如何永久涂黑 PDF 中的敏感信息
在 PDF 文字上画黑框并不能将其删除。文字仍然存在,且可以被选择、搜索和提取。本文将教您如何真正修订 PDF,从而永久销毁敏感信息。
您有一份 PDF 文件,第 3 页有一个社会安全号码,第 7 页有一个客户的家庭住址,第 12 页的表格中还隐藏着一个银行账号。您需要分享这份文件——给对方律师、监管机构、业务合作伙伴或公众——但这些敏感信息必须清除。
于是,您打开 PDF,在社会安全号码上画了一个黑色矩形,保存并发送。
您刚刚犯了世界上最常见的修订错误。文字依然存在。任何收到该 PDF 的人都可以选择“涂黑”区域,复制隐藏的文字,并将其粘贴到文本编辑器中。您客户的敏感信息现在就躺在别人的剪贴板上。
这并非理论上的风险。美国司法部、运输安全管理局 (TSA)、财富 500 强公司以及处理备受瞩目案件的律师事务所都曾发生过此类事件。真正的修订——即真正永久删除信息的修订——需要特定的流程。在文字上画形状并不是真正的修订。
本指南涵盖了什么是真正的修订、它与虚假修订的区别,以及三种正确操作的方法——其中一种方法完全在您的浏览器中处理文档,因此敏感内容永远不会触及服务器。
修订的真正含义
修订(Redaction)是指对信息的永久性、不可逆转的删除。不是隐藏,不是覆盖,而是删除。
当您正确修订 PDF 时:可见文字被黑框取代,底层的字符数据从 PDF 的内容流中被删除,文字变得无法搜索,任何复制粘贴或程序化提取都无法恢复,并且相关的元数据(书签、注释、表单字段)也会被清理。如果未满足其中任何一个条件,您只是做了一个视觉覆盖层,而不是修订。
PDF 如何存储文字(以及为什么覆盖层会失效)
要理解为什么黑框不起作用,您需要了解 PDF 如何存储文字。
PDF 页面是一个内容流——一系列在画布上精确的 x,y 坐标处定位单个字符的运算符。文字“SSN: 123-45-6789”被存储为定位命令,将每个字符放置在特定位置。在该文字上方绘制一个黑色矩形会向内容流添加一个新的图形元素,但原始文字运算符保持不变。文字仍在文件中,依然可以被选择,依然可以被提取。
这就像在打印文档的一行字上贴了一块黑胶带。墨水仍然留在下面的纸上。真正的修订在数字上等同于将那行字从纸上完全剪掉并烧掉碎片。
真实修订 vs. 虚假修订
| 真实修订 | 虚假修订 | |
|---|---|---|
| 视觉外观 | 内容上方有黑框 | 内容上方有黑框 |
| 底层文字 | 永久删除 | 仍存在于文件中 |
| 选择并复制 | 无法选择内容 | 文字可以被复制 |
| 文字搜索 | 无匹配项 | 能找到匹配项 |
| 程序化提取 | 不返回数据 | 提取完整文字 |
| 元数据 | 已清理 | 未触动 |
| 是否可逆? | 否——信息已被销毁 | 是——移除覆盖层即可 |
从外观上看,真实修订和虚假修订完全相同。两者都有黑框。区别完全在于表面之下发生的事情——而这种区别导致了近代历史上一些最令人尴尬的信息泄露事件。
著名的修订失败案例
这些不是假设的情况。以下每个案例都涉及大型机构的专业人士,他们认为自己已经修订了敏感信息,但事实并非如此。
马纳福特案 (2019)
保罗·马纳福特 (Paul Manafort) 的律师向美国地方法院提交了一份法庭文件,意图修订有关其客户与俄罗斯情报部门互动的细节。“修订”部分是黑框——但底层文字完好无损。记者只需复制并粘贴隐藏的文字,就揭露了马纳福特曾与一名俄罗斯合伙人分享民调数据。该新闻占据了整个新闻周期。法律团队使用了文字处理软件的高亮功能(黑底黑字),并在没有意识到文字层被保留的情况下导出了 PDF。
TSA 机场安检蓝图 (2009)
美国运输安全管理局 (TSA) 发布了一份修订版的机场安检程序手册。修订只是在 PDF 文字上画了简单的黑色矩形。安全研究人员移除了覆盖层,获取了完整的未修订文档,其中包含有关安检豁免、执法人员身份识别程序和检查站漏洞的详细信息。TSA 不得不修改其整个安检协议。
AT&T / NSA 窃听案 (2006)
在电子前沿基金会 (EFF) 起诉 AT&T 未经授权窃听的诉讼中,AT&T 提交了一份带有“修订”商业机密的法律简报。修订是 PDF 文字上的黑框。描述 NSA 在 AT&T 设施内监控基础设施的全文被轻而易举地提取出来。该文件在被撤回前已被下载了数千次。
共同模式
在每个案例中,失败模式都是相同的:在文字上绘制了视觉元素,但没有删除文字本身。犯下这些错误的人并不是粗心大意——他们是律师、政府官员和安全专业人员。他们使用的工具(文字处理软件、基础 PDF 编辑器、注释功能)根本无法执行真正的修订。
您应该修订哪些信息?
答案取决于您的监管环境,但以下类别涵盖了商业文档中最常见的敏感数据。
个人身份信息 (PII)
- 社会安全号码 (SSN) 和纳税人识别号 (TIN)
- 银行账号和行号 (Routing numbers)
- 信用卡和借记卡卡号
- 驾驶执照和护照号码
- 出生日期
- 家庭住址和个人电话号码
- 电子邮件地址(当与其他 PII 关联时)
- 生物识别标识符
财务信息
- 账户余额和交易记录
- 薪资和薪酬数据
- 纳税申报数据
- 投资账户详情
- 贷款和抵押贷款信息
- 信用评分和信用报告数据
医疗和健康信息 (HIPAA)
- 与健康数据结合的患者姓名
- 病历号
- 诊断和治疗详情
- 处方信息
- 健康保险单号
- 化验结果和医学影像报告
法律和商业信息
- 法庭文件中的未成年人姓名
- 刑事诉讼中的受害者和证人身份
- 律师-客户特权通信
- 商业机密和专利配方
- 封存的法院记录和陪审团材料
- 案件编号和卷宗信息(在某些司法管辖区)
- 机密和解条款
人事和雇佣记录
- 员工 SSN 和预扣税数据
- 薪资数据和奖金金额
- 纪律记录和绩效评估
- 病假详情
- 背景调查结果
- 内部调查笔记
一般原则:如果信息可以识别特定个人、揭示其财务状况、暴露其病史或披露受保护的法律通信,那么在与任何没有正当查看需求的人共享文档之前,都应将其修订。
按文档类型分类
不同的文档往往在不同的地方隐藏敏感数据:
- 法律文件: 当事人姓名和地址(尤其是家事/青少年案件)、特权通信、证人身份、和解条款、财务证据中的 SSN、未成年人姓名。
- 财务文件: 账号和行号、SSN/TIN、交易详情、余额、薪资数据。
- 医疗记录 (HIPAA): HIPAA 的隐私规则确定了 18 种必须移除的特定标识符,包括姓名、地理数据、日期、电话/传真/电子邮件、SSN、病历号、健康计划 ID、账号、执照号、设备标识符、生物识别数据和照片。每次违规的罚款从 100 美元到 50,000 美元不等。
- 人事文件: 税务表格(如 W-2、I-9)上的员工 SSN、薪资数据、纪律记录、病假详情、背景调查结果、个人联系信息。
方法 1:PDFSub 修订 PDF 工具(推荐)
PDFSub 的 修订 PDF 工具 执行真正的修订——修订标记下方的文字会从文件中永久删除,而不仅仅是视觉覆盖。而且由于该工具完全在您的浏览器中运行,包含敏感信息的文档永远不会离开您的设备。
操作步骤
第 1 步:上传您的 PDF。 将您的文档拖放到 修订 PDF 工具 或点击浏览。文件直接加载到您的浏览器中——不会上传到服务器。
第 2 步:标记要修订的区域。 选择您要删除的文字或区域。您可以突出显示特定的单词、句子、整个段落,或者在图像和图表上绘制修订框。该工具会在您执行之前准确显示将要修订的内容。
第 3 步:应用修订。 点击应用。该工具会从 PDF 的内容流中永久删除标记的内容。文字被删除了——不是隐藏,不是覆盖,而是删除。黑框会填充内容原来所在的空间。
第 4 步:下载。 保存修订后的 PDF。您下载的文件不包含任何已删除信息的痕迹。您可以通过尝试选择修订区域中的文字(将无法选择)或对已删除内容进行文字搜索(将找不到匹配项)来验证这一点。
为什么这种方法最适合敏感文档
基于浏览器的处理。 整个修订过程都在您的浏览器中完成。您的 PDF 永远不会在互联网上传输,永远不会落在第三方服务器上,也永远不会被记录、缓存或保留。对于合规敏感的工作流来说,这不仅是加分项,更是硬性要求。
真正的修订,而非注释。 文字实际上是从 PDF 的内部数据结构中删除的,而不仅仅是被覆盖。修订后,内容无法恢复。
价格实惠。 与每年 240 美元的 Adobe Acrobat Pro 不同,PDFSub 以极低的价格提供专业的修订功能。您可以从 7 天免费试用 开始,验证该工具是否满足您的需求。
适用于任何设备。 在 Windows、Mac、Linux、Chromebook 和平板电脑上修订 PDF——只要有现代浏览器即可。
方法 2:Adobe Acrobat Pro
Adobe Acrobat Pro 包含一个专门的修订工具,可以执行真正的修订。它是法律和政府工作流的行业标准。
如何在 Acrobat Pro 中修订
第 1 步:打开修订工具。 转到“工具”>“修订”。这将打开修订工具栏。
第 2 步:标记要修订的内容。 点击并拖动以选择文字、修订整个页面,或使用“查找并修订”在整个文档中搜索特定模式(如 SSN 格式)。
第 3 步:应用修订。 这是许多用户忽略的关键步骤。标记只是在文字周围画一个红框——它尚未将其删除。您必须点击“应用”才能永久删除内容。
第 4 步:删除隐藏信息。 使用“删除隐藏信息”功能清理元数据、注释、表单字段和嵌入文件。
优点和缺点
Acrobat Pro 是行业标准,获得法律/政府的广泛认可,提供批量“查找并修订”功能,并能删除隐藏信息。然而,它每年的费用高达 240 美元,需要桌面安装,且两步走流程(先标记后应用)是用户忘记应用步骤时经常出错的原因。
两步走陷阱
这值得强调,因为它会导致真实的数据泄露:标记要修订的内容不等于修订它。 标记只是放置一个视觉指示器。文字仍在文件中。只有点击“应用”才会将其删除。如果您在标记后、应用前保存并共享,那么您共享的就是一份带有虚假修订的文档。
方法 3:Mac 上的预览 (Preview)
Apple 的预览应用程序(内置于 macOS)具有可以在文字上放置黑色矩形的注释工具。许多 Mac 用户认为这构成了修订。事实并非如此。
预览应用实际上做了什么
当您使用预览的矩形注释工具覆盖文字时:
- 在 PDF 内容上方绘制了一个黑色形状
- 底层文字保持完全完好
- 仍可以通过在矩形下方点击并拖动来选择文字
- 文字仍会出现在搜索结果中 (Cmd+F)
- 文字可以被任何 PDF 解析工具提取
- 注释可以被完全移除,从而露出原始文字
警告:预览应用不执行真正的修订
预览应用的注释不是修订。 它们与之前描述的导致马纳福特、TSA 和 AT&T 失败案例的视觉覆盖层完全相同。使用预览应用“修订”PDF 并共享,在功能上等同于共享未修订的文档。
截至 macOS Sequoia (2025),预览应用仍不包含真正的修订功能。如果您使用的是 Mac,请改用 PDFSub 基于浏览器的 修订 PDF 工具 或 Adobe Acrobat Pro。
如何验证预览应用的失败
您可以亲自尝试:在预览应用中打开任何 PDF,在某些文字上画一个填充黑色的矩形,保存,重新打开,然后按 Cmd+F 搜索“隐藏”的文字。它会被找到。它从未被删除。这个 30 秒的测试证明了为什么在用于修订时,注释工具是危险的。
修订最佳实践
选对修订工具只是成功了一半。修订前后的流程同样重要。
1. 修订后务必验证
应用修订后,测试输出结果。尝试选择修订区域中的文字——如果您能突出显示黑框下方的任何内容,则修订失败。搜索 (Ctrl+F / Cmd+F) 应该已被删除的内容。在不同的 PDF 查看器中打开文件,因为有些查看器处理注释的方式不同。对于高风险修订(法律诉讼、监管提交),请使用文本提取工具转储所有文字,并确认修订内容已不存在。
2. 删除元数据
修订可见文字是必要的,但还不够。PDF 携带的元数据可能会泄露敏感信息:文档属性(作者、组织、创建日期)、评论和注释、表单字段数据、嵌入的文件附件、书签、JavaScript 和 XMP 元数据。彻底的修订工作流除了可见内容外,还会删除所有这些信息。
3. 使用副本进行操作
永远不要修订原始文档。制作一个副本,将原件存储在安全位置,在副本上执行所有修订,验证后仅分发修订版本。以后在法律诉讼、审计追踪或内部审查中可能需要未修订的原件。
4. 使用统一的修订外观
在您的组织内标准化修订外观。黑框是法律和政府文档的标准。考虑添加修订标签(例如,“已修订”、“特权内容”、“PII 已删除”),以便读者知道内容为何被删除。
5. 记录与审查
出于法律和合规目的,保留一份记录,说明谁执行了修订、何时执行、删除了哪些类别的信息以及使用了什么工具。如果修订的充分性受到质疑,这将创建一个审计追踪。
在修订后的文档离开组织之前,请第二个人进行审查。新的视角可以发现遗漏的修订、不完整的删除以及可能允许读者从上下文推断出修订内容的线索。两人审查是政府 FOIA(信息自由法)办公室的标准做法。
批量修订:查找并删除模式
当您需要在一份大型文档中修订相同类型的信息时,手动选择变得不切实际。批量修订通过搜索模式并一次性标记所有匹配项来自动化该过程。
常见的批量修订模式:
| 数据类型 | 模式格式 |
|---|---|
| 社会安全号码 | XXX-XX-XXXX, XXX XX XXXX, XXXXXXXXX |
| 电子邮件地址 | [email protected] |
| 电话号码 | (XXX) XXX-XXXX, XXX-XXX-XXXX, +1XXXXXXXXXX |
| 信用卡号 | 13-19 位数字序列,通常每四个一组 |
| 账号 | 跟在“账号 #”或“账户”后的 8-17 位数字序列 |
| 出生日期 | MM/DD/YYYY, Month DD, YYYY, DD-MM-YYYY |
工作流:定义您的模式,在所有页面上运行搜索,检查每个匹配项(并非每个模式匹配项都是敏感的),一次性应用,然后手动扫描不符合模式的内容。姓名、地址和自由文本描述很少符合简单的模式,需要人工审查。
修订的法律要求
修订不仅是最佳实践。在许多情况下,它是法律要求。
FOIA(信息自由法)。 响应 FOIA 请求的联邦机构必须公开文档,但必须修订属于九项特定豁免范围的信息——包括国家安全信息、商业机密、个人隐私和执法记录。州一级的公开记录法也有类似要求。修订不当可能导致诉讼、法院命令和机构制裁。
GDPR。 根据欧盟《通用数据保护条例》,响应数据主体访问请求(第 15 条)的组织必须修订同一文档中的任何第三方个人数据。“被遗忘权”(第 17 条)也可能要求从组织必须保留的文档中修订个人数据。违规行为可能导致高达 2000 万欧元或全球年收入 4% 的罚款。
HIPAA。 受保护的健康信息在用于非治疗目的披露前必须进行去标识化处理。“安全港”方法要求移除前面列出的所有 18 个标识符类别。每次违规的罚款从 100 美元到 50,000 美元不等。
法院命令。 法院通常会命令在公开备案中修订未成年人姓名、商业机密、举报人身份和封存材料。不遵守规定可能导致藐视法庭制裁、案件被驳回或律师受到纪律处分。
州隐私法。 加州的 CCPA/CPRA、弗吉尼亚州的 CDPA、科罗拉多州的 CPA 以及类似的州法律规定了类似 GDPR 的义务。响应消费者数据请求的组织必须在披露前修订第三方信息。
常见问题解答
修订后的文字还能恢复吗?
如果使用真正的修订工具正确执行了修订——不能。字符数据已被永久删除。没有隐藏层,没有加密备份,也没有取证恢复路径。如果“修订”只是在文字上画了一个形状(虚假修订),那么答案是肯定的——任何人都可以使用基础 PDF 查看器选择、复制并粘贴隐藏的文字。
我可以修订 PDF 中的图像信息吗?
可以。修订工具可以在嵌入图像的区域放置方框,用纯色填充对受影响区域进行栅格化,从而销毁原始像素。这对于文字作为图像的一部分(而非可选字符)存在的扫描文档非常重要。
修订表单字段怎么办?
PDF 表单字段存储数据的方式与可见页面内容不同。在表单字段的可见位置放置修订框并不一定能删除存储的数据。彻底的修订还必须合并(Flatten)或删除表单字段及其关联数据。
修订会改变页面布局吗?
不会。修订区域会被纯色框取代,这些框占据与被删除内容相同的空间。周围的文字和布局保持在原始位置。
我可以撤销修订吗?
不能——这就是修订的意义所在。修订是永久且不可逆的。这就是为什么您应该始终使用副本进行操作,并将未修订的原件安全存储。
修订与加密有什么区别?
加密限制了谁可以访问整个文档。修订限制了任何人都可以访问的文档中哪些内容可见。它们用途不同,通常结合使用。
在覆盖文字后打印为 PDF 是有效的修订方法吗?
不可靠。某些“打印到 PDF”驱动程序会合并视觉层并删除底层文字,而有些则会保留。对于敏感修订,绝不应依赖此方法。请使用专门的修订工具。
我可以修订受密码保护的 PDF 吗?
您需要在修订前解锁 PDF。如果 PDF 有所有者密码(限制编辑)或用户密码(限制打开),您需要先获得该密码。解锁后,修订过程与任何未受保护的 PDF 相同。
结论
一份看起来经过修订但实际并未修订的文档比未修订的文档更糟糕——它创造了一种虚假的安全感,导致人们分享本该保护的敏感信息。
三个要点:
- 使用真正的修订工具。 在文字上画形状不会修订任何内容。文字仍留在文件中。请使用能删除底层内容的工具。
- 每次都要验证。 尝试选择修订区域的文字,搜索已删除的内容,并在第二个应用程序中进行测试。
- 在处理过程中保护文档。 如果您的工具将 PDF 上传到服务器,您的敏感文档现在就位于第三方服务器上。PDFSub 的 修订 PDF 工具 在您的浏览器中处理文档——文件永远不会离开您的设备。
修订错误的代价是泄露的 SSN、泄露的医疗记录、公开的商业机密以及高达数百万美元的监管罚款。而做对修订的代价仅仅是您几分钟的时间。
免费试用 PDFSub 修订 PDF 工具 7 天,亲自验证敏感内容是否已永久消失。