개인정보처리방침
시행일: 2026년 4월 24일 (v3.2) — my-fit 점수 구조 재설계(가중 평균 → 키워드 유사도 단일) + 졸업생 집계 공개 차원 추가
1. 개요
LabScout(랩스카우트, 이하 "서비스")는 공개 학술 데이터를 집계·시각화하여 대학원 진학을 고려하는 이용자에게 연구실 탐색 도구를 제공하는 서비스입니다. 본 개인정보처리방침은 서비스 이용 과정에서 수집·처리되는 개인정보에 관한 사항을 개인정보 보호법 제30조에 따라 공개합니다.
2. 수집하는 개인정보
가. 회원 가입 시 수집 정보
서비스는 Supabase Auth를 통해 다음 소셜 로그인 및 이메일 인증을 지원하며, 로그인 과정에서 아래 정보를 수집합니다.
- Google OAuth: 이메일 주소, 표시 이름, 프로필 이미지 URL
- Kakao OAuth: 이메일 주소, 표시 이름, 프로필 이미지 URL
- 이메일 매직 링크: 이메일 주소
수집한 이메일은 회원 식별에, 표시 이름과 프로필 이미지 URL은 /account/settings의 계정 프로필 표시에 사용됩니다. 표시 이름·프로필 이미지는 서비스 내부 DB에 별도 저장되지 않고 Supabase Auth 세션에서 직접 읽어 렌더링합니다.
나. 서비스 이용 중 자동 수집 정보 (수집 주체별 구분 고지)
Vercel Inc. (미국) — 호스팅·배포
- IP 주소
- User-Agent (브라우저·기기 정보)
- 방문 URL 및 referrer
- 방문 시각
- HTTP 응답 상태
Supabase Inc. (미국/싱가포르) — DB·Auth·Storage
- 인증 세션 쿠키 (httpOnly, 세션 유지용)
- Supabase 사용자 ID (로그인 시)
- 북마크·알림·my-fit 프로필 (이용자가 명시적으로 생성한 데이터)
PostHog Inc. (미국) — 이용 통계 분석 · 이용자 명시 동의 시에만
- 페이지 방문 이벤트
- 사용자 ID (로그인 이용자 식별 — identified_only 모드)
- 에러 스택 트레이스 (동의 시 장애 진단 목적)
수집 거부: 서비스 내 쿠키 설정 배너 또는 `/account/settings`. 기본값은 전면 opt-out이며, 이용자의 명시적 동의 이전에는 어떠한 데이터도 PostHog로 전송되지 않습니다.
3. 학술 데이터의 수집 및 이용
서비스에서 제공하는 연구실 정보는 다음과 같은 공개 출처에서 수집됩니다. 수집은 대법원 2016.8.17. 선고 2014다235080 판결 법리 (정보주체가 공개한 개인정보의 객관적으로 인정되는 범위 내 처리)에 따라 운영됩니다.
- KCI (한국학술지인용색인): 국내 학술 논문 정보
- OpenAlex / DBLP / PubMed: 국제 학술 논문 및 인용 정보
- 대학교 공개 웹페이지: 연구실, 교수, 학생 구성 정보
3.1 크롤러 식별
당사의 크롤러는 LabScoutBot/1.0 (+https://labscout.net/bot) User-Agent를 사용하며, 각 대학 서버 운영자는 robots.txt 또는 이메일(contact@labscout.net) 요청으로 수집 제외를 요청할 수 있습니다. 수집된 데이터에 개인정보에 해당하는 정보가 포함된 경우, 본인 또는 법정대리인은 제8조에 따라 열람·정정·삭제·처리정지를 요청할 수 있습니다.
4. AI 기반 요약 및 분석
4.1 활용 범위
당사는 Anthropic PBC의 Claude API를 활용하여 논문 초록 기반 요약, 연구 키워드 추출, 연구실 변화 분석 등의 AI 생성 콘텐츠를 제공합니다. 모든 AI 생성 콘텐츠에는 "AI 생성" 표시가 부착되며, 원문 링크가 함께 제공됩니다.
4.2 전송되는 정보
AI 콘텐츠 생성 시 Anthropic PBC(미국)에 전송되는 정보는 다음과 같으며, 모두 연구실·교수 공식 홈페이지 및 공개 학술 데이터베이스 (OpenAlex·DBLP·PubMed·KCI)에 이미 공개되어 있는 정보입니다.
- 교수 성명·소속 대학·학과명
- 연구 분야 키워드 (집계 수준)
- 논문 메타데이터 (제목, 초록, 연도, 저널명)
위 정보는 대법원 2014다235080 판결(2016.8.17.)이 인정한 "정보 주체의 객관적 공개 의사 범위 내"에 해당하는 공개 정보로서, 개인정보 보호법 제15조·제17조에 따른 별도 동의 없이 처리 가능한 항목입니다.
4.3 국외 이전 세부 사항
- 이전받는 자: Anthropic PBC (문의: privacy@anthropic.com)
- 이전되는 국가: 미합중국
- 이전 시기 및 방법: HTTPS 암호화 통신, 배치 처리 (주기적)
- 이용 목적: AI 요약·분석 결과 생성
- 보유·이용 기간: Anthropic의 상업적 이용 약관에 따른 보관 기간 (표준 30일) 후 자동 파기
4.4 자동화 결정(my-fit)의 기준·절차 공개 및 거부권 (개인정보 보호법 제37조의2)
다음의 자동화된 결정(my-fit 적합도 점수 산출)은 LabScout 회원(로그인 이용자) 중 my-fit 기능을 사용하는 정보주체를 대상으로 이루어지며, 그 목적은 회원이 입력한 연구 관심사와 학위 목표에 부합하는 연구실을 추천하는 것입니다. 개인정보 보호법 제37조의2 제4항 및 같은 법 시행령 제44조의4 제1항 각 호에 따라 (1) 결정이 이루어진다는 사실·목적·대상, (2) 사용되는 주요 개인정보 유형과 결정의 관계, (3) 고려사항과 처리 절차, (4) 민감정보·14세 미만 아동 개인정보 처리 여부, (5) 거부·설명 요구의 방법·절차를 아래와 같이 공개합니다.
- 입력: 회원이
/account/settings에서 직접 입력한 관심 연구 분야 키워드, 선호 대학·학과, 최소 논문 수, 학위 목표. - 주 점수(유일한 정렬 기준): 연구실 키워드와 회원 관심 분야의 문자열 유사도(pg_trgm)를 0~100% 로 환산한 값. 여러 관심 분야가 입력된 경우 관심 분야별 최댓값을 산술 평균. 이 값만이 결과 목록의 정렬 기준이며, 가중 평균 종합 점수는 만들지 않습니다.
- 보조 공개 차원(점수에 반영되지 않는 참고 정보): ① 졸업생 진로 카테고리 매칭(회원이 선호 진로를 선택한 경우), ② 현재 재학 중 학생 수 기반 랩 규모(소/중/대), ③ 교수 단계(첫 논문 연도 기준 신진/시니어), ④ 최근 5년 졸업생 집계(개인정보 보호법 제58조의2에 따른 가명처리 기준에 부합하도록 5명 이상조건을 충족한 연구실에 한해 숫자 공개, 1~4명은 "익명성 보호를 위해 비공개"로 표기). 데이터가 없는 차원은 "정보 부족"으로 정직하게 표시하며, 빈 차원을 0점으로 환산해 점수에 섞지 않습니다.
- 출력: 회원에게 최대 20개 연구실의 주 점수와 차원별 근거 문장. 가중 평균 종합 점수는 2026-04-11 재설계로 삭제되었으며 복원 계획이 없습니다.
- 민감정보·아동 개인정보: my-fit은 민감정보(사상·신념·병력·유전정보 등) 또는 14세 미만 아동의 개인정보를 수집·처리하지 않습니다. 만 14세 미만은 회원가입 자체가 제한됩니다.
- 거부권: 회원은
/account/settings에서 my-fit 계산 대상에서 즉시 제외할 수 있습니다. 제외 시 검색·비교 기본 기능은 유지됩니다. - 설명 요구 및 인적 개입 재처리: contact@labscout.net으로 요청 시 7일 이내 처리합니다.
- 교수 본인의 AI 생성 대상 제외 요청은 본인 인증 절차가 완료되기 전까지는 동일 이메일로 접수합니다.
5. 개인정보의 이용 목적
- 서비스 회원 관리 및 인증
- 오류 신고 접수·처리 및 임시조치 대응
- 서비스 이용 통계 분석 (이용자 동의 시)
- 서비스 개선 및 안정적 운영
- AI 기반 요약·분석 콘텐츠 생성
6. 개인정보의 보유·파기 및 유출 통지
회원 탈퇴 시 수집된 개인정보는 개인정보 보호법 제21조에 따라 지체 없이 파기됩니다. 단, 관련 법령에 따라 보존이 필요한 경우 해당 기간 동안 보관 후 파기합니다.
- 오류 신고 기록: 처리 완료 후 1년간 보관 (이용자 식별자 익명화)
- 서비스 이용 로그: 3개월간 보관 후 파기
- AI 생성 콘텐츠: 원 학술 데이터가 갱신·삭제되면 자동 재생성·제거
개인정보 유출·도난·분실 등의 사고가 발생하거나 인지한 경우, 개인정보 보호법 제34조 제1항(정보주체 통지) 및 같은 법 시행령 제40조(72시간 내 보호위원회 신고)에 따라 지체 없이 정보주체에게 통지하고 개인정보보호위원회에 신고합니다.
7. 쿠키 및 자동 수집 장치의 설치·운영·거부
서비스는 다음 목적으로 쿠키를 사용합니다.
- 인증 세션 쿠키: Supabase Auth 로그인 세션 유지 (httpOnly, 보안 쿠키)
- PostHog 분석 쿠키: 이용자 명시 동의 후에만 설정됨. 쿠키 설정 배너 또는 브라우저 설정에서 거부 가능
브라우저 설정에서 쿠키 전체 거부 시 일부 기능(예: 자동 로그인 유지)이 제한될 수 있습니다.
8. 이용자 및 정보주체의 권리 (개인정보 보호법 제35조~제37조의2)
이용자 및 정보주체(서비스에 포함된 교수·학생 등)는 다음의 권리를 행사할 수 있습니다.
- 열람권 (제35조) — 본인에 관하여 처리되고 있는 개인정보의 열람을 요구할 수 있습니다. 회원은 `/account/settings`에서 본인 정보 및 다운로드 요청 가능 (Week 1 내 제공 예정).
- 정정·삭제권 (제36조) — 정보가 부정확하거나 갱신이 필요한 경우 정정·삭제를 요청할 수 있습니다.
- 처리정지 요구권 (제37조) — 처리에 대한 정지를 요구할 수 있습니다.
- 자동화된 결정에 대한 권리 (제37조의2) — AI 기반 자동화 결정에 대한 거부권 및 설명 요구권, 인적 개입에 의한 재처리 요구권을 가집니다.
권리 행사는 제10조의 연락처 또는 /account/settings에서 가능하며, 요청 접수 후 10일 이내에 처리 결과를 통지합니다.
9. 개인정보의 국외 수탁 및 이전
개인정보 보호법 제26조(위탁) 및 제28조의8(국외 이전)에 따라 다음 수탁자에게 개인정보 처리를 위탁하며, 위탁자·수탁자 모두 국외에 소재합니다.
| 수탁자 | 국가 | 이전 항목 | 이용 목적 | 보유 기간 | 거부 방법 |
|---|---|---|---|---|---|
| Vercel Inc. | 미국 | 이메일, IP, User-Agent, 세션 | 호스팅·배포 | 회원 탈퇴 시까지 | 서비스 이용 중단 |
| Supabase Inc. | 미국/싱가포르 | 이메일, 세션, 북마크, my-fit 프로필 | DB·Auth·Storage | 회원 탈퇴 시까지 | 서비스 이용 중단 |
| Anthropic PBC | 미국 | 교수 실명·소속·학과, 논문 메타데이터 | AI 요약 생성 | 약 30일 후 자동 파기 | 이메일 접수 (본인 인증 후) |
| PostHog Inc. | 미국 | IP, User-Agent, 이벤트, 사용자 ID(동의 시) | 분석 | 최대 90일 | 쿠키 설정 배너 |
| ImprovMX SAS | 프랑스 (EU) | 수신 이메일 주소·제목·본문 (문의 메일 포워딩) | contact@labscout.net 이메일 포워딩 | 전송 직후 삭제 (포워딩 버퍼) | 다른 수신 주소로 연락 |
위 수탁자 각각과 별도 Data Processing Agreement(DPA)를 체결하여 개인정보 보호법 제26조가 요구하는 서면 계약 요건을 충족합니다. DPA 사본은 요청 시 제10조의 연락처로 제공 가능합니다.
10. 개인정보 보호책임자 및 연락처
개인정보 보호법 제31조에 따라 다음과 같이 개인정보 보호책임자를 지정합니다.
- 서비스명: LabScout (랩스카우트)
- 개인정보 보호책임자: 최주현
- 이메일: contact@labscout.net
개인정보 침해에 관한 분쟁 조정이 필요한 경우 아래 기관에 상담을 요청할 수 있습니다.
- 개인정보 분쟁조정위원회: 1833-6972 (privacy.go.kr)
- 개인정보침해 신고센터: 118 (privacy.kisa.or.kr)
- 대검찰청 사이버수사과: 1301 (spo.go.kr)
- 경찰청 사이버수사국: 182 (police.go.kr)
11. 방침 변경 이력
본 개인정보처리방침은 법령 변경 또는 서비스 정책 변경에 따라 수정될 수 있으며, 주요 변경 시 시행 7일 전(이용자에게 불리한 변경의 경우 30일 전)에 서비스 내 공지합니다.
| 버전 | 시행일 | 주요 변경 |
|---|---|---|
| v3.2 | 2026-04-24 | §4.4 my-fit 점수 구조 재서술. 가중 평균 종합 점수를 pg_trgm 키워드 유사도 단일 점수로 교체하고, 졸업생 집계를 5번째 보조 공개 차원으로 추가(개인정보 보호법 제58조의2 가명처리·통계 기준에 따라 5명 이상 연구실에 한해 공개, 1~4명은 익명성 보호로 비공개). "가중치" 문구 삭제. 연구비 언급 정리(2026-04-22 NTIS 수집 중단에 맞춤). |
| v3.1 | 2026-04-21 | §9 수탁자 표에 ImprovMX SAS(프랑스, 이메일 포워딩) 추가. §4.4 자동화 결정 기준·입력·가중치·출력을 개인정보 보호법 제37조의2 제4항에 따라 상세 공개. §6 유출 통지·신고 조문 인용을 제34조 제1항+시행령 제40조로 명확화. 제8조 오류 신고 처리 문구를 "서비스 품질 정책"으로 정정(§44-2 요건 해당 시 별도 적용). |
| v3.0 | 2026-04-21 | Phase 1 자진규제 철회. 대법원 2021도1533(야놀자, 2022.5.12.) 및 2014다235080(로앤비, 2016.8.17.) 판례 재검토 결과 위법 사실 없음 확인. §3.1 robots.txt 예외 고백 문단, §4.2 AI 신규 생성 일시 중단, §4.3 제28조의2 가명처리 근거 인용을 삭제. 4.3(국외 이전 세부)은 번호 승격. |
| v2.2 | 2026-04-20 | §4 AI 가명처리 개정(이후 v3.0에서 철회) |
| v2.1 | 2026-04-20 | 이용약관(/terms) 동시 시행 draft v1.0 공개, /account/settings 자기권리 UI 운영 개시 (열람·정정· 처리정지·자동화 결정 거부·즉시 파기), Footer에 사업자등록번호 표기, /admin/reports 모더레이션 + 24시간 자동 비공개 정책 (서비스 품질 차원 — 사생활 침해·명예훼손 신고는 정통망법 §44-2 별도 적용) |
| v2.0 | 2026-04-19 | PostHog·Anthropic·Supabase·Vercel 국외 수탁/이전 고지 추가, 자동 수집 항목 상세화, robots.txt 과거 예외 투명 공개, PIPA §35/§36/§37/§37-2 권리 명시, 개인정보 보호책임자 지정, 학생 개별 식별 정보 렌더 중단 |
| v1.0 | 2026-03-24 | 최초 시행 |