법적 고지

개인정보
보호정책.

Hashe가 개인정보를 보호하는 방법.

최종 업데이트: 2026년 3월

Hashe는 개인 데이터를 거의 수집하지 않도록 설계되었습니다. 메시지는 종단간 암호화되어 저희가 읽을 수 없습니다. 광고 없음, 제3자 데이터 공유 없음. 웹사이트는 쿠키 없는 자체 호스팅 분석 도구(Umami)를 사용합니다.

1. 데이터 컨트롤러

Hashe 애플리케이션은 다음에 의해 운영됩니다:

DEVOLIM은 일반 데이터 보호 규정(GDPR)에 따른 데이터 컨트롤러 역할을 합니다.

2. 수집하는 데이터

2.1 수집하는 것

Hashe는 서비스 운영에 필요한 최소한의 데이터만 수집합니다:

  • Hashe ID - 무작위로 생성된 익명 식별자, 귀하의 신원과 연결되지 않음
  • 기기 식별자 (device ID) - 인증에 사용
  • 플랫폼 - iOS 또는 Android, 푸시 알림에 필요
  • 공개 키 - Signal Protocol 암호화 키 (identity key, signed prekey, prekeys)
  • 메일박스 토큰 - 푸시 알림 수신용

2.2 수집하지 않는 것

Hashe는 다음 데이터를 수집, 저장 또는 처리하지 않습니다:

  • 메시지 내용 (종단간 암호화, 서버에서 읽을 수 없음)
  • 연락처 목록
  • 위치 데이터
  • 이메일 주소
  • 전화번호
  • IP 주소 (저장되지 않음, 기록되지 않음)
  • 통신 메타데이터 (누가 누구와, 언제, 얼마나 오래 대화했는지)
  • 사진, 파일 또는 평문 미디어

3. 암호화 및 보안

모든 통신은 종단간 암호화의 표준인 Signal Protocol로 보호됩니다:

  • AES-256-GCM - 메시지 및 파일의 대칭 암호화
  • Curve25519 - 타원 곡선 Diffie-Hellman 키 교환
  • Double Ratchet - 메시지마다 자동 키 갱신 (Perfect Forward Secrecy)
  • Sealed Sender - 발신자 신원이 암호화되어 서버에서도 보이지 않음

서버는 메시지를 읽거나, 복호화하거나, 발신자에게 연결할 수 없습니다. 수신자만이 자신의 기기에만 저장된 개인 키를 사용하여 메시지를 복호화할 수 있습니다.

4. 데이터 보존

  • 전송 중 암호화된 메시지 - 수신자가 수신 시 삭제되거나, 수신되지 않은 경우 최대 24시간 후 자동 삭제
  • 계정 데이터 - 계정이 활성 상태인 동안 유지. 계정 삭제 시 완전히 삭제
  • 암호화된 파일 및 미디어 - 메시지와 동일한 기간: 수신 시 또는 최대 24시간 후 삭제

5. 로컬 저장

귀하의 데이터(메시지, 연락처, 메모, 개인 키)는 AES-256-GCM으로 암호화된 Hive 데이터베이스에 귀하의 기기에 로컬로 저장됩니다.

  • 로컬 데이터는 어떤 클라우드에도 동기화되지 않습니다
  • 한 기기 = 한 계정 - 자동 복원 없음, 서버 측 백업 없음
  • 암호화 키는 Argon2id를 통해 PIN에서 파생되며 iOS Keychain / Android Keystore에 저장됩니다

6. 처리의 법적 근거

GDPR 제6조에 따라, Hashe의 데이터 처리는 다음에 기반합니다:

  • 계약 이행 (제6.1.b조) - 메시징 서비스 제공을 위해
  • 정당한 이익 (제6.1.f조) - 서비스의 보안 및 안정성 보장을 위해
  • 법적 의무 (제6.1.c조) - LCEN 의무 준수를 위해

7. 하위 처리자

Hashe는 서비스 운영을 위해 다음 하위 처리자를 사용합니다:

하위 처리자 위치 목적
OVH 프랑스 인프라 호스팅
LWS 프랑스 보조 호스팅
Cloudflare 미국 DDoS 보호, CDN, 암호화된 미디어 저장(R2)
Google FCM 미국 푸시 알림(Android) - 콘텐츠 전송 없음
Apple APNs 미국 푸시 알림(iOS) - 콘텐츠 전송 없음

어떤 하위 처리자도 귀하의 메시지 내용이나 개인 데이터에 접근할 수 없습니다. 푸시 알림에는 이름이나 메시지 내용이 포함되지 않습니다.

8. 귀하의 권리 (GDPR)

일반 데이터 보호 규정에 따라, 귀하는 다음 권리를 갖습니다:

  • 접근권 - 당사가 보유한 귀하의 데이터를 확인
  • 정정권 - 부정확한 데이터를 수정
  • 삭제권 - 계정과 모든 관련 데이터를 삭제 (애플리케이션에서 직접 가능)
  • 제한권 - 데이터 처리를 제한
  • 이동권 - 구조화된 형식으로 데이터를 수신
  • 반대권 - 데이터 처리에 반대
  • 불만 제기 권리 - 개인정보보호위원회(PIPC)(한국) 또는 CNIL(프랑스)에 불만 제기

권리를 행사하려면 [email protected]으로 연락해 주세요.

참고: Hashe는 매우 적은 데이터를 수집하며 어떤 정보도 귀하의 신원과 연결하지 않으므로, 일부 권리는 기술적으로 행사가 불가능할 수 있습니다 (예: 당사가 읽을 수 없는 메시지의 내용을 제공할 수 없습니다).

9. 국가별 권리

GDPR 외에도, Hashe는 해당 현지 법률을 준수합니다:

  • CCPA (California Consumer Privacy Act) — 미국: 개인 데이터에 대한 알 권리, 삭제권, 판매 거부권. Hashe는 어떤 데이터도 판매하지 않습니다.
  • LGPD (Lei Geral de Proteção de Dados) — 브라질: GDPR과 유사한 권리로, 익명화 및 과도한 데이터 차단 권리 포함.
  • PDPA (Personal Data Protection Act) — 싱가포르 / 태국: 동의, 접근 및 개인 데이터 수정.
  • POPIA (Protection of Personal Information Act) — 남아프리카: 적법한 처리, 데이터 최소화 및 접근권.
  • PIPEDA (Personal Information Protection and Electronic Documents Act) — 캐나다: 접근, 수정 및 캐나다 프라이버시 커미셔너 사무소(OPC)에 불만 제기 권리. Hashe는 필요한 최소한의 데이터만 수집합니다.
  • PIPA (개인정보 보호법) — 한국: 개인정보의 접근, 정정, 삭제 및 처리 정지 권리. 불만은 개인정보보호위원회(PIPC)에 제기할 수 있습니다.
  • APPI (개인정보의 보호에 관한 법률) — 일본: 공개, 정정, 이용 정지 및 개인정보보호위원회(PPC)에 불만 제기 권리.
  • Privacy Act 1988 — 호주: Australian Privacy Principles (APPs), 접근 및 수정 권리. 불만은 Office of the Australian Information Commissioner (OAIC)에 제기할 수 있습니다.

10. 최소 연령

Hashe는 13세 이상의 사용자를 대상으로 합니다.

일부 EU 회원국에서는 국내법에 따라 최소 연령이 16세로 상향될 수 있습니다.

Hashe는 해당 최소 연령 미만의 아동으로부터 고의로 데이터를 수집하지 않습니다. 미성년자가 허가 없이 Hashe를 사용하고 있음을 알게 되면 [email protected]으로 연락해 주세요.

11. 쿠키

Hashe는 애플리케이션에서도 웹사이트에서도 쿠키를 전혀 사용하지 않습니다.

웹사이트는 자체 인프라에서 운영되는 Umami라는 자체 호스팅 분석 도구를 사용합니다. 쿠키 없음, 크로스사이트 추적 없음, 개인 데이터 수집 없음. 귀하를 식별할 수 있는 정보는 저장되지 않습니다. 데이터는 당사 서버에만 보관되며 제3자와 공유되지 않습니다.

12. 국제 데이터 이전

Hashe가 처리하는 최소한의 데이터는 EU 외부에 위치한 하위 처리자를 통해 전송될 수 있습니다 (제7항 참조). 이러한 이전은 다음에 의해 규율됩니다:

  • 유럽 위원회의 표준 계약 조항 (SCCs)
  • 미국으로의 이전을 위한 Data Privacy Framework (DPF)

모든 민감한 데이터(메시지, 파일)는 이전 전에 종단간 암호화되어 어떤 중간자도 그 내용에 접근할 수 없습니다.

13. LCEN 의무

프랑스 디지털 경제 신뢰법(LCEN)에 따라, Hashe는 연결 데이터1년 동안 보존해야 합니다.

이 데이터는 법적 의무에 엄격히 제한되며 통신 내용을 포함하지 않습니다. 사법 요청이 있는 경우에만 공개될 수 있습니다.

14. 위반 통지

개인 데이터 위반이 발생한 경우, Hashe는 다음을 약속합니다:

  • 위반을 인지한 후 72시간 이내에 CNIL에 통지
  • 위반이 귀하의 권리와 자유에 높은 위험을 초래할 수 있는 경우 영향을 받는 사용자에게 통보

참고: Hashe는 식별 가능한 개인 데이터를 저장하지 않으며 모든 콘텐츠가 종단간 암호화되어 있으므로, 잠재적 위반의 영향은 극히 제한적입니다.

15. 데이터 보안

Hashe는 귀하의 데이터를 보호하기 위해 다음 기술적 및 조직적 조치를 시행합니다:

  • 모든 통신에 대한 종단간 암호화 (Signal Protocol)
  • 로컬 데이터베이스의 AES-256-GCM 암호화
  • Secure Enclave에 키 저장 (iOS Keychain / Android Keystore)
  • 서버에 평문 데이터 저장 없음
  • 수신 또는 만료 시 전송 중 메시지 자동 삭제
  • 오픈 소스 코드, 누구나 감사 가능
  • 프랑스에서 호스팅되는 인프라 (OVH, LWS)

16. 정책 변경

Hashe는 이 개인정보 보호정책을 수정할 권리를 보유합니다. 중대한 변경이 있는 경우:

  • 사용자에게 변경 발효 30일 전에 통지됩니다
  • 통지는 애플리케이션 및/또는 웹사이트를 통해 이루어집니다
  • 이 페이지 상단의 최종 업데이트 날짜가 갱신됩니다

17. 문의

이 개인정보 보호정책 또는 데이터 보호에 관한 질문이 있으시면: