新闻工作者需要的匿名性思维
对新闻工作者来说,匿名性不只是用来隐藏自己。
它也是为了保护信源、内部资料提供者、证言者、相关人员和拍摄协助者。
即使写报道的一方是安全的,联系路径、文件、发布时间、报道中的描写也可能让人推测出信源。如果信源是组织内部的少数人,一句话就可能把候选范围缩小。
面向新闻工作者的匿名性,不应只围绕“是谁写的”,更应围绕“谁会被怀疑提供了信息”来思考。
要保护的对象是信源
信源保护最重要的是降低信息提供者被识别的风险。
匿名联系过来的人、发送内部资料的人、提供背景说明的人、提供现场照片的人。这些人在报道发布后,可能处于被组织或掌权者怀疑的位置。
| 保护对象 | 需要注意的信息 |
|---|---|
| 信息提供者 | 联系路径、提交资料、、访问时间 |
| 证言者 | 立场、部门、经历、讲述内容 |
| 拍摄协助者 | 照片的位置、时间、视角、设备信息 |
| 相关人员 | 报道中的描写、引用、内部情况 |
| 读者投稿者 | 投稿表单、IP、邮件、附件 |
要保护信源,相关的不只是技术,也包括报道的写法。
即使删除了资料的元数据,如果正文写出了“只有某个人才知道的事”,信源仍会被怀疑。
在新闻工作者的匿名性中,中心不是记者本人,而是信源。 即使记者以实名工作,信源也可能必须保持匿名。 内部举报者、受害者、少数群体、在职场中处于弱势的人、提供对掌权者不利证言的人,可能在报道发布后受到报复或压力。
因此,信源保护从收到联系的那一刻就开始。 第一封邮件、资料接收、保存位置、编辑部内部共享、报道表达、发布时间,都是保护对象。
联系路径会成为证据
采访联系会留下痕迹。
邮件、社交媒体私信、通话、云端共享、视频会议、聊天应用都很方便,但也会留下日志、账号、时间、对方、附件。
| 联系方式 | 容易留下的痕迹 |
|---|---|
| 邮件 | 收发件人、时间、主题、附件、邮件头 |
| 社交媒体私信 | 账号、对话记录、已读、截图 |
| 通话 | 通话记录、电话号码、通信运营商侧记录 |
| 云端共享 | 所有者姓名、查看日志、编辑历史 |
| 视频会议 | 参与者姓名、录制、背景、显示名 |
只看“内容是否加密”是不够的。
谁和谁、在什么时候、通过哪个服务接触,也会成为问题。
即使用了加密消息应用,通知、备份、设备上的历史记录、对方的截图仍会留下。 邮件和电话会留下收发双方、时间、号码、主题。 云端共享会留下所有者姓名、查看日志和共享历史。
选择联系路径时,不只看正文内容如何保护,也要看接触这一事实会留在哪里。 高风险采访需要从初次接触开始就准备安全入口。
资料不只看内容
采访资料中会留下正文以外的信息。
PDF、Office、图片、视频、音频、压缩文件可能包含作者、编辑历史、设备信息、位置信息、文件名、文件夹结构。
| 资料 | 需要确认的信息 |
|---|---|
| 作者、编辑软件、嵌入信息 | |
| Office 文档 | 修订记录、评论、组织名、作者 |
| 图片 | GPS、拍摄日期时间、相机型号、背景 |
| 视频和音频 | 声音、背景音、拍摄地点、设备信息 |
| 压缩文件 | 内部文件名、文件夹结构 |
不只是在公开资料前需要确认,在编辑部内部共享前也要确认。
如果保留不必要的元数据就直接共享,相关人员越多,泄露时造成的损害也越大。
编辑部内部共享同样重要。 如果把收到的资料放进平时使用的云端或范围很大的共享文件夹,可访问的人会增加。 仅凭文件名或缩略图,也可能看出信源或组织名。 高风险资料应放在只有必要人员可见的位置。
确认资料时,应分开原始文件、工作副本和发布副本。 如果需要保留证据价值,也要避免随意加工原始文件。
会从报道内容反推
信源保护不是删除技术痕迹就结束。
公开报道本身的内容,也可能让人推测谁是信息来源。
| 报道中出现的信息 | 会被反推出的内容 |
|---|---|
| 具体部门名 | 知道信息的人群范围 |
| 详细时间线 | 在场人员或接触过记录的人 |
| 独特表达 | 证言者或文档来源 |
| 照片拍摄位置 | 拍摄者的立场或移动路径 |
| 内部资料的种类 | 拥有访问权限的人 |
要保护信源,报道成稿阶段需要判断哪些信息应一般化。
删去细节有时会降低报道的说服力。此时需要权衡公共利益与信源安全。
从报道内容反推,是最容易被忽视的部分。 即使通信路径和文件处理得很安全,如果报道中出现“只有参加这场会议的人知道的事”“只有这个部门使用的内部术语”“只有这个角度能拍到的照片”,信源仍会被怀疑。
写报道时,要分开读者需要的具体性,以及会回到信源身上的细节。 问题结构、社会影响、验证所需事实应保留。 另一方面,信源的立场、时间、地点、资料版本、独有表达,需要考虑调整。
在高风险信源保护中,可能需要避免单独判断,并与编辑负责人、可信的安全负责人、法律咨询对象一起确认。
记者一侧的操作也很重要
信源保护不能只依赖信源本人小心。 记者一侧的设备、账号、云端、编辑部内部共享、社交媒体告知也会影响信源。
| 记者一侧的操作 | 对信源的影响 |
|---|---|
| 分离联系方式 | 不扩大接触痕迹 |
| 管理资料保存 | 限制查看者和共享历史 |
| 发布前检查 | 减少从报道内容反推 |
| 社交媒体告知 | 不提供超过正文的线索 |
| 发布后应对 | 不因追加信息缩小信源范围 |
新闻工作者需要的匿名性,不只是技术知识。 它是覆盖采访、编辑、发布和发布后应对的操作方式。
发布后保护仍会继续
报道发布后,信源面临的风险不会结束。 组织一侧可能开始内部调查、检查过去的访问日志、询问相关人员,也可能在社交媒体上出现寻找信源的行动。 发布后的追记、记者的社交媒体发帖、追加采访联系,也会成为新的线索。
信源保护还需要决定发布后的应对方针。 追加信息最多公开到什么程度。 如何联系信源。 如何回应询问。 如果报道反响导致信源被怀疑,要如何行动。 这些都属于新闻工作者的匿名性操作。
总结
新闻工作者需要的匿名性,不只是隐藏自己的技术。
它是保护信源、证言者、资料提供者和相关人员的思维方式。
联系路径、资料元数据、云端共享、发布时间、报道中的描写,都会成为连接到信源的线索。
信源保护不能只问“通信是否加密”,还要思考“谁会被怀疑”。
重要的是,在发布前就检查报道发布后会被反推出什么。
相关工具
SecureDrop
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://securedrop.org/
GlobaLeaks
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://globaleaks.org/