隱私宣稱 vs 隱私控制
研究
隱私宣稱是句子。隱私控制是程式碼、基礎設施、日誌、存取與刪除流程中的行為。
- Date
- 2026年7月3日
- Author
- Unexposed

隱私宣稱是產品在說什麼。隱私控制是系統在沒有人注意時會做什麼。
「我們不會儲存你的圖片」是宣稱。短暫的物件儲存、會過期的簽名 URL、停用提示詞(prompt)記錄、快取清除測試、限制客服支援的存取,以及帶監控的刪除工作,都是控制項。前者屬於文案。後者屬於架構。
這個差異很重要,因為 AI 產品可能聽起來很重視隱私,卻在行為上相當鬆散。首頁可以說「安全且隱私」,但服務端卻在可觀測性(observability)日誌中保留原始提示詞、把生成輸出存到作品集(gallery)、讓客服擁有廣泛存取權,並且讓 CDN 連結比使用者的耐心更久才失效。
控制項是具體的。訓練排除(training exclusion)是控制項。保留期限(retention windows)是控制項。存取權限是控制項。加密是控制項。資料所在地(data residency)可能是控制項。人工審查門檻是控制項。刪除驗證是控制項。「我們在乎信任」不是控制項,儘管它曾被人穿上西裝外套。
對於 AI 影像系統而言,最重要的控制項通常圍繞資料移動。上傳會離開你的基礎設施嗎?會交給第三方供應商嗎?供應商會保留嗎?輸出會被託管嗎?提示詞會進入日誌嗎?客戶需要選擇退出(opt out),還是隱私是預設值?
好的隱私文案會直接對應到控制項。如果你宣稱不保留提示詞歷史,就不應該有提示詞歷史的資料表(prompt-history table)、分析(analytics)中不應有提示詞複本(prompt copies),而且長期保存的日誌中也不應包含提示詞內容(prompt body)。如果你宣稱上傳是暫時的,就應該有刪除窗口(deletion window)以及可用來測試的方式。如果你宣稱不進行訓練,就應該有供應商條款與管線(pipeline)分離,能支援這項宣稱。
這也是採購方應該如何審查供應商。不要只停在隱私頁面。要追問端點層級的保留(endpoint-level retention)、應用程式狀態(application-state)的行為、濫用監控(abuse-monitoring)的保留、客服存取規則、刪除流程、次處理者(subprocessor)清單,以及影像端點是否與文字端點不同。
宣稱與控制項之間的落差,會讓信任變得昂貴。最好的產品會讓這個落差無聊地小。
延伸閱讀:如何在不要求使用者信任黑箱的情況下交付 AI 影像、你的 AI 影像功能必須經得起的隱私政策問題、Unexposed 資料儲存。