼, 썸네일 CDN, 플레이어 도메인으로 직접 전송하는 접속 정보


외부 콘텐츠 플랫폼에서 이루어지는 개인정보 처리, 쿠키 사용, 광고 또는 통계 처리는 해당 외부 사업자의 개인정보처리방침 및 약관에 따릅니다.


제12조 민감정보 및 고유식별정보 처리 제한


회사는 주민등록번호, 운전면허번호, 여권번호, 외국인등록번호 등 고유식별정보와 건강, 사상·신념, 정치적 견해 등 민감정보를 서비스 목적상 요구하지 않습니다.


이용자가 이미지/메시지 전송 기능을 통해 제3자의 얼굴, 신분증, 민감정보, 고유식별정보가 포함된 콘텐츠를 임의로 업로드하는 경우, 회사는 신고 접수 또는 운영상 확인 시 해당 콘텐츠를 삭제하거나 접근을 제한할 수 있습니다. 회사는 해당 콘텐츠를 서비스 목적상 의도적으로 수집하는 것이 아니며, 보유한 자료 범위 내에서 피해 신고 및 적법한 기관 요청에 협조합니다.


회사는 손님의 연령을 별도로 확인하지 않으며, 만 14세 미만 아동의 개인정보가 포함된 이미지 또는 메시지를 의도적으로 요구하지 않습니다. 회원은 매장 운영 상황에 따라 아동이 법정대리인 동의 없이 개인정보가 포함된 콘텐츠를 전송하지 않도록 안내·관리해야 합니다.


제13조 가명정보 및 해시 처리에 관한 사항


회사는 무료체험 중복 이용 방지, 손님 요청의 중복·남용 방지, 정책 동의 이력 관리, 보안 사고 대응을 위해 일부 식별자를 단방향 해시 또는 가명처리 방식으로 처리할 수 있습니다.


회사는 통계작성, 과학적 연구 또는 공익적 기록보존 목적으로 별도의 가명정보 결합 또는 외부 제공을 하지 않습니다. 향후 이러한 처리가 필요한 경우 관련 법령에 따라 처리 목적, 항목, 보유기간, 안전성 확보조치 등을 별도로 공개합니다.


제14조 생성형 AI 학습 이용 여부


회사는 이용자가 서비스에 입력·전송한 신청곡, 메시지, 이미지, 닉네임, 매장 정보 등을 생성형 AI 모델 학습 목적으로 이용하지 않습니다.


향후 생성형 AI 기능을 도입하거나 이용자 입력 정보를 AI 모델 학습 또는 성능 개선 목적으로 이용하게 되는 경우, 회사는 관련 법령 및 개인정보보호위원회 기준에 따라 처리 목적, 처리 항목, 거부 방법 등을 사전에 고지하고 필요한 경우 동의를 받습니다.


제15조 개인정보의 안전성 확보 조치


회사는 개인정보의 안전성 확보를 위해 다음 조치를 취합니다.


1. 관리적 조치

- 개인정보 접근 권한 최소화

- 운영자 접근 통제

- 개인정보 처리 업무의 기록 및 점검


2. 기술적 조치

- SSL/TLS 암호화 통신

- 인증 쿠키 HttpOnly, Secure, SameSite 설정

- 소셜 로그인 식별자의 salted SHA-256 해시 처리

- 손님 세션 식별자의 SHA-256 해시 저장

- 결제 빌링키 암호화 저장

- Row Level Security 및 서버 전용 권한 분리

- 요청 횟수 제한, CSRF 방어, 콘텐츠 보안 정책 적용

- Sentry Session Replay 텍스트 마스킹 및 미디어 차단 설정


3. 물리적 조치

- 물리적 서버 및 데이터센터 보안은 클라우드·인프라 수탁자의 보안 정책에 따릅니다.


제16조 개인정보 보호책임자


회사는 개인정보 처리에 관한 업무를 총괄하고 개인정보 관련 문의, 불만 처리, 피해 구제를 위하여 아래와 같이 개인정보 보호책임자를 지정합니다.


- 개인정보 보호책임자: 최성민

- 소속/직위: 패스토랩스 대표

- 이메일: support@maxmusic.kr


제17조 권익침해 구제방법


정보주체는 개인정보 침해에 대한 상담 또는 피해 구제를 위해 다음 기관에 문의할 수 있습니다.


- 개인정보분쟁조정위원회: 1833-6972, www.kopico.go.kr

- 개인정보침해신고센터: 국번없이 118, privacy.kisa.or.kr

- 대검찰청: 국번없이 1301, www.spo.go.kr

- 경찰청 사이버범죄 신고시스템: 국번없이 182, ecrm.police.go.kr


제18조 개인정보처리방침의 변경


회사가 개인정보처리방침을 변경하는 경우 변경 내용과 시행일을 서비스 화면 또는 웹사이트를 통해 공개합니다. 정보주체의 권리 또는 의무에 중대한 영향을 미치는 변경이 있는 경우에는 관련 법령에서 정한 방식에 따라 사전 고지하거나 필요한 경우 동의를 받습니다.