This Privacy Policy complies with the "Personal Information Protection Act" and related laws and regulations to protect the freedom and rights of information subjects (users) who use Upstage Co., Ltd.(collectively the "Company")'s official website(collectively the "Homepage"), the Upstage Console service(collectively the "Console"), the Upstage AI space(collectively the "AI space") and the Upstage AI Education (collectively the "AI Education") to process and safely manage personal information legally. In compliance with Article 30 of the Personal Information Protection Act, Upstage establishes and discloses the following privacy policy to inform information subjects of the procedures and standards for processing personal information and to handle grievances promptly and smoothly.
Disclaimer: Governing law
So, as you know, the laws and regulations of the Republic of Korea have formulated this privacy policy. While it applies to our global operations, the policy is primarily governed by South Korean legal standards and practices. Users outside of South Korea should be aware that the policy might reference legal concepts and frameworks specific to South Korea, which may differ from local laws.
1. Purpose, items, and retention period of personal information processing
The Company processes personal information for the following purposes. It obtains the data subject's consent for processing their personal information items by Article 15 Paragraph 1 Clause 1 and Article 22 Paragraph 1 Clause 7 of the Personal Information Protection Act. If the purpose of use changes, the Company will take necessary measures such as obtaining separate consent by Article 18 of the Personal Information Protection Act.
A. Membership registration and management: Until the member withdraws
However, in the following cases, until the end of the relevant reason
- If there is an ongoing investigation or inquiry due to a violation of related laws, until the end of the investigation or inquiry
- If there is a remaining debt or credit relationship due to the service use until the settlement of the debt or credit relationship
B. Provision of goods or services: Until the completion of the supply of goods or services and the payment and settlement of fees
C. Non-member services: Information collected through non-member services will be retained for one year and deleted thereafter in accordance with our Privacy Policy.
- However, if a non-member requests deletion through a personal information access request, it will be deleted without delay.
However, in the following cases, until the end of the relevant period
- Records related to transactions, such as labeling and advertising, contract details, and fulfillment, pursuant to Article 6 of the Act on Consumer Protection in Electronic Commerce, etc.
- Records on display and advertisement: 6 months
- Records on contract or withdrawal of the offer, payment of the price, and supply of goods, etc.: 5 years
- Records on consumer complaints or dispute resolution: 3 years
- Retention of communication data in accordance with Article 15-2, Paragraph 2 of the Communications Secrets Protection Act:
- Service usage records, access logs, access IP addresses: 3 months
2. Children's Privacy
a. We do not intend for our websites or online services to be used by anyone under the age of 14. We do not knowingly collect, sell, or share information of the ages of 14. If you are a parent or guardian and believe we may have collected information about your child, please contact us immediately as described in this Policy's "10. Chief Privacy Officer and Personal Information Disclosure Claim" section. For more information, please see our Terms of Use.
3. Entrustment of personal information processing
a. The Company entrusts the following personal information processing tasks to external service providers for efficient personal information management.
b. When entering into a contract for entrustment, the Company shall specify the matters concerning the prohibition of personal information processing other than the purpose of performing the entrusted tasks, technical and administrative protection measures, restrictions on re-entrustment, management, and supervision of the trustee, and liability for damages in the contract or other documents by Article 26 of the Personal Information Protection Act, and shall supervise the trustee to ensure that the personal information is processed safely.
c. By Article 26, paragraph 6 of the Personal Information Protection Act, the trustee shall obtain the consent of the Company when re-entrusting the personal information processing tasks entrusted by the Company.
d. If the content of the entrusted tasks or the trustee changes, we will disclose it immediately through this Privacy Policy.
e. If we entrust personal information processing tasks overseas, we will inform you in '4. Transfer of Personal Information Overseas'.
4. Personal data transfer abroad
The company provides and outsources overseas services, such as service provision, marketing, and customer management services.
5. Procedure and method of destroying personal information
a. The Company shall destroy personal information without delay when it is no longer necessary to retain the personal information, such as when the retention period of personal information expires or when the purpose of processing is achieved.
b. Even if the retention period of personal information has expired or the purpose of processing has been achieved, if it is necessary to preserve personal information under other statutes, the Company shall transfer it to a separate database (DB) or store it in a separate storage place.
c. The procedure and method of destroying personal information are as follows. • Destruction procedure The company selects personal information for which the destruction reason has occurred and destroys the personal information according to internal regulations. • Destruction method The company destroys personal information recorded and stored in electronic files, making reproducing the record impossible. It also shreds the personal information recorded and stores it in paper documents.
6. Rights, obligations, and exercise methods of the information subject and legal representative
a. The information subject may exercise the following rights against the company at any time.
※ The company does not collect and provide services for the personal information of children under 14.
b. The exercise of rights may be made by written, e-mail, facsimile, etc., to the company by Article 41 (1) of the Enforcement Decree of the Personal Information Protection Act, and the company will take action without delay.
c. The exercise of rights may be made through a representative such as a legal representative or a person entrusted with the exercise of rights. In this case, a power of attorney by the attached Form 11 of the "Enforcement Decree of the Personal Information Protection Act" must be submitted.
d. The right to request the disclosure of personal information and the right to request the correction, deletion, and suspension of processing may be limited by Article 35 (4) and Article 37 (2) of the Personal Information Protection Act.
e. The company may refuse to delete personal information if specified as the collection subject in other statutes.
f. The company verifies whether the person who has requested the disclosure is the person who has asked for the disclosure or a legitimate representative.
7. Measures to ensure the safety of personal information
The company is taking the following measures to ensure the safety of personal information.
• Administrative measures: Establishment and implementation of internal management plans, operation of dedicated organizations, and regular employee education
• Technical measures: Management of access rights to personal information processing systems, installation of access control systems, encryption of personal information, Installation and updating of security programs
• Physical measures: Access control of computer centers, etc.
8. Installation and operation of personal information automatic collection devices and refusal
a. The company uses Google Analytics, a web log analysis tool provided by Google, and MS Clarity, a web log analysis tool provided by Microsoft, in accordance with Article 15, Paragraph 1, Item 1 (Consent) of the 「Personal Information Protection Act」. Information on service users is collected through each tool, and in this case, only non-identifiable information that cannot identify individual users is collected.
- Google Analytics: Install the blocking browser add-on (https://tools.google.com/dlpage/gaoptout) or [Installation, operation, and rejection of cookies] below
- MS Clarity: [Installation, operation, and rejection of cookies] below
b. Cookies are small pieces of information sent to the user's computer browser by the server (HTTPS) used to operate the website and are stored on the hard disk of the user's PC.
- Purpose of use of cookies: This information is used to understand each service visited by the user, including the types of visits and usage, search terms, and whether a secure connection was used to provide optimized information to the user.
- Refusal of cookie installation and operation: In Chrome, you can refuse cookie storage through the web browser's right side (⋮) > Settings menu > Privacy and security > Cookies and other site data or a new secret window (or new InPrivate window).
- If you refuse cookie storage, there may be restrictions on using some services, such as logging in.
9. Additional use·provision judgment criteria
a. The company may use and provide personal information without the consent of the information subject by Article 15 (3) and Article 17 (4) of the 「Personal Information Protection Act」 and Article 14-2 of the Enforcement Decree of the 「Personal Information Protection Act」.
b. Accordingly, the company has considered the following matters to use and provide additional information without the consent of the information subject.
• Whether the purpose of using and providing personal information is related to the original purpose of collection
• Whether there is a predictability of additional use and provision in light of the circumstances in which personal information is collected or the processing practices
• Whether the additional use and provision of personal information unreasonably infringes the interests of the information subject
• Whether necessary measures have been taken to ensure safety, such as pseudonymization or cryptography
10. Chief Privacy Officer and Personal Information Disclosure Claim
a. The company has designated a Chief Privacy Officer responsible for managing personal information and handling complaints and remedies related to processing personal data.
b. The information subject may request the disclosure of personal information under Article 35 of the "Personal Information Protection Act" to the department below. The company will make every effort to ensure that the request for the disclosure of personal information is processed promptly.
c. The information subject may inquire about all matters related to protecting personal information, such as complaints and remedies, by contacting the Chief Privacy Officer and the department in charge. The company will respond to the information subject's inquiry quickly.
11. Methods of Exercising Rights
a. The company is committed to protecting the information subject's right to self-determination and is making efforts to provide counseling and remedies for personal information infringement. If you need to report or consult, please contact the department below.
b. The information subject may apply for dispute resolution or consultation with the Personal Information Dispute Mediation Committee, the Korea Internet & Security Agency, etc., for remedies for personal information infringement. Please contact agencies for other reports on personal information infringement, consultations, etc.
• Personal Information Dispute Mediation Committee: +82 1833-6972 (www.kopico.go.kr)
• Personal Information Infringement Reporting Center: +82 118 (privacy.kisa.or.kr)
• Supreme Prosecutors' Office: +82 1301 (www.spo.go.kr)
• National Police Agency: +82 182 (ecrm.police.go.kr)
c. If the information subject has suffered damage due to the disposition or non-action of the head of the public institution regarding the request for the exercise of rights under Article 35 (Access to Personal Information), Article 36 (Correction, Deletion, etc. of Personal Information), and Article 37 (Suspension of Processing of Personal Information) of the Personal Information Protection Act, he/she may file an administrative appeal by the Administrative Appeals Act.
• Central Administrative Appeals Commission: +82 110 (www.simpan.go.kr)
12. Changes to the privacy policy
a. This Privacy Policy will take effect on MAY. 29, 2025. However, AI Education will be effective from JUNE. 05, 2025
b. The previous privacy policy can be found at the link below.
• 2024. 03. 08 ~ 2025. 05. 28 (Click)
• 2024. 12. 19 ~ 2025. 03. 07 (Click)
• 2024. 11. 29 ~ 2024. 12. 18 (Click)
• 2024. 09. 26 ~ 2024. 11. 28 (Click)
• 2024. 08. 01 ~ 2024. 09. 25 (Click)
• 2024. 07. 12 ~ 2024. 07. 31 (Click)
• 2024. 03. 13 ~ 2024. 07. 11 (Click)
• 2024. 02. 28 ~ 2024. 03. 12 (Click)
• 2023. 12. 20 ~ 2024. 02. 28 (Click)
주식회사 업스테이지(이하 ‘회사’라 한다)의 서비스 (공식 홈페이지(upstage.ai, 이하 ‘홈페이지’라 한다), 업스테이지 콘솔(console.upstage.ai, 이하 ‘Console’이라 한다), Upstage AI space(space.upstage.ai, 이하 ‘AI space’라 한다.), Upstage AI Education(upstage-edu.learnworlds.com, 이하 ‘AI Education’라 한다.))를 이용하는 정보주체(이용자)의 자유와 권리 보호를 위해 "개인정보 보호법" 및 관계 법령이 정한 바를 준수하여, 적법하게 개인정보를 처리하고 안전하게 관리하고 있습니다. 이에 "개인정보 보호법" 제30조에 따라 정보주체에게 개인정보 처리에 관한 절차 및 기준을 안내하고, 이와 관련한 고충을 신속하고 원활하게 처리할 수 있도록 하기 위하여 다음과 같이 개인정보 처리방침을 수립·공개합니다.
- “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다. [출처:개인정보 보호법]
1. 개인정보의 처리 목적, 수집항목, 보유 및 이용기간
회사는 다음의 목적을 위하여 개인정보를 처리하며, 정보주체의 개인정보 항목을 「개인정보 보호법」 제15조 제1항 제1호 및 제22조 제1항 제7호에 따라 정보주체의 동의를 받아 처리하고 있습니다. 이용 목적이 변경되는 경우에는 「개인정보 보호법」 제18조에 따라 별도의 동의를 받는 것과 같은 필요한 조치를 이행할 예정입니다.
가. 회원 가입 및 관리 : 회원 탈퇴 시까지
다만, 다음의 사유에 해당하는 경우에는 해당 사유 종료 시까지
- 관계 법령 위반에 따른 수사・조사 등이 진행 중인 경우에는 해당 수사・조사 종료 시까지
- 서비스 이용에 따른 채권・채무관계 잔존 시에는 해당 채권・채무관계 정산 시까지
나. 재화 또는 서비스 제공 : 재화·서비스 공급완료 및 요금결제・정산 완료시까지
다만, 다음의 사유에 해당하는 경우에는 해당 기간 종료 시까지
- "전자상거래 등에서의 소비자 보호에 관한 법률" 제6조에 따른 표시・광고, 계약내용 및 이행 등 거래에 관한 기록
- 표시·광고에 관한 기록 : 6개월
- 계약 또는 청약철회, 대금결제, 재화 등의 공급기록 : 5년
- 소비자 불만 또는 분쟁처리에 관한 기록 : 3년
- "통신비밀보호법" 제15조의2제2항에 따른 통신사실확인자료 보관
- 서비스이용기록, 접속로그, 접속IP주소 : 3개월
다. 비회원 서비스 제공 : 1년 다만, 개인정보 열람청구를 통해 비회원 이용자가 삭제를 요청하는 경우 지체 없이 삭제
라. 서비스 이용 과정에서 자동 수집되는 서비스 이용 기록이 수집될 수 있습니다. 웹사이트 방문이력, 쿠키, 접속 정보(IP, 로그 등), 운영체제 버전 및 기기 모델명
2. 만 14세 미만 아동의 개인정보 처리에 관한 사항
가. 회사의 서비스는 만14세 미만의 아동에게 적합하지 않습니다. 회사는 14세 미만의 어린이의 정보를 수집, 판매 또는 공유하지 않습니다. 만약 귀하의 자녀가 정보를 제공했을 가능성이 있다고 생각되면, 이 정책의 "10. 개인정보 보호책임자 및 개인정보 열람청구"에 설명된 대로 즉시 연락 주시기 바랍니다. 자세한 내용은 이용 약관을 참조하십시오.
3. 개인정보 처리의 위탁
가. 회사는 원활한 개인정보 업무처리를 위하여 다음과 같이 개인정보 처리업무를 위탁하고 있습니다.
나. 회사는 위탁계약 체결 시 「개인정보 보호법」 제26조에 따라 위탁업무 수행목적 외 개인정보 처리금지, 기술적·관리적 보호조치, 재위탁 제한, 수탁자에 대한 관리·감독, 손해배상 책임에 관한 사항을 계약서와 같은 문서에 명시하고, 수탁자가 개인정보를 안전하게 처리하는지를 감독하고 있습니다.
다. 「개인정보 보호법」 제26조 제6항에 따라 수탁자가 당사의 개인정보 처리업무를 재위탁하는 경우 회사의 동의를 받고 있습니다.
라. 위탁업무의 내용이나 수탁자가 변경될 경우에는 지체없이 본 개인정보 처리방침을 통하여 공개하도록 하겠습니다.
마. 개인정보 처리 업무를 국외에 위탁하는 경우는 '4. 개인정보 국외 이전'에서 안내하고 있습니다.
4. 개인정보 국외 이전
회사는 서비스 제공, 마케팅, 고객관리 서비스를 위해 아래와 같이 국외에 제공·위탁하고 있습니다.
5. 개인정보의 파기 절차 및 방법
가. 회사는 개인정보 보유기간의 경과, 처리목적 달성과 같이 개인정보가 불필요하게 되었을 때에는 지체없이 해당 개인정보를 파기합니다.
나. 정보주체로부터 동의받은 개인정보 보유기간이 경과하거나 처리목적이 달성 되었음에도 불구하고 다른 법령에 따라 개인정보를 계속 보존하여야 하는 경우에는, 해당 개인정보를 별도의 데이터베이스(DB)로 옮기거나 보관장소를 달리하여 보존 합니다.
다. 개인정보 파기의 절차 및 방법은 다음과 같습니다.
- 파기절차
회사는 파기 사유가 발생한 개인정보를 선정하고, 내부 규정에 따라 개인정보를 파기합니다.
- 파기방법
회사는 전자적 파일 형태로 기록·저장된 개인정보는 기록을 재생할 수 없도록 파기하며, 종이 문서에 기록·저장된 개인정보는 분쇄기로 분쇄 하여 파기합니다.
6. 정보주체와 법정대리인의 권리·의무 및 행사방법
가. 정보주체는 회사에 대해 언제든지 개인정보 열람·정정·삭제·처리정지 및 철회 요구 등의 권리를 행사할 수 있습니다.
※ 만 14세 미만 아동에 관한 개인정보는 회사에서 수집 및 서비스를 제공하지 않습니다.
나. 권리 행사는 회사에 대해 「개인정보 보호법」 시행령 제41조 제1항에 따라 서면, 전자우편, 모사전송(FAX) 등을 통하여 하실 수 있으며, 회사는 이에 대해 지체없이 조치하겠습니다.
다. 권리 행사는 정보주체의 법정대리인이나 위임을 받은 자와 같이 대리인을 통하여 하실 수도 있습니다. 이 경우 "개인정보 처리 방법에 관한 고시" 별지 제11호 서식에 따른 위임장을 제출하셔야 합니다.
라. 개인정보 열람 및 처리정지 요구는 「개인정보 보호법」 제35조 제4항, 제37조 제2항에 의하여 정보주체의 권리가 제한 될 수 있습니다.
마. 개인정보의 정정 및 삭제 요구는 다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있는 경우에는 그 삭제를 요구할 수 없습니다.
바. 회사는 정보주체 권리에 따른 열람의 요구, 정정·삭제의 요구, 처리 정지의 요구 시 열람 요구를 한 자가 본인이거나 정당한 대리인인지를 확인합니다.
7. 개인정보의 안전성 확보조치
회사는 개인정보의 안전성 확보를 위해 다음과 같은 조치를 취하고 있습니다.
- 관리적 조치 : 내부관리계획 수립·시행, 전담조직 운영, 정기적 직원 교육
- 기술적 조치 : 개인정보처리시스템 등의 접근권한 관리, 접근통제시스템 설치, 개인정보의 암호화, 보안프로그램 설치 및 갱신
- 물리적 조치 : 전산센터 등의 접근통제
8. 개인정보 자동 수집 장치의 설치·운영 및 거부에 관한 사항
가. 회사는 「개인정보 보호법」 제15조제1항제1호(동의)에 따라 구글에서 제공하는 웹로그 분석 도구인 Google Analytics와 마이크로소프트에서 제공하는 웹로그 분석 도구인 MS Clarity를 이용하고 있습니다.
각 도구를 통하여 서비스 이용자의 정보를 수집하게 되며, 이 경우 이용자 개인을 식별할 수 없는 비식별정보 만이 수집됩니다.
그럼에도 이용자는 각 도구 별 설정을 통해 이용을 거부할 수 있습니다.
- Google Analytics: 차단 브라우저 부가기능의 설치(https://tools.google.com/dlpage/gaoptout) 또는 하단 [쿠키의 설치·운영 및 거부]
- MS Clarity: 하단 [쿠키의 설치·운영 및 거부]
나. 쿠키는 웹사이트를 운영하는데 이용되는 서버(https)가 이용자의 컴퓨터 브라우저에게 보내는 소량의 정보이며 이용자들의 PC 컴퓨터내의 하드디스크에 저장되기도 합니다.
- 쿠키의 사용목적: 이용자가 방문한 각 서비스에 대한 방문 및 이용형태, 검색어, 보안접속 여부, 등을 파악하여 이용자에게 최적화된 정보 제공을 위해 사용됩니다.
- 쿠키의 설치·운영 및 거부 : Chrome에서는 웹 브라우저 우측( ⋮ ) > 설정 메뉴 > 개인 정보 보호 및 보안 > 쿠키 및 기타 사이트데이터 또는 새 시크릿창(또는 새 InPrivate창)를 통해 쿠키 저장을 거부 할 수 있습니다.
- 쿠키 저장을 거부할 경우 로그인 등 일부 서비스 이용에 제한이 있을 수 있습니다.
9. 추가적인 이용·제공 판단기준
가. 회사는 「개인정보 보호법」 제15조제3항 및 제17조제4항에 따라 「개인정보 보호법」 시행령 제14조의2에 따른 사항을 고려하여 정보주체의 동의 없이 개인정보를 추가적으로 이용·제공할 수 있습니다.
나. 이에 따라 회사는 정보주체의 동의 없이 추가적인 이용·제공을 하기 위해서 다음과 같은 사항을 고려하였습니다.
- 개인정보를 추가적으로 이용·제공하려는 목적이 당초 수집 목적과 관련성이 있는지 여부
- 개인정보를 수집한 정황 또는 처리 관행에 비추어 볼 때 추가적인 이용·제공에 대한 예측 가능성이 있는지 여부
- 개인정보의 추가적인 이용·제공이 정보주체의 이익을 부당하게 침해하는지 여부
- 가명처리 또는 암호화와 같은 안전성 확보에 필요한 조치를 하였는지 여부
10. 개인정보 보호책임자 및 개인정보 열람청구
가. 회사는 개인정보 처리에 관한 업무를 총괄해서 책임지고, 개인정보 처리와 관련한 정보주체의 불만처리 및 피해구제 등을 위하여 아래와 같이 개인정보 보호책임자를 지정하고 있습니다.
나. 정보주체는 「개인정보 보호법」 제35조에 따른 개인정보의 열람 청구를 아래의 부서에 할 수 있습니다. 회사는 정보주체의 개인정보 열람청구가 신속하게 처리되도록 노력하겠습니다.
다. 정보주체는 회사의 서비스(또는 사업)을 이용하시면서 발생한 모든 개인정보보호 관련 문의, 불만처리, 피해구제 등에 관한 사항을 개인정보 보호책임자 및 담당부서로 문의할 수 있습니다. 회사는 정보주체의 문의에 대해 지체없이 답변 및 처리해드릴 것입니다.
11. 권익침해 구제방법
가. 회사는 정보주체의 개인정보자기결정권을 보장하고, 개인정보침해로 인한 상담 및 피해 구제를 위해 노력하고 있으며, 신고나 상담이 필요한 경우 아래의 담당부서로 연락해 주시기 바랍니다.
나. 정보주체는 개인정보침해로 인한 구제를 받기 위하여 개인정보분쟁조정위원회, 한국인터넷진흥원 개인정보침해신고센터 등에 분쟁해결이나 상담 등을 신청할 수 있습니다. 이 밖에 기타 개인정보침해의 신고, 상담에 대하여는 아래의 기관에 문의하시기 바랍니다.
- 개인정보분쟁조정위원회 : (국번없이) 1833-6972 (www.kopico.go.kr)
- 개인정보침해신고센터 : (국번없이) 118 (http://privacy.kisa.or.kr)
- 대검찰청 : (국번없이) 1301 (www.spo.go.kr)
- 경찰청 : (국번없이) 182 (http://ecrm.police.go.kr)
다. 「개인정보 보호법」 제35조(개인정보의 열람), 제36조(개인정보의 정정·삭제), 제37조(개인정보의 처리정지 등)의 규정에 의한 요구에 대 하여 공공기관의 장이 행한 처분 또는 부작위로 인하여 권리 또는 이익의 침해를 받은 자는 행정심판법이 정하는 바에 따라 행정심판을 청구할 수 있습니다.
- 중앙행정심판위원회 : (국번없이) 110 (www.simpan.go.kr)
12. 개인정보 처리방침의 변경
가. 이 개인정보 처리방침은 2025년 05월 29일부터 적용됩니다. 단, AI Education은 2025년 06월 05일 부터 적용됩니다.
나. 이전의 개인정보 처리방침은 아래 링크에서 확인하실 수 있습니다.
- 2025. 3. 08~ 2025. 05. 28 적용 (클릭)
- 2024. 12. 9 ~ 2025. 03. 07 적용 (클릭)
- 2024. 11. 29 ~ 2024. 12. 18 적용 (클릭)
- 2024. 9. 26 ~ 2024. 11. 28 적용 (클릭)
- 2024. 8. 1 ~ 2024. 9. 25 적용 (클릭)
- 2024. 7. 12 ~ 2024. 7. 31 적용 (클릭)
- 2024. 3. 13 ~ 2024. 7. 11 적용 (클릭)
- 2024. 2. 28 ~ 2024. 3. 12 적용 (클릭)
- 2023. 12. 20 ~ 2024. 2. 28 적용 (클릭)
- 2023. 11. 1 ~ 2023. 12. 19 적용 (클릭)
- 2023. 6. 30 ~ 2023. 10. 31 적용 (클릭)