匿名、隐私、假名、机密性的差别¶

「匿名」、「隐私」、「假名」、「机密」这四个词在中文讨论里常常互相替换，但选工具、评估风险、设计流程时，把它们拆开看会差很多。一个工具可以很「机密」（内容没人看得到）但完全不「匿名」（谁在跟谁通讯一目了然）。一个账号可以很「假名」（别人只知道你叫 Alice）但毫无「隐私」（你的所有贴文、按赞记录都公开）。混用这几个词，最常见的后果就是用错工具、保护错对象。

这页把四个概念放在同一张对照表里，并用具体例子说明它们之间的界线。

四个概念的核心差别¶

概念	关注的问题	一句话定义
匿名（Anonymity）	谁在做这件事？	行为与真实身份之间断开连结。观察者看得到「有人在做某事」，但无法指认出是谁
隐私（Privacy）	我能控制谁看到关于我的信息吗？	对个人信息的披露范围有掌握权。可以选择分享给谁、什么时候、披露多少
假名（Pseudonymity）	同一个人在这个情境下是谁？	用一个固定但与真实身份切开的代号活动。同一个假名下的行为可以被连结，但连不到真实身份
机密性（Confidentiality）	内容只有授权的人能读吗？	消息或数据只在授权的接收者那一端被解读，传输与储存过程不被未授权者读取

用具体例子对比¶

寄一封信¶

匿名：寄一封没有寄件人姓名与地址的信。收件人读得到内容，知道有人写了这封信，但不知道是谁写的
隐私：你写了一封给朋友的信，预期只有朋友读。如果有人偷看了，那不是匿名问题，是隐私被侵犯
假名：你用笔名「青衫客」写信。同一个笔名的所有信件能被连结（读者知道是同一个人写的），但连不到你身份证上的名字
机密性：你把信封封起来，贴上火漆。信件在传递途中没有人能拆开读内容。这跟谁寄、谁收、寄了几封无关

上一个论坛¶

匿名：完全不用注册，每次发言都是新的、不可关联的身份。观察者只看得到「论坛上有人发言」
隐私：你注册用本名，但能控制哪些贴文公开、哪些只给好友看
假名：你注册一个 ID 叫 cat_lover_7，所有贴文都会挂在这个 ID 下。论坛的长期读者能拼出 cat_lover_7 的喜好与作息，但不知道你的真实身份
机密性：私讯功能用端对端加密，论坛服务器看不到消息内容

注意这里的关键：匿名和假名的差别，重点在「同一个身份下的行为能不能被串起来」，跟有没有用真实名字无关。匿名要求「每次行为都不可被关联」，假名接受「行为可被关联但连不到真实身份」。

加密通讯软件¶

Signal 默认是机密性强：消息端对端加密，服务器看不到内容。但匿名性弱：注册绑手机号码，谁跟谁联系（metadata）会被观察者掌握
Tor 上的 Onion 服务是匿名性强：很难追溯谁在访问什么。但若服务本身要求登录账号，假名性就介入：行为会被挂在账号下被连结
一封 PGP 加密的电子邮件机密性强：内容被加密。但匿名性弱：寄件人、收件人地址都在信头，谁跟谁通讯是公开的

一个常见的误判：把机密当成匿名¶

「我用了端对端加密，所以是匿名的」是最常见的误判之一。端对端加密保证的是内容不被中间人读取，但谁在跟谁通讯、什么时候、多久通一次、消息有多长这些 metadata 通常不被加密（或就算被加密，服务器仍能看到外观）。对许多威胁模型来说，metadata 本身就足以还原社交网络与行为模式。详见 Metadata 是什么，为什么重要。

为什么选对词汇会影响工具选择¶

具体举几个常见场景：

记者保护消息来源：要的是匿名，因为来源被识别出来会有实质风险。光做到内容机密性不够
跟伴侣分享照片：要的是隐私，因为你不希望照片扩散到伴侣以外。匿名性不重要（你乐于让伴侣知道是你寄的）
在敏感议题的论坛长期发言：要的是假名，建立可累积的论述身份但与真实身份切开。完全匿名反而难建立读者信任
跟律师通信：要的是机密性，内容不被第三方看到。匿名性与假名性不重要（律师需要知道你是谁才能服务）

选错词汇就会选错工具：用 Signal 解决匿名问题、用 Tor 解决机密问题、用笔名解决隐私问题，每一种都会留下风险缺口。

一个工具通常做不到全部¶

实务上几乎没有工具能同时最大化四种属性，因为它们互相牵制：

强匿名通常意味着难建立持续关系（每次都从零开始）
强假名能累积关系，但同一假名的行为都会被连结
强机密性常需要事前的密钥交换或身份验证，这跟匿名某种程度上冲突
强隐私需要对「谁能看到」做细致控制，通常涉及账号、权限、平台规则

选工具时是先问「我这次任务要保护什么」，再决定 trade-off 怎么做。这个提问是威胁模型的核心。

接下来¶

带这四个概念去走一次威胁模型怎么想，把抽象词汇变成「我具体要保护什么、防谁」的清单
想知道为什么「机密 ≠ 匿名」，请进一步阅读 Metadata 是什么
想看具体场景下这四个概念怎么选，可以看场景层的各篇文章