개인정보처리방침
시행일: 2026년 4월 27일 · 최종 개정: 2026년 4월 20일
Draft(이하 "회사")는 「개인정보 보호법」 등 관련 법령을 준수하고 정보주체의 권리를 보호하기 위하여 다음과 같이 개인정보처리방침을 수립·공개합니다.
제1조 (수집하는 개인정보 항목 및 수집 방법)
회사는 서비스 제공을 위해 다음 항목을 수집합니다.
1. 회원가입 및 프로필
- 필수: 이메일 주소, 닉네임, 대학교 도메인(@**.ac.kr)
- 선택: 학번, 학과, 입학년도, 프로필 사진, 자기소개, 포트폴리오 링크(GitHub/LinkedIn), 활동지역, 관심분야
- OAuth 사용 시: 연동 제공자(Google/GitHub/Discord)의 고유 식별자, 닉네임, 프로필 이미지
2. 서비스 이용 과정 자동 수집
- IP 주소, User-Agent, 접속 시각, 쿠키
- 앱 내 활동 기록(프로젝트 작성/지원/댓글/메시지)
- 오류 로그(에러 메시지, 발생 지점)
3. 동아리/기관 연동 시
- Discord 서버 멤버십, 채널 메시지 집계(주간 활동량·텍스트 요약)
- GitHub 저장소 활동(commit/PR 메타데이터)
수집 방법: 회원가입 폼 직접 입력, OAuth 자동 전달, 서비스 이용 중 자동 수집(쿠키/로그).
제2조 (개인정보의 수집 및 이용 목적)
수집된 정보는 다음 목적을 위해서만 이용됩니다.
- 회원 식별·인증 및 본인 확인
- 동아리/프로젝트 매칭, 팀빌딩, 주간 업데이트 자동 생성
- 기관(대학/창업지원단)에 대한 소속 학생 현황 집계 리포트(익명화된 통계 기본, 식별 정보는 기관별 동의 받은 경우에 한함)
- 부정 이용 방지 및 분쟁 조정
- 서비스 품질 개선, 신규 기능 개발을 위한 통계 분석
제3조 (개인정보의 보유 및 이용 기간)
- 회원 정보: 회원 탈퇴 시까지. 탈퇴 후 30일 유예 보관(복구 요청 대응), 이후 즉시 파기.
- 서비스 이용 기록·접속 로그·IP: 3개월 (통신비밀보호법)
- 전자상거래 기록(결제 도입 시): 5년 (전자상거래법)
- 부정 이용 기록: 1년 (회사 정책)
제4조 (개인정보의 제3자 제공)
회사는 정보주체의 개인정보를 제1조, 제2조에서 명시한 범위 내에서 처리하며, 이용자의 사전 동의 없이는 본래의 수집 목적 범위를 초과하여 처리하거나 제3자에게 제공하지 않습니다.
단, 다음의 경우에는 예외로 합니다:
- 이용자의 동의가 있는 경우 (대학/기관 리포트 동의 시 소속 기관)
- 법령에 특별한 규정이 있거나 수사 목적으로 법령에 정해진 절차와 방법에 따라 수사기관의 요구가 있는 경우
제5조 (개인정보 처리업무의 위탁)
서비스 제공을 위해 다음 업체에 개인정보 처리를 위탁하고 있습니다.
| 수탁업체 | 위탁 업무 | 보관 위치 |
|---|---|---|
| Supabase Inc. | DB 저장·인증·파일 저장 | 싱가포르 |
| Vercel Inc. | 앱 호스팅 | 미국 |
| Anthropic PBC, Google LLC | AI 생성 기능(요약·초안) | 미국 |
| Discord Inc. | Discord 연동·봇 운영 | 미국 |
| GitHub, Inc. | GitHub 연동 DevSync | 미국 |
| Resend Inc. | 이메일 발송 | 미국 |
| Upstash Inc. | Rate Limit/캐시 | 미국 |
| PostHog Inc. | 사용성 분석 | 미국 |
위 수탁업체 중 일부는 국외에 위치하므로 국외 이전에 해당합니다. 서비스 이용 자체가 해당 국외 이전에 대한 필수 동의를 포함합니다. 동의하지 않을 경우 회원 가입을 진행하지 마십시오.
제6조 (정보주체의 권리와 행사 방법)
정보주체는 다음 권리를 행사할 수 있습니다.
- 개인정보 열람 요구
- 오류 정정·삭제 요구
- 처리 정지 요구
- 동의 철회·회원 탈퇴
계정 설정 > 개인정보 관리 메뉴에서 직접 내 데이터 내려받기(JSON) 및 계정 삭제를 신청할 수 있습니다. 또는 아래 문의처로 연락해 주십시오.
제7조 (개인정보의 파기)
- 파기 시점: 보유 기간 경과, 처리 목적 달성, 탈퇴 후 30일 유예 경과 시 자동 파기
- 파기 절차: 복구·재생 불가능한 방법으로 영구 삭제 (DB cascade delete + 백업에서 보존기간 내 수동 삭제)
- 예외: 법령에서 의무 보관하도록 규정한 정보는 해당 기간까지 분리 저장 후 파기
제8조 (개인정보의 안전성 확보 조치)
- 접근 통제: Row Level Security(RLS), OAuth 토큰 서명, CSRF 방어
- 접속 기록 보관·점검: 오류 로그 3개월 이상 보관, 관리자 액세스 감사 로그 3년 보관
- 암호화: HTTPS(TLS 1.3) 전송 구간 암호화, Supabase Postgres 저장 구간 암호화
- 악성코드 대응: 의존성 취약점 자동 스캔
- 물리적 조치: 위탁업체의 데이터센터 물리 보안(SOC2/ISO27001 인증 기준)
제9조 (만 14세 미만 아동의 개인정보)
Draft는 만 14세 이상만 가입할 수 있는 대학생·성인 대상 서비스입니다. 만 14세 미만의 개인정보는 수집하지 않습니다. 확인 시 즉시 파기합니다.
제10조 (쿠키의 운영 및 거부)
회사는 서비스 제공을 위해 세션 쿠키와 필수 로컬 저장소를 사용합니다. 브라우저 설정에서 쿠키 저장을 거부할 수 있으나, 거부 시 로그인 유지·온보딩 진행 등 일부 서비스 이용이 제한됩니다.
제11조 (개인정보 보호책임자)
개인정보 처리에 관한 업무를 총괄하여 책임지며 정보주체 불만 처리 및 피해 구제 등에 관한 사항을 처리합니다.
- 책임자: Draft 운영팀
- 이메일: team@dailydraft.me
제12조 (권익 침해 구제 방법)
아래 기관에 분쟁 해결이나 상담을 신청할 수 있습니다.
- 개인정보 침해 신고센터 (privacy.go.kr, 국번없이 182)
- 개인정보 분쟁조정위원회 (kopico.go.kr, 1833-6972)
- 대검찰청 사이버수사과 (spo.go.kr, 02-3480-3573)
- 경찰청 사이버수사국 (ecrm.police.go.kr, 국번없이 182)
제13조 (처리방침 변경)
이 처리방침은 시행일부터 적용되며, 법령 및 방침에 따른 변경 시 변경사항의 시행 7일 전부터 공지합니다. 중요한 변경 시에는 회원 가입 이메일로 별도 통지합니다.