隐私声明 vs 隐私控制
研究
隐私声明是句子。隐私控制是代码、基础设施、日志、访问以及删除路径中的行为。
- Date
- 2026年7月3日
- Author
- Unexposed

隐私声明是产品在说什么。隐私控制是系统在没人看着的时候会做什么。
“我们不存储你的图片”是一个声明。短时对象存储、会过期的签名 URL、禁用提示词日志、缓存清理测试、受限的支持访问,以及带监控的删除任务,都是控制项。一个属于文案。另一个属于架构。
这种区分之所以重要,是因为 AI 产品可能听起来很“私密”,但实际行为却很松散。主页可以写着“安全且私密”,而服务端却在可观测性日志中保留原始提示词,把生成结果存进画廊、让支持团队拥有较宽的访问权限,并且让 CDN 链接比用户的耐心更长寿。
控制项是具体的。训练排除是一个控制项。保留窗口是控制项。访问权限是控制项。加密是控制项。数据驻留可能是控制项。人工审核阈值是控制项。删除验证是控制项。“我们在乎信任”不是控制项,尽管它据说也曾穿过西装外套。
对于 AI 图像系统,最重要的控制项通常围绕数据流转来设置。上传会不会离开你的基础设施?会不会交给第三方提供商?提供商会不会保留它?输出会不会被托管?提示词会不会进入日志?客户需要选择退出,还是隐私默认开启?
好的隐私文案会直接映射到控制项。如果你声称没有提示词历史,就不应该有提示词历史表,不应该在分析中保留提示词副本,也不应该在长期存在的日志里出现提示词正文。如果你声称上传是临时的,就应该有删除窗口,并且有办法进行测试。如果你声称不用于训练,就应该有提供商条款以及支持该声明的流水线隔离。
这也是买家审查供应商的方式。不要只停留在隐私页面。要询问端点级别的保留策略、应用状态层面的行为、滥用监控的保留规则、支持访问规则、删除流程、分包商清单,以及图像端点是否与文本端点不同。
声明与控制之间的差距,就是信任变得昂贵的地方。最好的产品会让这段差距变得无聊地小。
延伸阅读:如何在不要求用户信任黑盒的情况下交付 AI 图像,你的 AI 图像功能必须经受住的隐私政策问题,以及 Unexposed 数据存储。