In order to protect the freedom and rights of data subjects (users) who use the company's services (including the official website upstage.ai, Upstage Console console.upstage.ai, AI Space space.upstage.ai, Upstage Studio studio.upstage.ai, Education edu.upstage.ai, etc., collectively referred to as 'Upstage Service'), the company complies with the Personal Information Protection Act and related laws, and processes personal information lawfully and manages it securely.
In compliance with Article 30 of the Personal Information Protection Act, Upstage establishes and discloses the following privacy policy to inform information subjects of the procedures and standards for processing personal information and to handle grievances promptly and smoothly.
Disclaimer: Governing law
So, as you know, the laws and regulations of the Republic of Korea have formulated this privacy policy. While it applies to our global operations, the policy is primarily governed by South Korean legal standards and practices. Users outside of South Korea should be aware that the policy might reference legal concepts and frameworks specific to South Korea, which may differ from local laws.
1. Purpose, items, and retention period of personal information processing
The Company processes personal information for the following purposes. It obtains the data subject's consent for processing their personal information items by Article 15 Paragraph 1 Clause 1 and Article 22 Paragraph 1 Clause 7 of the Personal Information Protection Act. If the purpose of use changes, the Company will take necessary measures such as obtaining separate consent under Article 18 of the Personal Information Protection Act.
A. Membership registration and management: Until the member withdraws
However, in the following cases, until the end of the relevant reason
- If there is an ongoing investigation or inquiry due to a violation of related laws, until the end of the investigation or inquiry
- If there is a remaining debt or credit relationship due to the service use until the settlement of the debt or credit relationship
B. Provision of goods or services: Until the completion of the supply of goods or services and the payment and settlement of fees
C. Non-member services: Information collected through non-member services will be retained for one year and deleted thereafter in accordance with our Privacy Policy.
- However, if a non-member requests deletion through a personal information access request, it will be deleted without delay.
However, in the following cases, until the end of the relevant period
- Records related to transactions, such as labeling and advertising, contract details, and fulfillment, pursuant to Article 6 of the Act on Consumer Protection in Electronic Commerce, etc.
- Records on display and advertisement: 6 months
- Records on contract or withdrawal of the offer, payment of the price, and supply of goods, etc.: 5 years
- Records on consumer complaints or dispute resolution: 3 years
- Retention of communication data in accordance with Article 15-2, Paragraph 2 of the Communications Secrets Protection Act:
- Service usage records, access logs, access IP addresses: 3 months
2. Children’s Privacy
a. We do not intend for our websites or online services to be used by anyone under the age of 18. We do not knowingly collect, sell, or share information of individuals under the age of 18. If you are a parent or guardian and believe we may have collected information about your child, please contact us immediately as described in this Policy's “10. Chief Privacy Officer and Personal Information Disclosure Claim” section. For more information, please see our Terms of Use.
b. However, Upstage Education (edu.upstage.ai) permits membership registration and service use only by residents of the Republic of Korea aged 14 or older.
3. Entrustment of personal information processing
a. The Company entrusts the following personal information processing tasks to external service providers for efficient personal information management.
b. When entering into a contract for entrustment, the Company shall specify the matters concerning the prohibition of personal information processing other than the purpose of performing the entrusted tasks, technical and administrative protection measures, restrictions on re-entrustment, management, and supervision of the trustee, and liability for damages in the contract or other documents by Article 26 of the Personal Information Protection Act, and shall supervise the trustee to ensure that the personal information is processed safely.
c. By Article 26, paragraph 6 of the Personal Information Protection Act, the trustee shall obtain the consent of the Company when re-entrusting the personal information processing tasks entrusted by the Company.
d. If the content of the entrusted tasks or the trustee changes, we will disclose it immediately through this Privacy Policy.
e. If we entrust personal information processing tasks overseas, we will inform you in '4. Transfer of Personal Information Overseas'.
4. Personal data transfer abroad
The company provides and outsources overseas services, such as service provision, marketing, and customer management services.
5. Procedure and method of destroying personal information
a. The Company shall destroy personal information without delay when it is no longer necessary to retain the personal information, such as when the retention period of personal information expires or when the purpose of processing is achieved.
b. Even if the retention period of personal information has expired or the purpose of processing has been achieved, if it is necessary to preserve personal information under other statutes, the Company shall transfer it to a separate database (DB) or store it in a separate storage place.
c. The procedure and method of destroying personal information are as follows.
- Destruction procedure
The company selects personal information for which the destruction reason has occurred and destroys the personal information according to internal regulations.
- Destruction method
The company destroys personal information recorded and stored in electronic files, making reproducing the record impossible. It also shreds the personal information recorded and stores it in paper documents.
6. Rights, obligations, and exercise methods of the information subject and the legal representative
a. The information subject may exercise the following rights against the company at any time.
※ For the exercise of rights by minor users and their legal guardians, please refer to Section 2 (Processing of children’s personal information).
b. The exercise of rights may be made by written, e-mail, facsimile, etc., to the company by Article 41 (1) of the Enforcement Decree of the Personal Information Protection Act, and the company will take action without delay.
c. The exercise of rights may be made through a representative, such as a legal representative or a person entrusted with the exercise of rights. In this case, a power of attorney by the attached Form 11 of the "Enforcement Decree of the Personal Information Protection Act" must be submitted.
d. The right to request the disclosure of personal information and the right to request the correction, deletion, and suspension of processing may be limited by Article 35 (4) and Article 37 (2) of the Personal Information Protection Act.
e. The company may refuse to delete personal information if specified as the collection subject in other statutes.
f. The company verifies whether the person who has requested the disclosure is the person who has asked for the disclosure or a legitimate representative.
7. Measures to ensure the safety of personal information
The company is taking the following measures to ensure the safety of personal information.
- Administrative measures: Establishment and implementation of internal management plans, operation of dedicated organizations, and regular employee education
- Technical measures: Management of access rights to personal information processing systems, installation of access control systems, encryption of personal information, Installation and updating of security programs
- Physical measures: Access control of computer centers, etc.
8. Installation and operation of personal information automatic collection devices, and refusal
a. The Company uses Google Analytics, MS Clarity, and LinkedIn in accordance with Article 15, Paragraph 1, Subparagraph 1 (Consent) of the Personal Information Protection Act. Information on service users is collected through each tool, and in this case, only non-identifiable information that cannot identify individual users is collected.
- Google Analytics: Install the blocking browser add-on (https://tools.google.com/dlpage/gaoptout) or [Installation, operation, and rejection of cookies] below
- MS Clarity: [Installation, operation, and rejection of cookies] below
- LinkedIn: [Installation, operation, and rejection of cookies] below
b. Cookies are small pieces of information sent to the user's computer browser by the server (HTTPS)
used to operate the website and are stored on the hard disk of the user's PC.
- Purpose of use of cookies: This information is used to understand each service visited by the user, including the types of visits and usage, search terms, and whether a secure connection was used to provide optimized information to the user.
- Refusal of cookie installation and operation: In Chrome, you can refuse cookie storage through the web browser's right side (⋮) > Settings menu > Privacy and security > Cookies and other site data or a new secret window (or new InPrivate window).
- If you refuse cookie storage, there may be restrictions on using some services, such as logging in.
9. Additional use·provision judgment criteria
a. The company may use and provide personal information without the consent of the information subject by Article 15 (3) and Article 17 (4) of the 「Personal Information Protection Act」 and Article 14-2 of the Enforcement Decree of the 「Personal Information Protection Act」.
b. Accordingly, the company has considered the following matters to use and provide additional information without the consent of the information subject.
- Whether the purpose of using and providing personal information is related to the original purpose of collection
- Whether there is a predictability of additional use and provision in light of the circumstances in which personal information is collected, or the processing practices
- Whether the additional use and provision of personal information unreasonably infringes the interests of the information subject
- Whether necessary measures have been taken to ensure safety, such as pseudonymization or cryptography
10. Chief Privacy Officer and Personal Information Disclosure Claim
a. The company has designated a Chief Privacy Officer responsible for managing personal information and handling complaints and remedies related to processing personal data.
b. The information subject may request the disclosure of personal information under Article 35 of the "Personal Information Protection Act" to the department below. The company will make every effort to ensure that the request for the disclosure of personal information is processed promptly.
c. The information subject may inquire about all matters related to protecting personal information, such as complaints and remedies, by contacting the Chief Privacy Officer and the department in charge. The company will respond to the information subject's inquiry quickly.
11. Methods of Exercising Rights
a. The company is committed to protecting the information subject's right to self-determination and is making efforts to provide counseling and remedies for personal information infringement. If you need to report or consult, please contact the department below.
b. The information subject may apply for dispute resolution or consultation with the Personal Information Dispute Mediation Committee, the Korea Internet & Security Agency, etc., for remedies for personal information infringement. Please contact agencies for other reports on personal information infringement, consultations, etc.
- Personal Information Dispute Mediation Committee: +82 1833-6972 (www.kopico.go.kr)
- Personal Information Infringement Reporting Center: +82 118 (privacy.kisa.or.kr)
- Supreme Prosecutors' Office: +82 1301 (www.spo.go.kr)
- National Police Agency: +82 182 (ecrm.police.go.kr)
c. If the information subject has suffered damage due to the disposition or non-action of the head of the public institution regarding the request for the exercise of rights under Article 35 (Access to Personal Information), Article 36 (Correction, Deletion, etc. of Personal Information), and Article 37 (Suspension of Processing of Personal Information) of the Personal Information Protection Act, he/she may file an administrative appeal by the Administrative Appeals Act.
- Central Administrative Appeals Commission: +82 110 (www.simpan.go.kr)
12. Changes to the Privacy Policy
a. This Privacy Policy will take effect on May. 01, 2026.
b. The previous Upstage Console Privacy Policy can be found at the link below.
- 2026. 04. 01 ~ 2026. 04. 30 (click)
- 2025. 12. 18 ~ 2026. 03. 31 (Click)
- 2025. 09. 16 ~ 2025. 12. 17 (Click)
- 2025. 05. 29 ~ 2025. 09. 15 (Click)
- 2025. 03. 08 ~ 2025. 05. 28 (Click)
- 2024. 12. 19 ~ 2025. 03. 07 (Click)
- 2024. 11. 29 ~ 2024. 12. 18 (Click)
- 2024. 09. 26 ~ 2024. 11. 28 (Click)
- 2024. 08. 01 ~ 2024. 09. 25 (Click)
- 2024. 07. 12 ~ 2024. 07. 31 (Click)
- 2024. 03. 13 ~ 2024. 07. 11 (Click)
- 2024. 02. 28 ~ 2024. 03. 12 (Click)
- 2023. 12. 20 ~ 2024. 02. 28 (Click)
- 2023. 11. 01 ~ 2023. 12. 19
- 2023. 06. 30 ~ 2023. 10. 31
Privacy Policy — U.S. Supplemental Provisions
This U.S. Supplement (“U.S. Supplement”) serves to augment the Privacy Policy (“Basic Policy”) of Upstage, Inc. (“Upstage,” “the Company,” “We”). This U.S. Supplement is applicable to U.S. residents and furnishes supplementary disclosures in adherence to relevant U.S. state privacy legislation, including the California Consumer Privacy Act (as amended by the California Privacy Rights Act, collectively referred to as the “CCPA”). Should any inconsistency arise between this U.S. Supplement and the Basic Policy, this U.S. Supplement shall take precedence for U.S. residents.
Specific disclosures are mandated by U.S. state privacy laws. The following table provides additional information on the categories of personal information collected by the Company and the methods by which such information is used and disclosed. For comprehensive details on the personal information collected by the Company, kindly consult Article 1 of the Basic Policy; for information on the outsourcing of personal information processing, please refer to Article 3 of the Basic Policy; and for details on overseas transfer, please consult Article 4 of the Basic Policy.
1. Personal Information Category
2. Sale and sharing of personal information
The Company does not “sell” personal information or “share” personal information for contextual behavioral advertising as defined by applicable state privacy laws. Furthermore, the Company does not process sensitive personal information to infer consumer characteristics. The Company maintains and uses anonymized information in an anonymized form and does not attempt to re-identify such information except where permitted by law.
3. Data usage for AI model training
The Company may use input and output data to improve AI models and services in accordance with the Basic Policy. For details on what data is used, how it is processed, and how settings are managed, please refer to the relevant provisions of the Basic Policy.
4. Your rights under U.S. state privacy laws
Depending on your place of residence and applicable exceptions, you may have the following privacy rights with respect to personal information:
- Right to know about the processing of personal information (including the right to access personal information in a portable format)
- Right to request the deletion of personal information
- Right to request the correction of inaccurate personal information
- Right to refuse the “sale” of personal information and “sharing” for cross-contextual behavioral advertising.
- Right to restrict the use and disclosure of sensitive personal information.
- Right not to be retaliated against in connection with the exercise of personal information protection rights.
5. How to exercise your rights
The privacy rights specified in this clause may be exercised in the following ways:
- Send an email to infosec@upstage.ai
- Submit a request via the support menu on get.support.upstage.ai
- For recruitment application data, contact joinstage@upstage.ai
Identity Verification. To protect your personal information from unauthorized access, alteration, or deletion, the Company may verify your identity before processing a request. If you do not have an account or if fraudulent activity is suspected, additional personal information may be requested.
Agents. If you submit a request through an authorized agent, the Company may require proof of that agent's authorization. Even when using an agent, you may still be required to verify your identity yourself.
The Company responds to verified consumer requests within 45 days. If additional time is required (up to an additional 45 days), we will notify you in writing of the reason and the extension period.
6. Appeals
Depending on your place of residence, you may have the right to object to the Company’s decision regarding your request to exercise your rights. To object, please send a request to infosec@upstage.ai with the subject line “Objection to Privacy Rights.” The Company will respond to objections within the period required by applicable law.
7. “Do not track.”
Some web browsers send “Do Not Track” (DNT) signals to websites. Since no unified industry standard has been established, we do not currently respond to DNT signals. However, if Global Privacy Control (GPC) signals are available and recognized under applicable state laws, we treat them as valid denial requests.
8. Child privacy protection
The Company's services are not intended for individuals under the age of 18. We do not intentionally collect personal information from children under this age. If you believe that a child's personal information has been collected, please contact infosec@upstage.ai immediately.
9. Changes to the U.S. Supplemental Provisions
The Company may update these U.S. Supplemental Provisions from time to time to reflect changes in practice or applicable laws. In the event of material changes, the Company will post an updated version on the Website with a new effective date.
10. Contact
If you have any questions regarding these U.S. Supplements or wish to exercise your rights, please contact us at the following:
Upstage Co., Ltd.
Unit 815, Korea Science & Technology Center Building 2,22 Teheran-ro 7-gil, Gangnam-gu, Seoul 06130, Republic of Korea
Email: infosec@upstage.ai
Recruitment Inquiries: joinstage@upstage.ai
Privacy Policy — Supplementary Provisions for the European Economic Area (EEA), the United Kingdom, and Switzerland
These Supplementary Provisions for the European Economic Area, the United Kingdom, and Switzerland (hereinafter referred to as the “EU Supplementary Provisions”) supplement Upstage Co., Ltd.’s Privacy Policy (hereinafter referred to as the “Basic Policy”). It applies to individuals located in the EEA, the United Kingdom, and Switzerland. In the event of any conflict between these Provisions and the Basic Policy, these Provisions shall prevail.
Please refer to Article 1 of the Basic Policy for specific items of personal information collected, Article 3 for entrusted processing, and Article 4 for international transfer.
1. Data controller
Upstage Co., Ltd. is the data controller that processes your personal information in connection with our services.
Unit 815, Korea Science & Technology Center Building 2,22 Teheran-ro 7-gil, Gangnam-gu, Seoul 06130, Republic of Korea
Email: infosec@upstage.ai
2. Legal basis for personal information processing
We process only where there is a valid legal basis in accordance with the GDPR and UK GDPR. Please refer to Article 1 of the Basic Policy for specific items collected.
3. Your rights under GDPR
If located in the EEA, the United Kingdom, or Switzerland, you have the following rights:
- Right of access (Article 15 of the GDPR) — To verify whether personal data has been processed and to request a copy
- Right of rectification (Article 16 of the GDPR) — To correct inaccurate or incomplete data
- Right of erasure (Article 17 of the GDPR) — To request the deletion of personal data under certain conditions
- Right to limit processing (Article 18 of the GDPR) — To limit processing under certain circumstances.
- Right of data portability (Article 20 of the GDPR) — To receive data in a structured, machine-readable format
- Right to object (Article 21 of the GDPR) — To object to processing based on legitimate interests or direct marketing.
- Right regarding automated decision-making (Article 22 of the GDPR) — To request human intervention regarding automated decisions with legal or material impact
- Right to withdraw consent (Article 7, Paragraph 3 of the GDPR) — To withdraw at any time; processing prior to withdrawal is not affected.
- Right to file a complaint (Article 77 of the GDPR) — To file a complaint with the relevant regional supervisory authority (UK: ICO, Switzerland: FDPIC)
Exercise your rights: Contact infosec@upstage.ai. Response within 1 month, extendable up to 2 months.
4. Overseas data transfer
Your personal information may be transferred to the Republic of Korea and other countries outside the EEA, the UK, and Switzerland. Please refer to Articles 3 and 4 of the Basic Policy for the full list and locations of recipients. Transfers rely on the following mechanisms:
- The Republic of Korea received an EU Adequacy Decision from the European Commission in December 2021. Accordingly, the transfer of personal data from the EEA to the Republic of Korea may be carried out without additional safeguards.
- Standard Contractual Clause (SCC) (Article 46, Paragraph 2 (c) of the GDPR)
- UK Annex on International Data Transfer regarding the SCC
- Copies of applicable safeguards or related information may be provided upon request.
Request a copy of protective measures: infosec@upstage.ai
5. Data retention
We retain data only for the period necessary to fulfill the purpose of collection. Please refer to Article 1 of the Basic Policy for specific retention periods.
6. Automated decision-making and profiling
The Company currently does not make automated decisions with legal or similarly material impact as defined in Article 22 of the GDPR. We will update this provision and provide appropriate safeguards in the event of future changes.
7. Child privacy protection
We do not target individuals under the age of 18. We do not intentionally collect personal information from children under that age without the consent of a valid parent or legal representative. If you believe that a child's personal data has been collected, please contact infosec@upstage.ai.
8. DPO
Jeffrey / Email: infosec@upstage.ai
9. Cookies
We use cookies and tracking technologies, such as Microsoft Clarity and Google Analytics. In accordance with the GDPR and ePrivacy Directive, we obtain consent before installing non-essential cookies. You can manage this through the cookie consent banner or your browser settings. Please refer to our Basic Policy for more details.
10. Changes to the EU supplementary provisions
In the event of significant changes, we will post an updated version on the website along with the new effective date and provide additional notice if necessary.
11. Contact
If you have any questions regarding these U.S. Supplements or wish to exercise your rights, please contact us at the following:
Upstage Co., Ltd.
Unit 815, Korea Science & Technology Center Building 2,22 Teheran-ro 7-gil, Gangnam-gu, Seoul 06130, Republic of Korea
Email: infosec@upstage.ai
Recruitment Inquiries: joinstage@upstage.ai
주식회사 업스테이지(이하 ‘회사’라 한다)의 서비스 (공식 홈페이지(upstage.ai), 업스테이지 콘솔(console.upstage.ai), AI Space(space.upstage.ai), Upstage Studio(studio.upstage.ai), Education(edu.upstage.ai) 등을 포함하며, 이하 통칭하여 ‘Upstage Service’라 한다)를 이용하는 정보주체(이용자)의 자유와 권리 보호를 위해 「개인정보 보호법」 및 관계 법령이 정한 바를 준수하여, 적법하게 개인정보를 처리하고 안전하게 관리하고 있습니다. 이에 「개인정보 보호법」 제30조에 따라 정보주체에게 개인정보 처리에 관한 절차 및 기준을 안내하고, 이와 관련한 고충을 신속하고 원활하게 처리할 수 있도록 하기 위하여 다음과 같이 개인정보 처리방침을 수립·공개합니다.
* “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다. [출처:개인정보 보호법]
1. 개인정보의 처리 목적, 수집항목, 보유 및 이용기간
회사는 다음의 목적을 위하여 개인정보를 처리하며, 정보주체의 개인정보 항목을 「개인정보 보호법」 제15조 제1항 제1호 및 제22조 제1항 제7호에 따라 정보주체의 동의를 받아 처리하고 있습니다. 이용 목적이 변경되는 경우에는 「개인정보 보호법」 제18조에 따라 별도의 동의를 받는 것과 같은 필요한 조치를 이행할 예정입니다.
가. 회원 가입 및 관리 : 회원 탈퇴 시까지
다만, 다음의 사유에 해당하는 경우에는 해당 사유 종료 시까지
- 관계 법령 위반에 따른 수사・조사 등이 진행 중인 경우에는 해당 수사・조사 종료 시까지
- 서비스 이용에 따른 채권・채무관계 잔존 시에는 해당 채권・채무관계 정산 시까지
나. 재화 또는 서비스 제공 : 재화·서비스 공급완료 및 요금결제・정산 완료시까지
다만, 다음의 사유에 해당하는 경우에는 해당 기간 종료 시까지
- 「전자상거래 등에서의 소비자 보호에 관한 법률」 제6조에 따른 표시・광고, 계약내용 및 이행 등 거래에 관한 기록
- 표시·광고에 관한 기록 : 6개월
- 계약 또는 청약철회, 대금결제, 재화 등의 공급기록 : 5년
- 소비자 불만 또는 분쟁처리에 관한 기록 : 3년
- 「통신비밀보호법」 제15조의2제2항에 따른 통신사실확인자료 보관
- 서비스이용기록, 접속로그, 접속IP주소 : 3개월
다. 비회원 서비스 제공 : 1년
다만, 개인정보 열람청구를 통해 비회원 이용자가 삭제를 요청하는 경우 지체 없이 삭제
라. 서비스 이용 과정에서 자동 수집되는 서비스 이용 기록이 수집될 수 있습니다.
- 웹사이트 방문이력, 쿠키, 접속 정보(IP, 로그 등), 운영체제 버전 및 기기 모델명
2. 아동의 개인정보 처리에 관한 사항
가. 회사의 서비스는 18세 미만에게 적합하지 않습니다. 회사는 18세 미만의 이용자 정보를 수집, 판매 또는 공유하지 않습니다. 만약 귀하의 자녀가 정보를 제공했을 가능성이 있다고 생각되면, 이 정책의 "10. 개인정보 보호책임자 및 개인정보 열람청구"에 설명된 대로 즉시 연락 주시기 바랍니다. 자세한 내용은 이용약관을 참조하십시오.
나. 다만, Upstage Education (edu.upstage.ai)의 경우, 14세 이상의 대한민국 거주 이용자에 한하여 회원 가입 및 서비스 이용을 허용합니다.
3. 개인정보 처리의 위탁
가. 회사는 원활한 개인정보 업무처리를 위하여 다음과 같이 개인정보 처리업무를 위탁하고 있습니다.
나. 회사는 위탁계약 체결 시 「개인정보 보호법」 제26조에 따라 위탁업무 수행목적 외 개인정보 처리금지, 기술적·관리적 보호조치, 재위탁 제한, 수탁자에 대한 관리·감독, 손해배상 책임에 관한 사항을 계약서와 같은 문서에 명시하고, 수탁자가 개인정보를 안전하게 처리하는지를 감독하고 있습니다.
다. 「개인정보 보호법」 제26조 제6항에 따라 수탁자가 당사의 개인정보 처리업무를 재위탁하는 경우 회사의 동의를 받고 있습니다.
라. 위탁업무의 내용이나 수탁자가 변경될 경우에는 지체없이 본 개인정보 처리방침을 통하여 공개하도록 하겠습니다.
마. 개인정보 처리 업무를 국외에 위탁하는 경우는 ‘4. 개인정보 국외 이전'에서 안내하고 있습니다.
4. 개인정보 국외 이전
회사는 서비스 제공, 마케팅, 고객관리 서비스를 위해 아래와 같이 국외에 제공·위탁하고 있습니다.
5. 개인정보의 파기 절차 및 방법
가. 회사는 개인정보 보유기간의 경과, 처리목적 달성과 같이 개인정보가 불필요하게 되었을 때에는 지체없이 해당 개인정보를 파기합니다.
나. 정보주체로부터 동의받은 개인정보 보유기간이 경과하거나 처리목적이 달성 되었음에도 불구하고 다른 법령에 따라 개인정보를 계속 보존하여야 하는 경우에는, 해당 개인정보를 별도의 데이터베이스(DB)로 옮기거나 보관장소를 달리하여 보존 합니다.
다. 개인정보 파기의 절차 및 방법은 다음과 같습니다.
- 파기절차
회사는 파기 사유가 발생한 개인정보를 선정하고, 내부 규정에 따라 개인정보를 파기합니다.
- 파기방법
회사는 전자적 파일 형태로 기록·저장된 개인정보는 기록을 재생할 수 없도록 파기하며, 종이 문서에 기록·저장된 개인정보는 분쇄기로 분쇄 하여 파기합니다.
6. 정보주체와 법정대리인의 권리·의무 및 행사방법
가. 정보주체는 회사에 대해 언제든지 개인정보 열람·정정·삭제·처리정지 및 철회 요구 등의 권리를 행사할 수 있습니다.
※ 미성년자 이용자 및 법정대리인의 권리 행사에 관한 사항은 제2조(아동의 개인정보 처리에 관한 사항)를 참조하시기 바랍니다.
나. 권리 행사는 회사에 대해 「개인정보 보호법」 시행령 제41조 제1항에 따라 서면, 전자우편, 모사전송(FAX) 등을 통하여 하실 수 있으며, 회사는 이에 대해 지체없이 조치하겠습니다.
다. 권리 행사는 정보주체의 법정대리인이나 위임을 받은 자와 같이 대리인을 통하여 하실 수도 있습니다. 이 경우 “개인정보 처리 방법에 관한 고시” 별지 제11호 서식에 따른 위임장을 제출하셔야 합니다.
라. 개인정보 열람 및 처리정지 요구는 「개인정보 보호법」 제35조 제4항, 제37조 제2항에 의하여 정보주체의 권리가 제한 될 수 있습니다.
마. 개인정보의 정정 및 삭제 요구는 다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있는 경우에는 그 삭제를 요구할 수 없습니다.
바. 회사는 정보주체 권리에 따른 열람의 요구, 정정·삭제의 요구, 처리 정지의 요구 시 열람 요구를 한 자가 본인이거나 정당한 대리인인지를 확인합니다.
7. 개인정보의 안전성 확보조치
회사는 개인정보의 안전성 확보를 위해 다음과 같은 조치를 취하고 있습니다.
- 관리적 조치 : 내부관리계획 수립·시행, 전담조직 운영, 정기적 직원 교육
- 기술적 조치 : 개인정보처리시스템 등의 접근권한 관리, 접근통제시스템 설치, 개인정보의 암호화, 보안프로그램 설치 및 갱신
- 물리적 조치 : 전산센터 등의 접근통제
8. 개인정보 자동 수집 장치의 설치·운영 및 거부에 관한 사항
가. 회사는 「개인정보 보호법」 제15조제1항제1호(동의)에 따라 Google Analytics, MS Clarity, Linkedin를 이용하고 있습니다.
각 도구를 통하여 서비스 이용자의 정보를 수집하게 되며, 회사는 개인을 직접 식별하지 않는 범위에서 분석 정보를 활용합니다.
그럼에도 이용자는 각 도구 별 설정을 통해 이용을 거부할 수 있습니다.
- Google Analytics: 차단 브라우저 부가기능의 설치(https://tools.google.com/dlpage/gaoptout) 또는 하단 [쿠키의 설치·운영 및 거부]
- MS Clarity: 하단 [쿠키의 설치·운영 및 거부]
- LinkedIn: 하단 [쿠키의 설치·운영 및 거부]
나. 쿠키는 웹사이트를 운영하는데 이용되는 서버(https)가 이용자의 컴퓨터 브라우저에게 보내는 소량의 정보이며 이용자들의 PC 컴퓨터내의 하드디스크에 저장되기도 합니다.
- 쿠키의 사용목적: 이용자가 방문한 각 서비스에 대한 방문 및 이용형태, 검색어, 보안접속 여부, 등을 파악하여 이용자에게 최적화된 정보 제공을 위해 사용됩니다.
- 쿠키의 설치·운영 및 거부 : Chrome에서는 웹 브라우저 우측( ⋮ ) > 설정 메뉴 > 개인 정보 보호 및 보안 > 쿠키 및 기타 사이트데이터 또는 새 시크릿창(또는 새 InPrivate창)를 통해 쿠키 저장을 거부 할 수 있습니다.
- 쿠키 저장을 거부할 경우 로그인 등 일부 서비스 이용에 제한이 있을 수 있습니다.
9. 추가적인 이용·제공 판단기준
가. 회사는 「개인정보 보호법」 제15조제3항 및 제17조제4항에 따라 「개인정보 보호법」 시행령 제14조의2에 따른 사항을 고려하여 정보주체의 동의 없이 개인정보를 추가적으로 이용·제공할 수 있습니다.
나. 이에 따라 회사는 정보주체의 동의 없이 추가적인 이용·제공을 하기 위해서 다음과 같은 사항을 고려하였습니다.
- 개인정보를 추가적으로 이용·제공하려는 목적이 당초 수집 목적과 관련성이 있는지 여부
- 개인정보를 수집한 정황 또는 처리 관행에 비추어 볼 때 추가적인 이용·제공에 대한 예측 가능성이 있는지 여부
- 개인정보의 추가적인 이용·제공이 정보주체의 이익을 부당하게 침해하는지 여부
- 가명처리 또는 암호화와 같은 안전성 확보에 필요한 조치를 하였는지 여부
10. 개인정보 보호책임자 및 개인정보 열람청구
가. 회사는 개인정보 처리에 관한 업무를 총괄해서 책임지고, 개인정보 처리와 관련한 정보주체의 불만처리 및 피해구제 등을 위하여 아래와 같이 개인정보 보호책임자를 지정하고 있습니다.
나. 정보주체는 「개인정보 보호법」 제35조에 따른 개인정보의 열람 청구를 아래의 부서에 할 수 있습니다. 회사는 정보주체의 개인정보 열람청구가 신속하게 처리되도록 노력하겠습니다.
다. 정보주체는 회사의 서비스(또는 사업)을 이용하시면서 발생한 모든 개인정보보호 관련 문의, 불만처리, 피해구제 등에 관한 사항을 개인정보 보호책임자 및 담당부서로 문의할 수 있습니다. 회사는 정보주체의 문의에 대해 지체없이 답변 및 처리해드릴 것입니다.
11. 권익침해 구제방법
가. 회사는 정보주체의 개인정보자기결정권을 보장하고, 개인정보침해로 인한 상담 및 피해 구제를 위해 노력하고 있으며, 신고나 상담이 필요한 경우 아래의 담당부서로 연락해 주시기 바랍니다.
나. 정보주체는 개인정보침해로 인한 구제를 받기 위하여 개인정보분쟁조정위원회, 한국인터넷진흥원 개인정보침해신고센터 등에 분쟁해결이나 상담 등을 신청할 수 있습니다. 이 밖에 기타 개인정보침해의 신고, 상담에 대하여는 아래의 기관에 문의하시기 바랍니다.
- 개인정보분쟁조정위원회 : (국번없이) 1833-6972 (www.kopico.go.kr)
- 개인정보침해신고센터 : (국번없이) 118 (privacy.kisa.or.kr)
- 대검찰청 : (국번없이) 1301 (www.spo.go.kr)
- 경찰청 : (국번없이) 182 (ecrm.police.go.kr)
다. 「개인정보 보호법」 제35조(개인정보의 열람), 제36조(개인정보의 정정·삭제), 제37조(개인정보의 처리정지 등)의 규정에 의한 요구에 대 하여 공공기관의 장이 행한 처분 또는 부작위로 인하여 권리 또는 이익의 침해를 받은 자는 행정심판법이 정하는 바에 따라 행정심판을 청구할 수 있습니다.
- 중앙행정심판위원회 : (국번없이) 110 (www.simpan.go.kr)
12. 개인정보 처리방침의 변경
가. 이 개인정보 처리방침은 2026년 05월 01일부터 적용됩니다.
나. Upstage Service의 이전 개인정보 처리방침은 아래 링크에서 확인하실 수 있습니다.
- 2026. 04. 01 ~ 2026. 04. 30 적용 (클릭)
- 2025. 12. 18 ~ 2026. 03. 31 적용 (클릭)
- 2025. 09. 16 ~ 2025. 12. 17 적용 (클릭)
- 2025. 05. 29 ~ 2025. 09. 15 적용 (클릭)
- 2025. 03. 08 ~ 2025. 05. 28 적용 (클릭)
- 2024. 12. 19 ~ 2025. 03. 07 적용 (클릭)
- 2024. 11. 29 ~ 2024. 12. 18 적용 (클릭)
- 2024. 09. 26 ~ 2024. 11. 28 적용 (클릭)
- 2024. 08. 01 ~ 2024. 09. 25 적용 (클릭)
- 2024. 07. 12 ~ 2024. 07. 31 적용 (클릭)
- 2024. 03. 13 ~ 2024. 07. 11 적용 (클릭)
- 2024. 02. 28 ~ 2024. 03. 12 적용 (클릭)
- 2023. 12. 20 ~ 2024. 02. 28 적용 (클릭)
- 2023. 11. 01 ~ 2023. 12. 19 적용 (클릭)
- 2023. 06. 30 ~ 2023. 10. 31 적용 (클릭)
개인정보 처리방침 — 미국 보충 조항
본 미국 보충 조항(“미국 보충 조항”)은 주식회사 업스테이지(“Upstage”, “회사”, “우리”)의 개인정보 처리방침(“기본 방침”)을 보충합니다. 본 미국 보충 조항은 미국 거주자에게 적용되며, 캘리포니아 소비자 개인정보보호법(캘리포니아 개인정보 권리법에 의해 개정, 통칭 “CCPA”)을 포함한 해당 미국 주 개인정보보호법에 따른 추가 공개 사항을 제공합니다. 본 미국 보충 조항과 기본 방침 간에 충돌이 있는 경우, 미국 거주자에 대해서는 본 미국 보충 조항이 우선합니다.
미국 주 개인정보보호법은 특정 공개 사항을 요구합니다. 아래 표는 회사가 수집하는 개인정보 카테고리와 해당 정보의 이용 및 공개 방법에 대한 추가 정보를 제공합니다. 회사가 수집하는 개인정보에 대한 자세한 내용은 기본 방침 제1조, 개인정보 처리 위탁에 대해서는 기본 방침 제3조, 국외 이전에 대해서는 기본 방침 제4조를 참조하십시오.
1. 개인정보 카테고리
2. 개인정보 판매 및 공유
회사는 해당 주 개인정보보호법에서 정의하는 바에 따라 개인정보를 “판매”하거나 문맥 간 행동 광고를 위해 개인정보를 “공유”하지 않습니다. 또한 소비자에 대한 특성을 추론하기 위한 목적으로 민감한 개인정보를 처리하지 않습니다. 회사는 비식별화된 정보를 비식별화된 형태로 유지·사용하며, 법률이 허용하는 경우를 제외하고 해당 정보를 재식별하려는 시도를 하지 않습니다.
3. AI 모델 학습을 위한 데이터 사용
회사는 AI 모델 및 서비스 개선을 위해 기본 방침에 명시된 바에 따라 입력 및 출력 데이터를 사용할 수 있습니다. 어떤 데이터가 사용되는지, 처리 방법, 그리고 설정 관리 방법에 대한 자세한 내용은 기본 방침의 관련 조항을 참조하십시오.
4. 미국 주 개인정보보호법에 따른 귀하의 권리
거주지 및 해당 예외 사항에 따라, 귀하는 개인정보와 관련하여 다음과 같은 개인정보 보호 권리를 가질 수 있습니다:
- 개인정보 처리에 대한 정보를 알 권리 (이동 가능한 형식으로 개인정보에 접근할 권리 포함)
- 개인정보 삭제를 요청할 권리
- 부정확한 개인정보의 수정을 요청할 권리
- 개인정보 “판매” 및 문맥 간 행동 광고를 위한 “공유”를 거부할 권리
- 민감한 개인정보의 사용 및 공개를 제한할 권리
- 개인정보 보호 권리 행사와 관련하여 보복을 받지 않을 권리
5. 권리 행사 방법
본 조항에 명시된 개인정보 보호 권리는 다음과 같은 방법으로 행사하실 수 있습니다:
- infosec@upstage.ai로 이메일 발송
- get.support.upstage.ai의 지원 메뉴를 통해 요청 제출
- 채용 지원 데이터의 경우 joinstage@upstage.ai로 연락
본인 확인. 귀하의 개인정보를 무단 접근, 변경 또는 삭제로부터 보호하기 위해, 회사는 요청 처리 전에 귀하의 신원을 확인할 수 있습니다. 계정이 없거나 사기성 활동이 의심되는 경우, 추가 개인정보를 요청할 수 있습니다.
대리인. 권한을 부여받은 대리인을 통해 요청을 제출하는 경우, 회사는 대리인에게 권한을 부여한 증빙을 요구할 수 있습니다. 대리인을 이용하는 경우에도 귀하가 직접 본인 확인을 하셔야 할 수 있습니다.
회사는 검증된 소비자 요청에 대해 45일 이내에 응답합니다. 추가 시간이 필요한 경우(최대 45일 추가), 사유와 연장 기간을 서면으로 알려드립니다.
6. 이의 제기 (Appeals)
거주지에 따라, 귀하는 권리 행사 요청에 대한 회사의 결정에 이의를 제기할 권리를 가질 수 있습니다. 이의를 제기하려면 infosec@upstage.ai로 제목에 “개인정보 권리 이의 제기”를 기재하여 요청을 보내주십시오. 회사는 해당 법률이 요구하는 기간 내에 이의 제기에 응답합니다.
7. “추적 금지” 신호
일부 웹 브라우저는 웹사이트에 “추적 금지”(DNT) 신호를 전송합니다. 통일된 업계 표준이 수립되지 않았으므로 현재 DNT 신호에 응답하지 않습니다. 다만, 해당 주 법률에 따라 GPC(Global Privacy Control) 신호가 사용 가능하고 인정되는 경우, 이를 유효한 거부 요청으로 처리합니다.
8. 아동 개인정보 보호
회사의 서비스는 18세 미만의 개인을 대상으로 하지 않습니다. 해당 연령 미만의 아동으로부터 개인정보를 의도적으로 수집하지 않습니다. 아동의 개인정보가 수집된 것으로 판단되는 경우 infosec@upstage.ai로 즉시 연락해 주십시오.
9. 본 미국 보충 조항의 변경
회사는 관행 변경 또는 해당 법률 변경을 반영하기 위해 본 미국 보충 조항을 수시로 업데이트할 수 있습니다. 중요한 변경 사항이 있는 경우, 새로운 시행일과 함께 웹사이트에 업데이트된 버전을 게시합니다.
10. 연락처
본 미국 보충 조항에 대한 문의 사항이 있거나 권리를 행사하고자 하는 경우 아래로 연락해 주십시오:
주식회사 업스테이지
서울 강남구 테헤란로7길 22 한국과학기술회관 2관, 815호
이메일: infosec@upstage.ai
채용 관련 문의: joinstage@upstage.ai
개인정보 처리방침 — 유럽경제지역(EEA), 영국 및 스위스 보충 조항
본 유럽경제지역, 영국 및 스위스 보충 조항(이하 “EU 보충 조항”)은 주식회사 업스테이지의 개인정보 처리방침(이하 “기본 방침”)을 보충합니다. EEA, 영국, 스위스에 소재한 개인에게 적용됩니다. 본 조항과 기본 방침 간 충돌 시 본 조항이 우선 적용됩니다.
수집하는 개인정보의 구체적 항목은 기본 방침 제1조, 위탁 처리는 제3조, 국외 이전은 제4조를 참조하십시오.
1. 데이터 컨트롤러
주식회사 업스테이지는 당사 서비스와 관련하여 귀하의 개인정보를 처리하는 데이터 컨트롤러입니다.
서울 강남구 테헤란로7길 22 한국과학기술회관 2관, 815호
이메일: infosec@upstage.ai
2. 개인정보 처리의 법적 근거
GDPR 및 UK GDPR에 따라 유효한 법적 근거가 있는 경우에만 처리합니다. 구체적인 수집 항목은 기본 방침 제1조를 참조하십시오.
3. GDPR에 따른 귀하의 권리
EEA, 영국, 스위스에 소재한 경우 다음 권리를 가집니다:
- 접근권 (GDPR 제15조) — 개인정보 처리 여부 확인 및 사본 요청
- 정정권 (GDPR 제16조) — 부정확하거나 불완전한 데이터 수정
- 삭제권 (GDPR 제17조) — 특정 조건에서 개인정보 삭제 요청
- 처리 제한권 (GDPR 제18조) — 특정 상황에서 처리 제한
- 데이터 이동권 (GDPR 제20조) — 구조화된 기계 판독 가능 형식으로 수신
- 이의제기권 (GDPR 제21조) — 정당한 이익 기반 처리 또는 직접 마케팅에 대한 이의
- 자동화된 의사결정 관련 권리 (GDPR 제22조) — 법적 또는 중대한 영향을 미치는 자동화된 결정에 대해 인간의 개입을 요청할 권리
- 동의 철회권 (GDPR 제7조 제3항) — 언제든지 철회 가능, 철회 이전 처리에는 영향 없음
- 민원 제기권 (GDPR 제77조) — 해당 지역 감독기관에 민원 (UK: ICO, 스위스: FDPIC)
권리 행사: infosec@upstage.ai로 연락. 1개월 이내 응답, 최대 2개월 연장 가능.
4. 국제 데이터 이전
귀하의 개인정보는 대한민국 및 기타 EEA/영국/스위스 외부 국가로 이전될 수 있습니다. 수신자 전체 목록과 소재지는 기본 방침 제3조 및 제4조를 참조하십시오. 이전 시 다음 메커니즘에 의존합니다:
- 대한민국은 2021년 12월 유럽연합 집행위원회의 적정성 결정(EU Adequacy Decision)을 받았습니다. 이에 따라 EEA에서 대한민국으로의 개인정보 이전은 추가적인 보호조치 없이 이루어질 수 있습니다.
- 표준계약조항(SCC) (GDPR 제46조 제2항 (c)호)
- SCC에 대한 영국 국제 데이터 이전 부속서
- 적용되는 보호조치의 사본 또는 관련 정보는 요청 시 제공될 수 있습니다.
보호조치 사본 요청: infosec@upstage.ai
5. 데이터 보유
수집 목적을 충족하는 데 필요한 기간 동안만 보유합니다. 구체적인 보유 기간은 기본 방침 제1조를 참조하십시오.
6. 자동화된 의사결정 및 프로파일링
현재 회사는 GDPR 제22조에서 규정하는 법적 또는 유사하게 중대한 영향을 미치는 자동화된 의사결정을 수행하지 않습니다. 향후 변경 시 본 조항을 갱신하고 적절한 보호 조치를 제공하겠습니다.
7. 아동 개인정보 보호
18세 미만의 개인을 대상으로 하지 않습니다. 유효한 부모 또는 법정대리인의 동의 없이 해당 연령 미만의 아동으로부터 개인정보를 의도적으로 수집하지 않습니다. 아동의 개인 데이터가 수집된 것으로 판단되는 경우 infosec@upstage.ai로 연락해 주십시오.
8. 데이터 보호 책임자(DPO)
Jeffrey / 이메일: infosec@upstage.ai
9. 쿠키 및 유사 기술
Microsoft Clarity, Google Analytics 등 쿠키 및 추적 기술을 사용합니다. GDPR 및 ePrivacy Directive에 따라 필수적이지 않은 쿠키 설치 전에 동의를 받습니다. 쿠키 동의 배너 또는 브라우저 설정으로 관리할 수 있습니다. 자세한 내용은 기본 방침을 참조하십시오.
10. 본 EU 보충 조항의 변경
중요 변경 시 새 시행일과 함께 웹사이트에 갱신된 버전을 게시하고, 필요한 경우 추가 통지를 제공합니다.
11. 문의처
주식회사 업스테이지
서울 강남구 테헤란로7길 22 한국과학기술회관 2관, 815호
이메일: infosec@upstage.ai
당사 응답에 불만족스러운 경우 해당 지역 감독기관에 민원을 제기할 수 있습니다.