跳转至

社运行动者的数位准备

社运场景的数位风险跟个人匿名不太一样。多数风险来自群组通讯、装置被检查、现场照片与位置信息的暴露,跟你身边还有谁、组织内部记录留在哪、现场有没有人拍到你都有关。这篇文章把一场行动拆成四个阶段来谈:动员前的准备、行动现场、行动之后、跨组织协作。每个阶段配对应的工具与设定,并对照台湾与香港两地行动圈累积的实务。

要先理解风险为什么存在,可以回头看 威胁模型怎么想Metadata 是什么

为什么需要这套流程

「我又不是要做什么大事,这些设定太麻烦」是常见的抗拒。但行动圈的风险不是只有「警方专案」这种高强度等级,更常见的是日常累积的暴露。几个典型场景:

  • 劳权抗争结束后被告,公司用内部 IT 记录、门禁卡资料、Google Workspace 的存取记录追究参与者
  • 跨组织协调的共笔放在 Google Docs,后来其中一份被截图外流到对立阵营
  • 现场拍照上传社群,照片背景带到家人,家人接到骚扰电话
  • 被警方临检时手机被翻看,群组对话与照片库一起暴露
  • 群组里消息被截图外传,内部分工、联络名单外泄

每个场景的对手不一样,但都共享一个核心问题:「你现在的数位足迹里,哪些东西被拿到后会伤害你或同伴」。这篇文章把这个问题拆成可以动手调整的具体设定。

动员前准备

动员前是风险最低的阶段,也是最有时间做准备的时候。多数人卡关的原因,是把 30 分钟能做完的事情拖到当天才想起来。信息安全门槛其实没那么高。

一台 burner 装置的取舍

burner 是「一次性装置」的俗称,行动结束后可以淘汰、不会牵连日常数位足迹。但 burner 不是每个人都需要,先想清楚谁需要、谁不必:

  • 动员核心、文宣与联络组:常需要在群组里上下层级协调,消息量大、联络人多。这些人不适合用 burner,因为日常通讯已经跟身份绑死,临时切换新号反而徒劳。优先做日常装置的整理(见下面几节)
  • 现场志工、纠察、医疗组:行动现场可能被搜身或扣留装置,可以准备一台二手便宜安卓机,只装 Signal 一个 app、只存当天联络人。事前用没绑本人的预付卡 SIM 启用
  • 被告知特定风险的个人:例如收到威胁电话、被列为公司观察名单的举报人,这时候 burner 是合理的补充。不要把 burner 跟主装置同时带在身上、同时开机,那会被基站讯号还原配对

事前准备:

  1. 二手手机店买一台支援 4G 的安卓机,或翻出家里旧机重灌
  2. 工厂重设、用没绑本名的 Google 账号(或干脆不登录,从 F-Droid 安装 Signal)
  3. SIM 卡用预付卡,购买时不要用实名身份证办
  4. 平时关机,行动当天才开机
  5. 行动结束后评估是否物理销毁(拆 SIM 后砸毁手机、火烧主机板)

如果你不需要 burner,跳过这节。下面几节对所有动员者都适用。

通讯群组的设计与隔离

行动的群组通讯有两个常见错误:「全部装在一个 LINE 群」、「事后才发现群组里有不认识的人」。设计群组架构时,把信息流量分层:

  • 小核心(5 人以内):决策与敏感信息。用 SignalMatrix 私密 room,开 disappearing messages、定期审视成员
  • 执行组(10–30 人):分工协调、现场联络。Signal 群组或 Matrix room,原则上不放全部上下游名单
  • 公开联络(不限):媒体联络、社群动员。LINE 群、公开 Matrix room、社群媒体都可以,预设这层所有消息会外流

中间层级之间用「桥人」传递信息,而不是把人併进同一个群组。桥人通常是核心成员兼任,他清楚哪些消息可以往下、哪些不行。

工具选择可以对照 匿名通讯工具比较。简单版本:

  • LINE:日常联络可以,但不适合装下决策层
  • Signal:核心决策层的标准选项
  • Matrix(自架家服务器):需要长期协作、跨组织的选项,可以开私密 room 与 e2e 加密
  • Telegram:群组功能强,但「秘密聊天」只在 1:1、群组没有 e2e 加密,注意不要误以为 Telegram 群组等于 Signal 群组

云端文件先撤到 Cryptpad

Google Docs、Notion、腾讯文档这类云端共笔好用,但有两个问题:平台侧可以调阅内容、第三方拿到分享链接就能看到。动员前把敏感共笔先搬家:

  • Cryptpad:客户端加密的共笔,server 看不到内容。社群有一份自架,可以注册使用
  • 文件种类:开会记录、联络名单、行动 SOP、预算记录、媒体新闻稿草稿

搬迁时注意:

  • 旧的 Google Docs 不要只设「不公开」,要直接删档(Google 会在垃圾桶保留 30 天,过了才真的清除)
  • 共笔的密码用密码管理器产生,不要用人类好记的密码
  • 共笔链接不要传到 LINE、FB Messenger,这些平台会帮你「预览」链接,等于告诉平台你看了什么
  • 结束后把共笔 export 一份本地加密保存,再从 Cryptpad 删除

密码管理器与账号清单

行动前花 30 分钟做一次账号清单,盘点:

  • 你用过的所有 email 账号(含旧的、业务分开的)
  • 各社群媒体(FB、IG、Threads、X、YouTube、TikTok)的账号
  • 哪些账号用同一组密码、哪些有开两阶段验证

工具:

  • Bitwarden 或 KeePassXC(离线),详细选择见 密码管理器入门
  • 两阶段验证优先用 TOTP(Authy、Aegis、Bitwarden 内建),不要只用短信
  • 每个账号的密码都是密码管理器产生的长随机字串

这节的目的不是行动当下要登录,是「万一装置被搜或被扣,账号被连带突破时的损害控制」。所以重点是密码不重复、两阶段验证有开。

个人账号的隐私审计

很多人是行动结束后才发现「为什么网友能找到我家楼下」。问题通常出在事前个人账号上累积的线索:

  • Facebook 过往打卡:地图功能会把你过去的位置记录画成热力图,动员前关掉并清除历史
  • Google Photos 自动分类:相片库的「人物」、「地点」、「事件」分类会帮第三方做好功课,下载要删的相片前先关掉自动同步
  • Instagram Story Highlights:过往的 highlight 会把你的日常路线串成可预测的模式
  • 连结账号:Spotify、健身 app、外送 app 的「公开」设定把你的位置与消费记录露出去
  • 旧文章的留言:你 5 年前的留言可能透露住处、学校、家人关系,PTT、批踢踢的搜寻功能会被别人用

审计步骤:

  1. 用自己的姓名、惯用 ID、email 在 Google 图片搜寻
  2. 看出现的内容是不是你想被看到的
  3. 各平台「下载我的资料」匯出一份备份,再删掉公开可见的旧内容

这个动作不是只为这次动员,是长期的数位卫生。每次行动前抽 30 分钟检查,会比事后处理轻松很多。

行动现场

现场的风险最高、也最没时间调整。所有设定要在出门前做完。

出门前的装置锁定设定

手机在现场可能被搜或被扣,预设假设「拿到手机的人就拿到所有东西」。降低这个假设的成立程度:

  • 改用 PIN 或密码,停用生物辨识:iPhone 的 Face ID、Android 的指纹锁,在现场可能被警方靠近你或抓你的手按一下就解锁。改用 6 位以上的 PIN,最好是字母数字混合的密码
  • 紧急锁定快捷键:iPhone 连按 5 下电源键、Android 长按电源键或音量+电源(依机型而异)会切到 PIN-only 模式,停用生物辨识直到下次解锁。练到不看也能按
  • 锁屏通知关掉内容:设定成「有消息但不显示内容」,避免别人看你的锁定画面就读到 Signal 消息
  • 停用 Siri / Google Assistant 在锁定时可用:避免有人对着手机说「打给 OO」就拨出
  • SIM PIN:手机被换 SIM 卡到别台机器时,没 PIN 就读不到 SIM。设定 → 行动数据 → SIM PIN
  • 关闭 USB 数据传输(iOS:设定 → Face ID 与密码 → USB 配件,Android 各家不同),避免装置被插上 USB 工具暴力提取资料

装置设定到位后,当天还有两件事:

  • 出门前完整关机重开机(清掉 RAM 中的解锁状态)
  • 关机后再进入锁定,等到要用才解锁一次

现场拍照与录影

拍照记录行动本身是常见的工作,但上传前一定先处理三件事:

1. 去 EXIF

照片 EXIF 带 GPS、相机型号、时间戳,足以还原拍照位置与装置。处理工具:

  • iPhone:分享时选「无位置数据」(iOS 15 后内建选项)
  • Android:ObscuraCam 或内建「移除位置」
  • 桌机:mat2ExifTool
  • 印成新档(screenshot 后传)也是暴力但乾净的方法

2. 模糊脸部与识别特徵

不只是抗议群众的脸,也包括胸前识别证、车牌、刺青、有特殊图案的衣服。工具:

  • iOS / iPadOS:照片内建「标示」功能可以涂黑
  • Android / 跨平台:ObscuraCam 自动侦测脸部后模糊
  • Signal 内建:传照片前可在编辑接口涂鸦、模糊
  • 注意:模糊(blur)跟涂黑(black box)不同,模糊有可能被去模糊还原,敏感场景优先用涂黑

3. 上传的时机与管道

  • 不要在现场即时上传到公开社群媒体,等离开现场、安静的时候再处理
  • 上传前先看画面有什么背景(路标、店招、捷运站名都会泄漏位置)
  • 给媒体记者的素材,用 Signal 或 OnionShare 传,不要用 LINE、FB Messenger

现场即时通讯(Signal vs 离线 mesh)

现场通讯主流仍是 Signal、Matrix 走行动数据。离线 mesh 工具(Bridgefy、Briar)在实务上有限制,要先理解才不会误用:

  • Signal:行动数据顺畅时的首选。出发前确认所有核心成员都加好联络人、开好 disappearing messages
  • Briar:蓝牙 + Tor 双模,加密设计开源、有经过审查。问题是要事先当面交换 contact code 才能通讯,行动当下加新人不现实
  • Bridgefy:蓝牙 mesh,2019 年香港抗争曾被推崇,但 2020 年研究发现加密设计有缺陷1,现有版本是否完全修复需要持续评估,敏感场景慎用

实务建议:

  • 预期行动数据被切的场景(特定地点讯号被压制),事前在小核心成员之间建立 Briar contact,不要倚赖 Bridgefy
  • 多数动员场景行动数据其实够用,工具选择不是核心问题,群组设计、消息政策、谁知道谁的号码才是
  • 想知道更完整的工具比较见 匿名通讯工具比较

紧急联络人与失联流程

每场行动有「外部联络人」,这个人不在现场、清楚行动行程、知道你失联多久要采取什么动作:

  • 约定 check-in 时间(例如每 2 小时报平安)
  • 约定失联后的应对流程(先打电话、再联络律师、再通知家人)
  • 提前把法律支援电话写在外部联络人手边,现场没手机也能转达

外部联络人本身也要做一定的数位卫生:他的手机跟通讯记录被调阅时,会带到你。他至少要:

  • 用 Signal 或 Matrix 跟你联络,不用 LINE
  • 自己的位置历史也要关掉(事后被调阅时不会反推现场成员位置)
  • 知道哪些消息要保留(给律师看的记录)、哪些可以删(disappearing messages)

行动之后

行动结束的 72 小时是另一个风险高峰。这段时间有人可能被拘留、有人开始接到警方传唤、有人发现自己出现在媒体照片里。

删除「证据」前的合规考量

「结束后马上把群组消息全删」是直觉反应,但要先咨询律师。原因:

  • 刑法 165 条湮灭证据罪:处理刑事侦查中可能涉及他人案件的证据时,删除可能触法
  • 即使不到湮灭证据程度,事后删除可能在诉讼中被解读为「意识到有罪」
  • 个人装置上的合法资料(你自己拍的照片、你自己的消息)原则上你有权处理,但跟他人有关的消息要评估

实务做法:

  • 留时间给律师看过再决定删什么。民间司法改革基金会2台湾人权促进会3 有对应的法律支援管道
  • 如果群组设了 disappearing messages,事前讨论过、定期失效,这算是「常规维运」,比事后突击删除合理
  • 物理装置(burner、SD 卡)的销毁属于物权处分,跟消息删除是不同议题

媒体曝光时的身份管理

行动有媒体拍照,你可能在隔天的新闻里。被认出来后常见的反应流程:

  • 网友肉搜开始:从照片找到你的社群媒体,从社群媒体找到家人、学校、工作
  • 公司或学校关切:HR、教官接到投诉电话
  • 威胁与骚扰消息:直接打到家中电话、邮局信箱

事前能做的:

  • 行动前把社群媒体个人资料调整(公司、学校、家乡这类栏位先空着)
  • 把 FB、IG 设成只有朋友可见、关掉「以你的姓名搜寻」
  • 公开账号(如有)跟个人账号严格分离,名字、头像、联络方式都不交集

被认出来后:

  • 不要直接删所有照片(前面说过的湮灭证据考量)
  • 把社群媒体切换成 friends-only,但别大规模删文(会被截图蒐证再质问)
  • 接到威胁电话、消息保留记录,这些是反过来告对方的证据
  • 严重骚扰、人身威胁可以报警,并联络 紧急求救 列的支援组织

取得法律支援的管道

行动前事先把这些电话存进手机(也让外部联络人手边有一份):

  • 民间司法改革基金会2:政策倡议、案件支援
  • 台湾人权促进会3:人权案件、法律咨询转介
  • 法律扶助基金会4:经济弱势的法律扶助
  • 国际支援Access Now Helpline 24/7 数位安全求助

被拘提、约谈的当下,「保持沉默 + 要求律师在场」是基本原则。具体话术可以到上述组织的网站查到、行动前读过。

跨组织协作

行动圈的协作常常跨多个组织与议题,信息管理的难点在于「谁可以看到什么」。

信息最小化原则

预设「没必要知道的人就不要让他知道」。具体做法:

  • 不要把上下游全部联络名单放在同一个 Google Sheet
  • 各组分开的工作文件,主协调者保留总览,各组成员只看到自己这组
  • 跨组织会议的记录,敏感段落抽出来放到只有核心能存取的地方
  • 任何「我们把所有人加到一个群组讨论」的提议都先暂停,问「这个消息真的需要全部人知道吗」

共笔与文件交换工具

跨组织协作的工具选择取决于敏感度与需要的功能:

  • Cryptpad:有 e2e 加密的共笔、试算表、简报。敏感协作优先用这个
  • Etherpad(pad.anoni.net):轻量即时共笔,没 e2e 但有 access control。会议当下记笔记方便
  • Matrix room + 附件:长期协作的群组与文件交换
  • OnionShare(Send 模式):一次性大文件交换、不留平台侧记录。详见 OnionShare 透过 Tor 匿名传输
  • 不建议:Google Drive 分享链接(链接被转发就外流)、Dropbox(同上)、LINE Notes(没 e2e、平台可调)

群组命名与消息政策

群组命名本身就会泄漏信息。常见的踩雷:

  • 2026-08-XX-反 OO 法案动员核心:日期、议题、层级全泄漏
  • XX 公司劳权抗争执行组:对方公司名直接在群组标题
  • 週四讨论核心 4协调 A:不可从名称反推议题

群组消息政策事前约定:

  • 拍照、转录、截图外传的规则(预设禁止,特例由协调者决定)
  • 消息保留多久(建议 disappearing messages 设 1 週或 1 个月)
  • 新成员加入流程(谁可以拉人、要不要事前讨论)
  • 退出时怎么处理记录(不删历史、自己离开)

台湾的脉络

法规线

台湾现行法规与行动者实务常碰到的条文:

  • 集会游行法:户外集会原则上需事前申请、但室内集会免申请。法规本身与实务适用差距大,民间司改会、台权会长期有改革倡议
  • 刑法第 138 条(毁损公务员职务上掌管之物)、140 条(侮辱公务员):对警员言行最常被引用的条文。实务见解持续演进
  • 社会秩序维护法第 87 条:「斗殴」、「扰乱秩序」这类含糊条款,现场最常被以这条开单。罚锾金额不高,但被开单后的后续记录可能影响特定身份(教师、公务员、学生)
  • 刑法第 165 条湮灭证据罪:事后处理证据时的红线,前面提过要先咨询律师
  • 个人资料保护法(2025 修法):行动者上传他人照片时要评估,公益例外的适用范围有限。详见 台湾个资法 2025 修法观察

在地实务

  • 主流通讯仍以 LINE 为日常、Signal 为敏感层、Matrix 与 Cryptpad 用于跨组织协作
  • 大型动员(反核、反送中关注、劳权抗争)后的法律支援多由民间司改会、台权会、法扶基金会分流接案
  • 香港抗争(2019–2020)累积的工具经验(Bridgefy 限制、Telegram 群组风险)持续影响台湾行动圈,但场域差异要认知到,台湾的执法强度与监控能力跟香港 2020 后不同
  • 学界与行动圈的数位安全工作坊近几年定期办理,COSCUP、g0v summit、社群小聚都有相关场次

求助管道

接下来

  1. 2020 年研究团队指出 Bridgefy 加密设计缺陷,见 Bridgefy, the messenger promising secure, private chat for activists, was a bug-ridden mess - Cryptography Engineering blog 

  2. 民间司法改革基金会 - 法律倡议、案件支援 

  3. 台湾人权促进会 - 人权案件、法律咨询转介 

  4. 法律扶助基金会 - 经济弱势法律扶助