联系方式与账号分离
如果把采访使用的联系方式和日常个人账号混在一起,信源保护会变弱。
实名邮件、私人手机、个人 SNS、平时使用的云端、工作聊天工具。这些都很方便,但用于联系信源时,通知、历史记录、联系人、登录状态、共享历史会混在一起。
对新闻工作者来说,账号分离不只是为了自己。
它是为了避免把与信源的接触留在不必要的位置。
为什么需要分离
混用联系方式会产生意料之外的关联。
用个人邮箱与信源来往。用平时的 SNS 发 DM。把资料放在私人云端。把截图贴到工作聊天中。这些行为会在多个地方制造痕迹。
| 混用对象 | 残留风险 |
|---|---|
| 个人邮箱 | 私生活联系人和信源留在同一环境中 |
| 实名 SNS | 关注关系、过去发帖与采访联系连接起来 |
| 私人手机 | 通知、照片、联系人、通话记录混在一起 |
| 平时的云端 | 留下所有者姓名、共享历史、同步日志 |
| 工作聊天 | 扩散到编辑部以外的相关人员 |
不分离,就会无法掌握与信源的接点留在了哪里。
记者很多时候以实名工作。 公开邮箱、SNS、所属媒体账号、个人手机、编辑部聊天工具都会日常使用。 如果把高风险信源联系混进这些环境,通知、历史记录、文件、联系人、云端共享中的痕迹会扩散。
联系方式分离的目的,不只是隐藏记者身份。 而是让与信源的接触只留在必要位置。 要建立能掌握痕迹留在哪里的状态。
分离的单位
分离不是只改账号名就够了。
需要分开邮件、设备、浏览器、云端、联系人、保存位置和通知。
| 分离对象 | 理由 |
|---|---|
| 邮件地址 | 将信源联系与普通业务或私用分开 |
| 浏览器 | 不混用登录状态、、历史记录 |
| 设备 | 分开通知、文件、联系人、照片 |
| 云端 | 不混用所有者姓名和共享历史 |
| 保存位置 | 限定资料访问范围 |
高风险采访应考虑专用设备或专用环境。
即使是低风险采访,也至少需要养成不与平时个人账号混用的习惯。
分离深度取决于采访风险。 普通评论采访中,业务邮箱有时已经足够。 涉及内部举报、有报复风险的劳动问题、政治打压、犯罪受害、未成年人、居留资格的采访,则应考虑专用环境。
| 采访类型 | 分离思路 |
|---|---|
| 一般采访 | 用业务联系方式管理 |
| 会给信源带来不利益的采访 | 使用专用邮件或保存位置 |
| 内部举报 | 分开初次接触、资料、回复路径 |
| 高风险采访 | 考虑专用设备、专用通信、专家咨询 |
强分离会增加工作量。 但是,如果信源可能受到严重损害,这种工作量就是信源保护的一部分。
也要引导信源一侧分离
即使记者一侧做了分离,如果信源从平时环境联系,痕迹仍会留下。
一旦使用实名邮件、职场设备、公司 Wi-Fi、业务云端、个人 SNS 联系,记录就会产生。
| 信源一侧的行为 | 风险 |
|---|---|
| 从职场设备发送 | 留在设备管理或网络日志中 |
| 使用实名邮件 | 直接看出发送者 |
| 通过业务云端共享 | 留下所有者、查看历史、共享历史 |
| 用个人 SNS 发 DM | 留下账号关系 |
| 用平时手机拍摄 | 留下照片元数据或同步记录 |
不向信源指示危险的联系方式,也是记者的责任。
在说“请发到这里”之前,要思考会留下哪些痕迹。
信源未必熟悉信息提供相关技术。 如果只说“请把资料发来”,对方可能用职场设备、实名邮件、业务云端、个人 SNS 发送。 到那一刻,强痕迹就已经留下。
记者一侧需要在初次联系时说明不应发送的信息。 例如,不要从职场设备发送,不要用实名邮件附件发送内部资料,不要上传到普通云端,先只咨询概要。
分离后也不能大意
即使账号分开,、发帖时间、设备、IP、浏览器信息、文件处理也可能连接起来。
| 残留关联 | 说明 |
|---|---|
| 登录失误 | 在采访用浏览器登录个人账号 |
| 通知 | 出现在屏幕共享或截图中 |
| 文件同步 | 采访资料进入平时的云端 |
| 文体 | 使用相同表达或签名 |
| 时间 | 总是在同一时间段联系 |
分离不是设置一次就结束。
日常操作中不混用才重要。
即使环境已经分开,操作失误仍会发生。 在专用浏览器打开个人邮箱。 在采访用设备安装私人 SNS。 把采访资料移到平时的云端。 截图中拍到信源姓名或通知。 这些都是由日常使用方式造成的失败,而不是设置本身。
采访资料的保存位置也要分开
即使分开联系方式,如果资料保存位置混在一起,风险仍会残留。 把从信源收到的文件放到个人云端或普通编辑部共享文件夹,会增加可访问人员。 文件名、缩略图、同步历史、编辑历史也可能暴露信源。
采访资料应决定可查看人员、保存位置、备份、删除标准后再处理。 高风险资料不要放在普通工作文件夹中,应分到只有必要人员可访问的位置。
定期检查分离状态
采访长期化后,最初建立的分离会变松。 因为急着确认而使用平时邮件。 临时把资料发到个人设备。 为编辑工作移到普通云端。 这些例外累积后,与信源的接点会扩大。
| 复查对象 | 确认理由 |
|---|---|
| 联系方式 | 与信源的对话是否混入平时环境 |
| 设备 | 是否留下通知、历史记录、文件 |
| 云端 | 是否暴露所有者姓名、共享历史、编辑历史 |
| 保存位置 | 是否被必要人员以外看到 |
| 回复路径 | 是否要求信源使用危险联系方式 |
分离不是最初的设置,而是维持到采访结束为止的操作。
总结
联系方式和账号分离是信源保护的基础。
如果把个人邮箱、实名 SNS、私人手机、平时云端、工作聊天工具用于信源联系,痕迹会扩散。
要分离的对象包括邮件、浏览器、设备、云端、保存位置和通知。
也需要考虑向信源一侧提供不使用实名邮件、职场设备、业务云端的选择。
分离不是设置,而是操作。
相关工具
SecureDrop
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://securedrop.org/
GlobaLeaks
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://globaleaks.org/