生成图片并不等同于保存图片

隐私

短暂处理与持久留存是不同的产品选择。保留上传内容或输出结果会产生义务,而纯生成可能可以避免这些义务。

Date
2026年7月3日
Author
Unexposed

A split processing path: one returns an image and ends, the other stores outputs in a cabinet

生成图片并不等同于保存图片——它们不是同一种产品。

它们对用户看起来可能相似,因为两者都从上传开始、以输出结束。但当服务在即时任务完成后仍会保留源图片、生成结果、提示词、缩略图或历史记录时,法律与隐私立场就会发生变化。

即使是短暂处理,也仍需要合法依据与安全措施。“临时”并不意味着豁免。模型必须处理内容,而这种处理可能涉及个人数据。但持久留存会引出更多问题:为什么要保留、保留多久、谁可以访问、如何删除、用户能否导出,以及如果账号关闭会发生什么?

一个托管式画廊(hosted gallery)就是最直观的例子。它可能确实很有用,但它改变了承诺。服务不再只是一个执行路径。它变成了一个档案库。这意味着留存策略、访问控制、删除行为、支持可见性以及数据泄露的影响都变得更重要。

提示词(prompts)也是另一个例子。某个产品可能生成输出后就丢弃提示词。或者它可能为了方便而保留提示词历史。第二种设计可以支持重新生成,但它也会存储用户的意图。如果提示词包含个人数据、机密策略或源图片的上下文,那么这段历史就会成为敏感的产品数据。

上传内容同样适用这种区分。仅在短暂的生成会话期间保存的源图片,与为将来编辑而长期保存的源图片具有不同的风险画像。两者都可能是合理的。只有一种情况可以诚实地声称不保存源图片。

产品文案应当尊重这种差异。“我们以私密方式生成图片”并不等同于“我们托管你的生成图片库”。“临时上传”也不等同于“已保存的项目素材”。这些都是与用户签订的不同合同。

如果你想降低隐私暴露,就保留更少。这不是漏洞。这就是数据最小化,只是穿上了正常的衬衫。

延伸阅读:EDPB Opinion 28/2024Why “delete my uploads” needs to be verifiable,以及 Unexposed data storage

Your prompt. Your model. Only your content.

Create private images with Credits, Access Tokens, and sealed requests. Encrypted in transit, run on ephemeral compute, deleted after delivery.