隐私政策

1. 收集的个人信息项目

公司为提供服务而收集以下个人信息。根据用户类型不同,收集项目有所不同。

1. 企业管理员 (注册·登录时)
   • 姓名、邮箱、电话号码、登录信息(密码以单向加密存储)
   • IP地址(SHA-256哈希处理)
   • 登录尝试记录(成功/失败、时间)
2. 举报人 (举报撰写·查阅时)
   • 举报内容、附件(自愿提供时)
   • IP地址(转换为SHA-256单向哈希,公司不存储原始IP地址)
   • 设备类型(PC/移动/平板)
   • 访问时间、语言设置
   • ※ 公司不另行向举报人索取身份信息(姓名·邮箱·联系方式等)。
3. 营业咨询者 (咨询表单填写时)
   • 姓名、邮箱、公司名、电话号码、咨询内容
   • IP地址、浏览器信息(用于营业应对追踪·恶意请求拦截)
4. 付款信息 (订阅申请·付款时)
   • 发卡机构名称、卡号掩码(末4位)、账单密钥(Toss Payments识别符)
   • ※ 卡完整号码·CVC不予保存,由Toss Payments安全保管。
5. 运营自动收集
   • 审计日志(管理员操作记录)
   • 认证会话Cookie(NextAuth)

2. 个人信息收集目的

• 服务提供及运营
• 用户身份核实及认证
• 订阅费付款及结算
• 服务改进及统计分析
• 履行法律义务

3. 匿名性保障

举报人的匿名性是服务的核心价值。我们通过以下方法保障匿名性:

• 公司不另行向举报人索取身份信息(姓名·邮箱·联系方式等)
• IP地址通过SHA-256单向哈希转换,公司不存储原始IP地址
• 举报页面不加载外部分析·追踪脚本(Google Analytics、Vercel Analytics等)
• 举报仅通过受理号码和密码访问,不与账户关联
• 公司不向企业管理员提供举报人的身份信息
• 服务器日志中不记录举报人的身份信息

4. 个人信息保留期间

• 企业管理员信息: 至服务解约时
• 举报数据: 按企业的保留政策(默认3年)
• 付款信息(电子商务法): 5年
• 广告·展示相关记录(电子商务法): 6个月
• 合同或解除合同等记录(电子商务法): 5年
• 消费者投诉或纠纷处理相关记录(电子商务法): 3年

5. 向第三方提供个人信息

公司原则上不向第三方提供用户的个人信息。但以下情况例外:

• 用户事先同意的情况
• 法律要求的情况
• 为处理付款而向Toss Payments提供付款信息的情况

6. 个人信息处理委托

• Toss Payments: 付款处理及自动付款账单密钥管理
• Supabase Inc.: 数据库托管及文件存储
• Vercel Inc.: 网页托管
• Cloudflare Inc.: 机器人拦截及网络安全(包括CAPTCHA验证)
• Microsoft (Azure): 邮件发送
• Solapi: 短信通知发送(处理手机号码)
• Google (Gemini API) · OpenAI · Anthropic: AI分析为可选功能,仅在企业使用时处理举报内容(适用的服务商取决于企业的设置)
• Sentry (Functional Software Inc.): 应用程序错误收集·分析(举报正文等个人信息已阻止传输)

7. 个人信息保护措施

• 密码bcrypt加密(12轮)
• 传输区间TLS/SSL加密
• 通过Row Level Security(RLS)进行数据隔离
• 定期安全检查及依赖项漏洞监控
• 访问权限最小化及审计日志记录

8. 用户权利

用户可随时查阅、修改、删除自己的个人信息,并可通过服务解约请求删除个人信息。但根据法令具有保管义务的信息,在该期间内保留。

9. 个人信息保护负责人及咨询

• 个人信息保护负责人: DFS本部长
• 邮件: office@hmcom.co.kr