选择咨询对象和提交对象时的注意事项
在内部举报中,向谁咨询、提交到哪里非常重要。
即使是同一份资料,提交对象不同,处理方式也会改变。有时会受到保护,有时反而会让身份回到组织一侧。
新闻机构、律师、劳动咨询窗口、公益举报窗口、审计机构、NGO、内部窗口。选项是存在的,但哪一个合适会因情况而变。
提交对象是匿名性的一部分。
提交对象会改变风险
提交对象不是单纯的发送目的地。
谁会查看、记录什么、如何回复、在法律上如何处理,都会相关。
| 提交对象 | 要确认的事 |
|---|---|
| 新闻机构 | 信源保护方针、信息提供窗口、资料管理 |
| 律师 | 保密义务、咨询范围、法律建议 |
| 公益举报窗口 | 制度上的保护、对象范围、本人确认 |
| 外部咨询窗口 | 运营主体、与组织的距离、记录方针 |
| NGO 或支持团体 | 专业性、实际经验、信息管理 |
高风险情况下,比起一开始就公开,寻找可以咨询的对象有时更安全。
如果提交对象选错,先于资料内容产生风险的是提交这一事实本身。 内部窗口过于接近组织一侧。 外部窗口的运营主体实质上是公司一侧。 咨询表单中残留 IP 地址和附件日志。 回复发送到真实姓名邮箱。
在内部举报中,“发到哪里”就是匿名性设计本身。 不仅要看资料内容,还要看提交路径、记录方针、回复方式、查看者、法律保护。
查看信任模型
选择提交对象时,要考虑信任模型。
你要在多大程度上信任对方。向对方展示什么。隐藏什么。如果对方出错,影响会扩散到哪里。
| 确认项目 | 理由 |
|---|---|
| 运营主体 | 谁在管理窗口 |
| 访问权限 | 谁能阅读资料 |
| 日志方针 | 如何处理 IP、时间、附件 |
| 回复方式 | 持续联系是否会增加痕迹 |
| 利害关系 | 是否与组织一侧过于接近 |
不能因为有匿名表单就直接信任。
要看是谁在运营,以及对方承担什么责任。
信任模型是决定向谁展示什么的思路。 展示给新闻机构的信息、展示给律师的信息、展示给公益举报窗口的信息、公开的信息,不必相同。 如果一开始就交出所有资料和本人信息,就难以退回。
即使提交对象值得信任,也可以选择向对方展示的信息范围。 初次咨询只说概要。 只传达资料存在。 会回溯到本人的细节之后再咨询。 像这样分阶段处理,可以减少不必要的暴露。
被要求确认本人身份时
有些咨询对象会要求本人确认或提供联系方式。
这并不一定是坏事。为了法律程序或保护制度,有时确实必要。
不过,从匿名性的角度,需要理解由谁、为了什么目的进行本人确认。
| 被要求的信息 | 要确认的事 |
|---|---|
| 姓名 | 为什么需要 |
| 联系方式 | 会通过哪种方式联系 |
| 所属 | 是否以不会回到组织的方式管理 |
| 本人确认文件 | 保存期限和查看者 |
| 详细经过 | 谁才可能知道这些信息 |
需要本人确认的咨询,和可以保持匿名进行初次咨询的窗口,要分开考虑。
本人确认有其理由。 在法律程序、作为公益举报者受到保护、代理人应对、需要确认本人的咨询中,可能会要求姓名和联系方式。 但是,有理由存在,与什么都可以交出去是两回事。
需要确认的是目的、保存期限、查看者、向组织共享的范围、联系方式。 如果必须本人确认,在一开始亮出真实姓名前,要询问这些信息会如何管理。 也要确认是否可以保持匿名进行初次咨询。
不强行公开的判断
在内部举报中,“公开”并不总是最佳选择。
法律风险过高、资料来源范围过窄、对家人或同事的报复很强、提交对象不可信。遇到这些情况,暂时停下来也是必要判断。
| 应该停下来的信号 | 理由 |
|---|---|
| 无法信任提交对象 | 资料或身份有回流风险 |
| 不清楚法律风险 | 保密义务和责任范围不明 |
| 候选人只有自己 | 会立即从内容推测出来 |
| 影响家人或同事 | 会发生报复或牵连 |
| 没有咨询对象 | 容易变成独断的高风险行动 |
停下来不是失败。
在内部举报中,不急于行动有时会保护自己。
特别是资料来源只可能是自己时,需要谨慎推进。 内容一旦公开,即使没有写姓名,也可能把候选人缩小到一个人。 家人、同事、信源、协作者也可能受到影响。
高风险情况下,不要只凭文章或检查清单判断。 要寻找适合自己情况的咨询对象,例如律师、可信赖的支持团体、有信源保护经验的新闻机构。 公开是一种强行动。 在放出无法收回的信息之前,要保留停下来的判断。
咨询前要整理的事
选择咨询对象前,先简短整理情况。 想举报什么。 被谁知道会危险。 只有自己才可能知道的信息在哪里。 资料中有哪些元数据或历史。 可以使用哪种联系方式。
| 整理项目 | 理由 |
|---|---|
| 问题概要 | 判断咨询对象是否能处理该领域 |
| 想保护的人 | 查看本人、家人、同事、信源的影响 |
| 资料类型 | 查看元数据和来源风险 |
| 联系方式 | 减少回复和持续联系的痕迹 |
| 紧急程度 | 判断应立即行动还是可以准备 |
整理时,也不要把详细内容写在真实姓名云端或工作设备上。 咨询准备笔记本身可能成为新的痕迹。
也要确认提交后的行动
选择提交对象时,也要确认发送后的行动。 谁会回复。 会通过哪种联系方式回复。 资料会共享给谁。 是否可能向组织一侧询问。 如果要求追加资料,要用什么方式交出。
提交后的往来可能破坏最初的匿名性。 第一次是匿名表单,但之后可能要求用真实姓名邮箱回复。 追加提交资料时,也可能暴露云端历史或文件元数据。 选择提交对象时,要把发送时点和持续联系一起考虑。
被要求本人确认或追加资料时,不要当场急着发送,要确认目的和管理方法。 因为一旦交出的信息,之后很难拿回来。
总结
咨询对象和提交对象的选择,直接关系内部举报的匿名性。
新闻机构、律师、公益举报窗口、外部咨询窗口、NGO 等各自的处理方式和风险不同。
查看提交对象时,要确认运营主体、访问权限、日志方针、回复方式、利害关系。
被要求本人确认时,要确认目的、保存方式、查看者。
如果不能信任提交对象、不清楚法律风险、候选人会被缩小到只有自己,就不要强行公开,先寻找咨询对象很重要。
相关工具
Tor Project
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
Proton VPN
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://protonvpn.com/
Mullvad VPN
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://mullvad.net/
SecureDrop
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://securedrop.org/
GlobaLeaks
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://globaleaks.org/