跳轉到

社運行動者的數位準備

社運場景的數位風險跟個人匿名不太一樣。多數風險來自群組通訊、裝置被檢查、現場照片與位置資訊的暴露,跟你身邊還有誰、組織內部紀錄留在哪、現場有沒有人拍到你都有關。這篇文章把一場行動拆成四個階段來談:動員前的準備、行動現場、行動之後、跨組織協作。每個階段配對應的工具與設定,並對照台灣與香港兩地行動圈累積的實務。

要先理解風險為什麼存在,可以回頭看 威脅模型怎麼想Metadata 是什麼

為什麼需要這套流程

「我又不是要做什麼大事,這些設定太麻煩」是常見的抗拒。但行動圈的風險不是只有「警方專案」這種高強度等級,更常見的是日常累積的暴露。幾個典型場景:

  • 勞權抗爭結束後被告,公司用內部 IT 紀錄、門禁卡資料、Google Workspace 的存取紀錄追究參與者
  • 跨組織協調的共筆放在 Google Docs,後來其中一份被截圖外流到對立陣營
  • 現場拍照上傳社群,照片背景帶到家人,家人接到騷擾電話
  • 被警方臨檢時手機被翻看,群組對話與照片庫一起暴露
  • 群組裡訊息被截圖外傳,內部分工、聯絡名單外洩

每個場景的對手不一樣,但都共享一個核心問題:「你現在的數位足跡裡,哪些東西被拿到後會傷害你或同伴」。這篇文章把這個問題拆成可以動手調整的具體設定。

動員前準備

動員前是風險最低的階段,也是最有時間做準備的時候。多數人卡關的原因,是把 30 分鐘能做完的事情拖到當天才想起來。資安門檻其實沒那麼高。

一台 burner 裝置的取捨

burner 是「一次性裝置」的俗稱,行動結束後可以淘汰、不會牽連日常數位足跡。但 burner 不是每個人都需要,先想清楚誰需要、誰不必:

  • 動員核心、文宣與聯絡組:常需要在群組裡上下層級協調,訊息量大、聯絡人多。這些人不適合用 burner,因為日常通訊已經跟身分綁死,臨時切換新號反而徒勞。優先做日常裝置的整理(見下面幾節)
  • 現場志工、糾察、醫療組:行動現場可能被搜身或扣留裝置,可以準備一台二手便宜安卓機,只裝 Signal 一個 app、只存當天聯絡人。事前用沒綁本人的預付卡 SIM 啟用
  • 被告知特定風險的個人:例如收到威脅電話、被列為公司觀察名單的舉報人,這時候 burner 是合理的補充。不要把 burner 跟主裝置同時帶在身上、同時開機,那會被基地台訊號還原配對

事前準備:

  1. 二手手機店買一台支援 4G 的安卓機,或翻出家裡舊機重灌
  2. 工廠重設、用沒綁本名的 Google 帳號(或乾脆不登入,從 F-Droid 安裝 Signal)
  3. SIM 卡用預付卡,購買時不要用實名身分證辦
  4. 平時關機,行動當天才開機
  5. 行動結束後評估是否物理銷毀(拆 SIM 後砸毀手機、火燒主機板)

如果你不需要 burner,跳過這節。下面幾節對所有動員者都適用。

通訊群組的設計與隔離

行動的群組通訊有兩個常見錯誤:「全部裝在一個 LINE 群」、「事後才發現群組裡有不認識的人」。設計群組架構時,把資訊流量分層:

  • 小核心(5 人以內):決策與敏感資訊。用 SignalMatrix 私密 room,開 disappearing messages、定期審視成員
  • 執行組(10–30 人):分工協調、現場聯絡。Signal 群組或 Matrix room,原則上不放全部上下游名單
  • 公開連絡(不限):媒體聯絡、社群動員。LINE 群、公開 Matrix room、社群媒體都可以,預設這層所有訊息會外流

中間層級之間用「橋人」傳遞資訊,而不是把人併進同一個群組。橋人通常是核心成員兼任,他清楚哪些訊息可以往下、哪些不行。

工具選擇可以對照 匿名通訊工具比較。簡單版本:

  • LINE:日常聯絡可以,但不適合裝下決策層
  • Signal:核心決策層的標準選項
  • Matrix(自架家伺服器):需要長期協作、跨組織的選項,可以開私密 room 與 e2e 加密
  • Telegram:群組功能強,但「祕密聊天」只在 1:1、群組沒有 e2e 加密,注意不要誤以為 Telegram 群組等於 Signal 群組

雲端文件先撤到 Cryptpad

Google Docs、Notion、騰訊文件這類雲端共筆好用,但有兩個問題:平台側可以調閱內容、第三方拿到分享連結就能看到。動員前把敏感共筆先搬家:

  • Cryptpad:客戶端加密的共筆,server 看不到內容。社群有一份自架,可以註冊使用
  • 文件種類:開會紀錄、聯絡名單、行動 SOP、預算記錄、媒體新聞稿草稿

搬遷時注意:

  • 舊的 Google Docs 不要只設「不公開」,要直接刪檔(Google 會在垃圾桶保留 30 天,過了才真的清除)
  • 共筆的密碼用密碼管理器產生,不要用人類好記的密碼
  • 共筆連結不要傳到 LINE、FB Messenger,這些平台會幫你「預覽」連結,等於告訴平台你看了什麼
  • 結束後把共筆 export 一份本地加密保存,再從 Cryptpad 刪除

密碼管理器與帳號清單

行動前花 30 分鐘做一次帳號清單,盤點:

  • 你用過的所有 email 帳號(含舊的、業務分開的)
  • 各社群媒體(FB、IG、Threads、X、YouTube、TikTok)的帳號
  • 哪些帳號用同一組密碼、哪些有開兩階段驗證

工具:

  • Bitwarden 或 KeePassXC(離線),詳細選擇見 密碼管理器入門
  • 兩階段驗證優先用 TOTP(Authy、Aegis、Bitwarden 內建),不要只用簡訊
  • 每個帳號的密碼都是密碼管理器產生的長隨機字串

這節的目的不是行動當下要登入,是「萬一裝置被搜或被扣,帳號被連帶突破時的損害控制」。所以重點是密碼不重複、兩階段驗證有開。

個人帳號的隱私審計

很多人是行動結束後才發現「為什麼網友能找到我家樓下」。問題通常出在事前個人帳號上累積的線索:

  • Facebook 過往打卡:地圖功能會把你過去的位置紀錄畫成熱力圖,動員前關掉並清除歷史
  • Google Photos 自動分類:相片庫的「人物」、「地點」、「事件」分類會幫第三方做好功課,下載要刪的相片前先關掉自動同步
  • Instagram Story Highlights:過往的 highlight 會把你的日常路線串成可預測的模式
  • 連結帳號:Spotify、健身 app、外送 app 的「公開」設定把你的位置與消費紀錄露出去
  • 舊文章的留言:你 5 年前的留言可能透露住處、學校、家人關係,PTT、批踢踢的搜尋功能會被別人用

審計步驟:

  1. 用自己的姓名、慣用 ID、email 在 Google 圖片搜尋
  2. 看出現的內容是不是你想被看到的
  3. 各平台「下載我的資料」匯出一份備份,再刪掉公開可見的舊內容

這個動作不是只為這次動員,是長期的數位衛生。每次行動前抽 30 分鐘檢查,會比事後處理輕鬆很多。

行動現場

現場的風險最高、也最沒時間調整。所有設定要在出門前做完。

出門前的裝置鎖定設定

手機在現場可能被搜或被扣,預設假設「拿到手機的人就拿到所有東西」。降低這個假設的成立程度:

  • 改用 PIN 或密碼,停用生物辨識:iPhone 的 Face ID、Android 的指紋鎖,在現場可能被警方靠近你或抓你的手按一下就解鎖。改用 6 位以上的 PIN,最好是字母數字混合的密碼
  • 緊急鎖定快捷鍵:iPhone 連按 5 下電源鍵、Android 長按電源鍵或音量+電源(依機型而異)會切到 PIN-only 模式,停用生物辨識直到下次解鎖。練到不看也能按
  • 鎖屏通知關掉內容:設定成「有訊息但不顯示內容」,避免別人看你的鎖定畫面就讀到 Signal 訊息
  • 停用 Siri / Google Assistant 在鎖定時可用:避免有人對著手機說「打給 OO」就撥出
  • SIM PIN:手機被換 SIM 卡到別台機器時,沒 PIN 就讀不到 SIM。設定 → 行動數據 → SIM PIN
  • 關閉 USB 數據傳輸(iOS:設定 → Face ID 與密碼 → USB 配件,Android 各家不同),避免裝置被插上 USB 工具暴力提取資料

裝置設定到位後,當天還有兩件事:

  • 出門前完整關機重開機(清掉 RAM 中的解鎖狀態)
  • 關機後再進入鎖定,等到要用才解鎖一次

現場拍照與錄影

拍照記錄行動本身是常見的工作,但上傳前一定先處理三件事:

1. 去 EXIF

照片 EXIF 帶 GPS、相機型號、時間戳,足以還原拍照位置與裝置。處理工具:

  • iPhone:分享時選「無位置資料」(iOS 15 後內建選項)
  • Android:ObscuraCam 或內建「移除位置」
  • 桌機:mat2ExifTool
  • 印成新檔(screenshot 後傳)也是暴力但乾淨的方法

2. 模糊臉部與識別特徵

不只是抗議群眾的臉,也包括胸前識別證、車牌、刺青、有特殊圖案的衣服。工具:

  • iOS / iPadOS:照片內建「標示」功能可以塗黑
  • Android / 跨平台:ObscuraCam 自動偵測臉部後模糊
  • Signal 內建:傳照片前可在編輯介面塗鴉、模糊
  • 注意:模糊(blur)跟塗黑(black box)不同,模糊有可能被去模糊還原,敏感場景優先用塗黑

3. 上傳的時機與管道

  • 不要在現場即時上傳到公開社群媒體,等離開現場、安靜的時候再處理
  • 上傳前先看畫面有什麼背景(路標、店招、捷運站名都會洩漏位置)
  • 給媒體記者的素材,用 Signal 或 OnionShare 傳,不要用 LINE、FB Messenger

現場即時通訊(Signal vs 離線 mesh)

現場通訊主流仍是 Signal、Matrix 走行動數據。離線 mesh 工具(Bridgefy、Briar)在實務上有限制,要先理解才不會誤用:

  • Signal:行動數據順暢時的首選。出發前確認所有核心成員都加好聯絡人、開好 disappearing messages
  • Briar:藍牙 + Tor 雙模,加密設計開源、有經過審查。問題是要事先當面交換 contact code 才能通訊,行動當下加新人不現實
  • Bridgefy:藍牙 mesh,2019 年香港抗爭曾被推崇,但 2020 年研究發現加密設計有缺陷1,現有版本是否完全修復需要持續評估,敏感場景慎用

實務建議:

  • 預期行動數據被切的場景(特定地點訊號被壓制),事前在小核心成員之間建立 Briar contact,不要倚賴 Bridgefy
  • 多數動員場景行動數據其實夠用,工具選擇不是核心問題,群組設計、訊息政策、誰知道誰的號碼才是
  • 想知道更完整的工具比較見 匿名通訊工具比較

緊急聯絡人與失聯流程

每場行動有「外部聯絡人」,這個人不在現場、清楚行動行程、知道你失聯多久要採取什麼動作:

  • 約定 check-in 時間(例如每 2 小時報平安)
  • 約定失聯後的應對流程(先打電話、再聯絡律師、再通知家人)
  • 提前把法律支援電話寫在外部聯絡人手邊,現場沒手機也能轉達

外部聯絡人本身也要做一定的數位衛生:他的手機跟通訊紀錄被調閱時,會帶到你。他至少要:

  • 用 Signal 或 Matrix 跟你聯絡,不用 LINE
  • 自己的位置歷史也要關掉(事後被調閱時不會反推現場成員位置)
  • 知道哪些訊息要保留(給律師看的紀錄)、哪些可以刪(disappearing messages)

行動之後

行動結束的 72 小時是另一個風險高峰。這段時間有人可能被拘留、有人開始接到警方傳喚、有人發現自己出現在媒體照片裡。

刪除「證據」前的合規考量

「結束後馬上把群組訊息全刪」是直覺反應,但要先諮詢律師。原因:

  • 刑法 165 條湮滅證據罪:處理刑事偵查中可能涉及他人案件的證據時,刪除可能觸法
  • 即使不到湮滅證據程度,事後刪除可能在訴訟中被解讀為「意識到有罪」
  • 個人裝置上的合法資料(你自己拍的照片、你自己的訊息)原則上你有權處理,但跟他人有關的訊息要評估

實務做法:

  • 留時間給律師看過再決定刪什麼。民間司法改革基金會2台灣人權促進會3 有對應的法律支援管道
  • 如果群組設了 disappearing messages,事前討論過、定期失效,這算是「常規維運」,比事後突擊刪除合理
  • 物理裝置(burner、SD 卡)的銷毀屬於物權處分,跟訊息刪除是不同議題

媒體曝光時的身分管理

行動有媒體拍照,你可能在隔天的新聞裡。被認出來後常見的反應流程:

  • 網友肉搜開始:從照片找到你的社群媒體,從社群媒體找到家人、學校、工作
  • 公司或學校關切:HR、教官接到投訴電話
  • 威脅與騷擾訊息:直接打到家中電話、郵局信箱

事前能做的:

  • 行動前把社群媒體個人資料調整(公司、學校、家鄉這類欄位先空著)
  • 把 FB、IG 設成只有朋友可見、關掉「以你的姓名搜尋」
  • 公開帳號(如有)跟個人帳號嚴格分離,名字、頭像、聯絡方式都不交集

被認出來後:

  • 不要直接刪所有照片(前面說過的湮滅證據考量)
  • 把社群媒體切換成 friends-only,但別大規模刪文(會被截圖蒐證再質問)
  • 接到威脅電話、訊息保留紀錄,這些是反過來告對方的證據
  • 嚴重騷擾、人身威脅可以報警,並聯絡 緊急求救 列的支援組織

取得法律支援的管道

行動前事先把這些電話存進手機(也讓外部聯絡人手邊有一份):

  • 民間司法改革基金會2:政策倡議、案件支援
  • 台灣人權促進會3:人權案件、法律諮詢轉介
  • 法律扶助基金會4:經濟弱勢的法律扶助
  • 國際支援Access Now Helpline 24/7 數位安全求助

被拘提、約談的當下,「保持沉默 + 要求律師在場」是基本原則。具體話術可以到上述組織的網站查到、行動前讀過。

跨組織協作

行動圈的協作常常跨多個組織與議題,資訊管理的難點在於「誰可以看到什麼」。

資訊最小化原則

預設「沒必要知道的人就不要讓他知道」。具體做法:

  • 不要把上下游全部聯絡名單放在同一個 Google Sheet
  • 各組分開的工作文件,主協調者保留總覽,各組成員只看到自己這組
  • 跨組織會議的紀錄,敏感段落抽出來放到只有核心能存取的地方
  • 任何「我們把所有人加到一個群組討論」的提議都先暫停,問「這個訊息真的需要全部人知道嗎」

共筆與檔案交換工具

跨組織協作的工具選擇取決於敏感度與需要的功能:

  • Cryptpad:有 e2e 加密的共筆、試算表、簡報。敏感協作優先用這個
  • Etherpad(pad.anoni.net):輕量即時共筆,沒 e2e 但有 access control。會議當下記筆記方便
  • Matrix room + 附件:長期協作的群組與檔案交換
  • OnionShare(Send 模式):一次性大檔案交換、不留平台側紀錄。詳見 OnionShare 透過 Tor 匿名傳輸
  • 不建議:Google Drive 分享連結(連結被轉發就外流)、Dropbox(同上)、LINE Notes(沒 e2e、平台可調)

群組命名與訊息政策

群組命名本身就會洩漏資訊。常見的踩雷:

  • 2026-08-XX-反 OO 法案動員核心:日期、議題、層級全洩漏
  • XX 公司勞權抗爭執行組:對方公司名直接在群組標題
  • 週四討論核心 4協調 A:不可從名稱反推議題

群組訊息政策事前約定:

  • 拍照、轉錄、截圖外傳的規則(預設禁止,特例由協調者決定)
  • 訊息保留多久(建議 disappearing messages 設 1 週或 1 個月)
  • 新成員加入流程(誰可以拉人、要不要事前討論)
  • 退出時怎麼處理紀錄(不刪歷史、自己離開)

台灣的脈絡

法規線

台灣現行法規與行動者實務常碰到的條文:

  • 集會遊行法:戶外集會原則上需事前申請、但室內集會免申請。法規本身與實務適用差距大,民間司改會、台權會長期有改革倡議
  • 刑法第 138 條(毀損公務員職務上掌管之物)、140 條(侮辱公務員):對警員言行最常被引用的條文。實務見解持續演進
  • 社會秩序維護法第 87 條:「鬥毆」、「擾亂秩序」這類含糊條款,現場最常被以這條開單。罰鍰金額不高,但被開單後的後續紀錄可能影響特定身分(教師、公務員、學生)
  • 刑法第 165 條湮滅證據罪:事後處理證據時的紅線,前面提過要先諮詢律師
  • 個人資料保護法(2025 修法):行動者上傳他人照片時要評估,公益例外的適用範圍有限。詳見 台灣個資法 2025 修法觀察

在地實務

  • 主流通訊仍以 LINE 為日常、Signal 為敏感層、Matrix 與 Cryptpad 用於跨組織協作
  • 大型動員(反核、反送中關注、勞權抗爭)後的法律支援多由民間司改會、台權會、法扶基金會分流接案
  • 香港抗爭(2019–2020)累積的工具經驗(Bridgefy 限制、Telegram 群組風險)持續影響台灣行動圈,但場域差異要認知到,台灣的執法強度與監控能力跟香港 2020 後不同
  • 學界與行動圈的數位安全工作坊近幾年定期辦理,COSCUP、g0v summit、社群小聚都有相關場次

求助管道

接下來

  1. 2020 年研究團隊指出 Bridgefy 加密設計缺陷,見 Bridgefy, the messenger promising secure, private chat for activists, was a bug-ridden mess - Cryptography Engineering blog 

  2. 民間司法改革基金會 - 法律倡議、案件支援 

  3. 台灣人權促進會 - 人權案件、法律諮詢轉介 

  4. 法律扶助基金會 - 經濟弱勢法律扶助