内部举报前的匿名性检查
内部举报中,只凭一时冲动行动,可能会变得无法挽回。
发现问题的瞬间,也许会想立刻发给某个人。想留下证据、想停止受害、想让组织的不正当行为被知道。这种心情很自然。
但是,在内部举报中,被记录的不只是发送内容,还有发送前的行为。
打开文档的历史、打印、下载、云端共享、邮件转发、截图、发布时间、连接来源、使用设备。它们一旦与组织内部日志关联,举报者候选范围就会缩小。
本文整理内部举报前最低限度应确认的匿名性检查。
涉及法律判断、安全判断、证据保全时,不要只根据本文决定,应咨询律师、新闻机构、支持团体等。
最先停下来思考
内部举报前首先需要的不是选择工具。
而是整理要保护什么、要防范谁、哪些记录会被对方看到。
| 问题 | 确认理由 |
|---|---|
| 被谁知道会危险 | 风险会因上司、同事、组织、交易对象、公共机构等而变化 |
| 要提交哪份文档 | 会从文档分发范围缩小候选人 |
| 是否有只有自己知道的信息 | 只凭内容就可能推测身份 |
| 用过哪台设备 | 工作设备和受管理设备会留下日志 |
| 从哪里通信 | 职场网络或家庭 IP 会成为线索 |
| 发送给谁 | 接收方受理流程薄弱时,匿名性会崩塌 |
在这个阶段,要把“自己正准备做什么”用语言说明清楚。
是公益举报,还是向新闻机构提供信息,还是劳动问题咨询,还是保存受害证据。目的不同,适合的对象和步骤会变化。
确认文档
内部文档不只是正文。
文件中可能残留作者名、修改历史、评论、模板、创建时间、设备名、文件路径、文档编号、水印、分发对象标识符。
| 要确认的东西 | 查看理由 |
|---|---|
| 作者信息 | 可能残留自己或组织内部账号的名称 |
| 修改历史 | 会看到编辑者或审阅负责人 |
| 评论 | 容易残留内部对话或负责人姓名 |
| 文件名 | 包含案件名、部门名、日期、管理编号 |
| 水印 | 可能显示分发对象或接收者 |
| 图片和 PDF 内文字 | 以为已遮盖的信息可能作为嵌入文字残留 |
原件要根据需要作为证据保存。
交给外部的东西,应另做一份不同于原件的工作副本,并确认元数据和特定表达。不过,在证据价值重要的情况下,请不要随意加工。
无法判断哪些可以加工时,应咨询接收方新闻机构或律师。
确认设备和网络
工作设备、职场网络、组织云端、工作邮箱不适合内部举报。
这些可能受到管理。文件操作、登录、打印、外部发送、USB 连接、浏览器历史、通信目标,都可能被记录。
| 打算使用的东西 | 容易成为问题的点 |
|---|---|
| 公司 PC | 操作日志、文件访问、浏览器历史会残留 |
| 工作手机 | 可能关联管理应用、位置信息、通信历史 |
| 内部 Wi-Fi | 连接设备、通信目标、时间会被记录 |
| 公司 | 即使是外部通信,组织侧也会留下路径 |
| 个人云端 | 会与实名账号或共享历史关联 |
| 实名邮箱 | 会残留发送者、邮件头、联系人 |
如果考虑匿名性,要把设备、通信路径、账号分开。
不过,分离方式会随风险而变化。高风险的内部举报中,自己反复试错反而可能增加痕迹。请先确认可信受理渠道的流程。
选择受理渠道
内部举报中,“发送到哪里”很重要。
如果对方无法安全接收,那么发送者一侧再怎么小心,保护也会变弱。
有些新闻机构和 NGO 准备了匿名提交信息的专用渠道。SecureDrop 是其代表性机制。它是新闻机构和 NGO 通过 接收信息提交的开源系统,设计上会减少提交者的元数据。
URL : https://securedrop.org/
GlobaLeaks 是用于建立内部举报平台的自由、开源软件。组织和团体有时会把它作为接收举报的机制来采用。
URL : https://globaleaks.org/
Tor Browser 有时用于访问这些匿名提交系统。它是让连接目标难以直接看到自己 IP 地址的浏览器。
URL : https://www.torproject.org/
即使使用这些,也一定要阅读提交对象的官方流程。
不要直接相信从搜索结果随便打开的页面、贴在社交媒体上的链接、别人转发来的 URL。如果发送到假的受理渠道,内容和身份都会危险。
确认发布时间和行为
内部举报中,不只是发送内容,时间也会成为线索。
特定资料刚被打开就发往外部。工作时间中出现不自然的通信。会议刚结束就投稿。下班后马上从特定地点访问。这样的时间重合会成为缩小候选人的材料。
| 时间线索 | 会关联的东西 |
|---|---|
| 阅览文档后立刻发送 | 访问日志会与外部发送关联 |
| 工作时间中的通信 | 会与内部网络或设备日志关联 |
| 会议后立刻投稿 | 会议参加者会成为候选 |
| 下班后立刻行动 | 会与移动历史或出入记录关联 |
| 同一星期几和时间反复出现 | 会显现生活节奏或工作班次 |
在匿名性中,不要把内容和时间分开考虑。
内容、设备、通信路径、时间、现实行为会被一起查看。
发送前的最终检查
即将发送之前,要按以下视角停下来。
| 确认项目 | 查看内容 |
|---|---|
| 文档 | 作者、修改历史、评论、文件名、水印 |
| 内容 | 部门、日期时间、特定表达、知情者少的信息 |
| 设备 | 是否没有使用工作设备或受管理设备 |
| 通信 | 是否没有使用职场网络或实名账号 |
| 受理渠道 | 是否是官方信息提交渠道,URL 是否正确 |
| 时间 | 是否没有与组织内部日志或自己的行动强烈重合 |
| 咨询 | 是否没有独自承担法律和安全判断 |
只要有一个项目无法说明清楚,就最好不要急着发送。
内部举报在发送之后很难撤回。
总结
内部举报前的匿名性检查,要查看文档、设备、通信路径、受理渠道、时间、行为之间的关联。
即使隐藏名字,也会从作者信息、编辑历史、内部术语、分发范围、访问日志、发布时间缩小候选范围。
SecureDrop、GlobaLeaks、Tor Browser 这样的机制用于匿名信息提交。不过,仅靠工具并不能保证安全。如果职场设备、内部网络、实名账号、原始文件、时间关联仍然存在,匿名性会从那里崩塌。
内部举报是高风险行为。
涉及公益性、证据价值、法律保护、确保安全时,不要独自判断,应咨询可信的新闻机构、律师、支持团体、专家。
相关工具
Tor Project
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
ExifTool
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://exiftool.org/
MAT2
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
SecureDrop
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://securedrop.org/
GlobaLeaks
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://globaleaks.org/