你上傳臉部到 AI 工具後,究竟會發生什麼?

個人照片

上傳臉部不只是檔案傳輸。它引發關於路由、保存、員工存取、模型使用、刪除與同意的問題。

Date
2026年7月3日
Author
Unexposed

一張不可辨識身分的肖像卡,沿著透明的 AI 處理流程移動

把你的臉上傳到 AI 工具,感覺很隨意,因為介面很隨意。拖曳照片。選擇風格。按下按鈕。收到炫目的小小身分重製。很順,很現代,但這其實不是整個故事。

在那次上傳背後,是一條「保管鏈」。照片可能會先到瀏覽器、應用程式伺服器、物件儲存、佇列、模型執行環境、安全系統、縮圖產生器、CDN、相簿、分析事件、錯誤追蹤,或支援工具。一個好的產品會讓這條鏈條保持短、好解釋;而不好的產品則可能讓你的臉在小小的基礎設施「度假」一陣子,然後把這趟行程稱作「服務改進」。

第一個問題是路由:影像會被送到哪裡?有些工具在自己的受控基礎設施中處理;有些會把上傳送給模型供應商;有些會使用多家供應商;有些會把副本保存在使用者的歷史紀錄中;有些會建立暫時性 URL。這些選擇本身都不必然邪惡,但它們是不同的選擇。「AI 工具」並不是一種資料處理架構。

第二個問題是保存:在結果回傳後,原始上傳是否仍會保留?產生的輸出是否仍會保留?縮圖會被保存嗎?提示詞會和影像一起保存嗎?使用者能刪除它們嗎?被刪除的物件會立刻從快取與備份中移除,還是會在某種模糊的「之後世界」裡消失——而那裡正是產品文案最不方便使用的動詞所棲身之處?

第三個問題是可見性:員工能看到你的上傳嗎?客服能打開它嗎?工程師在除錯時能查詢它嗎?第三方供應商能否在其自訂規則下檢視它?產品可能有強有力的政策控管,但架構更重要。「沒有人能看到,因為我們不在那裡保留」這種承諾,和「沒有人應該看到,因為我們的政策說請正常一點」是完全不同的兩回事。

第四個問題是重用:照片會被用來改進模型嗎?會用於品質審查嗎?會用於濫用偵測嗎?會把照片和生成輸出配對,用於評估嗎?主要供應商越來越會把這些差異文件化,因為「不用於訓練」只是隱私故事的一部分。你的臉即使被排除在訓練之外,仍可能在某個你沒預期的地方被保留。

臉部值得特別的照護,因為它承載身分。它不像一張通用椅子照片——除非那張椅子某種程度上就是你的法定身分;如果真是那樣,恭喜你遇到的是一個非常特定的文書問題。臉部可以連結到一個人、工作、家庭、地點、公開形象,以及未來的辨識系統。這並不代表每一次上傳臉部都必然是災難;但它確實意味著含糊的回答不能被接受。

如果你正在評估一個工具,請要求「無聊但重要」的流程:上傳、處理、回傳、刪除。問清楚還會留下什麼。問清楚誰能存取。問清楚工具是否使用外部影像供應商。也問清楚政策在免費用戶、付費用戶、企業用戶、API 用戶,或影像編輯端點之間是否會改變。

Unexposed 的回答則是刻意直白:提示詞、來源影像、生成輸出與金鑰應留在「使用者內容邊界(User Content Boundary)」內,透過短暫的「生成會話(Generation Sessions)」執行,且不應變成可持久化的產品歷史。這不是什麼魔法護身符;這是一個設計限制。

你的臉不只是一次上傳。它是一整套被打包進檔案選擇器的保管、保存、可見性與信任。

延伸閱讀:你的資料Unexposed 如何運作,以及 NIST 對臉部辨識技術的概覽。

Your prompt. Your model. Only your content.

Create private images with Credits, Access Tokens, and sealed requests. Encrypted in transit, run on ephemeral compute, deleted after delivery.