개인정보처리방침

개인정보 보호 약속

ZINOSB는 회원님의 개인정보를 소중히 보호합니다. 수집하는 정보는 서비스 제공에 필요한 최소한으로 한정하며, 관련 법령에 따라 안전하게 관리합니다.

암호화 저장

모든 개인정보는 암호화되어 안전하게 보관됩니다

최소 수집

서비스에 꼭 필요한 정보만 수집합니다

탈퇴 시 삭제

회원 탈퇴 후 90일간 보관 후 완전 삭제

문의 가능

개인정보 관련 문의에 신속히 응답합니다

제1조 (목적)

본 방침은 ZINOSB(이하 "회사")가 운영하는 자전거 거래 플랫폼 서비스(이하 "서비스")에서 회원의 개인정보를 어떻게 수집, 이용, 보관, 파기하는지에 관한 사항을 규정합니다.

제2조 (수집하는 개인정보)

1. 필수 수집 정보

소셜 로그인 정보: 카카오/구글 계정 식별자, 이메일 주소
휴대폰 인증 시: 휴대폰 번호
본인인증(PASS) 시: 본인확인 연계정보(CI) — HMAC 해싱 처리하여 저장. CI는 「개인정보보호법」 상 고유식별정보에 준하여 암호화 저장 및 접근 통제를 적용합니다.
닉네임, 프로필 이미지 (선택적 입력)

2. 선택 수집 정보

연락처 전화번호 (해시 처리): "연락처에서 친구 찾기" 기능 이용 시, 별도 동의를 받아 단말기에 저장된 연락처 전화번호를 일방향 암호화(HMAC-SHA256) 처리하여 수집합니다. 원본 전화번호는 서버에 전송되지 않으며, 해시값은 매칭 완료 즉시 삭제되어 서버에 보관되지 않습니다.

3. 외부 기기 연동 시 수집 정보

Garmin Connect, Wahoo Cloud 등 외부 서비스 연동 시: 라이딩 활동 데이터 (GPS 경로, 거리, 속도, 고도, 심박수, 파워, 케이던스, 칼로리)
연동은 사용자의 명시적 OAuth 인증 동의를 통해서만 이루어지며, 사용자가 언제든 연결을 해제할 수 있습니다
외부 기기 데이터는 사용자 본인만 열람할 수 있으며, 제3자에게 판매·이전·공유되지 않습니다

4. 서비스 이용 중 자동 수집되는 정보

거래 정보: 등록 매물, 거래 내역, 채팅 기록
기기 정보: IP 주소, 브라우저 종류, 운영체제, 접속 일시
서비스 이용 기록: 방문 기록, 오류 로그
위치 정보: 직거래 시 거래 장소 (동의 시에만)

5. 만 14세 미만 아동

회사는 만 14세 미만 아동의 개인정보를 수집하지 않습니다. 만 14세 미만임이 확인된 경우 해당 정보는 즉시 파기됩니다.

제3조 (개인정보의 이용 목적)

회원 식별 및 본인 확인
서비스 제공 및 계약 이행
안전거래(에스크로) 서비스 운영
분쟁 조정 및 민원 처리
서비스 개선 및 오류 분석
부정 이용 방지 및 비인가 사용 방지 (채팅 자동 필터링 및 신고·분쟁 시 관련 채팅 열람 포함)
연락처 기반 기존 회원 매칭 (친구 추천) — 별도 동의 시에만
법령에 따른 의무 이행
AI 기반 매물 추천, 시세 분석, 호환성 안내 등 개인화 서비스 제공
라이딩 활동 기록 관리, 개인 통계 및 기록 분석, GPS 코스 공유
쇼핑 서비스 주문 처리, 배송 정보 전달, 정산 및 환불 처리
자전거 프로필 기반 상품 호환성 판정 서비스 제공

제3조의2 (개인정보 처리의 법적 근거 및 동의 구분)

개인정보보호법 시행령 제31조(2024.09.15 시행)에 따라, 동의 없이 처리하는 항목과 동의를 받아 처리하는 항목을 구분하여 안내합니다.

1. 동의 없이 처리할 수 있는 항목 (법적 근거: 계약 이행 · 법령 의무)

카카오/구글 계정 식별자, 이메일: 서비스 계약 이행에 필요한 최소 정보 (법 제15조 제1항 제4호)
거래 기록, 채팅 기록: 전자상거래법에 따른 법령 의무 이행 (5년 보관, 법 제15조 제1항 제3호)
접속 기록, IP: 통신비밀보호법에 따른 법령 의무 이행 (3개월 보관)
오류 로그 (마스킹 처리): 서비스 안정화를 위한 정당한 이익 (법 제15조 제1항 제6호)

2. 별도 동의를 받아 처리하는 항목

휴대폰 번호: 본인 인증, 안전거래 알림 — 가입 시 동의 수집
위치 정보: 근처 매물 검색, 직거래 장소 추천 — 기능 이용 시 별도 동의
연락처 전화번호 (해시): 친구 찾기 — 기능 이용 시 별도 동의
광고성 알림: 이벤트·프로모션 — 별도 동의 (동의 거부 시 서비스 이용 가능)
외부 기기 데이터 (Garmin/Wahoo): 라이딩 통계 — OAuth 인증 시 별도 동의. 심박수·파워·칼로리는 건강정보(민감정보)로 특별 관리

선택 동의 항목은 거부하셔도 핵심 서비스(매물 검색, 채팅, 거래)는 정상 이용 가능합니다.

제4조 (개인정보의 보유 및 파기)

1. 보유 기간

회원 탈퇴 시 분쟁 대응 및 사기 방지를 위해 90일간 보관 후 완전히 파기합니다. 단, 다음의 경우 명시한 기간 동안 별도 보관합니다:

탈퇴 회원 정보: 분쟁 대응 및 복구 요청 대비 90일
거래 기록: 전자상거래법에 따라 5년
접속 기록: 통신비밀보호법에 따라 3개월
분쟁 관련 기록: 분쟁 해결 시까지
연락처 해시값: 매칭 완료 즉시 삭제 (서버에 보관하지 않음)
연락처 접근 동의 이력: 동의 철회 후 1년
표시/광고에 관한 기록: 전자상거래법에 따라 6개월
전자금융거래에 관한 기록: 전자금융거래법에 따라 5년

2. 파기 절차

보유기간 만료 또는 처리 목적 달성 시, 개인정보 보호책임자의 승인을 거쳐 파기합니다.
법령에 의해 보존이 필요한 경우, 해당 개인정보를 별도의 데이터베이스로 분리하여 보관합니다.
파기는 보유기간 종료일로부터 5일 이내에 처리합니다 (개인정보보호법 제21조).

3. 파기 방법

전자적 파일: 복구 불가능한 방법으로 영구 삭제 (데이터베이스 레코드 완전 삭제)
종이 문서: 분쇄기로 분쇄하거나 소각

제5조 (개인정보의 제3자 제공)

회사는 원칙적으로 회원의 동의 없이 개인정보를 외부에 제공하지 않습니다. 다만, 다음의 경우는 예외로 합니다:

회원의 명시적 동의가 있는 경우
법령에 의해 요구되는 경우
거래 당사자 간 원활한 거래를 위해 필요한 최소 정보 (닉네임, 거래 관련 정보)

쇼핑 서비스 이용 시 제3자 제공 (주문 시점 별도 동의)

쇼핑 서비스에서 상품을 주문할 때, 다음과 같이 개인정보가 제3자에게 제공됩니다. 각 항목은 주문 결제 시점에 구분된 동의를 받으며, 동의를 거부할 경우 해당 주문이 불가능합니다.

동의 항목	제공받는 자	목적	제공 항목	보유기간
배송 정보 제공	입점 판매자(셀러)	주문 처리 및 배송	수령인 이름, 배송 주소, 연락처	배송 완료 후 90일
결제 처리	PG사 (포트원/토스페이먼츠)	결제 처리	결제 수단 정보 (PG사만 보유)	결제 완료 시 (전자금융거래법 5년)
A/S 연락	입점 판매자(셀러)	교환, 반품, A/S 처리	주문자 이름, 연락처	구매일로부터 1년

동의 거부 권리: 위 동의 항목은 개별적으로 거부할 수 있으나, 거부 시 해당 주문 진행이 불가능합니다.

동의 이력 보관: 주문 시점의 동의 이력은 법적 의무 이행을 위해 전자상거래법에 따라 5년간 보관됩니다.

제6조 (개인정보 처리의 위탁)

회사는 서비스 제공을 위해 다음과 같이 개인정보 처리 업무를 위탁하고 있습니다:

수탁업체	위탁 업무
Supabase Inc.	데이터베이스 호스팅, 인증 서비스
Vercel Inc.	웹 서비스 호스팅
Kakao Corp.	소셜 로그인 인증
Google LLC	소셜 로그인 인증
PortOne (포트원, Inc.)	결제 처리, 에스크로(구매안전) 서비스 운영
Twilio Inc.	휴대폰 OTP 인증 문자 발송
Upstash Inc.	API 요청 속도 제한(Rate Limit) — 전화번호·IP 임시 처리
Sentry (Functional Software Inc.)	오류 모니터링 및 서비스 안정화
Garmin Ltd.	라이딩 활동 데이터 연동 (사용자 동의 시)
Wahoo Fitness LLC	라이딩 활동 데이터 연동 (사용자 동의 시)

위탁 계약 시 개인정보 보호 관련 법규 준수, 개인정보 비밀유지, 제3자 제공 금지, 사고 시 책임 부담 등을 명시하고 있습니다.

제7조 (개인정보의 국외 이전)

회사는 서비스 제공을 위해 다음과 같이 개인정보를 국외로 이전합니다. 국외 이전은 정보주체의 동의(서비스 가입 시) 또는 개인정보보호법 제28조의8에 따른 표준계약(SCC) 체결에 근거합니다:

수령자	이전 국가	이전 항목	이전 목적	이전 방법	연락처	보유기간
Supabase Inc.	미국	계정 정보, 거래 기록, 채팅 기록	데이터베이스 호스팅	수시, 암호화 전송 (TLS)	privacy@supabase.io	서비스 계약 기간 + 90일
Vercel Inc.	미국	서비스 이용 기록	웹 서비스 호스팅	수시, 암호화 전송 (TLS)	privacy@vercel.com	서비스 계약 기간
Twilio Inc.	미국	휴대폰 번호	OTP 인증 문자 발송	인증 요청 시, 암호화 전송 (TLS)	privacy@twilio.com	OTP 발송 즉시 삭제
Sentry (Functional Software Inc.)	미국	오류 로그 (개인정보 마스킹 후)	오류 모니터링	오류 발생 시, 암호화 전송 (TLS)	privacy@sentry.io	90일 (Sentry 정책)
Upstash Inc.	미국	전화번호·IP 해시값 (임시)	API 속도 제한	API 요청 시, 암호화 전송 (TLS)	support@upstash.com	최대 24시간 후 삭제
Garmin Ltd.	미국	라이딩 활동 데이터 (GPS 경로, 거리, 속도, 고도, 심박수, 파워, 케이던스, 칼로리)	라이딩 활동 기록 연동 (사용자 동의 시)	연동 시, OAuth API 암호화 전송 (TLS)	privacy@garmin.com	서비스 계약 기간 + 90일
Wahoo Fitness LLC	미국	라이딩 활동 데이터 (GPS 경로, 거리, 속도, 고도, 심박수, 파워, 케이던스, 칼로리)	라이딩 활동 기록 연동 (사용자 동의 시)	연동 시, OAuth API 암호화 전송 (TLS)	support@wahoofitness.com	서비스 계약 기간 + 90일

위 업체들은 GDPR 등 국제 개인정보 보호 기준을 준수하며, DPA(데이터 처리 계약)를 통해 안전조치 의무를 부과하고 있습니다.

거부권 안내: 정보주체는 국외 이전에 동의하지 않을 수 있습니다. 다만, 필수 서비스(데이터베이스 호스팅, 웹 호스팅, OTP 인증)의 국외 이전에 동의하지 않을 경우 서비스 가입 및 이용이 불가능할 수 있습니다. 선택적 연동(Garmin, Wahoo)의 국외 이전에 동의하지 않더라도 그 외 모든 서비스는 정상적으로 이용 가능합니다.

제8조 (개인정보의 안전성 확보 조치)

개인정보의 암호화 저장 및 전송 (SSL/TLS)
해킹 등에 대비한 보안 시스템 운영
개인정보 취급 직원의 최소화 및 교육
정기적인 보안 점검 및 취약점 분석
연락처 매칭 시 기술적 보호조치: 전화번호는 단말기에서 HMAC-SHA256 알고리즘으로 일방향 암호화(해싱)된 후 전송되며, 원본 전화번호는 서버에 전송되지 않습니다. 해싱에 사용되는 키는 요청별 1회용 토큰으로 발급되어 재사용이 불가합니다. 매칭 완료 후 해시값은 즉시 삭제됩니다.

제8조의2 (연락처 기반 친구 추천 서비스)

"연락처에서 친구 찾기" 기능은 별도의 선택적 동의를 받은 경우에만 이용 가능하며, 다음의 원칙에 따라 운영됩니다:

수집 항목: 단말기에 저장된 연락처의 전화번호 (HMAC-SHA256 해시 처리 후 전송)
수집 목적: ZINOSB에 이미 가입한 회원과의 매칭 (친구 추천)
보유 기간: 매칭 완료 즉시 삭제 (서버에 영구 보관하지 않음)
비이용자 보호: 연락처에 포함된 비이용자에게 초대 메시지, SMS, 알림 등을 발송하지 않습니다
동의 거부 시: 이 기능을 이용할 수 없으나, 그 외 모든 서비스는 정상적으로 이용 가능합니다
동의 철회: 설정 메뉴에서 언제든지 동의를 철회할 수 있습니다

제8조의3 (외부 기기 연동 데이터 처리)

Garmin, Wahoo 등 외부 사이클링 기기 서비스와의 연동 시 다음의 원칙을 준수합니다.

1. 사용자 동의 및 연결

외부 기기 연동은 사용자가 직접 "계정 연결"을 선택하고 해당 서비스(Garmin Connect, Wahoo Cloud)에서 OAuth 인증을 완료한 경우에만 시작됩니다
연결 전 수집할 데이터 항목과 사용 목적을 명확히 안내합니다
사용자의 동의 없이 어떠한 외부 기기 데이터도 수집하지 않습니다

2. 수집 데이터 및 사용 목적

데이터 항목	사용 목적
GPS 경로 (위도/경도)	지도에 라이딩 경로 표시
거리, 속도, 시간	개인 라이딩 통계 대시보드
고도 데이터	고도 프로필 차트, 획득 고도 통계
심박수, 파워, 케이던스	개인 운동 기록 분석 (센서 연결 시)
칼로리	개인 소모 칼로리 통계

⚠️ 민감정보 안내 (개인정보보호법 제23조): 심박수, 파워, 칼로리 등 건강 관련 데이터는 건강정보(민감정보)로 분류됩니다. 이 데이터는 외부 기기 연동 OAuth 인증 시 별도로 동의를 받으며, 사용자 본인 외에 제3자에게 절대 공개·제공되지 않습니다. 연동을 해제하면 해당 데이터는 즉시 삭제 처리됩니다.

3. 데이터 보호 원칙

비공개 기본: 모든 외부 기기 데이터는 기본적으로 사용자 본인만 열람 가능합니다 (Row Level Security 적용)
제3자 제공 금지: 외부 기기에서 수집한 데이터를 광고회사, 보험회사, 데이터 분석 업체 등 제3자에게 판매·이전·공유하지 않습니다
목적 외 사용 금지: 수집한 데이터는 위 표에 명시된 목적으로만 사용합니다

4. 연결 해제 및 데이터 삭제

사용자는 설정 메뉴에서 언제든지 외부 기기 연결을 해제할 수 있습니다
연결 해제 시 선택 가능: (a) 이후 동기화만 중단 (기존 데이터 유지) 또는 (b) 해당 기기에서 동기화된 모든 데이터 완전 삭제
개별 라이딩 활동 데이터는 언제든지 삭제할 수 있습니다
회원 탈퇴 시 모든 외부 기기 연동 데이터는 90일 보관 후 완전 파기됩니다
삭제된 데이터는 백업·아카이브 등 어떤 형태로도 보관하지 않습니다

연결 해제 및 데이터 삭제는 설정 → 외부 기기 연동 메뉴에서 가능합니다. 문의: jinho@zinosb.com

제9조 (회원의 권리와 행사 방법)

회원은 언제든지 다음의 권리를 행사할 수 있습니다:

개인정보 열람 요청
개인정보 정정 및 삭제 요청
개인정보 처리 정지 요청
동의 철회 (회원 탈퇴)

동의 철회 방법

서비스 내에서 직접 처리:

설정 → 계정 설정 → 계정 삭제

또는 jinho@zinosb.com으로 이메일 요청

처리 기간: 권리 행사 요청은 접수일로부터 10일 이내에 처리됩니다 (개인정보보호법 제38조). 다만, 사실 확인이 필요한 경우 10일 범위 내에서 연장될 수 있으며, 사유를 안내합니다.

전송요구권 (2024.03 시행): 회원은 회사가 처리하는 개인정보를 다른 개인정보처리자에게 이전해 줄 것을 요구할 수 있습니다. 요청은 jinho@zinosb.com으로 문의해 주세요.

제9조의2 (자동화된 결정에 대한 권리)

회사는 AI 바이크 버디를 통한 매물 추천, 시세 분석 등 자동화된 시스템을 이용하여 서비스를 제공합니다.

자동화된 결정의 기준 및 절차

사용자의 선호 장르, 키, 예산, 검색 이력, 찜 목록 등을 분석
조건에 맞는 매물을 검색하여 추천
AI 모델을 통한 자연어 상담 제공

회원의 권리

회원은 자동화된 결정에 대해 다음의 권리를 행사할 수 있습니다:

자동화된 결정의 기준에 대한 설명 요구
자동화된 결정에 대한 거부
인적 개입에 의한 재검토 요청

권리 행사는 설정 메뉴 또는 이메일(jinho@zinosb.com)로 가능합니다.

제10조 (쿠키의 사용)

1. 쿠키 설치·운영 목적

로그인 세션 유지 및 자동 로그인
사용자 환경설정 저장 (다크/라이트 모드, 언어 등)
서비스 이용 통계 분석 및 품질 개선

2. 쿠키 거부 방법

브라우저 설정을 통해 쿠키 저장을 거부할 수 있습니다:

Chrome: 설정 → 개인 정보 보호 및 보안 → 쿠키 및 기타 사이트 데이터
Safari: 환경설정 → 개인 정보 보호 → 쿠키 및 웹사이트 데이터 관리
Firefox: 설정 → 개인 정보 및 보안 → 쿠키 및 사이트 데이터
Edge: 설정 → 쿠키 및 사이트 권한 → 쿠키 관리 및 삭제

3. 쿠키 거부 시 영향

쿠키를 거부하실 경우 자동 로그인 및 일부 맞춤 서비스 이용에 제한이 있을 수 있습니다. 서비스의 핵심 기능(매물 조회, 거래 등)은 정상적으로 이용 가능합니다.

제10조의2 (광고성 정보 수신)

회사는 회원의 명시적 사전 동의를 받은 경우에 한해 광고성 정보(이벤트, 프로모션, 추천 매물 알림 등)를 전송합니다.

광고성 정보에는 수신거부 방법을 안내하며, 수신 거부 시 즉시 처리합니다.
수신 동의를 받은 날부터 2년마다 수신 동의 여부를 재확인합니다.
야간(21:00~08:00)에는 별도 동의 없이 광고성 정보를 전송하지 않습니다.
회원은 설정 > 알림 관리에서 언제든 수신 동의를 철회할 수 있습니다.

제11조 (개인정보 보호책임자)

회사는 개인정보 처리에 관한 업무를 총괄하고 회원의 불만 처리 및 피해 구제를 위해 아래와 같이 개인정보 보호책임자를 지정하고 있습니다.

성명: 이진호

직책: 개인정보보호책임자 (CPO)

소속: 지노스비

전화: 070-8065-5295

이메일: jinho@zinosb.com

기타 개인정보 침해 신고나 상담은 다음 기관을 이용할 수 있습니다:

개인정보보호위원회 (pipc.go.kr / 국번없이 182)
개인정보분쟁조정위원회 (kopico.go.kr / 1833-6972) — 개인정보 관련 분쟁 조정 신청
개인정보침해신고센터 / 한국인터넷진흥원 (privacy.kisa.or.kr / 국번없이 118)
대검찰청 사이버수사과 (spo.go.kr)
경찰청 사이버안전국 (cyberbureau.police.go.kr / 국번없이 182)

제11조의2 (개인정보 침해 사고 대응)

개인정보 유출 사고 발생 시, 회사는 지체 없이 다음 사항을 정보주체에게 알립니다.

유출된 개인정보 항목
유출 시점 및 경위
피해 최소화를 위한 조치 방법
회사의 대응 조치 및 피해 구제 절차
담당부서 및 연락처

규모 무관: 개인정보 유출 인지 즉시 개인정보보호위원회 또는 한국인터넷진흥원(KISA)에 신고합니다.

1,000명 이상 유출: 인지 후 72시간 이내 개인정보보호위원회에 신고합니다 (개인정보보호법 제34조의2).

회사는 침해 사고 재발 방지를 위한 기술적·관리적 조치를 즉시 시행합니다.

제12조 (방침의 변경)

본 방침은 법령 변경이나 서비스 변경 시 개정될 수 있습니다.
변경 사항은 변경 이유 및 내용을 시행일 7일 전부터 서비스 내 공지를 통해 사전 안내합니다.
정보주체에게 불리한 변경이 있는 경우, 변경 이유·내용·영향을 시행일 30일 전부터 명확히 공지합니다.
개정 이력은 버전 번호 및 시행일로 관리되며, 이전 버전은 고객센터를 통해 확인할 수 있습니다.

본 개인정보처리방침은 2026년 3월 1일부터 시행됩니다.

버전: v2.6 (법률 감사 — 국외 이전 방법/거부권 추가, 쿠키 상세화, 파기 절차 보강, 방침 변경 이유 명시)