隐私政策
共感觉(以下简称‘公司’)依据《个人信息保护法》第30条,保护信息主体的个人信息,并为快速、顺畅处理个人信息处理相关的困难,制定并公开如下隐私政策。
第1条(个人信息的处理目的)
- 会员注册·账户管理:本人识别、社交登录关联、年龄确认、会话管理、防止不正使用
- 服务提供:乐谱检索·预览·购买·浏览·下载、音频播放、库·分组·定制订单及客户支持
- 合同与支付:订单、支付、积分、会员、退款、收据及权限管理
- AI功能:依据用户同意处理输入·附件文件、生成结果、可靠性检查、使用限额与记录管理
- 服务改进与分析:基于用户同意的使用统计、服务使用流程、错误及性能分析
- 法律义务与安全:遵守法律、应对安全事故、争议处理、权利侵害及不正使用防止
- 营销:仅在获得单独同意的情况下提供活动及广告信息
第2条(处理的个人信息项目及收集方式)
| 分类 | 处理项目 | 收集方式 |
|---|---|---|
| 社交会员注册·登录 | 姓名或昵称、电子邮件、头像图片、OAuth提供者及提供者标识符 | Google、Kakao、Naver、Apple或Meta OAuth |
| 管理员发放凭证 | 用户名、密码的单向哈希值 | 仅对公司批准的账户在发放及登录时处理 |
| 注册·账户设置 | 首选语言、是否满14岁及确认时间、条款·个人信息·AI处理同意及撤回记录 | 用户输入及服务记录 |
| 订单·支付 | 订单号、商品、金额、币种、国家、支付方式类型、支付·取消·退款状态、积分·会员明细 | 支付·购买过程及支付网关响应 |
| 服务使用 | 购买·浏览·下载·分组·定制订单·咨询记录、检索·UI交互、错误及安全记录 | 服务使用过程中生成 |
| AI与制作工具 | 提示词、对话、上传图片·文件、生成结果、模型·使用量·安全处理记录 | 用户使用功能时的输入或生成 |
| 技术·分析信息 | IP地址、用户代理、Cookie·会话标识符、随机生成的分析标识符、登录用户的内部分析标识符、页面路径·服务使用事件·语言设置·访问时间 | 网页·应用使用中自动收集 |
第3条(处理及保留期限)
公司在实现处理目的后将个人信息立即销毁。但以下信息可依据法律义务、争议应对或防止不正使用的需要,在必要期间另行保存。
| 信息 | 保留标准 |
|---|---|
| 会员账户和个人资料 | 直至会员注销完成。注销完成后立即终止登录会话和服务访问,依据相关法律需保存的信息在法定保留期间另行保存 |
| 合同·订约撤回·付款·供应记录 | 依据电子商务法保存5年 |
| 消费者投诉或争议处理记录 | 依据电子商务法保存3年 |
| 展示·广告记录 | 依据电子商务法保存6个月 |
| 访问记录 | 依据通信保密法等相关法律在必要时保存3个月 |
| 活跃登录会话 | 直至过期或注销·注销为止 |
| AI个人资料·海报·Vision工具的保存历史 | 自生成之日起90天或用户自行删除为止 |
| 个人信息导出文件 | 生成后24小时内 |
| 同意·撤回及安全·审计记录 | 法律义务和争议·不正使用应对所需期间 |
当前会员注销会立即终止服务访问和活跃会话。交易·同意·审计记录可能因法律义务和争议应对而有限保留,账户及个人资料的物理删除·匿名化程序依据单独的数据生命周期政策处理。用户可在账户的‘个人信息及数据’菜单中请求查看·导出·删除。
第4条(个人信息的第三方提供)
公司原则上不向第三方提供用户的个人信息。仅在信息主体另行同意或法律有特别依据的情况下,依据必要范围提供。支付、托管、认证、电子邮件、分析及AI功能相关的外部业务者处理,依据实际合同和处理目的,可能属于个人信息处理委托、第三方提供或跨境转移,具体内容在后续条款及相关项目中说明。
第5条(通过外部业务者的处理)
| 外部业务者 | 相关业务 |
|---|---|
| Toss Payments Co., Ltd. | 国内支付授权、结算、取消、退款及防止欺诈交易 |
| PayPal, Inc. | 支持的海外支付授权、结算、取消、退款及防止欺诈交易 |
| Cloudflare, Inc. | CDN·网页流量传输·安全、Workers应用执行、R2对象存储、基于同意的网页使用统计、AI网关中继及Workers AI处理 |
| Neon, Inc. | PostgreSQL数据库托管 |
| Google LLC | Google账户登录认证及账户关联 |
| Google LLC | 依据用户同意的Google Analytics 4使用统计分析 |
| Google LLC | 用户选择的基于Gemini的AI功能的输入及结果处理 |
| Kakao Corp., NAVER Corp., Apple Inc., Meta Platforms, Inc. | 用户选择的社交登录认证和账户关联 |
| Anthropic PBC | 用户选择的Claude AI功能处理 |
| OpenAI, L.L.C. | 用户选择的OpenAI AI功能处理 |
| Resend, Inc. | 交易·账户及服务电子邮件发送 |
第6条(个人信息的跨境转移)
公司在服务使用过程中可能将以下个人信息跨境转移·存储。用户使用相应功能或合同履行需要时,通过TLS加密网络随时转移。每次转移的法律依据依据《个人信息保护法》第28条之8等相关法律的同意、合同履行·执行或处理委托情况而定。
| 接收方·联系方式 | 国家/地区 | 转移项目 | 转移目的 | 时机·方式 | 法律依据 | 保留·使用期限 | 拒绝方式及影响 |
|---|---|---|---|---|---|---|---|
| Cloudflare, Inc. (privacyquestions@cloudflare.com) | 美国及Cloudflare的全球网络运营地区。处理·存储位置视使用产品、账户设置及请求路径而定 | 账户·服务记录、IP·设备·分析信息、对象文件、用户在AI中输入的信息 | 托管·安全·存储·基于同意的分析·AI中继 | 服务使用中随时转移·存储,TLS传输 | 合同履行及处理委托 | 国内各项保留期限或合同·产品设置的期限 | 可通过撤回同意拒绝选择性分析·AI,但相应功能将受限。拒绝必需的托管将导致服务提供困难 |
| Neon, Inc. (privacy@neon.tech) | 新加坡(AWS ap-southeast-1) | 会员、交易、同意、服务使用记录 | PostgreSQL数据库存储 | 服务使用中随时转移·存储,TLS传输 | 合同履行及处理委托 | 国内各项保留期限或委托合同结束时止 | 拒绝必需的存储处理将导致基于账户的服务提供困难 |
| Google LLC (googlekrsupport@google.com) | 美国等Google处理地区 | OAuth标识信息、分析标识符·事件,或AI输入·附件·输出 | OAuth认证、基于同意的GA4分析、选择的Gemini功能 | 使用相应功能时TLS传输 | 功能同意或合同履行 | 认证·分析·功能提供所需期间及Google政策规定期间 | 可不使用各选择功能或撤回相关同意,功能将受限 |
| Apple Inc., Meta Platforms, Inc. | 美国等各提供商处理地区 | 提供商标识符、姓名、电子邮件、个人资料信息 | 选择的OAuth认证和账户关联 | 登录·关联时TLS传输 | 合同履行 | 账户关联解除·注销或依据提供商政策的期间 | 可不选择该登录方式,但相应认证方式将不可用 |
| PayPal, Inc. (privacy@paypal.com) | 美国等PayPal处理地区 | 付款人标识信息、订单号、金额、币种、支付·取消·退款状态 | 用户选择的海外支付处理 | 支付请求时TLS传输 | 合同履行 | 依据电子商务法的保留期限及PayPal政策的期间 | 可不选择海外支付,相关支付方式将不可用 |
| Anthropic PBC (privacy@anthropic.com) | 美国 | AI输入·输出及安全处理信息 | 用户选择的Claude功能 | 功能使用时TLS传输 | 选择性AI处理同意 | 功能提供所需期间及Anthropic合同·政策规定期间 | 可不使用AI功能或撤回同意,功能将受限 |
| OpenAI, L.L.C. (privacy@openai.com) | 美国 | AI输入·输出及安全处理信息 | 用户选择的OpenAI功能 | 功能使用时TLS传输 | 选择性AI处理同意 | 功能提供所需期间及OpenAI合同·政策规定期间 | 可不使用AI功能或撤回同意,功能将受限 |
| Resend, Inc. (privacy@resend.com) | 美国 | 接收邮件、姓名、消息及发送记录 | 交易·账户及服务邮件发送 | 发送时TLS传输 | 合同履行及处理委托 | 发送及故障响应所需期间及Resend合同·政策规定期间 | 若拒绝必需的交易·账户邮件处理,相关服务提供可能受影响 |
用户可通过不使用选择性AI功能、选择性分析或海外支付,或撤回相关同意来拒绝上述跨境转移。若拒绝登录认证、托管、数据库或必需的邮件发送等服务提供所必需的处理,可能导致相应功能或服务难以提供。咨询及会员注销请求请通过账户的‘个人信息及数据’菜单或 support@sheetmusic.kr 提交。
第7条(AI功能中的个人信息处理)
- AI功能处理用户直接输入的文本·图片·文件及生成结果,用于功能提供、可靠性检查、错误应对及使用限额管理。
- 用户不得在AI功能中输入敏感信息、居民登记号码等《个人信息保护法》规定的唯一识别信息,或未经合法授权的他人隐私信息。
- 服务不将用户的AI输入·输出作为通用模型的训练数据。公司使用外部AI提供商的API或企业设置,若该设置支持,则配置为不将输入和输出用于提供商的通用模型训练。各提供商的保存期限和安全性审查方式视所选模型和合同条件而定。
- AI处理同意可在账户的‘个人信息及数据’中随时撤回。撤回前的处理合法性不受影响,撤回后AI功能将受限。
- 不当的AI结果或涉及个人信息的争议可发送至 support@sheetmusic.kr 举报。
第8条(行为信息与Cookie·本地存储)
- 服务为维持登录、安全、语言设置、购物车及功能状态使用Cookie及浏览器本地·会话存储。
- Google Analytics 4 在用户同意的情况下可处理随机生成的分析标识符、登录用户的内部分析标识符、页面路径、服务使用事件、语言设置、设备·浏览器信息及访问时间。
- Cloudflare Web Analytics 与服务性能分析功能可处理页面请求、设备·浏览器及网络相关信息,实际识别方式和保留范围依据所使用的产品设置。
- 分析同意可在横幅或账户的‘个人信息及数据’中拒绝或撤回。即使拒绝,核心服务仍可使用。
- 用户可在浏览器设置中阻止Cookie,但阻止必需Cookie可能导致登录·支付等部分功能无法运行。
第9条(信息主体及法定代理人的权利)
- 信息主体可在法律规定范围内请求查阅、纠正·删除、停止处理及撤回同意。同时可通过公司提供的个人信息导出功能获取个人信息副本。
- 请求可在账户的‘个人信息及数据’、电子邮件或电话进行,公司在确认本人或合法代理人后依据法律处理。
- 若法律有保存义务或可能侵害他人权利,部分请求可能受限,公司将说明原因。
- 服务不允许14岁以下儿童注册。若公司发现14岁以下儿童已注册,将进行年龄确认、限制账户使用并删除个人信息等必要措施。但依据法律需保存的信息将在规定期间另行保存。
第10条(个人信息的销毁)
- 超过保留期限或处理目的已实现的信息将立即销毁。
- 法律要求保存的信息将在限制访问后保存,期限结束后销毁,确保不用于其他目的。
- 电子文件形式的个人信息将采用安全删除或匿名化方式,使其难以恢复或再生。
第11条(安全性保障措施)
- 管理措施:将可访问个人信息的人员限制在必要范围,并管理相关业务流程和保护标准。
- 技术措施:访问权限管理、认证及访问控制、传输区段TLS加密、重要信息分离存储与安全漏洞检查。
- 物理措施:公司使用的云服务及数据中心运营商的物理安全与出入控制。
- 事故响应措施:安全事故检测、日志检查、备份·恢复以及事故评估·响应流程。
第12条(个人信息保护负责人及权利行使受理)
个人信息保护负责人:赵昌贤(代表)
电子邮件:support@sheetmusic.kr
电话:070-4617-6352
第13条(权利侵害救济)
- 个人信息侵害举报中心:118,privacy.kisa.or.kr
- 个人信息争议调解委员会:1833-6972,www.kopico.go.kr
- 大检察厅:1301,www.spo.go.kr
- 警察厅:182,ecrm.police.go.kr
第14条(处理方针变更)
处理方针变更后,将在服务及方针变更记录中公开实施日期和主要变更内容。对信息主体权利或义务产生重大影响的变更,将在法律规定期限或合理期限前另行通知。
补充条款
本隐私政策自2026年7月20日起实施。