生成图片并不等同于保存图片
隐私
短暂处理与持久留存是不同的产品选择。保留上传内容或输出结果会产生义务,而纯生成可能可以避免这些义务。
- Date
- 2026年7月3日
- Author
- Unexposed

生成图片并不等同于保存图片——它们不是同一种产品。
它们对用户看起来可能相似,因为两者都从上传开始、以输出结束。但当服务在即时任务完成后仍会保留源图片、生成结果、提示词、缩略图或历史记录时,法律与隐私立场就会发生变化。
即使是短暂处理,也仍需要合法依据与安全措施。“临时”并不意味着豁免。模型必须处理内容,而这种处理可能涉及个人数据。但持久留存会引出更多问题:为什么要保留、保留多久、谁可以访问、如何删除、用户能否导出,以及如果账号关闭会发生什么?
一个托管式画廊(hosted gallery)就是最直观的例子。它可能确实很有用,但它改变了承诺。服务不再只是一个执行路径。它变成了一个档案库。这意味着留存策略、访问控制、删除行为、支持可见性以及数据泄露的影响都变得更重要。
提示词(prompts)也是另一个例子。某个产品可能生成输出后就丢弃提示词。或者它可能为了方便而保留提示词历史。第二种设计可以支持重新生成,但它也会存储用户的意图。如果提示词包含个人数据、机密策略或源图片的上下文,那么这段历史就会成为敏感的产品数据。
上传内容同样适用这种区分。仅在短暂的生成会话期间保存的源图片,与为将来编辑而长期保存的源图片具有不同的风险画像。两者都可能是合理的。只有一种情况可以诚实地声称不保存源图片。
产品文案应当尊重这种差异。“我们以私密方式生成图片”并不等同于“我们托管你的生成图片库”。“临时上传”也不等同于“已保存的项目素材”。这些都是与用户签订的不同合同。
如果你想降低隐私暴露,就保留更少。这不是漏洞。这就是数据最小化,只是穿上了正常的衬衫。
延伸阅读:EDPB Opinion 28/2024,Why “delete my uploads” needs to be verifiable,以及 Unexposed data storage。