为保护信源而需要的匿名性
说到保护信源,你可能会想到不在报道中写出姓名。
但是,这还不够。
信源不仅会从正文中的姓名被推测,也会从联系路径、采访时间、资料内容、照片背景、文件元数据、发布后的反应中被推测。
特别是在少人数组织、内部举报、地域社会、政治敏感主题、与职场或学校有关的话题中,仅凭“谁知道这项信息”就会缩小候选范围。
本文整理为了保护信源,应查看哪些信息,以及按什么顺序确认。
信源会从正文以外被推测
信源保护中最先要看的,不是正文里是否直接有姓名。
知道这项信息的人有多少。何时、何地、和谁接触。资料发给了哪些范围。发布后谁会被怀疑。
需要这种视角。
| 线索 | 信源被推测的理由 |
|---|---|
| 信息内容 | 知情者少时候选范围会缩小 |
| 采访时间 | 与排班表、出入记录、移动历史核对 |
| 地点 | 从会面地点或地区推测相关人员 |
| 资料分发范围 | 看出谁拥有资料 |
| 引用语气 | 说话方式和立场残留 |
| 照片和音频 | 背景、声音、反射、元数据成为线索 |
在匿名性中,即使删除姓名,也会留下“能给出这项信息的人”。
正因如此,写报道前需要从信源立场重读。
根据信源选择联系路径
信源保护中,联系手段的选择很重要。
如果联系信源平时使用的职场邮箱,组织一侧会留下记录。使用 SNS 的 DM,平台会留下日志。使用电话,会涉及通话记录和基站信息。即使面对面见面,也会留下移动历史、监控摄像头、支付记录。
| 联系方式 | 残留信息 | 注意点 |
|---|---|---|
| 职场邮箱 | 收发历史、附件、搜索日志 | 容易留在信源所属组织中 |
| 个人邮箱 | 账号、IP、设备、邮件头 | 与实名或过去账号连接 |
| SNS DM | 登录状态、账号关联、时间 | 平台内部留下记录 |
| 加密消息 | 联系人、设备、备份 | 设备和云端设置会成为弱点 |
| 面对面 | 移动、出入、支付、监控摄像头 | 即使不留在线上,也会留在现实记录中 |
安全的联系方式会因状况而变。
低风险采访中,普通联系可能足够。高风险采访中,有时应在咨询编辑负责人或可信赖专家后,使用专用接收口或匿名提交系统。
SecureDrop 是供媒体机构和 NGO 接收匿名信息提供的开源系统。它以通过 访问和减少元数据为前提,被许多媒体机构用于信源保护。
URL : https://securedrop.org/
Tor Browser 用于让连接目标不容易直接看到信源的 IP 地址。
URL : https://www.torproject.org/
不过,即使使用 Tor 或 SecureDrop,也可能从信源的设备、文件、行动时间、提交内容产生关联。工具很重要,但必须连运营一起考虑。
不要过度隐藏,也不要过度公开资料出处
采访中需要显示资料可信度。
但是,如果把资料出处说得过于具体,信源会陷入危险。
例如,写“2026 年 6 月 12 日上午部门会议中分发的资料”,可信度会提高。但是,如果那场会议参加者很少,信源候选就会缩小。
| 公开的信息 | 优点 | 风险 |
|---|---|---|
| 具体日期时间 | 读者容易理解事实关系 | 参加者和访问者会被缩小 |
| 部门名 | 问题所在更明确 | 信源所属被推测 |
| 文档编号 | 证据价值提高 | 与分发对象和管理历史核对 |
| 引用原文 | 准确传达发言含义 | 说话方式和内部用语残留 |
| 资料图片 | 说服力提高 | 水印、留白、布局、元数据残留 |
信源保护不是削弱事实,而是选择必要的粒度。
要分开读者需要知道的信息,和只会让信源陷入危险的信息。
发布前从第三者视角阅读
写报道的人会习惯线索。
即使自己觉得“这种程度看不出来”,组织内的人、当地人、相关人员可能会看出来。
发布前,请让不知道信源的编辑或可信赖第三者阅读,并按以下视角确认。
- 信源候选大约会缩小到多少人
- 正文中的日期时间、地点、部门、职务是否过于具体
- 是否能从引用语气和内部用语看出人物
- 照片、PDF、音频中是否残留元数据或背景信息
- 公开时间和后续报道方式是否会让信源被怀疑
这不是审查。
这是为了在保护信源的同时,把读者需要的事实传达出去的确认。
不要在发布后回复中破坏
信源保护在发布后也会继续。
报道发布后,如果记者在 SNS 上补充过多,正文中隐藏的信息可能会暴露。在回复咨询、追加说明、演讲、播客、邮件应对中,也可能给出关于信源的线索。
| 发布后行为 | 风险 |
|---|---|
| 在 SNS 讲背景 | 正文隐藏的时期和地点显露 |
| 对咨询详细回答 | 采访路径和资料范围泄露 |
| 后续报道补充细节 | 增加只有信源知道的信息 |
| 反驳时情绪激动 | 容易给出不必要的特定信息 |
| 替换资料 | 新文件中残留元数据 |
发布后的运营也是信源保护的一部分。
不仅报道正文,相关对外发布也要用同一标准查看。
也要看现实世界的记录
信源保护中,如果只看网上通信,会产生遗漏。
面对面会面时,车站移动、出入、支付、监控摄像头、酒店或咖啡店使用历史都会残留。电话通话时,也涉及通话历史和通信公司一侧记录。即使在线上完全隐藏姓名,如果现实行动与报道公开时间线重叠,信源也可能被怀疑。
| 现实世界的记录 | 在信源保护中查看的理由 |
|---|---|
| 出入记录 | 知道谁在什么时候进入建筑 |
| 支付历史 | 成为会面地点和时间的线索 |
| 监控摄像头 | 接触和移动可能被记录 |
| 交通历史 | 可能留下不同于平时的移动 |
| 通话历史 | 残留联系对象和时间 |
高风险采访中,不仅通信路径、资料、正文,现实行动也要纳入威胁模型。
总结
为保护信源而需要的匿名性,不是只隐藏姓名就成立。
信源会从信息内容、联系路径、采访时间、资料分发范围、引用语气、照片和文件元数据、发布后的对外回应中被推测。
联系方式要根据信源风险选择。SecureDrop 和 Tor Browser 这样的机制在某些场面有效,但工具本身不会完成信源保护。
发布前,要从第三者视角确认信源候选会缩小到什么程度。发布后,也不要在 SNS 或咨询应对中给出不必要线索。
信源保护不是在报道最后隐藏姓名的工作。
它是从采访开始到发布后持续存在的运营。
相关工具
ExifTool
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://exiftool.org/
SecureDrop
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://securedrop.org/
GlobaLeaks
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://globaleaks.org/