你上傳臉部到 AI 工具後,究竟會發生什麼?
個人照片
上傳臉部不只是檔案傳輸。它引發關於路由、保存、員工存取、模型使用、刪除與同意的問題。
- Date
- 2026年7月3日
- Author
- Unexposed

把你的臉上傳到 AI 工具,感覺很隨意,因為介面很隨意。拖曳照片。選擇風格。按下按鈕。收到炫目的小小身分重製。很順,很現代,但這其實不是整個故事。
在那次上傳背後,是一條「保管鏈」。照片可能會先到瀏覽器、應用程式伺服器、物件儲存、佇列、模型執行環境、安全系統、縮圖產生器、CDN、相簿、分析事件、錯誤追蹤,或支援工具。一個好的產品會讓這條鏈條保持短、好解釋;而不好的產品則可能讓你的臉在小小的基礎設施「度假」一陣子,然後把這趟行程稱作「服務改進」。
第一個問題是路由:影像會被送到哪裡?有些工具在自己的受控基礎設施中處理;有些會把上傳送給模型供應商;有些會使用多家供應商;有些會把副本保存在使用者的歷史紀錄中;有些會建立暫時性 URL。這些選擇本身都不必然邪惡,但它們是不同的選擇。「AI 工具」並不是一種資料處理架構。
第二個問題是保存:在結果回傳後,原始上傳是否仍會保留?產生的輸出是否仍會保留?縮圖會被保存嗎?提示詞會和影像一起保存嗎?使用者能刪除它們嗎?被刪除的物件會立刻從快取與備份中移除,還是會在某種模糊的「之後世界」裡消失——而那裡正是產品文案最不方便使用的動詞所棲身之處?
第三個問題是可見性:員工能看到你的上傳嗎?客服能打開它嗎?工程師在除錯時能查詢它嗎?第三方供應商能否在其自訂規則下檢視它?產品可能有強有力的政策控管,但架構更重要。「沒有人能看到,因為我們不在那裡保留」這種承諾,和「沒有人應該看到,因為我們的政策說請正常一點」是完全不同的兩回事。
第四個問題是重用:照片會被用來改進模型嗎?會用於品質審查嗎?會用於濫用偵測嗎?會把照片和生成輸出配對,用於評估嗎?主要供應商越來越會把這些差異文件化,因為「不用於訓練」只是隱私故事的一部分。你的臉即使被排除在訓練之外,仍可能在某個你沒預期的地方被保留。
臉部值得特別的照護,因為它承載身分。它不像一張通用椅子照片——除非那張椅子某種程度上就是你的法定身分;如果真是那樣,恭喜你遇到的是一個非常特定的文書問題。臉部可以連結到一個人、工作、家庭、地點、公開形象,以及未來的辨識系統。這並不代表每一次上傳臉部都必然是災難;但它確實意味著含糊的回答不能被接受。
如果你正在評估一個工具,請要求「無聊但重要」的流程:上傳、處理、回傳、刪除。問清楚還會留下什麼。問清楚誰能存取。問清楚工具是否使用外部影像供應商。也問清楚政策在免費用戶、付費用戶、企業用戶、API 用戶,或影像編輯端點之間是否會改變。
Unexposed 的回答則是刻意直白:提示詞、來源影像、生成輸出與金鑰應留在「使用者內容邊界(User Content Boundary)」內,透過短暫的「生成會話(Generation Sessions)」執行,且不應變成可持久化的產品歷史。這不是什麼魔法護身符;這是一個設計限制。
你的臉不只是一次上傳。它是一整套被打包進檔案選擇器的保管、保存、可見性與信任。
延伸閱讀:你的資料、Unexposed 如何運作,以及 NIST 對臉部辨識技術的概覽。