个人信息处理方针

YW Lab（以下简称"开发者"）在提供手机游戏"你好，我的青蛙 (Dear My Frog)"（以下简称"服务"）的过程中，重视用户的个人信息，并为遵守《个人信息保护法》、《信息通信网法》及欧盟《通用数据保护条例（GDPR）》等相关法律法规，制定并公开本个人信息处理方针。

1. 收集的个人信息项目

1-1. 必需收集项目（使用服务时自动生成）

1-2. 可选收集项目（使用 Google Sign-In 时）

• Google Sign-In 为可选项，未注册亦可使用游戏。
• 不收集头像、出生日期等其他项目。

1-3. 广告标识符（自动收集）

你可在设备设置（Android：设置 → Google → 广告）中重置广告 ID 或拒绝个性化广告。

1-4. 支付信息

• 应用内购买通过 Google Play 支付系统 进行，卡号、账号等支付信息开发者不收集、不保存。
• 开发者仅从 Google 接收支付收据（订单 ID、商品 ID、支付时刻），用于钻石发放验证。

1-5. 营销信息接收同意（与运营性通知的区分）

本服务依据《信息通信网法》第50条，对以营利为目的的广告性信息发送将另行取得事先同意。以下通知为服务运营性通知，无需用户同意即可发送：

• 其他用户发送的应援·心愿推送通知（服务核心功能）
• 派遣完成、助推器结束、每日任务重置等游戏进行通知
• 协议·处理方针变更告知、维护·终止公告等必要通知

上述运营性通知可在游戏内设置或设备设置中关闭。如日后需发送营销信息，将另行告知并取得同意。

2. 个人信息的收集及使用目的

3. 个人信息的保存及使用期限

• 游戏数据：至账号注销或最后接入后1年保存后删除
• 支付收据信息：依据《电子商务法》保存 5年
• 日志数据（接入·错误）：保存 3个月 后删除
• 广告奖励验证日志：保存 6个月 后删除
• 内容审核日志（心愿/应援文字举报·屏蔽记录）：保存 90天 后删除（用于识别重复违规者及应对纠纷）

账号注销请求时，除适用上述保存期限的项目外，所有数据将立即销毁。

4. 个人信息的第三方提供

开发者除本方针规定外，不向第三方提供用户个人信息。以下情况除外：

• 用户事先同意的情况
• 依据法律法规，经正当程序由侦查机关等请求的情况
• 为编制统计、学术研究等，以无法识别特定个人的形式加工后提供的情况

5. 个人信息处理的委托

开发者为运营服务，按以下方式委托个人信息处理业务。

• Supabase 数据库位于大韩民国首尔区域，因此游戏数据、账号信息、心愿文字不会转移至境外。
• Google·Firebase 委托部分（认证·支付·广告·推送·崩溃）使用 Google 全球基础设施，可能转移至美国等海外。详情请参阅 Google 个人信息处理方针。
• 导入 AI 内容审核时，用户创作的心愿/应援文字部分内容可能被发送至 OpenAI, L.L.C.（美国），用于审查是否违反政策。导入时间及发送范围（最多500字）将通过服务内公告或本处理方针修订告知。
• IP 位置查询 API 的运营主体和所在地可能发生变化，开发者不向该 API 发送可识别个人身份的信息（姓名、账号等）。

5-1. 境外转移单独告知（《个人信息保护法》第28条之8）

本委托中，Supabase, Inc.（总部位于美国）及 Google LLC/Firebase 全球基础设施的使用，属于依据《个人信息保护法》第28条之8进行的境外转移。转移项目为本处理方针第1条所列明的游戏数据、设备标识符、日志数据，受托方为上述委托表中所列明的受托方。用户通过同意本处理方针，视为同意上述境外转移；拒绝同意时，将无法使用本服务的云端同步、认证、推送通知、支付验证功能。

5-2. 欧盟/欧洲经济区居住用户处理合法依据（GDPR Article 13）

欧盟/欧洲经济区居住用户个人信息处理的合法依据，依据 GDPR 第6条如下：

• (a) GDPR Article 6(1)(a) — 同意：依据本处理方针及游戏进入时用户同意进行的处理。
• (b) GDPR Article 6(1)(b) — 履行合同：为提供游戏服务所必需的处理（游戏内货币/账号/社交功能/云端同步）。
• (c) GDPR Article 6(1)(f) — 正当利益：为防止不当使用及维护服务安全进行的处理（广告滥用验证、安全日志、审核）。仅在不优先于用户权利与自由的范围内进行处理。

以同意为合法依据的处理，用户可随时撤回同意，撤回同意不影响撤回前处理的合法性。

6. 信息主体的权利·义务及行使方法

你可随时行使以下权利：

1. 个人信息查阅请求：查阅本人被处理的个人信息项目及处理现状的权利
2. 更正·删除请求：请求更正或删除错误信息的权利
3. 处理停止请求：请求停止个人信息处理的权利
4. 账号注销（被遗忘权）：请求永久删除所有个人信息及游戏数据的权利（GDPR Article 17 Right to Erasure 兼容）
5. 个人信息可携权：以标准格式（JSON等）获取本人数据的权利（GDPR Article 20）

上述权利行使可通过下方第10条个人信息保护责任人的电子邮件提出申请，开发者将在收到申请后30天内处理。

7. 个人信息安全保障措施

• 加密：密码等敏感信息通过 Supabase Auth 的单向哈希（bcrypt）存储。
• 访问控制：通过 Supabase Row Level Security（RLS）策略，仅允许用户访问本人数据。
• HTTPS 通信：客户端与服务器之间的所有通信均通过 TLS 1.2 及以上加密。
• OAuth 安全：Google Sign-In 时应用防止 CSRF 的 state 参数验证。
• 日志最小化：正式版本中将停用可能包含个人信息的日志（user_id、OAuth URL 等）。

8. 自动收集装置（Cookie 及广告标识符）

• 本服务不使用网络 Cookie。
• AdMob SDK 自动收集广告 ID（GAID），你可在设备设置（Android：设置 → Google → 广告）中重置广告 ID 或拒绝个性化广告。拒绝后广告仍会展示，但为非个性化的通用广告。
• iOS 14.5 及以上版本用户，首次运行应用时将显示《应用追踪透明度（App Tracking Transparency，ATT）》权限请求弹窗，仅在用户允许时才收集 IDFA（Identifier for Advertisers）。拒绝时游戏使用不受影响。

9. 未满14周岁儿童的个人信息

• 本服务供 13周岁及以上 用户使用（Google Play 政策）。
• 中国大陆居住的未满14周岁未成年人，依据《个人信息保护法》第22条第6款，需要法定监护人的同意，因此不得同意本服务的账号注册（Google Sign-In）及个人信息收集·使用，且不得使用云端数据存储功能。
• 如确认未满14周岁未成年人已注册，将立即删除账号并销毁所有个人信息。
• 对于美国居住的未满13周岁未成年人，依据《儿童在线隐私保护法（COPPA）》不得使用本服务，并依据 Google Play 的13周岁以上年龄政策，注册本身将被阻止。如确认该儿童已注册，将立即销毁。

10. 个人信息保护责任人

公司为全面负责个人信息处理相关业务、处理信息主体的投诉及损害救济，依据《个人信息保护法》第30条指定个人信息保护责任人如下：

• 姓名：Kim Soonhak
• 职务：代表
• 电子邮件：tnsgkr.dev@gmail.com
• 回复标准：工作日7天内

依据《电子商务法》，公司的商号、营业执照注册号、营业场所地址、通信销售业申报号等经营者信息，可在 Google Play 商店页面及游戏内设置菜单 →「经营者信息」中查看。

11. 权益侵害救济方法

你可向以下机构申请纠纷解决或咨询，以获得因个人信息侵害而产生的救济：

• 个人信息纠纷调解委员会：（无区号）1833-6972 / www.kopico.go.kr （新窗口）
• 个人信息侵害申诉中心：（无区号）118 / privacy.kisa.or.kr （新窗口）
• 大检察厅网络侦查科：（无区号）1301 / www.spo.go.kr （新窗口）
• 警察厅网络侦查局：（无区号）182 / ecrm.cyber.go.kr （新窗口）

欧盟居住用户依据 EU GDPR，有权向本人居住地监督机构提出申诉。

美国加利福尼亚州居住用户依据《加利福尼亚州消费者个人信息保护法（CCPA/CPRA）》，可行使以下权利：

• 知悉被处理的个人信息项目的权利（Right to Know）
• 删除个人信息的权利（Right to Delete）
• 拒绝个人信息出售·共享的权利（Right to Opt-Out）——本服务不向第三方出售用户个人信息。
• 因行使权利而免受歧视的权利（Right to Non-Discrimination）

权利行使可通过上方第10条个人信息保护责任人的电子邮件提出申请。

12. 个人信息处理方针的变更

本个人信息处理方针因法律法规、政策或安全技术变更而需增加、删除、修改内容时，将于生效 7日前（对用户不利的变更为30日前）通过服务内公告告知。