隐私声明 vs 隐私控制

研究

隐私声明是句子。隐私控制是代码、基础设施、日志、访问以及删除路径中的行为。

Date
2026年7月3日
Author
Unexposed

一张精致的隐私承诺卡,旁边是一个真实的保留与访问设置控制面板

隐私声明是产品在说什么。隐私控制是系统在没人看着的时候会做什么。

“我们不存储你的图片”是一个声明。短时对象存储、会过期的签名 URL、禁用提示词日志、缓存清理测试、受限的支持访问,以及带监控的删除任务,都是控制项。一个属于文案。另一个属于架构。

这种区分之所以重要,是因为 AI 产品可能听起来很“私密”,但实际行为却很松散。主页可以写着“安全且私密”,而服务端却在可观测性日志中保留原始提示词,把生成结果存进画廊、让支持团队拥有较宽的访问权限,并且让 CDN 链接比用户的耐心更长寿。

控制项是具体的。训练排除是一个控制项。保留窗口是控制项。访问权限是控制项。加密是控制项。数据驻留可能是控制项。人工审核阈值是控制项。删除验证是控制项。“我们在乎信任”不是控制项,尽管它据说也曾穿过西装外套。

对于 AI 图像系统,最重要的控制项通常围绕数据流转来设置。上传会不会离开你的基础设施?会不会交给第三方提供商?提供商会不会保留它?输出会不会被托管?提示词会不会进入日志?客户需要选择退出,还是隐私默认开启?

好的隐私文案会直接映射到控制项。如果你声称没有提示词历史,就不应该有提示词历史表,不应该在分析中保留提示词副本,也不应该在长期存在的日志里出现提示词正文。如果你声称上传是临时的,就应该有删除窗口,并且有办法进行测试。如果你声称不用于训练,就应该有提供商条款以及支持该声明的流水线隔离。

这也是买家审查供应商的方式。不要只停留在隐私页面。要询问端点级别的保留策略、应用状态层面的行为、滥用监控的保留规则、支持访问规则、删除流程、分包商清单,以及图像端点是否与文本端点不同。

声明与控制之间的差距,就是信任变得昂贵的地方。最好的产品会让这段差距变得无聊地小。

延伸阅读:如何在不要求用户信任黑盒的情况下交付 AI 图像你的 AI 图像功能必须经受住的隐私政策问题,以及 Unexposed 数据存储

Your prompt. Your model. Only your content.

Create private images with Credits, Access Tokens, and sealed requests. Encrypted in transit, run on ephemeral compute, deleted after delivery.