Polisi Pemprosesan Data Peribadi
Gonggamgak (selepas ini disebut ‘syarikat’) mengikut Artikel 30 Undang‑Undang Perlindungan Data Peribadi untuk melindungi data peribadi subjek data, serta menyediakan prosedur yang cepat dan lancar bagi menangani aduan berkaitan pemprosesan data peribadi, dan dengan itu menetapkan serta mendedahkan Polisi Pemprosesan Data Peribadi seperti berikut.
Pasal 1 (Tujuan Pemprosesan Data Peribadi)
- Pendaftaran Ahli·Pengurusan Akaun: pengenalan diri, sambungan log masuk sosial, pengesahan umur, pengurusan sesi, pencegahan penyalahgunaan
- Penyediaan Perkhidmatan: carian lembaran muzik·pratonton·pembelian·pembacaan·muat turun, main semula audio, perpustakaan·kumpulan·pesanan tersuai serta sokongan pelanggan
- Kontrak dan Pembayaran: pesanan, pembayaran, kredit, keahlian, bayaran balik, resit serta pengurusan kebenaran
- Fungsi AI: pemprosesan input·lampiran mengikut persetujuan pengguna, penjanaan hasil, pemeriksaan keselamatan, pengurusan had penggunaan dan rekod
- Penambahbaikan dan Analisis Perkhidmatan: statistik penggunaan berdasarkan persetujuan pengguna, aliran penggunaan perkhidmatan, analisis ralat dan prestasi
- Kewajipan Undang‑Undang dan Keselamatan: pematuhan peraturan, tindak balas insiden keselamatan, penyelesaian pertikaian, pencegahan pelanggaran hak dan penyalahgunaan
- Pemasaran: penyediaan maklumat acara dan iklan hanya apabila mendapat persetujuan berasingan
Pasal 2 (Item Data Peribadi yang Diproses dan Kaedah Pengumpulan)
| Kategori | Item Data | Kaedah Pengumpulan |
|---|---|---|
| Pendaftaran·Log masuk Sosial | Nama atau nama panggilan, e‑mel, imej profil, pengenal unik penyedia OAuth | Google, Kakao, Naver, Apple atau Meta OAuth |
| Kelayakan Kebenaran yang Dikeluarkan Pentadbir | Nama pengguna, nilai hash satu hala kata laluan | Dikeluarkan dan diproses hanya untuk akaun yang diluluskan oleh syarikat semasa log masuk |
| Pendaftaran·Tetapan Akaun | Bahasa pilihan, pengesahan berumur 14 tahun ke atas serta masa pengesahan, sejarah persetujuan terma·data peribadi·AI serta penarikan persetujuan | Input pengguna dan rekod perkhidmatan |
| Pesanan·Pembayaran | Nombor pesanan, produk, jumlah, mata wang, negara, jenis kaedah pembayaran, status pembayaran·pembatalan·bayar balik, rekod kredit·keahlian | Proses pembayaran·pembelian serta respons PG |
| Penggunaan Perkhidmatan | Rekod pembelian·pembacaan·muat turun·kumpulan·pesanan tersuai·pertanyaan, interaksi UI·carian, rekod ralat dan keselamatan | Dihasilkan semasa penggunaan perkhidmatan |
| AI dan Alat Penciptaan | Prompt, perbualan, imej·fail yang dimuat naik, hasil ciptaan, rekod model·penggunaan·pemprosesan keselamatan | Input atau ciptaan semasa pengguna menggunakan fungsi |
| Maklumat Teknik·Analisis | Alamat IP, agen pengguna, kuki·pengenal sesi, pengenal analisis yang dijana secara rawak, pengenal dalaman analisis untuk pengguna log masuk, laluan halaman·acara penggunaan perkhidmatan·tetapan bahasa·masa akses | Koleksi automatik semasa penggunaan web·aplikasi |
Pasal 3 (Tempoh Pemprosesan dan Penyimpanan)
Syarikat akan memusnahkan data peribadi secepat mungkin setelah tujuan pemprosesan tercapai. Walau bagaimanapun, maklumat berikut boleh disimpan secara berasingan untuk tempoh yang diperlukan bagi pematuhan undang‑undang, penyelesaian pertikaian atau pencegahan penyalahgunaan.
| Maklumat | Kriteria Penyimpanan |
|---|---|
| Akaun ahli dan profil | Sehingga ahli mengeluarkan diri sepenuhnya. Selepas pengeluaran, sesi log masuk dan akses perkhidmatan ditamatkan serta maklumat yang perlu disimpan mengikut undang‑undang disimpan mengikut tempoh sah yang ditetapkan |
| Rekod kontrak·penarikan persetujuan·pembayaran·penyediaan | Mengikut Undang‑Undang Perdagangan Elektronik selama 5 tahun |
| Rekod aduan atau pertikaian pengguna | Mengikut Undang‑Undang Perdagangan Elektronik selama 3 tahun |
| Rekod iklan·paparan | Mengikut Undang‑Undang Perdagangan Elektronik selama 6 bulan |
| Rekod akses | Mengikut Undang‑Undang Perlindungan Rahsia Komunikasi dan peraturan berkaitan selama 3 bulan |
| Sesi log masuk aktif | Sehingga sesi tamat atau pengguna log keluar·keluar |
| Sejarah simpanan profil AI·poster·alat Vision | 90 hari dari tarikh ciptaan atau sehingga pengguna memadamnya secara langsung |
| Fail eksport data peribadi | 24 jam selepas penciptaan |
| Rekod persetujuan·penarikan serta keselamatan·audit | Selama tempoh yang diperlukan untuk pematuhan undang‑undang dan penyelesaian pertikaian·penyalahgunaan |
Pengeluaran ahli kini menamatkan serta-merta akses perkhidmatan dan sesi aktif. Rekod transaksi·persetujuan·audit mungkin kekal secara terhad mengikut undang‑undang dan tujuan penyelesaian pertikaian, manakala prosedur pemadaman fizikal·anonimisasi akaun dan profil dijalankan mengikut dasar kitar hayat data yang berasingan. Pengguna boleh membuat permintaan lihat·eksport·padam melalui menu ‘Data Peribadi & Data’ dalam akaun.
Pasal 4 (Pemberian Data Peribadi kepada Pihak Ketiga)
Secara prinsip, syarikat tidak memberikan data peribadi pengguna kepada pihak ketiga. Pemberian hanya dilakukan apabila terdapat persetujuan berasingan daripada subjek data atau terdapat asas undang‑undang khusus, dan hanya dalam skop yang diperlukan. Pemprosesan oleh perniagaan luar yang berkaitan dengan pembayaran, hosting, pengesahan, e‑mel, analisis dan fungsi AI boleh melibatkan pemindahan pemprosesan data, pemberian kepada pihak ketiga atau pemindahan ke luar negara bergantung kepada kontrak sebenar dan tujuan pemprosesan; butiran khusus dijelaskan dalam pasal berikut dan item berkaitan.
Pasal 5 (Pemprosesan melalui Perniagaan Luar)
| Perniagaan Luar | Perkhidmatan Berkaitan |
|---|---|
| Toss Payments Co., Ltd. | Kelulusan pembayaran domestik, penyelesaian, pembatalan, bayaran balik serta pencegahan transaksi haram |
| PayPal, Inc. | Kelulusan, penyelesaian, pembatalan, bayaran balik serta pencegahan transaksi haram untuk pembayaran luar negara yang disokong |
| Cloudflare, Inc. | CDN·penghantaran trafik web·keselamatan, pelaksanaan aplikasi Workers, storan objek R2, statistik penggunaan web berasaskan persetujuan, perantara AI Gateway serta pemprosesan Workers AI |
| Neon, Inc. | Hosting pangkalan data PostgreSQL |
| Google LLC | Pengesahan log masuk akaun Google dan sambungan akaun |
| Google LLC | Analisis statistik Google Analytics 4 berdasarkan persetujuan pengguna |
| Google LLC | Pemprosesan input dan hasil bagi fungsi AI berasaskan Gemini yang dipilih pengguna |
| Kakao Corp., NAVER Corp., Apple Inc., Meta Platforms, Inc. | Pengesahan log masuk sosial dan sambungan akaun yang dipilih pengguna |
| Anthropic PBC | Pemprosesan fungsi Claude AI yang dipilih pengguna |
| OpenAI, L.L.C. | Pemprosesan fungsi AI OpenAI yang dipilih pengguna |
| Resend, Inc. | Penghantaran e‑mel transaksi·akaun dan perkhidmatan |
Pasal 6 (Pemindahan Data Peribadi ke Luar Negara)
Syarikat boleh memindahkan dan menyimpan data peribadi berikut ke luar negara semasa penggunaan perkhidmatan. Pemindahan dilakukan secara berterusan melalui rangkaian yang disulitkan dengan TLS apabila pengguna menggunakan fungsi berkenaan atau apabila pemprosesan diperlukan untuk pelaksanaan kontrak. Asas undang‑undang bagi setiap pemindahan merujuk kepada Artikel 28‑8 Undang‑Undang Perlindungan Data Peribadi serta persetujuan, pelaksanaan kontrak atau pemindahan pemprosesan mengikut hubungan pemprosesan sebenar.
| Penerima·Hubungan | Negara/Wilayah | Item yang Dipindahkan | Tujuan Pemindahan | Masa·Kaedah | Asas Undang‑Undang | Tempoh Penyimpanan·Penggunaan | Cara Menolak dan Kesan |
|---|---|---|---|---|---|---|---|
| Cloudflare, Inc. (privacyquestions@cloudflare.com) | Amerika Syarikat dan wilayah operasi rangkaian global Cloudflare. Lokasi pemprosesan·penyimpanan bergantung pada produk, tetapan akaun dan laluan permintaan | Rekod akaun·perkhidmatan, maklumat IP·peranti·analisis, fail objek, maklumat yang dimasukkan pengguna ke AI | Hosting·keselamatan·penyimpanan·analisis berasaskan persetujuan·perantara AI | Pemindahan·penyimpanan berterusan semasa penggunaan perkhidmatan, penghantaran TLS | Pelaksanaan kontrak dan pemindahan pemprosesan | Mengikut tempoh penyimpanan tempatan atau mengikut kontrak·tetapan produk | Analisis berasaskan pilihan·AI boleh ditolak dengan menarik persetujuan, tetapi fungsi tersebut akan terhad. Menolak hosting wajib akan menyukarkan penyediaan perkhidmatan. |
| Neon, Inc. (privacy@neon.tech) | Singapura (AWS ap-southeast-1) | Rekod ahli, transaksi, persetujuan, penggunaan perkhidmatan | Penyimpanan pangkalan data PostgreSQL | Pemindahan·penyimpanan berterusan semasa penggunaan perkhidmatan, penghantaran TLS | Pelaksanaan kontrak dan pemindahan pemprosesan | Mengikut tempoh penyimpanan tempatan atau sehingga kontrak pemindahan berakhir | Menolak penyimpanan wajib akan menyukarkan penyediaan perkhidmatan berasaskan akaun. |
| Google LLC (googlekrsupport@google.com) | Amerika Syarikat dan wilayah pemprosesan Google lain | Maklumat pengenalan OAuth, pengenal analisis·acara, atau input·lampiran·output AI | Pengesahan OAuth, analisis GA4 berasaskan persetujuan, fungsi Gemini terpilih | Penghantaran TLS semasa penggunaan fungsi berkenaan | Persetujuan mengikut fungsi atau pelaksanaan kontrak | Tempoh yang diperlukan untuk penyediaan pengesahan·analisis·fungsi mengikut polisi Google | Setiap fungsi boleh tidak digunakan atau persetujuan ditarik balik, yang akan mengehadkan fungsi tersebut. |
| Apple Inc., Meta Platforms, Inc. | Amerika Syarikat dan wilayah pemprosesan masing‑masing | Pengenal penyedia, nama, e‑mel, maklumat profil | Pengesahan OAuth terpilih dan sambungan akaun | Penghantaran TLS semasa log masuk·sambungan | Pelaksanaan kontrak | Tempoh mengikut penamatan sambungan akaun·pengunduran atau polisi penyedia | Pengguna boleh tidak memilih cara log masuk ini, tetapi kaedah pengesahan tersebut tidak akan tersedia. |
| PayPal, Inc. (privacy@paypal.com) | Amerika Syarikat dan wilayah pemprosesan PayPal | Maklumat pengenalan pembayar, nombor pesanan, jumlah, mata wang, status pembayaran·pembatalan·bayar balik | Pemprosesan pembayaran luar negara yang dipilih pengguna | Penghantaran TLS semasa permintaan pembayaran | Pelaksanaan kontrak | Tempoh mengikut Undang‑Undang Perdagangan Elektronik dan polisi PayPal | Pengguna boleh tidak memilih pembayaran luar negara, tetapi kaedah pembayaran tersebut tidak akan tersedia. |
| Anthropic PBC (privacy@anthropic.com) | Amerika Syarikat | Maklumat input·output AI serta pemprosesan keselamatan | Pemprosesan fungsi Claude yang dipilih pengguna | Penghantaran TLS semasa penggunaan fungsi | Persetujuan pemprosesan AI berasaskan pilihan | Tempoh yang diperlukan untuk penyediaan fungsi mengikut kontrak·polisi Anthropic | Pengguna boleh tidak menggunakan fungsi AI atau menarik persetujuan, yang akan mengehadkan fungsi tersebut. |
| OpenAI, L.L.C. (privacy@openai.com) | Amerika Syarikat | Maklumat input·output AI serta pemprosesan keselamatan | Pemprosesan fungsi OpenAI yang dipilih pengguna | Penghantaran TLS semasa penggunaan fungsi | Persetujuan pemprosesan AI berasaskan pilihan | Tempoh yang diperlukan untuk penyediaan fungsi mengikut kontrak·polisi OpenAI | Pengguna boleh tidak menggunakan fungsi AI atau menarik persetujuan, yang akan mengehadkan fungsi tersebut. |
| Resend, Inc. (privacy@resend.com) | Amerika Syarikat | E‑mel penerima, nama, mesej dan rekod penghantaran | Penghantaran e‑mel transaksi·akaun dan perkhidmatan | Penghantaran TLS semasa penghantaran | Pelaksanaan kontrak dan pemindahan pemprosesan | Tempoh yang diperlukan untuk penghantaran dan tindak balas gangguan mengikut kontrak·polisi Resend | Menolak pemprosesan e‑mel transaksi·akaun wajib boleh menyukarkan penyediaan perkhidmatan berkaitan. |
Pengguna boleh menolak pemindahan luar negara dengan tidak menggunakan fungsi AI berasaskan pilihan, analisis berasaskan pilihan atau pembayaran luar negara, atau dengan menarik persetujuan yang berkaitan. Menolak log masuk pengesahan, hosting, pangkalan data atau penghantaran e‑mel wajib boleh menyebabkan fungsi atau perkhidmatan tertentu tidak dapat disediakan. Pertanyaan dan permintaan pengeluaran ahli boleh dibuat melalui menu ‘Data Peribadi & Data’ dalam akaun atau ke support@sheetmusic.kr.
Pasal 7 (Pemprosesan Data Peribadi dalam Fungsi AI)
- Fungsi AI memproses teks·imej·fail yang dimasukkan pengguna serta hasil ciptaan untuk tujuan penyediaan fungsi, pemeriksaan keselamatan, tindak balas ralat dan pengurusan had penggunaan.
- Pengguna tidak boleh memasukkan maklumat sensitif, nombor pendaftaran penduduk atau sebarang data peribadi orang lain yang tidak mempunyai kebenaran sah ke dalam fungsi AI.
- Perkhidmatan tidak menggunakan input·output AI pengguna sebagai data latihan model umum. Syarikat menggunakan API penyedia AI luar atau tetapan korporat, dan apabila disokong, konfigurasi dibuat supaya input dan output tidak digunakan untuk latihan model umum penyedia. Tempoh penyimpanan dan kaedah semakan keselamatan berbeza mengikut penyedia, model dan syarat kontrak.
- Persetujuan pemprosesan AI boleh ditarik balik bila-bila masa melalui ‘Data Peribadi & Data’ dalam akaun. Penarikan tidak menjejaskan kesahihan pemprosesan sebelum tarikh penarikan, tetapi fungsi AI akan terhad selepas itu.
- Hasil AI yang tidak sesuai atau aduan berkaitan data peribadi boleh dilaporkan ke support@sheetmusic.kr.
Pasal 8 (Maklumat Tingkah Laku, Kuki dan Storan Tempatan)
- Perkhidmatan menggunakan kuki serta storan tempatan·sesi pelayar untuk mengekalkan log masuk, keselamatan, tetapan bahasa, troli dan status fungsi.
- Google Analytics 4 boleh memproses pengenal analisis yang dijana secara rawak, pengenal dalaman analisis untuk pengguna log masuk, laluan halaman, acara penggunaan perkhidmatan, tetapan bahasa, maklumat peranti·pelayar serta masa akses apabila pengguna memberi persetujuan.
- Web Analytics Cloudflare dan fungsi analisis prestasi perkhidmatan boleh memproses maklumat permintaan halaman, peranti·pelayar serta rangkaian; cara pengenalan sebenar dan skop penyimpanan bergantung pada tetapan produk yang digunakan.
- Persetujuan analisis boleh ditolak atau ditarik balik melalui banner atau ‘Data Peribadi & Data’ dalam akaun. Penolakan tidak menghalang penggunaan perkhidmatan teras.
- Pengguna boleh menyekat kuki melalui tetapan pelayar, tetapi sekatan kuki penting boleh menyebabkan log masuk, pembayaran dan fungsi lain tidak berfungsi.
Pasal 9 (Hak Subjek Data dan Wakil Undang‑Undang)
- Subjek data berhak, dalam lingkungan yang ditetapkan undang‑undang, meminta lihat, pembetulan·pemadaman, penghentian pemprosesan serta penarikan persetujuan data peribadi. Subjek data juga boleh memperoleh salinan data peribadi melalui fungsi eksport data peribadi yang disediakan oleh syarikat.
- Permintaan boleh dibuat melalui ‘Data Peribadi & Data’ dalam akaun, e‑mel atau telefon; syarikat akan mengesahkan identiti pemohon atau wakil sah sebelum memproses mengikut undang‑undang.
- Apabila terdapat kewajipan penyimpanan mengikut undang‑undang atau risiko pelanggaran hak orang lain, sebahagian permintaan mungkin terhad dan sebabnya akan dijelaskan.
- Perkhidmatan tidak membenarkan pendaftaran ahli berumur di bawah 14 tahun. Jika syarikat mengetahui bahawa seorang kanak‑kanak di bawah 14 tahun telah mendaftar, syarikat akan melakukan pengesahan umur, sekatan penggunaan akaun dan pemadaman data peribadi yang diperlukan. Walau bagaimanapun, maklumat yang diwajibkan untuk disimpan mengikut undang‑undang akan disimpan mengikut tempoh yang ditetapkan.
Pasal 10 (Pemusnahan Data Peribadi)
- Data yang melebihi tempoh penyimpanan atau yang tujuan pemprosesannya telah tercapai akan dimusnahkan secepat mungkin.
- Data yang diwajibkan untuk disimpan mengikut undang‑undang akan disimpan dengan sekatan akses supaya tidak digunakan untuk tujuan lain, dan akan dimusnahkan setelah tempoh berakhir.
- Data peribadi dalam bentuk fail elektronik akan dipadam atau dianonimkan dengan cara yang selamat supaya sukar dipulihkan atau dihasilkan semula.
Pasal 11 (Langkah Keselamatan)
- Langkah pengurusan: Mengehadkan akses kepada data peribadi kepada kakitangan yang memerlukannya dan mengurus prosedur kerja serta piawaian perlindungan.
- Langkah teknikal: Pengurusan hak akses, pengesahan dan kawalan akses, penyulitan TLS semasa penghantaran, pemisahan penyimpanan maklumat penting serta pemeriksaan kerentanan keselamatan.
- Langkah fizikal: Mengaplikasikan keselamatan fizikal dan kawalan akses pada pusat data serta penyedia cloud yang digunakan oleh syarikat.
- Langkah tindak balas insiden: Pengesanan insiden keselamatan, pemeriksaan log, sandaran·pemulihan serta prosedur penilaian·tindak balas insiden.
Pasal 12 (Pegawai Perlindungan Data Peribadi dan Penerimaan Permohonan Hak)
Pegawai Perlindungan Data Peribadi: Jo Chang-hyun (CEO)
E‑mel: support@sheetmusic.kr
Telefon: 070-4617-6352
Pasal 13 (Pemulihan Hak yang Dilanggar)
- Pusat Laporan Pelanggaran Data Peribadi: 118, privacy.kisa.or.kr
- Komisi Penyelesaian Pertikaian Data Peribadi: 1833-6972, www.kopico.go.kr
- Kejaksaan Agung: 1301, www.spo.go.kr
- Polis Kebangsaan: 182, ecrm.police.go.kr
Pasal 14 (Perubahan Polisi Pemprosesan)
Apabila polisi pemprosesan diubah, tarikh berkuat kuasa dan perubahan utama akan didedahkan dalam sejarah perubahan perkhidmatan dan polisi. Perubahan yang memberi kesan signifikan kepada hak atau kewajipan subjek data akan diberitahu secara berasingan sebelum atau dalam tempoh yang munasabah mengikut peraturan yang berkenaan.
Peruntukan tambahan
Polisi pemprosesan data peribadi ini berkuat kuasa mulai 20 Julai 2026.