从公开报道推测信源的风险
信源并不只会通过通信日志或文件元数据被识别。
公开报道本身,也可能让人推测是谁提供了信息。
报道中出现的时间线、部门名、会议名、引用、照片角度、资料种类、内部情况的细节。对读者来说,这些信息可能增强说服力;但对组织内部人员来说,也可能成为缩小“谁知道这件事”的材料。
在信源保护中,发布前需要思考“看到这篇报道的人会怀疑谁”。
报道内容会成为反推材料
采访报道越具体,力量越强。
但是,具体性也会连接到信源识别。尤其需要注意内部信息、限定会议、人数很少的部门、特定日期、现场细节描写。
| 报道中出现的信息 | 会被反推出的内容 |
|---|---|
| 具体日期 | 当天相关的人、出勤的人 |
| 部门名或职位 | 知道信息的立场 |
| 会议名 | 参会者或资料查看者 |
| 资料种类 | 拥有访问权限的人 |
| 照片拍摄位置 | 能拍摄的人所在位置或立场 |
对读者来说是背景说明的信息,对追踪者来说会成为筛选条件。
报道的具体性支撑报道可信度。 但是,在处理内部信息的报道中,这种具体性可能回到信源身上。 特定会议、资料、日期时间、部门、现场角度、相关人员发言,对组织内部人员来说都是筛选条件。
发布前,要分开读者需要的具体性,以及会缩小信源范围的具体性。 为了呈现问题结构所需的信息应保留。 只显示信源立场或访问权限的细节则应调整。
引用文也会显出特征
匿名证言的引用同样需要注意。
如果留下措辞、专业术语、方言、公司内部特有叫法、文章习惯,可能让人推测证言者本人。
| 引用中残留的特征 | 风险 |
|---|---|
| 独特口头禅 | 看出说话者本人 |
| 内部用语 | 缩小所属部门或职种 |
| 方言或地区表达 | 推测出身地或日常活动范围 |
| 具体经历 | 体验过的人群范围变窄 |
| 强烈情绪表达 | 与过去发言或发帖对照 |
引用需要在准确性和保护之间取得平衡。
有时需要在不改变意义的范围内一般化、整合多份证言、模糊属性信息。
引用会增强证言力量。 同时,它也会强烈保留说话者习惯。 公司内部广为人知的说法、方言、强烈情绪表达、特定业务用语,对认识本人者来说会成为线索。
匿名引用中,有时会在不改变含义的前提下整理表达。 但是,过度编辑会改变证言含义,因此需要平衡准确性与保护。
照片和资料的选择
照片和资料会提高报道可信度。
同时也会显示拍摄者或资料提供者。
| 公开素材 | 会被反推出的信息 |
|---|---|
| 内部资料图片 | 从哪个部门或设备获得 |
| 现场照片 | 拍摄位置、拍摄时间、拍摄者立场 |
| 截图 | 画面尺寸、通知、账号名 |
| 音频 | 说话者、地点、录音环境 |
| 视频 | 拍摄路径、背景音、周围人物 |
公开素材前,要思考“谁才可能拥有这份素材”。
素材说服力越强,出处也越容易被缩小。
内部资料截图尤其需要注意。 画面尺寸、显示菜单、登录中的权限、通知、内部系统 URL、文档编号、版本号都可能被拍进去。 现场照片中,可能从拍摄位置或角度看出拍摄者立场。
使用素材时,要在保留证据价值的同时,减少回到信源的信息。 必要时,也可以判断是否使用重新制作的图表、概括内容的表格、模糊处理后的图片,而不是原始资料。
注意发布时间
报道发布时间也关系到信源推测。
如果报道在组织内部问题刚发生后、特定会议刚结束后、审计或处分刚结束后发布,对方就会调查当时接触过信息的人。
| 时间点 | 会发生的事 |
|---|---|
| 会议刚结束后 | 参会者或资料查看者被怀疑 |
| 内部通知刚发出后 | 调查收到通知的范围 |
| 处分或调动刚结束后 | 怀疑相关人员的不满或动机 |
| 资料刚更新后 | 缩小访问过最新版的人 |
| 事件刚发生后 | 调查在现场的人 |
时效性很重要。
但是,需要保护信源的报道,不能只凭发布速度判断。
有些报道越快发布越有价值。 但是,如果报道紧接内部事件发布,当时接触过信息的人会被怀疑。 会议、通知、资料更新、处分、事故、审计刚结束后尤其需要注意。
稍微调整发布时间,有时可以削弱回到信源身上的关联。 另一方面,延迟发布也可能损害公共利益。 作为编辑判断,应同时考虑速度与保护。
发布前审阅视角
发布前,要以“寻找信源的一方”的视角重新阅读报道,而不是只以“读者”视角阅读。
| 确认问题 | 目的 |
|---|---|
| 知道这条信息的人有多少 | 查看候选范围是否过小 |
| 谁能访问这份资料 | 确认提供者范围 |
| 这段引用像谁的说话方式 | 消除证言者特征 |
| 这张照片能从哪里拍到 | 确认拍摄者立场 |
| 发布时间会让谁被怀疑 | 查看时间关联 |
需要保护信源的报道,在发布前加入第三方审阅是有价值的。
因为写作者知道采访经过,可能已经习惯了危险细节。
第三方审阅可请不了解报道经过的编辑,或具备信源保护视角的人阅读。 不过,审阅本身也是敏感信息共享。应限定在必要人员范围内,不要过度交出原始资料或信源信息。 应从以下角度查看: “知道这条信息的人有多少” “这张照片能从哪里拍到” “这段引用看起来像谁的说法” “发布时间会让谁被怀疑”
发布后的追记也要注意
信源推测不只发生在首次发布时。 发布后的追记、社交媒体补充、记者回复、后续报道可能增加信息。 最初报道中已经模糊的信息,可能在追记中被写出详细日期或地点。
发布后的发信也应视为报道的一部分。 社交媒体告知和补充说明不要提供超过正文的线索。
调整后再次阅读
为了保护信源而调整表达后,还要重新确认报道是否仍然成立。 如果模糊过度,读者会无法理解问题结构。 相反,如果为了恢复说服力而补回太多细节,又会回到信源身上。
调整后,要同时确认读者所需事实是否保留,以及缩小信源范围的细节是否已经删去。 这一步也属于发布前审阅。
总结
公开报道是保护信源的最后关口。
即使谨慎处理通信路径和文件元数据,报道中的时间线、部门名、引用、照片、资料种类、发布时间也可能让人推测信源。
报道具体性很重要。
但是,如果具体性会回到信源身上,就需要一般化表达、调整引用、重新选择素材、考虑发布时间。
发布前必须确认:“追踪者读到这篇报道后,会怀疑谁。”
相关工具
Tor Project
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
SecureDrop
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://securedrop.org/
GlobaLeaks
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://globaleaks.org/