每次您使用在线PDF工具合并合同、编辑发票或将银行对账单转换为Excel时，都会有一个大多数人从未问过的问题：那个文件去了哪里？

PDF并非无害的格式容器。它们包含姓名、地址、银行账号、薪资、医疗诊断和法律协议。欧盟的《通用数据保护条例》（GDPR）不关心您是否打算“处理个人数据”——它关心您是否这样做了。如果您的PDF工具将该文件上传到服务器，答案是肯定的。

本指南将详细介绍GDPR如何适用于PDF工具，合规性对工具提供商有何要求，以及在信任任何工具之前如何对其进行评估。

GDPR Compliance for PDF Tools - what to look for when choosing privacy-compliant document tools

GDPR对PDF工具为何重要

普通企业每月处理数千份PDF文件。内部人力资源文件、客户合同、银行对账单、发票、税务表格、医疗记录、法律信函——几乎所有这些都包含GDPR定义的个人数据。

GDPR第4(1)条广泛定义了个人数据：“任何与已识别或可识别的自然人有关的信息。”这包括：

发票、合同和通信中找到的姓名和联系方式
银行对账单和工资单中的财务数据，包括账号、交易历史、薪资和税务信息
医疗记录、保险文件和残疾评估中的健康信息
政府标识符，如国民身份证号、税务识别号和社会安全号
合同、法院文件和合规报告中的法律信息

当您打开包含任何此类数据的PDF并通过在线工具进行处理——合并、拆分、转换、压缩或编辑——您就是在处理个人数据。无论提取个人数据是否是您的意图，该处理都受GDPR管辖。

后果并非只是理论上的。根据DLA Piper GDPR罚款和数据泄露调查报告（2026年1月），自GDPR生效以来累计罚款已达71亿欧元，其中仅2025年就开出了12亿欧元。不遵守一般数据处理原则——这是与PDF工具处理文件方式最相关的类别——占有史以来十项最大罚款中的五项。

非律师的GDPR基础知识

在通过合规性视角评估PDF工具之前，您需要理解四个核心概念。本节将跳过法律术语，专注于每个概念在实践中的含义。

个人数据

任何可以直接或间接识别个人的信息。合同上的姓名是个人数据。对账单上的银行账号是个人数据。PDF表单中的电子邮件地址是个人数据。即使是仅与其他信息结合才能识别某人的数据也算——例如，邮政编码加上出生日期。

如果您正在处理的PDF包含任何可识别个人的信息，您就是在处理个人数据。

数据控制者与数据处理者

数据控制者决定处理个人数据的目的和方式。如果您是一家企业，选择使用PDF工具转换客户的银行对账单，那么您就是控制者。

数据处理者代表控制者处理数据。PDF工具提供商是处理者——他们根据您的指示处理数据（转换此文件、合并这些文档、提取此表格）。

这种区别很重要，因为GDPR对这两种角色都施加了义务。控制者必须选择提供“充分合规保证”的处理者（第28条）。处理者必须遵循控制者的指示并实施适当的安全措施。如果您的PDF工具提供商未能保护个人数据，您们双方都可能承担责任。

处理的合法依据

第6条要求处理个人数据必须有合法依据。对于大多数企业使用PDF工具的情况，相关的依据是合法利益（真实的商业原因，例如为会计目的转换银行对账单）、合同履行（为履行合同义务所需的数据处理）或同意（在B2B工作流程中较少见）。合法依据必须在处理开始之前就存在。

数据主体权利

那些PDF中包含其数据的个人根据GDPR享有权利。对于PDF工具的使用，最相关的是访问权（第15条——请求个人数据副本）、删除权（第17条——当数据不再需要或撤销同意时请求删除）和数据可携权（第20条——请求以机器可读格式提供数据）。

控制者必须在一个月内作出回应。如果您的PDF工具提供商保留了包含该人数据的文档副本，您必须能够确保这些副本也被删除。

使用PDF工具何时会触发GDPR

并非所有使用PDF工具的情况都会产生GDPR义务。区别很简单，但至关重要。

情况1：浏览器处理（无传输）

您在浏览器中打开一个PDF工具，选择一个文件，然后该工具完全使用客户端代码进行处理。文件从未离开您的设备。

在这种情况下，根据GDPR，PDF工具提供商不是数据处理者。没有传输个人数据。不需要数据处理协议（DPA）。从合规角度来看，这是最干净的方法。

情况2：云处理（传输给处理者）

您将PDF上传到在线工具的服务器。服务器处理文件——转换、合并、提取或您选择的任何其他操作——并返回结果。在此期间，文件存在于提供商的基础设施上。

在这种情况下，根据GDPR，PDF工具提供商是数据处理者。您作为控制者，已将个人数据传输给了处理者。这会触发一系列法律要求：

在传输之前必须签订数据处理协议（DPA）
处理者必须实施适当的技术和组织措施来保护数据
如果处理者位于欧盟/欧洲经济区之外，则该传输属于国际数据传输，需要额外的保障措施

情况3：AI驱动的处理（附加考虑）

一些PDF工具使用AI或机器学习来处理文档——用于OCR、数据提取、摘要或翻译。如果这涉及将您的文件发送给第三方AI服务（Google的Gemini、OpenAI的GPT等），那么AI提供商就是子处理者。义务链会进一步延伸：

PDF工具提供商需要您的授权才能使用子处理者
子处理者必须受到同等数据保护义务的约束
您应该知道正在使用哪些AI服务以及它们在哪里处理数据
必须有明确的承诺，保证您的文件不会被用于AI模型训练

PDF工具提供商的关键GDPR要求

GDPR compliance features for PDF tools: 6-feature grid with red flags checklist and fine tier reference

如果PDF工具确实在其服务器上处理文件——使其成为数据处理者——GDPR会施加特定要求。以下是需要注意的事项。

数据处理协议（DPA）

GDPR第28条使这一点不可协商。任何数据处理者必须与每个控制者签订书面的DPA。DPA必须明确处理的性质和目的、个人数据的类型、数据主体的类别、处理者在安全和保密方面的义务、子处理者规则、终止时的删除要求以及控制者的审计权。

不提供DPA的PDF工具提供商存在合规风险。任何合规的云处理者都应提供标准的DPA。

目的限制

GDPR第5(1)(b)条规定，个人数据必须“为特定、明确和合法的目的而收集，并且不得以与这些目的不兼容的方式进一步处理。”

对于PDF工具而言，目的很明确：您上传了一个文件以进行转换、合并、拆分或以其他方式处理。提供商只能出于该声明的目的处理您的文件。他们不能分析您的文档以获取广告洞察。他们不能使用您的文件内容来训练AI模型。他们不能与合作伙伴共享您的数据用于营销目的。

如果工具的隐私政策包含关于使用上传文件“以改进我们的服务”或“用于研究目的”的语言，那就是潜在的目的限制违规。

数据最小化

第5(1)(c)条要求个人数据“充分、相关且仅限于与处理目的相关的必要范围”。

在实践中，这意味着PDF工具应仅访问您文件所需的部分以完成请求的操作。它不应提取元数据、记录文档内容或保留超出完成任务所需的信息。

数据最小化的最强形式是不收集数据——这正是浏览器处理所实现的。

安全措施

第32条要求“适当的技术和组织措施”，与风险相称。对于PDF工具，这意味着传输中加密（TLS/HTTPS）、静态加密、适当的访问控制、安全的托管环境和定期的安全测试。无法阐述其安全架构的提供商不应处理您的文件。

文件保留和删除

这是许多PDF工具失败的地方。GDPR的存储限制原则（第5(1)(e)条）要求个人数据“以允许识别数据主体的形式保存，保存时间不得超过必要时间”。

对于PDF工具而言，必要的时间是完成处理操作并交付结果所需的时间。一旦您下载了转换后的文件，提供商就不应再保留原始文件或输出文件。

一些工具会保留文件24小时、7天甚至30天。问问自己：为什么？为用户提供便利不是保留个人数据的合法依据。延长的保留时间会带来风险，而没有相应的收益。

最佳实践是在处理完成后立即删除。

国际数据传输

如果PDF工具提供商或其子处理者位于欧盟/欧洲经济区之外，GDPR第五章要求额外的保障措施：充足性决定（委员会已确定目的地国家提供充分保护——截至2026年初，这包括英国、日本、韩国、加拿大以及根据《欧盟-美国数据隐私框架》的美国）、标准合同条款（SCCs）或具有约束力的公司规则（BCRs）。

《欧盟-美国数据隐私框架》在2025年9月的一次法律挑战中得以幸存，但评论员指出，2026年可能会带来新的审查。依赖此框架的组织应关注其发展。

违规通知

第33条要求控制者在意识到数据泄露后72小时内通知监管机构。对于PDF工具提供商，这意味着他们必须毫不延迟地通知您（控制者），以便您能够履行自己的义务。DPA应包含明确的违规通知承诺和时间表。

PDF工具隐私政策中的危险信号

隐私政策通常冗长且故意含糊不清。以下是一些应引起警惕的具体短语和做法。

“我们可能会出于商业目的与第三方共享数据”

含糊的共享条款违反了透明度原则。您需要确切知道哪些第三方接收数据、出于何种目的以及在何种法律依据下。 “商业目的”不是合法依据——它是一种规避。

“文件最多存储30天”

在没有正当理由的情况下过度保留。如果工具的目的是转换PDF，为什么它需要您的银行对账单一个月？长时间的保留期会增加泄露风险，并且难以与存储限制原则相协调。

“我们使用上传的文件来改进我们的服务”

这是最大的危险信号。如果工具提供商使用您的文档——其中包含您客户的个人数据——来训练AI模型或改进其算法，那么他们就是出于您未授权的目的处理个人数据。这违反了目的限制，可能缺乏合法依据，并可能构成需要单独同意的二次处理活动。

无法提供DPA

如果基于云的PDF工具无法提供数据处理协议，则它不符合GDPR规定。就这么简单。第28条在这点上毫不含糊。没有DPA意味着他们没有合法依据代表您处理个人数据。

未披露服务器位置

如果提供商不告知您文件在哪里处理，您就无法评估传输是否需要根据第五章进行额外保障。基础设施的透明度是一项基本要求。

没有子处理者列表

GDPR要求处理者告知控制者有关子处理者的情况。如果该工具使用第三方服务处理您的文件（云托管、AI API、CDN）而不披露它们，您就无法进行充分的尽职调查。

绿色信号：合规的PDF工具应是什么样子

以上每个危险信号的反面就是绿色信号。但有几点值得强调：

浏览器处理是PDF工具可以提供的最强大的隐私功能。当文件从未离开您的设备时，提供商就永远不会成为数据处理者。没有个人数据传输，该操作不需要DPA，也没有服务器端保留风险。这不是理论上的区别——客户端处理确实消除了合规风险的整个类别。
处理完成后立即删除文件。任何超出此范围的保留都需要正当理由。
DPA公开可用或无需企业销售电话即可获取。
基于欧盟的服务器或在欧盟/欧洲经济区之外的服务器的明确记录的传输机制（充足性决定、SCCs、BCRs）。
文件内容无二次使用——书面承诺，在隐私政策和DPA中均有体现。
透明的子处理者列表，并在子处理者更改时提供通知机制（第28(2)条）。

PDFSub如何处理GDPR合规性

PDFSub的构建采用了以隐私为先的架构，通过设计而非事后补救来满足GDPR要求。PDFSub符合GDPR和CCPA规定，并已准备好通过SOC 2认证。

默认浏览器处理

对于编辑操作——合并、拆分、压缩、旋转——PDFSub在您的浏览器中处理文件。转换和高级处理由PDFSub Engine提供支持——这是一个独立的、无互联网访问的服务。文件在隔离环境中处理，并在处理后自动删除。

这不是营销宣传——这是一个架构决策。对于这些操作，客户端处理完全消除了数据处理者关系。无需DPA。没有国际传输风险。没有服务器端保留。

需要服务器处理时

某些操作需要服务器端处理：扫描文档的OCR、复杂金融文档的AI驱动提取以及某些高级转换。当这种情况发生时，PDFSub遵循严格的协议：

传输中加密——所有文件传输均使用TLS加密
隔离处理——文件在隔离环境中处理，无互联网访问
立即删除——文件在处理完成后立即删除
用户文件不用于训练——上传的文档绝不用于训练AI模型或改进算法
目的限制——文件仅为请求的操作进行处理

为企业客户提供DPA

PDFSub为需要正式记录处理者关系的企业客户提供数据处理协议。这涵盖了服务器端处理场景，并包含了所有第28条强制性规定。

对处理过程透明

PDFSub的隐私方法很简单：尽可能本地处理，当需要服务器处理时，通过加密和立即删除来最大限度地减少数据暴露。没有含糊的“商业目的”条款。您的数据没有二次使用。

您可以浏览PDFSub的84+个工具，并尝试7天免费试用, 在承诺之前亲自验证基于浏览器的处理模式。

选择PDF工具的GDPR合规性检查清单

在评估任何PDF工具的GDPR合规性时，请使用此清单。基于浏览器的工具可以完全绕过几个类别，但对于任何基于云的工具，每一项都很重要。

#	问题	注意事项
1	它是否在本地处理文件？	基于浏览器的处理=无数据传输=无处理者关系。通过浏览器开发者工具中的网络流量进行验证。
2	是否有DPA？	应无需企业销售电话即可获取。必须包含所有第28条强制性规定。
3	服务器位于何处？	在欧盟/欧洲经济区处理可避免传输复杂性。如果位于欧盟之外，请检查是否有充足性决定、SCCs或BCRs。
4	文件保留政策是什么？	立即删除是最佳实践。任何超出处理完成后的保留都需要正当理由。
5	数据是否用于任何二次目的？	隐私政策应明确排除文件内容的AI训练、分析和广告使用。
6	如何处理数据主体请求？	当数据主体行使删除权时，必须能够确认已删除保留的副本。
7	涉及哪些子处理者？	已发布的列表，包含描述、位置以及子处理者更改时的通知机制。
8	有哪些安全措施？	传输中和静态加密、访问控制、相关认证（ISO 27001、SOC 2）。
9	有哪些违规通知承诺？	72小时内（或更早）通知，并设有专门的安全事件联系人。
10	能否审计合规性？	DPA应包含审计权。提供商应共享合规性文档并指定DPO。