Privacy Policy

Bom 개인정보처리방침

최종 업데이트: 2026년 3월 24일

본 방침은 BomToBe가 운영하는 Bom 서비스 전반에 적용됩니다. 여기에는 홈페이지, 데스크톱 에이전트, 웹 기반 원격 UI, 모바일 동반 앱, 그리고 관련 API 및 인증 흐름이 포함됩니다.

1. 적용 범위

본 방침은 사용자가 Bom에 접속하거나 계정을 만들고, 데스크톱 에이전트를 연결하고, Google로 로그인하고, 웹 또는 모바일 UI를 통해 세션을 확인하거나 승인하는 전 과정에 적용됩니다.

2. 수집하거나 처리하는 정보

2.1 계정 정보

  • 이메일 주소: Google 로그인 과정에서 제공받습니다.
  • 표시 이름 및 프로필 정보: 계정 표시와 사용자 식별에 사용합니다.
  • Google 계정 식별자: Bom 계정과 Google 계정을 연결하기 위해 사용합니다.

2.2 서비스 운영 정보

  • 에이전트 및 디바이스 연결 정보: 연결 시각, heartbeat 상태, 연결된 데스크톱/모바일 기기 식별 정보
  • 도구 실행 및 세션 메타데이터: 실행 시각, 도구 이름, 성공/실패 여부, 세션 상태, 승인 이벤트
  • 알림 관련 정보: 사용자가 알림을 켠 경우, 모바일 또는 브라우저 알림 전송에 필요한 토큰 및 구독 정보
  • 파일 전송 메타데이터: 업로드/다운로드 요청 시 전송 흐름을 유지하기 위한 파일명, 상태, 연결 정보

2.3 사용자의 기기에서 처리되는 데이터

Bom 데스크톱 에이전트는 파일, 브라우저, 앱, 시스템 작업을 사용자의 기기에서 직접 수행합니다. 로컬 파일 내용, 클립보드, 스크린샷, 브라우저 결과물 등은 요청한 기능을 수행하는 과정에서 사용자의 기기에서 처리될 수 있으며, 서버에는 기능 수행에 필요한 결과 또는 사용자가 명시적으로 전송한 데이터만 전달됩니다.

2.4 Google 사용자 데이터

Google 계정으로 로그인하면 Bom은 기본 프로필 정보만 요청합니다:

  • 로그인을 위한 기본 프로필 정보(이름, 이메일)만 요청합니다. Calendar, Sheets, Docs, Slides API 권한은 요청하지 않습니다.
  • 캘린더, Sheets, Docs 등 Google 서비스는 데스크톱의 브라우저 자동화를 통해 접근하며, Google API를 사용하지 않습니다.
  • privacy.s2.s2_4.items.2
  • privacy.s2.s2_4.items.3
  • privacy.s2.s2_4.items.4
  • privacy.s2.s2_4.items.5

Bom은 Google Workspace API 권한을 요청하거나 사용하지 않습니다. 모든 Google 서비스 이용은 사용자의 명시적 지시에 의한 브라우저 자동화로 이루어집니다.

3. 정보 이용 목적

  • 서비스 제공: 사용자 인증, 데스크톱 에이전트 연결, 웹/모바일 동기화, 세션 복구
  • 실행 전달: 사용자가 요청한 작업을 올바른 에이전트와 세션으로 라우팅하고 결과를 반환
  • 작업 실행: 사용자가 채팅 지시를 통해 명시적으로 요청한 데스크톱, 브라우저, 웹 자동화 작업 실행
  • 보안과 승인: 민감 작업 승인, 악용 방지, rate limit, 세션 검증, 감사 추적
  • 알림 및 가시성: 실행 상태, 승인 요청, 연결 상태를 웹과 모바일에 전달
  • 서비스 개선: 익명 또는 집계된 사용 지표를 통한 품질 개선과 장애 대응

4. Google API 서비스 — 제한적 사용 공개

Bom이 Google API에서 수신한 정보의 사용 및 다른 앱으로의 전송은 Google API 서비스 사용자 데이터 정책을 준수하며, 제한적 사용(Limited Use) 요구 사항을 포함합니다.

  • Bom은 본 방침에 기술된 사용자 대면 기능 — 즉, 계정 인증 및 식별을 제공하기 위해서만 Google 사용자 데이터(로그인 시 얻은 프로필 정보)에 대한 접근을 사용합니다.
  • Bom은 다음의 경우를 제외하고 Google 사용자 데이터를 제3자에게 전송하지 않습니다: (a) 사용자에게 표시되는 사용자 대면 기능을 제공하거나 개선하는 데 필요한 경우, (b) 악용 조사 등 보안 목적으로 필요한 경우, (c) 관련 법률을 준수하기 위해 필요한 경우, 또는 (d) 사용자가 명시적으로 동의한 경우.
  • Bom은 리타게팅, 맞춤형 또는 관심 기반 광고를 포함하여 광고 제공 목적으로 Google 사용자 데이터를 사용하지 않습니다.
  • Bom은 다음의 경우를 제외하고 사람이 Google 사용자 데이터를 읽는 것을 허용하지 않습니다: (a) 사용자가 명시적 동의를 한 경우, (b) 보안 목적으로 필요한 경우, (c) 관련 법률을 준수하기 위해 필요한 경우, 또는 (d) 데이터가 집계 및 익명화되어 내부 운영에 사용되는 경우.

5. 제3자 제공 및 외부 서비스

당사는 개인정보를 판매하지 않습니다. 다음과 같은 경우 필요한 범위 안에서 외부 서비스와 정보가 연동될 수 있습니다.

  • Google: 로그인을 위한 OAuth 인증. Bom은 기본 프로필 정보(이름, 이메일)만 요청합니다. Bom의 Google 데이터 접근은 제4조의 제한적 사용 공개에 따릅니다.
  • Microsoft Azure AI Speech: 음성-텍스트 변환만. 음성 명령을 사용하면 오디오가 Azure AI Speech API로 전송되어 텍스트로 변환됩니다. 오디오는 Bom에 저장되지 않습니다.
  • Firebase Cloud Messaging: 모바일 기기에 푸시 알림을 전달합니다. 알림 토큰과 메시지 페이로드(작업 상태 업데이트만, 개인 데이터 내용 아님)만 처리됩니다.
  • Microsoft Azure: 데스크톱과 모바일 간 파일 전송을 위한 임시 저장소. 파일은 2시간 이내에 자동 삭제됩니다.
  • CLI AI 제공자 (Claude, Codex): 채팅 지시와 작업 결과는 데스크톱에서 로컬로 실행되는 CLI 에이전트를 통해 처리됩니다. CLI 에이전트는 사용자 자신의 AI 구독을 사용하며 — Bom은 이 제공자의 API에 직접 데이터를 전송하지 않습니다.
  • 법적 의무: 법령, 규제, 수사기관 요청 또는 권리 보호를 위해 필요한 경우.

6. 보관 기간

  • 에이전트 세션 정보: 연결 종료 후 최대 7일
  • 명령 및 도구 실행 로그: 최대 90일
  • 채팅 스레드 및 메시지: 최대 90일
  • 보안 및 감사 로그: 최대 365일
  • Google OAuth 토큰: 사용자가 접근을 해제하거나 계정을 삭제할 때까지 보관. 액세스 토큰은 단기(보통 1시간)이며 필요에 따라 갱신됩니다. 리프레시 토큰은 안전하게 저장되며 API 응답이나 로그에 노출되지 않습니다.
  • OAuth 임시 인증 상태: 5분 후 삭제
  • 모바일 알림 토큰 및 연결 정보: 로그아웃, 기기 해제 또는 90일 미활동 후 삭제

7. 이용자 권리와 선택

  • 계정 정보 확인: 언제든지 프로필과 연결 상태를 확인할 수 있습니다.
  • 계정 삭제: DELETE /api/profile 경로를 통해 전체 계정 삭제를 요청할 수 있습니다. 저장된 Google 토큰을 포함한 모든 데이터가 영구 삭제됩니다.
  • Google 접근 해제: Google 계정 권한 관리 페이지(https://myaccount.google.com/permissions)에서 Bom을 제거하여 언제든지 Google 계정에 대한 Bom의 접근을 해제할 수 있습니다. 이는 저장된 모든 Google 토큰을 즉시 무효화합니다.
  • 연결 및 알림 해제: 웹/모바일 연결 상태와 알림 사용 여부를 관리할 수 있습니다.
  • 도구 승인 흐름 관리: 민감 작업 승인 및 도구 사용 범위를 설정할 수 있습니다.
  • 문의: 아래 연락처를 통해 열람, 정정, 삭제 관련 문의를 할 수 있습니다.

8. 보안

  • PKCE 및 state 파라미터 검증을 포함한 Google OAuth 2.0 기반 인증
  • 모든 전송 데이터에 대한 TLS(HTTPS) 암호화
  • Google 토큰은 서버 측에 저장되며 API 응답, 로그, 클라이언트 측 코드에 절대 노출되지 않음
  • 승인 게이트와 파괴적 작업 제한
  • 세션 검증, rate limiting(IP별 슬라이딩 윈도우), 보안 감사 로그
  • Content Security Policy(CSP) 헤더, SSRF 방지, CSRF 보호

9. 아동 개인정보보호

당사 서비스는 13세 미만(유럽 경제 지역에서는 16세 미만)의 아동을 대상으로 하지 않습니다. 당사는 아동의 개인정보를 고의로 수집하지 않습니다. 해당 연령 미만의 아동으로부터 개인정보를 수집한 사실을 알게 되면, 즉시 해당 정보를 삭제하기 위한 조치를 취합니다.

10. 국제 데이터 이전

Bom의 서버는 한국(Azure Korea Central 리전)에 위치합니다. 한국 외 지역에서 서비스에 접속하는 경우, 귀하의 정보가 한국으로 전송되어 처리될 수 있습니다. 서비스를 이용함으로써 이 이전에 동의하는 것으로 간주됩니다. 당사는 귀하의 위치에 관계없이 제8조에 기술된 보안 조치를 적용하여 데이터를 보호합니다.

11. 정책 변경

서비스 기능과 법적 요구사항의 변화에 따라 본 방침은 변경될 수 있습니다. 중요한 변경이 있을 경우 이 페이지의 날짜를 갱신하고 필요한 경우 별도 고지를 진행합니다.

12. 문의

개인정보와 관련한 문의는 아래로 연락해 주세요.

Related

서비스 이용 조건과 책임 범위는 약관 페이지에서 확인할 수 있습니다.

Terms