개인정보처리방침

다락(이하 "회사")은 Joey 서비스(이하 "서비스")를 운영함에 있어 「개인정보 보호법」, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 등 관련 법령을 준수하며, 서비스 제공에 필요한 최소한의 정보만 수집·이용하는 것을 원칙으로 합니다.

본 처리방침은 회사가 처리하는 개인정보의 항목, 이용 목적, 보유 기간, 처리 위탁, 국외 이전, 정보주체의 권리 행사 방법 등을 안내합니다.

회사는 정보주체를 블록 운영자(회원), 방문자(댓글 작성자), 블록별 구독자의 세 유형으로 구분하여 개인정보를 처리하며, 인증을 위한 임시 정보와 자동 수집 정보를 별도로 관리합니다.

(가) 블록 운영자(회원)

• 필수: 이메일, 이메일 인증 여부, 표시 이름, 약관 동의 시각 (termsAgreedAt)
• 선택: 프로필 사진, 홈페이지 URL, 자기소개(최대 500자), 회사, 위치, 언어·테마·이메일 알림 설정, 마케팅 정보 수신 동의 시각 (marketingAgreedAt)
• 자동 수집: 마지막 로그인 시각, 사용 통계(블록 수, 응답 수, 월별 응답 수)
• 현재 미사용 / 향후 도입 시 별도 고지: 유료 플랜 정보(plan, planExpiredAt, subscriptionId), 외부 서비스 연동 토큰(integration), 회원 정지·삭제 상태 표시(isSuspended, deletedAt)는 데이터 모델에 정의되어 있으나 현 시점에는 수집·사용되지 않습니다. 도입 시 본 처리방침을 사전에 개정·고지합니다.
• 보유 기간: 회원 탈퇴 시까지(법정 보관 의무가 있는 경우 별도 보관)

(나) 방문자(댓글 작성자)

• 필수: 작성자 이름, 댓글 내용(최대 2,000자), 작성 시각, 익명 여부
• 선택: 답글 알림 수신용 이메일. 본 이메일은 답글 알림 발송 목적으로만 서버 내부에서 사용되며, 운영자 대시보드 및 내보내기 결과 어디에도 노출되지 않습니다.
• 자동 수집: 비로그인 방문자 식별을 위한 익명 식별자(joey_vid; 브라우저 로컬 저장소에 보관되는 임의 UUID), 본인 댓글 수정·삭제 권한 검증을 위한 단기 작성자 토큰(jose 라이브러리로 서명된 JWT)
• 보유 기간: 해당 블록이 삭제되거나 운영자가 응답을 삭제할 때까지

(다) 블록별 구독자

• 필수: 정규화된 이메일 주소, 마케팅·새 소식 수신 동의 여부, 구독 상태(active / unsubscribed)
• 선택: 답글 알림 동의 여부, 구독을 유발한 응답 식별자, 익명 방문자 식별자
• 운영자에게 노출되는 항목: 이메일, 가입일, 구독 상태에 한정합니다. 답글 알림 동의 여부, 마케팅 동의 여부, 응답 식별자, 방문자 식별자는 운영자에게도 공개하지 않습니다.
• 보유 기간: 구독 해제 또는 블록 삭제 시까지

(라) 인증 임시 정보

• OTP 발급 시 수신자 이메일의 단방향 해시(SHA) 값을 키로 하는 임시 컬렉션에 인증 코드의 단방향 해시(scrypt), 수신자 이메일(소문자 정규화된 원문), 시도 횟수, 만료 시각을 저장하며, 인증 코드 평문은 저장되지 않습니다. 발급 후 5분이 지나면 자동 만료되고 인증 성공 또는 시도 횟수 초과 시 즉시 삭제됩니다.

자동 수집 (공통)

• 접속 로그(IP 주소, User-Agent, 접속 일시), 오류 및 성능 로그

• 핵심 기능 제공(계약 이행): 인증·계정 관리, 댓글·구독 수집과 표시, 댓글 알림·답글 알림·응답 내보내기 완료·구독자 내보내기 완료 이메일 발송, 응답·구독자 대시보드 제공
• 고객지원 및 공지(계약 이행 및 정당한 이익): 문의 처리, 서비스 관련 공지 전달
• 보안·품질(정당한 이익): 오류·성능 로그 분석, 비식별·집계 통계를 활용한 서비스 개선
• 법령 준수(법적 의무): 분쟁 대응, 관계 법령상 보관 의무 이행

회사는 정보주체의 별도 동의 또는 법령상 근거가 없는 한 개인정보를 제3자에게 제공하지 않습니다.

다만 방문자가 블록의 "새 소식 받기" 항목에 명시적으로 동의한 경우, 해당 이메일은 서비스의 본질적 기능에 따라 그 블록의 운영자에게 대시보드 형태로 공개됩니다. 이는 동의에 기반한 제공이며, 방문자는 구독 해제를 통해 언제든지 철회할 수 있습니다. 그 외 수사기관의 적법한 요청 등 법령이 정한 예외에 한해 제공이 이루어집니다.

회사는 서비스 운영을 위해 다음과 같이 개인정보 처리 업무를 위탁하고 있으며, 수탁자에 대한 관리·감독과 안전조치 의무를 이행합니다.

위탁처는 서비스 제공에 필요한 최소한의 정보만 처리하며, 위탁 계약 종료 시 보유 중인 정보를 지체 없이 파기합니다.

위 위탁처는 모두 국외에 본사 또는 인프라를 두고 있으며, 「개인정보 보호법」 제28조의8에 따라 다음과 같이 개인정보 국외 이전 사항을 안내합니다.

• 이전 일시 및 방법: 회원·방문자의 작업 또는 알림 트리거가 발생한 시점에 인터넷 회선을 통한 API 호출 형태로 전송됩니다.
• 보유 및 이용 기간: 위탁 계약 종료 시 또는 이용 목적 달성 시 지체 없이 파기됩니다. 이메일 발송용 위탁처는 발송 직후 본문을 폐기합니다.
• 이전 거부의 권리: 정보주체는 국외 이전을 거부할 권리가 있으나, 현재 위탁처가 서비스 운영의 핵심 인프라이므로 이전 거부 시 서비스 이용이 불가능합니다. 이 경우 회원 탈퇴를 통해 거부 의사를 표시할 수 있습니다.

• 세션 쿠키: Firebase Admin SDK가 발급하는 서명된 세션 쿠키를 14일 유효기간으로 사용합니다. 제3자 광고·트래킹 쿠키는 사용하지 않습니다.
• 브라우저 로컬 저장소: 비로그인 방문자 식별을 위한 익명 UUID(joey_vid)를 방문자 브라우저의 localStorage에 보관합니다. 쿠키가 아니므로 일반적인 쿠키 차단 설정으로는 차단되지 않으며, 브라우저의 "사이트 데이터 삭제" 또는 시크릿 모드를 통해 제거할 수 있습니다.
• 작성자 토큰(JWT): 비로그인 방문자가 자신이 남긴 댓글을 수정·삭제할 수 있도록 서명된 JWT가 발급되어 방문자 브라우저의 localStorage에 보관됩니다. 토큰 자체에는 임의 식별자만 포함되며 이메일·이름 등 개인정보는 담지 않습니다.

• 원칙: 개인정보 처리 목적이 달성되거나 회원이 탈퇴한 경우 즉시 복구 불가능한 방식으로 영구 삭제합니다. 회원 탈퇴 시 해당 회원의 블록, 블록에 누적된 응답(댓글·답글), 블록별 구독자, 내보내기 파일(CSV·XLSX), 사용 통계, Firebase Auth 계정, 회원 문서가 유예 기간 없이 함께 파기되며 복구되지 않습니다.
• 법정 보관: 관계 법령에 따른 보관 의무가 있는 항목은 해당 기간 동안 다른 목적과 분리하여 보관하며, 보관 기간 만료 시 파기합니다.
• 파기 방법: 전자적 파일 형태의 정보는 복구 불가능한 방식으로 영구 삭제합니다.

• 회원: 설정 화면의 '계정 삭제' 섹션에서 이메일 재확인 후 직접 회원 탈퇴를 진행할 수 있으며, 탈퇴 시 제8조에 따라 블록·응답·구독자·내보내기 파일·계정이 유예 기간 없이 영구 삭제됩니다. 열람, 정정, 처리 정지 등 기타 권리 행사는 hello@joey.team으로 요청할 수 있습니다.
• 방문자: 자신이 남긴 댓글의 열람·삭제는 해당 블록 운영자에게 직접 요청하거나 hello@joey.team으로 문의할 수 있습니다.
• 구독자: 구독 해제 요청을 통해 언제든지 마케팅 정보 수신을 중단할 수 있습니다.

지역별 추가 권리

• EEA / 영국 거주자(GDPR): 접근권, 정정권, 삭제권, 처리 제한권, 처리 반대권, 데이터 이동권, 감독기관 민원 제기권을 보유합니다. 회사는 본인 확인 후 30일 이내에 요청에 응답하는 것을 원칙으로 합니다.
• 캘리포니아 거주자(CCPA): 개인정보 수집·판매 관련 정보 요청권, 삭제 요청권, 차별받지 않을 권리를 보유합니다. 회사는 개인정보를 판매하지 않습니다.

회사는 「개인정보 보호법」 제29조 및 같은 법 시행령 제30조에 따라 다음과 같은 안전성 확보 조치를 취하고 있습니다.

• 내부관리계획 수립 및 시행
• 접근 통제: Firestore 보안 규칙으로 클라이언트의 직접 접근을 차단하고 모든 데이터 처리를 관리자 SDK 경유로 한정합니다. 최소 권한 원칙과 접속 기록 보관을 적용합니다.
• 암호화: 전송 구간 TLS 적용, 세션 토큰 서명, OTP 코드 5분 만료 및 5회 시도 제한, 인증 코드는 단방향 해시(scrypt) 형태로만 보관하며 평문은 저장하지 않음, 보관 키로 사용되는 이메일은 단방향 해시 처리
• 접속 기록의 위·변조 방지를 위한 보존
• 접근 통제 시스템의 운영
• 침해사고 대응 절차 수립 및 직원 교육

• 가명정보의 처리: 해당 없음
• 영상정보처리기기(CCTV)의 운영: 해당 없음
• 행태정보의 수집·이용·제공: 해당 없음
• 민감정보 및 고유식별정보의 수집: 해당 없음

• 책임자: 강상권 (운영 총괄)
• 연락처: hello@joey.team / +82-10-7302-2884

개인정보 침해에 관한 신고·상담이 필요한 경우 아래 기관에 문의할 수 있습니다. 개인정보침해신고센터(privacy.kisa.or.kr / 국번 없이 118), 개인정보분쟁조정위원회(kopico.go.kr / 1833-6972), 대검찰청 사이버수사과(spo.go.kr / 1301), 경찰청 사이버수사국(ecrm.cyber.go.kr / 국번 없이 182).