개인정보 보호정책

1. 개인정보 처리자

귀하의 개인정보 처리에 책임을 지는 주체(GDPR 하 "데이터 컨트롤러", PIPL 하 "개인정보 처리자")는 다음과 같습니다:

• 주체: CoinKirin.com
• 개인정보 일반 연락처: Privacy@coinkirin.com
• 개인정보 보호 책임자(DPO): dpo@coinkirin.com
• EU 대표자(GDPR 제27조): 현재 EU 대표자를 지정하는 절차 중입니다. 지정 완료 전까지 privacy@coinkirin.com으로 문의해 주십시오.
• PIPL 중국 내 대표자: 아직 지정되지 않았습니다. 중국 이용자는 제목에 "PIPL Request"를 적어 privacy@coinkirin.com으로 문의해 주십시오.

2. 수집하는 개인정보 항목

서비스 운영에 필요한 최소한의 데이터만 수집합니다. 구체적으로 다음 항목을 처리합니다:

계정 데이터

이메일 주소, 비밀번호(bcrypt 코스트 12 해시만 저장, 평문은 보관하지 않음), 이중 인증 TOTP 비밀(AES-GCM 암호화 저장), 표시 이름, 계정 생성 시각.

이용자 설정

언어, 테마, 로케일, 알림 설정, 통화 설정.

금융 데이터(이용자 입력)

포트폴리오 보유, 관심 목록, 가격 알림. 귀하가 자발적으로 입력하며 외부 중개사·거래소로 전송되지 않고 귀하가 요청한 기능에만 사용됩니다.

기기 및 기술 데이터

IP 주소(분석 사용 전 /24로 잘라냄), User-Agent, 기기 지문/리프레시 토큰 기기 ID, 화면 해상도·로케일(선택, 클라이언트 전용).

이용 데이터

조회 페이지, 기능 이용, 검색어, 클릭 이벤트, Core Web Vitals(LCP, CLS, INP), 익명 처리된 오류 리포트.

쿠키 및 유사 기술

엄격히 필요한 쿠키(세션, CSRF, 로케일), 설정 쿠키(테마), 명시적 동의가 있는 경우에 한한 분석 쿠키. 전체 목록은 쿠키 정책을 참조하십시오.

민감 정보(인종, 종교, 건강, 성적 지향, 정치 성향, 생체·유전 정보)는 의도적으로 수집하지 않습니다. 해당 정보를 제출하지 마십시오.

3. 수집 방법

다음 방법으로 개인정보를 수집합니다:

귀하로부터 직접

계정 등록, 프로필 편집, 포트폴리오 입력, 지원 요청, 기타 서비스 이용 시.

자동 수집

서비스 이용 시 쿠키, 서버 로그, 이용 분석을 통해 자동으로.

제3자로부터

Cloudflare가 IP 주소에서 파생된 대략적 국가 정보를 보안·현지화 목적으로 당사에 제공합니다. 데이터 브로커로부터 개인정보를 구매하지 않습니다.

4. 처리 목적 및 법적 근거

GDPR 제6조에 따라 적어도 하나의 적법한 근거가 적용되는 경우에만 개인정보를 처리합니다:

5. 데이터 보관

위 목적 달성에 필요한 기간 또는 법률이 요구하는 기간 동안만 개인정보를 보관합니다:

• 계정 데이터: 계정 활성 기간. 삭제 요청 시 30일 소프트 삭제 기간(복구 가능) 후 영구 삭제.
• 감사 로그(일반): 1년.
• 주요 이벤트 감사 로그(관리자 작업, 계정 삭제, 보안 사고): 규제 요구 시 최대 7년.
• 클라이언트 오류 리포트: 90일(자동 TTL).
• 분석 데이터: 90일(자동 TTL) 후 삭제 또는 완전 집계·익명화.
• 리프레시 토큰: 최대 30일, 만료 토큰 자동 삭제.
• 백업: 최대 35일, 암호화 저장 후 교체.

6. 공유 방식

당사는 귀하의 개인정보를 판매하지 않으며, CCPA/CPRA에서 정의하는 "교차 맥락 행동 광고"를 위한 공유도 하지 않습니다.

당사는 서면 DPA(필요 시 SCC 포함)에 따라 당사 지시하에 움직이는 소수의 신뢰할 수 있는 하위 처리자에만 의존합니다:

활성화된 하위 처리자

새로운 하위 처리자는 활성화 최소 30일 전에 블로그 게시물과 이 페이지를 통해 공지합니다. GDPR 제28조(2)에 따라 새로운 하위 처리자에 이의를 제기할 권리가 있습니다.

계획 중 / 조건부 하위 처리자

다음은 현재 사용되지 않지만 로드맵에 있습니다. 활성화 시 30일 전에 공지합니다.

• Grafana Labs, Inc. (Grafana 클라우드) — 옵저버빌리티를 자체 호스팅에서 마이그레이션하는 경우
• Anthropic, PBC — AI / MCP 기능 출시 시

하위 처리자가 아닌 것

다음 제공자는 사용자 개인정보를 처리하지 않으므로 하위 처리자로 나열되지 않습니다: GitHub(코드 호스팅만), npm / Go module proxy(의존성), Let's Encrypt(TLS 인증서), Docker Hub(이미지 배포).

이의 제기 권리

dpo@coinkirin.com에 서면으로 연락하여 언제든지 새로운 하위 처리자에 이의를 제기할 수 있습니다. 합리적으로 수용할 수 없는 경우에도 먼저 데이터를 내보낸 후 계정을 삭제할 권리를 보유합니다.

법적 공개

법률, 법원 명령, 유효한 법적 절차(소환장이나 규제 당국 요청 등)에 따라 요구되는 경우 개인정보를 공개할 수 있습니다. 법률이 허용하는 한 공개 전에 영향을 받는 이용자에게 통지합니다.

사업 양도

CoinKirin이 합병, 인수, 자산 매각에 관여하는 경우 귀하의 개인정보가 거래의 일부로 이전될 수 있습니다. 법률이 요구하는 경우 통지하고 의미 있는 선택권을 제공합니다.

7. 국경 간 데이터 이전

백업 및 하위 처리자 인프라도 미국에 있을 수 있습니다.

EEA, 영국, 스위스 이용자에 대해 미국으로의 개인정보 이전은 GDPR 제46조에 따른 적절한 보호 조치로 EC 표준계약조항(SCC)을 사용합니다. SCC 사본은 privacy@coinkirin.com으로 요청하십시오.

영국 이용자에게는 SCC에 대한 UK International Data Transfer Addendum을 적용합니다.

중국 이용자: 귀하의 개인정보는 중국 본토 외(주로 미국)로 이전·저장·처리됩니다. CoinKirin 계정 생성 및 이용 시 PIPL 제38–39조에 따라 이 국경 간 이전에 명시적으로 동의한 것으로 간주됩니다. 계정 삭제를 통해 언제든 동의를 철회할 수 있으나, 이전 없이는 서비스 제공이 불가능합니다.

8. 귀하의 권리

거주지에 따라 개인정보에 대한 다음 권리를 가집니다. 실무상 가능한 최대한, 관할에 관계없이 모든 이용자에게 이러한 권리를 존중합니다.

접근권 / 알 권리

당사가 보관한 귀하의 개인정보 사본을 요청할 수 있습니다. 등록 이용자는 /api/v1/auth/me/export(프로필 설정의 "내 데이터 내보내기")로 언제든 데이터를 내보낼 수 있습니다.(GDPR 제15조 / CCPA 알 권리 / PIPL 제45조.)

정정권

프로필 페이지에서 부정확하거나 불완전한 개인정보를 정정할 수 있습니다. 직접 편집 불가한 항목은 privacy@coinkirin.com으로 문의하십시오.(GDPR 제16조.)

삭제권

프로필 페이지에서 계정을 삭제할 수 있습니다. 30일 소프트 삭제 후 운영 시스템에서 귀하의 계정 및 관련 개인정보가 영구 삭제됩니다. 관련 백업은 35일 이내 교체됩니다.(GDPR 제17조 / CCPA 삭제권 / PIPL 제47조.)

처리 제한권

특정 상황(예: 정확성에 이의 제기 중)에서 처리를 제한하도록 당사에 요청할 수 있습니다. privacy@coinkirin.com으로 문의하십시오.(GDPR 제18조.)

데이터 이동권

데이터 내보내기 엔드포인트는 구조화되고 기계 판독 가능한 JSON 형식으로 귀하의 데이터를 반환합니다.(GDPR 제20조 / PIPL 제45조.)

이의 제기권

직접 마케팅을 포함한 정당한 이익 기반 처리에 이의를 제기할 수 있습니다. 모든 마케팅 이메일에는 원클릭 구독 해지 링크가 있습니다.(GDPR 제21조.)

동의 철회권

처리가 동의를 기반으로 하는 경우(분석 쿠키, 마케팅 이메일 등), 쿠키 배너의 "모두 거부" 또는 구독 해지 링크를 통해 언제든 동의를 철회할 수 있습니다.

자동화 의사결정에 관한 권리

법적 또는 그에 준하는 중요한 효과를 일으키는 자동화만의 의사결정에 이용자를 복속시키지 않습니다.

캘리포니아 특별 권리(CCPA/CPRA)

캘리포니아 주민은 수집되는 개인정보 항목, 출처, 수집의 사업 목적, 공유되는 제3자 항목의 공개를 추가로 요청할 수 있습니다. 당사는 개인정보를 판매하지 않으며 지난 12개월 동안에도 판매하지 않았습니다.

PIPL 특별 권리

중국 이용자는 위 권리 외에 개인정보 사본을 다른 처리자에게 이전할 권리, 중국 국가인터넷정보판공실(CAC)에 민원을 제기할 권리를 가집니다.

민원 제기권

지역 개인정보 보호 당국에 민원을 제기할 수 있습니다. EU 이용자는 https://edpb.europa.eu/about-edpb/about-edpb/members_en에서 해당 기관을 찾을 수 있습니다. 먼저 privacy@coinkirin.com으로 직접 문의해 주시면 감사하겠습니다.

권리 행사 방법

일부 권리(내보내기, 삭제, 구독 해지)는 서비스 내 셀프서비스 도구로 제공됩니다. 그 밖의 요청은 privacy@coinkirin.com으로 이메일을 보내 주십시오. GDPR/PIPL은 30일, CCPA는 45일 이내 답변드립니다. 처리 전 본인 확인을 요청할 수 있습니다.

9. 아동 데이터

CoinKirin은 18세 미만을 대상으로 하지 않습니다. 특히 13세 미만(미국 COPPA) 또는 16세 미만(EU GDPR 제8조) 아동의 개인정보를 의도적으로 수집하지 않습니다. 보호자 동의 없이 아동 데이터를 수집한 사실이 확인되면 즉시 삭제하고 적절한 경우 보호자에게 통지합니다. 아동 데이터 수집이 의심되는 경우 privacy@coinkirin.com으로 문의해 주십시오.

10. 보안 조치

우발적·불법적인 파괴, 분실, 변경, 무단 공개 또는 접근으로부터 개인정보를 보호하기 위해 적절한 기술적·조직적 조치를 시행합니다:

• 전송 중 모든 데이터를 TLS 1.2 이상으로 암호화.
• TOTP 비밀 및 고민감 필드에 AES-GCM 저장 시 암호화.
• 비밀번호는 bcrypt 코스트 12로 해시, 평문으로 저장·전송하지 않음.
• HTTPS 전용, HSTS 프리로드, 엄격한 CSP, 최신 보안 헤더.
• 속도 제한, 민감 엔드포인트의 Cloudflare Turnstile CAPTCHA, 선택적 TOTP 이중 인증.
• 모든 관리자 작업에 대한 포괄적 감사 로그.
• 직원 접근의 최소 권한 원칙, 접근 검토 및 역할 기반 권한 제어.
• 정기적 의존성 스캔 및 보안 패치.

보안을 진지하게 다루지만 100% 안전한 시스템은 없습니다. 계정 자격 증명의 보관은 귀하의 책임입니다.

11. 데이터 침해 통지

개인정보 침해 발생 시 GDPR 제33조에 따라 인지 후 부당한 지연 없이(가능한 경우 72시간 이내) 관할 감독 기관에 통지합니다. 귀하의 권리·자유에 높은 위험을 초래할 가능성이 있는 경우 이메일 및 앱 내 알림으로 부당한 지연 없이 직접 통지합니다.

12. 본 정책의 변경

관행, 기술, 법적 요구사항 등의 변경을 반영하기 위해 본 정책을 수시로 업데이트할 수 있습니다. 중대 변경은 등록 이용자에게 이메일(등록된 경우) 및 서비스 내 눈에 띄는 공지로 발효 최소 14일 전에 통지합니다. 페이지 상단의 "최종 업데이트" 날짜가 항상 현재 버전을 반영합니다.

본 정책의 과거 버전은 보관되어 있습니다. 과거 버전 요청은 privacy@coinkirin.com으로 이메일을 보내 주십시오.

13. 연락 방법

개인정보 관련 질문 또는 권리 행사를 위해 아래 채널을 이용해 주십시오:

• 개인정보 일반 문의: Privacy@coinkirin.com
• 개인정보 보호 책임자: dpo@coinkirin.com
• 캘리포니아 CCPA 요청: privacy@coinkirin.com — 제목: "CCPA Request"
• 중국 PIPL 요청: privacy@coinkirin.com — 제목: "PIPL Request"
• 우편: 먼저 이메일로 문의해 주십시오. 우편 주소는 요청 시 제공합니다.