文档安全

iPhone文档安全与应用锁

用应用锁、Face ID解锁、密码、加密PDF与设备端处理保护扫描文档。敏感文件在iPhone上的实用安全配置。

生物识别锁 PDF AES-256 设备端处理可选云端导出

最适合：护照、身份证、合同、病历，以及任何即便手机被借用也应默认保持私密的文档。

我们在保护什么

您在手机上扫描的文档很少是一次性的。报税、病历、租赁合同、护照、身份证、商务合同、保险理赔 — 这些都包含一旦落入错处即可被用于身份盗用、诈骗与定向钓鱼的个人数据。

文档扫描应用应认真承担这份责任。ScanLens建立在三层防护上：限制访问整个文档库的应用锁、对单个PDF的可选AES-256加密，以及默认把数据保留在设备端的架构。任何一层都不是单点的魔法。综合在一起，相比丢在相册里的扫描件，安全门槛被显著抬高。

安全也改变后续场景。许多人会在发送前加密文件、把敏感文档放在受控云端，或把这套设置作为更广泛商务场景外的隐私层。

本页逐层讲解 — 各自擅长什么、诚实的边界在哪里。整体方法见「关于我们」页与完整隐私政策。

用Face ID、Touch ID与密码的应用锁

应用锁是借出（或被盗）手机与您扫描文档之间的第一道墙。开启后，每次启动ScanLens或从后台返回都需要身份验证。即便iPhone已解锁，应用在您确认身份前仍保持关闭。

Face ID与Touch ID

生物验证使用Apple的LocalAuthentication框架，直接与Secure Enclave协同。ScanLens永远看不到您的人脸几何或指纹数据 — 只从iOS拿到「是或否」的回答。Apple Pay与银行应用使用同一机制。

备用密码

生物验证失败或不可用时，ScanLens可以转用应用专属密码。意义直接：即使有人手里拿着您解锁的手机，文档库仍有自己的门。

防穷举

失败计数存放在iOS的Keychain，由硬件加密保护。多次错误后ScanLens应用会逐轮增长的锁定窗口。结果：即使攻击者花一整天去猜，也只能尝试极少的组合。

后台隐私

应用锁覆盖应用切换瞬间。ScanLens进入后台时，应用会模糊iOS切换器中的预览 — 旁观者偷看时看不到文档缩略图。

PDF AES-256加密

应用锁保护的是文档在ScanLens内时的状态。PDF加密保护的是文档离开后的状态。当您通过邮件、AirDrop或聊天工具分享扫描件 — 文件就是单独的：拿到的人在未加密的情况下都能打开。

行业标准AES-256

ScanLens对PDF密码保护使用AES-256 — AES家族中的最高等级。AES-256获政府机密数据批准使用，也是FileVault、BitLocker与多数企业VPN背后的同一算法。配合强密码，目前没有已知的实用攻击能解开内容。

通用兼容

ScanLens生成的加密PDF遵循PDF标准安全模型，可在任何兼容阅读器中打开：Apple Preview、Adobe Acrobat、Chrome、Edge与主流移动PDF应用。接收方会自动被要求输入密码 — 无需专用软件。详细解读见iPhone PDF密码保护指南。

强密码很重要

AES-256只有在密码同样强时才有意义。一个6位常见单词无论算法都能在数分钟内被破解。请使用密码管理器生成的长且唯一的口令，并通过与文件不同的渠道传递。加密的强度等于守护它的秘密的强度。

PDF加密是ScanLens的付费功能。坦率原因：跨各种阅读器可靠加解密文档是持续的工程工作，我们更愿为此收费，而不是把您的数据变现。

默认设备端处理

对扫描应用而言，最有效的隐私决策是把数据留在设备端。云端处理对厂商方便：集中遥测、简化ML流水线、形成留存内容的商业理由。它也是大多数大型文档泄露事件的源头。

扫描在本地

边缘识别、透视校正、色彩增强与清理 — 全部在iPhone运行。供给扫描器的相机帧从不接触我们的服务器。如果您在飞行模式下扫描，ScanLens照常工作 — 这是真正设备端处理的试金石。

OCR在设备端

文字识别使用Apple的Vision framework直接在手机上完成。无论您扫描身份证、护照还是多页合同 — 提取的文本都在本地生成与本地存储。没有任何东西被发送到服务器去转写。

云同步按您的条件可选

若您决定把扫描备份到iCloud或您控制的另一家云 — 这是您的决定。重要区分：发送与同步是可选的，默认流程把文档留在设备端。

ScanLens不收集什么

列举功能容易。更有用的是列出我们刻意不做的事 — 因为不收集是最强的隐私保证。

不需要账户

无需创建账户、提供邮箱或通过社交账号登录。打开应用、扫描、完成。没有凭据库 — 也就没有可泄露的库。

没有额外账户层

核心扫描场景下，无需创建独立的ScanLens账户来访问文档。更少的登录与更少的活动部件让隐私场景更易理解。

不上传文档内容遥测

我们不会把您的扫描、OCR文本、文件名或文档元数据传到我们的基础设施。文档库的内容留在文档库。

没有广告网络

ScanLens没有广告，也没有在后台收集标识符的广告SDK。应用通过可选付费升级支持，而非靠出售注意力。

诚实的边界

没有任何安全模型完美，声称完美的应用都在销售点别的什么。在把敏感文档托付给任何扫描应用 — 包括我们的 — 之前，几条诚实的提醒：

应用锁无法防御被攻陷的手机。如果iPhone被越狱、感染或在攻击者监控下被解锁，应用锁是众多屏障之一，不是魔法。设备级iOS安全（强密码、最新iOS、开启Find My）才是基础。

加密强度取决于您选的密码。AES-256在实际中未被攻破，但弱密码让算法形同虚设。请使用密码管理器。

设备端处理无法阻止截屏。如果您截屏一张敏感扫描，它会留在「照片」中，没有专门保护。请有意识地决定哪些图像离开应用。

云同步用便利换攻击面。同步到任何云的瞬间 — 我们的、Apple的、别人的 — 您都在信任另一套系统。我们通过让同步可选并加密传输来最小化这个面，但取舍值得理解。

安全是分层的实践，不是一个打勾的功能。ScanLens被设计为该堆栈中坚实的一层 — 整个堆栈还包括良好的密码卫生、最新的设备软件与有意识的发送决定。

常见问题

ScanLens的Face ID应用锁如何工作？

在「设置」中开启锁，每次打开或从后台返回时ScanLens都会要求Face ID、Touch ID或密码。生物验证使用Apple的LocalAuthentication框架，因此面部或指纹数据从不离开Secure Enclave — ScanLens只从iOS拿到「通过/不通过」的结果。

受保护PDF使用什么加密？

ScanLens对带密码的PDF使用AES-256加密。AES-256是金融机构、政府机关与FileVault、BitLocker等工具采用的同一标准。配合强密码，被认为可抵御当前的暴力破解攻击。加密PDF与任何标准PDF阅读器兼容。

我的扫描会上传到服务器吗？

默认情况下扫描留在iPhone上。文档只有在您主动导出、发送或开启可选云同步时才离开设备。

多次输入错误密码会怎样？

多次解锁失败后，应用可能在下一次尝试前临时锁定访问。这增加重复猜测的难度，并为试图进入文档库的人增加一层摩擦。

安全使用ScanLens需要账户吗？

不需要账户。可以在iPhone本地扫描与管理文档，不必为使用核心应用创建独立登录。