나라바로 개인정보 처리방침

주식회사 헤이제임스(이하 "회사")는 「개인정보 보호법」 제30조 및 같은 법 시행령 제31조에 따라 정보주체의 개인정보를 보호하고 이와 관련한 고충을 신속하고 원활하게 처리할 수 있도록 본 처리방침을 수립·공개합니다. 본 처리방침은 회사가 운영하는 나라바로(이하 "서비스")에 적용됩니다.

나라바로는 대한민국의 공공데이터(한국은행 ECOS, 열린국회정보, 국토교통부 실거래가, 정책브리핑)를 시각화하여 제공하는 공개 사이트로, 데이터 조회는 회원가입 없이 이용할 수 있습니다. 회원가입과 키워드 알림 신청에 한해 최소한의 개인정보를 수집·이용합니다.

1. 수집하는 개인정보의 항목 및 수집 방법

회사는 다음과 같은 개인정보를 수집·이용합니다. 「개인정보 보호법」 제16조에 따라 서비스 제공에 필요한 최소한의 개인정보만을 수집합니다.

가. 회원가입 (필수)

• 이메일 주소 — 회원 식별, 비밀번호 재설정, 환영 안내
• 비밀번호 — bcrypt 해시 형태로만 저장. 평문 비밀번호는 저장하지 않으며 회사 직원도 조회할 수 없습니다.
• 약관·개인정보 수집·이용·만 14세 이상 동의 시각 — 동의 사실의 입증

나. 마케팅 정보 수신 (선택)

• 마케팅 수신 동의 시각 — 회원이 가입 시 [선택] 체크박스에 동의한 경우에만 수집되며, 동의하지 않아도 회원가입 및 모든 핵심 기능 이용에는 제한이 없습니다.

다. 로그인·세션 (필수)

• 접속 IP 주소 — 부정접속 방지, 보안 사고 대응
• 브라우저 식별 정보(User-Agent) — 비정상 접근 차단
• 세션 식별자(서명된 쿠키) — 로그인 상태 유지 (httpOnly, SameSite=Lax)

라. 키워드 알림 신청 (회원가입 없이 이용 가능, 필수)

• 이메일 주소 — 다이제스트 메일 발송
• 관심 키워드, 알림 도메인(법안/정책/공약), 알림 주기(주간/일간) — 다이제스트 콘텐츠 구성
• 확인 토큰 / 해지 토큰 — 본인 확인 및 1-click 해지를 위한 무작위 보안 토큰
• 최근 다이제스트 발송 시각 — 중복 발송 방지

마. 자동수집 정보

• 서버 접속 로그(접속 일시, 요청 URL, 응답 코드) — 보안·장애 분석 목적
• 쿠키(아래 8항 참고)

바. 수집 방법

홈페이지 회원가입 폼, 키워드 알림 신청 폼, 로그인 시 자동 생성, 서비스 이용 과정에서의 자동 생성 정보 수집

회사는 만 14세 미만 아동의 개인정보를 수집하지 않습니다(회원가입 시 만 14세 이상임을 확인). 또한 「개인정보 보호법」 제23조에서 정한 민감정보(사상·신념, 건강, 성생활 등)와 같은 법 제24조에서 정한 고유식별정보(주민등록번호, 여권번호, 운전면허번호 등)를 일체 수집하지 않습니다.

2. 개인정보의 수집·이용 목적

1. 회원 관리 — 회원제 서비스 이용에 따른 본인 식별·인증, 비밀번호 재설정, 부정 이용 방지, 각종 고지·통지, 회원 탈퇴 의사 확인
2. 서비스 제공 — 키워드 알림 다이제스트 메일 발송, 회원에게 환영 메일 발송
3. 보안 및 부정 사용 방지 — 비정상 접근 탐지, 비인가 사용에 의한 손해 방지
4. 법령 및 약관 준수 — 동의 사실 입증, 분쟁 발생 시 조사·대응 자료 활용
5. 마케팅(선택 동의 시에 한함) — 신규 기능·서비스 개선 안내 메일 발송

3. 개인정보의 보유 및 이용 기간

회사는 정보주체로부터 개인정보를 수집할 때 동의받은 보유·이용 기간 또는 법령에 따른 보유·이용 기간 내에서 개인정보를 처리·보유합니다.

가. 회사가 보유하는 정보

• 회원 계정(이메일, 비밀번호 해시, 동의 시각) — 회원 탈퇴 시 즉시 파기
• 로그인 세션(IP, User-Agent, 세션 ID) — 로그아웃 또는 세션 종료 시 즉시 파기
• 키워드 알림 구독 정보 — 구독 해지(unsubscribe) 시 즉시 파기. 미확인 구독은 마지막 활동일로부터 90일 후 파기
• 서버 접속 로그 — 90일

나. 관계 법령에 따른 보유

회사는 회원이 탈퇴한 경우에도 다음 법령이 정한 기간 동안 해당 정보를 분리 보관합니다. 이 기간 동안에는 법령이 정한 목적 외의 다른 목적으로 이용되지 않습니다.

• 「통신비밀보호법」 — 로그인(접속) 기록: 3개월

현재 회사는 결제·과금이 발생하는 유료 서비스를 제공하지 않으므로 「전자상거래 등에서의 소비자보호에 관한 법률」에 따른 거래 기록 보관 의무는 발생하지 않습니다. 향후 유료 서비스가 도입되는 경우 본 처리방침을 개정하여 사전 공지합니다.

4. 개인정보의 제3자 제공

회사는 정보주체의 개인정보를 본 처리방침 "2. 수집·이용 목적"에서 명시한 범위 내에서만 처리하며, 정보주체의 동의, 법령의 특별한 규정 등 「개인정보 보호법」 제17조 및 제18조에 해당하는 경우에만 개인정보를 제3자에게 제공합니다. 현재 회사가 정보주체의 개인정보를 제3자에게 제공하는 경우는 없습니다.

5. 개인정보 처리업무의 위탁

회사는 원활한 개인정보 업무처리를 위하여 다음과 같이 개인정보 처리업무를 위탁하고 있으며, 「개인정보 보호법」 제26조에 따라 위탁 계약 체결 시 개인정보가 안전하게 관리될 수 있도록 필요한 사항을 규정하고 있습니다.

회사는 그 외 일체의 개인정보 처리업무를 외부에 위탁하고 있지 않으며, 위탁업무의 내용이나 수탁자가 변경될 경우 본 처리방침을 통해 공개합니다.

6. 개인정보의 국외 이전

회사는 「개인정보 보호법」 제28조의8에 따라 정보주체의 개인정보를 다음과 같이 국외로 이전하고 있습니다.

정보주체는 「개인정보 보호법」 제28조의8 제4항에 따라 개인정보의 국외 이전을 거부할 권리가 있으나, 이메일 발송 위탁(Resend)을 거부하실 경우 이메일 기반 알림 서비스를 제공할 수 없습니다.

7. 정보주체와 법정대리인의 권리·의무 및 행사 방법

1. 정보주체는 회사에 대해 언제든지 다음 각 호의 권리를 행사할 수 있습니다.
   • 개인정보 열람 요구
   • 오류 등이 있을 경우 정정 요구
   • 삭제 요구(다만, 법령에서 보존 의무를 둔 경우 해당 부분은 제외)
   • 처리정지 요구
   • 동의의 철회
2. 제1항에 따른 권리 행사는 회사에 대해 서면, 이메일(james@heyjames.ai) 등을 통하여 하실 수 있으며, 회사는 「개인정보 보호법 시행령」 제43조 제3항에 따라 10일 이내에 조치합니다.
3. 정보주체가 개인정보의 오류 등에 대한 정정 또는 삭제를 요구한 경우에는, 회사는 정정 또는 삭제를 완료할 때까지 해당 개인정보를 이용하거나 제공하지 않습니다.
4. 제1항에 따른 권리 행사는 정보주체의 법정대리인이나 위임을 받은 자 등 대리인을 통하여 하실 수 있습니다. 이 경우 「개인정보 처리 방법에 관한 고시」 별지 제11호 서식에 따른 위임장을 제출해야 합니다.
5. 회원의 개인정보 수정·삭제·탈퇴는 로그인 후 비밀번호 재설정 또는 이메일 요청을 통해 가능하며, 키워드 알림 구독은 메일 하단의 "구독 해지" 링크를 통해 즉시 해지할 수 있습니다.

8. 개인정보의 자동수집 장치(쿠키)의 설치·운영 및 거부

1. 회사는 이용자의 로그인 상태 유지를 위해 다음과 같은 쿠키를 사용합니다.
   • session_id — 서명·암호화된 세션 식별자(httpOnly, SameSite=Lax). 로그인 상태 유지
   • narabaro_hero_dismissed — 첫 화면 환영 배너 닫기 상태 저장(만료 30일)
2. 회사는 광고 추적이나 사용자 행동 분석을 위한 제3자 쿠키(Google Analytics, Meta Pixel 등)를 일체 사용하지 않습니다.
3. 이용자는 웹브라우저의 옵션을 설정함으로써 쿠키 저장을 거부할 수 있습니다. 다만, 쿠키 저장을 거부할 경우 로그인이 필요한 기능 이용에 어려움이 있을 수 있습니다.
   • Chrome — 설정 → 개인정보 및 보안 → 쿠키 및 기타 사이트 데이터
   • Safari — 환경설정 → 개인정보 보호 → 쿠키 및 웹사이트 데이터
   • Edge — 설정 → 쿠키 및 사이트 권한

9. 개인정보의 안전성 확보 조치

회사는 「개인정보 보호법」 제29조에 따라 다음과 같이 안전성 확보에 필요한 기술적·관리적·물리적 조치를 하고 있습니다.

• 비밀번호 암호화 — bcrypt 단방향 해시 알고리즘으로 저장(평문 미저장)
• 전송 구간 암호화 — HTTPS(TLS 1.2 이상) 강제, SMTP는 TLS(465) 이용
• 접근 통제 — 관리자 페이지(/admin) 토큰 기반 접근 제한, 상수 시간 비교(secure_compare) 사용
• 이상 접근 탐지 및 제한 — 회원가입·로그인·비밀번호 재설정에 대해 IP 기반 속도 제한 (3분에 10회 초과 시 차단)
• 세션 보호 — 서명된 세션 쿠키, httpOnly·SameSite=Lax 적용
• 최소 수집 원칙 — 본인 식별에 불필요한 정보(이름, 전화번호, 주소 등)를 일체 수집하지 않음
• 접속 기록 보관 및 점검 — 서버 접속 로그를 수집·보관하여 이상 행위 탐지에 활용

10. 개인정보 보호책임자 및 담당부서

회사는 개인정보 처리에 관한 업무를 총괄해서 책임지고, 개인정보 처리와 관련한 정보주체의 불만 처리 및 피해 구제 등을 위하여 아래와 같이 개인정보 보호책임자를 지정하고 있습니다.

정보주체는 서비스를 이용하시면서 발생한 모든 개인정보 보호 관련 문의, 불만 처리, 피해 구제 등에 관한 사항을 개인정보 보호책임자에게 문의하실 수 있습니다. 회사는 정보주체의 문의에 대해 지체 없이 답변 및 처리해드릴 것입니다.

11. 권익침해 구제 방법

정보주체는 개인정보 침해로 인한 구제를 받기 위하여 개인정보분쟁조정위원회, 한국인터넷진흥원 개인정보 침해신고센터 등에 분쟁 해결이나 상담 등을 신청할 수 있습니다. 이 밖에 기타 개인정보 침해의 신고·상담에 대하여는 아래 기관에 문의하시기 바랍니다.

• 개인정보분쟁조정위원회 — 1833-6972 / www.kopico.go.kr
• 개인정보침해신고센터(한국인터넷진흥원) — 국번없이 118 / privacy.kisa.or.kr
• 대검찰청 사이버수사과 — 국번없이 1301 / www.spo.go.kr
• 경찰청 사이버수사국 — 국번없이 182 / ecrm.police.go.kr

「개인정보 보호법」 제35조(개인정보의 열람), 제36조(개인정보의 정정·삭제), 제37조(개인정보의 처리정지 등)의 규정에 의한 요구에 대해 공공기관의 장이 행한 처분 또는 부작위로 인하여 권리 또는 이익의 침해를 받은 자는 행정심판법이 정하는 바에 따라 행정심판을 청구할 수 있습니다.

12. 개인정보 처리방침의 변경

1. 본 처리방침은 시행일자부터 적용됩니다.
2. 회사는 본 처리방침을 변경하는 경우 적용일자 및 변경 사유를 명시하여 적용일 7일 전부터 서비스 내 공지사항을 통해 사전 공지합니다.
3. 다만, 정보주체의 권리에 중대한 변경이 발생할 때에는 적용일 30일 전부터 공지하며, 필요한 경우 회원의 가입 시 등록된 이메일로도 통지합니다.