从图片内背景、反射、文字推测身份的风险
图片匿名性只看 和 GPS 并不够。
即使删除元数据,如果图片本身拍到了信息,身份和日常活动范围仍会被推测。背景中的招牌、窗外、桌上的文件、制服、反射、墙上的公告、画面内通知。这类信息会被图片搜索或人的眼睛发现。
匿名性中,需要看图片的“内容”。
本文整理图片内背景、反射、文字会如何成为线索。图片整体确认会在“图片破坏匿名性的机制”中说明。
背景会显示日常活动范围
背景中包含许多表示地点的信息。
站名、店名、道路标识、学校名、公司标志、建筑、山海、特色内装。本人没有意识到,观看者也可能看懂。
| 拍到的东西 | 可推测的事 | 注意点 |
|---|---|---|
| 招牌、标识 | 地区、店铺、车站 | 即使模糊,也可能从形状和颜色看出 |
| 建筑 | 拍摄地点 | 特色外观容易被搜索 |
| 房间 | 生活环境、家庭构成 | 长期发帖会积累特征 |
| 桌面 | 文件、工作单位、学校 | 小文字也会被放大 |
| 窗外 | 地区、楼层、方向 | 可从景色推测地点 |
图片有时比文章的信息量更大。
发帖前要放大确认背景。
注意反射
反射是容易被漏看的信息。
镜子、窗户、眼镜、手机屏幕、金属、车辆、玻璃、光亮桌面,可能映出拍摄者、房间另一侧、屏幕、文件。
| 反射物 | 容易映出的信息 | 要确认的事 |
|---|---|---|
| 镜子 | 脸、服装、房间 | 放大整张图片 |
| 窗户 | 拍摄者、外部景色 | 改变亮度确认 |
| 眼镜 | 画面、人物 | 即使遮脸也看反射 |
| 手机屏幕 | 账号名、通知 | 黑屏也会反射 |
| 金属、车辆 | 周围的人和建筑 | 小反射也要确认 |
即使隐藏脸,如果反射中映出脸,也没有意义。
反射要在图片编辑前后都确认。
文字信息是强线索
图片内文字是非常强的线索。
名牌、信封、文件、公告、收据、单据、白板、标签页名称、通知、文件名。即使很小,也可能通过放大或 OCR 读出。
| 文字类型 | 可见信息 | 匿名性风险 |
|---|---|---|
| 名牌、ID | 姓名、所属 | 直接连接到识别 |
| 文件 | 公司名、案件名 | 职场和相关人员可见 |
| 公告 | 学校、设施、活动 | 可知道地点和日期 |
| 通知 | 联系人、账号 | 与实名环境连接 |
| 文件名 | 本名、案件、文件夹 | 工作环境可见 |
“太小所以读不出来”很危险。
发布后,要假设别人会放大、调整亮度、使用 OCR 来确认。
模糊处理也有限制
用图片编辑模糊一部分是有效的。
但是,如果模糊太弱、范围太窄、可从周围信息推测、原图残留在别处,就会有危险。
| 处理 | 残留风险 | 要确认的事 |
|---|---|---|
| 弱模糊 | 文字或脸仍可读 | 放大确认 |
| 只遮一部分 | 可从周围知道地点 | 看整个背景 |
| 只遮脸 | 可从服装或地点知道 | 看全身和周边信息 |
| 图片复用 | 与过去发帖连接 | 进行图片搜索 |
| 原图保存 | 从其他路径泄露 | 确认共享对象和云端 |
高风险图片中,有时需要判断不公开图片,而不是只做局部模糊。
发帖前的确认步骤
发帖前,要把外观确认流程化。
习惯之后,容易只看脸和大文字就结束。但是匿名性中,也要看小文字、反射、背景边缘、通知、文件名。
| 步骤 | 确认的事 |
|---|---|
| 1 | 放大整张图片 |
| 2 | 查看背景中的招牌、建筑、窗外 |
| 3 | 查看反射中是否映出脸或画面 |
| 4 | 阅读文件、名牌、通知、文件名 |
| 5 | 用图片搜索查看是否过去使用过 |
| 6 | 加工后再确认一次图片 |
使用图片搜索时,把图片发送给外部图片搜索服务本身也会成为风险。未公开的高风险图片、采访资料、内部资料、受害者或未成年人入镜的图片,不要原样上传到外部服务。即使有需要,也应使用加工到可以公开范围内的副本确认,或优先选择不外部发送的方法。
图片公开后可能被裁剪使用。
整体看似安全,部分放大后也可能读出信息。发帖前,自己尝试裁剪和放大来确认。
与元数据确认的区别
这项确认不同于 EXIF 和 GPS 确认。
即使删除 EXIF,如果背景中拍到站名,地点仍会暴露。即使删除 GPS,如果收据上拍到店名和时间,行动也会被看出。
| 确认对象 | 可见信息 | 对策 |
|---|---|---|
| 元数据 | GPS、拍摄日期时间、终端信息 | 通过删除或转换减少 |
| 背景 | 地点、日常活动范围 | 不拍、裁掉、不公开 |
| 反射 | 脸、画面、房间 | 拍摄前整理环境 |
| 文字 | 姓名、公司名、通知 | 放大确认 |
| 图片复用 | 过去账号 | 用图片搜索确认 |
图片匿名性要同时确认内部信息和外观。
也要注意他人的信息
图片中也会拍到自己以外的人的信息。
路人、家人、同事、孩子、车牌、名牌、桌上文件。如果只考虑自己的匿名性去加工,可能会卷入周围的人。
| 拍到的东西 | 风险 |
|---|---|
| 路人的脸 | 未经本人同意被公开 |
| 家人或孩子 | 日常活动范围和学校可见 |
| 同事或制服 | 职场被推测 |
| 车辆或随身物品 | 所有者或地区可见 |
| 文件或名牌 | 姓名和所属暴露 |
匿名性中,不只保护自己,也要保护图片中的人和相关人员。
还要确认公开图片的目的。
它是否作为证据必要,是否只是想传达氛围,是否可以用文字替代。目的较弱的图片,可能不值得承担匿名性风险。
| 目的 | 判断 |
|---|---|
| 作为证据必要 | 谨慎决定加工和咨询对象 |
| 说明状况 | 裁出一部分,或用文字替代 |
| 营造氛围 | 也考虑不公开 |
| 说明地点 | 用模糊地名的文字替代 |
| 说明人物 | 不展示脸或身体特征 |
图片会一次传递比文章更多的信息。
文章中只需删除一个词的信息,图片中可能同时拍到背景、反射、文字、时间、人物。重视匿名性的发帖,在公开图片前一定要考虑“是否能用文字替代”。
只展示图片一部分时
即使需要公开图片,也未必需要公开整体。
只裁出资料的一部分、故障部位、说明状况所需范围,就能减少背景和反射。不过,即使裁剪,也可能残留周边文字、影子、反射、画面比例、文件名。
| 方法 | 可减少的信息 | 残留注意点 |
|---|---|---|
| 只裁出必要部分 | 背景和人物 | 周围文字会残留 |
| 重新截屏 | 通知和标签页 | 确认画面边缘 |
| 重新制作为图示 | 实物背景 | 不损害准确性 |
| 用文字说明 | 图片来源的信息 | 确认读者能否理解 |
| 限定分享给咨询对象 | 公开扩散 | 查看共享对象可信度 |
图片匿名性中,比加工技术更有效的是“只公开必要范围”的判断。
发布用图片应与原图分开制作,并只重新确认加工后的图片。
总结
图片匿名性中,不只确认 EXIF 和 GPS,也要确认图片内背景、反射、文字。
即使删除元数据,只要拍到招牌、文件、通知、窗外、镜子、眼镜、文件名,就会推测出日常活动范围和身份。
发帖前,要放大图片,确认亮度和反射,查看文字是否可读。
模糊处理有效,但不是万能。
匿名性中,在加工图片之前,要先考虑是否有必要公开这张图片本身。
相关工具
Google Lens
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://lens.google/
ExifTool
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://exiftool.org/
MAT2
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
FFmpeg
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://ffmpeg.org/