个人信息中的直接识别符
思考匿名性时,最先应该确认的是直接识别符。
直接识别符,是仅凭它本身就容易接近本人或相关人员的信息。
姓名、邮箱地址、电话号码、地址、脸部照片、经纬度、SNS 网名、员工编号、学号等都属于这一类。
即使“隐藏了 IP 地址”“使用了 ”“创建了别名账号”,只要正文或文件中残留直接识别符,匿名性就会崩塌。
本文整理什么是直接识别符、它容易残留在哪里、公开前应该如何确认。
什么是直接识别符
直接识别符是容易直接指向本人或相关人员的信息。
| 类型 | 例子 | 匿名性上的注意点 |
|---|---|---|
| 姓名 | 本名、旧姓、和实名连接的昵称 | 单独就能接近本人 |
| 联系方式 | 邮箱、电话号码、SNS ID | 会和账号或过去信息连接 |
| 地址、坐标 | 地址、经纬度、建筑物名 | 直接显示日常活动范围和所在地点 |
| 脸、声音 | 脸部照片、声音、视频 | 熟人或核对可识别 |
| 编号 | 员工编号、学号、预约编号 | 连接到组织或申请信息 |
直接识别符比其他线索更强。
单独也容易接近本人,和其他信息组合后会更强。
直接识别符也会残留在正文之外
直接识别符不一定只在正文中。
文件名、图片、PDF、Office 文档、URL、元数据、截图、音频中也会残留。
| 位置 | 残留信息 |
|---|---|
| 正文 | 姓名、地址、邮箱、电话号码 |
| 图片 | 脸、名牌、配送标签、文件 |
| 文件名 | 本名、部门名、项目名 |
| 元数据 | 作者名、终端名、GPS |
| URL | email、name、user、token 等值 |
| 音频 | 本人声音、周围对话、被叫到的名字 |
即使从正文中删除姓名,如果图片名牌或 PDF 作者名中还残留,匿名性也会大幅变弱。
直接识别符要从整个公开物中寻找。
匿名名和实名混在一起
匿名活动中,有时会使用匿名名或角色名。
这很有效,但如果和实名混在一起就危险。
例如,即使匿名账号的个人资料使用别名,如果联系邮箱是实名用邮箱,也会发生关联。
即使用匿名名发帖,如果图片文件名中有本名,也会发生关联。
| 混用 | 会发生什么 |
|---|---|
| 匿名名 + 实名邮箱 | 账号接近本人 |
| 匿名发帖 + 本名文件名 | 从文件看到本人 |
| 匿名个人资料 + 过去网名 | 和旧账号连接 |
| 匿名联系 + 实名电话号码 | 从联系方式看到本人 |
| 匿名资料 + 作者名 | 文档来源可见 |
如果使用匿名名,联系方式、文件、浏览器、发帖内容也要一起分开。
只改名字,如果周边信息仍是实名环境,意义就会变弱。
删除直接识别符时的注意点
直接识别符有时可以简单删除。
但是,根据语境,替换方式也很重要。
| 原信息 | 替换例 | 注意点 |
|---|---|---|
| 山田太郎 | A、负责人、某个人 | 避免角色过于清楚 |
| 涩谷区〇〇 | 东京都内、关东地区 | 降低精度 |
| 公司名 | 某企业、所属组织 | 避免和行业、规模组合后缩小候选 |
| 电话号码 | 删除 | 最好不替换而是删除 |
| 经纬度 | 地区表达 | 不公开准确位置 |
替换后的表达有时也会成为另一条线索。
“东京都内一家小型医疗类初创公司中唯一的会计负责人”这样的表达,即使删除实名,也会缩小候选。
公开前确认
确认直接识别符时,按下面顺序查看。
| 顺序 | 确认事项 | 理由 |
|---|---|---|
| 1 | 阅读正文 | 查找姓名、地址、联系方式 |
| 2 | 查看图片和视频 | 确认脸、名牌、文件、反射 |
| 3 | 查看文件名 | 看是否残留本名或项目名 |
| 4 | 查看元数据 | 确认作者、GPS、终端名 |
| 5 | 查看 URL | 看是否残留搜索词、邮箱、个别 ID |
| 6 | 听音频 | 确认叫名字和对话 |
直接识别符只要残留一处,就会成为强线索。
公开前,要确认到正文之外的位置。
高风险情况
信源保护、内部举报、活动人士联系、涉及家庭或工作单位的咨询中,直接识别符要特别谨慎处理。
不仅本人,相关人员的姓名、脸、声音、所属、联系方式也需要保护。
即使以为已经删除直接识别符,也可能通过时间线和职务内容推测出相关人员。
高风险情况下,不要只靠文章判断,应考虑咨询可信赖的支援对象或专家。
常见遗漏
直接识别符不一定只残留在本人输入的位置。
| 遗漏 | 会发生什么 |
|---|---|
| 截图通知 | 邮箱、联系人、账号名拍进去 |
| 图片背景 | 名牌、配送标签、学校名拍进去 |
| PDF 作者 | 文档属性中残留本名 |
| URL 参数 | email、user、token 等残留 |
| 音频称呼 | 周围的人叫出名字 |
直接识别符有时不是有意写下的信息,而是拍入画面或自动保存的信息更危险。
不要只说“正文没有写”,而要确认“整个公开物中是否残留”。
删除和替换的区别
直接识别符中,有些最好删除,有些最好替换。
电话号码和邮箱地址基本上要删除。
另一方面,如果为了保留文章意义需要人物,可以替换为角色名。
但是,角色名过窄也会成为识别符。
有时“当时在场的负责人”比“A”更能保留语境,但如果相关人员很少,即便这样也会缩小候选。
要确认了解情况的人读到替换后的文章会怎样看。
也要确认相关人员的识别符
直接识别符不只属于自己。
家人、朋友、同事、信源、参加者的姓名、脸、声音、联系方式也要确认。
即使自己以为匿名,相关人员的识别符残留,也可能通过那个人接近自己。
匿名性不是只隐藏自己的作业。
为了不牵连相关人员,也要最后重新检查公开物中是否残留他人的直接识别符。
总结
直接识别符是容易直接连接到本人或相关人员的信息。
包括姓名、邮箱地址、电话号码、地址、脸、声音、坐标、员工编号、学号、SNS 网名等。
直接识别符不仅会残留在正文中,也会残留在图片、文件名、元数据、URL、音频中。
需要匿名性的场景中,只删除姓名是不够的。
要查看整个公开物,确认实名环境和匿名环境是否混在一起。
如果直接识别符残留,要采取删除、泛化、推迟公开、不公开等判断。
相关工具
Have I Been Pwned
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。