CORA - Privacy Policy

개인정보 처리방침

해빗도그(이하 "회사")는 「개인정보 보호법」 제30조에 따라 정보주체의 개인정보를 보호하고 이와 관련한 고충을 신속하고 원활하게 처리할 수 있도록 하기 위하여 다음과 같이 개인정보 처리방침을 수립·공개합니다. 본 처리방침은 회사가 운영하는 모바일 애플리케이션 "CORA"(이하 "서비스") 이용에 적용됩니다.

1. 서비스 개요

CORA는 사용자가 직접 만든 캐릭터 또는 다른 사용자가 공유한 캐릭터와 대규모 언어 모델(LLM) 기반의 1:1 채팅 역할극을 즐길 수 있는 모바일 애플리케이션입니다. 본 서비스는 회원가입과 인증을 통해 제공되며, 사용자가 입력한 역할극 대사 텍스트는 응답 생성을 위해 외부 AI API 서비스를 통해 처리됩니다(자세한 내용은 제6-1조 참조).

2. 처리하는 개인정보의 항목

회사는 다음과 같은 개인정보를 처리하고 있습니다.

구분	항목
회원가입 시 (필수)	소셜 로그인 식별자(Google/Apple/Kakao), 이메일 주소(소셜 로그인 제공자가 제공하는 경우), 성명(Apple Sign-In 최초 1회 한정, 사용자 동의 시)
프로필 (필수/선택)	닉네임(필수), 프로필 이미지(선택, 사용자가 동의하거나 직접 설정한 경우)
서비스 이용 시 생성	사용자가 만든 스토리/캐릭터 정보(제목, 설명, 캐릭터 이름·성격·외형·배경설정), 채팅 메시지 전문, AI 생성 이미지 및 생성 파라미터, 신고·차단 기록(신고 대상 캐릭터 ID, 신고 사유, 신고 일시, 차단 대상 사용자/캐릭터 ID), 자동 콘텐츠 검수(moderation) 결과 로그
알림 서비스 (선택)	푸시 알림 토큰, 디바이스 OS 종류
광고 식별자 (선택, 동의 시)	iOS 광고 식별자(IDFA), Android 광고 ID(AAID)
자동 수집 정보	IP 주소, 기기 모델, 운영체제 버전, 앱 버전, 접속 일시, 서비스 이용 기록, 오류·크래시 로그, 화면 녹화(Session Replay, 운영 환경 한정)
이용 통계	일일 메시지 발송 횟수, 광고 시청 횟수

중요 안내: 사용자가 채팅 화면에서 입력하는 메시지는 가상 캐릭터와의 역할극 대사로 간주되며, 응답 생성을 위해 외부 AI API 서비스로 전송됩니다. 함께 전송되는 정보는 대사 텍스트, 캐릭터 설정, 그리고 AI가 사용자를 적절히 호칭하기 위한 회원의 닉네임(프로필 표시 이름)에 한정됩니다. 이메일, 사용자 ID(UUID), IP 주소, 디바이스 식별자 등 닉네임 외의 식별 정보는 전송되지 않습니다. 사용자가 채팅 입력란에 본인의 실명, 주민등록번호, 금융정보, 위치정보 등 식별 가능한 개인정보를 직접 입력하는 경우 해당 텍스트가 외부 처리 과정에 포함될 수 있으므로, 이러한 입력은 자제하여 주시기 바랍니다.

3. 개인정보의 처리 목적

회원 식별 및 인증: 이메일·소셜 로그인 식별자를 통한 본인 확인, 부정 이용 방지
서비스 제공: 캐릭터 생성·저장, 채팅 메시지 송수신, AI 응답 생성, 이미지 생성, 사용자 간 콘텐츠 공유
프로필 표시 및 개인화: 닉네임과 선택적으로 제공된 프로필 이미지를 사용한 서비스 내 프로필 표시 및 사용자 경험 개선
이용 한도 관리: 일일 메시지 발송 한도(쿼터) 관리 및 광고 시청 시 추가 한도 부여
알림 서비스: 푸시 알림(인기 스토리, 자동 메시지 등) 발송
광고 노출: 앱 오픈 광고, 보상형 광고 노출 및 측정
서비스 안정성 확보: 오류·크래시 로그 분석, 사용성 개선, 어뷰징 탐지
콘텐츠 안전 관리: 신고 처리, 차단 적용, 부적절한 콘텐츠의 사전 검수(pre-moderation) 및 사후 검토 (Apple App Store Review Guideline 1.2 의 무관용 정책(zero-tolerance policy) 준수 목적 포함)
고객 지원: 문의 대응 및 분쟁 처리

4. 개인정보의 보유 및 이용 기간

회원 정보(이메일, 닉네임, 프로필): 회원 탈퇴 시까지
회원 본인의 채팅방·채팅 메시지·본인 채팅방에서 생성된 이미지: 해당 콘텐츠의 개별 삭제 시까지 (회원 탈퇴 후에도 다른 회원과의 상호작용 일관성 및 시스템 분석을 위해 작성자 계정과 분리된 익명 형태로 잔존할 수 있음. 자세한 사항은 본 조의 회원 탈퇴 처리 안내 참고)
회원이 생성한 스토리 캐릭터(페르소나·캐릭터·캐릭터 이미지): 회원 탈퇴 후에도 다른 회원의 이용 보호 및 시스템 일관성 유지를 위해 작성자 계정과 분리된 익명 형태로 서비스에 잔존할 수 있음 (자세한 사항은 본 조의 회원 탈퇴 처리 안내 참고)
접속·이용 기록, 오류 로그: 수집일로부터 90일 이내
화면 녹화(Session Replay) 데이터: 수집일로부터 30일 이내
광고 식별자: 사용자가 OS 설정에서 광고 추적을 거부하거나 식별자를 재설정할 때까지
법령에 따라 보존이 필요한 경우 해당 법령에서 정한 기간 (예: 「전자상거래 등에서의 소비자보호에 관한 법률」에 따른 분쟁 처리 기록 3년)

회원 탈퇴 시 처리 안내

회원이 앱 내 회원 탈퇴 기능을 이용하면 회사는 다음과 같이 정보를 처리합니다.

즉시 영구 삭제: 회원의 인증 정보(이메일·소셜 로그인 식별자), 프로필(닉네임 등), 푸시 토큰, 알림 수신 설정, 즐겨찾기, 메시지 사용량 기록, 신고/차단 이력 등
익명화 후 보존: 회원이 생성한 스토리 캐릭터(페르소나·캐릭터·캐릭터 이미지), 회원 본인의 채팅방·채팅 메시지(본인 채팅방에서 생성된 이미지 포함), 그리고 해당 캐릭터를 다른 회원이 이용하여 생성한 채팅 기록은 다른 회원의 서비스 이용을 보호하고 시스템 일관성을 유지하기 위해 작성자 계정과 분리된 익명 콘텐츠로 보존될 수 있습니다. 회원 탈퇴 시 회원의 인증 계정 자체가 삭제되며, 보존되는 콘텐츠에서 작성자 식별이 가능한 컬럼은 익명 식별자로 일괄 치환됩니다. 다만 일부 보존 컬럼(예: 이미지 저장 경로)에는 작성자 계정 식별자(UUID)가 잔존할 수 있으며, 이 식별자는 회사가 운영 환경 외부의 정보와 결합하지 않는 한 특정 회원으로 다시 연결될 수 없도록 관리됩니다.
법령상 보존 의무: 위 즉시 삭제 항목 중 법령에서 별도의 보존 의무를 부과하는 정보가 있는 경우 해당 법령이 정한 기간까지만 분리 보관 후 파기합니다.

회원 탈퇴는 즉시 처리되며 복구되지 않습니다. 탈퇴 후 동일한 소셜 계정으로 다시 회원가입할 수 있으나, 이 경우 신규 회원으로 처리되어 이전 회원이 보유하던 활동 기록·사용 한도·즐겨찾기 등은 복원되지 않습니다. 회사는 약관 위반 등의 사유가 있는 경우 재가입을 제한할 수 있습니다.

5. 개인정보의 제3자 제공

회사는 정보주체의 별도 동의, 법률의 특별한 규정 등 「개인정보 보호법」 제17조에 해당하는 경우 외에는 개인정보를 제3자에게 제공하지 않습니다. 다만 사용자가 자신이 만든 캐릭터를 공개로 설정한 경우, 해당 캐릭터의 닉네임 및 캐릭터 설정 정보는 다른 사용자에게 노출됩니다.

6. 개인정보 처리의 위탁

회사는 서비스 제공을 위해 아래와 같이 개인정보 처리 업무를 위탁하고 있습니다. 회사는 위탁계약 체결 시 「개인정보 보호법」 제26조에 따라 개인정보가 안전하게 처리될 수 있도록 필요한 사항을 규정하고, 수탁자가 이를 준수하는지 감독하고 있습니다. 각 수탁사의 구체적 사명은 서비스 보안을 위해 본 처리방침에 명시하지 않으며, 이용자의 정당한 열람 요청이 있을 경우 합리적 범위 내에서 별도로 안내합니다(dev@habitdog.app).

수탁업체 유형	위탁 업무 / 처리 항목
클라우드 인프라(인증·데이터베이스·파일 저장소) 제공사	회원 인증, 회원 정보 및 사용자가 생성한 콘텐츠의 저장·관리(이메일, 닉네임, 프로필 이미지, 캐릭터 설정, 채팅 메시지, 생성 이미지)
플랫폼 인증·푸시 알림 제공사	소셜 로그인 인증 처리, 푸시 알림(APNs/FCM) 발송 — 푸시 토큰 및 인증 식별자 처리
모바일 광고 네트워크 제공사	앱 내 광고 노출 및 광고 식별자(IDFA/AAID) 처리 (사용자가 추적에 동의한 경우에 한함)
오류·품질 모니터링 제공사	앱 오류·크래시 로그, Session Replay, IP 주소 등의 수집·분석 (운영 환경 한정)

6-1. 외부 AI API 서비스의 이용

회사는 채팅 응답 생성, 페르소나 검색, 캐릭터 이미지 생성을 위해 외부 AI API 서비스를 이용합니다. 회사가 외부 AI API 서비스로 전송하는 데이터의 범위는 다음과 같습니다.

전송되는 데이터
- 사용자가 채팅 화면에 입력한 역할극 대사 텍스트와 직전 일부 대화 히스토리
- 사용자가 만들었거나 다른 회원이 공개한 캐릭터·페르소나 설정 텍스트(제목, 설명, 상황 설정, 캐릭터 이름·성격·외형·배경 등)
- 회원이 직접 설정한 닉네임(프로필의 표시 이름). AI 응답이 회원을 적절한 호칭으로 부를 수 있도록 채팅용 시스템 프롬프트에 포함되어 전송됩니다.
- AI 이미지 생성을 위한 프롬프트, 부정 프롬프트, seed 값, 해상도 등의 파라미터
전송되지 않는 데이터: 이메일 주소, 소셜 로그인 식별자, 회사 내부의 사용자 ID(UUID), IP 주소, 디바이스 식별자(IDFA/AAID 포함), 푸시 토큰, 결제 정보, 자동 수집되는 접속 로그 등 닉네임 외의 회원 식별 정보

외부 AI API 서비스는 위와 같이 닉네임을 포함한 텍스트를 전달받지만, 회사 내부에서 회원을 고유하게 식별하는 키(이메일·UUID 등)는 함께 전송되지 않으므로, 외부 AI API 서비스가 단독으로 어느 회원이 입력한 텍스트인지 특정하기는 어렵습니다. 단, 회원이 채팅 입력란에 본인의 실명, 주민등록번호, 금융정보, 위치정보 등 직접적인 식별 정보를 기재하는 경우 해당 텍스트가 외부 AI 처리 과정에 포함될 수 있으므로, 본 처리방침 제2조의 안내에 따라 그러한 입력을 자제하여 주시기 바랍니다.

회사가 이용하는 외부 AI API 서비스는 보안상의 이유로 본 처리방침에 구체적 사명을 공개하지 않으며, 이용자의 정당한 열람 요청이 있을 경우 합리적 범위 내에서 별도로 안내합니다(dev@habitdog.app).

7. 개인정보의 국외 이전

회사는 안정적인 서비스 제공을 위해 일부 처리 업무를 해외에 본사 또는 인프라를 둔 수탁사에게 위탁하고 있으며, 이에 따라 회원의 개인정보가 국외로 이전될 수 있습니다. 각 수탁사의 구체적 사명은 보안상의 이유로 본 처리방침에 명시하지 않으며, 이용자의 정당한 열람 요청이 있을 경우 합리적 범위 내에서 별도로 안내합니다(dev@habitdog.app).

이전 항목	이전 국가	이전 시점·방법
이메일, 닉네임, 프로필 이미지, 캐릭터 설정, 채팅 메시지, 생성 이미지	미국 등 서비스 인프라 운영 국가	서비스 이용 시 실시간 네트워크 전송
광고 식별자(IDFA/AAID)	미국 등	광고 노출 시 실시간 네트워크 전송 (사용자 동의 시)
오류·크래시 로그, Session Replay, IP 주소	미국 등	오류 발생·세션 녹화 시 실시간 네트워크 전송 (운영 환경 한정)
푸시 토큰, 소셜 로그인 인증 식별자	미국 등	알림 등록·로그인 시 실시간 네트워크 전송

이전받는 자의 이용 목적·보유 기간: 각 수탁사가 회사에 제공하는 서비스 수행에 필요한 기간 (각 수탁사의 정책에 따름)
이전 거부 권리: 이용자는 위 국외 이전을 거부할 수 있으며, 이 경우 회원가입 및 서비스 이용이 제한될 수 있습니다.

한편 본 처리방침 제6-1조에 따른 외부 AI API 서비스 호출의 경우, 회원의 핵심 식별 정보(이메일·사용자 ID·IP·디바이스 식별자 등)는 함께 전송되지 않으므로 본 조의 위탁 처리 표와는 별도로 운용됩니다. 다만 회원의 닉네임 및 사용자가 입력한 텍스트는 제6-1조에 명시된 바와 같이 외부 AI 서비스의 인프라(미국·아시아 등 일부 해외 국가 포함)에서 일시적으로 처리될 수 있으며, 이는 본 처리방침 제출 및 회원가입 동의에 따른 국외 이전의 범주에 포함됩니다.

8. 정보주체의 권리·의무 및 행사 방법

정보주체는 회사에 대해 언제든지 다음 권리를 행사할 수 있습니다.

개인정보 열람·정정·삭제·처리 정지 요구
회원 탈퇴 (앱 내 설정 → 프로필 카드 → 회원 탈퇴)
채팅 메시지 및 캐릭터 등 사용자 생성 콘텐츠의 개별 삭제
광고 식별자(IDFA/AAID) 추적 거부 (iOS: 설정 → 개인정보 보호 및 보안 → 추적 / Android: 설정 → 개인정보 보호 → 광고)
푸시 알림 수신 거부 (앱 내 설정 또는 OS 알림 설정)

위 권리 행사는 앱 내 기능을 이용하시거나, 서면·이메일(dev@habitdog.app)을 통해 요청하실 수 있으며, 회사는 이에 대해 지체 없이 조치하겠습니다.

9. 개인정보의 안전성 확보 조치

관리적 조치: 개인정보 처리 직원의 최소화, 정기적인 자체 점검
기술적 조치: 비밀번호 등 인증 정보의 암호화, 전송 구간 TLS 암호화, 접근 권한 관리, 보안 프로그램 설치
물리적 조치: 데이터센터 접근 통제(수탁사의 인프라 보안 기준 준수)

10. 자동 수집 장치의 설치·운영 및 거부

회사는 서비스 이용 과정에서 다음과 같은 자동 수집 장치를 운영합니다.

오류·품질 모니터링: 앱 오류 발생 시 충돌 정보, 화면 이동 기록, IP 주소를 수집합니다.
화면 녹화(Session Replay, 운영 환경 한정): 서비스 품질 개선을 위해 앱 화면의 사용 흐름을 일정 비율로 녹화합니다. 비밀번호, 결제정보 등 민감 입력란은 자동 마스킹됩니다.
광고 식별자: 사용자가 iOS의 ATT(앱 추적 투명성) 또는 Android의 광고 추적 동의에 응한 경우에 한해 수집됩니다.

위 자동 수집은 OS 설정 또는 앱을 삭제함으로써 거부할 수 있습니다.

11. 만 14세 미만 아동의 개인정보

회사는 본 서비스의 특성상 만 14세 미만 아동의 회원가입을 허용하지 않습니다. 만약 만 14세 미만 아동이 가입한 사실이 확인되는 경우, 회사는 해당 계정 및 관련 정보를 지체 없이 삭제합니다. 보호자가 자녀의 가입 사실을 발견한 경우 dev@habitdog.app 으로 연락 주시기 바랍니다.

12. 개인정보 보호책임자

회사는 개인정보 처리에 관한 업무를 총괄하여 책임지고, 개인정보 처리와 관련한 정보주체의 불만 처리 및 피해 구제 등을 위하여 아래와 같이 개인정보 보호책임자를 지정하고 있습니다.

개인정보 보호책임자: 임원빈
연락처: dev@habitdog.app

정보주체는 개인정보 보호와 관련한 모든 문의·불만·피해 구제를 개인정보 보호책임자에게 문의하실 수 있으며, 회사는 정보주체의 문의에 대해 지체 없이 답변 및 처리해드립니다.

13. 권익침해 구제 방법

정보주체는 개인정보 침해로 인한 구제를 받기 위해 아래 기관에 분쟁 해결이나 상담 등을 신청할 수 있습니다.

개인정보분쟁조정위원회: (국번없이) 1833-6972 (www.kopico.go.kr)
개인정보침해신고센터: (국번없이) 118 (privacy.kisa.or.kr)
대검찰청: (국번없이) 1301 (www.spo.go.kr)
경찰청: (국번없이) 182 (ecrm.cyber.go.kr)

14. 개인정보 처리방침의 변경

본 개인정보 처리방침은 시행일로부터 적용되며, 법령 및 방침에 따른 변경 내용의 추가, 삭제 및 정정이 있는 경우에는 변경 사항의 시행 7일 전부터 본 페이지에 공지합니다. 다만 사용자의 권리에 중요한 변경이 있는 경우에는 최소 30일 전에 공지합니다.

본 개인정보 처리방침은 2026년 5월 31일(KST)부터 시행됩니다. (직전 시행일: 2026년 5월 9일)

← 메인으로 돌아가기

Privacy Policy

HabitDog ("Company", "we", "us") establishes and discloses the following Privacy Policy in accordance with Article 30 of the Personal Information Protection Act of the Republic of Korea ("PIPA") to protect the personal information of data subjects and to handle related grievances promptly and smoothly. This Privacy Policy applies to the mobile application "CORA" ("Service") operated by the Company.

1. Service Overview

CORA is a mobile application that allows users to engage in 1:1 roleplay chat conversations with characters they have created or characters shared by other users, powered by Large Language Models (LLMs). The Service is provided through user registration and authentication, and the roleplay dialogue text entered by users is processed through external AI API services to generate responses (see Section 6-1 for details).

2. Personal Information We Collect

We process the following personal information.

Category	Items
Sign-up (required)	Social login identifier (Google/Apple/Kakao), email address (when provided by the social login provider), full name (only on first Apple Sign-In, with user consent)
Profile (required/optional)	Display name (required), profile image (optional, when the user consents or sets it directly)
Generated during use	User-created stories/characters (title, description, character name, personality, appearance, background), full chat message content, AI-generated images and generation parameters, reporting and blocking records (reported character ID, report reason, timestamp, blocked user/character ID), and automated content moderation result logs
Notifications (optional)	Push notification token, device OS type
Advertising identifier (with consent)	iOS Identifier for Advertisers (IDFA), Android Advertising ID (AAID)
Automatically collected	IP address, device model, OS version, app version, access timestamps, service usage history, error/crash logs, screen recording (Session Replay, production only)
Usage statistics	Daily message count, ad view count

Important Notice: Chat messages you enter are treated as roleplay dialogue with a fictional character and are transmitted to external AI API services to generate responses. The data sent alongside is limited to the dialogue text, the character's settings, and the user's display name (so the AI can address you appropriately). Identifiers other than the display name — such as email, internal user ID (UUID), IP address, and device identifiers — are NOT transmitted. However, if you directly type identifiable personal information (your real name, government ID, financial info, location, etc.) into the chat input, that text may be included in external processing — please refrain from entering such information.

3. Purposes of Processing

Account identification and authentication: Identity verification through email/social login, prevention of fraudulent use
Service delivery: Character creation and storage, sending and receiving chat messages, AI response generation, image generation, content sharing between users
Profile display and personalization: Displaying in-service profiles and improving the user experience using display names and optionally provided profile images
Usage limit management: Daily message quota management and granting of additional quota through ad viewing
Notification service: Push notifications (popular stories, automated messages, etc.)
Advertising: Display and measurement of app open ads and rewarded ads
Service stability: Error/crash log analysis, usability improvement, abuse detection
Content safety: processing reports, applying user blocks, and pre-moderation and post-review of objectionable content (including in furtherance of the zero-tolerance policy required by Apple App Store Review Guideline 1.2)
Customer support: Inquiry response and dispute resolution

4. Retention and Use Period

Member information (email, display name, profile): until account deletion
The Member's own chat rooms, chat messages, and images generated within the Member's own chat rooms: until account deletion or individual deletion of the content
Story characters created by the Member (personas, characters, and character images): may remain in the Service in an anonymized form (with author identifiers removed) after account deletion, in order to protect other Members' continued use and to maintain system consistency (see the Account Deletion Procedure below)
Access/usage records, error logs: within 90 days from collection
Session Replay data: within 30 days from collection
Advertising identifiers: until the user opts out of ad tracking or resets the identifier through OS settings
Where retention is required by law, the period prescribed by such law applies (e.g., 3 years for dispute records under the Act on Consumer Protection in Electronic Commerce)

Account Deletion Procedure

When a Member uses the in-app account deletion feature, we process the Member's information as follows.

Permanently deleted immediately: the Member's authentication data (email, social login identifier), profile (display name, etc.), the Member's own chat rooms, chat messages, images generated in the Member's own chat rooms, push tokens, notification preferences, favorites, message-quota records, and similar.
Retained in anonymized form: story characters created by the Member (personas, characters, and character images), and chat records that other Members have created using those characters, may be retained as anonymous content with the author's identifiers removed in order to protect other Members' continued use of the Service and to maintain system consistency. However, personas and characters created by the Member that have never been used by any other Member will be deleted together with the Member's account. Anonymized content can no longer identify the withdrawn Member and therefore does not constitute personal information under PIPA.
Statutory retention: Any of the above items that are subject to a separate statutory retention obligation will be stored in isolation only for the period required by the relevant law, and then destroyed.

Account deletion is processed immediately and cannot be reversed. After deletion, the Member may sign up again using the same social account, but they will be treated as a new member and previous activity records, usage limits, favorites, and similar will not be restored. We may restrict re-registration where there is a violation of the Terms of Service or other legitimate grounds.

5. Provision to Third Parties

We do not provide personal information to third parties except where the data subject has given separate consent or where there are special provisions under the law as set out in Article 17 of PIPA. However, when a user sets a character they created to public, the user's display name and character settings will be visible to other users.

6. Outsourcing of Processing

We outsource the following personal information processing tasks to deliver the Service. When entering into outsourcing contracts, we set out matters necessary to ensure the safe processing of personal information in accordance with Article 26 of PIPA, and we supervise the trustees' compliance. The specific corporate names of each trustee are not disclosed in this Privacy Policy for service security. Upon a legitimate access request, we will provide further information within a reasonable scope (dev@habitdog.app).

Trustee Category	Outsourced Tasks / Items
Cloud infrastructure providers (authentication, database, file storage)	Member authentication and storage/management of member information and user-generated content (email, display name, profile image, character settings, chat messages, generated images)
Platform authentication and push notification providers	Social login authentication, push notification (APNs/FCM) delivery — push tokens and authentication identifiers
Mobile advertising network providers	In-app ad serving and processing of advertising identifiers (IDFA/AAID), only when the user has consented to tracking
Error and quality monitoring providers	Collection and analysis of app error/crash logs, Session Replay, and IP address (production only)

6-1. Use of External AI API Services

We use external AI API services for chat response generation, persona search, and character image generation. The data we send to these external AI API services is limited as follows.

Data transmitted
- The roleplay dialogue text entered by the user in the chat screen and a portion of the recent conversation history
- Character/persona settings created by the user or shared by other members (title, description, situation prompt, character name, personality, appearance, background, etc.)
- The display name set by the member in their profile. It is included in the chat system prompt so that the AI can address the user with an appropriate label.
- For AI image generation: prompts, negative prompts, seed value, and parameters such as resolution
Data NOT transmitted: Email address, social login identifier, the Company's internal user ID (UUID), IP address, device identifiers (including IDFA/AAID), push tokens, payment information, automatically collected access logs, and any member-identifying information other than the display name

External AI API services receive text that includes the display name as described above, but the keys that uniquely identify a member within our systems (email, UUID, etc.) are not transmitted. Accordingly, an external AI API service cannot, on its own, determine which specific member entered a given text. However, if a member directly enters identifiable personal information (real name, government ID, financial info, location, etc.) into the chat input, that text may be included in the external AI processing; please refrain from such entries as guided in Section 2.

For security reasons, the specific corporate names of the external AI API services we use are not disclosed in this Privacy Policy. Upon a legitimate access request, we will provide further information within a reasonable scope (dev@habitdog.app).

7. International Transfer of Personal Information

To deliver a stable Service, we outsource certain processing tasks to trustees that operate or are headquartered overseas, and as a result, members' personal information may be transferred internationally. The specific corporate names of each trustee are not disclosed in this Privacy Policy for security reasons. Upon a legitimate access request, we will provide further information within a reasonable scope (dev@habitdog.app).

Items Transferred	Recipient Countries	Time / Method
Email, display name, profile image, character settings, chat messages, generated images	United States and other countries where the service infrastructure is operated	Real-time network transmission during service use
Advertising identifiers (IDFA/AAID)	United States and others	Real-time network transmission during ad serving (only with user consent)
Error/crash logs, Session Replay, IP address	United States and others	Real-time network transmission upon errors or session recording (production only)
Push tokens, social login authentication identifiers	United States and others	Real-time network transmission upon notification registration or login

Recipients' purpose and retention: The period necessary for each trustee to perform the service provided to us (subject to each trustee's policy).
Right to refuse transfer: You may refuse the international transfers above; however, in that case, registration and use of the Service may be restricted.

For calls to external AI API services described in Section 6-1, the Company's core member identifiers (email, internal user ID, IP, device identifiers, etc.) are not transmitted, and these calls are therefore handled separately from the trustee table above. However, the member's display name and the text entered by the user may be processed temporarily on the external AI service's infrastructure (which may include the United States, parts of Asia, or other overseas locations) as described in Section 6-1, and such processing is included within the scope of international transfers consented to upon registration and acceptance of this Privacy Policy.

8. Rights of Data Subjects and How to Exercise Them

You may exercise the following rights at any time.

Request to access, correct, delete, or suspend processing of personal information
Account deletion (in the app: Settings → profile card → Delete Account)
Individual deletion of user-generated content such as chat messages and characters
Opt-out of ad tracking via IDFA/AAID (iOS: Settings → Privacy & Security → Tracking / Android: Settings → Privacy → Ads)
Opt-out of push notifications (in-app settings or OS notification settings)

You may exercise these rights through in-app features, or by sending a request via email (dev@habitdog.app), and we will act on your request without delay.

9. Security Measures

Administrative measures: Minimization of personnel handling personal information, periodic internal audits
Technical measures: Encryption of authentication credentials, TLS encryption in transit, access control, security software
Physical measures: Data center access control (subject to trustees' infrastructure security standards)

10. Installation, Operation, and Refusal of Automatic Collection Devices

We operate the following automatic collection mechanisms during service use.

Error and quality monitoring: When app errors occur, crash information, navigation history, and IP address are collected.
Screen recording (Session Replay, production only): A sampled portion of in-app user flows is recorded to improve service quality. Sensitive input fields such as passwords and payment information are automatically masked.
Advertising identifier: Collected only when the user has consented through iOS App Tracking Transparency (ATT) or Android ad tracking consent.

You can refuse the above automatic collection through OS settings or by uninstalling the app.

11. Personal Information of Children Under 14

Due to the nature of the Service, we do not allow registration by children under the age of 14. If we become aware that a child under 14 has registered, we will delete the account and related information without delay. If a guardian discovers that their child has registered, please contact dev@habitdog.app.

12. Personal Information Protection Officer

We designate the following Personal Information Protection Officer to take overall responsibility for personal information processing and to handle complaints and remedies of data subjects related to personal information processing.

Personal Information Protection Officer: WONBEEN LIM
Contact: dev@habitdog.app

13. Remedies for Rights Infringement

Data subjects may apply for dispute resolution or counseling to the following organizations to obtain remedies for personal information infringement.

Personal Information Dispute Mediation Committee: 1833-6972 (www.kopico.go.kr)
Personal Information Infringement Report Center: 118 (privacy.kisa.or.kr)
Supreme Prosecutors' Office: 1301 (www.spo.go.kr)
National Police Agency: 182 (ecrm.cyber.go.kr)

14. Changes to This Privacy Policy

This Privacy Policy applies from the effective date below. If there are any additions, deletions, or corrections to the contents due to changes in laws or policy, the changes will be announced on this page at least 7 days before they take effect. For changes that materially affect users' rights, the announcement will be made at least 30 days in advance.

This Privacy Policy is effective as of 2026-05-31 (KST). (Previous effective date: 2026-05-09)

← Back to overview