内部举报者需要的匿名性思维
内部举报的匿名性,与普通匿名发帖的重量不同。
对方可能是不想失去信息的组织。它可能拥有内部日志、访问权限、文档分发历史、监控摄像头、出入记录、终端管理、邮件历史。
内部举报中需要保护的,不只是名字。
谁接触过资料。谁知道那个事实。谁在那个时间能够行动。谁能够拿出那份文档。举报者会从这些条件中被缩小范围。
内部举报中,信息出处会成为问题
在内部举报中,内容本身就是强线索。
例如,只有特定部门能看的资料、有限会议的会议记录、分发给少数人的邮件、只有现场才能拍到的照片。即使这些信息匿名发送,“谁可能持有它”也会成为问题。
| 信息类型 | 可能被怀疑的人 |
|---|---|
| 限定分发的资料 | 分发对象、阅览者、管理员 |
| 会议资料 | 出席者、事务局、上级 |
| 内部邮件 | 收件人、转发者、系统管理员 |
| 现场照片 | 在场的人、出入过的人 |
| 业务系统画面 | 拥有访问权限的人 |
在内部举报中,即使隐藏了通信路径,也会从信息出处缩小候选范围。
这是它与普通匿名发帖的很大区别。 如果是匿名论坛发帖,发帖者的 IP 或账号有时会成为主要问题。 但是在内部举报中,资料和事实本身包含“谁可能知道这件事”的信息。
例如,如果某份资料只有 5 个人能看,即使隐藏通信路径,候选人仍然是 5 人。 再加上公开时期、资料版本、、发送时间重合,候选范围会进一步缩小。 在内部举报中,重要的是不要只从通信角度思考匿名性。
组织拥有内部日志
内部举报中作为对方的组织,拥有的信息比外部第三方更多。
包括文件服务器访问历史、云端阅览历史、打印机日志、出入记录、邮件日志、监控摄像头、业务终端的操作记录等。
| 日志 | 可以知道什么 |
|---|---|
| 文件访问日志 | 谁打开过资料 |
| 云端历史 | 谁浏览、共享、下载过 |
| 打印机历史 | 谁在什么时候打印过 |
| 出入记录 | 谁在那个地点 |
| 邮件日志 | 谁收发、转发过 |
| 终端管理日志 | USB 连接、截图、应用使用 |
因此,内部举报中只保护“发送到外部的瞬间”是不够的。
需要思考接触资料之前、复制之前、发送之前、公开之后。
组织内部日志不一定单独就是决定性证据。 但是,多个日志组合起来就会变强。 打开文件的人、打印的人、那个时间进入房间的人、收到邮件的人、插入 USB 的终端。 如果这些都指向同一方向,候选范围就会缩小。
内部举报中重要的不只是按下发送按钮的瞬间。 查看资料、记笔记、拍照、打印、复制、咨询、公开后作出反应。 前后的行为也会被放在时间线上查看。
先考虑安全和咨询对象,再考虑匿名性
内部举报中,不只有匿名性,还有法律和安全风险。
雇佣合同、保密义务、公益举报制度、证据保全、报复、名誉毁损、个人信息保护等都可能相关。
本站文章不是法律咨询。
高风险的举报中,应先考虑适当的咨询对象,例如可信的律师、劳动咨询窗口、新闻机构、熟悉公益举报的团体等。
| 要确认的事 | 理由 |
|---|---|
| 自己和家人的安全 | 考虑报复和对生活的影响 |
| 法律风险 | 确认保密义务和公益举报的处理方式 |
| 提交对象 | 交给谁,会改变保护和危险 |
| 资料处理 | 避免不必要的带出或改动 |
| 公开的必要性 | 考虑是否存在直接公开以外的手段 |
内部举报越是凭势头行动,就越危险。
先花时间思考,本身就是保护自己的措施。
在内部举报中,不能断言“因为我在做正确的事,所以没问题”。 即使是具有公益性的信息,风险也会因资料处理方式、个人信息、保密义务、证据保全、提交对象的选择而变化。 本站文章是判断的入口,不是法律咨询。
高风险情况下,与其立刻公开,不如寻找可信的咨询对象。 根据情况选择合适的对象,例如律师、熟悉公益举报的窗口、理解信源保护的新闻机构、支援团体等。 选择咨询对象本身也是匿名性的一部分。
只靠工具无法保护
、SecureDrop、GlobaLeaks、OnionShare、 等工具会有帮助。
但是,在内部举报中,工具本身并不能完成匿名性。
| 工具较容易保护的东西 | 只靠工具仍会残留的东西 |
|---|---|
| 部分连接来源 | 访问资料的历史 |
| 避开普通账号 | 文档作者和组织信息 |
| 交接路径 | 从内容反向推断 |
| 通信内容的保护 | 发送前的终端操作日志 |
工具只是整体的一部分。
内部举报中,要连同威胁模型、咨询对象、资料选择、提交对象、公开内容一起思考。
SecureDrop 和 GlobaLeaks 这样的机制,作为信息提交窗口很重要。 但是,如果从职场终端访问、发送带有元数据的资料、在内容中放入只有自己可能知道的信息,候选范围会从其他路径被缩小。 Tor 和 VPN 也是一样。 即使保护了通信路径的一部分,文件、内容、时间、组织内部日志仍会留下。
使用工具之前,要先决定这个工具是为了保护什么。 是想让连接来源更难被看到吗。 是想让交接窗口更安全吗。 是想与实名环境分离吗。 如果目的模糊,就会陷入“用了工具,却没有保护关键部分”的状态。
区分公开的信息和咨询的信息
在内部举报中,没有必要把所有内容都放进公开文本。 要区分公开的信息、只交给咨询对象的信息、作为证据保全的信息。
| 信息处理方式 | 例子 | 注意点 |
|---|---|---|
| 公开的信息 | 问题概要、社会影响 | 删除会回到举报者身上的细节 |
| 交给咨询对象的信息 | 详细资料、经过、证据 | 与可信对象决定范围 |
| 保全的信息 | 原文件、日志、原件 | 注意改动和泄露 |
| 不交出的信息 | 家人、同事、无关个人信息 | 避免牵连他人 |
公开是一种影响很强的行动。 一旦发布,信息会残留在截图、转载、存档中。 在内部举报中,不仅要设计交出什么,也要设计不交出什么。
总结
内部举报者需要的匿名性,不只是隐藏名字。
需要思考谁能看到资料、谁知道那条信息、谁在那个时间能够行动。
组织可能拥有文件访问、云端历史、打印、出入、邮件、终端管理等日志。
在内部举报中,要在使用匿名化工具之前,整理威胁模型、安全、法律风险、提交对象。
在凭势头发送之前先停下来,是第一道防线。
相关工具
ExifTool
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://exiftool.org/
MAT2
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
SecureDrop
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://securedrop.org/
GlobaLeaks
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://globaleaks.org/