匿名、隱私、假名、機密性的差別¶

「匿名」、「隱私」、「假名」、「機密」這四個詞在中文討論裡常常互相替換，但選工具、評估風險、設計流程時，把它們拆開看會差很多。一個工具可以很「機密」（內容沒人看得到）但完全不「匿名」（誰在跟誰通訊一目了然）。一個帳號可以很「假名」（別人只知道你叫 Alice）但毫無「隱私」（你的所有貼文、按讚紀錄都公開）。混用這幾個詞，最常見的後果就是用錯工具、保護錯對象。

這頁把四個概念放在同一張對照表裡，並用具體例子說明它們之間的界線。

四個概念的核心差別¶

概念	關注的問題	一句話定義
匿名（Anonymity）	誰在做這件事？	行為與真實身分之間斷開連結。觀察者看得到「有人在做某事」，但無法指認出是誰
隱私（Privacy）	我能控制誰看到關於我的資訊嗎？	對個人資訊的揭露範圍有掌握權。可以選擇分享給誰、什麼時候、揭露多少
假名（Pseudonymity）	同一個人在這個情境下是誰？	用一個固定但與真實身分切開的代號活動。同一個假名下的行為可以被連結，但連不到真實身分
機密性（Confidentiality）	內容只有授權的人能讀嗎？	訊息或資料只在授權的接收者那一端被解讀，傳輸與儲存過程不被未授權者讀取

用具體例子對比¶

寄一封信¶

匿名：寄一封沒有寄件人姓名與地址的信。收件人讀得到內容，知道有人寫了這封信，但不知道是誰寫的
隱私：你寫了一封給朋友的信，預期只有朋友讀。如果有人偷看了，那不是匿名問題，是隱私被侵犯
假名：你用筆名「林口居士」寫信。同一個筆名的所有信件能被連結（讀者知道是同一個人寫的），但連不到你身分證上的名字
機密性：你把信封封起來，貼上火漆。信件在傳遞途中沒有人能拆開讀內容。這跟誰寄、誰收、寄了幾封無關

上一個論壇¶

匿名：完全不用註冊，每次發言都是新的、不可關聯的身分。觀察者只看得到「論壇上有人發言」
隱私：你註冊用本名，但能控制哪些貼文公開、哪些只給好友看
假名：你註冊一個 ID 叫 cat_lover_7，所有貼文都會掛在這個 ID 下。論壇的長期讀者能拼出 cat_lover_7 的喜好與作息，但不知道你的真實身分
機密性：私訊功能用端對端加密，論壇伺服器看不到訊息內容

注意這裡的關鍵：匿名和假名的差別，重點在「同一個身分下的行為能不能被串起來」，跟有沒有用真實名字無關。匿名要求「每次行為都不可被關聯」，假名接受「行為可被關聯但連不到真實身分」。

加密通訊軟體¶

Signal 預設是機密性強：訊息端對端加密，伺服器看不到內容。但匿名性弱：註冊綁手機號碼，誰跟誰聯絡（metadata）會被觀察者掌握
Tor 上的 Onion 服務是匿名性強：很難追溯誰在訪問什麼。但若服務本身要求登入帳號，假名性就介入：行為會被掛在帳號下被連結
一封 PGP 加密的電子郵件機密性強：內容被加密。但匿名性弱：寄件人、收件人地址都在信頭，誰跟誰通訊是公開的

一個常見的誤判：把機密當成匿名¶

「我用了端對端加密，所以是匿名的」是最常見的誤判之一。端對端加密保證的是內容不被中間人讀取，但誰在跟誰通訊、什麼時候、多久通一次、訊息有多長這些 metadata 通常不被加密（或就算被加密，伺服器仍能看到外觀）。對許多威脅模型來說，metadata 本身就足以還原社交網絡與行為模式。詳見 Metadata 是什麼，為什麼重要。

為什麼選對詞彙會影響工具選擇¶

具體舉幾個常見場景：

記者保護消息來源：要的是匿名，因為來源被識別出來會有實質風險。光做到內容機密性不夠
跟伴侶分享照片：要的是隱私，因為你不希望照片擴散到伴侶以外。匿名性不重要（你樂於讓伴侶知道是你寄的）
在敏感議題的論壇長期發言：要的是假名，建立可累積的論述身分但與真實身分切開。完全匿名反而難建立讀者信任
跟律師通信：要的是機密性，內容不被第三方看到。匿名性與假名性不重要（律師需要知道你是誰才能服務）

選錯詞彙就會選錯工具：用 Signal 解決匿名問題、用 Tor 解決機密問題、用筆名解決隱私問題，每一種都會留下風險缺口。

一個工具通常做不到全部¶

實務上幾乎沒有工具能同時最大化四種屬性，因為它們互相牽制：

強匿名通常意味著難建立持續關係（每次都從零開始）
強假名能累積關係，但同一假名的行為都會被連結
強機密性常需要事前的金鑰交換或身分驗證，這跟匿名某種程度上衝突
強隱私需要對「誰能看到」做細緻控制，通常涉及帳號、權限、平台規則

選工具時是先問「我這次任務要保護什麼」，再決定 trade-off 怎麼做。這個提問是威脅模型的核心。

接下來¶

帶這四個概念去走一次威脅模型怎麼想，把抽象詞彙變成「我具體要保護什麼、防誰」的清單
想知道為什麼「機密 ≠ 匿名」，請進一步閱讀 Metadata 是什麼
想看具體場景下這四個概念怎麼選，可以看場景層的各篇文章