如何從 PDF 中永久抹除敏感資訊
在 PDF 文字上畫黑框並不會將其移除。文字仍然存在,且可被選取、搜尋和擷取。以下說明如何正確地對 PDF 進行遮蓋,以便永久銷毀敏感資訊。
您有一份 PDF 文件,第 3 頁有身分證字號,第 7 頁有客戶的住家地址,第 12 頁的表格中則隱藏著銀行帳號。您需要與對造律師、監管機構、商業夥伴或公眾分享這份文件,但這些敏感資訊必須消失。
於是您打開 PDF,在身分證字號上畫了一個黑色矩形,儲存後發送。
您剛剛犯了世界上最常見的遮蓋錯誤。文字仍然在那裡。任何收到該 PDF 的人都可以選取「已遮蓋」區域,複製隱藏的文字,然後將其貼上到文字編輯器中。您客戶的身分證字號現在就躺在某人的剪貼簿裡。
這不是理論上的風險。美國司法部、TSA、財星 500 強公司以及處理備受矚目案件的律師事務所都曾發生過這種情況。真正的遮蓋(Redaction)——即真正永久移除資訊的做法——需要特定的流程。在文字上畫形狀並不是正確的做法。
本指南涵蓋了什麼是真正的遮蓋、它與虛假版本的區別,以及三種正確的操作方法——其中一種完全在您的瀏覽器中處理文件,因此敏感內容永遠不會接觸伺服器。
遮蓋的真正含義
遮蓋(Redaction)是指從文件中永久、不可逆地移除資訊。不是隱藏,不是覆蓋,而是移除。
當您正確地遮蓋 PDF 時:可見文字會被黑框取代,底層字元資料會從 PDF 的內容串流(content stream)中刪除,文字變得無法搜尋,任何複製貼上或程式化擷取都無法恢復,且相關的中繼資料(書籤、註釋、表單欄位)也會被清理。如果未滿足其中任何一項條件,您只是做了視覺疊加,而不是遮蓋。
PDF 如何儲存文字(以及為何疊加會失敗)
要理解為什麼黑框不起作用,您需要了解 PDF 如何儲存文字。
PDF 頁面是一個內容串流——一系列將單個字元定位在畫布上精確 x,y 座標的運算子。文字「身分證字號:A123456789」被儲存為定位指令。在該文字上方繪製黑色矩形會向內容串流添加新的圖形元素,但原始文字運算子保持不變。文字仍在檔案中,仍然可以被選取,仍然可以被擷取。
這就像在印刷文件的某一行貼上黑色膠帶一樣,墨水仍然在下面的紙上。真正的遮蓋在數位上的等同於將該行從頁面上完全剪掉並燒掉碎片。
真實遮蓋 vs. 虛假遮蓋
| 真實遮蓋 | 虛假遮蓋 | |
|---|---|---|
| 視覺外觀 | 內容上方有黑框 | 內容上方有黑框 |
| 底層文字 | 永久刪除 | 仍存在於檔案中 |
| 選取與複製 | 無法選取 | 文字可被複製 |
| 文字搜尋 | 無相符項 | 可找到相符項 |
| 程式化擷取 | 不回傳資料 | 擷取完整文字 |
| 中繼資料 | 已清理 | 未觸動 |
| 是否可逆? | 否 — 資訊已銷毀 | 是 — 移除疊加層即可 |
從外表看,真實和虛假的遮蓋看起來一模一樣。兩者都有黑框。區別完全在於表面之下發生的事情——而這種區別導致了近代歷史上一些最令人尷尬的資訊洩漏事件。
著名的遮蓋失敗案例
這些不是假設的情境。以下每個案例都涉及大型組織的專業人員,他們認為自己已經遮蓋了敏感資訊。事實並非如此。
馬納福特案 (2019)
保羅·馬納福特(Paul Manafort)的律師向美國地方法院提交了一份法庭文件,意圖遮蓋其客戶與俄羅斯情報機構互動的細節。「遮蓋」部分是黑框——但底層文字完全完好無損。記者只需複製並貼上隱藏文字,就揭露了馬納福特曾與一名俄羅斯合夥人分享民調數據。這則新聞佔據了整個新聞週期。法律團隊使用了文書處理軟體的螢光筆功能(黑色背景配黑色文字)並匯出為 PDF,卻沒意識到文字層被保留了。
TSA 機場安檢藍圖 (2009)
美國運輸安全管理局(TSA)發布了一份經過遮蓋的機場安檢程序手冊。遮蓋只是在 PDF 文字上畫的簡單黑色矩形。安全研究人員移除了疊加層,並獲取了完整的未遮蓋文件,其中包含有關安檢豁免、執法身分識別程序和檢查站漏洞的細節。TSA 不得不修訂其整個安檢協議。
AT&T / NSA 竊聽案 (2006)
在電子前哨基金會(EFF)針對 AT&T 未經授權竊聽的訴訟中,AT&T 提交了一份帶有「遮蓋」商業秘密的法律簡報。遮蓋是 PDF 文字上的黑框。描述 NSA 在 AT&T 設施內監控基礎設施的全文被輕而易舉地擷取。該文件在被撤下之前已被下載了數千次。
共同模式
在每個案例中,失敗模式都是相同的:在文字上繪製了視覺元素,但沒有刪除文字本身。犯下這些錯誤的人並非粗心大意——他們是律師、政府官員和安全專業人員。他們使用的工具(文書處理軟體、基礎 PDF 編輯器、註釋功能)根本無法執行真正的遮蓋。
您應該遮蓋哪些資訊?
答案取決於您的監管環境,但以下類別涵蓋了商業文件中最常見的敏感資料。
個人識別資訊 (PII)
- 身分證字號 (SSN) 與納稅人識別號碼 (TIN)
- 銀行帳號與分行代碼
- 信用卡與金融卡卡號
- 駕照與護照號碼
- 出生日期
- 住家地址與個人電話號碼
- 電子郵件地址(當與其他 PII 關聯時)
- 生物特徵識別碼
財務資訊
- 帳戶餘額與交易紀錄
- 薪資與報酬數據
- 報稅資料
- 投資帳戶細節
- 貸款與抵押貸款資訊
- 信用評分與信用報告資料
醫療與健康資訊 (HIPAA)
- 結合健康數據的患者姓名
- 病歷號碼
- 診斷與治療細節
- 處方資訊
- 健康保險保單號碼
- 實驗室結果與醫學影像報告
法律與商業資訊
- 法庭文件中的未成年人姓名
- 刑事訴訟中的受害者與證人身分
- 律師與客戶間的保密通訊
- 營業秘密與專利配方
- 密封的法庭紀錄與大陪審團資料
- 案件編號與案卷資訊(在某些司法管轄區)
- 機密和解條款
人事與僱傭紀錄
- 員工身分證字號與扣繳資料
- 薪資數據與獎金金額
- 懲戒紀錄與績效評估
- 病假細節
- 背景調查結果
- 內部調查筆記
一般原則:如果資訊可以識別特定個人、揭露其財務狀況、暴露其病史或公開受保護的法律通訊,則在與任何沒有正當需求的人分享文件之前,都應將其遮蓋。
按文件類型分類
不同的文件往往在不同的地方隱藏敏感數據:
- 法律文件: 當事人姓名和地址(特別是家事/青少年案件)、特權通訊、證人身分、和解條款、財務附件中的身分證字號、未成年人姓名。
- 財務文件: 帳號和分行代碼、身分證字號/TIN、交易細節、餘額、薪資數據。
- 醫療紀錄 (HIPAA): HIPAA 的隱私規則確定了 18 種必須移除的特定識別碼,包括姓名、地理數據、日期、電話/傳真/電子郵件、身分證字號、病歷號、健康計畫 ID、帳號、執照號碼、設備識別碼、生物特徵數據和照片。每次違規的罰款從 100 美元到 50,000 美元不等。
- 人事文件: 稅務表格(如 W-2, W-4, I-9)上的員工身分證字號、薪資數據、懲戒紀錄、病假細節、背景調查結果、個人聯絡資訊。
方法 1:PDFSub 遮蓋 PDF 工具(推薦)
PDFSub 的 遮蓋 PDF 工具 執行真正的遮蓋——遮蓋標記下方的文字會從檔案中永久移除,而不僅僅是視覺上的覆蓋。而且由於該工具完全在您的瀏覽器中運行,包含敏感資訊的文件永遠不會離開您的設備。
操作步驟
步驟 1:上傳您的 PDF。 將文件拖放到 遮蓋 PDF 工具 或點擊瀏覽。檔案直接載入到您的瀏覽器中——不會上傳到伺服器。
步驟 2:標記要遮蓋的區域。 選取您要移除的文字或區域。您可以標記特定的單詞、句子、整個段落,或在圖像和圖表上繪製遮蓋框。工具會在您確認之前準確顯示將被遮蓋的內容。
步驟 3:套用遮蓋。 點擊套用。該工具會從 PDF 的內容串流中永久移除標記的內容。文字被刪除——不是隱藏,不是疊加,而是刪除。黑框會填充內容原本所在的位置。
步驟 4:下載。 儲存已遮蓋的 PDF。您下載的檔案不含任何被移除資訊的痕跡。您可以透過嘗試選取遮蓋區域中的文字(將無內容可選)或對移除的內容進行文字搜尋(將找不到相符項)來驗證這一點。
為什麼此方法最適合敏感文件
基於瀏覽器的處理。 整個遮蓋過程都在您的瀏覽器中發生。您的 PDF 永遠不會在網際網路上傳輸,永遠不會落在第三方伺服器上,也永遠不會被記錄、快取或保留。對於對合規性敏感的工作流程,這不是「最好有」,而是「必須有」。
真正的遮蓋,而非註釋。 文字實際上是從 PDF 的內部資料結構中刪除的,而不僅僅是覆蓋。遮蓋後,內容無法恢復。
價格實惠。 與每年 240 美元的 Adobe Acrobat Pro 不同,PDFSub 以極低的成本提供專業的遮蓋功能。您可以從 7 天免費試用 開始,驗證該工具是否符合您的需求。
適用於任何設備。 從 Windows、Mac、Linux、Chromebook 和平板電腦遮蓋 PDF——只要有現代網頁瀏覽器即可。
方法 2:Adobe Acrobat Pro
Adobe Acrobat Pro 包含一個專用的遮蓋工具,可以執行真正的遮蓋。它是法律和政府工作流程的行業標準。
如何在 Acrobat Pro 中進行遮蓋
步驟 1:開啟遮蓋工具。 前往「工具」>「遮蓋」。這會開啟遮蓋工具列。
步驟 2:標記要遮蓋的內容。 點擊並拖曳以選取文字、遮蓋整個頁面,或使用「尋找並遮蓋」在整個文件中搜尋特定模式(如身分證字號格式)。
步驟 3:套用遮蓋。 這是許多使用者忽略的關鍵步驟。標記只會在文字周圍加上紅色輪廓——它尚未將其移除。您必須點擊「套用」才能永久刪除內容。
步驟 4:移除隱藏資訊。 使用「移除隱藏資訊」來清理中繼資料、註釋、表單欄位和嵌入檔案。
優點與缺點
Acrobat Pro 是行業標準,獲得法律/政府廣泛認可,提供批次「尋找並遮蓋」,並能移除隱藏資訊。然而,它的費用為每年 240 美元,需要安裝桌面版,且兩步流程(標記後套用)是使用者忘記套用步驟時常見的錯誤來源。
兩步陷阱
這值得強調,因為它導致了真實的資料外洩:標記要遮蓋的內容不等於遮蓋它。 標記只是放置一個視覺指示器。文字仍在檔案中。只有「套用」才會刪除它。如果您在標記後、套用前儲存並分享,您分享的就是一份帶有虛假遮蓋的文件。
方法 3:Mac 上的預覽程式 (Preview)
Apple 的預覽程式(macOS 內建)具有可以在文字上放置黑色矩形的註釋工具。許多 Mac 使用者認為這構成了遮蓋。事實並非如此。
預覽程式實際上做了什麼
當您使用預覽程式的矩形註釋工具覆蓋文字時:
- 在 PDF 內容上方繪製了一個黑色形狀
- 底層文字保持完全完好
- 仍然可以透過在矩形下方點擊並拖曳來選取文字
- 文字仍然出現在搜尋結果中 (Cmd+F)
- 文字可以被任何 PDF 解析工具擷取
- 註釋可以被完全移除,顯露原始文字
警告:預覽程式不執行真正的遮蓋
預覽程式的註釋不是遮蓋。 它們與之前描述的導致馬納福特、TSA 和 AT&T 失敗的視覺疊加完全相同。使用預覽程式來「遮蓋」PDF 並分享,在功能上等同於分享未遮蓋的文件。
截至 macOS Sequoia (2025),預覽程式仍不包含真正的遮蓋功能。如果您使用的是 Mac,請改用 PDFSub 基於瀏覽器的 遮蓋 PDF 工具 或 Adobe Acrobat Pro。
如何驗證預覽程式的失敗
您可以親自嘗試:在預覽程式中開啟任何 PDF,在某些文字上畫一個填充黑色的矩形,儲存,重新開啟,然後按 Cmd+F 搜尋「隱藏」的文字。它會被找到。它從未被移除。這個 30 秒的測試證明了為什麼將註釋工具用於遮蓋是危險的。
遮蓋最佳實踐
選對遮蓋工具只是成功的一半。圍繞遮蓋的流程同樣重要。
1. 遮蓋後務必驗證
套用遮蓋後,測試輸出結果。嘗試選取遮蓋區域中的文字——如果您可以反白顯示黑框下方的任何內容,則遮蓋失敗。搜尋 (Ctrl+F / Cmd+F) 應該被移除的內容。在不同的 PDF 檢視器中開啟檔案,因為有些檢視器處理註釋的方式不同。對於高風險的遮蓋(法律訴訟、監管提交),請使用文字擷取工具傾印所有文字,並確認遮蓋內容已不存在。
2. 移除中繼資料
遮蓋可見文字是必要的,但還不夠。PDF 攜帶的中繼資料可能會洩露敏感資訊:文件屬性(作者、組織、建立日期)、評論和註釋、表單欄位資料、嵌入的檔案附件、書籤、JavaScript 和 XMP 中繼資料。徹底的遮蓋工作流程除了可見內容外,還會移除所有這些內容。
3. 使用副本進行操作
永遠不要遮蓋原始文件。製作一個副本,將原始文件儲存在安全位置,在副本上執行所有遮蓋,驗證後僅分發已遮蓋的版本。未遮蓋的原始文件稍後可能用於法律程序、稽核軌跡或內部審查。
4. 使用一致的遮蓋外觀
在您的組織中標準化遮蓋的外觀。黑框是法律和政府文件的標準。考慮添加遮蓋標籤(例如「已遮蓋」、「受保護權利」、「PII 已移除」),以便讀者知道內容為何被移除。
5. 記錄與審查
出於法律和合規目的,請保留誰執行了遮蓋、何時執行、移除了哪些類別的資訊以及使用了什麼工具的紀錄。如果遮蓋的充分性受到質疑,這將建立稽核軌跡。
在遮蓋的文件離開您的組織之前,請安排第二個人進行審查。新的眼光可以發現遺漏的遮蓋、不完整的移除,以及可能讓讀者從上下文推斷出遮蓋內容的線索。兩人審查是政府資訊公開辦公室的標準做法。
批次遮蓋:尋找並移除模式
當您需要在一份大型文件中遮蓋相同類型的資訊時,手動選取變得不切實際。批次遮蓋透過搜尋模式並一次標記所有相符項來自動化該過程。
常見的批次遮蓋模式:
| 資料類型 | 模式格式 |
|---|---|
| 身分證字號 | XXX-XX-XXXX, XXX XX XXXX, XXXXXXXXX |
| 電子郵件地址 | [email protected] |
| 電話號碼 | (XXX) XXX-XXXX, XXX-XXX-XXXX, +1XXXXXXXXXX |
| 信用卡號碼 | 13-19 位數字序列,通常每四位一組 |
| 帳號 | 跟在「帳號 #」或「帳戶」後面的 8-17 位數字序列 |
| 出生日期 | MM/DD/YYYY, Month DD, YYYY, DD-MM-YYYY |
工作流程:定義您的模式,在所有頁面上執行搜尋,審查每個相符項(並非每個模式相符項實際上都是敏感的),一次套用所有遮蓋,然後手動檢查不符合您模式的內容。姓名、地址和自由文字描述很少符合簡單模式,需要人工審查。
遮蓋的法律要求
遮蓋不僅僅是最佳實踐。在許多情況下,它是法律要求。
FOIA (資訊自由法)。 回應 FOIA 請求的聯邦機構必須公開文件,但被要求遮蓋屬於九種特定豁免範圍的資訊——包括國家安全資訊、商業秘密、個人隱私和執法紀錄。州級的公開紀錄法也有類似的要求。不當遮蓋可能導致訴訟、法院命令和機構制裁。
GDPR。 根據歐盟通用資料保護規則,回應資料主體存取請求(第 15 條)的組織必須遮蓋同一文件中的任何第三方個人資料。「被遺忘權」(第 17 條)也可能要求從組織必須保留的文件中遮蓋個人資料。違規行為可能導致高達 2000 萬歐元或全球年度營收 4% 的罰款。
HIPAA。 受保護的健康資訊在出於非治療目的披露之前必須進行去識別化處理。「安全港」方法要求移除前面提到的所有 18 個識別碼類別。每次違規的罰款從 100 美元到 50,000 美元不等。
法院命令。 法院通常會命令在公開文件中遮蓋未成年人姓名、商業秘密、舉報人身分和密封材料。不遵守規定可能導致藐視法庭制裁、案件撤銷或律師懲戒。
州隱私法。 加州的 CCPA/CPRA、維吉尼亞州的 CDPA、科羅拉多州的 CPA 以及類似的州法律施加了類似 GDPR 的義務。回應消費者資料請求的組織必須在披露前遮蓋第三方資訊。
常見問題
遮蓋的文字可以被恢復嗎?
如果使用真正的遮蓋工具正確執行了遮蓋——不行。字元資料已被永久刪除。沒有隱藏層,沒有加密備份,也沒有鑑識恢復路徑。如果「遮蓋」只是在文字上繪製的一個形狀(虛假遮蓋),那麼是的——任何人都可以使用基礎 PDF 檢視器選取、複製和貼上隱藏的文字。
我可以遮蓋 PDF 中的圖像資訊嗎?
可以。遮蓋工具可以在嵌入圖像的區域上放置方框,用實心填充對受影響區域進行點陣化,從而銷毀原始像素。這對於文字作為圖像的一部分(而非可選取字元)存在的掃描文件非常重要。
遮蓋表單欄位呢?
PDF 表單欄位儲存資料的方式與可見頁面內容分開。在表單欄位的可見位置上方放置遮蓋框不一定會移除儲存的資料。徹底的遮蓋還必須扁平化或移除表單欄位及其關聯資料。
遮蓋會改變頁面佈局嗎?
不會。遮蓋區域會被實心彩色方框取代,這些方框佔據與被移除內容相同的空間。周圍的文字和佈局保持在原始位置。
我可以撤銷遮蓋嗎?
不行——這正是遮蓋的目的。遮蓋是永久且不可逆的。這就是為什麼您應該始終使用副本進行操作,並將未遮蓋的原始文件安全地儲存。
遮蓋與加密有何不同?
加密限制了誰可以存取整個文件。遮蓋限制了任何人都可以存取的文件中哪些內容是可見的。它們用途不同,且經常一起使用。
在覆蓋文字後列印為 PDF 是有效的遮蓋方法嗎?
不可靠。某些列印為 PDF 的驅動程式會扁平化視覺層並移除底層文字,但有些會保留它。絕不應依賴此方法進行敏感遮蓋。請使用專用的遮蓋工具。
我可以遮蓋受密碼保護的 PDF 嗎?
您需要在遮蓋前解鎖 PDF。如果 PDF 有擁有者密碼(限制編輯)或使用者密碼(限制開啟),您需要先取得該密碼。解鎖後,遮蓋過程與任何未受保護的 PDF 相同。
結論
一份看起來已遮蓋但實際未遮蓋的文件比未遮蓋的文件更糟糕——它創造了一種虛假的安全感,導致人們分享原本會保護的敏感資訊。
三個重點:
- 使用真正的遮蓋工具。 在文字上畫形狀不會遮蓋任何內容。文字仍留在檔案中。請使用會刪除底層內容的工具。
- 每次都要驗證。 嘗試選取遮蓋區域中的文字,搜尋已移除的內容,並在第二個應用程式中進行測試。
- 在處理過程中保護文件。 如果您的工具將 PDF 上傳到伺服器,您的敏感文件現在就在第三方伺服器上。PDFSub 的 遮蓋 PDF 工具 在您的瀏覽器中處理文件——檔案永遠不會離開您的設備。
遮蓋錯誤的代價是暴露的身分證字號、洩露的病歷、公開的商業秘密以及高達數百萬的監管罰款。而做對這件事的代價只需幾分鐘的時間。
免費試用 PDFSub 遮蓋 PDF 工具 7 天,親自驗證敏感內容是否已永久消失。