组织特有表达的风险
匿名书写组织内部事件时,容易以为删掉公司名或学校名就安全。
但是,只在组织内部使用的词语,会成为和固有名词同样强的线索。
部门缩写、内部用语、独有会议名、项目名、职务称呼、业务流程表达,即使外部的人不懂,内部的人也会马上看懂。
本文整理组织特有表达如何关系到匿名性,以及公开前应如何泛化。
什么是组织特有表达
组织特有表达,是指只在特定公司、学校、团体、部门、团队内部通用的词语。
| 类型 | 例 | 匿名性中的注意点 |
|---|---|---|
| 部门缩写 | CS、信息系统、第一组 | 指向组织内部所属 |
| 会议名 | 早会、例会、某某评审 | 参与者和时期被缩小 |
| 项目名 | 内部代号、案件名 | 负责者和相关部门可见 |
| 职务称呼 | 独有职位、团队内部称呼 | 接近组织结构 |
| 业务流程 | 只属于该组织的步骤 | 成为只有内部人员懂的信息 |
这些词对一般读者来说可能没有意义。
但是,对内部人员是强识别材料。
在匿名性中,“陌生人看不懂”是不够的。要思考“知道的人读到后会想到谁”。
删除固有名词后仍会留下
即使删除组织名和部门名,只要表达留下,仍会更容易推测出处。
| 删除的东西 | 残留线索 |
|---|---|
| 公司名 | 内部制度名、会议名、缩写 |
| 部门名 | 负责业务、审批流程、职务 |
| 人名 | 称呼、关系、角色 |
| 项目名 | 时间线、相关部门、内部代号 |
| 地点名 | 会议室名、楼层、设施称呼 |
内部举报、职场咨询、校内问题、团体活动相关内容尤其要注意。
对本人来说是日常词,但放到外部就会变成内部信息。
如何泛化
组织特有表达要替换成一般性的词语。
| 原表述 | 替换例 | 注意点 |
|---|---|---|
| 招聘例会 | 定期会议 | 不过度写出会议目的 |
| 第一开发 G | 某个部门 | 部门人数少时进一步模糊 |
| 内部代号 | 某个项目 | 不与时期和负责人同时写出 |
| 课长某某 | 上司、管理职 | 避免关系过窄 |
| 总部 3 楼会议室 | 职场内的会议室 | 降低地点精度 |
替换的目的不是让文章变得含糊。
而是在保留读者需要的意义的同时,降低组织内部缩小候选人的精度。
以内部人员会阅读为前提确认
关于组织的文章,要以内部人员会阅读为前提确认。
即使自认为对外部读者已经充分模糊,内部人员仍可能看懂。
| 要确认的问题 | 理由 |
|---|---|
| 这个词在组织外也使用吗 | 如果是内部词就替换 |
| 知道这个事件的人有多少 | 候选少就危险 |
| 这个时间线有必要吗 | 会与会议或分发历史连接 |
| 这个职务是否只有一人 | 仅凭职务即可识别 |
| 这个表达会暴露部门吗 | 避免所属推测 |
让别人看高风险文章这件事本身,会产生新的暴露。
即便如此,如果需要确认,就只把必要范围展示给可信咨询对象,并确认会浮现出哪个组织或部门。
文件和图片中也会残留
组织特有表达不一定只留在正文中。
PDF 文件名、Office 文档模板、截图通知、图片内公告、音频内对话中也会残留。
| 位置 | 残留信息 |
|---|---|
| 文件名 | 案件名、部门名、会议名 |
| 文档元数据 | 公司名、模板、作者 |
| 图片 | 白板、公告、名牌 |
| 音频 | 内部用语、称呼、会议名 |
| URL | 内部系统名、管理画面名 |
只修改文章,如果附件中残留组织特有表达,也没有意义。
公开前,要整体确认正文、文件、图片、音频、URL。
也要注意替换过度
组织特有表达不是全部删除就好。
如果把读者理解所需的意义也删掉,就无法传达问题所在。在匿名性文章或咨询文中,要保留读者理解状况所需的最低限度信息,同时降低内部人员缩小候选人的精度。
| 目的 | 保留的信息 | 去掉的信息 |
|---|---|---|
| 劳动环境咨询 | 工作量、指示系统、困扰行为 | 具体部门名、会议名、上司称呼 |
| 校内问题共享 | 立场、问题类型、需要的支援 | 学科名、课程名、小人数研讨课名 |
| 技术问题报告 | 影响范围、原因类型、防止再发视角 | 内部系统名、项目代号、负责人名 |
| 内部举报草稿 | 公益性、证据类型、时期范围 | 资料名、参加者、分发对象细节 |
这张表中重要的是区分意义和精度。
意义是读者判断所需的。精度是缩小本人或相关人员的线索。保护匿名性的编辑,是保留意义并降低精度。
写完后换读者视角重看
确认组织特有表达时,要换读者视角重读文章。
作为一般读者阅读时看不出问题,但作为同职场同事、同学校学生、同部门管理者阅读时,候选可能突然浮现。
确认时,按以下顺序重读。
- 不知情读者是否能理解内容意义
- 同行业的人读到后是否会想到组织
- 同组织的人读到后是否会想到部门或人物
- 当事人读到后是否能推测发帖者
高风险内容中,最后一个视角最重要。
匿名性不只是藏于广泛社会之外。还必须考虑真正有动机寻找的人知道哪些信息。
与其他文章的范围
职业和所属本身的处理,会在“从职业和所属识别身份”中详细介绍。
本文在其中尤其聚焦只在组织内部通用的词语。
地区名、学校名、公司名应模糊到什么粒度,会在“模糊地区、工作单位、学校信息的方法”中介绍。
如何替换固有名词,会在“安全模糊固有名词的方法”中介绍。
按文章区分观察视角,可以避免重复相同内容,并减少公开前检查的遗漏。
总结
组织特有表达是削弱匿名性的强线索。
即使删除公司名或学校名,只要内部用语、部门缩写、会议名、项目名、职务称呼、业务流程残留,内部人员就会看懂。
匿名书写组织相关内容时,要替换成一般表达。
不过,即使替换后,只要与时间线、职务、地区、文件名、图片、音频组合,候选也会被缩小。
公开前,请确认内部人员读到时会想到谁。
如果仍有看不懂的表达残留,不要急着发出,先停下来。
在需要匿名性的文章中,将只有内部人员懂的词语泛化,与删除固有名词同样重要。
相关工具
OSINT Framework
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
SecureDrop
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://securedrop.org/
GlobaLeaks
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://globaleaks.org/