개인정보 처리방침

스파인페어리(이하 '회사'라 함)는 「개인정보 보호법」 제30조에 따라 정보주체의 개인정보를 보호하고 이와 관련한 고충을 신속하고 원활하게 처리할 수 있도록 하기 위하여 다음과 같이 개인정보 처리방침을 수립·공개합니다.

제1조(개인정보 처리방침의 적용 범위)

이 개인정보 처리방침은 스파인페어리가 운영하는 모든 서비스에 공통으로 적용되며, 각 게임별 특수 사항은 별도의 추가 개인정보 처리방침에서 규정합니다.

제2조(개인정보 처리의 기본 원칙)

회사는 다음의 원칙을 준수하여 개인정보를 처리합니다.

처리목적의 명확화와 최소한의 개인정보 수집
목적 범위 내에서 적법하게 처리 및 목적 외 사용 금지
개인정보의 정확성 확보 및 최신성 유지
안전성 확보를 위한 기술적·관리적·물리적 조치
정보주체의 권리 보장 및 개인정보 처리의 투명성 보장
책임성 원칙에 따른 개인정보 보호 관리체계 구축

제3조(일반적인 개인정보의 처리)

회사는 서비스 제공을 위해 필요 최소한의 범위에서 개인정보를 처리하고 있습니다.

정보주체의 동의 없이 처리하는 개인정보 항목

회원가입 및 서비스 이용 시 수집 정보

법적 근거: 「개인정보 보호법」 제15조 제1항 제4호('계약 체결·이행')
수집·이용 항목: 이메일 주소
수집·이용 목적: 회원 식별, 로그인, 서비스 제공 및 운영
보유·이용 기간: 회원 탈퇴 시까지 (단, 관련 법령에 따라 보존이 필요한 경우 해당 기간까지)

결제 시 수집 정보

법적 근거: 「개인정보 보호법」 제15조 제1항 제4호('계약 체결·이행')
수집·이용 항목: 스토어 계정 ID
수집·이용 목적: 결제 처리 및 구매 내역 관리
보유·이용 기간: 결제 완료 시부터 5년간 보관 (「전자상거래 등에서의 소비자보호에 관한 법률」에 따른 법적 보관 의무)

회사가 이용자로부터 직접 수집하는 개인정보는 원칙적으로 다음과 같습니다.

이메일 주소(계정 생성 및 고객 문의 대응)
결제 처리를 위한 스토어 계정 ID(결제 확인 및 환불 처리 지원)

서비스 이용 과정에서 다음 정보가 자동으로 생성·수집될 수 있습니다.

(수집 여부는 기기/OS 설정, 이용 환경, 적용된 기능에 따라 달라질 수 있습니다.)

접속 로그(이용 기록), IP 주소, 서비스 이용 일시
기기 정보(기기 모델명, OS 버전, 언어/국가 설정, 앱 버전), 네트워크 정보
오류/크래시 로그 및 진단 정보(서비스 안정성 확보 목적)
광고 식별자(IDFA/AAID 등) 및 광고 노출·클릭 등 광고 관련 이벤트 정보(광고 제공 및 성과 측정 목적)

회사는 위 자동수집 정보 중 일부를 광고·분석·오류수집 등 외부 서비스 제공자를 통해 처리할 수 있습니다. 이 경우 해당 제공자는 회사의 처리위탁자이거나, 또는 광고 성과 측정 등을 목적으로 정보를 처리하는 독립적인 제3자 개인정보처리자(광고 파트너)일 수 있습니다. 각 게임에 적용되는 제공자 유형 및 처리 내역(항목/목적/보유기간/국외이전 여부 등)은 서비스 내 공지 또는 별도 고지(설정/동의 화면 등)를 통해 안내합니다.

회사가 제공하는 모든 게임 서비스는 서버 기반으로 운영되며, 이용자의 게임 데이터는 회사의 서버에 안전하게 저장·관리됩니다.

정보주체의 동의를 받아 처리하는 개인정보 항목

현재 해당 사항 없음. 각 게임별 특수 사항은 해당 게임의 추가 개인정보 처리방침 추가 예정

제4조(개인정보의 제3자 제공)

회사는 정보주체의 개인정보를 제1조(개인정보 처리방침의 적용 범위)에서 명시한 범위 내에서만 처리하며, 정보주체의 동의, 법률의 특별한 규정 등 「개인정보 보호법」 제17조 및 제18조에 해당하는 경우에만 개인정보를 제3자에게 제공합니다.

회사는 원칙적으로 이용자의 개인정보를 제3자에게 제공하지 않습니다. 다만, 이용자가 광고 개인화에 동의하거나 광고·성과측정 기능이 적용되는 경우, 광고 식별자(IDFA/AAID 등) 및 광고 이벤트 정보 등 일부 정보가 광고 파트너(독립적인 제3자 개인정보처리자)에게 제공될 수 있으며, 그 내역은 제10조 및 서비스 내 별도 고지(설정/동의 화면 등)를 통해 안내합니다.

제4조의2(개인정보 처리의 위탁 및 국외이전)

회사는 원활한 서비스 제공을 위하여 필요한 경우 개인정보 처리 업무의 일부를 외부 전문업체에 위탁할 수 있습니다. 이 경우 회사는 「개인정보 보호법」 등 관련 법령에 따라 위탁계약 체결, 관리·감독, 재위탁 제한 등 필요한 조치를 취합니다.

처리위탁의 주요 내용은 다음과 같습니다(실제 적용되는 수탁자 및 처리 내역은 각 서비스의 설정/공지/동의 화면 등 별도 고지를 통해 안내할 수 있습니다).

구분	위탁업무 내용	위탁하는 개인정보 항목(예시)	보유·이용 기간	수탁자/서비스 제공자
서비스 운영/고객지원	고객 문의 접수 및 응대(이메일 기반)	이메일 주소, 문의 내용	문의 처리 완료 후 관련 법령 또는 내부 기준에 따른 기간	서비스 내 별도 고지
결제/환불 지원	결제 확인 및 환불 절차 지원(플랫폼사업자 정책 연동)	스토어 계정 ID, 구매/결제 관련 정보(플랫폼에서 제공되는 범위)	관련 법령 또는 플랫폼 정책에 따른 기간	플랫폼사업자(애플/구글/스팀 등)
분석/통계	서비스 이용 통계, 기능 개선을 위한 분석	접속 로그, 기기/앱 정보, 이벤트 로그	목적 달성 시 또는 별도 고지된 기간	서비스 내 별도 고지
오류/품질	오류·크래시 분석 및 서비스 안정성 확보	크래시 로그, 진단 정보, 기기/앱 정보	목적 달성 시 또는 별도 고지된 기간	서비스 내 별도 고지
광고/성과측정	광고 제공, 노출·클릭 등 성과 측정	광고 식별자(IDFA/AAID), 광고 이벤트 정보	목적 달성 시 또는 별도 고지된 기간	서비스 내 별도 고지

회사가 이용하는 일부 수탁자 또는 광고 파트너의 서버가 국외에 위치하는 경우 국외이전이 발생할 수 있습니다. 이 경우 회사는 이전받는 자, 이전 국가, 이전 항목, 이전 목적, 보유·이용 기간, 이전 일시 및 방법, 이용자의 거부권 및 행사 방법 등을 관련 법령에 따라 사전에 또는 지체 없이 안내하고 필요한 동의를 받습니다(해당 시).

제5조(개인정보의 파기 절차 및 방법)

회사는 개인정보 보유기간의 경과, 처리목적 달성 등 개인정보가 불필요하게 되었을 때에는 지체 없이 해당 개인정보를 파기합니다.

개인정보 파기의 절차 및 방법은 다음과 같습니다.

파기절차

회사는 파기 사유가 발생한 개인정보를 선정하고, 회사의 개인정보 보호책임자의 승인을 받아 개인정보를 파기합니다.

파기방법

전자적 파일 형태로 기록·저장된 개인정보는 기록을 재생할 수 없도록 파기하며, 종이 문서에 기록·저장된 개인정보는 분쇄기로 분쇄하거나 소각하여 파기합니다.

제6조(정보주체와 법정대리인의 권리·의무 및 행사방법)

1. 정보주체는 회사에 대해 언제든지 개인정보 열람·정정·삭제·처리정지 요구 등의 권리를 행사할 수 있습니다.

2. 제1항에 따른 권리 행사는 회사에 대해 「개인정보 보호법」 시행령 제41조 제1항에 따라 서면, 전자우편 등을 통하여 하실 수 있으며 회사는 이에 대해 지체 없이 조치하겠습니다.

3. 제1항에 따른 권리 행사는 정보주체의 법정대리인이나 위임을 받은 자 등 대리인을 통하여 하실 수 있습니다. 이 경우 "개인정보 처리 방법에 관한 고시(제2020-7호)" 별지 제11호 서식에 따른 위임장을 제출하셔야 합니다.

제7조(개인정보의 안전성 확보 조치)

회사는 개인정보의 안전성 확보를 위해 다음과 같은 조치를 취하고 있습니다.

관리적 조치

개인정보 처리 직원의 최소화 및 교육 실시
개인정보 처리와 관련된 내부관리계획의 수립 및 시행
정기적인 자체 점검 실시

기술적 조치

개인정보에 대한 접근 통제 및 접근 권한의 제한
개인정보를 안전하게 저장·전송할 수 있는 암호화 기술 적용
해킹이나 악성코드 등에 대비한 보안프로그램 설치 및 주기적 점검·갱신
접속기록의 보관 및 위변조 방지 조치

물리적 조치

전산실, 자료보관실 등의 출입통제 실시
개인정보가 포함된 서류, 보조저장매체 등을 안전하게 보관할 수 있는 잠금장치 마련

제8조(개인정보 보호책임자 및 담당부서)

회사는 개인정보 처리에 관한 업무를 총괄해서 책임지고, 개인정보 처리와 관련한 정보주체의 불만처리 및 피해구제 등을 위하여 아래와 같이 개인정보 보호책임자를 지정하고 있습니다.

▶ 개인정보 보호책임자
성명: 장재혁
직책: 대표
연락처: support@spinefairy.com

정보주체께서는 회사의 서비스를 이용하시면서 발생한 모든 개인정보 보호 관련 문의, 불만처리, 피해구제 등에 관한 사항을 개인정보 보호책임자에게 문의하실 수 있습니다. 회사는 정보주체의 문의에 대해 지체 없이 답변 및 처리해드릴 것입니다.

기타 개인정보 침해에 대한 신고나 상담이 필요하신 경우에는 아래 기관에 문의하시기 바랍니다.

개인정보침해신고센터: (국번없이) 118 (privacy.kisa.or.kr)
개인정보분쟁조정위원회: 1833-6972 (www.kopico.go.kr)
대검찰청 사이버수사과: (국번없이) 1301 (www.spo.go.kr)
경찰청 사이버안전국: (국번없이) 182 (cyberbureau.police.go.kr)

제9조(서비스 플랫폼 및 연령 제한)

1. 회사는 애플 앱스토어, 구글 플레이스토어, 스팀 등 다양한 플랫폼을 통해 게임 서비스를 제공하고 있으며, 각 플랫폼별 정책을 준수합니다.

2. 회사는 전 세계 국가에 서비스를 제공하고 있으며, 서비스 제공 국가의 관련 법령을 준수합니다.

3. 회사의 서비스는 연령 제한 없이 만 14세 미만 이용자도 이용 가능합니다. 만 14세 미만 이용자의 경우 법정대리인의 동의가 필요할 수 있으며, 이 경우 회사는 관련 법령에 따라 법정대리인의 동의를 확인할 수 있는 절차를 마련하고 있습니다.

제10조(광고 식별자 사용)

회사는 광고 제공 및 광고 성과 측정(예: 노출/클릭 집계, 빈도 제한) 등을 위해 광고 식별자(IDFA/AAID 등)를 사용할 수 있습니다. 또한 광고 파트너가 자체적으로 광고 식별자 및 광고 관련 이벤트 정보를 수집·활용할 수 있습니다. 이용자는 언제든지 자신의 기기 설정에서 광고 개인 맞춤설정을 제한하거나 광고 식별자를 재설정할 수 있습니다.

iOS 기기의 경우: 설정 > 개인정보 보호 > 추적 > '앱이 추적을 요청하도록 허용' 옵션을 비활성화
Android 기기의 경우: 설정 > Google > 광고 > 광고 개인 맞춤설정 선택 해제

제11조(개인정보 처리방침 변경)

1. 이 개인정보 처리방침은 2026년 3월 1일부터 적용됩니다.

2. 회사는 개인정보 처리방침을 변경하는 경우에는 변경 및 시행의 시기, 변경된 내용을 지속적으로 공개하며, 변경된 내용은 정보주체가 쉽게 확인할 수 있도록 변경 전·후를 비교하여 공개합니다.

3. 이전의 개인정보 처리방침은 아래에서 확인하실 수 있습니다.

해당사항 없음 (최초 제정)

Privacy Policy

SpineFairy Co., Ltd. (the “Company”) establishes and discloses this Privacy Policy in accordance with Article 30 of the Personal Information Protection Act (Korea) in order to protect the personal information of data subjects and to promptly and smoothly handle related complaints.

Article 1 (Scope of Application)

This Privacy Policy applies commonly to all services operated by SpineFairy, and any service-specific matters for each game may be stipulated in a separate additional privacy policy.

Article 2 (Basic Principles for Processing Personal Information)

The Company processes personal information in compliance with the following principles:

Clarifying purposes of processing and collecting the minimum necessary personal information
Processing lawfully within the scope of purposes and prohibiting use beyond the purposes
Ensuring accuracy of personal information and keeping it up to date
Taking technical, administrative, and physical measures to ensure security
Ensuring the data subject’s rights and transparency in personal information processing
Establishing a personal information protection management system based on the accountability principle

Article 3 (General Processing of Personal Information)

The Company processes personal information to the minimum extent necessary to provide the Service.

Personal information processed without the data subject’s consent

(1) Information collected upon account creation and service use

Legal basis: Article 15(1)4 of the Personal Information Protection Act (“performance of a contract”)
Items collected/used: Email address
Purpose of collection/use: User identification, login, service provision and operation
Retention/use period: Until account deletion (however, if retention is required under applicable laws, for such required period)

(2) Information collected for payments

Legal basis: Article 15(1)4 of the Personal Information Protection Act (“performance of a contract”)
Items collected/used: Store account ID
Purpose of collection/use: Payment processing and purchase history management
Retention/use period: Kept for 5 years from completion of payment (statutory retention obligation under the Act on Consumer Protection in Electronic Commerce, etc.)

As a rule, the personal information that the Company directly collects from users is as follows:

Email address (account creation and handling customer inquiries)
Store account ID for payment processing (support for payment verification and refunds)

In the course of using the Service, the following information may be automatically generated and collected

(whether collected may vary depending on device/OS settings, usage environment, and enabled features):

Access logs (usage records), IP address, date/time of service use
Device information (device model, OS version, language/region settings, app version), network information
Error/crash logs and diagnostic information (for service stability)
Advertising identifiers (e.g., IDFA/AAID) and advertising-related event information such as ad impressions/clicks (for ad provision and measurement)

The Company may process certain automatically collected information through external service providers for advertising, analytics, error collection, etc. In such cases, the provider may be either (i) the Company’s processor (service provider) or (ii) an independent third-party controller (advertising partner) that processes information for purposes such as ad performance measurement.

The type of provider and processing details applied to each game (items, purposes, retention, overseas transfer, etc.) will be provided through in-service notices or separate disclosures (e.g., settings/consent screens).

All game services provided by the Company are operated on a server basis, and users’ game data is safely stored and managed on the Company’s servers.

Personal information processed with the data subject’s consent

None at this time. Any service-specific matters will be added in an additional privacy policy for the relevant game.

Article 4 (Provision of Personal Information to Third Parties)

The Company processes personal information only within the scope specified in Article 1, and provides personal information to third parties only where the data subject has consented, where there are special provisions in laws, or where it falls under Articles 17 and 18 of the Personal Information Protection Act.

As a rule, the Company does not provide users’ personal information to third parties. However, where the user consents to personalized advertising or where advertising/performance measurement features are applied, certain information such as advertising identifiers (IDFA/AAID) and advertising event information may be provided to advertising partners (independent third-party controllers). Details will be disclosed through Article 10 and separate in-service disclosures (e.g., settings/consent screens).

Article 4-2 (Outsourcing of Processing and Overseas Transfer)

Where necessary to provide the Service smoothly, the Company may outsource part of its personal information processing 업무 to external 전문업체. In such cases, the Company will take required measures in accordance with applicable laws such as entering into an outsourcing agreement, supervising and managing the processor, and restricting sub-processing.

Major outsourcing details are as follows (the actual processors and processing details may be additionally disclosed through in-service settings/notices/consent screens):

Category	Outsourced work	Personal information items (examples)	Retention/Use period	Processor / Service provider
Service operation / Customer support	Receiving and responding to customer inquiries (via email)	Email address, inquiry contents	After inquiry is resolved, for the period required by law or internal policy	Separate in-service disclosure
Payment / Refund support	Supporting payment verification and refund procedures (linked to platform policies)	Store account ID; purchase/payment-related information (within the scope provided by the platform)	Period required by applicable laws or platform policies	Platform operators (Apple/Google/Steam, etc.)
Analytics / Statistics	Usage analytics and analysis for feature improvement	Access logs, device/app info, event logs	Until purpose achieved or period disclosed separately	Separate in-service disclosure
Error / Quality	Error and crash analysis; ensuring service stability	Crash logs, diagnostic info, device/app info	Until purpose achieved or period disclosed separately	Separate in-service disclosure
Advertising / Measurement	Ad provision and performance measurement (impressions/clicks, etc.)	Advertising identifiers (IDFA/AAID), ad event info	Until purpose achieved or period disclosed separately	Separate in-service disclosure

If some processors or advertising partners used by the Company have servers located overseas, an overseas transfer may occur. In such cases, the Company will provide notice (in advance or without delay, as required) and obtain any necessary consent in accordance with applicable laws, including the recipient, destination country, transferred items, purposes, retention/use period, timing/method of transfer, and the user’s right to refuse and how to exercise such right (where applicable).

Article 5 (Destruction Procedures and Methods)

The Company will destroy personal information without delay when it becomes unnecessary, such as upon expiration of the retention period or achievement of the processing purpose.

The procedures and methods of destruction are as follows:

(1) Procedure

The Company selects personal information subject to destruction and destroys it after obtaining approval from the Company’s personal information protection officer.

(2) Method

Electronic files: destroyed in a manner that prevents restoration or reproduction.
Paper documents: shredded or incinerated.

Article 6 (Rights of Data Subjects and Legal Representatives and How to Exercise Them)

1. Data subjects may exercise rights such as requesting access, correction, deletion, or suspension of processing at any time.

2. Requests may be made to the Company in writing, by email, etc. in accordance with Article 41(1) of the Enforcement Decree of the Personal Information Protection Act, and the Company will take action without delay.

3. Rights may be exercised through a legal representative or an authorized agent. In such cases, a power of attorney in the form of Appendix No. 11 of the “Public Notice on Personal Information Processing Methods (No. 2020-7)” must be submitted.

Article 7 (Measures to Ensure Security)

The Company takes the following measures to ensure the security of personal information:

(1) Administrative measures

Minimizing personnel handling personal information and conducting training
Establishing and implementing internal management plans related to personal information processing
Conducting regular self-inspections

(2) Technical measures

Access control and limitation of access rights to personal information
Applying encryption technology for secure storage/transmission
Installing and regularly updating security programs to prevent hacking/malware
Preserving access logs and preventing tampering

(3) Physical measures

Controlling access to computer rooms and document storage rooms
Using locks and other measures to securely store documents and storage media containing personal information

Article 8 (Personal Information Protection Officer / Department)

The Company appoints the following personal information protection officer to oversee personal information processing and handle complaints and remedies:

▶ Personal Information Protection Officer: Jae-hyeok Jang
Title: CEO
Contact: support@spinefairy.com

If you have any inquiries, complaints, or requests for remedies related to personal information protection while using the Service, you may contact the officer above. The Company will respond and handle such inquiries without delay.

If you need to report or consult about personal information infringement, please contact the following organizations:

Privacy Infringement Report Center: 118 (Korea) (privacy.kisa.or.kr)
Personal Information Dispute Mediation Committee: 1833-6972 (www.kopico.go.kr)
Supreme Prosecutors’ Office Cyber Investigation Division: 1301 (www.spo.go.kr)
National Police Agency Cyber Bureau: 182 (cyberbureau.police.go.kr)

Article 9 (Service Platforms and Age)

1. The Company provides game services through various platforms such as the Apple App Store, Google Play Store, and Steam, and complies with each platform’s policies.

2. The Company provides services globally and complies with the laws and regulations of the countries where services are provided.

3. The Company’s services are available without age restrictions, including users under the age of 14. For users under 14, consent from a legal representative may be required, and the Company has procedures in place to verify such consent in accordance with applicable laws.

Article 10 (Use of Advertising Identifiers)

The Company may use advertising identifiers (e.g., IDFA/AAID) for ad provision and ad performance measurement (e.g., impression/click counts, frequency capping). In addition, advertising partners may independently collect and use advertising identifiers and advertising-related event information. Users can restrict personalized ads or reset advertising identifiers at any time in their device settings.

iOS: Settings > Privacy & Security > Tracking > Turn off “Allow Apps to Request to Track”
Android: Settings > Google > Ads > Opt out of Ads Personalization

Article 11 (Changes to This Privacy Policy)

1. This Privacy Policy is effective as of March 1, 2026.

2. If the Company changes this Privacy Policy, it will continuously disclose the timing of the change and the changed contents, and will disclose comparisons between the previous and updated versions so that data subjects can easily review them.

3. Previous versions of this Privacy Policy can be reviewed as follows:

Not applicable (first enactment)