同时保护信源和自己的发布工作流
发布采访报道时,不是只保护信源就够了。
记者本人、编辑部、相关人员、资料提供者、现场在场者也需要保护。
反过来,如果记者一侧的运营薄弱,信源也会从那里被推测出来。用实名云端共享资料,在 SNS 上发布后立刻补充过多,公开能看出采访时间的照片,发布残留编辑历史的 PDF。这些小失误会让信源和记者双方陷入危险。
本文整理同时保护信源和自己的发布工作流。
分开保护对象
发布前,首先分开保护对象。
“信源”一词背后,可能涉及信息提供者、证言者、资料中出现姓名的人、现场在场者、编辑部负责人等多个人。
| 保护对象 | 容易被看到的信息 |
|---|---|
| 信源 | 信息内容、接触时间、资料分发范围 |
| 记者本人 | 联系路径、采访地点、发帖时间、设备 |
| 编辑部 | 共享历史、编辑者姓名、发布后应对 |
| 相关人员 | 照片、引用、资料内姓名、背景 |
| 给读者看的信息 | 文章正文、图片、资料、补充说明 |
保护对象模糊时,需要确认的信息也会模糊。
发布前要写出“谁被推测出来会造成问题”。
分开原本和公开用资料
采访资料要分开原本和公开用版本。
原本有作为证据和采访记录的意义。另一方面,公开用资料中不应残留不必要的元数据和特定线索。
| 阶段 | 目的 |
|---|---|
| 原本保管 | 保持证据价值和采访记录 |
| 确认用副本 | 确认元数据、正文、拍入内容 |
| 公开用副本 | 删除不必要信息并向外发布 |
| 发布后保管 | 管理发布了哪个版本 |
基本原则是不要原样公开原本。
不过,如果资料的法律证据价值很重要,不应一个人判断是否加工。要与编辑部、法务、律师、专家咨询。
不要分开确认正文和资料
只看正文就安全、只看资料就安全,这样的确认并不充分。
正文中模糊了日期时间,但附件图片中残留准确拍摄时间。资料中隐藏了部门名,但从正文说明中能看出部门。这样的组合会发生。
| 组合 | 会发生什么 |
|---|---|
| 正文 + 照片 | 地点和时间被补全 |
| 正文 + PDF | 看出隐藏的部门或资料范围 |
| 资料 + 公开时间 | 与信源行动连接 |
| 引用 + 职务 | 发言者候选缩小 |
| 图片 + SNS 补充 | 现场和相关人员被推测 |
发布前,要把正文、图片、资料、公开时间、SNS 补充放在一起确认。
单独看是安全的内容,也可能因组合而变危险。
分开发前审阅负责人
高风险采访中,不应该由一个人完成确认。
写作者本人知道太多采访经过,容易注意不到线索。第三者阅读时,可能会发现让候选人缩小的表达。
| 负责人 | 确认内容 |
|---|---|
| 正文负责人 | 固有名词、时间线、引用粒度 |
| 资料负责人 | 元数据、文件名、PDF、图片 |
| 信源保护负责人 | 候选者会缩小到多少人 |
| 法务和安全负责人 | 法律风险、证据价值、安全问题 |
| 发布后负责人 | 回复、更正、咨询应对 |
即使编辑部很小,也要意识到角色分工。
即使同一个人负责,也要分开时间,用不同视角重读。
决定退回标准
发布工作流中,不只要决定可以发布的条件,也要决定退回条件。
带着疑问发布,会在发布后被迫修正或删除。高风险采访中,不能公开无法判断的项目。
| 退回条件 | 理由 |
|---|---|
| 信源候选缩小到少数人 | 只靠正文也能推测人物 |
| 资料元数据未确认 | 可能残留作者或地点 |
| 发布后应对未定 | 炎上时容易给出过多信息 |
| 法律风险未确认 | 需要判断证据价值和名誉毁损 |
| 对相关人员影响不明 | 可能牵连自己以外的人 |
退回不是为了阻止文章。
而是为了降低发布风险,把状态恢复到可以重新判断发布的阶段。
记录发布判定
高风险文章中,要在发布前记录确认了什么。
谁确认了正文,哪些资料做成公开用,隐藏了哪些信息,发布后的应对负责人是谁。有记录时,发布后出问题可以回顾判断。
| 记录内容 | 理由 |
|---|---|
| 公开用文件名 | 知道发布了哪个版本 |
| 确认负责人 | 发现遗漏时可以重新确认 |
| 隐藏的信息 | 能说明信源保护判断 |
| 未公开资料 | 判断能否追加公开 |
| 发布后负责人 | 明确回复和更正的责任范围 |
不过,这份记录本身也会包含信源信息。
要管理保存位置和访问权限。
先决定发布后应对
发布后的运营也包含在发布工作流中。
报道发布后,谁回答咨询。是否联系信源。是否在 SNS 上补充。需要更正时由谁判断。
| 发布后项目 | 决定内容 |
|---|---|
| 读者回复 | 谁在什么范围内回答 |
| 信源联系 | 必要性、路径、时机 |
| 更正处理 | 差异和说明方式 |
| 资料追加 | 可追加公开的范围 |
| 炎上应对 | 比起反驳更优先安全确认的标准 |
发布后慌忙决定时,容易因情绪给出信息。
发布前先决定应对方针,更容易保护信源和记者自己。
达到能向信源说明的状态
发布前,也要确认是否达到能够向信源说明的状态。
公开什么,隐藏什么,资料以什么形式使用,发布后可能有什么反应。并不是说一切都让信源决定,但与对方安全有关的信息要谨慎处理。
如果信源不理解发布后的风险就继续,发布后可能发生预想外的危险。
高风险采访中,不只编辑部,信源一侧的安全确认也很重要。
如果还残留无法说明的不安,请不要急着作出发布判断。
总结
要同时保护信源和自己,不只要确认正文,还要包括资料、元数据、公开时间、联系路径、发布后应对。
首先分开保护对象,分开原本和公开用资料。不要分别确认正文和资料,而要看组合后是否会推测出信源。
高风险采访中,要分开发前审阅负责人,也要事先决定发布后的回复和更正方针。
匿名性不是按下发布按钮前一刻才做的工作。
它是从采访、编辑、发布到发布后应对持续存在的工作流。
相关工具
SecureDrop
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://securedrop.org/
GlobaLeaks
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://globaleaks.org/