从举报内容推测本人身份的风险
在内部举报中,即使隐藏姓名,也可能从内容推测出本人。
说的是哪个部门。知道哪场会议。看过哪份资料。是哪一时期的事情。哪些表述只有某个立场的人才会知道。
组织内部的人比外部读者知道更多上下文。
因此,举报内容越具体,候选人有时就越容易被缩小。
内容本身会显示来源
举报内容中包含信息来源。
特定会议、内部资料、负责人发言、只有担当人员知道的流程、现场布局。这些信息会显示谁可能知道。
| 内容线索 | 会被怀疑的人 |
|---|---|
| 会议细节 | 参会者、资料制作者、会议记录负责人 |
| 部门内往来 | 所属成员、管理层 |
| 特定系统画面 | 有访问权限的人 |
| 现场作业细节 | 现场负责人、监督者 |
| 内部邮件正文 | 收件人、转发者、管理员 |
即使匿名发送,如果信息范围很窄,候选人也会很少。
组织一侧的看法与外部读者不同。 对外部的人来说只是普通说明的文字,组织内部的人却可能知道“知道这场会议的只有几个人”“能看到这个画面的只有这个部门”。 因此,举报文需要考虑它在组织内部调查者眼中会怎样被解读,而不是只考虑一般读者。
在内部举报中,信息价值和来源保密会发生冲突。 没有具体性,就难以传达问题。 但具体性过强,又更容易回到举报者。 重要的是取得这种平衡。
会被时间线缩小范围
时间线是强线索。
“什么时候看过那份资料”“什么时候开过会议”“什么时候知道问题”“什么时候传到外部”,这些信息排在一起后,对方可以与日志对照。
| 时间线信息 | 会被对照的内容 |
|---|---|
| 查看资料的时期 | 文件访问日志 |
| 会议刚结束后 | 参会者或会议记录负责人 |
| 打印或拍摄的时期 | 打印机、出入记录、监控摄像头 |
| 发送时间 | 网络日志或设备操作 |
| 公开日期 | 组织内部调查的起点 |
即使需要在内容中加入时间线,也要确认粒度是否会回溯到信源或举报者。
时间线是很容易与组织日志对照的信息。 打开文件的时间、进入会议室的时间、使用打印机的时间、登录内部系统的时间、收到邮件的时间。 根据组织不同,这些可能会留在多个日志中。
举报文中即使只有“会议刚结束后”“资料分发次日”“周五晚上”这样的表述,也可能缩小候选范围。 即使需要准确时期,也要确认是否细到会回溯到举报者本人。
和情绪也会成为线索
举报文中会显现写作者的特征。
专业术语的用法、内部用语、表达愤怒的方式、标点、说明顺序、常用表达。组织内平时就有人阅读其文章的人,越可能通过文体被推测。
| 文章特征 | 风险 |
|---|---|
| 专业术语 | 看出职业类型或部门 |
| 内部称呼 | 推测所属或年龄层 |
| 情绪表达 | 与过去发言或不满连接 |
| 说明顺序 | 显示业务上的立场 |
| 文体 | 与平常邮件或文档对照 |
准确传达内容很重要。
但是,强烈体现本人特征的文章会削弱匿名性。
尤其是平时在组织内经常写邮件、报告、会议纪要、聊天消息的人需要注意。 周围的人知道那个人的写法。 常用措辞、标点、项目符号的写法、专业术语的选择、表达愤怒的方式都会成为线索。
改变文体时,不是添加不自然的装饰,而是减少个人习惯。 压低情绪表达。 避免内部口头禅。 不要写不必要的细节背景说明。 减少显示自己立场的词。 通过这些方式淡化本人特征。
过度模糊会传达不清
为了避免从内容推测身份,如果把所有内容都模糊化,举报的意义会变弱。
重要的是保留事实核心,同时调整会回溯到举报者的细节。
| 要调整的信息 | 思路 |
|---|---|
| 部门名称 | 必要时改成上位分类 |
| 日期 | 不需要准确日期时用期间表示 |
| 引用 | 保持含义,同时弱化个人口癖 |
| 资料名称 | 不需要具体名称时用类型表示 |
| 职务 | 会缩小到个人时扩大范围 |
具体到什么程度,值得与提交对象或专家商量。
调整时,要分开事实核心和会导致识别的细节。 不正当行为或危险的内容、影响、相关制度、证据类型很重要。 另一方面,谁在什么时候哪个座位听到、在哪台设备上看到、从哪个负责人那里收到,这些可能成为缩小举报者范围的信息。
不同提交对象需要的具体程度也不同。 新闻机构、律师、监管机构、支持团体,对所需信息和保护方式的想法不同。 把作为公开文发布的信息,与非公开交给可信赖咨询对象的信息分开,这一点很重要。
证据资料中也会残留来源
不只是举报内容,证据资料中也会残留来源。
PDF 的作者姓名、Office 文件的编辑者、打印时的水印、文件名、截图的画面尺寸、设备名称、内部系统显示、能看出访问权限的菜单。 这些有时会成为比内容更直接的线索。
| 证据资料的线索 | 可推测的内容 |
|---|---|
| 文件元数据 | 作者、组织名、编辑历史 |
| 截图 | 设备、权限、画面尺寸、通知 |
| 打印件 | 打印机、打印时间、分发范围 |
| 内部系统画面 | 访问权限、部门、角色 |
| 文件名 | 业务名、日期、负责人姓名 |
在内部举报中,不只确认正文,也要确认资料整体。 必要时,咨询专家或可信赖的提交对象,减少会回溯到举报者的信息后再处理。
区分公开信息和非公开信息
内部举报中,并不需要把所有内容都写进公开文。 用于广泛告知的公开信息,和用于调查或验证而交给可信赖对象的非公开信息,要分开处理。
公开文中放入问题概要、社会影响、可验证范围、必要背景。 另一方面,只有举报者才可能知道的细节、具体时间、内部系统画面、少数人的对话、资料取得路径,公开前要谨慎处理。
| 信息类型 | 处理方式 |
|---|---|
| 问题概要 | 整理可以公开的范围 |
| 证据存在 | 必要时只说明类型 |
| 具体资料 | 限定交给可信赖的提交对象 |
| 取得路径 | 会回溯到举报者,因此不公开 |
| 少数人的对话 | 会缩小候选人,因此降低粒度 |
如果不能做好这种分离,为了传达给读者而写的文章中,就会混入识别举报者的信息。 在内部举报中,需要同时考虑准确传达和保护来源。
总结
在内部举报中,即使隐藏姓名,也可能从内容推测出本人。
会议、部门、资料、时间线、系统、现场、文体,都会成为显示举报者立场的线索。
内容过度模糊会削弱举报的意义。
但是,过于具体的信息会缩小候选人。
重要的是保留事实核心,同时调整会回溯到举报者的细节。
相关工具
Tor Project
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
SecureDrop
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://securedrop.org/
GlobaLeaks
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://globaleaks.org/