개인정보 처리방침
시행일: 2026-01-01
구르는흐름 운영자 (이하 "회사") 은 이용자의 개인정보를 중요시하며, 「개인정보 보호법」, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 등 관련 법령을 준수합니다.
1. 수집하는 개인정보 항목
1.1 회원가입 시 (Discord OAuth)
| 항목 | 수집 시점 | 필수 / 선택 | 출처 |
|---|---|---|---|
| OAuth provider | Discord 로그인 | 필수 | Discord |
| Discord 사용자 ID (oauth_sub) | Discord 로그인 | 필수 | Discord |
| 표시이름 (display_name) | 가입 시 자동 생성 | 자동 | 자체 생성 (마이페이지에서 수정 가능, Discord 미수집) |
이메일 / 실명 / 전화번호 / 주민등록번호 / 위치정보 — 수집하지 않음
1.2 자동 수집
- IP 주소 (접속 로그)
- 접속 일시 (last_login_at, 접속 로그)
- User-Agent / 브라우저 정보 (접속 로그)
- 요청 path / status (접속 로그)
- 세션 쿠키 (httponly, samesite=lax, secure 환경별 설정)
1.3 시스템 관리자 (운영진)
- username, 암호화된 비밀번호 (bcrypt cost 12)
- 일반 회원과 분리된 인증 도메인
2. 수집 방법
- Discord OAuth 인증 흐름에서 자동 수집
- 시스템 관리자: CLI 부트스트랩으로 운영자가 직접 등록
3. 이용 목적
| 목적 | 사용 항목 |
|---|---|
| 회원 식별 / 인증 / 세션 관리 | oauth_sub, display_name, 세션 쿠키 |
| 부정 이용 추적 / 보안 / 디버깅 | 접속 로그 (IP / User-Agent / path) |
| 권한 관리 (user / editor) | role, penalty_until |
| 데이터 검수 / 변경 이력 추적 | id (revisions FK) |
| 부정 이용 방지 (penalty) | penalty_until, penalty_reason |
| 시스템 운영 / 관리 | username (admin) |
광고 / 마케팅 / 프로파일링 / 자동화 의사결정 — 사용하지 않음.
4. 보유 / 이용 기간
| 항목 | 보유 기간 | 근거 |
|---|---|---|
| 회원 정보 (users) | 회원 탈퇴 시 즉시 파기 | 개인정보 보호법 제21조 |
| 변경 이력 (revisions) — 변경 사실 / 내용 | 영구 보존 | 위키 데이터 무결성 / 시간선 추적 |
| 변경 이력의 작성자 식별 (edited_by_user_id) | 회원 탈퇴 시 즉시 NULL 처리 (자동 익명화) | 개인정보 보호법 제21조 |
| 접속 로그 (IP / User-Agent / path) | 3개월 | 통신비밀보호법 제15조의2 |
| 세션 쿠키 | 세션 종료 시 (sliding 5분 버킷) | 인증 필요 기간 |
| 시스템 관리자 (admins) | 권한 종료 시 즉시 파기 | 운영 종료 시점 |
5. 제3자 제공 / 위탁
- 제3자 제공 — 없음. 다음 경우에만 예외:
- 이용자가 동의한 경우
- 법령 근거 / 영장에 의한 수사기관 요청
- 처리 위탁 — 없음.
- 외부 서비스: Discord OAuth (인증 필요 시점에만 사용자 ID 조회, 데이터는 회사가 보유)
6. 이용자 권리 / 행사 절차
이용자는 언제든 다음 권리를 행사할 수 있습니다:
- 개인정보 열람 (마이페이지
/me) - 개인정보 수정 / 삭제
- 처리 정지 / 회원 탈퇴
- 권리 행사 거절 / 미응답에 대한 이의 제기
요청 방법: 이메일 the.rolling.flow@gmail.com 또는 사이트 내 /me 페이지.
회사는 요청 접수 후 30일 이내 응답합니다 (개인정보 보호법 제35조 / 제36조).
7. 쿠키 / 자동 수집 정보
- 세션 쿠키 (인증용): httponly, samesite=lax. 세션 종료 또는 로그아웃 시 즉시 파기.
- secure flag: production 환경에서 활성화 (HTTPS 전송 한정).
- 거부 방법: 브라우저 설정에서 쿠키 차단 가능 — 단 차단 시 로그인 / 세션 유지 불가.
- 추적 / 광고 / 분석 쿠키 — 사용하지 않음.
8. 안전성 확보 조치
- 암호화: 비밀번호 bcrypt cost 12 단방향 해시. 세션 쿠키 SESSION_SECRET 서명.
- 접근권한: role 기반 (user / editor / admin) 분리. admin 인증 도메인 분리.
- 전송 보안: production HTTPS.
- 침해사고 대응 절차: 사고 인지 후 72시간 내 이용자 통지 및 관계 기관 신고 (개인정보 보호법 제34조).
- 로그 관리: 접속 / 권한 변경 / 인증 실패 로깅.
9. 개인정보 보호책임자
| 구분 | 정보 |
|---|---|
| 보호책임자 표시명 | 구르는흐름 운영자 |
| 직책 | 운영자 |
| 연락처 | the.rolling.flow@gmail.com (예: admin@140-245-68-182.sslip.io) |
개인정보 보호법 제31조에 따라 보호책임자 정보를 공개합니다. 본 표시명은 직무상 표시명이며, 실명 사용 의무는 없습니다 (행정안전부 / 개인정보보호위원회 1인 운영자 해설 기준).
10. 14세 미만 아동 처리
- 만 14세 미만은 회원가입을 받지 않습니다.
- Discord 자체 정책상 만 13세 이상부터 가입 가능 — 본 서비스는 만 14세 이상으로 추가 제한.
11. 자동화 의사결정 / 프로파일링
본 서비스는 자동화 의사결정 / 프로파일링을 통한 권리 / 의무 결정을 수행하지 않습니다.
12. 변경 시 통지
- 변경 시 30일 전 사이트 내 공지 (footer / 공지 게시판).
- 이용자에게 불리한 변경 시 동의 절차 별도 진행.
- 본 처리방침의 시행일 변경 history 보존.