個人資料處理方針

YW Lab（以下簡稱「本公司」）在提供手機遊戲「Dear My Frog」（以下簡稱「服務」）的過程中，珍視使用者的個人資料，並為遵守《個人資料保護法》、《資訊通信網路法》及 EU 一般資料保護規則（GDPR）等相關法令，制定並公開本個人資料處理方針。

1. 收集之個人資料項目

1-1. 必要收集項目（使用服務時自動產生）

1-2. 選擇收集項目（使用 Google Sign-In 時）

• Google Sign-In 為選擇性，未申請亦可遊玩。
• 個人頭貼、出生年月日等額外項目不予收集。

1-3. 廣告識別符（自動收集）

使用者可於裝置設定（Android：設定 → Google → 廣告）重設廣告 ID 或拒絕個人化廣告。

1-4. 結帳資訊

• 應用程式內購買透過 Google Play 結帳系統進行，信用卡號、帳戶號碼等結帳資訊開發者不予收集或保管。
• 開發者僅從 Google 接收結帳收據（訂單 ID、商品 ID、結帳時間）用於鑽石發放驗證。

1-5. 行銷資訊接收同意（與服務運營通知之區別）

本服務依《資訊通信網路法》第50條，就以營利為目的之廣告性資訊傳送，另行取得事先同意。下列通知非行銷資訊，屬服務運營性通知，得於使用者未同意之情況下發送：

• 其他使用者發送之應援、祈願推播通知（服務核心功能）
• 派遣完成、加速器結束、每日任務重置等遊戲進行通知
• 條款、處理方針變更通知、維護及終止公告等必要告知

上述運營性通知得於遊戲內設定或裝置設定中拒絕接收。若日後需要傳送行銷資訊，將另行告知並取得同意。

2. 個人資料之收集及利用目的

3. 個人資料之保有及利用期間

• 遊戲資料：帳號退會或最後連線後1年內保管，其後刪除
• 結帳收據資訊：依《電子商務法》保管5年
• 日誌資料（連線及錯誤）：保管3個月後刪除
• 廣告獎勵驗證日誌：保管6個月後刪除
• 內容審核日誌（祈願/應援文字舉報、封鎖記錄）：保管90日後刪除（用於識別重複違規者及應對糾紛）

帳號退會申請時，除上述保有期間適用之項目外，所有資料立即銷毀。

4. 個人資料之第三方提供

開發者除本方針外，不將使用者之個人資料提供予第三方。但下列情況為例外：

• 使用者事先同意之情況
• 依法令透過正當程序由調查機關等提出請求之情況
• 以無法識別特定個人之形式加工後，用於統計製作、學術研究等之情況

5. 個人資料處理之委託

開發者為服務運營，依下列方式委託個人資料處理業務。

• Supabase 資料庫位於大韓民國首爾區域，因此遊戲資料、帳號資訊、祈願文字不會向境外移轉。
• Google、Firebase 委託部分（認證、結帳、廣告、推播、崩潰）使用 Google 全球基礎設施，可能移轉至美國等海外。詳情請參閱 Google 個人資料處理方針。
• 導入 AI 內容審核時，使用者建立之祈願/應援文字一部分可能傳送至 OpenAI, L.L.C.（美國）用於審查是否違反政策。導入時機、範圍（最多500字）將透過服務內公告或本處理方針修訂告知。
• IP 位置查詢 API 之運營主體及所在地可能變動；開發者不將可識別個人之資訊（姓名、帳號等）傳送至該 API。

5-1. 境外移轉個別告知（《個人資料保護法》第28條之8）

本委託中，Supabase, Inc.（總部設於美國）及 Google LLC/Firebase 全球基礎設施之使用，屬《個人資料保護法》第28條之8所定之境外移轉。移轉項目為本處理方針第1項所載之遊戲資料、裝置識別符及日誌資料，受移轉方為上述委託表中所載之受託者。使用者同意本處理方針，視為同意上述境外移轉；拒絕同意時，本服務之雲端同步、認證、推播通知、結帳驗證功能之使用將受到限制。

5-2. EU/EEA 居住使用者之處理法律依據（GDPR Article 13）

EU/EEA 居住使用者個人資料處理之法律依據，依 GDPR 第6條如下：

• (a) GDPR Article 6(1)(a) — 同意：依本處理方針及進入遊戲時使用者同意所進行之處理。
• (b) GDPR Article 6(1)(b) — 契約履行：為提供遊戲服務所必要之處理（遊戲內貨幣/帳號/社群功能/雲端同步）。
• (c) GDPR Article 6(1)(f) — 正當利益：為防止不當使用及維持服務安全所進行之處理（廣告濫用驗證、安全日誌、審核）。僅在不超越使用者之權利與自由的範圍內處理。

以同意為法律依據之處理，使用者得隨時撤回同意，且撤回同意不影響撤回前之處理之合法性。

6. 資料主體之權利、義務及行使方法

使用者得隨時行使下列權利：

1. 個人資料查閱請求：查閱本人被處理之個人資料項目及處理現況之權利
2. 更正、刪除請求：請求更正或刪除錯誤資訊之權利
3. 處理停止請求：請求停止個人資料處理之權利
4. 帳號退會（被遺忘權）：請求永久刪除所有個人資料及遊戲資料（相容於 GDPR Article 17「Right to Erasure」）
5. 個人資料可攜權：以標準格式（JSON 等）接收本人資料之權利（GDPR Article 20）

上述權利行使得透過下方「10. 個人資料保護責任人」項目之電子郵件提出申請，開發者將於收到申請後30日內處理。

7. 個人資料安全性確保措施

• 加密：密碼等敏感資訊以 Supabase Auth 之單向雜湊（bcrypt）儲存。
• 存取控制：以 Supabase Row Level Security（RLS）政策，使使用者只能存取本人資料。
• HTTPS 通訊：用戶端與伺服器間所有通訊以 TLS 1.2 以上加密。
• OAuth 安全：Google Sign-In 時驗證 state 參數以防止 CSRF。
• 日誌最小化：正式版本中，可能包含個人資料之日誌（user_id、OAuth URL 等）設為停用。

8. 自動收集裝置（Cookie 及廣告識別符）

• 本服務不使用網頁 Cookie。
• AdMob SDK 自動收集廣告 ID（GAID），使用者可於裝置設定中透過「重設廣告 ID」或「拒絕個人化廣告」予以拒絕。拒絕後廣告仍將顯示，但改為一般廣告而非個人化廣告。
• iOS 14.5 以上使用者，應用程式首次啟動時將顯示「應用程式追蹤透明度（App Tracking Transparency，ATT）」權限請求彈窗，僅在使用者允許之情況下方收集 IDFA（Identifier for Advertisers）。拒絕者遊戲使用不受影響。

9. 未滿14歲兒童之個人資料

• 本服務供13歲以上人士使用（Google Play 政策）。
• 居住於大韓民國之未滿14歲兒童，依《個人資料保護法》第22條第6項，需取得法定代理人之同意，因此不得同意本服務之會員申請（Google Sign-In）及個人資料收集、使用，且無法使用雲端資料儲存功能。
• 若確認有未滿14歲兒童申請，將立即刪除帳號並銷毀所有個人資料。
• 居住於美國之未滿13歲兒童，依《兒童線上隱私保護法（COPPA）》不得使用本服務，並依 Google Play 13歲以上年齡政策，申請本身即被封鎖。若確認有該兒童申請，將立即銷毀。

10. 個人資料保護責任人

本公司全面負責個人資料處理業務，並依《個人資料保護法》第30條，為處理資料主體之投訴及損害救濟等事宜，指定個人資料保護責任人如下：

• 姓名：Kim Soonhak
• 職稱：代表
• 電子郵件：tnsgkr.dev@gmail.com
• 回覆基準：工作日7日內

依《電子商務法》所定之本公司商號、統一編號、營業地址、通訊販售業申報號碼等業者資訊，可於 Google Play 商店頁面及遊戲內設定選單 →「業者資訊」查閱。

11. 權益侵害之救濟方法

使用者為獲得個人資料侵害之救濟，得向下列機關申請爭議解決或諮詢等：

• 個人資料爭議調解委員會：（不需區碼）1833-6972 / www.kopico.go.kr （新視窗）
• 個人資料侵害申訴中心：（不需區碼）118 / privacy.kisa.or.kr （新視窗）
• 最高檢察廳網路調查科：（不需區碼）1301 / www.spo.go.kr （新視窗）
• 警察廳網路調查局：（不需區碼）182 / ecrm.cyber.go.kr （新視窗）

EU 居住使用者依 EU GDPR，有權向本人居住地之監督機關提出申訴。

美國加州居住使用者依《加州消費者個人資料保護法（CCPA/CPRA）》，得行使下列權利：

• 了解被處理之個人資料項目的權利（Right to Know）
• 刪除個人資料之權利（Right to Delete）
• 拒絕個人資料銷售及共享之權利（Right to Opt-Out）— 本服務不將使用者個人資料出售予第三方。
• 行使權利時不受歧視之權利（Right to Non-Discrimination）

權利行使得透過上方「10. 個人資料保護責任人」之電子郵件提出申請。

12. 個人資料處理方針之變更

本個人資料處理方針因法令、政策或安全技術之變更而有內容增減或修訂時，將於施行7日前（對使用者不利之變更則為30日前）透過服務內公告告知。