内部举报前要确认的事项
内部举报中,按下发送按钮之前最重要。
一旦发送资料、消息、截图、文件,对方就会保存。发送时间、通信路径、文件名、作者信息、文档内容、设备痕迹,都会成为之后缩小候选范围的材料。
在内部举报中,对方可能能够查看组织内部日志、访问权限、操作记录。
因此,只是“不写名字”并不够。
本文按目的、资料、设备、提交渠道、时间、咨询的顺序,整理内部举报前应确认的项目。
整理目的
首先,整理自己是为了什么而举报。
向新闻机构提供信息、公司内部通报、向行政机关咨询、劳动问题咨询、为受害情况保存证据,适合的对象和步骤都不同。
| 目的 | 要确认的事 |
|---|---|
| 向新闻机构提供信息 | 提交渠道的安全性、信源保护、资料处理方式 |
| 公司内部通报 | 举报渠道的独立性、日志、报复风险 |
| 向行政或监管机关咨询 | 手续、身份确认、提交资料 |
| 劳动问题咨询 | 证据价值、时间线、律师或支持机构 |
| 受害情况记录 | 删除前保存证据、确保安全 |
目的含糊时,会选错提交渠道或接收方。
在内部举报中,对象选择会大幅影响匿名性和安全性。
确认资料
内部资料中会残留正文以外的信息。
作者、编辑历史、评论、分发编号、文件路径、内部术语、水印、阅览权限、访问历史。这些会成为指向持有资料的人或制作资料的人的线索。
| 确认项目 | 查看内容 |
|---|---|
| 作者信息 | 是否残留真实姓名、部门名、设备名 |
| 修改历史 | 是否残留编辑者、审阅负责人、评论 |
| 文件名 | 是否有案件名、部门名、日期、个人名 |
| 水印和标识符 | 是否显示分发对象或接收者 |
| 正文中的特定表达 | 知情者范围是否过窄 |
基本原则是不要直接发送原件。
不过,在证据价值重要的情况下,请不要随意加工。无法判断哪些可以加工时,应咨询律师或接收方新闻机构。
确认设备和网络
工作设备和职场网络不适合用于内部举报。
公司 PC、工作手机、内部 Wi-Fi、公司 、工作邮箱、受管理的云端中,可能会留下操作日志、通信日志、文件访问、打印、下载历史。
| 打算使用的东西 | 风险 |
|---|---|
| 公司 PC | 文件操作、浏览器历史、USB 连接可能被记录 |
| 工作手机 | 可能关联管理应用或通信历史 |
| 内部 Wi-Fi | 连接时间和通信目标可能残留 |
| 公司 VPN | 即使是外部通信,组织侧也会留下路径 |
| 工作邮箱 | 发送历史和附件历史可能被审计 |
如果考虑匿名性,要把设备、通信路径、账号分开。
不过,高风险情况下,自己反复试错反而可能增加痕迹。先确认可信提交渠道的流程。
预设组织内部日志
内部举报中,要考虑的不只是公开信息,还要考虑与组织内部日志的核对。
谁打开过文档,谁打印过,谁下载过,谁访问过外部存储。这样的信息即使外部人员看不到,组织管理员或调查负责人也可能看得到。
| 组织内部日志 | 候选人范围会被缩小的理由 |
|---|---|
| 文档访问日志 | 可以知道谁打开了资料 |
| 打印日志 | 可能残留打印者、时间、文档名 |
| 下载历史 | 可以知道带出资料的时间 |
| 邮件搜索日志 | 可能残留查找了哪些资料 |
| 出入记录 | 行动时间会与发送时间关联 |
内部举报中,对方不一定只看“公开出来的资料”。
要预设这些资料会与接触过资料的人的记录进行核对。
确认提交渠道
内部举报中,提交渠道能否安全受理非常重要。
有些新闻机构和 NGO 准备了匿名提交信息的专用渠道。SecureDrop 和 GlobaLeaks 就是作为这类渠道使用的机制。
SecureDrop 是新闻机构和 NGO 用于接收匿名信息提交的开源系统。
URL : https://securedrop.org/
GlobaLeaks 是用于建立内部举报平台的自由、开源软件。
URL : https://globaleaks.org/
重要的是确认它是不是官方渠道。
不要直接相信搜索结果或社交媒体上找到的链接,要从新闻机构或组织的官方页面确认说明。
查看内容是否会缩小候选范围
即使资料本身处理得安全,也可能从内容缩小候选范围。
如果处于“能看到这份资料的人只有 3 个”“只有参加那场会议的人知道”“还保留着这个部门特有的说法”这样的状态,即使删除元数据也危险。
| 内容线索 | 风险 |
|---|---|
| 会议名和日期时间 | 出席者会成为候选 |
| 部门特有的说法 | 所属会被推测 |
| 资料编号 | 会与分发对象或管理历史核对 |
| 只有少数人知道的事实 | 候选人范围会一下子缩小 |
| 语气和说明顺序 | 会显现立场或工作类型 |
如果把内容模糊得太多,证据价值也可能下降。
隐藏什么、保留什么,最好与接收方或专家咨询后决定,这样更安全。
也考虑发送后的行为
内部举报不会在发送的瞬间结束。
发送后立刻删除相关文档,在职场表现得不自然,告诉周围的人,在社交媒体上暗示。这些行为也会成为关联材料。
| 发送后的行为 | 风险 |
|---|---|
| 突然删除文档 | 调查时受到关注 |
| 告诉周围的人 | 信息路径扩散 |
| 在社交媒体上暗示 | 匿名投稿会与本人关联 |
| 反复确认提交渠道 | 通信和行动时间增加 |
| 态度突然变化 | 从内部人际关系中被怀疑 |
发送前,也要决定发送后的联系方法和确认频率。
最后应停下的条件
符合以下条件时,应停止发送。
| 应停下的条件 | 理由 |
|---|---|
| 资料元数据尚未确认 | 可能残留作者或分发信息 |
| 正在使用职场设备 | 可能残留在组织侧日志中 |
| 不知道提交渠道是否官方 | 有发送到假渠道的危险 |
| 从内容会缩小到少数候选人 | 仅凭正文就可能推测身份 |
| 需要法律判断 | 独自决定可能危险 |
内部举报是高风险行为。
犹豫时,在发送前先咨询。
总结
内部举报前,要确认目的、资料、设备、通信路径、提交渠道、发布时间。
即使不写名字,也会从文档元数据、内部术语、分发范围、访问日志、发送时间缩小候选范围。
SecureDrop 和 GlobaLeaks 这样的渠道是实用选择,但工具本身不能保证安全。要确认官方渠道,并管理设备、资料、行为之间的关联。
如果存在法律风险或人身危险,请不要独自判断,应咨询律师、支持团体、可信的新闻机构等。
相关工具
ExifTool
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://exiftool.org/
MAT2
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
SecureDrop
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://securedrop.org/
GlobaLeaks
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://globaleaks.org/