内部举报者发布前检查清单
公开前检查清单:面向内部举报者
内部举报在公开前需要确认的事情很多。
资料内容、文件元数据、云端历史、打印和扫描痕迹、接收方、法律风险、公开后的行动。任何一个遗漏,都可能回到举报者或周围的人身上。
这份检查清单,是为了避免在发送或公开前一刻凭冲动推进。
这不是法律建议。风险较高时,请先考虑可信的专家或咨询渠道。
确认威胁模型
首先,确认要从谁那里保护什么。
| 确认项目 | 查看理由 |
|---|---|
| 谁会试图识别身份 | 设想上司、信息系统部门、法务、审计、外部调查公司等 |
| 要保护什么 | 区分姓名、资料访问、联系事实、时间线 |
| 会留下哪些日志 | 查看文件、设备、云端、打印、出入记录 |
| 候选人有多少 | 确认是否会仅凭内容就缩小到自己 |
| 是否有咨询渠道 | 不要独断采取高风险行动 |
在威胁模型仍然模糊的状态下发送很危险。
在内部举报中,对方掌握内部信息。 即使是外部读者不知道的信息,组织一侧也可能知道。 谁能看到资料,谁参加了那场会议,谁在那个时间使用了设备,对方有时可以通过日志确认。
因此,在威胁模型中,不只看“会不会被普通人发现”。 要考虑组织管理员、上司、法务、审计、信息系统部门、外部调查公司能看到什么。
确认资料
接下来,确认要提交的资料。
不仅看正文,也要看文件名、作者、组织名、版本号、评论、修改历史、水印、文档编号。
| 确认项目 | 查看理由 |
|---|---|
| 文件名 | 是否包含本名、部门、案件名 |
| 作者信息 | 是否残留真实姓名或内部账号 |
| 修改历史 | 是否残留编辑者、评论、过去版本 |
| 文档编号和版本号 | 是否会缩小分发对象或访问范围 |
| 正文中的特定线索 | 是否过于清楚地显示谁知道这些信息 |
加工资料有时会影响证据价值。
拿不准时,向接收方或专家确认。
资料要同时确认内容和文件信息。 即使从正文中删除姓名,只要作者信息、评论、修改历史、文档编号、水印、分发对象还在,来源就会显现。 转换成 PDF 也不一定就安全。
此外,内容本身也是线索。 少数人参加的会议、限量分发的资料、特定系统画面、只有现场才能拍到的照片,会显示谁可能知道这些信息。 用于公开时,要在保留事实核心的同时,调整会回到举报者身上的细节。
确认云端和设备
也要确认处理资料的地点。
查看业务云端、内部设备、职场 Wi-Fi、个人云端、同步文件夹、备份中是否残留痕迹。
| 确认项目 | 查看理由 |
|---|---|
| 业务设备 | 可能有操作日志或管理软件 |
| 内部网络 | 会留下连接目标和通信时间 |
| 云端历史 | 浏览、共享、下载会被记录 |
| 文件同步 | 副本会留在个人云端或设备上 |
| 打印和扫描 | 会留下设备日志或拍摄信息 |
在内部举报中,发送之前的操作有时会成为问题。
发送资料之前,回想自己在哪里接触过资料。 是在职场设备上打开的吗。 是从业务云端下载的吗。 打印过吗。 用手机拍摄过吗。 移到个人云端了吗。
这项确认不是为了完全消除过去的行动。 而是为了理解公开后可能从哪里被怀疑,并据此调整公开内容或接收方。
确认接收方
接收方与匿名性和安全性有很强关系。
| 确认项目 | 查看理由 |
|---|---|
| 运营主体 | 谁在管理窗口 |
| 访问权限 | 谁能阅读资料 |
| 日志政策 | 如何处理 IP、时间、附件 |
| 回复方法 | 持续联系是否会增加痕迹 |
| 法律保护 | 确认与公益举报或保密义务的关系 |
不要仅凭有匿名表单就判断为安全。
要确认是谁在运营。
不同接收方所能保护的范围不同。 新闻机构、律师、公益举报窗口、内部窗口、NGO,在可处理内容、保密机制、回复方法、日志政策上都不同。 在内部举报中,选择接收方是风险管理的核心。
也要确认初次联系时是否可以只咨询概要,而不是一开始就发送全部内容。 如果需要身份确认,要确认目的、保存期限、查看者。
确认公开后的行动
发送之后、公开之后,风险仍会继续。
对组织内部反应过度回应、在社交媒体上暗示、告诉同事、急着发送追加信息,这些行为都会成为关联材料。
| 公开后的行动 | 注意事项 |
|---|---|
| 确认回复 | 不要从同一环境反复访问 |
| 追加发送 | 不要增加新的元数据或时间关联 |
| 职场中的反应 | 避免因不自然言行而被怀疑 |
| 社交媒体发帖 | 不要暗示自己是相关人员 |
| 持续咨询 | 维持安全的联系路径 |
内部举报并不会在发送的瞬间结束。
要把公开后的行动也纳入计划。
公开后,组织内部会出现反应。 那时,如果突然改变态度、联系相关人员、在社交媒体上暗示、焦急地发送追加信息,关联会增加。 公开后的行动也可能被寻找举报者的一方看到。
最后停下来的标准
如果检查结果显示危险较高,就停下来。 候选人只有自己。 资料来源范围过窄。 不了解接收方的管理方式。 没有理解法律风险。 会影响家人或同事。
| 停下来的理由 | 接下来考虑什么 |
|---|---|
| 候选人太少 | 是否可以调整内容或时机 |
| 资料危险 | 是否可以分开公开用和咨询用 |
| 接收方不明 | 寻找其他咨询渠道 |
| 法律风险不明 | 咨询专家 |
| 会影响周围的人 | 考虑减少牵连的方法 |
停下来不是失败。 在内部举报中,不急于行动有时会带来安全。
如果检查清单中仍有不明点,就把它当作“尚未确认”。 不要以“大概没问题”继续推进。 在确认、删减信息、更换接收方、咨询、推迟发送之中选择一种。 仍有犹豫的发送,是公开前应该停下来的对象。
总结
面向内部举报者的公开前检查,要确认威胁模型、资料、云端历史、设备、接收方、公开后的行动。
不仅正文,作者信息、修改历史、文档编号、版本号、打印日志、云端历史也会成为线索。
接收方的可信度也很重要。
要确认谁在运营、记录什么、谁能阅读。
如果犹豫点很多,请在发送前停下来。高风险的内部举报中,急于行动有时会成为最大的失败。
相关工具
ExifTool
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://exiftool.org/
MAT2
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
SecureDrop
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://securedrop.org/
GlobaLeaks
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://globaleaks.org/