개인정보처리방침

시행일자: 2026-05-24

샤우트(이하 “본 서비스”)는 「개인정보 보호법」 등 관련 법령을 준수하며, 정보주체의 개인정보를 안전하게 보호하기 위해 다음과 같은 처리방침을 두고 있습니다.

1. 처리하는 개인정보의 항목

본 서비스는 다음의 개인정보 항목을 처리합니다.

(1) 회원 가입 및 인증

이메일 주소
비밀번호 (해시 처리되어 저장됨)
Supabase 사용자 식별자

(2) 키보드 입력 캡처

샤우트 키보드의 한국어 입력 모드에서 사용자가 입력한 한글 텍스트 (한글 문자가 1자 이상 포함된 경우에 한함)
안전 입력 필드(isSecureTextEntry가 true인 비밀번호 등), 이름 필드(전체/접두사/접미사/이름/중간이름/성/별칭), 이메일 필드, 전화번호 필드, URL 필드, 사용자명 필드, 신용카드 번호 필드, 일회용 인증번호 필드, 주소 필드(전체 주소/주소 1행/주소 2행/시/도/우편번호/국가), 조직명 필드, 직책 필드, 일시/항공편 번호/배송 추적 번호 필드 등 27개 콘텐츠 유형 및 숫자 키패드/전화 키패드/소수점 키패드/이름·전화 키패드/이메일 키보드/URL 키보드/숫자 키패드(ASCII) 등 7개 키보드 유형은 캡처 대상에서 제외됩니다.

(3) 학습 데이터

캡처된 한글 텍스트로부터 생성된 학습 카드 (한국어 원문, 영문 번역, 중점 항목, 연습 문제 등)

(4) 푸시 알림

APNs(Apple Push Notification service) 기기 토큰
푸시 알림 전송 로그 (전송 상태, 시도 시각 등)

본 서비스는 위 항목 외에 기기 식별자, 위치 정보, 광고 식별자, 사용 통계, 행동 데이터 등을 일체 수집하지 않습니다. 제3자 분석 SDK도 통합하지 않습니다.

2. 개인정보의 처리 목적

본 서비스는 수집한 개인정보를 다음 목적을 위해 처리하며, 목적 외 용도로는 이용하지 않습니다.

계정 인증 및 관리
사용자가 자연스럽게 입력한 한국어 텍스트를 분석하여 개인 맞춤형 영어 학습 카드 생성
생성된 학습 카드를 푸시 알림 및 앱 내 덱(deck)을 통해 제공

3. 개인정보의 보유 및 이용 기간

캡처된 한글 텍스트 및 생성된 학습 카드: 사용자가 개별 학습 카드를 삭제하거나 계정 전체를 삭제할 때까지 보유
계정 정보 (이메일, 비밀번호 해시, 사용자 식별자): 계정 삭제 시까지 보유. 계정 삭제 시 모든 관련 학습 데이터가 데이터베이스의 ON DELETE CASCADE 제약에 따라 즉시 함께 삭제됩니다.
APNs 기기 토큰: 사용자가 알림 권한을 해제하거나 계정을 삭제할 때까지 보유

4. 개인정보의 제3자 제공

본 서비스는 정보주체의 동의 없이는 개인정보를 제3자에게 제공하지 않습니다.

5. 개인정보처리의 위탁

본 서비스는 원활한 서비스 제공을 위해 다음과 같이 개인정보 처리 업무를 외부 사업자에게 위탁하고 있습니다.

수탁업체	위탁 업무	위탁 항목	보관 위치
Vercel Inc.	학습 카드 생성 API 호스팅	캡처된 한글 텍스트, 인증 토큰 (전송·처리 시점에 한함, Vercel 저장소에 영구 저장되지 않음)	미국
Google LLC (Gemini API)	한글 텍스트로부터 영어 학습 카드 생성을 위한 자연어 처리	캡처된 한글 텍스트	미국
Supabase Inc.	인증 및 데이터베이스 호스팅	이메일, 비밀번호 해시, 사용자 식별자, 학습 카드, APNs 기기 토큰	미국
Apple Inc.	푸시 알림 전송 (APNs)	APNs 기기 토큰, 알림 페이로드(학습 카드 미리보기)	미국

수탁업체와의 계약 시 「개인정보 보호법」에 따라 개인정보가 안전하게 처리되도록 필요한 사항을 규정하고 있으며, 위탁 처리 사실은 본 처리방침을 통해 공개합니다.

본 서비스는 Google Gemini API를 유료로 이용하고 있으며, Google의 Gemini API 이용약관에 따라 본 서비스에서 전송된 데이터는 Google의 머신러닝 모델 학습에 사용되지 않습니다.

6. 개인정보의 국외 이전

본 서비스의 수탁업체는 모두 미국에 소재하므로 개인정보가 미국으로 이전됩니다.

이전되는 항목: 위 제5조 표 참조
이전 국가: 미국
이전 일시 및 방법: 사용자가 한글 텍스트를 캡처하는 시점 또는 계정 활동 시점에 HTTPS를 통해 실시간으로 이전됨
수탁업체 정보: 위 제5조 표 참조
이용 목적 및 보유 기간: 본 처리방침 제2조 및 제3조 참조

7. 정보주체와 법정대리인의 권리·의무 및 행사방법

정보주체는 언제든지 다음의 권리를 행사할 수 있습니다.

개인정보 열람: 앱 내 덱(deck) 화면에서 본인의 학습 카드 전체 열람
개별 학습 카드 삭제: 덱 화면에서 카드를 길게 눌러 삭제
계정 및 전체 데이터 삭제: 앱 내 “계정” → “계정 삭제” 메뉴
처리 정지: 로그아웃 또는 계정 삭제
알림 권한 철회: iOS 설정 → 알림 → Shout
키보드 접근 권한 철회: iOS 설정 → 일반 → 키보드 → 키보드 → Shout → “전체 접근 허용” 해제

위 권리 행사 시 즉시 효력이 발생하며, 별도의 처리 기간을 두지 않습니다. 계정 삭제 시 관련 학습 데이터는 Supabase 데이터베이스의 ON DELETE CASCADE 제약에 따라 즉시 함께 삭제됩니다.

8. 개인정보의 안전성 확보 조치

본 서비스는 「개인정보 보호법」 제29조에 따라 다음의 안전성 확보 조치를 실시하고 있습니다.

(1) 기술적 조치

전송 구간 암호화: HTTPS (TLS) 적용
비밀번호 암호화: Supabase의 표준 해시 알고리즘 적용
인증 토큰 보호: iOS Keychain Services에 저장 (사용 가능한 경우 하드웨어 보안 모듈 활용)
접근 제어: Supabase의 행 수준 보안(Row-Level Security)을 통해 정보주체가 본인의 데이터에만 접근 가능하도록 제한

(2) 관리적 조치

캡처 최소화: 키보드 단계에서 한국어 입력 모드가 아닌 입력, 안전 입력 필드 입력, 34개 캡처 제외 대상 필드 유형의 입력은 서버로 전송되지 않도록 구조적으로 차단
최소 수집 원칙: 기기 식별자, 위치 정보, 광고 식별자 등 학습 카드 생성에 불필요한 정보는 일체 수집하지 않음

9. 개인정보 보호책임자

본 서비스는 정보주체의 개인정보를 보호하고 개인정보와 관련된 불만을 처리하기 위해 다음과 같이 개인정보 보호책임자를 지정합니다.

성명: 길윤재 (Yoonjae Kil)
연락처: privacy@shout.company

정보주체는 본 서비스를 이용하면서 발생한 모든 개인정보 보호 관련 문의, 불만 처리, 피해 구제 등에 관한 사항을 위 연락처로 문의하실 수 있으며, 본 서비스는 정보주체의 문의에 대해 지체 없이 답변 및 처리해 드리겠습니다.

10. 만 14세 미만 아동의 개인정보

본 서비스는 만 14세 미만 아동을 대상으로 하지 않으며, 만 14세 미만 아동의 개인정보를 의도적으로 수집하지 않습니다. 만 14세 미만 아동이 본 서비스를 이용한 것이 확인되는 경우, 해당 계정 및 관련 데이터를 즉시 삭제합니다.

11. 개인정보처리방침의 변경

본 처리방침은 법령, 정책 또는 서비스 변경에 따라 개정될 수 있으며, 개정 시 변경 사항을 앱 내 공지 또는 이메일을 통해 사전에 안내합니다. 본 처리방침의 시행일은 상단에 명시되어 있습니다.

12. 권익침해 구제방법

정보주체는 개인정보 침해에 대한 신고 및 상담을 위해 아래 기관에 문의하실 수 있습니다.

개인정보분쟁조정위원회: (국번없이) 1833-6972 (www.kopico.go.kr)
개인정보침해신고센터: (국번없이) 118 (privacy.kisa.or.kr)
대검찰청 사이버수사과: (국번없이) 1301 (www.spo.go.kr)
경찰청 사이버수사국: (국번없이) 182 (cyberbureau.police.go.kr)

— English version below —

Privacy Policy

Effective date: 2026-05-24

Shout (the “Service”) complies with the Personal Information Protection Act (“PIPA”) of the Republic of Korea and other applicable laws. This Privacy Policy describes how the Service processes its users’ personal information.

1. Categories of personal information processed

The Service processes the following categories of personal information:

(1) Account registration and authentication

Email address
Password (stored as a hash)
Supabase user identifier

(2) Keyboard input capture

Korean (Hangul) text typed by the user in the Korean input mode of the Shout keyboard, only when the captured text contains at least one Hangul codepoint.
The Service silently excludes capture from 34 field types via UIKit content-type and keyboard-type checks: all name variants (full/prefix/suffix/given/middle/family/nickname), email, phone, URL, username, password, newPassword, credit card, one-time code, all address components, organization, job title, dateTime, flight number, shipment tracking, plus phonePad / numberPad / decimalPad / namePhonePad / emailAddress / URL / asciiCapableNumberPad keyboard types.
Text typed in secure fields (where isSecureTextEntry is true) is filtered in two independent layers and is never transmitted.

(3) Generated learning data

Lesson cards derived from captured Korean text, including the original Korean source text, English translation, focus item, and exercise content.

(4) Push notifications

Apple Push Notification service (APNs) device token
Notification delivery logs (delivery status, attempt timestamps)

The Service does not collect device identifiers, location data, advertising identifiers, usage analytics, behavioral data, or any information beyond the items listed above. The Service does not integrate any third-party analytics SDK.

2. Purpose of processing

The Service processes collected personal information for the following purposes only, and does not use personal information for any other purpose:

Account authentication and management
Generating personalized English-learning content from Korean text the user has naturally typed
Delivering generated learning content via push notifications and the in-app deck

3. Retention and use period

Captured Korean text and generated learning cards: retained until the user deletes the individual card or deletes their account.
Account information (email, password hash, user identifier): retained until account deletion. When the account is deleted, all related learning data is immediately deleted from the database via the ON DELETE CASCADE constraint.
APNs device token: retained until the user revokes notification permission or deletes the account.

4. Provision to third parties

The Service does not provide personal information to third parties without the user’s consent.

5. Entrustment of processing

The Service entrusts the following processors with limited data processing tasks:

Processor	Task	Data items	Location
Vercel Inc.	Hosts the lesson-generation API	Captured Korean text and authentication token (in transit and during processing only; not permanently stored on Vercel)	USA
Google LLC (Gemini API)	Natural-language processing to generate English lessons from Korean text	Captured Korean text	USA
Supabase Inc.	Authentication and database hosting	Email, password hash, user identifier, lesson cards, APNs device token	USA
Apple Inc.	Push notification delivery (APNs)	APNs device token, notification payload (lesson preview)	USA

Contracts with these processors include the data protection requirements mandated by PIPA, and entrustment is disclosed through this Privacy Policy.

The Service uses a paid Google Gemini API account. Per Google’s Gemini API terms, data transmitted by the Service is not used to train Google’s machine learning models.

6. Cross-border transfer of personal information

All processors used by the Service are located in the United States, which results in cross-border transfer of personal information.

Items transferred: see Section 5
Country: United States
Time and method of transfer: in real time via HTTPS at the moment the user captures Korean text or performs account activity
Processor information: see Section 5
Purpose and retention period: see Sections 2 and 3

7. User rights and how to exercise them

You may exercise the following rights at any time:

Access your data: view all your lesson cards in the in-app deck
Delete individual lesson cards: long-press a card in the deck
Delete your account and all associated data: in-app menu Account → Delete Account
Stop processing: sign out or delete your account
Revoke notification permission: iOS Settings → Notifications → Shout
Revoke keyboard Full Access: iOS Settings → General → Keyboard → Keyboards → Shout → toggle off “Allow Full Access”

These actions take effect immediately with no processing delay. Account deletion cascades through the Supabase database via the ON DELETE CASCADE constraint, immediately deleting all related learning data.

8. Security measures

In accordance with Article 29 of PIPA, the Service implements the following security measures:

(1) Technical measures

Encryption in transit: HTTPS (TLS) throughout
Password encryption: standard hash algorithm via Supabase
Authentication token protection: stored in iOS Keychain Services (with hardware security module where available)
Access control: Supabase Row-Level Security ensures users can only access their own data

(2) Administrative measures

Capture minimization: at the keyboard layer, input outside Korean input mode, input in secure fields, and input in 34 non-target field types is structurally blocked from being transmitted
Data minimization: the Service does not collect device identifiers, location, advertising identifiers, or other information not necessary for lesson generation

9. Privacy Officer

The Service designates the following privacy officer to protect users’ personal information and to handle related inquiries and complaints:

Name: Yoonjae Kil (길윤재)
Contact: privacy@shout.company

Users may contact the privacy officer at the address above for any inquiries, complaints, or remedies related to personal information arising from use of the Service. The Service will respond to all such inquiries without undue delay.

10. Children under 14

The Service is not intended for children under 14 and does not intentionally collect personal information from children under 14. If it is discovered that a child under 14 has used the Service, the account and all related data will be deleted immediately.

11. Changes to this Privacy Policy

This Privacy Policy may change due to changes in law, Service policies, or Service features. When changes are made, the Service will notify users in advance through in-app announcements or email. The effective date of this Privacy Policy is shown at the top of this document.

12. Remedies for rights infringement

For reports and consultation regarding personal information infringement, you may contact the following Korean agencies:

Personal Information Dispute Mediation Committee: 1833-6972 (www.kopico.go.kr)
Personal Information Infringement Reporting Center: 118 (privacy.kisa.or.kr)
Supreme Prosecutors’ Office Cyber Investigation Division: 1301 (www.spo.go.kr)
National Police Agency Cyber Investigation Bureau: 182 (cyberbureau.police.go.kr)