PDF工具的GDPR合规性:选择指南
PDF包含个人数据——姓名、地址、财务和健康记录。如果您的PDF工具将文件上传到服务器,则适用GDPR。以下是合规性的实际要求以及如何评估任何工具。
每当您使用在线PDF工具合并合同、脱敏发票或将银行流水转换为Excel时,大多数人从未想过一个问题:那个文件刚才去哪了?
PDF并非无害的格式容器。它们承载着姓名、地址、银行账号、薪资、医疗诊断和法律协议。欧盟的《通用数据保护条例》(GDPR) 并不在乎您是否“有意”处理个人数据,它只在乎您是否“确实”处理了。如果您的PDF工具将该文件上传到了服务器,那么答案就是肯定的。
本指南将详细分析GDPR如何适用于PDF工具、合规性对工具提供商的要求,以及在将敏感文档托付给任何工具之前应如何进行评估。
为什么GDPR对PDF工具至关重要
普通企业每月处理数以千计的PDF。内部人力资源文档、客户合同、银行对账单、发票、税务表格、医疗记录、法律信函——几乎所有这些都包含GDPR定义的个人数据。
GDPR第4(1)条对个人数据的定义非常广泛:“与已识别或可识别的自然人相关的任何信息”。这包括:
- 在发票、合同和信函中发现的姓名和联系方式
- 财务数据,包括银行对账单和工资单上的账号、交易记录、薪资和税务信息
- 医疗记录、保险文件和残疾评估中的健康信息
- 政府标识符,如国民身份证号码、税务识别号和社保号码
- 合同、法院文件和合规报告中的法律信息
当您打开包含这些数据的PDF并通过在线工具进行处理(合并、拆分、转换、压缩或编辑)时,您就是在处理个人数据。无论提取个人数据是否是您的初衷,这种处理都受GDPR约束。
后果并非停留在理论层面。根据DLA Piper GDPR罚款和数据泄露调查(2026年1月),自GDPR生效以来,累计罚款已达71亿欧元,仅2025年就开出了12亿欧元的罚单。不遵守一般数据处理原则(这一类别与PDF工具处理文件的方式最相关)占了有史以来最大的十笔罚款中的五笔。
非法律人士的GDPR基础知识
在从合规角度评估PDF工具之前,您需要了解四个核心概念。本节将跳过法律术语,重点介绍每个概念在实践中的含义。
个人数据
任何可以直接或间接识别一个人的信息。合同上的姓名是个人数据。对账单上的银行账号是个人数据。PDF表单中的电子邮件地址是个人数据。甚至只有在与其他信息结合时才能识别某人的数据也算——例如,邮编加出生日期。
如果您处理的PDF包含有关任何可识别人员的信息,那么您就是在处理个人数据。
数据控制者 vs. 数据处理者
数据控制者决定处理个人数据的目的和方式。如果您是一家选择使用PDF工具转换客户银行对账单的企业,那么您就是控制者。
数据处理者代表控制者处理数据。PDF工具提供商就是处理者——他们根据您的指令处理数据(转换此文件、合并这些文档、提取此表格)。
这种区分很重要,因为GDPR对这两个角色都规定了义务。控制者必须选择能够提供合规性“充分保证”的处理者(第28条)。处理者必须遵循控制者的指示并实施适当的安全措施。如果您的PDF工具提供商未能保护个人数据,您双方都可能承担责任。
处理的合法依据
第6条要求处理个人数据必须有合法依据。对于大多数PDF工具的商业用途,相关的依据是正当利益(真实的商业理由,例如为会计目的转换银行对账单)、履行合同(为履行合同义务所需的处理)或同意(在B2B工作流程中较少见)。合法依据必须在处理开始前就已存在。
数据主体权利
数据出现在这些PDF中的个人在GDPR下享有权利。与PDF工具使用最相关的是访问权(第15条——请求个人数据副本)、删除权(第17条——当数据不再必要或撤回同意时请求删除)和数据可携带权(第20条——请求以机器可读格式提供数据)。
控制者必须在一个月内做出回应。如果您的PDF工具提供商保留了包含该人数据的文档副本,您必须能够确保这些副本也被删除。
使用PDF工具何时会触发GDPR
并非每次使用PDF工具都会产生GDPR义务。这种区别简单但至关重要。
场景1:基于浏览器的处理(无传输)
您在浏览器中打开PDF工具,选择一个文件,它完全使用客户端代码进行处理。文件从未离开您的设备。
在这种情况下,PDF工具提供商不是GDPR下的数据处理者。没有个人数据被传输。不需要DPA。从合规角度来看,这是最清晰的方法。
场景2:基于云的处理(传输给处理者)
您将PDF上传到在线工具的服务器。服务器处理文件——转换、合并、提取或您选择的任何操作——并返回结果。在此期间,文件存在于提供商的基础设施中。
在这种情况下,PDF工具提供商是GDPR下的数据处理者。作为控制者,您已将个人数据传输给了处理者。这会触发一系列法律要求:
- 在传输前必须签署数据处理协议 (DPA)
- 处理者必须实施适当的技术和组织措施来保护数据
- 如果处理者在欧盟/欧洲经济区之外,则该传输属于受额外保护措施约束的国际数据传输
场景3:AI驱动的处理(额外考虑因素)
一些PDF工具使用AI或机器学习来处理文档——用于OCR、数据提取、摘要或翻译。如果这涉及将您的文件发送给第三方AI服务(Google的Gemini、OpenAI的GPT等),则AI提供商是次级处理者。义务链进一步延伸:
- PDF工具提供商需要您的授权才能使用次级处理者
- 次级处理者必须受同等数据保护义务的约束
- 您应该了解正在使用哪些AI服务以及它们在哪里处理数据
- 必须有明确的承诺,保证您的文件不会用于AI模型训练
PDF工具提供商的关键GDPR要求
如果PDF工具确实在其服务器上处理文件(使其成为数据处理者),GDPR会施加特定要求。以下是需要注意的事项。
数据处理协议 (DPA)
GDPR第28条规定这是不可协商的。任何数据处理者必须与每个控制者签订书面DPA。DPA必须指明处理的性质和目的、个人数据类型、数据主体类别、处理者在安全和保密方面的义务、次级处理者规则、终止时的数据删除要求以及控制者的审计权。
不提供DPA的PDF工具提供商存在合规风险。任何合法的基于云的处理者都应提供标准DPA。
目的限制
GDPR第5(1)(b)条规定,个人数据必须“为特定的、明确的和合法的目的而收集,不得以与这些目的不相符的方式进行进一步处理”。
对于PDF工具,目的很明确:您上传文件是为了进行转换、合并、拆分或以其他方式进行转换。提供商只能为了该声明的目的处理您的文件。他们不能为了广告洞察而分析您的文档。他们不能使用您的文件内容来训练AI模型。他们不能为了营销目的与合作伙伴共享您的数据。
如果工具的隐私政策包含关于使用上传文件“以改进我们的服务”或“用于研究目的”的语言,那就是一个潜在的目的限制违规行为。
数据最小化
第5(1)(c)条要求个人数据应是“充分的、相关的,并且仅限于与处理目的相关的必要范围内”。
在实践中,这意味着PDF工具应仅访问执行请求操作所需的文件部分。它不应提取元数据、记录文档内容或保留超出完成任务所需的信息。
数据最小化的最强形式是根本不收集数据——这正是基于浏览器的处理所实现的。
安全措施
第32条要求采取与风险相称的“适当的技术和组织措施”。对于PDF工具,这意味着传输加密 (TLS/HTTPS)、静态加密、适当的访问控制、安全的托管环境和定期的安全测试。无法阐明其安全架构的提供商不应处理您的文件。
文件保留与删除
这是许多PDF工具失败的地方。GDPR的存储限制原则(第5(1)(e)条)要求个人数据“以允许识别数据主体的形式保存的时间不得超过必要的时间”。
对于PDF工具,必要的持续时间是完成处理操作并交付结果所需的时间。一旦您下载了转换后的文件,提供商就没有理由保留原件或输出文件。
一些工具会将文件保留24小时、7天甚至30天。问问自己:为什么?用户方便并不是保留个人数据的合法依据。延长保留时间会增加风险,而没有相应的收益。
最佳实践是在处理完成后立即删除。
国际数据传输
如果PDF工具提供商或其次级处理者位于欧盟/欧洲经济区之外,GDPR第五章要求额外的保障措施:充分性认定(委员会已确定目的地国家提供了充分的保护——截至2026年初,这包括英国、日本、韩国、加拿大,以及欧盟-美国数据隐私框架下的美国)、标准合同条款 (SCCs) 或 约束性企业规则 (BCRs)。
欧盟-美国数据隐私框架在2025年9月经受住了法律挑战,但评论人士指出,2026年可能会带来新的审查。依赖此框架的组织应关注进展。
泄露通知
第33条要求控制者在获知泄露后72小时内通知监管机构。对于PDF工具提供商,这意味着他们必须毫不拖延地通知您(控制者),以便您履行自己的义务。DPA应包含明确的泄露通知承诺和时间表。
PDF工具隐私政策中的红灯警示
隐私政策通常冗长且刻意模糊。以下是应引起警惕的具体表述和做法。
“我们可能会出于商业目的与第三方共享数据”
模糊的共享条款违反了透明度原则。您需要确切知道哪些第三方接收数据、出于什么目的以及基于什么法律依据。“商业目的”不是合法依据——它是一种逃避。
“文件存储长达30天”
没有正当理由的过度保留。如果工具的目的是转换PDF,为什么它需要保留您的银行对账单一个月?长保留期增加了泄露风险,且难以与存储限制原则相协调。
“我们使用上传的文件来改进我们的服务”
这是最大的红灯。如果工具提供商使用您的文档(包含您客户的个人数据)来训练AI模型或改进其算法,他们就是在为您未授权的目的处理个人数据。这违反了目的限制,可能缺乏合法依据,并可能构成需要单独同意的二次处理活动。
不提供DPA
如果一个基于云的PDF工具无法提供数据处理协议,它就不符合GDPR。就这么简单。第28条在这一点上是明确的。没有DPA意味着他们没有合法依据代表您处理个人数据。
未披露服务器位置
如果提供商不告诉您文件在哪里处理,您就无法评估传输是否需要根据第五章采取额外的保障措施。基础设施的透明度是一项基本要求。
没有次级处理者名单
GDPR要求处理者告知控制者有关次级处理者的信息。如果工具使用第三方服务来处理您的文件(云托管、AI API、CDN)且未披露,您就无法进行充分的尽职调查。
绿灯标志:合规的PDF工具是什么样的
上述每个红灯的对立面就是绿灯。但有几点值得强调:
- 基于浏览器的处理是PDF工具能提供的最强大的隐私功能。当文件从未离开您的设备时,提供商永远不会成为数据处理者。没有个人数据传输,该操作不需要DPA,没有服务器端保留风险。这不仅仅是理论上的区别——客户端处理确实消除了一整类合规风险。
- 处理完成后立即删除文件。除此之外的任何保留都需要理由。
- DPA公开可用或无需通过企业销售电话即可获取。
- 服务器位于欧盟,或对于欧盟/欧洲经济区以外的服务器有明确记录的传输机制(充分性认定、SCCs、BCRs)。
- 不将文件内容用于二次用途——在隐私政策和DPA中均有书面承诺。
- 透明的次级处理者名单,并设有次级处理者变更时的通知机制(第28(2)条)。
PDFSub如何处理GDPR合规性
PDFSub 建立在隐私优先的架构之上,从设计之初就考虑了GDPR要求,而非事后补救。
默认基于浏览器的处理
对于大多数PDF操作——合并、拆分、压缩、旋转、常用格式之间的转换——PDFSub完全在您的浏览器中处理文件。您的文档从未离开您的设备。PDFSub服务器从未看到文件内容。
这并非营销口号,而是一个架构决策。对于这些操作,客户端处理完全消除了数据处理者关系。不需要DPA。没有国际传输风险。没有服务器端保留。
何时需要服务器处理
某些操作需要服务器端处理:扫描文档的OCR、复杂财务文档的AI驱动提取以及某些高级转换。当发生这种情况时,PDFSub遵循严格的协议:
- 传输加密——所有文件传输均使用TLS加密
- 静态加密——文件在处理期间被加密
- 立即删除——处理完成后立即删除文件
- 不对用户文件进行训练——上传的文档绝不会用于训练AI模型或改进算法
- 目的限制——文件仅专门为请求的操作进行处理
为企业客户提供DPA
PDFSub为需要处理者关系正式文档的企业客户提供数据处理协议。这涵盖了服务器端处理场景,并包括所有第28条强制性条款。
透明的处理过程
PDFSub的隐私方法非常直接:尽可能在本地处理;当必须进行服务器处理时,通过加密和立即删除来最大限度地减少数据暴露。没有模糊的“商业目的”条款。没有对您数据的二次利用。
您可以浏览PDFSub的 77+个工具,并尝试 7天免费试用,在做出承诺前亲自验证基于浏览器的处理模式。
选择PDF工具的GDPR合规清单
在评估任何PDF工具的GDPR合规性时,请使用此清单。基于浏览器的工具完全避开了几个类别,但对于任何基于云的工具,每一项都至关重要。
| # | 问题 | 关注点 |
|---|---|---|
| 1 | 它是在本地处理文件吗? | 基于浏览器的处理 = 无数据传输 = 无处理者关系。可通过检查浏览器开发者工具中的网络流量来验证。 |
| 2 | 是否提供DPA? | 应无需企业销售电话即可获取。必须包含所有第28条强制性条款。 |
| 3 | 服务器位于何处? | 欧盟/欧洲经济区内的处理可避免传输复杂性。如果在欧盟以外,检查是否有充分性认定、SCCs或BCRs。 |
| 4 | 文件保留政策是什么? | 立即删除是最佳实践。处理完成后的任何保留都需要理由。 |
| 5 | 数据是否用于任何二次目的? | 隐私政策应明确排除将文件内容用于AI训练、分析和广告用途。 |
| 6 | 如何处理数据主体请求? | 当数据主体行使删除权时,必须能够确认已删除保留的副本。 |
| 7 | 涉及哪些次级处理者? | 已公布的名单,包含说明、位置以及次级处理者变更时的通知机制。 |
| 8 | 实施了哪些安全措施? | 传输和静态加密、访问控制、相关认证(ISO 27001, SOC 2)。 |
| 9 | 泄露通知承诺是什么? | 在72小时内(或更短时间内)通知,并设有专门的安全事件联系点。 |
| 10 | 您可以审计合规性吗? | DPA应包含审计权。提供商应共享合规文档并指定数据保护官 (DPO)。 |
犯错的代价:背景下的GDPR罚款
GDPR罚款旨在具有劝诫性。较低层级(第83(4)条)允许对处理者和安全违规行为处以高达1000万欧元或全球年度营业额2%的罚款。较高层级(第83(5)条)允许对违反数据处理原则和数据主体权利的行为处以高达2000万欧元或全球年度营业额4%的罚款。
执法趋势显而易见。2025年,数据处理法律依据不足占罚款总额的90%(约10.3亿欧元)。TikTok在2025年5月因在没有充分保障措施的情况下将欧盟用户数据非法传输到中国而被罚款5.3亿欧元。小型组织也无法幸免——监管机构已对因DPA不当、安全不足和过度保留的中小企业处以罚款。
声誉损失可能超过经济处罚。涉及客户银行对账单或医疗记录的数据泄露对信任造成的损害是任何罚款支付都无法修复的。
PDF工具常见的GDPR违规行为
根据执法行动和监管指南,以下是与文档处理工具相关的最常见合规失败案例。
过度保留文件
许多在线PDF工具会将上传的文件保留数天或数周。理由——“以便您稍后下载文件”——在GDPR审查下站不住脚。一旦转换完成并交付结果,原始文件就应该被删除。
未披露的第三方共享
如果PDF工具通过多个云服务路由文件——用于上传的CDN、单独的处理服务器、用于OCR的AI API——而未披露这些次级处理者,则违反了透明度要求。如果您不知道谁在处理您的数据,您就无法履行控制者义务。
将文件用于AI训练
一些文档处理工具将上传的文件输入机器学习流水线。如果未明确披露并单独获得同意,这违反了目的限制。用户上传文件是为了转换,而不是为了给AI训练数据集做贡献。
缺失或不当的DPA
在没有DPA的情况下作为数据处理者运营,对处理者和控制者来说都是GDPR违规行为。控制者有积极义务确保在处理开始前签署DPA。
临时存储的安全不足
即使是短暂保留的文件也必须受到保护。将上传的PDF存储在未加密的临时目录中、通过可预测的URL访问或没有适当的访问控制,都属于第32条下的安全措施失败。
缺乏删除请求机制
如果数据主体行使删除权,您必须确保所有处理者都删除了相关数据。没有处理此类请求的书面流程的PDF工具提供商会造成合规漏洞。
合规团队的实践步骤
如果您在组织中负责工具采购或数据保护,以下是选择PDF工具的精简方法。
- 审计当前工具。 识别正在使用的每个PDF工具,包括影子IT。个人员工通常会使用他们最先找到的免费在线工具。
- 按处理类型分类。 对于每个工具,确定它是本地处理文件还是上传到服务器。
- 索取DPA。 对于任何基于云的工具,索取数据处理协议。没有DPA?计划迁移。
- 审查隐私政策中的红灯。 模糊的共享条款、过度保留、二次数据利用、未披露的次级处理者。
- 尽可能标准化使用基于浏览器的工具。 这消除了一整类合规风险。
- 记录您的评估。 GDPR的问责制原则(第5(2)条)要求可证明的合规性。记录您的评估和理由。
- 年度审查。 隐私政策、次级处理者和充分性认定会发生变化。安排定期重新评估。
结论
PDF工具的GDPR合规性不仅仅是勾选选项。它关乎一个基本事实:PDF承载着个人数据,处理这些PDF的每个工具都是您数据处理链的一部分。
最简单的合规路径也是最有效的:尽可能选择在浏览器中处理文件的工具。当服务器处理不可避免时,坚持要求加密、立即删除、明确的DPA和透明的做法。
PDFSub 正是为这一现实而设计的——默认基于浏览器的处理,并在需要额外处理能力时采用严格的服务器端协议。浏览所有 77+个工具 并开始 7天免费试用,了解隐私优先的PDF处理在实践中是如何运作的。
您的客户信任您,将最敏感的文档托付给您。请确保您的工具也值得这份信任。