DOPA 개인정보처리방침
버전: v1.1 시행일: v1.0 출시일 (TBD) 최종 갱신: 2026-06-11 적용 대상: DOPA 앱 (이하 “본 앱”) v1.0 근거: 개인정보 보호법(PIPA) §30·§28의2 / Apple App Privacy / Google Play Data Safety
본 방침은 본 앱의 실제 동작을 1:1로 직역합니다. 모든 측정·세션 데이터는 사용자 기기에만 저장됩니다. 단 하나의 예외로, 사용자가 설정에서 직접 켠 경우(옵트인, 기본 꺼짐)에 한해 익명 사용 통계(이벤트 이름별 카운트 집계) 가 전송됩니다 — 개별 행동 기록·타임스탬프·식별자는 전송되지 않습니다(§2.6). 옵트인이 꺼져 있으면 외부 네트워크 전송은 없습니다. 크래시 리포팅(Sentry)은 아직 도입되지 않았으며, 도입 시 본 방침은 다시 버전업되고 Apple App Privacy / Google Data Safety도 함께 갱신됩니다. (ADR-016 익명 텔레메트리 조건부 확장 참조 — ADR-014의 번복이 아닌 조건부 확장)
1. 처리 목적
본 앱은 다음 목적으로만 개인정보를 처리합니다.
- 인지 수행 측정(반응 시간 등) 및 자기 관찰 흐름 시각화
- 사용자가 설정한 목표(focus chip)에 따른 세션 진행
- 주간 미러(Weekly Mirror) 등 사용자 본인의 누적 데이터 시각화
- 로컬 알림(목표 시간 알림 등)의 트리거
- (사용자가 옵트인 토글을 켠 경우에만) 제품 개선을 위한 익명 사용 통계 집계 (§2.6)
본 목적 외 활용은 별도 동의 없이 진행되지 않습니다.
2. 처리 항목 (실제 수집·저장 항목)
본 앱이 사용자 기기에 저장하는 항목은 다음과 같습니다.
2.1 사용자 식별 정보
- 로컬 익명 ID: 앱 설치 시 기기 내부에서 생성된 무작위 식별자 (이메일/이름/전화/주민번호 등 직접 식별 정보 수집 없음)
2.2 인지 수행 데이터
- 세션 시작/종료 시각, 사이클 수, 인지 과제(주의 전환 / N-back / DSST) 응답 시간 및 정답률
- 호흡 페이서 사이클 완료 여부 (cycles_completed: 0~3)
- 사용자 선택 목표(focus chip), 직전 영상/과제 이력
2.3 기기 환경 정보
- 기기 모델명 (인지 측정 결과의 기기별 보정 참고용, 외부 전송 없이 기기 내부에서만 활용)
2.4 동의·환경 설정
- 의료기기 미해당 면책 동의 여부 (disclaimer_accepted)
- 알림 권한 동의 여부
- 캘리브레이션 완료 여부
- 분석 데이터 활용 동의 여부 (analytics_opt_in — 기본값 꺼짐(0). 설정 화면의 ‘익명 사용통계 공유’ 토글로 켜고 끌 수 있으며, 켠 경우에만 §2.6 익명 사용 통계가 전송됨)
- 사용자 선택 언어 (i18n)
본 앱이 수집하지 않는 항목: 이름, 연락처, 이메일, 전화번호, 주민등록번호, 위치 정보(GPS), 사진/연락처/캘린더 접근, 광고 식별자(IDFA / GAID), 인구통계 정보, 결제 정보.
2.5 PIPA §23 민감정보(건강정보) 해당 여부 — 입장
본 앱이 처리하는 인지 수행 데이터(반응 시간, 정답률 등) 및 호흡 페이서 사이클 완료 여부는 다음 사유로 개인정보 보호법 §23의 민감정보(건강정보)에 해당하지 않는 것으로 본 앱의 입장을 명시합니다.
- 비의료적 처리: 본 앱은 의료기기가 아니며(
health_disclaimer_v1.md참조) 질병의 진단·치료·예방 목적이 아닙니다. 데이터는 자기 관찰용 수행 지표이며 의학적 건강 상태를 평가하지 않습니다. - 개인 단위 외부 전송·진단적 활용 없음: 본 앱이 이 데이터를 개인 단위로 외부에 전송하거나 의료적 진단·평가·처방에 활용하는 경로는 존재하지 않습니다 (§3.1). 유일한 외부 전송(§2.6 익명 사용 통계, 옵트인 시)은 이벤트 이름별 카운트 집계만 포함하며, 반응 시간·정답률 등 수행 값 자체나 이를 개인에 결합할 수 있는 식별자를 포함하지 않습니다 — 따라서 개인의 건강정보로 결합될 수 없습니다.
- 익명 로컬 처리: 직접식별 정보(이름·연락처 등) 없이 기기 내부에서만 처리되어 의료 맥락 외부에서 식별 가능한 건강 정보로 결합되지 않습니다.
단, 본 입장은 본 앱 운영자가 표시하는 정직한 해석이며, 향후 권위 있는 법무 검토·감독기관 해석·관련 판례에 따라 민감정보로 재분류될 경우 별도 동의 절차를 도입하고 본 방침을 버전업합니다. 본 방침 v1.1의 익명 텔레메트리(§2.6) 도입 시점에 본 입장을 재평가했으며, 전송되는 것이 이벤트 카운트 집계뿐(수행 값·식별자 미포함)이어서 개인 건강정보로 결합 불가하므로 입장을 유지합니다. 향후 의료 맥락 기능(예: 임상 척도 산출, 의료 기관 연동) 추가 시 본 §2.5의 입장은 반드시 재평가됩니다.
2.6 익명 사용 통계 (옵트인 시에만 전송)
사용자가 설정 화면의 ‘익명 사용통계 공유’ 토글을 직접 켠 경우(기본 꺼짐)에 한해, 다음 항목이 외부 수집 서버로 전송됩니다.
- 이벤트 카운트 집계: 사전 정의된 이벤트 이름 53종 화이트리스트(예: 앱 실행, 세션 시작/완료)에 대한 이름별 발생 횟수 집계만 전송됩니다. 개별 행동 기록(개별 행), 정밀 타임스탬프, 사용자/세션 식별자, 수행 값(반응 시간·정답률 등)은 전송되지 않습니다.
- 세그먼트 차원: 지역 3분류(
KR/US/OTHER— 기기의 Region 설정값 기반, GPS·위치 권한 사용 없음), 타임존 오프셋 버킷(예: UTC+9 수준의 거친 단위), 플랫폼(iOS/Android), 앱 버전, 집계 규격 버전. - 전송 묶음 식별자: 전송 묶음 중복 방지용 배치 식별자(batch_id — 전송 묶음 단위의 결정적 해시로, 사용자·기기와 무관하며 신원과 연결되지 않음)와 집계 규격 식별자(
dopa_telemetry_v1)가 함께 전송됩니다. - 재식별 방어(k-익명성): 전송·저장 단위는 배치별 카운트이며, 세그먼트 통계 산출(서버 측 집계·분석) 시 k=5 규칙(업로드 배치 수 기준)을 적용하여 표본 수가 5 미만인 세그먼트를 ‘기타’로 병합해 소표본으로 인한 개인 특정을 방지합니다. (k=5는 서버 측 파라미터이며 사용자 기반 성장에 따라 상향될 수 있습니다.)
옵트인이 꺼져 있는 동안(기본 상태) 본 항목은 일절 생성·전송되지 않습니다. 토글을 끄면 전송이 즉시 중단됩니다(§6 철회권).
운영 고지(사실 직역): 본 방침 버전 시점 기준 수집 엔드포인트는 아직 배포되지 않았으며, 앱의 텔레메트리 클라이언트는 빈 엔드포인트로 설정되어 토글이 켜져 있어도 실제 전송이 발생하지 않습니다. 본 절은 엔드포인트가 활성화되는 시점부터의 동작을 규율합니다.
3. 처리 위치 및 보관 기간
3.1 저장 위치
측정·세션 데이터는 전부 사용자 기기 내부에만 저장됩니다.
- 인지 수행/세션 데이터: 기기 내 SQLite 데이터베이스 (
dopa.db) - 환경 설정 / 언어 선택: 기기 내 MMKV 키-값 저장소
- 음원/영상 자산: 앱 번들 내 정적 자산
유일한 예외는 §2.6 익명 사용 통계입니다 — 사용자가 옵트인 토글을 켠 경우(기본 꺼짐)에만, 이벤트 이름별 카운트 집계가 HTTPS로 외부 수집 서버에 전송됩니다. 옵트인이 꺼져 있으면 외부 서버 전송이 없습니다. 클라우드 동기화·광고 네트워크는 없으며, 익명 통계 전송은 제3자 분석 SDK 없이 자체 구현(신규 SDK 0, 플랫폼 내장 HTTPS 전송)으로 수행됩니다.
사용자는 설정 > 데이터 내보내기(JSON) 기능으로 본인 데이터의 사본을 기기 밖으로 직접 반출할 수 있습니다. 이는 사용자 주도 공유(OS 공유시트)이며, 앱이 자동으로 외부에 전송하는 것이 아닙니다.
3.2 보관 기간
- 앱이 기기에 설치되어 있는 동안 사용자가 직접 삭제하지 않는 한 보관
- 앱 삭제 시 기기 OS가 SQLite/MMKV 영역을 함께 삭제 (사용자 명시 행위로 파기됨)
- 설정 > 전체 데이터 삭제로 앱 내에서 즉시 파기 가능 — SQLite(
dopa.db) 전 테이블과 MMKV 전체가 삭제되며, 옵트인 동의 기록(analytics_opt_in)도 함께 소멸하여 이후 §2.6 전송이 중단됩니다 - §2.6 익명 사용 통계(옵트인 시 전송분)는 식별자 없는 통계 기록으로 서버 측에 보관됩니다 — 보유·이용 기간은 §5 표, 개인 단위 삭제의 한계는 §6 참조
4. 제3자 제공 및 처리위탁
제3자 제공: 없음. 본 앱은 개인정보 또는 익명 통계를 제3자에게 판매·공유·제공하지 않습니다.
처리위탁: 다음 1건. 옵트인 시 전송되는 §2.6 익명 사용 통계의 수신·저장 인프라를 아래 수탁자에게 위탁합니다.
| 수탁자 | 위탁 업무 | 위탁 항목 |
|---|---|---|
| Cloudflare, Inc. | 익명 집계 통계의 수신·저장 (서버리스 엣지 인프라 운영) | §2.6의 익명 사용 통계 (이벤트 이름별 카운트 집계 + 세그먼트 차원) |
수탁자는 미국 법인이므로 국외 이전 고지(§5)가 함께 적용됩니다. 크래시 리포팅(Sentry)은 아직 활성화되지 않았습니다 — SDK는 앱에 포함되어 있으나 접속 주소(DSN)가 설정되지 않아 초기화되지 않으며, 크래시 데이터 전송은 0건입니다. 활성화 시 사전 고지 + 본 방침 버전업 + Apple/Google 콘솔 갱신 후 적용합니다.
5. 국외 이전
사용자가 옵트인 토글을 켠 경우에 한해, §2.6의 익명 집계 통계가 국외 사업자의 인프라로 이전됩니다. 개인정보 보호법 §28의2에 따라 다음을 고지합니다.
| 기재 사항 | 내용 |
|---|---|
| 이전되는 항목 | §2.6 익명 사용 통계 (이벤트 이름별 카운트 집계 + 세그먼트 차원 + 배치 중복방지 해시 batch_id — 신원 비연결). 개별 행동 기록·정밀 타임스탬프·식별자 미포함 |
| 이전받는 자 | Cloudflare, Inc. (미국 법인) |
| 이전받는 자의 연락처 | privacyquestions@cloudflare.com / https://www.cloudflare.com ([UNVERIFIED] — 출시 전 Cloudflare 최신 프라이버시 고지 기준 실측 확인 후 확정) |
| 이전 국가 및 데이터 위치 | 미국 법인 Cloudflare의 글로벌 엣지 네트워크. 데이터 상주(저장)는 아시아·태평양 리전으로 지정. 단, 운영 주체가 미국 법인이므로 국외 이전으로 보아 고지함 |
| 이전 일시 및 방법 | 옵트인 ON 상태에서 앱 실행 시 및 동의(토글 ON) 직후에 배치 단위로 전송, HTTPS 암호화 전송 |
| 이용 목적 | 제품 개선용 익명 통계 분석 (예: 한국/미국 시장 간 사용 패턴 비교) |
| 보유·이용 기간 | 제품 개선 분석 목적 달성 시까지. 식별자가 없는 집계 통계로서 세그먼트 단위로만 관리 |
| 이전 거부 방법·절차 및 거부 시 불이익 | 설정 화면의 옵트인 토글을 켜지 않거나(거부) 언제든 끄면(철회) 이전이 발생하지 않습니다. 거부·철회하더라도 앱의 모든 기능을 아무런 제한·불이익 없이 이용할 수 있습니다 |
동의 방법: 설정 화면의 ‘익명 사용통계 공유’ 옵트인 토글(기본 꺼짐)을 사용자가 직접 켜는 행위가 위 국외 이전에 대한 명시적 동의입니다. 사용자는 동의를 거부할 권리가 있으며, 거부하더라도 어떠한 불이익도 없습니다(앱의 모든 기능을 동일하게 이용할 수 있습니다). 토글을 끄면 동의가 즉시 철회되며 이후 이전이 발생하지 않습니다(§6).
6. 정보주체의 권리
사용자는 다음 권리를 행사할 수 있습니다.
- 열람권: 본 앱은 모든 측정 데이터를 앱 내 Weekly Mirror / Result 화면에서 본인이 직접 열람할 수 있도록 제공합니다. 또한 설정 > 데이터 내보내기(JSON, 사용자 주도 공유)로 데이터 전체 사본을 직접 확보할 수 있습니다.
- 삭제권: 설정 > 전체 데이터 삭제로 앱 내에서 전 데이터를 즉시 파기할 수 있습니다(SQLite·MMKV 전체 — 옵트인 동의 기록도 함께 소멸하여 이후 §2.6 전송 중단). 앱 삭제로도 전 데이터를 일괄 파기할 수 있습니다.
- 처리 정지 / 이용 거부: 알림 권한 거부, 측정 거부(앱 미사용)로 처리를 정지할 수 있습니다.
- 동의 철회(익명 사용 통계): 설정 화면의 ‘익명 사용통계 공유’ 토글을 끄면 §2.6 통계 전송 및 §5 국외 이전에 대한 동의가 즉시 철회되며, 이후 전송이 발생하지 않습니다.
- 이의 제기 / 문의: 아래 §9 보호책임자 연락처.
정직한 고지 — 이미 전송된 집계의 삭제 한계: 이미 전송된 익명 집계 통계에는 사용자/세션 식별자가 없어 특정 개인의 몫을 골라낼 수 없으므로, 개인 단위 삭제는 기술적으로 불가능합니다. 이는 개인 특정이 불가능하도록 설계된 익명 집계의 구조적 특성에서 비롯됩니다. 철회(토글 OFF) 시점 이후의 전송은 즉시 중단됩니다.
아동의 개인정보 (만 14세 미만): 본 앱은 아동을 대상으로 하지 않습니다. §2.6 익명 사용 통계는 식별자가 없는 집계로서 개인 특정이 불가능하도록 설계되었으며, 본 앱은 법정대리인 동의가 필요한 개인정보 처리를 수행하지 않습니다. 만 14세 미만 사용자는 옵트인 토글을 켜지 않을 것을 권고합니다(기본 꺼짐 = 전송 없음). (영문판 §6 COPPA 단락과 상호 참조)
7. 앱 접근 권한
본 앱이 요청하는 OS 권한과 사용 목적은 다음과 같습니다.
| 권한 | 용도 | 거부 시 영향 |
|---|---|---|
| 알림 (Notifications) | 사용자 설정 시간의 로컬 알림 트리거 | 알림 미수신, 앱 측정 기능은 정상 동작 |
원격 푸시 / 카메라 / 위치 / 사진 / 마이크 / 연락처 / 캘린더 권한은 요청하지 않습니다.
8. 안전성 확보 조치
- 측정·세션 데이터는 기기 외부로 전송되지 않으므로(옵트인 OFF 기본 상태) 통신 구간 노출 위험 없음
- 옵트인 시 전송되는 익명 통계(§2.6)는 HTTPS 암호화 전송으로만 이루어짐
- 수집 서버는 IP 주소를 저장하지 않음
- 소표본 세그먼트는 세그먼트 통계 산출(서버 측 집계·분석) 시 적용되는 k-익명성(k=5) 병합 규칙(업로드 배치 수 기준)으로 재식별 방지 (§2.6)
- 기기 자체 보안(OS 잠금, 앱 샌드박스)에 의존
- 코드 무결성: 공식 App Store / Play Store 배포 채널로만 유통
9. 개인정보 보호책임자
- 연락처: Seo YeJin
- 이메일: rlagnl333@gmail.com
10. 변경 이력
| 버전 | 일자 | 변경 |
|---|---|---|
| v1.0 | 2026-05-29 | 최초 작성 — DOPA v1.0 외부전송 0 / 로컬 SQLite only 직역 |
| v1.0 (amend) | 2026-06-10 | §3.1·§6 열람권에 ‘설정 > 데이터 내보내기(JSON, 사용자 주도 공유)’ 기능 반영 (DATA-A1 구현, DATA-A7 정합) — 외부전송 0 입장 무변경 (반출은 사용자 주도) |
| v1.1 | 2026-06-11 | 익명·옵트인 텔레메트리 도입 반영 (ADR-016 조건부 확장) — §2.6 익명 사용 통계 신설, §2.4·§2.5 정합 수정, §3.1 옵트인 예외 명시, §4 Cloudflare, Inc. 처리위탁, §5 국외 이전 고지 신설(PIPA §28의2), §6 철회권·집계 삭제 한계 고지, §8 HTTPS·IP 미저장·k-익명성 추가 |
| v1.1 (rev) | 2026-06-11 | 검증 반영 정정 — §5 표에 이전 거부 방법·거부 시 불이익 없음 행 신설(PIPA §28의2 ②5호), §3.2·§6 ‘설정 > 전체 데이터 삭제’ 기능 사실 반영(과소선언 정정), §2.6 k=5 적용 시점(서버 측 집계·분석 시) 정밀화·batch_id 명시·운영 고지(엔드포인트 미배포) 추가, §5 전송 시점 정밀화·연락처 [UNVERIFIED] 부기, §6 만 14세 미만 단락 신설, 토글 명칭을 실제 UI(‘익명 사용통계 공유’)와 일치 |
부록: ADR-014 → ADR-016 연결
본 방침 v1.0의 경량성은 텔레메트리를 도입하지 않는 결정(ADR-014 v1 telemetry defer)에 기반했습니다. 본 v1.1은 ADR-016 익명 텔레메트리 조건부 확장 — ADR-014의 번복이 아니라, “보내는 것만 안다” 원칙·신규 SDK 0·신원 미연결을 유지한 채 익명·옵트인 집계 egress만 허용하는 조건부 확장 — 을 반영하여 다음을 갱신했습니다:
- §2.6 처리 항목에 익명 사용 통계(이벤트 카운트 집계 + 세그먼트 차원) 신설
- §4 처리위탁에 Cloudflare, Inc. 명시
- §5 국외 이전 고지 신설 (미국 법인, PIPA §28의2 기재사항)
- §7 권한에 변경 없음 (텔레메트리는 OS 권한 아님)
- 앱 내 옵트인 토글 활성화 (
analytics_opt_in컬럼 활용, 기본 꺼짐) - iOS privacy manifest에 Usage Data / Not Linked / No Tracking 선언 완료, Apple App Privacy / Google Data Safety 폼은 출시 전 “수집함(사용통계·신원 미연결·추적 없음)”으로 갱신 제출
Sentry(크래시 리포팅)는 여전히 비활성입니다 — SDK는 앱에 포함되어 있으나 접속 주소(DSN) 미설정으로 초기화되지 않으며, 크래시 데이터 전송은 0건입니다. 크래시 egress와 본 익명 통계 egress는 독립된 2개 트랙이며, 향후 Sentry 활성화(DSN 설정) 시 §2/§4/§5를 다시 갱신하는 추가 버전업이 진행됩니다. 미구현 기능을 구현된 것처럼 선작성하는 것은 거짓신고에 해당하므로 (메타 SSOT 원칙), 본 방침은 코드에 실재하는 동작만 기술합니다.