개인정보처리방침
시행일: 2026년 6월 10일
UKNONG(이하 "회사")은 이용자의 개인정보를 중요시하며 「개인정보 보호법」, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 등 관련 법령을 준수합니다. 본 방침은 회사가 수집·이용·보관·파기하는 개인정보의 항목과 처리 절차, 이용자의 권리 및 그 행사 방법을 안내합니다.
1. 수집하는 개인정보
1.1 필수 수집 항목
| 항목 | 수집 시점 |
|---|
| 이메일 주소 | 회원가입 |
| 비밀번호 (복호화 불가능한 방식으로 암호화 저장) | 회원가입 (이메일 가입 시) |
| 표시 이름 | 회원가입 또는 프로필 설정 |
| 프로필 사진 | 직접 업로드 또는 소셜 로그인 시 수신 |
1.2 인증 보안 항목
| 항목 | 수집 시점 | 수집 목적 |
|---|
| Passkey 인증 정보 (자격 증명 ID, 공개키, 기기명) | Passkey 등록 시 | 비밀번호 없는 인증 |
| 2단계 인증 비밀키 (암호화 저장) | 2단계 인증 설정 시 | TOTP 인증 코드 생성 |
| 백업 코드 (암호화 저장) | 2단계 인증 설정 시 | 인증 수단 분실 시 복구 |
1.3 선택 수집 항목
| 항목 | 수집 시점 | 수집 목적 |
|---|
| 이름 (성·이름) | 회원가입 또는 프로필 설정 | 개인화 기능 |
| 성별 | 회원가입 또는 프로필 설정 | 개인화 기능 |
| 생년월일 | 프로필 설정 | 개인화 기능 |
1.4 소셜 로그인 시 수집 항목
| 항목 | 제공자 |
|---|
| 계정 식별자 | Google, Apple |
| 이메일 주소 | Google, Apple |
| 이름 | Google, Apple |
| 프로필 사진 | Google |
1.5 Music 서비스 이용 시 수집 항목
- 음악 이용 데이터 (재생 기록, 좋아요, 플레이리스트, 아티스트 팔로우)
- 기기 정보 (기기명, 기기 유형, 플랫폼 정보, 재생 상태)
- Spotify Client ID (이용자가 직접 입력한 경우)
1.6 메일 서비스 이용 시 수집 항목
- 이메일 본문, 제목, 수신·발신 주소
- 첨부파일
- 연락처(수신·발신 빈도 기반 자동 수집)
- 메일 별칭, 필터 규칙, 답장 템플릿 등 사용자 설정
- 읽음 확인 요청 및 응답 기록
- 외부 이메일 계정 연결 정보 (IMAP/SMTP 서버 주소, 암호화된 인증 정보)
- 대용량 첨부파일 (링크 방식으로 업로드된 파일)
1.7 자동 수집 항목 (서비스 이용 분석)
회사는 서비스 품질 개선과 비정상 접근 탐지를 위해 자체 웹 분석 시스템을 운영하며, 다음 정보를 자동으로 수집합니다. 본 정책 페이지를 포함한 회사가 운영하는 모든 웹 페이지에서 동일하게 동작합니다.
- 접속 IP 주소 (저장 시 사용자 식별이 불가능한 해시값으로 비가역 변환되며, 원본 IP는 보관되지 않습니다)
- 접속 URL(경로), 이전 페이지 호스트명 (Referrer)
- 국가 코드 (Cloudflare 헤더 기반, IP 자체는 저장하지 않음)
- 브라우저 종류·버전, 운영체제, 기기 유형(모바일/태블릿/PC), 화면 너비
- 익명 방문자 식별자 (브라우저 저장소에 저장되는 임의 문자열, 일정 기간 또는 세션 종료 시 자동 만료)
- 서비스 접속 일시, 페이지 체류 신호
- 언어 설정
회사는 브라우저의 Do Not Track(DNT) 신호 등 이용자의 추적 거부 의사를 합리적인 범위에서 존중합니다.
1.8 보안 및 감사 로그
- 로그인 세션 기록: IP 주소, User-Agent, 국가 코드 (부정 접근 탐지 및 세션 관리)
- 개인정보 처리시스템 접속기록: 「정보통신망법」 제48조의3 및 동법 시행령 제58조의2에 따른 접속·열람·수정·삭제 등 기록
- 관리자 활동 감사 로그: 관리자의 작업 내역, IP, User-Agent, 상세 내용
1.9 유료(결제) 서비스 이용 시 수집 항목
| 항목 | 수집 시점 |
|---|
| 구매 내역 (이용권 종류·금액·결제 일시·결제 식별자) | 유료 이용권 결제 시 |
| 결제수단 정보 (카드사·결제수단 유형 등) | 유료 이용권 결제 시 |
| 등록 기기 정보 (기기 식별자·기기명·플랫폼) | 기기 한도 관리 시 |
1.10 고객센터 이용 시 수집 항목
- 문의 제목·내용 및 이용자가 첨부한 자료
- 회신용 이메일 주소
- 라이브 채팅 및 AI 상담 대화 내용
- 문의 처리 기록 (접수·답변·상태 변경 이력)
카드번호 등 결제수단의 전체 정보는 결제대행사(PG)가 처리하며, 회사는 이를 보유하지 않습니다.
2. 개인정보의 이용 목적
- 회원 인증 및 계정 관리 — 로그인, 본인 확인, 이메일 인증, 만 14세 이상 확인
- 서비스 제공 — 가사 검색, 재생 기록 저장, 이메일 송수신·보관·표시·검색, 개인화 기능
- 보안 — 부정 이용 방지, 비정상 접근 탐지, 2단계 인증, 스팸·피싱·악성코드 차단
- 서비스 개선 — 이용 통계 분석 (비식별 처리)
- 광고성 정보 전송 (선택) — 수신에 동의한 회원에게 서비스 소식 등 발송. 동의는 계정 설정에서 언제든지 철회할 수 있습니다
- 법령 준수 및 분쟁 대응 — 법령에 따른 의무 이행, 분쟁 발생 시 입증 자료 확보
3. 개인정보의 제3자 제공
회사는 다음의 경우 외에는 이용자의 개인정보를 제3자에게 제공하지 않습니다:
- Google, Apple — 소셜 로그인 시 이용자가 선택한 정보가 제공자와 회사 간 인증 목적으로 송수신됩니다.
- 법령에 근거한 수사기관·법원·행정기관의 적법한 요청이 있는 경우, 법률이 정하는 절차에 따라 협조할 수 있습니다.
4. 개인정보 처리 위탁
회사는 서비스 운영을 위해 다음과 같이 개인정보 처리를 위탁하고 있습니다:
| 수탁자 | 위탁 업무 | 보유·이용 기간 |
|---|
| Oracle Cloud Infrastructure | 서버 호스팅 및 데이터 저장 | 회원 탈퇴 또는 위탁 계약 종료 시까지 |
| Cloudflare, Inc. | CDN, DDoS 방어, DNS, 봇 차단 | 위탁 계약 종료 시까지 |
| Sendinblue SAS (Brevo) | 회원 인증·관리자 알림 등 시스템 메일 발송 중계 (SMTP) | 발송 후 수탁자의 보관 정책에 따름 |
| ㈜코리아포트원(PortOne) 및 연동 결제대행(PG)사 | 유료 이용권 결제 처리·결제 검증·결제 내역 관리 | 위탁 계약 종료 시 또는 관련 법령상 보존기간(전자상거래법상 거래기록 5년 등)까지 |
| Xiaomi (샤오미) | AI 기반 메일 번역·요약 및 고객센터 AI 상담 처리. 이용자가 해당 기능을 직접 실행한 경우에만 해당 콘텐츠가 전송됩니다. | 요청 처리 후 수탁자의 보관 정책에 따름 |
회사는 「개인정보 보호법」 제26조에 따라 수탁자에 대한 관리·감독 의무를 이행합니다.
4-1. 개인정보의 국외 이전
회사는 위 위탁 중 일부에 대해 「개인정보 보호법」 제28조의8에 따라 다음과 같이 개인정보를 국외로 이전합니다:
| 수탁자 | 이전 국가 | 이전 항목 | 이전 방법 | 수탁자 연락처 |
|---|
| Cloudflare, Inc. | 미국 | 접속 IP, User-Agent, 요청 URL 등 트래픽 메타데이터 | 이용 시점에 인터넷 회선을 통한 암호화 전송(TLS) | [email protected] |
| Sendinblue SAS (Brevo) | 프랑스, 독일 (EU) | 이메일 주소, 표시 이름, 시스템 메일 본문(인증 코드 등) | 이용 시점에 인터넷 회선을 통한 암호화 전송(TLS) | [email protected] |
| Xiaomi (샤오미) | 중국 | 메일 번역·요약 기능 사용 시 해당 메일의 본문·제목, AI 상담 사용 시 문의 대화 내용 | 이용자가 해당 기능을 실행하는 시점에 인터넷 회선을 통한 암호화 전송(TLS) | [email protected] |
이용자는 국외 이전을 거부할 권리가 있으며, 거부 시 회원가입·시스템 메일 수신 등 일부 서비스 이용이 제한될 수 있습니다. 거부 의사는 회원 탈퇴를 통해 행사할 수 있습니다. 다만 Xiaomi로의 이전은 이용자가 메일 번역·요약 또는 AI 상담 기능을 직접 실행하는 경우에만 발생하므로, 해당 기능을 사용하지 않는 방법으로도 거부할 수 있습니다.
4-2. 이용자가 직접 연결하는 외부 서비스
이용자가 외부 이메일 계정(IMAP/SMTP)을 메일 서비스에 연결하거나 Spotify Client ID를 Music 서비스에 입력하는 경우, 회사는 이용자의 지시에 따라 해당 외부 서비스에 접속하여 메일 또는 재생 데이터를 가져옵니다. 연결되는 외부 서비스 사업자는 이용자의 선택에 따르며, 해당 사업자의 약관 및 개인정보처리방침이 별도로 적용됩니다. 외부 계정 인증 정보는 회사가 보유한 암호화 키로 암호화하여 저장되며, 연결 해제 시 지체 없이 삭제합니다. 다만 백업·복제본의 일시적 잔존 등 기술적 사유로 즉시 삭제가 어려운 경우 합리적인 기간 내에 파기합니다.
5. 쿠키 사용
회사는 다음 목적으로 쿠키를 사용합니다:
- 필수 쿠키 — 로그인 세션 유지(access_token, refresh_token), CSRF 방지 토큰. 보안을 위해 HttpOnly·Secure·SameSite 속성이 적용되며, 서비스 이용에 필수적이므로 거부 시 정상 이용이 제한됩니다.
- 설정 쿠키 — 언어 선택, 화면 모드 등 사용자 환경 저장.
회사는 현재 광고용 제3자 쿠키를 사용하지 않습니다. 추후 분석·광고 목적의 제3자 도구를 도입할 경우 본 방침을 사전에 갱신하고 필요한 동의를 받습니다. 이용자는 브라우저 설정에서 쿠키 저장을 거부할 수 있으나, 이 경우 로그인 및 일부 기능 이용이 제한될 수 있습니다. 세션 쿠키는 일정 기간 후 자동 만료되며, 구체적 기간은 보안 정책에 따라 조정될 수 있습니다.
6. 개인정보의 보관 및 파기
- 계정 정보 — 회원 탈퇴 시 지체 없이 삭제
- 세션 정보 — 만료 후 자동 삭제
- 이메일 인증 코드 — 사용 또는 만료 후 지체 없이 삭제
- Music 이용 데이터 (재생 기록, 좋아요, 플레이리스트, 기기 정보) — 회원 탈퇴 시 함께 삭제. 기기 정보는 일정 기간 미활동 시 자동 삭제될 수 있습니다.
- 탈퇴 계정 식별 정보 — 재가입 남용 방지 및 부정행위 대응을 위해 합리적인 기간 동안 보관 후 삭제
- 메일 데이터 — 회원 탈퇴 시 모든 메일, 첨부파일, 연락처 삭제
- 인증 보안 정보 (Passkey, 2FA 비밀키, 백업 코드) — 회원 탈퇴 시 지체 없이 삭제, 개별 해제 시 해당 정보 지체 없이 삭제
- 외부 이메일 계정 정보 — 연결 해제 또는 회원 탈퇴 시 지체 없이 삭제
- 일반 감사 로그 (설정 변경, 관리자 작업 등) — 운영·보안 분석 목적으로 합리적인 기간 동안 보관 후 자동 삭제
- 개인정보 처리시스템 접속기록 (로그인, 권한 변경, 개인정보 열람·수정·삭제 등) — 「정보통신망법」 제48조의3 및 동법 시행령 제58조의2에 따라 최소 1년간 보관 후 삭제. 단, 5만명 이상 이용자의 개인정보를 처리하는 시점부터는 2년으로 연장됩니다.
- 시스템 메일 발송 로그 — 발송 메타데이터(종류·제공자·성공 여부)를 운영·디버깅 목적으로 합리적인 기간 동안 보관 후 자동 삭제. 수신자 주소는 발송 실패 대응·재시도 등 필요한 범위에서만 처리되며 동일 기준으로 파기됩니다.
- 고객센터 문의·채팅 기록 — 문의 처리 및 분쟁 대응 목적으로 합리적인 기간 동안 보관 후 삭제하며, 회원 탈퇴 시 함께 삭제됩니다.
관련 법령에 의해 보존이 필요한 경우, 해당 기간 동안 별도 보관 후 파기합니다. 본 조의 "지체 없이" 또는 "자동 삭제" 약속은 백업본의 일시적 잔존, 외부 위탁사의 처리 일정 등 기술적 사유로 인한 합리적 기간 내 파기를 포함합니다.
파기 방법
- 전자적 파일 — 복구할 수 없는 방법으로 영구 삭제
- 데이터베이스 기록 — SQL DELETE 실행 후 자동 정리 수행
- 첨부파일 — 서버 파일 시스템에서 완전 삭제
7. 동의 거부 권리
이용자는 개인정보 수집·이용에 대한 동의를 거부할 권리가 있습니다. 다만 필수 항목에 대한 동의를 거부하는 경우 회원가입 및 서비스 이용이 제한됩니다.
| 구분 | 동의 거부 시 불이익 |
|---|
| 필수 항목 (이메일, 비밀번호) | 회원가입 및 서비스 이용 불가 |
| 선택 항목 (이름, 성별, 생년월일) | 해당 정보를 활용한 개인화 기능 제한 (서비스 이용에는 영향 없음) |
| 국외 이전 동의 | 회원가입·시스템 메일 수신 등 일부 서비스 이용 불가 |
8. 이용자의 권리
이용자는 다음의 권리를 행사할 수 있습니다:
- 열람 — 자신의 개인정보 열람 요청
- 수정 — 표시 이름 등 프로필 정보 수정
- 삭제 — 계정 삭제를 통한 전체 개인정보 삭제
- 탈퇴 — 서비스 설정에서 언제든지 회원 탈퇴 가능
- 동의 철회 — 개인정보 수집·이용 및 국외 이전에 대한 동의를 언제든지 철회 가능 (계정 삭제를 통해 행사)
- 처리 정지 요구 — 「개인정보 보호법」 제37조에 따른 처리 정지 요구
위 권리는 서비스 내 설정 또는 [email protected]을 통해 행사할 수 있습니다.
9. 아동의 개인정보
회사의 서비스는 만 14세 미만의 아동을 대상으로 하지 않습니다. 회원가입 시 이용자가 만 14세 이상임을 자기 확인 방식으로 확인하며, 만 14세 미만으로 확인된 경우 가입을 차단합니다. 회사는 만 14세 미만 아동의 개인정보를 의도적으로 수집하지 않습니다.
만 14세 미만 아동의 개인정보가 부모 또는 법정대리인의 동의 없이 수집된 것을 인지한 경우, 회사는 해당 정보를 지체 없이 삭제하고 결과를 통지합니다. 부모 또는 법정대리인이 해당 사실을 알게 된 경우 [email protected]으로 신고해 주시기 바랍니다.
10. 개인정보의 안전성 확보 조치
- 비밀번호는 업계 표준의 일방향 해시 알고리즘으로 변환하여 저장
- 모든 통신은 암호화된 연결(HTTPS/TLS)을 통해 전송
- 인증 정보 및 외부 계정 비밀번호는 별도의 암호화 키로 암호화하여 저장
- 메일 데이터는 서버에 저장되며 이용자 본인만 접근 가능
- 서버 접근 권한을 최소 권한 원칙에 따라 제한하고 강력한 인증 수단을 적용
- 외부 공격에 대비한 네트워크·애플리케이션 계층 보호 조치 운영
- 관리자 활동에 대한 감사 로그 운영
11. 개인정보 침해사고 통지
회사는 개인정보 침해사고가 발생한 경우 「개인정보 보호법」 제34조에 따라 그 사실을 인지한 시점부터 지체 없이 이용자에게 통지하고, 필요한 경우 개인정보보호위원회 또는 한국인터넷진흥원에 신고합니다.
12. 개인정보 보호책임자 및 분쟁 처리
회사는 개인정보 처리에 관한 업무를 총괄하며 이용자의 개인정보 관련 불만 및 피해 구제를 담당하는 개인정보 보호책임자를 지정하고 있습니다.
- 직책: UKNONG 대표 (개인정보 보호책임자 겸 분쟁처리 담당)
- 이메일: [email protected]
- 응답 기준: 합리적인 기간 내에 회신·처리하며, 「개인정보 보호법」 등 관련 법령에서 정한 기한이 있는 경우 그 기한을 준수합니다.
이용자는 개인정보 침해로 인한 신고·상담이 필요한 경우 다음 기관에 도움을 요청할 수 있습니다:
13. 연락처
14. 본 방침의 변경
본 방침은 시행일자에 시행되며, 본 방침에 변경이 있을 경우 변경 사항을 본 페이지에 게시합니다. 이용자에게 불리한 변경의 경우 적용일자 30일 전부터 사전에 공지하고, 서비스 내 통지 또는 가입 이메일 발송 중 회사가 선택하는 하나 이상의 방법으로 알려드립니다.
Privacy Policy
Effective Date: June 10, 2026
UKNONG ("Company") values your privacy and complies with applicable laws including the Personal Information Protection Act (PIPA) and the Act on Promotion of Information and Communications Network Utilization and Information Protection of the Republic of Korea. This policy describes what personal information we collect, how we use, store, and dispose of it, and how you can exercise your rights.
1. Information We Collect
1.1 Required Information
| Item | When Collected |
|---|
| Email address | Registration |
| Password (stored using irreversible encryption) | Registration (email signup) |
| Display name | Registration or profile setup |
| Profile picture | Direct upload or received via social login |
1.2 Authentication Security Information
| Item | When Collected | Purpose |
|---|
| Passkey credentials (credential ID, public key, device name) | Passkey registration | Passwordless authentication |
| Two-factor authentication secret (stored encrypted) | 2FA setup | TOTP code generation |
| Backup codes (stored encrypted) | 2FA setup | Account recovery when authenticator is unavailable |
1.3 Optional Information
| Item | When Collected | Purpose |
|---|
| Name (first/last) | Registration or profile setup | Personalization |
| Gender | Registration or profile setup | Personalization |
| Date of birth | Registration or profile setup | Age verification (14 years or older) |
1.4 Social Login Information
| Item | Provider |
|---|
| Account identifier | Google, Apple |
| Email address | Google, Apple |
| Name | Google, Apple |
| Profile picture | Google |
1.5 Music Service Information
- Music usage data (play history, favorites, playlists, artist follows)
- Device information (device name, device type, platform info, playback state)
- Spotify Client ID (if provided by the user)
1.6 Mail Service Information
- Email content, subject lines, and sender/recipient addresses
- Attachments
- Contacts (automatically collected based on send/receive frequency)
- Mail aliases, filter rules, reply templates, and other user settings
- Read receipt requests and responses
- External email account connection details (IMAP/SMTP server addresses, encrypted credentials)
- Large attachments (files uploaded via link sharing)
1.7 Automatically Collected Information (Service Analytics)
We operate a first-party web analytics system to improve service quality and detect abnormal access. The following data is collected automatically on all pages we operate, including this policy page:
- IP address (irreversibly hashed when stored; original IP is not retained)
- Visited URL (path) and previous page hostname (Referrer)
- Country code (derived from Cloudflare header; raw IP not stored)
- Browser type and version, operating system, device type (mobile/tablet/PC), screen width
- Anonymous visitor identifier (random string stored in the browser, automatically expiring after a certain period or at the end of the session)
- Access timestamp, page activity signals
- Language preference
We honor user opt-out signals such as Do Not Track (DNT) to a reasonable extent.
1.8 Security and Audit Logs
- Login session records: IP address, User-Agent, country code (for abuse detection and session management)
- Access records to the personal information processing system, as required by Article 48-3 of the Information and Communications Network Act and Article 58-2 of its Enforcement Decree
- Administrator activity audit logs: actions taken, IP, User-Agent, and details
1.9 Paid (Payment) Service Information
| Item | When Collected |
|---|
| Purchase records (plan type, amount, payment date/time, payment identifier) | At paid plan purchase |
| Payment method info (card issuer, payment method type, etc.) | At paid plan purchase |
| Registered device info (device identifier, device name, platform) | For device-limit management |
Full payment credentials such as card numbers are handled by the payment gateway (PG); the Company does not retain them.
1.10 Customer Support Information
- Inquiry subject, content, and any materials you attach
- Reply email address
- Live chat and AI assistant conversation content
- Inquiry handling records (receipt, responses, status change history)
2. Purpose of Use
- Authentication and account management — Login, identity verification, email verification, age verification (14+)
- Service delivery — Lyrics search, play history storage, email sending/receiving/storage/display/search, personalization
- Security — Fraud prevention, abnormal access detection, two-factor authentication, spam/phishing/malware blocking
- Service improvement — Usage statistics analysis (de-identified)
- Legal compliance and dispute resolution — Performance of statutory obligations, retention of evidence for potential disputes
3. Sharing with Third Parties
We do not share your personal information with third parties except in the following cases:
- Google, Apple — During social login, information you choose to share is exchanged between the provider and us for authentication purposes.
- Lawful requests from law enforcement agencies, courts, or administrative authorities under applicable legal procedures.
4. Data Processing Delegation
We delegate the following data processing tasks to operate the Service:
| Delegate | Purpose | Retention Period |
|---|
| Oracle Cloud Infrastructure | Server hosting and data storage | Until account deletion or termination of the delegation contract |
| Cloudflare, Inc. | CDN, DDoS protection, DNS, bot mitigation | Until termination of the delegation contract |
| Sendinblue SAS (Brevo) | System email relay (SMTP) for authentication and admin alerts | Per the delegate's retention policy after delivery |
| PortOne Co., Ltd. and connected payment gateways (PG) | Payment processing, verification, and transaction records for paid plans | Until termination of the delegation contract or the retention period required by law (e.g., 5 years for transaction records under the E-Commerce Act) |
| Xiaomi | AI-based mail translation/summary and customer support AI assistant. Content is transmitted only when you directly run the feature. | Per the delegate's retention policy after the request is processed |
We perform supervision of the delegates as required under Article 26 of PIPA.
4-1. International Data Transfers
For some of the above delegated processing, we transfer personal information outside the Republic of Korea in accordance with Article 28-8 of PIPA:
| Delegate | Destination | Items | Method | Contact |
|---|
| Cloudflare, Inc. | United States | IP address, User-Agent, URL and other traffic metadata | Encrypted transmission (TLS) over the Internet at the time of access | [email protected] |
| Sendinblue SAS (Brevo) | France, Germany (EU) | Email address, display name, system email content (verification codes, etc.) | Encrypted transmission (TLS) over the Internet at the time of access | [email protected] |
| Xiaomi | China | Body and subject of the email when you use mail translation/summary; conversation content when you use the AI assistant | Encrypted transmission (TLS) over the Internet when you run the feature | [email protected] |
You have the right to refuse international transfers; however, refusal may restrict registration, system email delivery, and other parts of the Service. You may exercise this right by deleting your account. Transfers to Xiaomi occur only when you directly run the mail translation/summary or AI assistant features, so you may also refuse them simply by not using those features.
4-2. External Services You Connect
If you connect an external email account (IMAP/SMTP) to the Mail Service or provide a Spotify Client ID to the Music Service, we access the relevant external service on your instruction to retrieve mail or playback data. The choice of external provider is yours, and the provider's own terms and privacy policy apply separately. Credentials for external accounts are encrypted using a key we maintain and are deleted without undue delay upon disconnection. Residual copies retained for technical reasons such as backups will be destroyed within a reasonable period.
5. Cookies
We use cookies for the following purposes:
- Essential cookies — Maintain your login session (access_token, refresh_token) and CSRF protection tokens. They use HttpOnly, Secure, and SameSite attributes for security and are required for the Service to function.
- Preference cookies — Store your language, display mode, and other UI preferences.
We currently do not use third-party advertising cookies. If we adopt third-party analytics or advertising tools in the future, we will update this policy in advance and obtain any required consent. You can disable cookies in your browser settings, but doing so may prevent login or limit certain features. Session cookies automatically expire after a defined period, which may be adjusted in accordance with our security policy.
6. Data Retention and Deletion
- Account information — Deleted without undue delay upon account deletion
- Session data — Automatically deleted upon expiry
- Email verification codes — Deleted without undue delay after use or expiry
- Music usage data (play history, favorites, playlists, device info) — Deleted upon account deletion. Device info may be automatically removed after a period of inactivity.
- Withdrawn account records — Retained for a reasonable period to prevent re-registration abuse and address misconduct, then deleted
- Mail data — All emails, attachments, and contacts deleted upon account deletion
- Authentication security data (Passkeys, 2FA secrets, backup codes) — Deleted without undue delay upon account deletion; individually removed when disabled
- External email account data — Deleted without undue delay upon disconnection or account deletion
- General audit logs (settings, admin actions) — Retained for a reasonable period for operational and security analysis, then automatically deleted
- Access records to the personal information processing system — Retained for at least one year as required by Article 48-3 of the Information and Communications Network Act and Article 58-2 of its Enforcement Decree. The period extends to two years when the Service handles personal information of 50,000 or more users.
- System email sending logs — Sending metadata (type, provider, success status) is retained for a reasonable period for operational and debugging purposes, then automatically deleted. Recipient addresses are processed only to the extent necessary for delivery failure handling and retries, and are destroyed under the same standard.
- Customer support inquiries and chat records — Retained for a reasonable period for inquiry handling and dispute resolution, then deleted; also deleted upon account deletion.
Where retention is required by applicable law, data will be stored separately for the required period and then destroyed. Commitments in this section to delete data "without undue delay" or "automatically" include destruction within a reasonable period for technical reasons such as residual backup copies or delegates' processing schedules.
Deletion Methods
- Electronic files — Permanently deleted using irreversible methods
- Database records — SQL DELETE followed by automatic cleanup
- Attachments — Completely removed from the server file system
7. Right to Refuse Consent
You have the right to refuse consent to the collection and use of your personal information. However, if you refuse consent for required items, registration and use of the Service may be restricted.
| Category | Consequences of Refusal |
|---|
| Required items (email, password) | Unable to register or use the Service |
| Optional items (name, gender, date of birth) | Personalization features limited (no impact on core service usage) |
| International transfer consent | Registration, system email delivery, and some features may be restricted |
8. Your Rights
You may exercise the following rights:
- Access — Request to view your personal information
- Correction — Modify your profile information such as display name
- Deletion — Delete all personal information by deleting your account
- Withdrawal — Delete your account at any time from the Service settings
- Consent withdrawal — Withdraw consent to data collection, use, and international transfers at any time (exercised by deleting your account)
- Suspension of processing — Demand suspension of processing under Article 37 of PIPA
To exercise these rights, use the in-service settings or contact us at [email protected].
9. Children's Privacy
Our Service is not directed to children under the age of 14. During registration, users self-confirm that they are 14 or older; registration is blocked when the user is identified as under 14. We do not knowingly collect personal information from children under 14.
If we learn that personal information of a child under 14 has been collected without the consent of a parent or legal guardian, we will delete such information without delay and notify the result. Parents or legal guardians who become aware of such collection may report it to [email protected].
10. Security Measures
- Passwords are converted using an industry-standard one-way hashing algorithm for storage
- All communications are transmitted over encrypted connections (HTTPS/TLS)
- Authentication data and external account credentials are encrypted at rest with a separate key
- Mail data is stored on our servers and accessible only by the account owner
- Server access is restricted under the principle of least privilege with strong authentication
- Network- and application-layer protections are in place against external attacks
- Administrator activity is recorded through audit logs
11. Data Breach Notification
If a personal information breach occurs, we will notify affected users without delay upon becoming aware of the incident, in accordance with Article 34 of PIPA, and report to the Personal Information Protection Commission or the Korea Internet & Security Agency (KISA) where required.
12. Data Protection Officer and Dispute Resolution
We have designated a Data Protection Officer responsible for overseeing personal information processing and for handling user complaints and remedies.
- Role: UKNONG Representative (Data Protection Officer and dispute handling)
- Email: [email protected]
- Response Standards: We respond and resolve inquiries within a reasonable period and comply with any timelines specified by applicable laws, including PIPA.
For privacy-related complaints or assistance, you may contact the following authorities:
- Personal Information Dispute Mediation Committee (kopico.go.kr, +82-1833-6972)
- Personal Information Infringement Report Center (privacy.kisa.or.kr, 118)
- Supreme Prosecutors' Office Cyber Investigation Division (spo.go.kr, +82-2-3480-3573)
- Korean National Police Cyber Investigation Bureau (ecrm.police.go.kr, 182)
13. Contact
14. Changes to This Policy
This policy is effective on the date shown above. If we make changes, we will post the updated policy on this page. For changes that are adverse to users, we will provide notice at least 30 days before the effective date through at least one of the following methods, as the Company may select: in-service notification or email sent to the address associated with your account.