PDF 工具的 GDPR 合規指南:挑選重點與注意事項
PDF 包含姓名、地址、財務與健康記錄等個人資料。若您的 PDF 工具將檔案上傳至伺服器,即適用 GDPR。本文將說明合規的實際要求以及如何評估工具。
每當您使用線上 PDF 工具合併合約、遮蓋發票資訊或將銀行對帳單轉換為 Excel 時,大多數人從未想過一個問題:那個檔案剛才傳到哪裡去了?
PDF 不僅僅是無害的格式容器。它們承載著姓名、地址、銀行帳號、薪資、醫療診斷和法律協議。歐盟的《一般資料保護規範》(GDPR)並不在乎您是否「有意」處理個人資料,它在乎的是您是否「確實」處理了。如果您的 PDF 工具將該檔案上傳到伺服器,答案就是肯定的。
本指南將詳細解析 GDPR 如何適用於 PDF 工具、工具供應商需滿足哪些合規要求,以及在將敏感文件託付給任何工具之前應如何進行評估。
為什麼 GDPR 對 PDF 工具至關重要
一般企業每月處理數以千計的 PDF。內部人力資源文件、客戶合約、銀行對帳單、發票、稅務表單、醫療記錄、法律往來信件——幾乎所有文件都包含 GDPR 所定義的個人資料。
GDPR 第 4(1) 條對個人資料的定義非常廣泛:「與已識別或可識別的自然人有關的任何資訊」。這包括:
- 發票、合約和往來信件中的姓名與聯絡詳情
- 銀行對帳單和薪資單上的財務數據,包括帳號、交易紀錄、薪資和稅務資訊
- 醫療記錄、保險文件和失能評估中的健康資訊
- 政府識別碼,如國民身分證字號、稅務識別碼和社會安全號碼
- 合約、法院文件和合規報告中的法律資訊
當您開啟包含任何此類數據的 PDF 並透過線上工具進行處理(合併、分割、轉換、壓縮或編輯)時,您就是在處理個人資料。無論您的意圖是否為提取個人資料,該處理行為都受 GDPR 約束。
後果並非僅止於理論。根據 DLA Piper 的 GDPR 罰款與資料外洩調查(2026 年 1 月),自 GDPR 生效以來的累計罰款已達 71 億歐元,僅 2025 年就開出了 12 億歐元。違反一般資料處理原則(這與 PDF 工具處理檔案的方式最為相關)佔了史上前十大罰款中的五項。
非法律專業人士的 GDPR 基礎知識
在從合規角度評估 PDF 工具之前,您需要了解四個核心概念。本節將跳過法律術語,專注於每個概念在實務中的意義。
個人資料
任何可以直接或間接識別個人的資訊。合約上的姓名是個人資料。對帳單上的銀行帳號是個人資料。PDF 表單中的電子郵件地址是個人資料。甚至只有在與其他資訊結合時才能識別某人的數據也算在內——例如郵遞區號加上出生日期。
如果您處理的 PDF 包含任何可識別個人的資訊,您就是在處理個人資料。
資料控制者 vs. 資料處理者
資料控制者決定處理個人資料的目的和方式。如果您是一家選擇使用 PDF 工具轉換客戶銀行對帳單的企業,您就是控制者。
資料處理者代表控制者處理資料。PDF 工具供應商就是處理者——他們根據您的指示處理資料(轉換此檔案、合併這些文件、提取此表格)。
這種區分很重要,因為 GDPR 對這兩個角色都規定了義務。控制者必須選擇能提供合規「充分保證」的處理者(第 28 條)。處理者必須遵循控制者的指示並實施適當的安全措施。如果您的 PDF 工具供應商未能保護個人資料,雙方都可能承擔責任。
處理的合法依據
第 6 條要求處理個人資料必須有合法依據。對於大多數企業使用 PDF 工具的情況,相關依據是正當利益(真實的業務理由,例如為了會計目的轉換銀行對帳單)、履行合約(為履行合約義務所需的處理)或同意(在 B2B 工作流程中較少見)。合法依據必須在處理開始前就已存在。
資料主體權利
資料出現在這些 PDF 中的個人在 GDPR 下享有權利。與 PDF 工具使用最相關的是存取權(第 15 條——請求個人資料副本)、刪除權(第 17 條——在資料不再需要或撤回同意時請求刪除)以及資料可攜權(第 20 條——請求以機器可讀格式提供資料)。
控制者必須在一個月內回覆。如果您的 PDF 工具供應商保留了包含該人資料的文件副本,您必須確保這些副本也被刪除。
使用 PDF 工具何時會觸發 GDPR
並非每次使用 PDF 工具都會產生 GDPR 義務。其中的區別簡單但至關重要。
場景 1:基於瀏覽器的處理(無傳輸)
您在瀏覽器中開啟 PDF 工具,選擇一個檔案,它完全使用用戶端程式碼進行處理。檔案從未離開您的裝置。
在這種情況下,PDF 工具供應商不是 GDPR 下的資料處理者。沒有個人資料被傳輸,不需要 DPA。從合規角度來看,這是最乾淨的方法。
場景 2:基於雲端的處理(傳輸至處理者)
您將 PDF 上傳到線上工具的伺服器。伺服器處理檔案——轉換、合併、提取或您選擇的任何操作——並回傳結果。在此期間,檔案存在於供應商的基礎設施中。
在這種情況下,PDF 工具供應商是 GDPR 下的資料處理者。身為控制者的您已將個人資料傳輸給處理者。這會觸發一系列法律要求:
- 傳輸前必須簽署資料處理協議 (DPA)
- 處理者必須實施適當的技術和組織措施來保護資料
- 如果處理者位於歐盟/歐洲經濟區 (EEA) 之外,則該傳輸屬於受額外保障措施約束的國際資料傳輸
場景 3:AI 驅動的處理(額外考量)
某些 PDF 工具使用 AI 或機器學習來處理文件——用於 OCR、資料提取、摘要或翻譯。如果這涉及將您的檔案發送到第三方 AI 服務(Google 的 Gemini、OpenAI 的 GPT 等),則該 AI 供應商是次處理者。義務鏈進一步延伸:
- PDF 工具供應商需要您的授權才能使用次處理者
- 次處理者必須受同等資料保護義務的約束
- 您應該知道正在使用哪些 AI 服務以及它們在哪裡處理資料
- 必須有明確承諾,保證您的檔案不會用於 AI 模型訓練
PDF 工具供應商的關鍵 GDPR 要求
如果 PDF 工具確實在其伺服器上處理檔案(使其成為資料處理者),GDPR 會施加特定要求。以下是需要注意的重點。
資料處理協議 (DPA)
GDPR 第 28 條規定這是不可協商的。任何資料處理者都必須與每位控制者簽訂書面 DPA。DPA 必須指明處理的性質和目的、個人資料類型、資料主體類別、處理者在安全和保密方面的義務、次處理者規則、終止時的資料刪除要求以及控制者的稽核權。
不提供 DPA 的 PDF 工具供應商存在合規風險。任何合法的雲端處理者都應提供標準 DPA。
目的限制
GDPR 第 5(1)(b) 條規定,個人資料必須「為了特定、明確且合法的目的而收集,且不得以與這些目的不相容的方式進一步處理」。
對於 PDF 工具,目的很明確:您上傳檔案是為了進行轉換、合併、分割或其他轉換。供應商只能為了該聲明的目的處理您的檔案。他們不能為了廣告洞察而分析您的文件,不能使用您的檔案內容來訓練 AI 模型,也不能為了行銷目的與合作夥伴分享您的資料。
如果工具的隱私政策包含關於使用上傳檔案「以改進我們的服務」或「用於研究目的」的措辭,那就是潛在的目的限制違規。
資料最小化
第 5(1)(c) 條要求個人資料必須是「適當、相關且僅限於處理目的所必需的範圍內」。
在實務中,這意味著 PDF 工具應僅存取執行請求操作所需的檔案部分。它不應提取元數據、記錄文件內容或保留超出完成任務所需資訊以外的任何資訊。
資料最小化的最強形式是根本不收集數據——這正是基於瀏覽器的處理所實現的。
安全措施
第 32 條要求採取與風險相稱的「適當技術和組織措施」。對於 PDF 工具,這意味著傳輸中加密 (TLS/HTTPS)、靜態加密、適當的存取控制、安全的託管環境和定期的安全性測試。無法清楚說明其安全架構的供應商不應處理您的檔案。
檔案保留與刪除
這是許多 PDF 工具失敗的地方。GDPR 的儲存限制原則(第 5(1)(e) 條)要求個人資料的「保存形式應僅限於識別資料主體所需的時間」。
對於 PDF 工具,必要的持續時間是完成處理操作並交付結果所需的時間。一旦您下載了轉換後的檔案,供應商就沒有理由保留原始檔案或輸出檔案。
某些工具會將檔案保留 24 小時、7 天甚至 30 天。請問問自己:為什麼?用戶的便利性並非保留個人資料的合法依據。延長保留時間會增加風險,卻沒有相應的好處。
最佳做法是在處理完成後立即刪除。
國際資料傳輸
如果 PDF 工具供應商或其次處理者位於歐盟/歐洲經濟區之外,GDPR 第五章要求額外的保障措施:適足性認定(委員會已認定目的地國家提供足夠的保護——截至 2026 年初,這包括英國、日本、韓國、加拿大,以及歐盟-美國資料隱私框架下的美國)、標準契約條款 (SCCs) 或拘束性企業規則 (BCRs)。
歐盟-美國資料隱私框架在 2025 年 9 月的法律挑戰中倖存下來,但評論家指出 2026 年可能會面臨新的審查。依賴此框架的組織應密切關注發展。
外洩通知
第 33 條要求控制者在得知外洩後 72 小時內通知監管機構。對於 PDF 工具供應商,這意味著他們必須不當延誤地通知您(控制者),以便您履行自己的義務。DPA 應包含明確的外洩通知承諾和時間表。
PDF 工具隱私政策中的紅旗(警訊)
隱私政策通常冗長且刻意模糊。以下是應引起警覺的特定措辭和做法。
「我們可能會出於業務目的與第三方分享數據」
模糊的分享條款違反了透明度原則。您需要確切知道哪些第三方接收數據、出於什麼目的以及根據什麼法律依據。「業務目的」不是合法依據——它是一種規避。
「檔案儲存長達 30 天」
無正當理由的過度保留。如果工具的目的是轉換 PDF,為什麼它需要您的銀行對帳單一個月?長期的保留會增加外洩風險,且難以與儲存限制原則相協調。
「我們使用上傳的檔案來改進我們的服務」
這是最大的紅旗。如果工具供應商使用您的文件(包含您客戶的個人資料)來訓練 AI 模型或改進其演算法,他們就是在為了您未授權的目的處理個人資料。這違反了目的限制,可能缺乏合法依據,並可能構成需要單獨同意的二次處理活動。
未提供 DPA
如果基於雲端的 PDF 工具無法提供資料處理協議,它就不符合 GDPR。就這麼簡單。第 28 條在這一點上非常明確。沒有 DPA 意味著他們沒有合法依據代表您處理個人資料。
未披露伺服器位置
如果供應商不告訴您檔案在哪裡處理,您就無法評估該傳輸是否需要根據第五章採取額外的保障措施。基礎設施的透明度是一項基本要求。
無次處理者清單
GDPR 要求處理者告知控制者有關次處理者的資訊。如果工具使用第三方服務來處理您的檔案(雲端託管、AI API、CDN)卻未披露,您就無法進行適當的盡職調查。
綠旗(優點):合規 PDF 工具的特徵
上述每個紅旗的反面就是綠旗。但有幾點值得強調:
- 基於瀏覽器的處理是 PDF 工具所能提供的最強大隱私功能。當檔案從未離開您的裝置時,供應商永遠不會成為資料處理者。沒有個人資料傳輸,該操作不需要 DPA,也沒有伺服器端保留風險。這不是理論上的區別——用戶端處理確實消除了一整類的合規風險。
- 處理完成後立即刪除檔案。任何超出此範圍的保留都需要正當理由。
- 公開提供 DPA 或無需透過企業銷售電話即可獲取。
- 位於歐盟的伺服器,或針對歐盟/歐洲經濟區以外的伺服器有明確記錄的傳輸機制(適足性認定、SCCs、BCRs)。
- 不對檔案內容進行二次利用——在隱私政策和 DPA 中均有書面承諾。
- 透明的次處理者清單,並在次處理者變更時設有通知機制(第 28(2) 條)。
PDFSub 如何處理 GDPR 合規性
PDFSub 建立在隱私優先的架構之上,從設計之初就考慮到了 GDPR 要求,而非事後補救。
預設基於瀏覽器的處理
對於大多數 PDF 操作——合併、分割、壓縮、旋轉、與常見格式之間的轉換——PDFSub 完全在您的瀏覽器中處理檔案。您的文件從未離開您的裝置。PDFSub 伺服器永遠看不到檔案內容。
這不是行銷口號——這是一個架構決策。對於這些操作,用戶端處理完全消除了資料處理者關係。不需要 DPA,沒有國際傳輸風險,也沒有伺服器端保留。
何時需要伺服器處理
某些操作需要伺服器端處理:掃描文件的 OCR、複雜財務文件的 AI 驅動提取,以及某些進階轉換。當這種情況發生時,PDFSub 遵循嚴格的協議:
- 傳輸中加密——所有檔案傳輸均使用 TLS 加密
- 靜態加密——檔案在處理期間會被加密
- 立即刪除——處理完成後立即刪除檔案
- 不對用戶檔案進行訓練——上傳的文件絕不會用於訓練 AI 模型或改進演算法
- 目的限制——檔案僅專門為請求的操作進行處理
為企業客戶提供 DPA
PDFSub 為需要正式記錄處理者關係的企業客戶提供資料處理協議。這涵蓋了伺服器端處理場景,並包含所有第 28 條強制性條款。
透明的處理流程
PDFSub 的隱私方法很簡單:盡可能在本地處理,當必須進行伺服器處理時,透過加密和立即刪除來最小化數據暴露。沒有模糊的「業務目的」條款,也沒有對您數據的二次利用。
您可以瀏覽 PDFSub 的 77+ 種工具,並嘗試 7 天免費試用,在正式使用前親自驗證基於瀏覽器的處理模式。
選擇 PDF 工具的 GDPR 合規檢查表
在評估任何 PDF 工具的 GDPR 合規性時,請使用此檢查表。基於瀏覽器的工具完全避開了多個類別,但對於任何基於雲端的工具,每一項都很重要。
| # | 問題 | 注意重點 |
|---|---|---|
| 1 | 它是否在本地處理檔案? | 基於瀏覽器的處理 = 無資料傳輸 = 無處理者關係。可透過檢查瀏覽器開發者工具中的網路流量來驗證。 |
| 2 | 是否提供 DPA? | 應無需企業銷售電話即可獲取。必須包含所有第 28 條強制性條款。 |
| 3 | 伺服器位於何處? | 在歐盟/歐洲經濟區處理可避免傳輸複雜性。若在歐盟以外,檢查是否有適足性認定、SCCs 或 BCRs。 |
| 4 | 檔案保留政策為何? | 立即刪除是最佳做法。任何超出處理完成後的保留都需要正當理由。 |
| 5 | 資料是否用於任何二次目的? | 隱私政策應明確排除將檔案內容用於 AI 訓練、分析和廣告。 |
| 6 | 如何處理資料主體請求? | 當資料主體行使刪除權時,必須能夠確認已刪除保留的副本。 |
| 7 | 涉及哪些次處理者? | 公布清單,包含說明、位置,以及次處理者變更時的通知機制。 |
| 8 | 有哪些安全措施? | 傳輸中和靜態加密、存取控制、相關認證(ISO 27001, SOC 2)。 |
| 9 | 外洩通知承諾為何? | 在 72 小時內(或更短時間內)通知,並設有專門的安全事件聯絡窗口。 |
| 10 | 您可以稽核合規性嗎? | DPA 應包含稽核權。供應商應分享合規文件並指定資料保護官 (DPO)。 |
犯錯的代價:GDPR 罰款背景
GDPR 罰款旨在具有勸誡性。較低層級(第 83(4) 條)允許對處理者和安全違規處以高達 1,000 萬歐元或全球年度總營業額 2% 的罰款。較高層級(第 83(5) 條)允許對違反資料處理原則和資料主體權利的行為處以高達 2,000 萬歐元或全球年度總營業額 4% 的罰款。
執法趨勢顯而易見。2025 年,缺乏資料處理的法律依據佔總罰款金額的 90%(約 10.3 億歐元)。TikTok 在 2025 年 5 月因在缺乏足夠保障措施的情況下將歐盟用戶數據非法傳輸至中國而被處以 5.3 億歐元的罰款。小型組織也無法倖免——監管機構已對中小企業因 DPA 不足、安全性不夠和過度保留而開罰。
聲譽成本可能超過財務處罰。涉及客戶銀行對帳單或醫療記錄的資料外洩會損害信任,這種損害是任何罰款支付都無法修復的。
PDF 工具常見的 GDPR 違規行為
根據執法行動和監管指南,以下是與文件處理工具相關最常見的合規失敗案例。
過度的檔案保留
許多線上 PDF 工具會將上傳的檔案保留數天或數週。其理由——「以便您稍後下載檔案」——在 GDPR 審查下站不住腳。一旦轉換完成且結果已交付,原始檔案就應被刪除。
未披露的第三方分享
如果一個 PDF 工具將檔案路由經過多個雲端服務——用於上傳的 CDN、獨立的處理伺服器、用於 OCR 的 AI API——卻未披露這些次處理者,則違反了透明度要求。如果您不知道誰在處理您的數據,您就無法履行控制者義務。
將檔案用於 AI 訓練
某些文件處理工具會將上傳的檔案輸入機器學習管道。如果未明確披露並單獨獲得同意,這就違反了目的限制。用戶上傳檔案是為了轉換,而不是為了貢獻 AI 訓練數據集。
缺失或不足的 DPA
在沒有 DPA 的情況下作為資料處理者運作,對處理者和控制者來說都是違反 GDPR 的行為。控制者有義務確保在處理開始前已簽署 DPA。
臨時儲存的安全性不足
即使是短暫保留的檔案也必須受到保護。將上傳的 PDF 儲存在未加密的臨時目錄中、可透過可預測的 URL 存取,或缺乏適當的存取控制,都屬於第 32 條下的安全措施失敗。
缺乏刪除請求機制
如果資料主體行使刪除權,您必須確保所有處理者都刪除了相關數據。如果 PDF 工具供應商沒有處理此類請求的正式流程,就會產生合規漏洞。
合規團隊的實務步驟
如果您負責組織內的工具採購或資料保護,以下是選擇 PDF 工具的簡化流程。
- 稽核現有工具。 識別正在使用的每個 PDF 工具,包括影子 IT。員工通常會隨機使用他們找到的第一個免費線上工具。
- 按處理類型分類。 對於每個工具,確定它是在本地處理檔案還是將檔案上傳到伺服器。
- 請求 DPA。 對於任何基於雲端的工具,請求資料處理協議。沒有 DPA?請規劃遷移。
- 審查隱私政策中的紅旗。 模糊的分享條款、過度保留、二次數據利用、未披露的次處理者。
- 盡可能標準化使用基於瀏覽器的工具。 這消除了整類的合規風險。
- 記錄您的評估。 GDPR 的問責原則(第 5(2) 條)要求可證明的合規性。記錄您的評估過程和理由。
- 每年審查。 隱私政策、次處理者和適足性認定會發生變化。安排定期重新評估。
結論
PDF 工具的 GDPR 合規性不僅僅是勾選核取方塊,而是關乎一個基本事實:PDF 承載著個人資料,而處理這些 PDF 的每個工具都是您資料處理鏈的一部分。
最簡單的合規路徑也是最有效的:盡可能選擇在瀏覽器中處理檔案的工具。當伺服器處理不可避免時,堅持要求加密、立即刪除、明確的 DPA 和透明的做法。
PDFSub 正是為了解決這一現實而設計的——以基於瀏覽器的處理為預設,並在需要額外處理能力時採用嚴格的伺服器端協議。瀏覽所有 77+ 種工具 並開始 7 天免費試用,了解隱私優先的 PDF 處理在實務中是如何運作的。
您的客戶信任您處理他們最敏感的文件。請確保您的工具也值得這份信任。