개인정보 처리방침

1. 개인정보 처리 목적

2. 처리하는 개인정보 항목

직접 수집

• 이메일
• 비밀번호 — Meeki는 평문을 저장하지 않으며, Firebase Auth가 해시·저장합니다.
• 위키 ID(username)·표시 이름 — 사용자가 WIKI 기능을 설정한 경우
• 위키 콘텐츠 — 사용자가 '친구 공개' 또는 '전체 공개'로 게시한 항목

자동 수집

• Firebase UID — Firebase가 자동 부여하는 계정 식별자
• FCM/APNs 푸시 토큰 — 사용자가 알림을 켠 경우 기기 알림 전달에 사용
• IP 주소 — Firebase·Cloudflare 서버 로그에 incidental 기록
• 디바이스 정보 — OS 버전, 앱 버전 (디버깅·호환성 목적)

수집하지 않는 항목

• 전화번호·주소 — 계정 식별용 필수 정보로 수집하지 않습니다
• 광고 식별자 (AAID / IDFA)
• 위치 정보 (GPS·WiFi·기지국)
• 카메라·마이크·연락처·캘린더
• 사용자 행동 분석 — Google Analytics, Firebase Analytics 미사용
• 지문 원본 — Android Keystore에 키만 보관, 지문 raw 데이터는 OS만 접근

3. 사적 기록(ME) 데이터 (E2E zero-knowledge)

Meeki의 ME 영역에 저장하는 사적 기록 — 일기·기분·만다라트·자소서·비밀번호· 자기 정보 등 — 은 다음 방식으로 보호됩니다.

• 사용자 기기에서 AES-256-GCM으로 암호화된 뒤 클라우드로 업로드
• 암호화 키는 사용자의 BIP-39 복구 구절(24 단어)로부터 Argon2id로 파생
• 클라우드에는 [헤더][암호화된 DEK][암호문][HMAC] 컨테이너만 저장
• Meeki 운영자·Firebase·Google 모두 평문 접근 불가능

법적으로 "개인정보 처리"에 해당하지만, 운영자가 내용을 알 수 없는 zero-knowledge 구조입니다.

단, WIKI 영역에서 사용자가 '친구 공개' 또는 '전체 공개'로 게시한 내용은 친구와 함께 보기 위한 데이터이므로 zero-knowledge 암호화 대상이 아닙니다. WIKI 공유 데이터는 제7절에서 별도로 안내합니다.

이 구조에서 마스터 비밀번호와 데이터 복구는 다음과 같이 동작합니다.

• 마스터 비밀번호 자체는 복구할 수 없습니다 — 서버도 운영자도 보유하지 않습니다 (zero-knowledge)
• 비밀번호를 잊어도 24단어 복원 문구가 있으면 데이터를 복구할 수 있습니다
• 비밀번호와 복원 문구가 모두 없으면 데이터는 영구적으로 손실됩니다

4. 보유 및 이용 기간

5. 제3자 제공

Meeki는 사용자 동의 없이 개인정보를 제3자에게 제공하지 않습니다.

6. 처리 위탁

AI 분석 위탁(Anthropic·OpenAI)은 opt-in 방식입니다. 첫 분석 요청 전 동의 화면에서 전송 항목·제공자·목적·보존 기간을 확인하고 명시적으로 동의한 경우에만 해당 텍스트가 전송되며, 동의하지 않은 상태에서는 어떤 사용자 콘텐츠도 외부로 전송되지 않습니다. 동의는 언제든지 철회할 수 있으며, 철회 즉시 외부 전송이 중단됩니다. 전송 전에 이메일·전화번호· 생년월일 등 식별 정보는 자동으로 가려집니다.

각 수탁자의 처리방침은 해당 회사 홈페이지를 참조하세요.

7. 위키(소셜) 기능 안내

WIKI 탭은 친구와 함께 쓰는 공유 위키입니다. 친구 추가·위키 공동 편집 시 다음이 친구에게 공유됩니다.

• 사용자 이메일 — 친구 추가 식별용
• Firebase UID
• 위키 ID(username)와 표시 이름
• 위키 콘텐츠 — 친구와 공유 의도로 작성한 항목에 한정

위키의 '친구 공개' 항목은 친구에게 보여주기 위한 것입니다. 위키 콘텐츠는 종단 간 암호화된 ME(개인) 백업과 달리 공유를 위해 서버에 평문으로 저장되므로, 완전한 비공개가 필요한 내용은 '비공개'로 설정하시거나 위키에 올리지 마세요. ME(개인) 데이터와는 완전히 분리됩니다.

8. 만 14세 이상만 가입

Meeki는 만 14세 이상만 가입할 수 있습니다. 만 14세 미만의 회원 가입은 제한됩니다.

9. 정보주체의 권리

사용자는 언제든지 다음 권리를 행사할 수 있습니다.

• 개인정보 열람
• 정정·삭제
• 처리 정지
• 회원 탈퇴 — 앱 내 설정에서 직접 가능 (계정 삭제 안내 참조)

E2E zero-knowledge 구조상 사용자가 저장한 콘텐츠는 사용자만 복호화·열람할 수 있습니다. 운영자는 사용자 요청 시 백업·계정만 삭제할 수 있으며, 내용 열람은 불가능합니다.

10. 안전성 확보 조치

• AES-256-GCM 인증 암호화
• Argon2id 키 파생 (메모리 64MB, iteration 3)
• BIP-39 복구 구절 (24 단어, 256-bit entropy)
• SQLCipher 로컬 DB 암호화
• HTTPS / TLS 1.3 전송 암호화
• Android Keystore 하드웨어 키 보호

11. 개인정보 보호책임자

12. 권익 침해 구제 방법

개인정보 침해 신고·상담은 아래 기관에 문의할 수 있습니다.

• 개인정보 분쟁조정위원회 — privacy.go.kr / 1833-6972
• 한국인터넷진흥원 개인정보침해신고센터 — privacy.kisa.or.kr / 118
• 대검찰청 사이버범죄수사단 — spo.go.kr / 1301
• 경찰청 사이버수사국 — ecrm.police.go.kr / 182

13. 해외 거주자의 권리 및 국외 이전 (GDPR·CCPA)

EU 거주자의 권리 (GDPR)

EU에 거주하는 사용자는 GDPR에 따라 다음 권리를 행사할 수 있습니다. 제11절의 연락처로 요청하시면 됩니다.

• 접근권 — 처리 중인 본인 개인정보의 열람
• 정정권 — 부정확한 정보의 수정
• 삭제권 — 개인정보의 삭제
• 이동권 — 구조화된 형식으로 데이터 수령·이전
• 처리 제한권 — 일정 조건에서 처리의 제한

처리의 법적 근거 — 계정·백업·위키·결제는 계약 이행(GDPR 제6조 제1항 (b)), AI 분석은 동의(GDPR 제6조 제1항 (a))입니다. 동의는 언제든지 철회할 수 있습니다.

DPO 미지정 사유

Meeki는 GDPR 제37조의 DPO(Data Protection Officer) 의무 지정 요건에 해당하지 않습니다 — 소규모 개인 운영이며, 대규모의 정기적·체계적 모니터링(행동 분석·광고 추적)을 수행하지 않고(제2절), 민감할 수 있는 사용자 콘텐츠는 E2E 암호화되어 처리자가 접근할 수 없습니다(제3절). 개인정보 관련 문의는 제11절의 개인정보 보호책임자에게 하시면 됩니다.

캘리포니아 거주자의 권리 (CCPA)

• 알 권리 — 수집·이용·공유되는 개인정보의 범주와 목적 (제1·2절)
• 삭제 요청권 — 본인 개인정보의 삭제
• 판매 거부권 (opt-out) — Meeki는 개인정보를 판매하지 않습니다. 판매한 개인정보는 0건입니다.
• 차별받지 않을 권리 — 권리 행사를 이유로 서비스 이용에 불이익을 주지 않습니다

개인정보의 국외 이전

제6절의 수탁자는 모두 미국에 본사를 둔 사업자이며, 위탁 항목이 국외로 이전됩니다. 이전 항목·업무는 제6절의 표와 동일합니다.

백업 데이터는 이전 시에도 E2E 암호화 상태(제3절)로만 저장되며, 수탁자도 평문에 접근할 수 없습니다. 처리 서버의 물리적 위치는 각 사의 인프라 정책에 따릅니다.

14. 처리방침 변경

본 처리방침은 변경 시 시행 7일 전 본 페이지에 공지합니다. 중요한 변경은 앱 내 알림으로도 안내합니다.