Dapanda(以下简称"运营者")依据韩国《个人信息保护法》第30条,为保护信息主体的个人信息及相关权益,特制定并公开本隐私政策。
最终修订日期 2026-05-13 · 生效日期 2026-05-13
一、个人信息处理目的
运营者仅为以下目的处理个人信息,不会将其用于目的范围之外,如需变更将事先取得同意。
- 确认入会意愿、会员识别与认证、本人身份验证
- 帖子及评论的发布与管理、举报及处罚处理
- 运营者与会员之间的沟通(公告、问题解答)
- 防止服务滥用、用户行为统计分析
- (第二阶段)支付、订阅及退款处理、交易记录管理
二、处理的个人信息项目
必要项目
- 电子邮件地址
- 密码(仅以单向哈希方式存储,不保留明文)
- 显示名称
- 注册及登录时间、访问IP、浏览器信息
通过 OAuth 注册时的附加项目
- Google:电子邮件、头像、显示名称
- Kakao / 微信(计划中):各提供方提供的标识符及个人资料
自动收集项目
- Cookie(维持会话、认证令牌)
- 访问日志(URL、时间、响应代码)、错误日志
三、个人信息处理及保存期限
运营者在法律规定的保存使用期限内,或在信息主体同意的期限内处理和保存个人信息。
- 会员信息: 保存至会员注销为止。注册满一年或最后一次登录满一年的会员,其识别信息每天自动匿名化一次(韩国标准时间凌晨3:00)。显示名称将变更为"已注销会员",个人简介及头像将立即删除。
- 访问及错误日志: 收集后保存1年
- 电子商务交易记录(第二阶段): 依据《电子商务等消费者保护法》第6条 — 展示及广告记录6个月,合同、撤约、付款、商品提供记录5年,消费者投诉及纠纷处理记录3年
四、个人信息的第三方提供
运营者仅在本政策第一条规定的目的范围内处理个人信息,除经信息主体同意或法律另有规定外,不向第三方提供个人信息。
五、个人信息处理委托
为稳定运营服务,运营者已将个人信息处理委托如下。
| 受托方 | 委托业务 | 国家 |
|---|---|---|
| Supabase, Inc. | 账户认证、数据库、存储 | 美国 |
| Vercel, Inc. | 网页托管、CDN、构建 | 美国 |
| Google LLC | OAuth 认证(用户自主选择) | 美国 |
与上述受托方签订的委托合同中包含《个人信息保护法》第26条规定的安全措施义务条款。
六、信息主体及法定代理人的权利、义务及行使方式
信息主体可随时向运营者行使以下权利。
- 要求查阅个人信息(《个人信息保护法》第35条)
- 如有错误,要求更正或删除(第36条)
- 要求停止处理(第37条)
- 会员注销(适用本政策第三条的保存期限)
可通过会员控制台的设置菜单直接行使权利,也可通过本政策第10条所载隐私官联系方式提出申请。
七、个人信息的销毁程序及方法
当个人信息保存期限届满、处理目的已实现等不再需要个人信息时,运营者将立即予以销毁。
- 销毁程序: 会员注销或保存期限届满时,将由自动触发机制进行匿名化处理和删除。
- 销毁方法: 电子文件以不可恢复的方式永久删除,备份文件经过一定保存期后自动销毁。
八、个人信息安全保障措施
运营者依据《个人信息保护法》第29条及同法施行令第30条,实施以下管理性、技术性和物理性措施。本措施在单人运营体制下的SaaS基础架构(Vercel·Supabase)上实施。
8.1 管理性措施
- 以本隐私政策代替内部管理计划,每季度审查并更新一次。
- 管理员控制台的访问权限仅限于单一责任人(运营者本人),运营者个人邮箱与公开联系邮箱分开使用。
- 会员与管理员权限通过数据库字段(role)区分,权限变更以可审计的SQL变更记录存档。
- 重要运营决策及变更事项累积记录在本隐私政策的变更历史表中。
8.2 技术性措施
- 传输加密 — 所有页面和API调用强制使用HTTPS(TLS 1.2及以上),HTTP请求自动重定向。
- 密码单向哈希 — Supabase Auth 使用 bcrypt 存储密码,明文不保留于任何地方。
- 行级访问控制(RLS) — 对会员、帖子、评论、个人资料全部表格应用 Postgres 行级安全策略,阻止访问非本人数据。
- SECURITY DEFINER 函数边界化 — 需要权限提升的操作(如浏览量增加、注销匿名化等)仅通过显式 PostgreSQL 函数公开,并固定 search_path。
- 基于PKCE的OAuth — Google 登录使用 PKCE 流程降低令牌劫持风险,会话以 HttpOnly Cookie 方式存储。
- 最小权限原则 — 区分匿名、认证、管理员三种角色,匿名密钥仅授予客户端安全范围内的权限,服务密钥限于环境变量。
- 访问记录保存 — 认证及管理员操作日志保存1年,发现异常访问时向运营者报警。
- 依赖项及安全更新 — 核心依赖(Next.js、React、Supabase SDK)保持最新稳定版本,安全补丁优先于无关工作应用。
8.3 物理性措施
- 运营者不运营自有数据中心或服务器,所有数据存储在受托方(Supabase·Vercel)的认证设施中。
- 运营者本人用于运营工作的设备始终启用磁盘加密(FileVault/BitLocker)和屏幕锁定。
8.4 安全事件应对程序
- 运营者或受托方一旦发现安全事件,立即调查影响范围。
- 如确认为重大安全事件,将立即通知信息主体,并依据《个人信息保护法》第34条向韩国互联网振兴院及相关机构报告。
- 安全事件原因分析及防止再发措施将记载于本政策变更历史中,并通过相同渠道向受影响会员公开。
九、自动收集装置(Cookie)的运营及拒绝方式
运营者使用Cookie维持会员认证会话并分析服务使用情况。
- 必要Cookie: 登录会话、CSRF 防护 — 拒绝后将无法登录
- 分析Cookie(计划中):匿名使用统计 — 可在浏览器设置中拒绝
拒绝Cookie方法:浏览器设置 → 隐私和安全 → Cookie → 阻止所有Cookie或按网站阻止。
十、个人信息保护负责人
运营者统筹负责个人信息处理相关业务,并指定以下个人信息保护负责人。
负责人 运营者本人(单人运营)
十一、权益侵害的救济途径
信息主体如因个人信息侵害寻求救济,可向以下机构申请纠纷调解或咨询。
- 个人信息纠纷调解委员会 — +82-1833-6972, www.kopico.go.kr
- 个人信息侵害举报中心 — 118, privacy.kisa.or.kr
- 最高检察厅网络调查科 — 1301, www.spo.go.kr
- 警察厅网络调查局 — 182, ecrm.police.go.kr
十二、处理方针变更历史
| 生效日期 | 版本 | 变更摘要 |
|---|---|---|
| 2026-05-12 | v1.0 | 首次制定(第一阶段:会员、帖子及评论范围) |
| 2026-05-13 | v1.1 | 第8条安全保障措施扩展为管理性、技术性、物理性及安全事件应对四大类(依施行令第30条基准)。本文修改外,信息主体权利范围无变动。 |
| 2026-05-13 | v1.2 | 第3条 — 明确1年未登录会员自动匿名化处理时间(KST 03:00)、频率(每天一次)及匿名化项目。正式记载PIPA-002自动销毁机制。 |