跳轉到

記者保護消息來源

調查報導的風險,最重的一端往往落在消息來源,而不是記者。記者就算被盯上,背後通常還有編輯部、媒體律師、業界同行的支援。消息來源就不一定,可能是公司內部的中階員工、政府機關的承辦、被監控的社運參與者,他們暴露的代價遠比記者高。

這篇文章從一個常見流程出發:第一次接觸的安全管道、確認對方身分、敏感檔案交換、訪談紀錄保存、報導刊出後雙方都需要做的數位整理。每一步都對應到具體的工具與威脅模型,並引用台灣與東南亞調查報導圈常見的實務做法。

要先理解為什麼這些步驟存在,可以回頭看 威脅模型Metadata 為什麼重要

為什麼需要這套流程

威脅不只有國安等級的對手。常見場景:

  • 商業爆料的內部員工,公司有完整的存取紀錄與設備管理系統
  • 跨境議題的訪問對象,所在地法規不同、家人或同事在境內
  • 環境污染或勞權議題的舉報人,被告知會被找麻煩
  • 科技公司員工討論監控產品、被追蹤通訊紀錄
  • 警方相關案件的關係人,地檢署可調閱通訊紀錄

每一個場景都有「對手能拿到什麼」這個問題。記者要做的是讓對手即使拿到了通訊紀錄、雲端備份、家中電腦,也無法把訊息回溯到消息來源身上。

第一次接觸

公開的安全收件管道

報社或記者個人公開「請用這個管道聯繫我」的入口,比起被動等對方找方法,主動降低對方暴露的風險。常見選項:

  • SecureDropFreedom of the Press Foundation 維運的開源系統,記者透過 Tor 隱藏服務(只能用 Tor 連到的網站,連線雙方互相看不到對方位置)收件,大幅減少記者與消息來源之間的通訊軌跡。注意它不會自動清掉檔案本身的 metadata(EXIF、作者欄位),那仍要消息來源上傳前自清、或記者收到後處理。需要技術部署與長期維運,通常是國際大型媒體(紐約時報、衛報、Intercept)才架得起來。個人記者用下面的 Signal 或 anoni.net Send 就夠,不必為了 SecureDrop 焦慮
  • Signal 號碼:個人記者最常見的入口,但要注意 Signal 仍綁手機號碼,第一次接觸前對方可能不想暴露號碼
  • Tor 上的隱蔽收件箱:自架的 onion service(Tor 隱藏服務)加簡易表單系統(社群可考慮用 OnionShare 的 Receive 模式架輕量版收件箱)
  • PGP 公鑰:傳統的加密郵件方式,安全但設定門檻高,多數消息來源不會用,現在較少當第一線入口

對方主動先聯繫的處理

如果消息來源透過不安全管道(公司 email、LINE、Facebook Messenger)先聯繫上你:

  • 不要在原管道討論細節
  • 引導對方移到 Signal、Cryptpad 或 SecureDrop
  • 第一句訊息盡量無內容(「收到,請我們改用 X 工具繼續」)
  • 不要把對方原本的訊息轉貼給編輯或同事,避免擴大暴露面

第一次見面前的判斷

收到聯繫後不需要馬上回,給自己一兩天評估:

  • 訊息內容跟對方的職位、身分是否合理(過於完美的爆料要警覺)
  • 對方提供的細節能否在公開資訊裡部分驗證
  • 如果是社交工程攻擊,對手要的是什麼(找出舉報人、汙染你的報導、消耗你的時間)

實務上,編輯部的資深記者通常會幫忙看一下對方訊息,第二雙眼睛能擋掉一部分風險。

確認對方身分

確認身分與保護身分是同一件事的兩面。要在不問太多、不留紀錄的前提下,確認對方確實是他自稱的人。

多管道交叉驗證

  • 對方說在公司 X 任職,能不能在 LinkedIn、公司網站、媒體訪談裡找到佐證
  • 對方提供的內部文件,格式、術語、命名慣例是否符合該公司的習慣
  • 對方願意視訊(Jitsi、Element Call)但不錄影,看到本人能再排除一部分風險
  • 對方主動提供的細節(職位、進公司時間、最近的內部事件)能否跨檢

不問什麼

  • 不要要求對方傳身分證、員工證、薪資單做「驗證」,這些東西在報導刊出後反而成為暴露來源的證據
  • 不要記下對方家裡地址、家人姓名、緊急聯絡人,除非報導本身需要
  • 不要把驗證對話存在你個人雲端(iCloud、Google Drive),改用 Cryptpad 或本地加密筆記

敏感檔案交換

去除 metadata

收到檔案的第一件事是去 metadata,先別急著打開。Office 文件、PDF、照片、影片都會帶 metadata,包括:

  • 作者名稱、公司資訊(Office 檔的 author 欄位)
  • 拍照的 GPS 座標、相機型號、時間戳
  • PDF 的編輯歷程、註解
  • 影片的編碼器資訊、剪輯軟體

去 metadata 工具:

  • mat2:跨格式的 metadata 清除工具(mat2 GitHub
  • ExifTool:圖片影片 metadata 編輯,可選擇性清除
  • Word / Google Docs:另存新檔時選「移除個人資訊」(Office 走「文件檢查」、Google Docs 在「設定 → 隱私」中關掉自動填入後再下載)
  • PDF:用 mat2 處理,或印成新 PDF(最暴力但最乾淨)

加密儲存

去 metadata 後的檔案存在加密容器,不要直接放工作筆電的桌面:

  • VeraCrypt:跨平台加密容器,把敏感檔案放進去再卸載
  • macOS FileVault + 加密 dmg:建立隨需掛載的加密磁碟映像
  • Cryptpad Drive:上傳到社群的 Cryptpad 加密儲存(注意 Cryptpad 的加密是客戶端的,server 看不到內容)
  • Tails 持久卷宗:在 Tails 系統裡直接處理,把暫時性檔案放到加密的 persistence storage

傳遞媒介

如果需要把檔案再傳給編輯或法律顧問:

  • anoni.net Sendsend.anoni.net):端對端加密、可設密碼、過期自動刪除
  • OnionShare:透過 Tor 起臨時 onion service 傳檔(Send 模式),雙方都用 Tor Browser,適合給法律顧問或編輯送一次性檔案
  • 加密郵件附件:PGP 加密後寄送(適合對方有 PGP 工具的場景)
  • 不要用:LINE、Facebook、Email 附件、雲端硬碟分享連結(這些都留下平台側紀錄)

訪談紀錄

記錄方式

訪談紀錄的目的是讓你有依據寫報導,不是把對方的所有話留下來。記錄方式由風險高到低:

方式 風險 適用
錄音 對方明確同意、且報導要引述原話
即時打字記錄 多數情境
事後憑記憶寫 高風險場景、對方明確要求不留紀錄

錄音的話,用獨立錄音裝置(TascamZoom 的手持式錄音機,這裡的 Zoom 是日本錄音設備廠商 Zoom Corporation,與視訊會議的 Zoom 無關),不要用手機。手機不適合的核心原因有三個:

  • 手機把錄音檔跟你的身分綁在一起。SIM、Apple ID、Google 帳號、各種 app 都掛在同一台機,錄音檔跟你的相片、訊息、位置紀錄共存,還會帶 GPS、裝置型號等 metadata,跟手機的位置歷史一交叉就能還原訪問現場。手機一旦被搜或被扣,這些全部一起暴露。獨立錄音機沒有網路、沒有 OS、沒有 app(這種完全不連網的硬體叫 air-gapped),就是一張只帶時間戳的 SD 卡。
  • 手機很難擋住自動上雲。iCloud、Google Drive、相簿與訊息 app 的備份預設會把錄音檔上傳,OS 或 app 更新後又常常自動打開,敏感受訪者無法接受。
  • 獨立錄音機可以單獨銷毀。SD 卡是物理上可銷毀的單位,不會牽連其他資料,手機要銷毀錄音卻得連帶處理整台或整個分區。長訪談(2 至 3 小時)手機也常因來電、通知、低電量中斷,獨立錄音機更穩。

錄完盡快上傳到加密容器,再從原裝置刪除。報導刊出後評估是否銷毀原檔。

打字記錄:用 Cryptpad 或本地加密筆記,不要用 Google Docs、Notion 等雲端服務(即使免費版加密,metadata 仍可能被調閱)。

對方資訊的最小化

訪談紀錄裡:

  • 用代號取代真名(消息來源 A、B、C,不寫對方公司全名,只寫業界與產業類別)
  • 不記錄家人、伴侶、其他第三方的可識別資訊
  • 報導引述前再對照原檔確認用詞,但成稿後盡可能銷毀識別連結(例如代號對應表單獨保存)

代號對應表(哪個代號是誰)獨立加密保存,跟訪談紀錄分開存放。最理想是只在你頭腦裡,但實務上多人合作報導時需要書面紀錄,那就嚴格隔離。

報導刊出後的整理

報導刊出常常是消息來源風險升高的時刻。對方公司會啟動內部調查、檢視員工存取紀錄、抓出可能的洩漏者。記者這邊要做的:

記者端

  • 訪談錄音、原始檔案的銷毀評估(保留 vs 銷毀的取捨:保留是備案應對訴訟,銷毀是斷對方關連)
  • 跟消息來源約定不再聯繫的緩衝期(通常 1-3 個月)
  • 評估自己的裝置是否需要重灌(高敏感報導建議刊出後重灌記者用筆電)
  • Signal 與 Cryptpad 的對應對話設定 disappearing messages

對方端的提醒

報導前最後一次接觸時,提醒消息來源:

  • 公司可能會啟動內部調查,留意辦公室監控、email 紀錄抽查
  • 接下來幾天不要主動討論這個議題,連跟最熟的同事都不要
  • 個人裝置上跟記者的對話紀錄盡快清掉(Signal 訊息、Cryptpad 連結、瀏覽器歷史)
  • 萬一被約談,可以說的範圍與底線

媒體側的紀錄

報導本身的公開資料、引用、查證紀錄要好好留存(這是面對訴訟的依據)。但跟消息來源往返的私下對話,原則上越早銷毀越好。具體分類:

內容 保留 銷毀
公開引述的文件、訪談原文 ✓(律師建議下保留 7 年起)
公開資料的查證紀錄
跟消息來源的代號對應表 ✓(刊出後 3 個月內)
Signal 對話 ✓(disappearing messages 處理)
訪談錄音原檔 視風險評估 同上

台灣的脈絡

法規與通訊紀錄

  • 通訊保障及監察法:通保法允許檢警在偵辦特定罪嫌時申請通訊監察書,記者個人通訊在某些案件下可被監聽
  • 個人資料保護法:對方提供的內部文件如包含個資,報導引用前需評估是否符合公益例外
  • 揭弊者保護法(2025 起):見 揭弊者保護法技術觀察,但此法主要保護「依法揭弊」的對象,未循正式管道的爆料者保障有限

在地實務

  • 台灣調查報導圈以 Signal 為主、部分採用 Telegram,SecureDrop 部署仍少
  • 部分台灣媒體日益重視記者與消息來源的數位安全(報導者長期有資訊安全相關報導),但是否設有專責的數位安全編制或外部顧問,各家不一
  • 跨境議題(中國、東南亞)通常會跟國際組織合作(OCCRP、Forbidden Stories),他們有自己的安全標準

求助管道

接下來