개인정보 처리방침

고객님의 개인정보를 소중히 여기고 안전하게 보호합니다

시행일: 2025년 11월 3일•버전 1.0

1. 서론 및 적용 범위

K-Fate('회사', '저희')는 고객님의 개인정보 보호를 최우선으로 생각합니다. 본 개인정보 처리방침은 서비스 이용 시 개인정보를 수집, 이용, 공개, 보호하는 방법을 설명합니다.

적용 범위

•K-Fate 서비스의 모든 이용자(웹사이트 및 향후 모바일 앱)에게 적용됩니다
•모든 서비스 채널을 통해 수집되는 개인정보를 다룹니다
•이용약관을 보완합니다

법규 준수

•GDPR (일반 데이터 보호 규정) - 유럽 이용자
•CCPA (캘리포니아 소비자 개인정보 보호법) - 캘리포니아 거주자
•PIPEDA (개인정보 보호 및 전자문서법) - 캐나다 이용자
•개인정보보호법 - 한국 이용자

개인정보 보호 원칙

•최소 수집: 서비스 제공에 필수적인 데이터만 수집합니다
•투명성: 수집하는 데이터와 그 이유를 명확히 설명합니다
•이용자 통제: 언제든지 개인정보를 열람, 수정, 삭제할 수 있습니다
•보안 우선: 모든 데이터는 전송 및 저장 시 암호화됩니다

2. 데이터 수집 및 처리

2.1 필수 정보 (계정 등록)

•인증 데이터 (Auth0 제공): 이메일 주소, 소셜 로그인 제공자 ID, 비밀번호 (해시 처리)
•사주 계산 데이터: 생년월일 (필수), 출생시간 (선택), 양력/음력 구분
•프로필 정보: 닉네임/표시 이름, 프로필 사진 (선택)

2.2 자동 수집 정보

•기술 정보: IP 주소, 브라우저 종류/버전, 운영체제, 기기 유형
•사용 정보: 페이지 조회, 클릭 이벤트, 세션 시간, 상담 완료 상태
•쿠키 및 추적: 세션 쿠키, 로컬 스토리지, 분석 쿠키 (Vercel Analytics)

2.3 AI 상담 데이터

•대화 내용: 이용자의 질문 (프롬프트), AI 응답, 대화 기록
•상담 메타데이터: 세션 ID, 사용된 AI 모델 (Upstage Solar Pro 2), 토큰 사용량, 상담 카테고리

2.4 데이터 처리 목적

•인증 정보: 계정 등록 및 로그인 (법적 근거: 계약 이행 - GDPR 6(1)(b))
•생년월일: 사주 계산 및 AI 상담 (법적 근거: 계약 이행)
•대화 내용: AI 상담 제공, 서비스 개선 (법적 근거: 정당한 이익 - GDPR 6(1)(f))
•사용 정보: 서비스 분석, 성능 개선 (법적 근거: 정당한 이익)
•쿠키: 세션 유지, 맞춤형 경험 (법적 근거: 동의 - GDPR 6(1)(a))

2.5 데이터 보유 기간

•계정 정보: 계정 삭제 시까지 보유, 30일 유예기간 후 즉시 삭제
•상담 기록: 회원 - 이용자 삭제 요청 시까지 무기한 / 게스트 - 세션 종료 시까지
•접속 로그: 90일 보관 후 자동 삭제
•오류 로그: 1년 보관 후 자동 삭제
•결제 정보: 5년 보관 (전자상거래법), 법정 보관기간 후 삭제

3. AI 데이터 처리

3.1 Upstage Solar Pro 2 연동

•상담 서비스의 주요 AI 모델로 Upstage Solar Pro 2를 사용합니다
•사주 데이터와 질문은 암호화된 HTTPS 연결을 통해 Upstage API로 전송됩니다
•Upstage는 대화 데이터를 30일간 보관 후 자동 삭제합니다
•Upstage는 고객님의 데이터를 AI 모델 학습에 사용하지 않습니다 (Upstage 데이터 정책 확인)

3.2 개인정보 마스킹

AI로 데이터 전송 전 민감 정보를 마스킹합니다:

•생년월일은 익명 ID로 변환됩니다
•이름은 일반적인 플레이스홀더로 대체됩니다
•이메일 주소는 AI 요청에 포함되지 않습니다

3.3 캐싱 정책

•성능 향상을 위해 AI 응답을 최대 24시간 임시 캐싱할 수 있습니다
•캐시된 응답은 암호화된 형태로 저장됩니다
•캐시는 만료 후 자동으로 삭제됩니다

3.4 자동화된 의사결정

K-Fate는 다음의 경우 자동화된 의사결정을 사용합니다:

사주 계산

•생년월일 기반 알고리즘 계산
•사람의 개입 없음
•결과는 참고용이며 법적 구속력이 없습니다

이의 제기 권리

자동화된 결과에 동의하지 않으시면 privacy@timecare.co.kr으로 연락하여 사람의 검토를 요청하실 수 있습니다.

4. 이용자의 권리

거주 지역에 따라 다음의 권리를 행사할 수 있습니다:

4.1 GDPR 권리 (EU 이용자)

열람권

보유 중인 모든 개인정보 열람

계정 설정 또는 이메일로 요청

정정권

부정확하거나 불완전한 데이터 수정

계정 설정에서 수정

삭제권 ('잊힐 권리')

계정 및 모든 관련 데이터 삭제

'내 계정 삭제' 버튼 사용

데이터 이동권

JSON 형식으로 데이터 다운로드

privacy@timecare.co.kr으로 요청 (곧 제공 예정)

처리 반대권

정당한 이익 기반 처리에 대한 반대

privacy@timecare.co.kr으로 연락

불만 제기 권리

GDPR 위반이 의심되는 경우 현지 감독 기관에 불만을 제기할 수 있습니다:

4.2 CCPA 권리 (캘리포니아 거주자)

알 권리

수집, 사용, 공개, 판매하는 개인정보에 대한 정보

삭제권

개인정보 삭제 요청

선택 해제권

개인정보 판매 거부

비차별권

CCPA 권리 행사로 인한 차별 금지

개인정보를 판매하지 않습니다

K-Fate는 개인정보를 제3자에게 판매, 임대, 거래하지 않습니다. 이 성명은 캘리포니아 거주자를 포함한 모든 이용자에게 적용됩니다.

4.3 한국법상 권리

정보 열람권

보유하고 있는 개인정보를 열람할 권리

정보 정정권

부정확한 개인정보를 정정할 권리

정보 삭제권

개인정보의 처리 정지 및 삭제를 요구할 권리

처리 정지 요구권

개인정보 처리의 일시적 정지를 요구할 권리

연령 제한

K-Fate 서비스는 만 14세 이상 이용자만 사용할 수 있습니다 (한국법 요구사항). 만 14세 미만인 경우 서비스를 이용하지 마세요.

5. 권리 행사 방법

5.1 온라인 (셀프 서비스)

계정을 통해 직접 개인정보를 관리할 수 있습니다:

•계정 설정 페이지 접속
•개인정보 열람, 수정 또는 삭제
•데이터 다운로드 (곧 제공 예정)

5.2 이메일 요청

다음 주소로 요청을 보내세요:

•개인정보 문의: privacy@timecare.co.kr
•개인정보 보호 책임자: terry.kim3838@gmail.com
•필수 사항: 등록된 이메일 주소 및 구체적인 요청 내용 포함

5.3 응답 기한

•7영업일 이내 응답 (접수 확인)
•30일 이내 완전한 응답 (GDPR 요구사항)
•복잡한 요청의 경우 최대 60일까지 연장 가능 (통지 포함)

5.4 신원 확인

개인정보 보호를 위해 요청 처리 전 신원을 확인해야 합니다. 다음을 요청할 수 있습니다:

•등록된 이메일 주소
•계정 비밀번호 또는 보안 질문
•정부 발행 신분증 (민감한 요청에 한함)

6. 쿠키 정책

서비스 제공 및 개선을 위해 쿠키 및 유사 기술을 사용합니다.

6.1 필수 쿠키 (필수)

웹사이트 작동에 필요하며 비활성화할 수 없는 쿠키:

•세션 쿠키 (Auth0): 로그인 세션 유지, 브라우저 종료 시 만료
•언어 설정: 언어 선택 기억, 1년 후 만료

6.2 분석 쿠키 (선택)

서비스 사용 방식 이해를 돕는 쿠키로 비활성화할 수 있습니다:

•Vercel Analytics: 페이지 조회 및 사용자 행동 추적, 1년 후 만료

6.3 쿠키 동의 관리

•모든 쿠키 수락 (권장)
•필수 쿠키만 수락
•브라우저 설정: 대부분의 브라우저에서 쿠키를 거부할 수 있습니다

7. 데이터 보안 및 암호화

7.1 전송 중 암호화

•모든 클라이언트-서버 통신은 TLS 1.3 암호화를 사용합니다
•Vercel을 통한 자동 SSL 인증서 (Let's Encrypt)
•HSTS (HTTP Strict Transport Security) 활성화

7.2 저장 시 암호화

•데이터베이스 암호화: Supabase PostgreSQL AES-256 암호화
•민감 필드 (생년월일, 출생시간)는 추가 암호화 계층 적용
•암호화 키는 Supabase Vault로 관리
•파일 저장: Vercel Blob Storage 자동 암호화
•프로필 이미지 및 백업 파일: AES-256 암호화

7.3 암호화 키 관리

•Vercel 환경 변수: 암호화된 환경 변수 저장
•Supabase Vault: 데이터베이스 암호화 키 관리
•정기적인 키 교체: 90일마다

8. 데이터 거버넌스

8.1 데이터 분류

중요: 비밀번호, 결제 정보 (개인정보 보호 책임자만 접근)
민감: 생년월일, 상담 기록 (승인된 직원만 접근)
내부: 사용 로그, 분석 (개발팀 접근)
공개: 공유된 사주 결과 (이용자가 공유 선택 시)

8.2 접근 제어

•Auth0를 통한 역할 기반 접근 제어 (RBAC)
•관리자 계정 다중 인증 (MFA)
•모든 데이터 접근에 대한 감사 로그 (1년 보관)

8.3 제3자 데이터 공유

다음 서비스 제공자와 데이터를 공유합니다:

•Auth0 (미국): 인증 - 이메일, 비밀번호 해시
•Upstage (한국): AI 상담 - 사주 데이터, 질문
•Supabase (미국/EU): 데이터베이스 - 모든 계정 데이터
•Vercel (미국/글로벌 CDN): 호스팅 및 분석 - 사용 로그
•참고: 모든 서비스 제공자는 GDPR 제28조를 준수하는 데이터 처리 계약(DPA)에 서명했습니다

8.4 국제 데이터 전송

귀하의 데이터는 거주 국가 외부로 전송 및 저장될 수 있습니다:

•EU → 미국: 표준 계약 조항 (SCC)
•EU → 한국: 적정성 결정 (보류 중 - 그동안 SCC 사용)
•모든 전송은 GDPR 제5장 요구사항을 준수합니다

9. 보안 사고 대응

9.1 사고 감지

•24시간 자동 모니터링
•의심스러운 활동에 대한 실시간 알림
•정기 보안 감사

9.2 침해 통지

•GDPR (EU): 침해 발견 후 72시간 이내 (제33-34조)
•CCPA (캘리포니아): 부당한 지연 없이
•한국법: 24시간 이내
•영향받은 이용자: 데이터가 유출된 경우 이메일로 통지

9.3 사고 후 조치

•즉시 봉쇄 및 완화
•포렌식 조사
•당국 및 영향받은 이용자에게 통지
•복구 및 보안 개선

10. 개인정보 보호 책임자 (DPO)

연락처 정보

책임자:: K-Fate 개인정보 보호팀
이메일:: terry.kim3838@gmail.com
응답 시간:: 7영업일 이내

책임자 역할

•GDPR 준수 모니터링
•데이터 보호 영향 평가 자문
•감독 기관의 연락 창구 역할
•이용자 개인정보 요청 및 불만 처리

대체 연락처

일반 개인정보 문의 (긴급하지 않음):

11. 정책 업데이트 및 변경 기록

11.1 업데이트 통지

•이메일 통지 (중요한 변경 사항)
•앱 내 배너 (업데이트 후 30일간)
•본 페이지 ("최종 업데이트" 날짜 포함)

11.2 변경 기록

본 개인정보 처리방침의 버전 기록:

•버전 1.0 (2025년 11월 3일): 최초 개인정보 처리방침 게시

11.3 계속 사용 = 동의

정책 업데이트 후에도 K-Fate를 계속 사용하시면 개정된 개인정보 처리방침에 동의하는 것으로 간주됩니다. 동의하지 않으시면 사용을 중단하고 계정을 삭제하세요.