개인정보처리방침

최종 개정일: 2026년 4월 21일 · 시행일: 2026년 4월 27일

이성민 (사업자 등록 예정)(이하 "회사")은(는) 「개인정보 보호법」 등 관련 법령을 준수하며, 정보주체의 권리를 보호하기 위하여 다음과 같이 개인정보처리방침을 수립·공개합니다. 본 방침은 Draft(https://dailydraft.me, 이하 "서비스") 이용 시 적용됩니다.

1. 수집하는 개인정보 항목

회사는 서비스 제공을 위해 다음 항목을 수집합니다.

가. 계정·프로필 정보

• 필수: 이메일 주소, 닉네임, 소속 학교 도메인(@**.ac.kr)
• 선택: 학번, 학과, 입학년도, 프로필 사진, 자기소개, 포트폴리오 링크(GitHub/LinkedIn 등), 관심분야

나. 콘텐츠 정보

• 프로젝트, 팀, 공개 게시물, 댓글, 메시지, 주간 업데이트 초안
• 동아리(클럽) 소속·역할·활동 기록

다. 외부 계정 연결(OAuth) 정보

• Threads(Meta Platforms) / Instagram / LinkedIn / Discord / GitHub 연동 시 제공자가 반환하는 고유 식별자(user_id), 사용자명(username), 프로필 이미지
• OAuth 액세스 토큰 — 저장 시 AES-256-GCM 으로 암호화되며 평문 상태로 로그·백업에 기록되지 않습니다
• 토큰 만료 시각(expires_at), 발급 scope

라. 서비스 이용 과정 자동 수집

• IP 주소, User-Agent, 접속 시각, 세션 쿠키
• 앱 내 활동 기록, 오류 로그(에러 메시지, 발생 지점)
• 관리자 접근·중요 변경에 대한 감사 로그(audit log)

2. 수집·이용 목적

수집한 정보는 다음 목적에만 이용됩니다.

• 회원 식별·인증, 본인 확인
• 동아리·프로젝트 추천, 팀빌딩, 공개 피드 제공
• 운영진이 승인한 콘텐츠의 외부 채널 자동 발행(Threads/Instagram/LinkedIn)
• 기관(대학·창업지원단)에 대한 소속 학생 현황 집계 리포트(익명화된 통계 원칙)
• 부정 이용 방지, 보안 사고 대응, 분쟁 조정
• 서비스 품질 개선 및 통계 분석

3. 제3자 제공

회사는 정보주체의 사전 동의 없이 수집 목적 범위를 초과하여 개인정보를 제3자에게 제공하지 않습니다. 특히 Meta Platform Data(Threads/Instagram API 로 받은 데이터)는 어떠한 제3자에게도 판매·공유·양도되지 않으며, 다른 통합에서 수집한 데이터와 결합되지 않습니다. 법령에 의한 제공 요구 시 해당 사실을 이용자에게 공지합니다.

4. 처리 위탁

회사는 서비스 운영을 위해 다음 수탁업체에 개인정보 처리를 위탁합니다. 수탁업체는 회사의 지시에 따라 위탁 목적 범위에서만 정보를 처리하며, 독립적 분석·마케팅 권한을 갖지 않습니다.

5. 보관 기간

• 회원 정보: 회원 자격 유지 기간 동안. 탈퇴 신청 시 30일 유예 보관 후 즉시 파기
• OAuth 액세스 토큰: 제공자 정책상 만료 시각까지(통상 60일 이내). 연결 해제 즉시 완전 삭제(hard delete)
• 접속 로그·IP: 3개월 (통신비밀보호법)
• 감사 로그(관리자 접근·중요 변경): 5년 (정보보호 및 법적 대응 요구)
• 부정 이용 기록: 1년

6. 국외 이전

위 수탁업체의 일부는 대한민국 외 국가(미국·싱가포르)에 서버를 두고 있어 개인정보가 국외로 이전됩니다. 회사는 서비스 가입 시 본 방침을 고지함으로써 국외 이전에 관한 동의를 받으며, 각 수탁업체는 자체 Data Processing Agreement 및 SOC2/ISO27001 기준의 보안 수준을 유지합니다. 동의를 원치 않을 경우 회원 가입을 진행하지 마십시오.

7. 정보주체의 권리

정보주체는 언제든지 다음 권리를 행사할 수 있습니다.

• 개인정보 열람 요구
• 오류 정정·삭제 요구
• 처리 정지 요구
• 동의 철회·회원 탈퇴
• 자동화된 결정(매칭 추천 등)에 대한 이의 제기

8. 데이터 삭제 요청 방법

아래 세 가지 경로 중 하나로 요청할 수 있으며, 자세한 절차는 데이터 삭제 안내 페이지에 정리되어 있습니다.

• 앱 내: 로그인 후 /me/data 에서 계정 삭제
• Meta 자동 삭제 웹훅: Threads 앱에서 연결 해제 시 POST /api/oauth/threads/data-deletion 을 통해 자동 처리
• 이메일: team@dailydraft.me 으로 가입 이메일과 함께 요청

9. 안전성 확보 조치

• 접근 통제: Supabase Row Level Security(RLS), 관리자 권한 분리, CSRF 방어
• 전송 구간 암호화: HTTPS(TLS 1.3)
• 저장 구간 암호화: Postgres 저장 암호화, OAuth 토큰은 AES-256-GCM 별도 암호화
• 감사: 관리자 접근·중요 변경 사항을 5년간 감사 로그로 보관
• 취약점 대응: 의존성 자동 스캔, 주기적 RLS 감사

10. 쿠키

서비스는 로그인 세션 유지, 온보딩 진행 상태 저장 등을 위해 쿠키와 로컬 저장소를 사용합니다. 브라우저 설정에서 쿠키를 거부할 수 있으나, 이 경우 로그인을 포함한 일부 기능이 제한됩니다.

11. Meta 플랫폼 데이터에 관한 고지

본 조항은 Meta Platforms, Inc. 가 제공하는 Threads API / Instagram Graph API 를 통해 수집되는 데이터에만 적용됩니다.

1. 수집 범위: Threads/Instagram 계정의 고유 식별자(id), 사용자명(username), 액세스 토큰에 한정합니다. 기존 게시물, 팔로워/팔로잉, DM, 피드 콘텐츠는 수집하지 않습니다.
2. 수집 목적: (i) 운영진이 Draft 안에서 명시적으로 승인한 텍스트 콘텐츠를 운영진이 연결한 본인의 계정으로 발행, (ii) 연결된 계정을 UI 에 "@username" 으로 표시하여 발행 대상을 확인하는 용도로만 사용합니다.
3. 자동 발행 없음: 이용자의 명시적 승인 없이 콘텐츠가 외부에 게시되지 않습니다. 모든 발행은 운영진이 Draft UI 에서 "발행" 버튼을 눌러야 실행됩니다.
4. 제3자 비공유: Meta Platform Data 는 제3자에게 판매·공유·양도되지 않으며, 다른 통합(Discord, LinkedIn 등)에서 수집한 데이터와 결합되지 않습니다.
5. 데이터 삭제: 이용자는 언제든지 (i) 앱 내 페르소나 설정에서 연결 해제, (ii) Threads 앱에서 연결 해제 시 자동으로 호출되는 Meta data deletion webhook(POST /api/oauth/threads/data-deletion), (iii) 이메일 요청 중 하나로 즉시 토큰을 삭제할 수 있습니다. 연결 해제 즉시 DB 에서 완전 삭제(hard delete)됩니다.
6. Meta 정책 준수: 본 서비스는 Meta Platform Terms 및 Developer Policies를 준수합니다.

12. 개인정보 보호책임자

• 책임자: Draft 운영팀
• 이메일: team@dailydraft.me
• 처리 기한: 영업일 기준 30일 이내 답변

13. 권익 침해 구제

아래 기관에 분쟁 해결이나 상담을 신청할 수 있습니다.

• 개인정보 침해신고센터 (privacy.go.kr, 국번없이 182)
• 개인정보 분쟁조정위원회 (kopico.go.kr, 1833-6972)
• 대검찰청 사이버수사과 (spo.go.kr, 02-3480-3573)
• 경찰청 사이버수사국 (ecrm.police.go.kr, 국번없이 182)

14. 개정 이력

• 2026년 4월 21일 — 최초 제정 (Meta App Review 대응: 수집 항목·Meta 특례·삭제 경로 명문화). 시행일 2026년 4월 27일.

본 방침은 시행일부터 적용됩니다. 중요한 변경이 있는 경우 시행 최소 7일 전(이용자에게 불리한 개정은 30일 전) 서비스 내 공지 및 가입 이메일을 통해 통지합니다.