복기노트 개인정보처리방침
제1조 (처리방침의 목적)
빌롱위드랩스(BelongwithLabs, 이하 “회사”)가 운영하는 매매일지 기록·회고 서비스 “복기노트”(이하 “서비스”)는 회원의 개인정보를 소중히 여기며, 「개인정보 보호법」 등 관련 법령을 준수합니다. 본 개인정보처리방침은 회사가 회원의 개인정보를 어떠한 목적으로, 어떤 항목을, 어떤 방식으로 수집·이용·보관·파기하며, 개인정보와 관련한 회원의 권리가 무엇인지 설명합니다.
제2조 (수집하는 개인정보 항목 및 수집 방법)
회사는 서비스 제공을 위해 다음과 같은 개인정보를 수집합니다.
2.1 앱인토스 로그인을 통해 자동 수집
| 항목 | 근거 | 필수 여부 |
|---|---|---|
토스 유저 식별자(userKey, 숫자) |
앱인토스 appLogin API |
필수 |
토스 로그인 이름(name, 서버 복호화 후 내부 저장)
|
앱인토스 login-me API |
선택 |
| 닉네임 | 서비스 내부 자동 생성 | 필수 |
| 로그인 시각·기기 식별자(세션 로그) | 세션 관리·부정이용 방지 | 필수 |
앱인토스 로그인 이름 처리 원칙: 회사는
name 값을 서버에서 복호화하여 회원 식별 보조·민원 대응을
위해 내부 테이블에만 저장할 수 있습니다. 이 값은 앱 화면·공유 기능·세션
토큰에 노출하지 않습니다.
회사가 수집하지 않는 앱인토스 정보: 이메일 주소,
전화번호, 생년월일, 성별, 계좌정보. 이름 외 다른 암호화 개인정보(
phone·birthday·ci·gender
등)는 저장하지 않습니다. 회사는 앱인토스 로그인 권한 요청을
userKey·name 범위로 최소화합니다.
2.2 서비스 이용 과정에서 회원이 직접 입력하는 정보
| 항목 | 수집 목적 |
|---|---|
| 매매 기록(종목명·종목코드·매수/매도 구분·체결가·수량·체결 일시·수수료·세금·손익) | 매매일지 기록·통계·돌아보기 리포트 생성 |
| 투자 소회·메모·관찰된 실수 태그 | AI 해설 · 회고 리포트 생성 |
| 확신도·손절 기준가 등 매수·매도 부가 정보 | 원칙 준수 평가 · 계획 대비 실행 분석 |
| 온보딩 응답(트레이딩 스타일·피하고 싶은 행동·지향 가치·선호 톤) | 개인화된 AI 해설 톤 조정 |
| 감정 태그 | 매매 회고 서술 보조 |
2.3 회원이 업로드하는 이미지
| 항목 | 수집 목적 | 저장 방식 |
|---|---|---|
| 체결 내역 스크린샷(OCR 대상) | 수동 입력 보조(자동 파싱) | Cloudflare R2(비공개) — 유저별 폴더 |
| 차트 스크린샷(Vision 대상) | AI 차트 해설 생성 | Cloudflare R2(비공개) — 유저별 폴더 |
| 돌아보기 공유 이미지(OG 카드) | 회고 리포트 공유 기능 | Cloudflare R2(공개, 서명 토큰 경로만 열람) |
2.4 자동으로 수집·생성되는 정보
| 항목 | 수집 목적 |
|---|---|
| AI 호출 감사 로그(요청 해시·응답 분류·비용·지연시간) | 서비스 품질 관리·부정이용 모니터링 |
| 서비스 이용 기록·접속 로그·IP 주소(요청 헤더) | 부정이용 방지·보안 |
| 쿠키(세션 JWT) · 로컬 스토리지(온보딩 진행·동의 버전) | 로그인 상태 유지 · 온보딩 중복 방지 |
2.5 유료 서비스(인앱결제) 관련
회원이 유료 상품을 구매하는 경우
결제 정보(카드번호·계좌정보 등)는 앱인토스 인앱결제 시스템 내에서만
처리되며, 회사는 결제 정보를 직접 수집·보관하지 않습니다.
회사는 앱인토스 서버로부터 거래 식별자(orderId), 상품 ID,
구매 일시, 거래 상태만 전달받아 이용권 관리에 사용합니다.
제3조 (개인정보의 처리 목적)
회사는 수집한 개인정보를 다음 목적에 한하여 처리합니다. 수집 목적이 변경되는 경우 별도의 동의를 받습니다.
- 회원 관리: 앱인토스 로그인을 통한 회원 식별, 회원제 서비스 이용에 따른 본인 확인, 회원 자격 유지·관리
- 서비스 제공: 매매일지 기록, 통계 집계, 돌아보기 리포트 리포트 생성, AI 해설 생성
- 개인화: 회원의 온보딩 응답에 기반한 AI 해설 톤 조정
- 유료 서비스 운영: 체험 기간 관리, 이용권 상태 관리, 환불·만료 처리
- 부정이용 방지 및 보안: 비정상 접근 탐지, 악용 감지, 감사 로그
- 서비스 개선: 식별 정보를 제거한 통계 자료 생성 및 서비스 품질 개선(개인 식별 불가 상태로 한정)
- 법령 준수: 전자상거래법·소비자보호법 등 관계 법령상 의무 이행
제4조 (개인정보의 보유 및 이용 기간)
회사는 수집한 개인정보를 원칙적으로 이용 목적이 달성되면 지체 없이 파기합니다. 다만 다음의 경우 해당 기간 동안 보유합니다.
4.1 회원 탈퇴 또는 회원 자격 상실 시
- 즉시 파기 대상(탈퇴 시점): 회원의 매매 기록, 투자 소회, 온보딩 응답, 돌아보기 스냅샷, 통계 집계, 업로드 이미지(R2 스토리지)
-
기술적 구현:
DELETE /api/profile호출 시 관련 테이블ON DELETE CASCADE연쇄 삭제 및 R2 버킷 회원 폴더 삭제
4.2 관계 법령에 따라 보관이 필요한 경우
| 근거 법령 | 보관 항목 | 보관 기간 |
|---|---|---|
| 전자상거래 등에서의 소비자보호에 관한 법률 §6 | 계약·청약철회·대금결제·재화 공급 기록 | 5년 |
| 전자상거래 등에서의 소비자보호에 관한 법률 §6 | 소비자 불만·분쟁처리 기록 | 3년 |
| 통신비밀보호법 §15-2 | 서비스 접속 로그(로그인 기록, IP) | 3개월 |
| 전자금융거래법 §22 (해당 시) | 전자금융거래 기록 | 5년 |
4.3 회사 운영상 필요에 따라 별도 보관하는 경우
-
AI 호출 감사 로그(
ai_audit_log): 6개월 보관 후 자동 삭제. 요청 해시·응답 분류·비용·지연시간만 저장하며, 원문 매매 기록은 저장하지 않습니다. - 익명 통계 자료: 식별 정보가 완전히 제거된 통계 자료는 서비스 품질 개선을 위해 기간 제한 없이 보관될 수 있습니다.
제5조 (개인정보의 제3자 제공)
회사는 회원의 개인정보를 원칙적으로 외부에 제공하지 않습니다. 다만 아래의 경우는 예외로 합니다.
- 회원이 사전에 동의한 경우
- 법령의 규정에 따르거나, 수사 목적으로 법령에 정해진 절차에 의해 수사기관의 요구가 있는 경우
- 통계작성·학술연구 등의 목적을 위해 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 제공하는 경우
회사는 v0.1 현재 회원의 개인정보를 마케팅 목적으로 제3자에게 제공하지 않습니다.
제6조 (개인정보 처리업무의 위탁)
회사는 서비스 제공을 위해 다음과 같이 개인정보 처리업무를 외부에 위탁합니다. 위탁 계약 시 개인정보보호법 §26에 따라 위탁업무 수행 목적 외 개인정보 처리 금지, 기술적·관리적 보호조치, 재위탁 제한, 수탁자에 대한 관리·감독 등에 관한 사항을 계약에 반영하고 있습니다.
| 수탁자 | 위탁 업무 | 국가 |
|---|---|---|
| Supabase Inc. | 데이터베이스 호스팅, 파일 백업 | 일본(Tokyo, ap-northeast-1) |
| Vercel Inc. | Backend Functions 호스팅, 서비스 API 운영 | 대한민국(Seoul, icn1) |
| Cloudflare Inc. | 이미지 스토리지(R2), 공유 이미지 CDN | 전세계 엣지(한국 이용자는 ICN PoP) |
| Google LLC | Gemini API 기반 AI 해설 생성 | 미국 |
| 비바리퍼블리카(주)(앱인토스) | 로그인, 인앱결제(IAP), 푸시 알림 | 대한민국 |
회사는 수탁자가 위탁업무를 성실히 수행하도록 관리·감독하며, 위탁 계약이 종료되는 경우 즉시 해당 수탁자가 보유한 회원의 개인정보가 파기되도록 조치합니다.
제7조 (개인정보의 국외 이전)
회사는 서비스 제공을 위해 개인정보를 다음과 같이 국외로 이전합니다. 본 조의 각 항목은 개인정보보호법 §28조의8 ②에 따라 공개하는 법정 고지 사항입니다.
7.1 Google LLC (미국) — AI 해설 생성용 (필수 동의 대상)
| 이전받는 자 | Google LLC |
|---|---|
| 연락처 | support.google.com/policies |
| 이전 국가 | 미국 |
| 이전 시기·방법 | 회원이 매매 기록 저장·차트 해설 요청·돌아보기 생성을 실행하는 시점에 HTTPS(TLS 1.2 이상) 구간 암호화된 API 호출로 실시간 전송 |
| 이전 항목 | 차트 스크린샷 이미지, 매매 기록 일부 필드(진입가·손절가· 확신도·소회 요약), 온보딩 응답 일부(트레이딩 스타일·선호 톤) |
| 이전 목적 | Gemini API 기반 AI 해설(차트 해설·돌아보기 리포트) 생성 |
| 보유·이용 기간 | API 처리 후 즉시 삭제. Google의 Gemini API 정책에 따라 입력 데이터는 모델 학습에 사용되지 않으며, 학대 모니터링 외 보관하지 않습니다. (Gemini API Additional Terms 참조) |
| 이전 거부 방법 | 회원가입 시 “개인정보 국외 이전 동의” 화면에서 거부하거나, 이미 동의한 경우 회원 탈퇴를 통해 철회할 수 있습니다. |
| 이전 거부 효과 | 거부 시 AI 해설 기능 이용이 불가하며, 매매 기록·돌아보기 통계 등 비AI 기능은 정상 이용 가능합니다. |
7.2 Supabase Inc. (일본 Tokyo 리전) — 데이터베이스·백업 (처리위탁 공개 갈음)
개인정보보호법 §28조의8 ① 제3호(정보주체와의 계약 이행을 위한 처리위탁·보관)에 따라 본 방침 공개로 별도 동의에 갈음합니다.
| 이전받는 자 | Supabase Inc. |
|---|---|
| 연락처 | supabase.com/privacy |
| 이전 국가 | 일본(Tokyo, AWS ap-northeast-1 리전) |
| 이전 시기·방법 | 회원이 서비스에 데이터를 입력·조회하는 모든 시점에 HTTPS API를 통해 실시간 송수신 |
| 이전 항목 | 본 방침 제2조 각호의 전 항목(이미지는 Cloudflare R2로 분리) |
| 이전 목적 | 데이터베이스 호스팅, 자동 백업, Postgres 관리형 인프라 제공 |
| 보유·이용 기간 | 회원 탈퇴 시 본 방침 제4조에 따라 즉시 삭제. Supabase 측 자동 백업 보관 기간은 Supabase 정책에 따라 최대 30일. |
7.3 Cloudflare Inc. (전세계 엣지) — 이미지 스토리지 (처리위탁 공개 갈음)
개인정보보호법 §28조의8 ① 제3호에 따라 본 방침 공개로 별도 동의에 갈음합니다.
| 이전받는 자 | Cloudflare Inc. |
|---|---|
| 연락처 | cloudflare.com/privacypolicy |
| 이전 국가 | 전세계 엣지 PoP(한국 이용자의 요청은 원칙적으로 ICN(Incheon) 엣지에서 처리되며, 장애 시 인접 PoP로 라우팅됩니다) |
| 이전 시기·방법 | 회원이 체결 스크린샷·차트 스크린샷을 업로드하거나 돌아보기 공유 이미지를 조회하는 시점에 HTTPS 요청 |
| 이전 항목 | 체결 스크린샷 이미지, 차트 스크린샷 이미지, 돌아보기 공유 이미지(OG 카드) |
| 이전 목적 | R2 오브젝트 스토리지 보관, 전세계 CDN 캐싱 |
| 보유·이용 기간 | 회원 탈퇴 시 본 방침 제4조에 따라 즉시 삭제. |
제8조 (정보주체와 법정대리인의 권리·의무 및 행사 방법)
회원은 언제든지 회사에 대해 다음 권리를 행사할 수 있습니다. 회사는 회원의 권리 행사에 대해 지체 없이 조치하며, 정당한 사유가 있는 경우 그 사유를 회원에게 통지합니다.
- 열람 요구: 회원이 서비스 내 “기록 보기”·“통계”·“설정” 화면을 통해 직접 본인의 개인정보를 열람할 수 있습니다. 추가 열람이 필요한 경우 아래 연락처로 요청할 수 있습니다.
- 정정·삭제 요구: 서비스 내 “수정하기”·“삭제하기” 기능을 통해 직접 개별 기록을 정정·삭제할 수 있습니다. 계정 전체 삭제는 “설정 > 계정 탈퇴”로 요청합니다.
- 처리 정지 요구: 아래 연락처로 요청할 수 있으며, 요청 시 해당 개인정보의 처리가 중단됩니다. (단, 법령에 특별한 규정이 있는 경우 제한될 수 있습니다)
- 동의 철회: 개인정보 수집·이용에 대한 동의를 철회할 수 있으며, 철회 시 회원 자격을 유지할 수 없는 경우 탈퇴로 처리됩니다.
회원은 위 권리를 법정대리인이나 위임을 받은 자를 통해서도 행사할 수 있으며, 이 경우 회사가 정한 위임장을 제출하여야 합니다.
권리 행사 창구: 개인정보 보호책임자 이메일(belongwithlabs@gmail.com) 또는 서비스 내 “설정 > 문의하기”
제9조 (개인정보의 파기 절차 및 방법)
회사는 원칙적으로 개인정보 처리 목적이 달성된 후에는 해당 정보를 지체 없이 파기합니다. 파기 절차 및 방법은 다음과 같습니다.
9.1 파기 절차
회원의 탈퇴 또는 이용 목적 달성 시 해당 개인정보는 즉시 파기되며, 별도로 보관이 필요한 경우(법령에 의한 보관) 지정된 기간 후 파기됩니다.
9.2 파기 방법
-
전자적 파일 형태: 기술적 방법(
DELETE쿼리, 스토리지 오브젝트 삭제)을 사용하여 복구·재생이 불가능한 방법으로 영구 삭제 - 종이 문서: 해당 없음 (회사는 회원 개인정보를 종이 형태로 보관하지 않습니다)
제10조 (개인정보의 안전성 확보 조치)
회사는 개인정보보호법 §29에 따라 다음과 같은 안전성 확보 조치를 취하고 있습니다.
10.1 관리적 조치
- 개인정보 취급자 최소화(1인 개발 운영, 서비스 운영자 외 접근 불가)
- 개인정보 취급자 대상 비밀번호 관리 규정 수립
10.2 기술적 조치
- 전송 구간 암호화: 모든 API 호출은 HTTPS(TLS 1.2 이상). 내부 서비스 간 통신은 mTLS(상호 TLS 인증서) 추가 적용
- 인증 토큰 보호: 세션 쿠키는 HttpOnly · Secure · SameSite=Strict 속성 적용. HS256 서명 JWT
-
데이터베이스 접근 제어: Supabase Row Level
Security(RLS) 기본 deny 정책. 서버 전용
service_role키는 credentials 파일(600 권한)로 격리 - 저장 데이터 암호화: Supabase(AES-256) · Cloudflare R2(AES-256) 의 자동 저장 암호화
-
접속 기록 관리: AI 호출 감사
로그(
ai_audit_log) 6개월 보관 - 침입 방지: Cloudflare WAF 기반 악성 요청 차단, 비정상 요청 차단
10.3 물리적 조치
- 개인정보가 저장된 서버에 대한 물리적 접근은 수탁자(Supabase, Vercel, Cloudflare)의 데이터센터 보안 정책에 따라 제한
제11조 (쿠키 및 로컬 스토리지 운영)
회사는 회원에게 개인화된 서비스를 제공하기 위하여 다음과 같이 쿠키와 로컬 스토리지를 운영합니다.
11.1 사용 목적
| 저장소 | 저장 항목 | 목적 |
|---|---|---|
HttpOnly 쿠키(bokginote_session) |
세션 JWT | 로그인 상태 유지, CSRF 방지 |
| localStorage | 온보딩 진행 상태, 동의 버전, 일일 명언 표시 날짜 | 온보딩 중복 방지, 앱 UX 보조 |
11.2 거부 방법
회원은 웹브라우저의 “쿠키 설정” 옵션에서 쿠키를 거부할 수 있습니다. 단, 쿠키 거부 시 로그인 상태가 유지되지 않아 서비스 이용이 제한됩니다. 로컬 스토리지는 브라우저 “저장 데이터 삭제”로 초기화할 수 있습니다.
제12조 (만 14세 미만 아동의 개인정보 처리)
회사는 만 14세 미만 아동의 회원가입을 받지 않습니다. 앱인토스 플랫폼 정책상 앱인토스 로그인은 성인 인증된 이용자에게 제공되며, 회사는 별도로 만 14세 미만의 정보를 수집하지 않습니다.
제13조 (개인정보 보호책임자)
회사는 회원의 개인정보를 보호하고 개인정보와 관련한 불만을 처리하기 위하여 다음과 같이 개인정보 보호책임자를 지정하고 있습니다.
| 구분 | 성명 | 연락처 |
|---|---|---|
| 개인정보 보호책임자 | 곽근철(대표자) | belongwithlabs@gmail.com |
회원은 서비스를 이용하며 발생한 모든 개인정보 보호 관련 문의·불만·피해 구제 등에 관한 사항을 개인정보 보호책임자에게 문의할 수 있습니다. 회사는 회원의 문의에 대해 지체 없이 답변·처리합니다.
제14조 (권익침해 구제 방법)
회원은 개인정보 침해로 인한 구제를 받기 위해 개인정보분쟁조정위원회, 한국인터넷진흥원 개인정보침해신고센터 등에 분쟁 해결이나 상담을 신청할 수 있습니다. 이 밖에 기타 개인정보 침해의 신고·상담에 대하여는 아래 기관에 문의해 주시기 바랍니다.
| 기관 | 전화 | 홈페이지 |
|---|---|---|
| 개인정보분쟁조정위원회 | 1833-6972 | kopico.go.kr |
| 개인정보침해신고센터(한국인터넷진흥원) | (국번없이) 118 | privacy.kisa.or.kr |
| 대검찰청 사이버수사과 | (국번없이) 1301 | spo.go.kr |
| 경찰청 사이버수사국 | (국번없이) 182 | cyberbureau.police.go.kr |
제15조 (개인정보처리방침의 변경)
- 본 개인정보처리방침은 2026년 4월 22일부터 적용됩니다.
- 법령·정책 또는 보안 기술의 변경에 따라 내용의 추가·삭제 및 수정이 있을 시에는 변경 사항 시행 최소 7일 전부터 앱 내 공지사항을 통해 고지합니다.
- 중대한 변경(수집 항목 추가, 국외 이전받는 자 추가, 보유 기간 연장 등)의 경우 최소 30일 전 고지 후 별도의 동의를 재취득합니다.
부칙
- 시행일: 2026년 4월 22일
- 작성자: 빌롱위드랩스 (BelongwithLabs)
- 연락처: belongwithlabs@gmail.com