面向记者的匿名性
对记者来说,匿名性不是只保护自己的技术。
它是保护信源、相关人员、证言者、在现场的人、交付资料的人的实务。
即使在正文中隐去姓名,也可能从通信路径、采访笔记、照片、PDF、公开时刻、表达习惯、编辑历史、云端共享日志推测相关人员。危险的是认为“没有写名字所以没问题”。
匿名性是管理谁的信息残留在哪里、会与什么连接的能力。
本文按采访前、联系、资料、公开前、公开后,整理记者思考匿名性时应查看的范围。
保护对象不只是自己
记者的匿名性中,需要宽泛思考保护对象。
不仅包括自己的身份和通信,也包括信源身份、证言者的日常活动范围、相关人员所属、资料获取路径、文章公开后的反应。
| 保护对象 | 容易泄露的线索 | 注意点 |
|---|---|---|
| 信源 | 联系时刻、资料来源、内部用语、 | 即使正文隐去姓名,候选也会被缩小 |
| 证言者 | 地区、职业类型、年龄层、发言内容 | 只有少数相关人员知道的内容是强线索 |
| 记者本人 | 通信环境、采访地点、账号、发帖时间 | 可能从记者侧行动推测信源 |
| 编辑部 | 接收方式、云端共享、内部日志 | 组织内处理薄弱时保护会崩塌 |
| 相关人员 | 照片背景、资料一部分、引用表达 | 本人以外的周边人物也会被卷入 |
信源保护中,重要的不只是文章写什么,也包括文章形成之前的流程。
联系了谁。用哪个终端接收。放在哪个云端。谁编辑了。什么时候公开。
这些全部都会成为之后被关联的材料。
分开联系路径
联系信源时,如果直接使用平时的实名账号或个人终端,匿名性会变弱。
邮件、SNS、消息应用、云端共享、表单、电话、面对面。每种路径都会残留日志和元数据。
重要的是,不要只按“是否方便”选择联系方式。
| 联系路径 | 可见、残留的信息 | 注意点 |
|---|---|---|
| 普通邮件 | 发件人、收件人、时刻、主题、邮件头 | 容易与实名账号或组织账号连接 |
| SNS DM | 账号、登录状态、终端、时刻 | 平台侧会残留记录 |
| 消息应用 | 电话号码、联系人、终端信息、备份 | 终端和云备份会成为弱点 |
| 云端共享 | 共享者、查看者、访问历史、文件名 | 有时会残留谁在何时查看 |
| 面对面 | 移动历史、监控摄像头、支付、出入记录 | 不只是线上,现实记录也会残留 |
高风险采访中,要分开平时的联系路径和采访用联系路径。
这并不是“做隐瞒”的意思,而是为了不把信源卷入不必要的日志。
SecureDrop 这类机制用于媒体机构和 NGO 接收匿名信息提供。SecureDrop 是 Freedom of the Press Foundation 参与的开源内部举报、信息提供系统,设计上重视使用 发送和减少通信元数据。
URL : https://securedrop.org/
但是,并不是有 SecureDrop 就完成了安全。使用者的终端、使用地点、提交的文件、文档内容、投稿前后的行动薄弱时,仍会从那里被关联。
Tor Browser 也是让连接目标更难看到连接来源 IP 地址的重要工具。Tor Project 提供 Tor Browser 和 Tor 网络。
URL : https://www.torproject.org/
Tor 的详细机制和限制,会在 Tor 基础文章以及 、Tor、代理差异的文章中说明。这里请理解为,在信源保护中,它有时作为“分开通信路径的工具”使用。
资料和文件要看正文以外
采访资料只确认正文是不充分的。
PDF、Office 文件、图片、音频、视频、截图中,可能残留创建者名、编辑历史、评论、GPS、拍摄日期时间、终端名、文件名、云端历史等。
| 文件 | 残留信息 | 确认理由 |
|---|---|---|
| 创建者、制作软件、嵌入文字、注释 | 可能看见资料制作环境和编辑者 | |
| Word/Excel | 创建者名、修改历史、评论、模板 | 容易残留组织名和负责人名 |
| 照片 | 、GPS、拍摄日期时间、终端信息 | 可知道拍摄地点和采访日期 |
| 音频 | 录音日期时间、背景音、说话方式、地点声音 | 本人或地点被推测 |
| 视频 | 影像背景、声音、元数据、反射 | 脸以外的信息也会成为线索 |
| 截图 | 通知、时刻、账号名、UI 语言 | 终端和使用者信息会拍进去 |
收到资料后,先分开用于保全的原本和用于公开、共享的加工副本。
不要直接公开原本,这一点很重要。
公开用文件中,要删除不必要的元数据,确认固有名词和内部识别符,也要查看图片和截图边缘拍进去的信息。
文件元数据的详细确认,会在 EXIF、PDF、Office 文件、ExifTool、qpdf、MAT2 等文章中说明。本文中请把握一点:在记者运营中,“文件正文以外也会显示信源”。
正文匿名化不只是隐去姓名
正文中,即使隐去姓名,也可能知道信源。
即使写成“某位员工”“相关人员”“附近居民”,也会从时期、部门、人数、发言内容、立场、所知信息范围缩小候选人。
| 正文中的线索 | 会发生的事 | 对策方向 |
|---|---|---|
| 部门和职务 | 缩小到少数候选 | 不必要时降低粒度 |
| 日期时间 | 与班次或出入记录对照 | 模糊具体时刻 |
| 内部用语 | 看出所属组织和部门 | 改成一般表达 |
| 发言习惯 | 个人说话方式残留 | 同时考虑引用必要性和保护 |
| 资料一部分 | 从分发范围缩小获取者 | 谨慎决定公开哪一部分 |
向读者传达事实需要具体性。
但是,具体性也可能缩小信源。新闻工作中,需要平衡透明性和保护。
重要的是,能在自己心中说明为什么要模糊。
不是为了让事实暧昧,而是为了不让信源暴露于不必要的危险,要调整时间、地点、头衔、人数、引用粒度。
公开后关联仍会继续
公开并不意味着结束。
文章公开后的咨询、SNS 回复、后续报道、更正、追加资料、与读者互动,也会成为关联材料。
公开刚结束时只有特定相关人员反应。记者只在特定时段追加发帖。在 SNS 上补充只有信源知道的细节。这些行动会成为与正文不同的线索。
公开后,要确认以下几点。
- 是否轻率给出与信源相关的追加信息
- 是否在 SNS 上谈了比正文更细的背景
- 修改历史或替换文件中是否有新的元数据
- 咨询应对中是否暴露采访路径
- 公开时间是否与信源行动强烈连接
信源保护不是只在文章公开前进行的工作。
匿名性要包括公开后的运营一起考虑。
高风险采访不要独自判断
内部举报、国家机构、有组织犯罪、政治迫害、劳动问题、性暴力、未成年人、移民、战争、受审查地区等采访中,匿名性失败会造成严重后果。
这类采访不要只凭一篇文章的知识判断。
有些场景应该与编辑部安全负责人、可信律师、数字安全专家、支援团体商量推进。
匿名性的目的不是勇敢地承担危险。
而是在把信息带给社会的同时保护人。
总结
记者的匿名性,是保护记者本人以及信源和相关人员的实务。
需要查看的不只是正文。还要包括联系路径、资料、元数据、云端共享、公开时刻、SNS 反应、公开后的运营。
SecureDrop 和 Tor Browser 这类机制用于信源保护。不过,并不是只靠工具就能完成安全。如果终端、文件、内容、时间、现实行动薄弱,仍会从那里被关联。
高风险采访中,不要独自判断,要与编辑部、律师、支援团体、专家合作。
匿名性不是为了隐藏采访,而是为了在把必要信息传达给社会的同时保护人。
相关工具
Tor Project
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
Proton VPN
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://protonvpn.com/
Mullvad VPN
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://mullvad.net/
ExifTool
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://exiftool.org/
SecureDrop
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://securedrop.org/
GlobaLeaks
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://globaleaks.org/