生成圖片不等於保留圖片

隱私

短暫處理與耐久性保存是不同的產品選擇。保留上傳內容或輸出會產生義務,而純粹的生成可能可以避免這些義務。

Date
2026年7月3日
Author
Unexposed

A split processing path: one returns an image and ends, the other stores outputs in a cabinet

生成圖片與保留圖片並不是同一種產品。

它們看起來可能對使用者很相似,因為兩者都從上傳開始、以輸出結束。但當服務在即時任務完成後仍保留來源圖片、生成輸出、提示詞(prompts)、縮圖(thumbnails)或歷史紀錄時,法律與隱私立場就會改變。

短暫處理仍需要合法依據與安全措施。暫時並不代表豁免。模型必須處理內容,而這種處理可能涉及個人資料。但「耐久性保存」會帶來更多問題:為什麼要保留、要保留多久、誰能存取、如何刪除、使用者能否匯出,以及如果帳號關閉會發生什麼?

託管式的畫廊(hosted gallery)就是最明顯的例子。它可能確實很有用,但它會改變承諾。服務不再只是執行流程的一環;它變成了一個檔案庫(archive)。因此,保存政策、存取控制、刪除行為、支援可見度,以及資安事件的影響,都會變得更重要。

提示詞(prompts)也是另一個例子。某個產品可能會生成輸出後就丟棄提示詞;也可能為了方便而保留提示詞歷史。第二種設計可以支援重新生成,但也會儲存使用者的意圖。如果提示詞包含個人資料、機密策略或來源圖片的脈絡,那麼這段歷史就會成為敏感的產品資料。

上傳內容同樣適用這種區分。只在短暫的生成作業期間持有的來源圖片,與為了未來編輯而保存的圖片,其風險狀況不同。兩者都可能是合理的。只有一種情況能誠實地宣稱不保留來源圖片。

產品文案應該尊重這種差異。「我們私下生成圖片」並不等同於「我們託管你的生成圖片資料庫」。 「暫時上傳」也不等同於「已保存的專案資產」。這些都是對使用者而言不同的合約。

如果你想降低隱私暴露,就保留更少。這不是漏洞;這是把資料最小化落實到日常做法中。

延伸閱讀:EDPB Opinion 28/2024為什麼「刪除我的上傳內容」需要可驗證,以及 Unexposed data storage

Your prompt. Your model. Only your content.

Create private images with Credits, Access Tokens, and sealed requests. Encrypted in transit, run on ephemeral compute, deleted after delivery.