개인정보처리방침 (v0.1 초안)
시행일: TBD · 최종 갱신: 2026-04-29 · ⚠ 법무 검토 전 초안
1. 수집하는 개인정보 항목
회사는 다음과 같은 개인정보를 수집합니다.
| 구분 | 항목 | 수집 시점 |
|---|---|---|
| 필수 | OAuth 식별자, 이메일, 닉네임, 프로필 이미지 URL | 가입 시 (OAuth 콜백) |
| 선택 | 자기소개, 선호 카테고리, 보유 장비 화각대 | 설정 화면에서 입력 |
| 자동 | 접속 IP, 쿠키, User-Agent, 접근 로그 | 서비스 이용 시 |
| 콘텐츠 | 사진 EXIF (촬영 시각, 카메라, 화각, 노출, GPS) | 사진 업로드 시 |
2. 개인정보 처리 목적
- 회원 식별·인증 및 서비스 제공
- 사진 메타데이터 기반 자동 분류 (촬영 종류 추천, 태양 위치 계산)
- 스팟별 EXIF 통계 익명 집계 (개인 식별 불가능 형태)
- 모더레이션 (신고 처리, 부적절 콘텐츠 검출)
- 서비스 안정성 모니터링·통계 분석
- 법령 준수 (위치정보법, 정보통신망법 등)
3. 사진 EXIF 처리 정책 (★ 중요)
- 게시 사진의 EXIF GPS·기기 시리얼 자동 제거: 업로드 즉시 sharp 라이브러리로 strip 처리하여 게시본에는 위치·시리얼 정보가 포함되지 않습니다.
- 정형 컬럼 보유 항목: 촬영 시각, 화각, 조리개, 셔터, ISO, 카메라 제조사·모델, 렌즈 모델. 이 정보는 익명 집계 통계 외 용도로 사용되지 않습니다.
- 사진별 태양 위치: EXIF 촬영 시각 + 위치(스팟 좌표)로 계산되어 저장되며, 이는 \"빛 재현 시각\" 추천에만 사용됩니다.
- 사용자가 사진을 삭제하면 EXIF 컬럼도 함께 삭제됩니다.
4. 보관 기간
- 회원 정보: 회원 탈퇴 후 30일 보관 → 익명화 또는 영구 삭제
- 접근 로그: 3개월 (정보통신망법 시행령 제15조)
- 분쟁·신고 처리 기록: 처리 완료 후 1년 (소비자 분쟁 해결 기준)
- 감사 로그(audit_logs): 5년 보관 (운영 추적 목적)
5. 제3자 제공
회사는 원칙적으로 회원의 개인정보를 외부에 제공하지 않습니다. 다만 다음의 경우 예외로 합니다.
- 회원이 사전 동의한 경우
- 법령 요구·수사 기관의 적법한 요청이 있는 경우
6. 처리 위탁
| 수탁자 | 위탁 업무 |
|---|---|
| AWS (Amazon Web Services) | 서버·DB·미디어 저장 (S3·CloudFront) |
| Vercel | 웹 호스팅 |
| Naver / Mapbox | 지도 서비스 |
| Sentry | 에러 모니터링 (개인정보 자동 마스킹) |
7. 회원의 권리
- 본인 개인정보 열람·정정·삭제 요청 권리
- 처리 정지 요청 권리
- 탈퇴 (즉시 처리, 30일 보관 후 영구 삭제)
행사 방법: 설정 화면 또는 infotravelog@naver.com
8. 안전성 확보 조치
- HTTPS 전구간 적용 + HSTS
- OAuth 토큰·세션 쿠키 HTTP-only + Secure + SameSite
- Prisma ORM 기반 SQL 인젝션 방지
- 관리자 권한 분리 + 모든 어드민 액션 감사 로그
- S3 업로드 presigned URL + 콘텐츠 타입·크기 화이트리스트
- 정기 보안 점검 및 취약점 분석
9. 개인정보 보호 책임자
책임자: 헌 (운영자) · infotravelog@naver.com
10. 변경 이력
- v0.1 (2026-04-29): 초안 작성
⚠ 본 방침은 v0.1 초안입니다. 실제 서비스 출시 전 KISA 표준 양식 준수 여부, 개인정보보호위원회 표준 지침과의 정합성 검토가 필요합니다.