隱私宣稱 vs 隱私控制

研究

隱私宣稱是句子。隱私控制是程式碼、基礎設施、日誌、存取與刪除流程中的行為。

Date
2026年7月3日
Author
Unexposed

一張光亮的隱私承諾卡,旁邊是實際的保留與存取設定控制面板

隱私宣稱是產品在說什麼。隱私控制是系統在沒有人注意時會做什麼。

「我們不會儲存你的圖片」是宣稱。短暫的物件儲存、會過期的簽名 URL、停用提示詞(prompt)記錄、快取清除測試、限制客服支援的存取,以及帶監控的刪除工作,都是控制項。前者屬於文案。後者屬於架構。

這個差異很重要,因為 AI 產品可能聽起來很重視隱私,卻在行為上相當鬆散。首頁可以說「安全且隱私」,但服務端卻在可觀測性(observability)日誌中保留原始提示詞、把生成輸出存到作品集(gallery)、讓客服擁有廣泛存取權,並且讓 CDN 連結比使用者的耐心更久才失效。

控制項是具體的。訓練排除(training exclusion)是控制項。保留期限(retention windows)是控制項。存取權限是控制項。加密是控制項。資料所在地(data residency)可能是控制項。人工審查門檻是控制項。刪除驗證是控制項。「我們在乎信任」不是控制項,儘管它曾被人穿上西裝外套。

對於 AI 影像系統而言,最重要的控制項通常圍繞資料移動。上傳會離開你的基礎設施嗎?會交給第三方供應商嗎?供應商會保留嗎?輸出會被託管嗎?提示詞會進入日誌嗎?客戶需要選擇退出(opt out),還是隱私是預設值?

好的隱私文案會直接對應到控制項。如果你宣稱不保留提示詞歷史,就不應該有提示詞歷史的資料表(prompt-history table)、分析(analytics)中不應有提示詞複本(prompt copies),而且長期保存的日誌中也不應包含提示詞內容(prompt body)。如果你宣稱上傳是暫時的,就應該有刪除窗口(deletion window)以及可用來測試的方式。如果你宣稱不進行訓練,就應該有供應商條款與管線(pipeline)分離,能支援這項宣稱。

這也是採購方應該如何審查供應商。不要只停在隱私頁面。要追問端點層級的保留(endpoint-level retention)、應用程式狀態(application-state)的行為、濫用監控(abuse-monitoring)的保留、客服存取規則、刪除流程、次處理者(subprocessor)清單,以及影像端點是否與文字端點不同。

宣稱與控制項之間的落差,會讓信任變得昂貴。最好的產品會讓這個落差無聊地小。

延伸閱讀:如何在不要求使用者信任黑箱的情況下交付 AI 影像你的 AI 影像功能必須經得起的隱私政策問題Unexposed 資料儲存

Your prompt. Your model. Only your content.

Create private images with Credits, Access Tokens, and sealed requests. Encrypted in transit, run on ephemeral compute, deleted after delivery.