Privacy Policy
Version 1.0 | Effective: February 20, 2026
Key Points
Company Information
Bionet Co., Ltd.
| Item | Details |
|---|---|
| CEO | Steven Minn |
| Business Registration Number | 120-81-94209 |
| Address | 5F, 61 Digital-ro 31-gil, Guro-gu, Seoul, Republic of Korea 08375 |
| Tel | +82-2-6292-6410 |
| Customer Service | cs@ebionet.com |
| Privacy Inquiries | security@ebionet.com |
This App is developed and operated by Bionet Co., Ltd. and distributed through Sommet Inc. Bionet Co., Ltd. is responsible for all personal information processing.
1. Information We Collect
We collect only the minimum personal information necessary to provide our services.
1.1 Account Information (Stored in AWS Cognito)
| Item | Required | Purpose |
|---|---|---|
| Name | Optional | Personalization within the service |
| Email Address | Required | Account creation, login, service notifications |
1.2 Service Usage Information (Firebase Analytics)
| Item | Purpose |
|---|---|
| Device model and OS version | App compatibility management |
| App version | Update management |
| App usage statistics | Service improvement |
| Feature usage frequency | User experience improvement |
| Session information | Service stability analysis |
| Crash and error logs | Bug fixes |
| Country/Region | Service localization (country level only) |
1.3 Information We Do NOT Collect
The following information is NOT transmitted to external servers and is stored only locally on your device:
| Item | Storage Location | Note |
|---|---|---|
| Biometric data (heart rate, ECG, respiration rate, skin temperature, acceleration) | Local only | No external transmission |
| Date of birth | Local only | For wellness metrics calculation |
| Gender | Local only | For wellness metrics calculation |
| Age | Local only | For wellness metrics calculation |
| Height, Weight | Local only | For calorie calculation |
The following information is NOT collected at all:
- Medical records or diagnostic information
- GPS location data (Note: On Android, system location permission may be requested for Bluetooth device scanning. This is a technical requirement of the operating system. CUROfit does not collect, store, or transmit your location data.)
- Financial or payment information
- Social Security numbers or government-issued IDs
- Contacts, photos, call history
2. How We Collect Information
2.1 Information You Provide
- Name and email address entered during account creation
2.2 Automatically Collected
- App usage statistics through Firebase Analytics (anonymized)
- Basic analytics data through app stores (Google Play, App Store)
2.3 NOT Collected
The following are NOT subject to collection:
- Biometric data measured from CURO pace device
- Personal basic information entered directly in the app (date of birth, gender, etc.) and contact information (phone number)
Explanation: The above data is processed only within the user's mobile device and is not transmitted to company servers.
2.4 App Permissions
CUROfit may request the following device permissions:
| Permission | Purpose | Data Collection |
|---|---|---|
| Bluetooth | CURO pace device connection | Not collected |
| Location (Android) | System requirement for Bluetooth device scanning | Not collected |
These permissions are used only for device connection functionality. No personal information is collected through these permissions.
3. Data Storage and Security
3.1 Storage Locations
| Data Type | Storage Location | Encryption |
|---|---|---|
| Account information (name, email) | AWS Cognito (Cloud) | AES-256 |
| Biometric data | Local device only | Device-level encryption |
| Personal basic information (date of birth, etc.) | Local device only | Device-level encryption |
| Analytics data | Google Firebase | Anonymized |
3.2 Security Measures
Technical Security
- Data at rest: AES-256 encryption (account), device-level encryption (local)
- Data in transit: TLS 1.2 or higher (app-to-server)
- BLE communication: BLE 4.0+ standard pairing security
- Authentication: AWS Cognito secure authentication, 8-digit PIN code authentication
BLE Communication Security
BLE communication with CURO pace device does not apply separate application-level encryption:
- Data Storage Method: Biometric data is stored locally on the device only and is not transmitted externally
- Transmission Range: BLE communication occurs only between the device and the user's own mobile device (within 10m)
- Security Measures: BLE 4.0+ standard pairing security applied, only paired devices can receive data
Administrative Security
- Minimized personal information access rights (role-based access control)
- Employee privacy protection training
- Access log recording and regular audits
- Internal management plan for personal information processing
- Designation and authority management of personal information handlers
4. Data Retention and Deletion
4.1 Retention Period
| Data Type | Retention Period | Basis |
|---|---|---|
| Account information | Until account deletion | Service provision |
| Analytics data | Up to 14 months | Google Analytics policy |
| Local data | User-managed | Deleted upon app deletion or data reset |
4.2 Deletion Procedure
- In-app deletion: Settings > Account > Delete Account
- Web deletion request: https://apps.ebionet.com/curofit/account-deletion/
- Email request: security@ebionet.com
- Processing time: Response within 10 days of request (PIPA); within 30 days (GDPR/CCPA). Deletion completed within 30 days.
- Local data: Automatically deleted when app is uninstalled
- Service operation records (customer request processing history, etc.): Deleted within 30 days after account deletion
4.3 Deletion Method
- Electronic files: Permanently deleted using irreversible methods
- Paper documents: Shredded or incinerated
5. Third-Party Disclosure
5.1 Principle
We do NOT sell, rent, or share your personal information with third parties.
5.2 Exceptions
Personal information may be disclosed only in the following cases:
- With your explicit consent
- When required by law
- Upon request by investigative authorities following legal procedures
6. Data Processing Outsourcing
6.1 Outsourcing Status
| Service Provider | Outsourced Task | Data Processed |
|---|---|---|
| Amazon Web Services (AWS) | User authentication | Account information |
| Google LLC | App analytics | Usage statistics (anonymized) |
| Sommet Inc. | Product sales, customer support, app distribution | Customer inquiry information when needed |
6.2 Outsourcing Management
- Privacy protection obligations specified in outsourcing contracts
- Regular audits of contractors' personal information processing status
7. International Data Transfer
7.1 Transfer Status
| Data | Destination | Recipient | Purpose |
|---|---|---|---|
| Account information | USA | AWS | User authentication |
| Analytics data | USA | Google LLC | Service analytics |
7.2 Safeguards
- Standard Contractual Clauses (SCCs) applied
- Data processing agreements executed
- Encrypted transmission (TLS 1.2+)
8. Your Privacy Rights
8.1 Rights Content
| Right | Description | How to Exercise |
|---|---|---|
| Right to Access | Request access to your personal information | App settings or email request |
| Right to Correction | Request correction of inaccurate information | Direct modification in app settings |
| Right to Deletion | Request deletion of personal information | App settings > Delete Account |
| Right to Suspend Processing | Request suspension of processing | Email request |
| Right to Withdraw Consent | Withdraw consent | App settings or account deletion |
8.2 How to Exercise Rights
- Personal information management and deletion: Settings > Profile
- Measurement data management: Settings > Data Management
- Web account deletion request: https://apps.ebionet.com/curofit/account-deletion/
- Email: security@ebionet.com
- Response time: Within 10 days of request (PIPA); within 30 days (GDPR/CCPA). Deletion completed within 30 days.
8.3 Local Data
Data stored locally (biometric measurements, personal basic information) is managed directly by the user:
- Delete individual data within the app
- Reset all data in app settings
- All local data is deleted when the app is uninstalled
9. Analytics and Tracking
9.1 Firebase Analytics
We use Firebase Analytics to improve our services.
What we collect:
- App launches and session duration
- Screen views and user flows
- Device information (model, OS version)
- Country/region (country level only)
- Crash and error reports
9.2 How to Opt Out
You can limit analytics data collection through device settings:
- iOS: Settings > Privacy & Security > Tracking > Disable "Allow Apps to Request to Track"
- Android: Settings > Google > Ads > Opt out of Ads Personalization
9.3 No Disadvantage for Opt-Out
Opting out of analytics collection does not restrict your use of the service.
10. Children's Privacy
CUROfit is not intended for children under the following ages:
- United States: Under 13 years of age (COPPA)
- Republic of Korea: Under 14 years of age (PIPA)
- EEA/UK: Under 16 years of age (GDPR)
11. Personal Information Protection Officer
| Item | Details |
|---|---|
| Name | Steven Minn |
| Position | CEO |
| security@ebionet.com | |
| Phone | +82-2-6292-6410 |
12. Complaints and Remedies
If you believe your privacy rights have been violated, you may contact the following authorities:
Korea
| Organization | Contact | Website |
|---|---|---|
| Personal Information Dispute Mediation Committee | 1833-6972 | www.kopico.go.kr |
| Personal Information Infringement Report Center | 118 | privacy.kisa.or.kr |
| Supreme Prosecutors' Office | 1301 | www.spo.go.kr |
| National Police Agency Cyber Investigation Bureau | 182 | ecrm.cyber.go.kr |
United States (California)
- California Attorney General: oag.ca.gov/privacy
European Union
- Contact your local Data Protection Authority (DPA)
13. Changes to This Privacy Policy
13.1 Change Notification
- Minor changes: Posted within the app
- Material changes: Email or in-app notification at least 7 days before effective date
13.2 Effectiveness
Modified policy becomes effective from the effective date.
14. Future Feature Expansion Notice
When cloud backup or premium features are introduced in the future, separate consent will be obtained for the collection of additional personal information (date of birth, gender, biometric data, etc.).
Document History
| Version | Date | Description |
|---|---|---|
| 1.0 | February 20, 2026 | Initial version for CURO pace only |
회사 정보
바이오넷 주식회사
| 항목 | 내용 |
|---|---|
| 대표자 | 민 스티븐 상원 |
| 사업자등록번호 | 120-81-94209 |
| 주소 | 08375 서울특별시 구로구 디지털로31길 61, 5층 |
| 대표전화 | 02-6292-6410 |
| 고객 서비스 | cs@ebionet.com |
| 개인정보 보호 | security@ebionet.com |
본 앱은 바이오넷 주식회사가 개발·운영하며, Sommet Inc.를 통해 배포됩니다. 개인정보 처리에 대한 책임은 바이오넷 주식회사에 있습니다.
1. 수집하는 개인정보
회사는 서비스 제공에 필요한 최소한의 개인정보만 수집합니다.
1.1 계정 정보 (AWS Cognito에 저장)
| 항목 | 필수 여부 | 목적 |
|---|---|---|
| 이름 | 선택 | 서비스 내 개인화 |
| 이메일 주소 | 필수 | 계정 생성 및 로그인, 서비스 공지 |
1.2 서비스 이용 정보 (Firebase Analytics)
| 항목 | 목적 |
|---|---|
| 기기 모델 및 OS 버전 | 앱 호환성 관리 |
| 앱 버전 | 업데이트 관리 |
| 앱 사용 통계 | 서비스 개선 |
| 기능 사용 빈도 | 사용자 경험 개선 |
| 세션 정보 | 서비스 안정성 분석 |
| 충돌 및 오류 로그 | 버그 수정 |
| 국가/지역 | 서비스 현지화 (국가 단위만) |
1.3 수집하지 않는 정보
다음 정보는 외부 서버로 전송되지 않으며, 사용자 기기에만 로컬 저장됩니다:
| 항목 | 저장 위치 | 비고 |
|---|---|---|
| 생체 측정 데이터 (심박수, ECG, 호흡수, 피부 온도, 가속도) | 로컬만 | 외부 전송 없음 |
| 생년월일 | 로컬만 | 웰니스 지표 계산용 |
| 성별 | 로컬만 | 웰니스 지표 계산용 |
| 나이 | 로컬만 | 웰니스 지표 계산용 |
| 키, 체중 | 로컬만 | 칼로리 계산용 |
다음 정보는 수집하지 않습니다:
- 의료 기록 또는 진단 정보
- GPS 위치 정보 (참고: Android에서 Bluetooth 기기 검색을 위해 시스템 위치 권한을 요청할 수 있으나, 이는 운영체제의 기술적 요구사항이며, CUROfit은 사용자의 위치 정보를 수집·저장·전송하지 않습니다)
- 금융 또는 결제 정보
- 주민등록번호 또는 정부 발급 신분증 정보
- 연락처, 사진, 통화 기록
2. 개인정보 수집 방법
2.1 이용자가 직접 제공
- 계정 생성 시 입력하는 이름, 이메일 주소
2.2 자동 수집
- Firebase Analytics를 통한 앱 사용 통계 (익명화)
- 앱스토어(Google Play, App Store)를 통한 기본 분석 데이터
2.3 수집하지 않음
다음은 수집 대상이 아닙니다:
- CURO pace 디바이스에서 측정된 생체 데이터
- 앱 내에서 직접 입력한 개인 기본 정보 (생년월일, 성별 등) 및 연락처 정보 (전화번호)
설명: 위 데이터는 사용자의 모바일 기기 내에서만 처리되며, 회사 서버로 전송되지 않습니다.
2.4 앱 권한 안내
CUROfit은 다음 기기 권한을 요청할 수 있습니다:
| 권한 | 목적 | 데이터 수집 여부 |
|---|---|---|
| Bluetooth | CURO pace 기기 연결 | 수집하지 않음 |
| 위치 (Android) | Bluetooth 기기 검색을 위한 시스템 요구사항 | 수집하지 않음 |
위 권한은 기기 연결 기능에만 사용되며, 해당 권한을 통해 개인정보를 수집하지 않습니다.
3. 개인정보 저장 및 보호
3.1 저장 위치
| 데이터 유형 | 저장 위치 | 암호화 |
|---|---|---|
| 계정 정보 (이름, 이메일) | AWS Cognito (클라우드) | AES-256 |
| 생체 측정 데이터 | 로컬 기기만 | 기기 수준 암호화 |
| 개인 기본 정보 (생년월일 등) | 로컬 기기만 | 기기 수준 암호화 |
| 분석 데이터 | Google Firebase | 익명화 |
3.2 보안 조치
기술적 보안
- 저장 데이터: AES-256 암호화 (계정), 기기 수준 암호화 (로컬)
- 전송 데이터: TLS 1.2 이상 (앱-서버 간)
- BLE 통신: BLE 4.0+ 표준 페어링 보안
- 인증: AWS Cognito 기반 보안 인증, 8자리 PIN 코드 인증 방식 적용
BLE 통신 보안 설명
CURO pace 디바이스의 BLE 통신은 별도 애플리케이션 레벨 암호화를 적용하지 않습니다:
- 데이터 저장 방식: 생체 데이터는 로컬 기기에만 저장되며 외부로 전송되지 않음
- 전송 범위: BLE 통신은 디바이스와 사용자 본인의 모바일 기기 간에만 이루어짐 (10m 이내)
- 보안 조치: BLE 4.0+ 표준 페어링 보안 적용, 페어링된 기기만 데이터 수신 가능
관리적 보안
- 개인정보 접근 권한 최소화 (역할 기반 접근 제어)
- 직원 대상 개인정보 보호 교육 실시
- 접근 로그 기록 및 정기 점검
- 개인정보 처리 관련 내부 관리 계획 수립 및 시행
- 개인정보 취급자 지정 및 권한 관리
4. 개인정보 보유 및 파기
4.1 보유 기간
| 데이터 유형 | 보유 기간 | 근거 |
|---|---|---|
| 계정 정보 | 회원 탈퇴 시까지 | 서비스 제공 |
| 분석 데이터 | 서비스 적용 시 최대 14개월 | Google Analytics 정책 |
| 로컬 데이터 | 사용자 관리 | 앱 삭제 또는 데이터 초기화 시 삭제 |
4.2 파기 절차
- 앱 내 직접 삭제: 설정(Settings) > 계정(Account) > 계정 삭제(Delete Account)
- 웹 삭제 요청: https://apps.ebionet.com/curofit/account-deletion/
- 이메일 요청: security@ebionet.com
- 처리 기간: 요청 접수 후 10일 이내 응답, 삭제 완료까지 최대 30일
- 로컬 데이터: 앱 삭제 시 자동 삭제
- 서비스 운영 기록 (고객 요청 처리 이력 등): 계정 삭제 후 최대 30일 이내 삭제
4.3 파기 방법
- 전자적 파일: 복구 불가능한 방법으로 영구 삭제
- 종이 문서: 분쇄 또는 소각
5. 개인정보 제3자 제공
5.1 원칙
회사는 이용자의 개인정보를 제3자에게 판매, 대여, 공유하지 않습니다.
5.2 예외
다음의 경우에만 개인정보가 제공될 수 있습니다:
- 이용자의 명시적 동의가 있는 경우
- 법령에 따른 요구가 있는 경우
- 수사 목적으로 법령에 정해진 절차와 방법에 따라 수사기관의 요구가 있는 경우
6. 개인정보 처리 위탁
6.1 위탁 현황
| 수탁업체 | 위탁 업무 | 처리 데이터 |
|---|---|---|
| Amazon Web Services (AWS) | 사용자 인증 | 계정 정보 |
| Google LLC | 앱 분석 | 사용 통계 (익명화) |
| Sommet Inc. | 제품 판매, 고객 지원, 앱 배포 | 필요 시 고객 문의 정보 |
6.2 위탁 관리
- 위탁계약 시 개인정보 보호 의무 명시
- 수탁자의 개인정보 처리 현황 정기 점검
7. 국외 이전
7.1 이전 현황
| 이전 항목 | 이전 국가 | 수령자 | 목적 |
|---|---|---|---|
| 계정 정보 | 미국 | AWS | 사용자 인증 |
| 분석 데이터 | 미국 | Google LLC | 서비스 분석 |
7.2 안전조치
- 표준계약조항(SCCs) 적용
- 개인정보 처리 계약 체결
- 암호화 전송 (TLS 1.2+)
8. 이용자의 권리
8.1 권리 내용
| 권리 | 설명 | 행사 방법 |
|---|---|---|
| 열람권 | 본인의 개인정보 열람 요구 | 앱 설정 또는 이메일 요청 |
| 정정권 | 부정확한 정보의 정정 요구 | 앱 설정에서 직접 수정 |
| 삭제권 | 개인정보 삭제 요구 | 앱 설정 > 계정 삭제 |
| 처리정지권 | 처리 정지 요구 | 이메일 요청 |
| 동의철회권 | 동의 철회 | 앱 설정 또는 계정 삭제 |
8.2 행사 방법
- 개인정보 관리 및 삭제: 설정(Settings) > 프로필(Profile)
- 측정 데이터 관리: 설정(Settings) > 데이터 관리(Data Management)
- 웹 계정 삭제 요청: https://apps.ebionet.com/curofit/account-deletion/
- 이메일: security@ebionet.com
- 처리 기간: 요청 접수 후 10일 이내 응답, 삭제 완료까지 최대 30일
8.3 로컬 데이터
로컬에 저장된 데이터(생체 측정, 개인 기본 정보)는 사용자가 직접 관리합니다:
- 앱 내에서 개별 데이터 삭제
- 앱 설정에서 전체 데이터 초기화
- 앱 삭제 시 모든 로컬 데이터 삭제
9. 자동 수집 장치의 설치·운영 및 거부
9.1 Firebase Analytics
회사는 서비스 개선을 위해 Firebase Analytics를 사용합니다.
수집 항목:
- 앱 실행 및 세션 시간
- 화면 조회 및 사용자 흐름
- 기기 정보 (모델, OS 버전)
- 국가/지역 (국가 단위만)
- 충돌 및 오류 보고서
9.2 거부 방법
기기 설정을 통해 분석 데이터 수집을 제한할 수 있습니다:
- iOS: 설정 > 개인 정보 보호 및 보안 > 추적 > "앱이 추적을 요청하도록 허용" 비활성화
- Android: 설정 > Google > 광고 > 광고 개인최적화 선택 해제
9.3 거부 시 불이익
분석 수집을 거부해도 서비스 이용에 제한이 없습니다.
10. 아동의 개인정보
CUROfit은 다음 연령 미만의 아동을 대상으로 하지 않습니다:
- 미국: 만 13세 미만 (COPPA)
- 대한민국: 만 14세 미만 (개인정보 보호법)
- EEA/영국: 만 16세 미만 (GDPR)
11. 개인정보 보호책임자
| 항목 | 내용 |
|---|---|
| 성명 | 민 스티븐 상원 |
| 직책 | 대표이사 |
| 이메일 | security@ebionet.com |
| 전화 | 02-6292-6410 |
12. 권익침해 구제
개인정보 침해로 인한 피해를 구제받고자 하는 경우 아래 기관에 상담을 신청할 수 있습니다.
| 기관 | 연락처 | 웹사이트 |
|---|---|---|
| 개인정보분쟁조정위원회 | 1833-6972 | www.kopico.go.kr |
| 개인정보침해신고센터 | 118 | privacy.kisa.or.kr |
| 대검찰청 | 1301 | www.spo.go.kr |
| 경찰청 사이버수사국 | 182 | ecrm.cyber.go.kr |
미국 (캘리포니아)
- 캘리포니아 법무장관: oag.ca.gov/privacy
유럽연합
- 현지 데이터 보호 기관(DPA)에 문의
13. 개인정보 처리방침 변경
13.1 변경 통지
- 경미한 변경: 앱 내 게시
- 중요한 변경: 이메일 또는 앱 내 공지로 7일 전 통지
13.2 시행
변경된 처리방침은 시행일부터 효력이 발생합니다.
14. 향후 기능 확장 안내
향후 클라우드 백업 또는 프리미엄 기능 제공 시, 추가 개인정보(생년월일, 성별, 생체 측정 데이터 등) 수집에 대해 별도 동의를 받습니다.
문서 이력
| 버전 | 날짜 | 설명 |
|---|---|---|
| 1.0 | 2026년 2월 20일 | CURO pace 전용 최초 버전 |