노션대학(이하 "회사")은 「개인정보 보호법」, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」, 「전자상거래 등에서의 소비자보호에 관한 법률」 등 관련 법령을 준수하며, Google API Services User Data Policy(Limited Use 포함) 및 YouTube API Services Terms of Service 상의 데이터 처리 요건을 동시에 준수합니다. 이 방침은 이용자의 개인정보를 보호하고 관련 고충을 신속하게 처리하기 위해 다음과 같이 수립 및 공개합니다.
제1조 (수집하는 개인정보 항목 및 수집 방법)
1. 수집 항목
| 구분 | 수집 항목 | 필수/선택 |
|---|---|---|
| 일반 회원가입 | 로그인 아이디, 비밀번호(단방향 암호화 저장), 이름, 이메일, 닉네임 | 필수 |
| 일반 회원가입 | 학습 목적(가입 목적) | 선택 |
| 크리에이터 가입 | 채널명, 채널 URL, 크리에이터 소개 (일반 가입 항목에 추가) | 필수/선택 |
| Google 소셜 로그인 | Google 계정 고유 식별자(sub), 이메일(verified), 이름, 프로필 이미지 URL — OAuth scope: openid profile email | 필수 |
| Kakao 소셜 로그인 | 카카오 고유 ID, 닉네임, 프로필 이미지 URL, (제공된 경우) 이메일(verified) | 필수 |
| YouTube 채널 인증 (크리에이터) | YouTube 채널 ID, 채널명, 소유권 확인용 임시 접근 토큰 — OAuth scope: youtube.readonly | 크리에이터 한정 필수 |
| 이메일 인증 | 이메일 주소, 6자리 인증코드 (회원가입/아이디찾기/비밀번호재설정 시) | 필수 |
| 유료 콘텐츠 결제 | PG사 거래번호(paymentId), 주문 금액, 결제 수단 종류, 결제/환불 상태, 환불 사유. ※ 카드번호·유효기간·CVC 등 민감 결제정보는 회사 서버에 일체 저장되지 않으며, 포트원 및 각 PG사가 직접 처리합니다. | 필수 |
| 고객 문의 | 이름, 이메일, 문의 내용 | 필수 |
| 서비스 이용 시 자동 수집 | 접속 IP 주소, 접속 일시, 마지막 로그인 IP, 시청 기록(영상 ID·진도·완료 여부), 학습 노트, 쿠키(인증 토큰 및 OAuth 상태) | 자동 |
2. 수집 방법
- 홈페이지 회원가입 양식을 통한 직접 수집
- Google OAuth 2.0, 카카오 OAuth 2.0 소셜 로그인을 통한 자동 수집
- YouTube Data API 및 YouTube OAuth를 통한 채널 소유권 확인 (크리에이터)
- 이메일 인증 과정을 통한 수집
- 결제 과정에서 포트원(PortOne) 결제 시스템을 통한 수집
- 고객 문의 양식을 통한 직접 수집
- 서비스 이용 과정에서 쿠키, 접속 로그 등을 통한 자동 수집
제2조 (개인정보의 수집 및 이용 목적)
회사는 수집한 개인정보를 다음의 목적을 위해 이용합니다.
| 이용 목적 | 상세 내용 |
|---|---|
| 회원 관리 | 회원제 서비스 이용에 따른 본인 확인, 개인 식별, 가입 의사 확인, 부정 이용 방지, 계정 보안(로그인 실패 횟수 관리, 5회 실패 시 자동 계정 잠금) |
| 소셜 로그인 연동 | Google/Kakao 계정과 노션대학 계정 연동, 이메일 검증(verified) 기반 계정 복구 경로 확보 |
| 이메일 인증 | 회원가입 시 이메일 본인 확인, 아이디 찾기, 비밀번호 재설정을 위한 6자리 인증코드 발송 (5분 유효) |
| 서비스 제공 | 교육 콘텐츠 제공, 커리큘럼/부트캠프 수강 관리, 학습 진도 추적, 학습 노트 관리, 이어보기 기능, 회원 등급(학년) 산정 |
| 결제 및 환불 | 유료 콘텐츠/부트캠프 결제 처리, 포트원 V2 웹훅 검증, 환불 요청 접수 및 처리, 결제 내역 관리 |
| 크리에이터 채널 검증 | YouTube 채널 소유권 확인 및 승인된 영상 큐레이션 |
| 보안 및 부정 방지 | 접속 IP 기록, 비정상 접근 탐지, 주요 API에 대한 요청 횟수 제한(Rate Limiting), 웹훅 서명 검증(HMAC-SHA256) |
| 고객 지원 | 이용자 문의 대응, 공지사항 전달, 서비스 관련 안내 |
| 통계 및 분석 | 서비스 개선을 위한 접속 통계, 학습 현황 분석 (개인 식별 불가능한 집계 형태로만 처리) |
회사는 수집한 개인정보(특히 Google/YouTube/Kakao로부터 수신한 데이터)를 광고 목적으로 이용하거나 판매하지 않습니다.
제3조 (개인정보의 보유 및 이용 기간)
- 회사는 회원 탈퇴 시까지 개인정보를 보유 및 이용합니다. 다만, 관계 법령에 따른 별도 보관 의무가 있는 경우 해당 법령에서 정한 기간 동안 분리 보관합니다.
- 이메일 인증코드는 발송 후 5분 경과 시 자동 만료되며, 인증 완료 또는 만료 후 별도 보관하지 않습니다.
- 로그인 인증 토큰(JWT)은 발급 후 2시간 유효하며, 만료 또는 로그아웃 시 즉시 무효화됩니다. 소셜 로그인 신규 가입용 임시 셋업 토큰은 30분 후 자동 만료됩니다.
- 관계 법령에 따른 보관 기간:
- 계약 또는 청약철회 등에 관한 기록: 5년 (전자상거래 등에서의 소비자보호에 관한 법률)
- 대금결제 및 재화 등의 공급에 관한 기록: 5년 (동법)
- 소비자 불만 또는 분쟁 처리에 관한 기록: 3년 (동법)
- 웹사이트 방문 기록(접속 로그, IP): 3개월 (통신비밀보호법)
- 회원 탈퇴 시 개인정보는 즉시 파기합니다. 다만, 위 법령에 의한 보관 의무가 있는 정보는 해당 기간까지 별도 보관 후 파기합니다.
제4조 (개인정보의 제3자 제공)
회사는 이용자의 개인정보를 제2조에서 명시한 범위 내에서만 처리하며, 이용자의 사전 동의 없이 본래의 범위를 초과하여 처리하거나 제3자에게 제공하지 않습니다. Google/YouTube/Kakao로부터 수신한 사용자 데이터는 어떠한 제3자에게도 전달·판매·공개되지 않습니다. 다만, 다음의 경우에는 예외로 합니다.
- 이용자가 사전에 동의한 경우
- 법령의 규정에 의하거나, 수사 목적으로 법령에 정해진 절차와 방법에 따라 수사기관의 요구가 있는 경우
제5조 (개인정보 처리 위탁)
회사는 서비스 제공을 위해 다음과 같이 개인정보 처리 업무를 위탁하고 있습니다.
| 위탁 업체 | 위탁 업무 |
|---|---|
| 포트원(PortOne) 및 연동 PG사 | 신용카드/간편결제 등 결제 처리, 결제 검증(V2 API), 환불 대행, 웹훅 수신 |
| Google LLC | Google OAuth 2.0 로그인 인증, YouTube Data API 채널 정보 조회, Gmail SMTP를 통한 이메일 인증코드·고객문의 메일 발송 |
| Kakao Corp. | Kakao OAuth 2.0 로그인 인증, 프로필 정보 조회 |
제6조 (Google API Services User Data Policy 준수)
회사는 Google API(OAuth 2.0, YouTube Data API 등)로부터 수신한 사용자 데이터를 아래 원칙에 따라 처리하며, 이는 Google API Services User Data Policy 및 Limited Use 요건을 엄격히 준수하기 위함입니다.
- 회사의 앱이 Google API로부터 수신하는 정보의 사용 및 전송은 User Data Policy의 Limited Use requirements를 준수합니다.
- Google 사용자 데이터는 본 방침 제2조의 이용 목적 범위 내에서만 사용되며, 목적 외 저장·전송·판매·광고 목적 이용을 엄격히 금지합니다.
- Google 사용자 데이터에 대한 인적 접근(human reading)은 다음 경우에 한정됩니다: (1) 이용자의 명시적 동의, (2) 보안 목적(예: 악용·남용 조사), (3) 법령상 의무, (4) 해당 데이터가 집계·익명화되어 내부 운영 분석에 사용되는 경우.
- Google 사용자 데이터는 회사 또는 위탁처 외 제3자에게 전송하지 않습니다.
제7조 (YouTube API Services 이용 고지)
크리에이터 채널 인증과 영상 메타데이터 조회를 위해 회사는 YouTube Data API Services를 이용합니다. 이용자는 본 서비스를 이용함으로써 다음 정책에 동의한 것으로 간주됩니다.
이용자는 Google 계정 권한 관리 페이지에서 언제든지 노션대학의 Google API 접근 권한을 취소할 수 있습니다. 권한 취소 이후 수집된 데이터의 처리·삭제를 원할 경우 제11조에 따라 요청할 수 있습니다.
제8조 (개인정보의 파기 절차 및 방법)
- 파기 절차: 이용자가 입력한 정보는 목적 달성 후 별도의 DB에 옮겨져 내부 방침 및 기타 관련 법령에 따라 일정 기간 저장된 후 혹은 즉시 파기됩니다.
- 파기 방법:
- 전자적 파일 형태의 정보는 기록을 재생할 수 없는 기술적 방법을 사용합니다.
- 종이에 출력된 개인정보는 분쇄기로 분쇄하거나 소각을 통하여 파기합니다.
제9조 (이용자 및 법정대리인의 권리와 행사 방법)
- 이용자(또는 법정대리인)는 언제든지 자신의 개인정보를 조회하거나 수정할 수 있으며, 가입 해지(회원 탈퇴)를 요청할 수 있습니다.
- 개인정보의 조회 및 수정은 서비스 내 "마이페이지"에서 직접 하실 수 있으며, 회원 탈퇴는 마이페이지의 탈퇴 신청을 통해 처리됩니다.
- 이용자가 개인정보의 오류에 대한 정정을 요청한 경우, 정정을 완료하기 전까지 해당 개인정보를 이용하거나 제공하지 않습니다.
- 이용자는 개인정보 수집 및 이용에 대한 동의를 거부할 권리가 있습니다. 다만, 필수 항목에 대한 동의를 거부하는 경우 회원가입이 제한될 수 있습니다.
- 이용자는 제10조의 개인정보 보호책임자에게 이메일로 개인정보 삭제·열람·처리정지를 요청할 수 있으며, 회사는 지체 없이 확인·처리 후 결과를 회신합니다.
제10조 (개인정보의 안전성 확보 조치)
회사는 개인정보의 안전성 확보를 위해 다음과 같은 조치를 취하고 있습니다.
- 비밀번호 암호화: 이용자 비밀번호는 bcrypt 알고리즘(salt rounds 12)을 이용한 단방향 해시로 저장되어 원문 복원이 불가능합니다.
- 인증 토큰 보호: 로그인 인증 토큰(JWT, HS256)은 HttpOnly, Secure, SameSite=Lax 속성의 쿠키로만 저장되어 스크립트 접근 및 CSRF 공격을 차단합니다. 토큰 유효 기간은 2시간입니다.
- 전송 구간 보호: 전 구간에 HTTPS를 강제하며 HSTS(2년, preload) 헤더를 적용하여 중간자 공격을 차단합니다.
- XSS·클릭재킹 방어: Content-Security-Policy, X-Frame-Options: DENY, X-Content-Type-Options: nosniff 헤더 및 서버 측 HTML Sanitize를 적용합니다.
- 접근 제한: 개인정보 처리 데이터베이스에 대한 접근 권한을 최소 인원으로 제한하고, 권한의 부여·변경·말소 기록을 관리합니다.
- 비정상 접근 차단: IP 기반 요청 횟수 제한(Rate Limiting)을 주요 엔드포인트에 적용하여 무차별 대입·스팸·열거 공격을 방지합니다. 로그인 실패 5회 시 계정이 자동 잠금됩니다.
- 결제 정보 보호: 카드번호·유효기간·CVC 등 민감한 결제 정보는 회사 서버에 저장·전송되지 않으며, PG사(포트원 및 연동 결제사)에서 안전하게 처리합니다. 회사는 결제 결과(paymentId, 금액, 상태) 만 보관합니다.
- 웹훅 위조 방지: 포트원 웹훅은 HMAC-SHA256 서명 + 타임스탬프 5분 윈도우 + 상수시간 비교(timingSafeEqual)로 검증합니다.
- 업로드 파일 검증: 이미지 업로드 시 확장자 화이트리스트 + 파일 시그니처(매직넘버)를 이중 검증하여 위장 파일을 차단합니다.
제11조 (쿠키의 운용 및 거부)
- 회사는 이용자의 로그인 상태 유지를 위해 "쿠키(Cookie)"를 사용합니다.
- 사용하는 쿠키:
efiland_token: JWT 인증 쿠키 (HttpOnly, Secure, SameSite=Lax, 2시간 유효)efiland_setup: 소셜 로그인 최초 가입 시 임시 쿠키 (30분 유효)- OAuth 상태 관리 쿠키: 소셜 로그인 과정의 CSRF 방어용 임시 쿠키 (인증 완료 후 즉시 삭제)
- 쿠키 거부 방법: 이용자는 웹 브라우저의 설정을 통해 쿠키를 허용하거나 거부할 수 있습니다. 다만, 쿠키 저장을 거부할 경우 로그인이 필요한 서비스 이용이 제한될 수 있습니다.
제12조 (개인정보 보호책임자 및 문의)
회사는 개인정보 처리에 관한 업무를 총괄해서 책임지고, 이용자의 개인정보 관련 불만처리 및 피해구제, 그리고 Google User Data / YouTube 관련 삭제·열람 요청을 처리하기 위해 아래와 같이 개인정보 보호책임자를 지정하고 있습니다.
개인정보 보호책임자
이메일: tjdwls210@gmail.com
이용자는 서비스 이용 중 발생한 모든 개인정보 보호 관련 문의·불만·피해구제 및 Google/YouTube 데이터 삭제 요청을 위 이메일로 문의하실 수 있으며, 회사는 지체 없이 답변 및 처리해드립니다.
제13조 (권익침해 구제방법)
이용자는 개인정보 침해로 인한 구제를 받기 위하여 다음의 기관에 분쟁 해결이나 상담 등을 신청할 수 있습니다.
- 개인정보분쟁조정위원회: (국번없이) 1833-6972 (www.kopico.go.kr)
- 개인정보침해신고센터: (국번없이) 118 (privacy.kisa.or.kr)
- 대검찰청: (국번없이) 1301 (www.spo.go.kr)
- 경찰청: (국번없이) 182 (ecrm.cyber.go.kr)
제14조 (제3자 브랜드에 대한 고지)
본 사이트(노션대학)는 Notion Labs, Inc.와 어떠한 제휴·후원·보증 관계에도 있지 않습니다. 본 사이트에서 다루는 콘텐츠, 명칭, 로고 등은 Notion Labs, Inc.의 공식 입장과 무관하며, 운영 주체의 독립적인 교육 큐레이션 서비스입니다.
This site is not affiliated with, endorsed by, or sponsored by Notion Labs, Inc.
제15조 (개인정보처리방침의 변경)
이 개인정보처리방침은 시행일로부터 적용되며, 법령 및 방침에 따른 변경 내용의 추가, 삭제 및 정정이 있는 경우에는 변경사항의 시행 7일 전부터 서비스 공지사항을 통하여 고지합니다. 다만, 이용자 권리에 중대한 변경이 있을 경우 30일 전부터 고지합니다.
부칙
- 이 개인정보처리방침은 2026년 4월 21일부터 시행합니다.
- 종전의 개인정보처리방침(2026년 3월 23일 시행)은 이 방침으로 대체합니다.
- 주요 개정 사유: Google OAuth / YouTube API / PortOne 결제 심사 대응 및 User Data Policy Limited Use 준수 명시, 이메일 인증코드 유효시간(5분) 반영, Notion Labs 면책 고지 추가.