Oh My Product(이하 "회사")은 「개인정보 보호법」 제30조에 따라 정보주체의 개인정보를 보호하고 이와 관련한 고충을 신속하고 원활하게 처리할 수 있도록 하기 위하여 다음과 같이 개인정보 처리방침을 수립·공개합니다.
제1조 (수집하는 개인정보 항목)
① 회사는 서비스 제공을 위해 다음의 개인정보를 수집합니다.
1. 필수 항목
- 소셜 로그인 식별자 (Google, GitHub, LinkedIn 제공 ID)
- 이메일 주소
- 닉네임(사용자명) 및 표시 이름
2. 선택 항목
- 프로필 사진, 한 줄 소개(bio), 소셜 링크(웹사이트, Twitter/X, GitHub, LinkedIn 등)
- Maker 인증 시 제출하는 증빙 자료(도메인 소유 증명, 포트폴리오 링크 등)
3. 자동 수집 항목
- IP 주소, 브라우저 종류 및 버전, 운영체제, 단말기 정보
- 서비스 접속 일시, 이용 기록, 추천 알고리즘 관련 활동 로그
- 쿠키 및 Google Analytics 4(GA4) 익명 이벤트 데이터
제2조 (개인정보 수집 방법)
회사는 다음의 방법으로 개인정보를 수집합니다.
1. OAuth 제공자(Google, GitHub, LinkedIn)를 통한 소셜 로그인 시 회원이 동의한 범위 내의 프로필 정보 전달
2. 회원이 서비스 내에서 직접 입력하는 정보(온보딩 폼, 설정, 게시글 작성, Maker 인증 요청 등)
3. 서비스 이용 과정에서 자동으로 생성·수집되는 정보(쿠키, 접속 로그, GA4 이벤트, rate limit 카운터 등)
제3조 (개인정보의 수집 및 이용 목적)
회사는 수집한 개인정보를 다음의 목적을 위해 이용합니다.
1. 회원 가입 및 본인 확인, OAuth 기반 인증 및 세션 유지
2. 서비스 제공 — 프로젝트 등록, 게시글·댓글·응원·좋아요·저장·팔로우·구독 등 커뮤니티 기능 운영
3. Maker 인증 심사 및 Maker 전용 기능 제공
4. 코인·평판·바운티 시스템 운영, 랭킹 및 추천 피드 제공
5. 알림 전송(좋아요, 댓글, 팔로우, 코인 지급, 모더레이션 결과 등)
6. 서비스 통계 분석 및 품질 개선, 신규 기능 개발
7. 부정 이용 방지, 신고 처리, 분쟁 조정, 법령상 의무 이행
8. 보안 사고 대응, 감사 로그, 보안 위협 탐지 및 차단
제4조 (개인정보의 보유 및 이용 기간)
① 회사는 원칙적으로 회원 탈퇴 시까지 개인정보를 보유하며, 탈퇴 후에는 지체 없이 파기합니다. 단, 제13조에 따른 계정 삭제 유예 기간(30일) 동안은 복구 및 법적 의무 이행을 위해 일부 정보를 암호화된 형태로 보관할 수 있습니다.
② 관계 법령에 따라 일정 기간 보존이 필요한 정보는 다음과 같이 분리하여 보관합니다.
1. 서비스 이용 기록 및 접속 로그: 3개월 ~ 3년 (「통신비밀보호법」, 「전자상거래법」)
2. 계약 또는 청약철회, 결제 기록(해당 시): 5년 (「전자상거래법」)
3. 소비자 불만 또는 분쟁처리 기록: 3년 (「전자상거래법」)
4. 부정 이용 방지를 위한 제재 기록: 내부 보존 정책에 따라 최대 3년
제5조 (개인정보의 제3자 제공)
① 회사는 원칙적으로 회원의 개인정보를 제3자에게 제공하지 않습니다.
② 다음의 경우에는 예외적으로 제3자 제공이 이루어질 수 있습니다.
1. 회원이 사전에 제3자 제공에 동의한 경우
2. 법령에 특별한 규정이 있거나 수사기관의 적법한 요청이 있는 경우
3. 회원 또는 제3자의 생명·신체·재산에 대한 급박한 위험을 방지하기 위해 불가피한 경우(예: 아동 안전 관련 위협)
제6조 (개인정보 처리의 위탁)
① 회사는 원활한 서비스 제공을 위해 다음과 같이 개인정보 처리 업무를 위탁하고 있습니다.
수탁업체: Supabase Inc. (미국)
위탁 업무: 데이터베이스, 인증, 파일 스토리지 호스팅
보유 및 이용기간: 위탁계약 종료 시까지
수탁업체: Vercel Inc. (미국)
위탁 업무: 웹 애플리케이션 호스팅 및 CDN
보유 및 이용기간: 위탁계약 종료 시까지
수탁업체: Google LLC (미국)
위탁 업무: OAuth 인증(Google 로그인), Google Analytics 4 기반 익명 통계 분석
보유 및 이용기간: 위탁계약 종료 시까지
수탁업체: GitHub, Inc. / LinkedIn Corporation (미국)
위탁 업무: OAuth 인증(GitHub/LinkedIn 로그인)
보유 및 이용기간: 위탁계약 종료 시까지
수탁업체: OpenAI, L.L.C. (미국)
위탁 업무: AI 기반 콘텐츠 모더레이션(Moderation API)
보유 및 이용기간: API 호출 완료 시까지 (원칙적으로 학습 목적 미사용)
수탁업체: Microsoft PhotoDNA / Cloudflare 등 (미국)
위탁 업무: 아동 성착취물(CSAM) 이미지 해시 스캔, 콘텐츠 안전 검증 (해당 기능 적용 시)
보유 및 이용기간: 검증 완료 시까지
② 회사는 위탁 계약 체결 시 「개인정보 보호법」 제26조에 따라 위탁업무 수행 목적 외 개인정보 처리 금지, 기술적·관리적 보호조치, 재위탁 제한, 수탁자에 대한 관리·감독, 손해배상 등 책임 사항을 문서로 명시하고 이를 감독합니다.
제7조 (이용자의 권리)
① 정보주체는 회사에 대해 언제든지 다음의 권리를 행사할 수 있습니다.
1. 열람권 — 자신의 개인정보에 대한 열람 요구
2. 정정권 — 오류가 있는 경우 정정 요구
3. 삭제권 — 개인정보 삭제 요구 (제13조 계정 삭제 절차 포함)
4. 처리정지 요구권 — 처리 정지 요청
5. 데이터 이동권 — 자신의 데이터를 구조화된 형태로 내려받을 권리
② 회원은 `/settings/security` 페이지에서 다음 기능을 직접 이용할 수 있습니다.
- 2단계 인증(2FA) 설정 및 해제
- 활성 로그인 세션 조회 및 강제 로그아웃
- 개인 데이터 내보내기(JSON 형식 다운로드)
- 계정 삭제 요청 및 유예 기간 중 취소
③ 회원은 회사 고객 지원 채널 또는 개인정보 보호책임자에게 권리 행사를 요청할 수 있으며, 회사는 지체 없이 조치합니다.
제8조 (개인정보의 안전성 확보 조치)
회사는 「개인정보 보호법」 제29조에 따라 다음과 같이 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하고 있습니다.
1. 전송 구간 암호화(HTTPS/TLS) 및 저장 데이터 암호화
2. 최소 권한 원칙에 따른 접근 제어 및 역할 기반 권한 관리(RLS, Row Level Security)
3. 관리자 활동 감사 로그(`admin_audit_log`) — 주요 관리 조치는 모두 기록
4. 2단계 인증(2FA) 지원 및 OAuth 기반 안전한 로그인
5. Per-IP Rate Limiting — IP 단위 요청 제한으로 자동화 공격 및 어뷰즈 차단
6. IP 차단(IP ban) 및 의심 접근 탐지
7. 접속 로그 보관, 위변조 방지 및 주기적 점검
8. 내부 인원에 대한 개인정보 보호 교육 및 권한 점검
제9조 (쿠키의 운영)
① 회사는 이용자 인증 세션 유지, 서비스 이용 환경 개선, 통계 분석을 위해 쿠키를 사용합니다.
② 쿠키는 다음과 같이 분류됩니다.
1. 필수 쿠키 — 로그인 세션 유지 등 서비스 제공에 필수적이며, 거부할 경우 서비스 이용이 제한됩니다.
2. 분석 쿠키 — GA4 기반 익명 통계 분석용으로, 쿠키 동의 배너에서 거부할 수 있습니다.
③ 이용자는 최초 방문 시 쿠키 동의 배너를 통해 선택 쿠키 사용 여부를 결정할 수 있으며, 웹 브라우저 설정을 통해서도 쿠키 저장을 거부할 수 있습니다.
제10조 (Google Analytics 4)
① 회사는 서비스 개선 및 사용자 경험 분석을 위해 Google Analytics 4(GA4)를 이용하여 익명화된 방문 통계를 수집합니다.
② GA4는 IP 마스킹이 기본 적용되며, 수집되는 정보는 개별 이용자를 직접 식별하지 않는 집계 데이터입니다.
③ 이용자가 쿠키 동의 배너에서 분석 쿠키를 거부하거나, 브라우저에서 Do Not Track 설정을 활성화한 경우 회사는 GA4로 이용자 이벤트 데이터를 전송하지 않습니다.
제11조 (AI 기반 콘텐츠 검토)
① 회사는 건강한 커뮤니티 유지를 위해 OpenAI Moderation API 등 AI 기반 자동 콘텐츠 검토를 적용합니다.
② 회원이 게시한 텍스트 콘텐츠(게시글, 댓글, 프로젝트 소개 등)는 AI 모델에 전달되어 혐오·폭력·성적·자해 등 위험 카테고리 여부가 판정되며, 해당 데이터는 모더레이션 목적 외로 이용되지 않습니다.
③ 자동 검토에서 위험으로 판정된 콘텐츠는 자동 차단되거나 블라인드 처리될 수 있으며, 관리자 검토를 통해 최종 판단이 이루어집니다.
제12조 (아동 콘텐츠 차단)
① 회사는 아동 성착취물(CSAM) 및 미성년자 안전을 위협하는 콘텐츠에 대해 무관용 정책을 적용합니다.
② 업로드되는 이미지는 Microsoft PhotoDNA, Cloudflare 등 외부 이미지 안전 검증 서비스의 해시 기반 스캔을 거칠 수 있으며, CSAM으로 확인되는 경우 즉시 삭제·차단하고 관련 법령에 따라 수사기관 및 전문 기관에 신고합니다.
③ 회사는 만 14세 미만 아동의 가입을 제한합니다.
제13조 (계정 삭제)
① 회원은 `/settings/security`에서 계정 삭제를 요청할 수 있으며, 삭제 요청은 30일의 유예 기간을 거쳐 처리됩니다.
② 유예 기간 동안 회원은 언제든지 삭제 요청을 취소할 수 있으며, 유예 기간이 경과하면 회사는 `anonymize_deleted_account` 절차에 따라 다음의 조치를 수행합니다.
1. 이메일, 닉네임, 프로필 이미지, 소셜 링크, IP 등 개인 식별 가능 정보의 영구 익명화 또는 파기
2. 작성한 공개 콘텐츠의 작성자 정보 익명 처리(콘텐츠 자체는 커뮤니티 맥락 유지를 위해 익명 상태로 남을 수 있음)
3. 보유 코인 및 비공개 데이터의 소멸
③ 익명화·파기 이후에는 개인정보 복구가 불가능합니다.
제14조 (개인정보 보호책임자)
① 회사는 개인정보 처리에 관한 업무를 총괄하고, 개인정보 처리와 관련한 정보주체의 불만 처리 및 피해 구제를 위하여 아래와 같이 개인정보 보호책임자를 지정합니다.
- 개인정보 보호책임자: Oh My Product 운영팀
- 연락처: support@ohmyproduct.com
② 정보주체는 서비스 이용과 관련한 모든 개인정보 보호 문의, 불만 처리, 피해 구제를 위와 같이 요청할 수 있으며, 회사는 지체 없이 답변·처리합니다.
③ 정보주체는 아래 기관에 대해서도 개인정보 침해 구제를 신청할 수 있습니다.
- 개인정보 침해신고센터 (한국인터넷진흥원): (국번없이) 118, privacy.kisa.or.kr
- 개인정보 분쟁조정위원회: (국번없이) 1833-6972, www.kopico.go.kr
- 대검찰청 사이버수사과: (국번없이) 1301, www.spo.go.kr
- 경찰청 사이버수사국: (국번없이) 182, ecrm.cyber.go.kr
제15조 (고지 의무)
① 이 개인정보 처리방침은 시행일로부터 적용되며, 법령 또는 정책 변경에 따른 추가·삭제·수정이 있는 경우에는 시행 7일 전(중대한 변경의 경우 30일 전)부터 서비스 공지사항 또는 본 페이지를 통해 고지합니다.
② 본 처리방침이 중대한 내용으로 개정되는 경우 회사는 회원에게 서비스 접속 시 재동의를 요청할 수 있으며, 회원은 변경된 내용에 동의한 후 서비스를 계속 이용할 수 있습니다.
부칙
이 개인정보 처리방침은 2026년 4월 11일부터 시행합니다. 본 개정은 2단계 인증, 세션 관리, 데이터 내보내기, 계정 삭제 유예 기간, 쿠키 동의, GA4, AI 콘텐츠 모더레이션, CSAM 스캔, 관리자 감사 로그, Per-IP Rate Limiting, Maker 인증, 응원·신고·차단·팔로우 등 신규 기능을 반영하여 개정되었습니다.