隐私政策

PDF Pro（pdfpro.tools）是一个隐私优先的 PDF 平台，提供 PDF 文档的查看、注释、签署、验证、压缩、转换、合并、创建及安全传输工具。我们还提供 AI 驱动的功能，包括文档对话、OCR 扫描和翻译，以及 Chrome 浏览器扩展。

本隐私政策说明 PDF Pro（以下简称“我们”）在您使用我们位于 pdfpro.tools 的网站、Web 应用、Chrome 浏览器扩展及相关服务（统称“服务”）时，如何收集、使用、存储和保护信息。

我们致力于透明。本政策以通俗语言撰写，以便您准确了解您的数据的处理方式。在使用技术术语时，我们会加以解释。

使用本服务即表示您同意按照本隐私政策收集和使用信息。如您不同意本政策，请勿使用本服务。

我们仅收集运营服务所需的最少数据。以下是我们所收集数据的完整列表：

2.1 账户信息

• 电子邮件地址 — 在您创建账户时提供。用于身份验证、账户恢复及必要的服务通信。
• 显示名称 — 可选。用于个性化您的体验，并在您选择注册公钥时与您的公共签名密钥关联。
• 密码哈希 — 我们从不存储您的明文密码。我们仅存储由 Supabase Auth 使用 bcrypt 生成的加密哈希值。

2.2 订阅与支付数据

• 订阅状态 — 您是免费计划还是付费计划，以及您的订阅续期或到期时间。
• Stripe 客户 ID — 将您的账户与 Stripe 支付处理系统关联的参考标识符。我们不在服务器上存储信用卡号、CVV 或完整支付卡信息。所有支付数据由 Stripe 独家处理。

2.3 使用数据

• 功能使用计数 — 我们跟踪您使用某些功能的次数（例如 AI 对话消息数、OCR 扫描次数），仅用于执行计划限额。这些是简单的数字计数器，不含内容。
• 基础分析 — 页面浏览量、功能参与度和错误日志，用于改善服务。这些数据经过聚合处理，不含文档内容。

2.4 公共签名数据（可选加入）

• 公钥 — 如果您使用隐私签名功能并选择注册公钥，我们会存储与您身份关联的公钥（ECDSA P-256）。这是您密钥对的公开部分，旨在用于共享以进行签名验证。
• 签名记录 — 分离式签名元数据（文档哈希、数字签名、签名者公钥、时间戳）。这些记录从不包含 PDF 文件本身。详情请参见第 6 节。

2.5 安全传输元数据

• 加密文件数据 — 在上传前于客户端使用 AES-256-GCM 加密的文件。我们无法解密这些文件。详情请参见第 5 节。
• 传输元数据 — 到期时间戳、阅后即焚状态、接收方访问日志（仅用于审计追踪目的的下载方 IP 地址）。

我们明确不收集、存储、访问或具备访问以下内容的能力：

• 您的 PDF 文件内容 — PDF 文件从不上传到我们的服务器进行处理。所有查看、注释、压缩、转换、合并和创建操作均完全在您的浏览器中使用客户端 JavaScript 和 WebAssembly 执行。我们的服务器从不看到您未加密的文档数据。
• 您的私密加密密钥 — 您的 ECDSA P-256 私钥在您的浏览器中使用 Web Crypto API 生成，以通过 PBKDF2（100,000+ 次迭代）+ AES-256-GCM 从您的密码派生的密钥加密，并专门存储在您浏览器的 IndexedDB 中。私钥在任何情况下均不会传输到我们的服务器。
• 您的密钥密码短语 — 您用于保护私钥的密码短语仅在浏览器内存中存在于活跃使用期间，从不存储或传输。
• 未加密的文件传输内容 — 通过安全传输发送的文件在上传前于客户端使用 AES-256-GCM 加密。加密密钥嵌入在 URL 片段（# 之后的部分）中，根据 HTTP 规范永远不会发送到服务器。我们仅拥有加密数据，在没有密钥的情况下解密在计算上是不可行的。
• 来自 AI 功能的文档文本或内容 — 从您的 PDF 中提取用于 AI 对话、OCR 或翻译的文本是短暂处理的。我们不在服务器上存储提取的文本或 AI 对话历史。有关第三方 AI 处理的详情，请参见第 8 节。
• 浏览历史或个人文件 — 我们的 Chrome 扩展不访问您的浏览历史、书签或您明确使用扩展打开的 PDF 以外的文件。
• 生物特征数据、位置数据或联系人列表 — 我们不收集以上任何内容。

PDF Pro 的核心架构与大多数在线 PDF 工具有着根本区别。以下是其工作原理：

4.1 客户端处理模型

当您在 PDF Pro 中打开 PDF 时，文件完全加载到您浏览器的内存中。所有处理均使用在您浏览器中运行的 JavaScript 和 WebAssembly 在本地执行。包括：

• 查看与渲染 — PDF 使用 PDF.js 渲染，这是 Mozilla 的开源库，完全在您的浏览器中运行。
• 注释 — 所有注释（高亮、文本框、绘图、便利贴）均在客户端应用。带注释的 PDF 在您的浏览器中生成并直接下载到您的设备。
• 压缩 — PDF 优化和压缩算法在您的浏览器中执行。压缩后的文件直接保存到您的设备。
• 转换 — 文件格式转换（PDF 与其他格式的互转）在您的浏览器本地完成。
• 合并与拆分 — PDF 文件的合并或拆分完全在浏览器内存中执行。
• 创建 PDF — 新 PDF 在客户端使用 jsPDF 或同等库生成。

4.2 服务器从不看到明文

我们的服务器无法访问您的文档内容，因为数据从未被发送到服务器。这不是一个可以更改的政策选择 — 而是客户端处理模型的架构结果。准确地说：本产品不使用零知识证明（ZKP）。“服务器对明文零知识”这一表述是指此处描述的客户端加密模型，而非密码学 ZKP 构造。

唯一的例外是：

• 安全传输 — 文件在上传前于客户端加密。我们仅存储加密数据。请参见第 5 节。
• AI 功能 — 提取的文本被发送到 AI API 进行处理。请参见第 8 节。

在这两种情况下，我们在服务器上都不会看到明文：加密数据在没有密钥的情况下无法读取（我们从不持有密钥），而 AI 处理的文本是短暂的，不会被存储。

4.3 无服务器端文件存储

PDF Pro 不为用户文档维护文件存储系统。没有您 PDF 的“云存储“。当您关闭浏览器标签时，从我们的角度来看文档已消失（它从未在我们这里）。您的原始文件仍然完好地保留在您的设备上。

安全传输允许您通过端对端加密向他人发送文件。以下是其工作原理及涉及的数据：

5.1 端对端加密流程

1. 密钥生成：使用 Web Crypto API（crypto.getRandomValues）在您的浏览器中生成一个随机 256 位 AES-GCM 加密密钥。
2. 客户端加密：您的文件在浏览器中使用所生成的密钥通过 AES-256-GCM 加密。这发生在任何数据离开您的设备之前。
3. 上传：仅将加密密文上传到我们的存储服务器。加密密钥绝不会发送到我们的服务器。
4. 链接生成：生成一个可共享的链接。加密密钥被放置在 URL 片段（# 之后的部分）中，根据 HTTP/HTTPS 规范，该部分永远不会传输到服务器。示例：https://pdfpro.tools/transfer/abc123#encryptionKeyHere
5. 解密：当接收方打开链接时，其浏览器从 URL 片段中提取密钥并在本地解密文件。解密后的文件仅存在于接收方的浏览器内存中。

5.2 自动到期

所有传输的文件在可配置的到期期限后自动从我们的服务器删除。最长保留期为 7 天。到期后，加密数据将从我们的存储基础设施中永久删除。此删除操作不可逆。

5.3 阅后即焚

发送方可以启用“阅后即焚“模式，该模式在第一次成功下载后立即自动从我们的服务器永久删除加密文件。一旦销毁，任何人（包括我们）都无法恢复该文件。

5.4 安全传输的存储内容

PDF Pro 的隐私签名功能使用 ECDSA P-256（椭圆曲线数字签名算法）提供加密文档签名。该系统从一开始就设计为无需上传您的 PDF。

6.1 签名工作原理

1. 哈希处理：您的 PDF 在浏览器中使用 SHA-256 进行本地哈希处理。仅使用生成的 32 字节哈希（文档的固定长度指纹）— 无法从哈希值还原 PDF 内容。
2. 签名：使用 Web Crypto API 以您的 ECDSA P-256 私钥对哈希值进行签名，生成数字签名。
3. 记录：存储一条分离式签名记录，仅包含：文档哈希、数字签名、签名者公钥和时间戳。PDF 文件本身从不上传。

6.2 私钥管理

• 密钥生成：ECDSA P-256 密钥对在您的浏览器中使用 window.crypto.subtle.generateKey() 生成。
• 密钥存储：私钥使用通过 PBKDF2（SHA-256 迭代 100,000+ 次）从您的密码短语派生的密钥结合 AES-256-GCM 加密，然后存储在您浏览器的 IndexedDB 中。
• 密钥永不离开设备：您的私钥从不传输到我们的服务器，从不包含在 API 请求中，也从不以未加密的形式被我们的代码访问（它仅在 Web Crypto API 边界内被解密）。
• 密钥导出：您可以导出加密的私钥进行备份。导出的文件以您的密码短语加密，没有密码短语则无用。

6.3 签名存储内容

• SHA-256 文档哈希（32 字节 — 无法反推获得文档内容）
• ECDSA 数字签名
• 签名者公钥
• 签名时间戳
• 可选：签名者的注册显示名称

我们不存储：PDF 文件、任何页面内容、提取的文本、文档中的图像、签名者的私钥或签名者的密码短语。

PDF Pro Chrome 扩展增强了您浏览器内置的 PDF 查看功能。它与我们的 Web 应用程序遵循相同的隐私优先原则。

7.1 扩展的功能

• 拦截在 Chrome 中打开的 PDF 文件，提供增强的查看体验
• 直接在浏览器中提供注释、签名和其他 PDF 工具
• 在浏览器本地处理所有 PDF 操作

7.2 扩展不执行的操作

• 不访问您的浏览历史 — 扩展仅在您打开 PDF 文件时激活。
• 不追踪您的浏览活动 — 不收集任何 URL、页面访问或浏览模式。
• 不访问其他标签页或窗口 — 扩展仅在显示 PDF 的标签页中运行。
• 不向外部服务器发送 PDF 文件 — 所有 PDF 处理在扩展的执行上下文中本地完成。
• 不访问您的文件系统 — 扩展仅与您明确在浏览器中打开的 PDF 交互。
• 不收集个人信息 — 扩展不收集任何个人数据。
• 不向非 PDF 页面注入脚本 — 扩展的内容脚本仅在 PDF 文档上激活。
• 不与第三方服务通信 — 扩展仅在您明确发起此类操作时，才与 pdfpro.tools 通信以使用签名验证等可选功能。

7.3 扩展权限说明

7.4 扩展数据流

当您使用扩展打开 PDF 时：

1. 浏览器从其来源（网站、本地文件系统或电子邮件附件）加载 PDF 文件。
2. 扩展拦截 PDF 渲染并提供其增强的查看器。
3. 所有处理（渲染、注释、签名）在浏览器的本地执行环境中完成。
4. 修改后的 PDF 通过浏览器的下载功能保存回您的设备。
5. 在任何情况下，PDF 文件或其内容都不会被发送到 pdfpro.tools 或任何其他服务器（除非您明确使用需要服务器处理的功能，如 AI 对话，在任何此类传输之前您将收到明确通知）。

PDF Pro 提供 AI 驱动的功能，包括文档对话、OCR 文字识别和 PDF 翻译。这些功能需要向 AI 处理服务发送部分数据。以下是具体过程：

8.1 AI 处理工作原理

1. 文本提取（客户端）：使用基于 JavaScript 的解析在您浏览器本地从 PDF 提取文本。PDF 文件本身不上传。
2. API 传输：提取的文本（或其相关部分）被发送到我们的服务器，由服务器代理请求到 AI API（目前为 OpenAI）进行处理。
3. 响应传递：AI 生成的响应返回到您的浏览器并显示。
4. 不存储：提取的文本和 AI 响应均不存储在我们的服务器上。我们的服务器作为无状态代理，在不记录内容的情况下转发请求和响应。

8.2 发送到 AI API 的内容

• AI 对话：从您 PDF 相关页面提取的文本，加上您的问题/提示。
• OCR 扫描：需要文字识别的 PDF 页面图像。
• 翻译：您选择翻译的页面中提取的文本，加上目标语言。

8.3 不发送的内容

• PDF 文件本身（仅发送提取的文本或页面图像）
• 您的账户信息或电子邮件
• 您设备上的任何其他文件
• 您的浏览历史或其他个人数据

8.4 AI 数据保留

我们不在服务器上保留 AI 对话内容。提取的文本和 AI 响应仅存在于您的浏览器会话中，当您关闭标签页或导航离开时即被丢弃。OpenAI 可能根据其数据处理政策保留数据；我们使用其 API 的配置以最小化数据保留并选择退出训练数据使用。

9.1 Cookie

我们使用最少量的 Cookie：

• 身份验证 Cookie — 由 Supabase Auth 设置的会话令牌，使您保持登录状态。这些对于服务正常运行是必要的，在使用需要身份验证的功能时无法禁用。
• 偏好 Cookie — 存储您的 UI 偏好（例如深色模式、侧边栏状态）。这些是第一方非追踪 Cookie。

我们不使用：第三方广告 Cookie、跨站追踪 Cookie 或社交媒体追踪像素。

9.2 本地存储与 IndexedDB

我们将您浏览器的本地存储机制用于以下目的：

• IndexedDB — 加密私钥：您的 ECDSA 私钥，使用 PBKDF2 + AES-256-GCM 加密后存储在 IndexedDB 中。此数据永远不会离开您的浏览器。
• IndexedDB — 公钥缓存：用于离线签名验证的公钥缓存副本。
• localStorage — 用户偏好：UI 设置、功能偏好和非敏感应用状态。
• sessionStorage — 临时会话数据：在您关闭浏览器标签页时清除的短期数据。

我们使用有限数量的第三方服务来运营 PDF Pro。以下是每项服务可以访问的确切数据：

10.1 不向第三方共享文件

我们不向任何第三方共享、出售、出租或提供您的文件或文档内容。唯一例外是第 8 节中描述的 AI 功能，您必须明确选择使用，且仅涉及提取的文本（而非 PDF 文件本身）。

10.2 无广告或数据经纪

我们不向数据经纪商、广告网络或营销公司出售或共享个人信息。我们不展示第三方广告。我们不参与数据交换或数据市场。

10.3 执法请求

如果我们收到执法机构的合法有效请求，我们只能提供我们实际持有的数据：账户信息（电子邮件、显示名称）、使用计数器、公钥、签名记录（哈希值，非文档）和加密传输数据（我们无法解密）。我们无法提供 PDF 文件内容、私钥或密码短语，因为我们没有这些数据。

11.1 账户数据

您的账户数据（电子邮件、显示名称、偏好设置）在您的账户有效期间保留。当您删除账户时，所有关联数据将在 30 天内永久删除。

11.2 安全传输文件

加密文件数据根据发送方选择的到期设置自动删除：

• 阅后即焚：在第一次下载后立即删除。
• 定时到期：在所选期限后删除（最长 7 天）。
• 无无限期存储：所有传输自动到期。不提供永久存储选项。

11.3 签名记录

分离式签名记录（文档哈希、签名、公钥、时间戳）无限期保留，以提供长期文档完整性验证。这是一项功能，而非隐私问题，因为这些记录仅包含加密数据，无法用于还原文档内容。

11.4 使用日志

功能使用计数器在您的计费周期时重置。经过聚合和匿名化处理的分析数据可能保留用于服务改善目的，但无法追溯到个别用户或文档。

11.5 AI 功能数据

我们不保留 AI 处理数据。提取的文本和 AI 响应是短暂的，不在我们的服务器上记录或存储。请参阅 OpenAI 的保留政策了解其处理情况。

12.1 GDPR 下的权利（欧洲经济区）

如果您位于欧洲经济区（EEA），您在《通用数据保护条例》（GDPR）下享有以下权利：

• 访问权 — 您可以请求我们持有的所有您个人数据的副本。
• 更正权 — 您可以请求更正不准确的个人数据。
• 删除权（“被遗忘权”） — 您可以请求删除您的个人数据。我们将在 30 天内删除您的账户及所有关联数据。
• 限制处理权 — 您可以请求我们限制使用您的数据的方式。
• 数据可携权 — 您可以请求以结构化、机器可读的格式获取您的数据。
• 反对权 — 您可以反对将您的个人数据用于特定目的的处理。
• 撤回同意权 — 在处理基于同意的情况下，您可以随时撤回同意。

我们在 GDPR 下处理个人数据的法律依据包括：（a）合同履行（提供您注册的服务）、（b）合法利益（服务改善、安全）和（c）同意（用于 AI 处理等可选功能）。

12.2 CCPA 下的权利（加利福尼亚）

如果您是加利福尼亚居民，《加利福尼亚消费者隐私法》（CCPA）和《加利福尼亚隐私权利法》（CPRA）授予您以下权利：

• 知情权 — 您可以请求披露我们收集的个人信息的类别和具体内容。
• 删除权 — 您可以请求删除您的个人信息。
• 退出销售权 — 我们不出售个人信息。没有需要退出的内容。
• 非歧视权 — 我们不会因您行使隐私权而对您进行歧视。
• 更正权 — 您可以请求更正不准确的个人信息。
• 限制使用敏感信息权 — 我们不收集 CCPA/CPRA 定义的敏感个人信息。

12.3 其他司法管辖区的权利

无论您所在的司法管辖区如何，我们尊重隐私权利。如果您当地法律授予您额外的隐私权利，请联系我们，我们将尽力予以尊重。包括但不限于以下法规下的权利：

• 英国 GDPR（英国）
• PIPEDA（加拿大）
• LGPD（巴西）
• POPIA（南非）
• 1988 年《隐私法》（澳大利亚）
• APPI（日本）

12.4 如何行使您的权利

如需行使上述任何权利，请发送电子邮件至 info@webdesign9.com。我们将在 30 天内（或适用法律要求的更短时间内）回复您的请求。在处理您的请求之前，我们可能需要验证您的身份。

PDF Pro 不面向 16 岁以下的儿童（或您所在司法管辖区适用的同意年龄）。我们不会故意收集 16 岁以下儿童的个人信息。

如果我们发现在未获得父母同意的情况下收集了 16 岁以下儿童的个人信息，我们将采取措施尽快删除该信息。如果您认为我们无意间收集了 16 岁以下儿童的信息，请立即通过 info@webdesign9.com 联系我们。

我们可能会不时更新本隐私政策，以反映我们的实践、技术、法律要求或其他因素的变化。当我们进行更改时：

• 我们将更新本页顶部的“最后更新“日期。
• 对于重大变更，我们将通过电子邮件（如果您有账户）和/或在服务上显示醒目通知的方式通知您。
• 我们将在重大变更生效前至少提前 30 天发出通知。
• 变更生效后您继续使用本服务即表示接受更新后的政策。

我们鼓励您定期审阅本隐私政策。本政策的完整修订历史可根据要求提供。

如果您对本隐私政策或我们的数据实践有任何疑问、顾虑或请求，请联系我们：

• 电子邮件：info@webdesign9.com
• 网站：https://pdfpro.tools

我们旨在在 48 小时内回复所有与隐私相关的咨询。

如果您对我们的回复不满意，您有权向您当地的数据保护机构提出投诉。