iLovePDF 安全吗？

iLovePDF 声称具备 ISO 27001，并表示文件会按账户类型在 1、2 或 24 小时后删除。但其主要页面没有明确回答上传文件是否用于 AI 训练。

Smallpdf 安全吗？

Smallpdf 表示文件会在 1 小时内删除，除非用户主动保存到账户存储中；其隐私页还明确表示不会用这些文件训练模型。

把银行流水或护照上传到在线 PDF 工具安全吗？

只有在你能接受对方的保留时间、训练政策和司法辖区时才可以；如果是纯浏览器工具，风险通常更低。

用黑框盖住文字就算真正脱敏吗？

不算。那通常只是视觉遮挡，底层文本仍可能保留在 PDF 中。

怎么知道 PDF 里有没有隐藏元数据？

查看文档属性中的作者、创建者、生成器和关键词；更深入可用 pdfinfo 或 exiftool。

DropFile 会上传我的文件吗？

页面级 PDF 工具不会上传。AI 工具会上传用于短时处理，但不会保留，也不会用于训练。

如果我已经把敏感 PDF 上传到别处了怎么办？

先查看对方的保留时间，删除账户里的相关文件，并轮换文档中暴露的任何密钥、凭据或敏感信息。

在线 PDF 工具安全吗？2026 年基于证据的评测

安全与否取决于架构、保留策略和 AI 训练立场，而不是品牌名。下面是 iLovePDF、Smallpdf 已公开的信息，以及适用于任何工具的简明核查清单。

跳转到对比表 →

作者 Sarah W. · 审核 DropFile Editorial Team

发布时间 2026年4月18日最近复核 2026年5月5日

在线 PDF 工具安全吗？

简短回答：有些安全，有些不安全。关键差异通常在于架构，而不是品牌。真正要看的是文件如何流转、停留多久，以及供应商是否把文件用于处理之外的其他用途。

纯浏览器工具 完全在你的设备上运行，文件不会离开本机。
短时服务器处理工具 会上传文件、完成处理，并在公开声明的较短时间窗口内删除。
保留型云服务 会上传并保存文件，用于历史记录、协作或分享，因此暴露面更大。

三种 PDF 处理架构对比：纯浏览器、短时服务器处理、保留型云存储。 — 三种架构，对应三种风险模型。DropFile 的页面级工具在浏览器中运行，AI 工具采用短时服务器处理。

在 DropFile，合并、拆分、整理和转图片这类页面级 PDF 工具都在浏览器内完成。摘要、提取和聊天等 AI 功能使用短时服务器处理且不保留文件。详见隐私页与安全页。

把 PDF 上传到免费的在线工具后，会发生什么？

如果工具是纯浏览器架构，文件不会离开设备。如果工具依赖服务器，文件会通过 TLS 发送到供应商基础设施，在那里处理，然后按其声明的时间表删除。风险差异主要来自保留时间、分包方、司法辖区和是否存在二次用途。

TLS 只保护传输过程，不能替代对供应商内部系统的信任。
每一个云服务、OCR、分析平台或 AI 提供商都会扩大信任边界。
“X 小时后删除”意味着在这段时间内文件仍然处于暴露窗口。
是否用于训练 AI 非常重要：有的供应商明确否认，有的则完全不提。

DropFile、iLovePDF 和 Smallpdf 的隐私如何比较？

下表仅依据各家自己公开发布的页面整理。如果某一项写着“未说明”，表示在审阅时对方并未在主要的隐私、安全或信任页面中回答这一点。

基于三家官方公开页面整理的隐私对比（2026 年 4 月）。
	DropFile	iLovePDF	Smallpdf
服务类型	浏览器内 PDF 工具 + 短时 AI 工具	在线 PDF 工具体系	在线 PDF 工具体系
核心架构	合并/拆分/整理/转换在浏览器中；AI 使用短时服务器	网页端为服务器处理；同时提供桌面应用³	服务器处理⁶
核心功能是否需要上传	页面级工具不需要；AI 工具需要	网页端需要³	需要⁶
无账号保留时间	浏览器工具不存储；AI 输出默认不保留¹	"one, two or twenty-four hours..."⁴	"within one hour"⁶
有账号保留时间	历史记录加密，按套餐为 7 天 / 30 天 / 1 年¹	同样的 1/2/24 小时窗口；iLoveSign 最长 5 年³	默认一小时删除，除非保存到账户存储⁶
是否用于模型训练	"Nothing stored. Nothing trained on."¹	主要页面未说明³	"We do not use these files to train models"⁶
是否点名云服务商	Google Cloud (Cloud Run, Cloud SQL)²	未点名；列出 Cloudflare、Stripe、PayPal、Sentry 等⁴	Hetzner 负责文件处理；Cloudflare 处理认证相关数据⁶
司法辖区	美国（DropFile AI）	主要页面未明确；描述为全球服务⁵	Smallpdf AG 位于瑞士；服务器在爱尔兰⁶
公开声明的认证	GCP 平台层具备 SOC 1/2/3 与 ISO 27001；无产品级 SOC 2 或 HIPAA 声明²	ISO/IEC 27001；符合 GDPR 与 eIDAS³	ISO/IEC 27001；符合 GDPR、CCPA、nFADP、eIDAS⁷
是否有专门的元数据清理工具	暂无——在路线图中	未列出专门工具	核心工具中未列出；博客有说明⁸
是否有专门的文字遮盖工具	暂无——在路线图中	未列出	未列出

读表时要看三件事：是否明确说明保留时间、是否明确说明 AI 训练、是否点名云服务提供商。信息越具体，透明度越高。

PDF 实际上会泄露哪些信息？

PDF 不是一张扁平图片，而是容器。除了可见文字外，它通常还包含作者、创建软件、操作系统用户名、时间戳、缩略图、批注、表单、嵌入文件，有时还包括 JavaScript。ISO 32000 把元数据视为正式内容的一部分。

这意味着看起来无害的文件也可能暴露来源细节或表现出意外行为。Shadow Attacks 研究表明，某些已签名 PDF 可以在不让签名失效的情况下改变可见内容¹²。

为什么“黑框遮住”不等于真正的脱敏

在文字上盖黑框只是视觉遮挡，不是真正删除。原始文本层往往仍然存在，可以通过复制粘贴、PDF 搜索，或 pdftotext 等工具恢复¹³。

真正的脱敏需要把文本从内容流中移除，并重写文件。NIST SP 800-88 Rev. 1 是这类破坏性删除的实践参考¹⁴。

可见层被黑框覆盖，但下方隐藏文本层仍然存在的 PDF。 — 黑框只能遮住可见层，下面的文本流仍可能保持不变。

如何自行验证任意 PDF 工具

你不必相信供应商的营销说法。浏览器开发者工具通常在一分钟内就能回答“是否上传文件”这个基本问题。

打开网络面板。 打开开发者工具并清空请求列表。
用一个小的测试 PDF 试运行。 不要一开始就用敏感文件。
观察是否有携带文件的外发请求。 纯浏览器工具通常不会出现文件上传请求；服务器工具通常会。

这不是完整的安全审计，但足以验证大多数“不会上传文件”的说法。

上传敏感 PDF 前，先问这七个问题

文件到底在哪里运行？ 是浏览器、本地应用、供应商服务器，还是混合？
如果要上传，会保留多久？ 找明确的时间窗口与删除机制。
有哪些分包方？ 云服务、OCR、AI、分析、支持工具等。
内容会不会用于模型训练？ AI 工具尤其要明确说明。
适用哪个司法辖区？ 公司注册地和数据实际所在位置是什么？
所谓的遮盖是否真的删除了文字？ 用复制粘贴测试。
历史上如何披露过安全事件？ 有清晰披露通常比完全沉默更可信。

监管机构对文档工作流有什么期待？

到 2026 年，监管者通常把文档处理视为控制者技术与组织措施的一部分，而不是一个独立的软件选择问题。实践中反复出现的参考主要有三个。

GDPR 第 25 条 强调默认最小化处理和隐私保护设计¹⁶。
GDPR 第 32 条 关注保密性、完整性、韧性和适当保障¹⁷。
HIPAA 45 CFR §164.312 在涉及医疗信息时要求访问控制、审计、完整性与传输安全¹⁸。

如今纯浏览器工作流之所以可行，是因为现代浏览器已经具备足够的文件 API，其中就包括 File System Access API¹⁵。

DropFile 的页面级工具——合并、拆分、整理页面和转图片——都在本地运行。像摘要和提取这样的 AI 工具采用短时处理且不用于训练。

参考资料

DropFile — Privacy policy — Retention by plan, AI-training stance, history toggle
DropFile — Security page — Infrastructure, encryption, compliance posture
iLovePDF — Security & Data Protection — Retention, encryption, ISO 27001, desktop app
iLovePDF — Privacy Policy (hosted on iubenda) — Granular 1/2/24-hour retention windows; listed subprocessors
iLovePDF — PDF Compliance & GDPR — "Global online service"; desktop app as local-processing option
Smallpdf — Privacy Notice — No model training; Hetzner + Cloudflare subprocessors; Swiss HQ; 1-hour retention
Smallpdf — Trust Center — ISO 27001, GDPR, CCPA, nFADP; TLS
Smallpdf — Ways to remove PDF metadata (blog)
Scribd Inc. — About
Everand — homepage
ISO 32000-2 — Document management — Portable document format
Shadow Attacks on PDF signatures
Nitro — Best PDF Redaction Tools 2026
NIST SP 800-88 Rev. 1 — Guidelines for Media Sanitization
File System Access API — MDN Web Docs
GDPR Article 25 — Data protection by design and by default
GDPR Article 32 — Security of processing
HIPAA 45 CFR §164.312 — Technical safeguards

常见问题

iLovePDF 安全吗？: iLovePDF 声称具备 ISO 27001，并表示文件会按账户类型在 1、2 或 24 小时后删除。但其主要页面没有明确回答上传文件是否用于 AI 训练。
Smallpdf 安全吗？: Smallpdf 表示文件会在 1 小时内删除，除非用户主动保存到账户存储中；其隐私页还明确表示不会用这些文件训练模型。
把银行流水或护照上传到在线 PDF 工具安全吗？: 只有在你能接受对方的保留时间、训练政策和司法辖区时才可以；如果是纯浏览器工具，风险通常更低。
用黑框盖住文字就算真正脱敏吗？: 不算。那通常只是视觉遮挡，底层文本仍可能保留在 PDF 中。
怎么知道 PDF 里有没有隐藏元数据？: 查看文档属性中的作者、创建者、生成器和关键词；更深入可用 pdfinfo 或 exiftool。
DropFile 会上传我的文件吗？: 页面级 PDF 工具不会上传。AI 工具会上传用于短时处理，但不会保留，也不会用于训练。
如果我已经把敏感 PDF 上传到别处了怎么办？: 先查看对方的保留时间，删除账户里的相关文件，并轮换文档中暴露的任何密钥、凭据或敏感信息。

无需上传文件即可合并、拆分和整理 PDF

我们的页面级 PDF 工具完全在浏览器中运行，文件不会到达服务器，因此没有保留窗口，也不存在训练问题。

打开 DropFile PDF 工具