# OPUS 개인정보처리방침 본 방침은 OPUS(이하 **서비스**)가 이용자의 개인정보를 어떻게 수집·이용·보관·파기하는지 설명합니다. 본 문서는 **정보보호 설계(Security by Design)·개인정보보호 설계(Privacy by Design)** 원칙에 따라 작성되었으며, **법적 최종 확정 전 초안**입니다. 법무 검토 및 사업 지역별 규제 정비 후 전문과 동기화하십시오. --- ## 1. 운영자 및 문의 - **운영 주체(가칭)**: [운영 법인명·상호를 기재] - **개인정보 보호 책임자(가칭)**: [직책·성명 또는 연락 창구] - **문의**: [이메일 또는 전용 폼 URL] --- ## 2. 수집하는 개인정보 항목 서비스 단계에 따라 다음과 같은 항목이 수집될 수 있습니다. - **계정·인증**: 이메일 주소, 비밀번호(해시 등 **원문 비저장** 형태), 표시 이름, 역할(작가·컬렉터 등) - **서비스 이용**: **복제 불가능한 디지털 아트** 관련 메타데이터, 에디션·출처·소유 이력(The Chronicle 및 연동 기록) - **기술 정보**: IP 주소, 쿠키·로컬 저장소, 기기·브라우저 정보, 접속·이용 로그 - **분석(해당 시)**: **비식별·집계** 위주의 이용 통계(예: 페이지 조회, 이벤트 집계). 개인을 직접 식별하지 않도록 설계합니다. --- ## 3. 수집 및 이용 목적 - 회원 식별, 로그인·세션 관리, 부정 이용 방지 - **인증된 디지털 에디션**의 소유·출처·감상 경험 제공 및 **The Chronicle** 기록의 **무결성·감사 가능성** 유지 - 고객 지원, 공지, 약관·방침 변경 안내 - 서비스 품질 개선(통계·보안 모니터링, **PII 최소 노출** 원칙 하의 로그) 본 서비스는 **NFT 등 분산원장 기술**을 **기술적 수단**으로 활용할 수 있으나, **투자·수익·금융 상품**을 목적으로 한 개인정보 처리를 하지 않습니다. --- ## 4. The Vault 및 암호화·보안 통제 OPUS는 민감 데이터의 **저장(At-Rest)** 및 **전송(In-Transit)** 구간에서 암호화와 접근 통제를 적용합니다. - **The Vault**: 운영 인프라 내 **프라이빗 보관·처리 구역**을 지칭하며, 개인정보·제출 자산·감사 로그 등은 **업무상 필요한 최소 범위**에서만 이 구역 또는 이에 상응하는 통제 수준의 환경에 보관됩니다. - **암호화**: 전송 구간은 **TLS** 등 업계 표준을 따릅니다. 저장 데이터는 **암호화된 저장소·암호화된 백업** 등을 통해 노출 위험을 완화합니다(구체 알고리즘·키 관리는 내부 보안 기준 및 인프라 문서에 따름). - **접근 통제**: **최소 권한(RBAC)** 원칙, 운영·개발 분리, 감사 로그(식별 정보 **마스킹** 원칙)를 적용합니다. - **무결성**: The Chronicle 등 **불가변·연속 기록**이 필요한 영역은 **해시 체이닝** 등으로 **무결성 검증**을 지원할 수 있습니다. 이 경우에도 **직접 식별자**는 가능한 한 **분리·최소화**합니다. --- ## 5. 개인정보의 제공 및 처리 위탁 - 원칙적으로 이용자 동의 없이 제3자에게 개인정보를 제공하지 않습니다. - **위탁**(호스팅, 결제 대행, 분석 도구 등)이 있는 경우 **위탁 계약**에 따라 **목적 외 이용 금지·기술적·관리적 보호조치**를 요구하고, **위탁 업체와 처리 항목**을 방침 또는 별지로 공개합니다. --- ## 6. 국외 이전 **Google 계정으로 로그인·회원가입**을 선택하는 경우, 인증 처리를 위해 **Google LLC(미국)** 에 개인정보(예: 이메일, 표시 이름, 프로필 이미지)가 이전·처리될 수 있습니다. 이 경우 **가입·로그인 화면에서 별도 동의**를 받으며, **일본 개인정보보호법(APPI)** 및 관련 가이드라인이 정하는 절차(동의, 계약, 해당 국가의 보호 수준 등)를 준수합니다. 그 밖에 개인정보를 **일본 외의 국가**로 이전하는 처리가 도입되면 본 방침을 갱신하여 고지합니다. --- ## 7. 일본 개인정보보호법(APPI) 준수 OPUS는 **일본 「개인정보의 보호에 관한 법률」(Act on the Protection of Personal Information, APPI)** 및 **개인정보 보호 위원회** 가이드라인을 준수하기 위해 다음을 이행합니다. - 이용 목적의 **특정·명시**, **목적 외 이용 금지** - **안전 관리 조치**(The Vault를 포함한 기술적·조직적 대책) - **제3자 제공**·**위탁**의 적정화 - **열람·정정·이용 정지·삭제** 등 청구에 응하는 절차(세부는 별도로 정함) - **국외에 있는 제3자에 대한 제공**이 있는 경우 **APPI**에 따른 대응 ※ 일본 거주자에게 서비스를 제공하는 경우, **표시 언어·절차**를 일본어로 정비하는 것을 권장합니다. --- ## 8. 대한민국 개인정보보호법 준수 대한민국 거주 이용자에 대해서는 **「개인정보 보호법」** 및 시행령에 따른 **수집·이용 동의**, **제3자 제공**, **파기**, **이용자 권리**(열람·정정·삭제·처리정지 등) 절차를 적용합니다. --- ## 9. 보유 기간 및 파기 - **회원 탈퇴** 또는 **보유 기간 만료** 시, 관련 개인정보는 **지체 없이 파기**합니다. 단, 관계 법령에 **보존 의무**가 있는 경우 해당 기간까지 분리 보관 후 파기합니다. - **The Chronicle** 등 **감사·무결성**을 위한 기록은 **블록체인·해시·불가변 로그** 형태로 **영구 보존**될 수 있습니다. 이 경우 **직접 식별 정보**는 **별도 분리·비식별화** 등을 통해 최소화합니다. --- ## 10. 이용자의 권리 이용자는 **열람·정정·삭제·처리 정지·동의 철회** 등을 요청할 수 있으며, 서비스 내 설정 또는 **문의 창구**를 통해 신청할 수 있습니다. 요청은 **본인 확인** 후 합리적 기간 내 처리합니다. --- ## 11. 쿠키 및 유사 기술 서비스는 **세션·기본 설정·보안** 목적으로 쿠키 등을 사용할 수 있습니다. 분석용 쿠키는 **동의**가 필요한 경우 별도 동의 UI를 둡니다. --- ## 12. 아동의 개인정보 본 서비스는 **만 13세 미만(또는 관할 법상 아동)** 의 개인정보를 **고의로 수집하지 않습니다**. 해당 사실이 확인되면 **지체 없이 삭제** 조치합니다. --- ## 13. 정책 변경 법령·서비스 변경 시 본 방침을 개정할 수 있으며, **중요한 변경**은 서비스 내 공지 또는 이메일로 안내합니다. --- *문서 버전: 초안 | 최종 갱신일: [YYYY-MM-DD] | 다음 검토: 법무·준거법 정합성*