记者保护消息来源¶
调查报导的风险常常不在记者身上,而在消息来源那一端。记者就算被盯上,背后通常还有编辑部、媒体律师、业界同行的支援。消息来源就不一定,可能是公司内部的中阶员工、政府机关的承办、被监控的社运参与者,他们暴露的代价远比记者高。
这篇文章从一个常见流程出发:第一次接触的安全管道、确认对方身份、敏感文件交换、访谈记录保存、报导刊出后双方都需要做的数位整理。每一步都对应到具体的工具与威胁模型,并引用台湾与东南亚调查报导圈常见的实务做法。
要先理解为什么这些步骤存在,可以回头看 威胁模型 与 Metadata 为什么重要。
为什么需要这套流程¶
「我又没有要爆什么大新闻,这些步骤太麻烦」是常见的抗拒,但威胁不是只有国安等级的对手才有。常见场景:
- 商业爆料的内部员工,公司有完整的存取记录与设备管理系统
- 跨境议题的访问对象,所在地法规不同、家人或同事在境内
- 环境污染或劳权议题的举报人,被告知会被找麻烦
- 科技公司员工讨论监控产品、被追踪通讯记录
- 警方相关案件的关系人,地检署可调阅通讯记录
每一个场景都有「对手能拿到什么」这个问题。记者要做的是让对手即使拿到了通讯记录、云端备份、家中电脑,也无法把消息回溯到消息来源身上。
第一次接触¶
公开的安全收件管道¶
报社或记者个人公开「请用这个管道联系我」的入口,比起被动等对方找方法,主动降低对方暴露的风险。常见选项:
- SecureDrop:Freedom of the Press Foundation 维运的开源系统,记者透过 Tor 隐藏服务收件,消息来源可上传文件不留 metadata。国际大型媒体(纽约时报、卫报、Intercept)都有部署
- Signal 号码:个人记者最常见的入口,但要注意 Signal 仍绑手机号码,第一次接触前对方可能不想暴露号码
- Tor 上的隐蔽收件箱:自架的 onion service + 简易表单系统(社群可考虑用 OnionShare 的 Receive 模式架轻量版收件箱)
- PGP 公钥:传统方式但门槛高,多数对方不会用
对方主动先联系的处理¶
如果消息来源透过不安全管道(公司 email、LINE、Facebook Messenger)先联系上你:
- 不要在原管道讨论细节
- 引导对方移到 Signal、Cryptpad 或 SecureDrop
- 第一句消息尽量无内容(「收到,请我们改用 X 工具继续」)
- 不要把对方原本的消息转贴给编辑或同事,避免扩大暴露面
第一次见面前的判断¶
收到联系后不需要马上回,给自己一两天评估:
- 消息内容跟对方的职位、身份是否合理(过于完美的爆料要警觉)
- 对方提供的细节能否在公开信息里部分验证
- 如果是社交工程攻击,对手要的是什么(找出举报人、污染你的报导、消耗你的时间)
实务上,编辑部的资深记者通常会帮忙看一下对方消息,第二双眼睛能挡掉一部分风险。
确认对方身份¶
确认身份跟保护身份是同一件事的两面。要在不问太多、不留记录的前提下,确认对方确实是他自称的人。
多管道交叉验证¶
- 对方说在公司 X 任职,能不能在 LinkedIn、公司网站、媒体访谈里找到佐证
- 对方提供的内部文件,格式、术语、命名惯例是否符合该公司的习惯
- 对方愿意视讯(Jitsi、Element Call)但不录影,看到本人能再排除一部分风险
- 对方主动提供的细节(职位、进公司时间、最近的内部事件)能否跨检
不问什么¶
- 不要要求对方传身份证、员工证、薪资单做「验证」,这些东西在报导刊出后反而成为暴露来源的证据
- 不要记下对方家里地址、家人姓名、紧急联系人,除非报导本身需要
- 不要把验证对话存在你个人云端(iCloud、Google Drive),改用 Cryptpad 或本地加密笔记
敏感文件交换¶
去除 metadata¶
收到文件的第一件事是去 metadata,不是直接打开。Office 文件、PDF、照片、视频都会带 metadata,包括:
- 作者名称、公司信息(Office 档的 author 栏位)
- 拍照的 GPS 坐标、相机型号、时间戳
- PDF 的编辑历程、注解
- 视频的编码器信息、剪辑软件
去 metadata 工具:
- mat2:跨格式的 metadata 清除工具(mat2 GitHub)
- ExifTool:图片视频 metadata 编辑,可选择性清除
- Word / Google Docs:另存新档时选「移除个人信息」(Office 走「文件检查」、Google Docs 在「设定 → 隐私」中关掉自动填入后再下载)
- PDF:用 mat2 处理,或印成新 PDF(最暴力但最乾净)
加密储存¶
去 metadata 后的文件存在加密容器,不要直接放工作笔电的桌面:
- VeraCrypt:跨平台加密容器,把敏感文件放进去再卸载
- macOS FileVault + 加密 dmg:建立随需挂载的加密磁盘映像
- Cryptpad Drive:上传到社群的 Cryptpad 加密储存(注意 Cryptpad 的加密是客户端的,server 看不到内容)
- Tails 持久卷宗:在 Tails 系统里直接处理,把暂时性文件放到加密的 persistence storage
传递媒介¶
如果需要把文件再传给编辑或法律顾问:
- anoni.net Send(send.anoni.net):端对端加密、可设密码、过期自动删除
- OnionShare:透过 Tor 起临时 onion service 传档(Send 模式),双方都用 Tor Browser,适合给法律顾问或编辑送一次性文件
- 加密邮件附件:PGP 加密后寄送(适合对方有 PGP 工具的场景)
- 不要用:LINE、Facebook、Email 附件、云端硬盘分享链接(这些都留下平台侧记录)
访谈记录¶
记录方式¶
访谈记录的目的是让你有依据写报导,不是把对方的所有话留下来。记录方式由风险高到低:
| 方式 | 风险 | 适用 |
|---|---|---|
| 录音 | 高 | 对方明确同意、且报导要引述原话 |
| 即时打字记录 | 中 | 多数情境 |
| 事后凭记忆写 | 低 | 高风险场景、对方明确要求不留记录 |
录音的话,用独立录音装置(Tascam 或 Zoom 的手持式录音机,这里的 Zoom 是日本录音设备厂商 Zoom Corporation,不是视讯会议的那家 Zoom),不要用手机。原因有六点:
- 手机绑定身份。SIM、Apple ID、Google Account、各种 app 账号都挂在同一台机,录音文件跟你的相片、消息、位置记录共存。装置一旦被搜或被扣,全部一起暴露。
- 自动云端同步难关乾净。iCloud、Google Drive、相簿备份、消息 app 的媒体备份默认会把录音文件上云,OS 升级或 app 更新后常常自动再打开。敏感受访者对这个无法接受。
- 文件 metadata 跟手机绑死。手机产生的录音文件会带 GPS、装置型号、时间戳,跟手机的位置历史交叉就能还原访问现场。独立录音机只有时间戳,不带位置与装置 ID。
- app 权限与背景行为难稽核。手机上其他 app 可能有麦克风或文件存取权限,crash report、telemetry 会回传片段。独立录音机是 air-gapped 硬件,无网络、无 OS、无 app,就是一张 SD 卡。
- 可独立销毁。独立录音机的 SD 卡是物理可销毁单位,不会牵连其他资料。手机要销毁录音得连带处理整台或整个分区,难度与成本都更高。
- 录音稳定性。长访谈(2 至 3 小时)手机常因来电、通知、低电量中断,独立录音机没这些干扰,电池与储存空间管理也更可预期。
录完尽快上传到加密容器、删除原装置。报导刊出后评估是否销毁原档。
打字记录:用 Cryptpad 或本地加密笔记,不要用 Google Docs、Notion 等云端服务(即使免费版加密,metadata 仍可能被调阅)。
对方信息的最小化¶
访谈记录里:
- 用代号取代真名(消息来源 A、B、C,不写对方公司全名,只写业界与产业类别)
- 不记录家人、伴侣、其他第三方的可识别信息
- 报导引述前再对照原档确认用词,但成稿后尽可能销毁识别连结(例如代号对应表单独保存)
代号对应表(哪个代号是谁)独立加密保存,跟访谈记录分开存放。最理想是只在你头脑里,但实务上多人合作报导时需要书面记录,那就严格隔离。
报导刊出后的整理¶
报导刊出常常是消息来源风险升高的时刻。对方公司会启动内部调查、检视员工存取记录、抓出可能的泄漏者。记者这边要做的:
记者端¶
- 访谈录音、原始文件的销毁评估(保留 vs 销毁的取舍:保留是备案应对诉讼,销毁是断对方关连)
- 跟消息来源约定不再联系的缓冲期(通常 1-3 个月)
- 评估自己的装置是否需要重灌(高敏感报导建议刊出后重灌记者用笔电)
- Signal 与 Cryptpad 的对应对话设定 disappearing messages
对方端的提醒¶
报导前最后一次接触时,提醒消息来源:
- 公司可能会启动内部调查,留意办公室监控、email 记录抽查
- 接下来几天不要主动讨论这个议题,连跟最熟的同事都不要
- 个人装置上跟记者的对话记录尽快清掉(Signal 消息、Cryptpad 链接、浏览器历史)
- 万一被约谈,可以说的范围与底线
媒体侧的记录¶
报导本身的公开资料、引用、查证记录要好好留存(这是面对诉讼的依据)。但跟消息来源往返的私下对话,原则上越早销毁越好。具体分类:
| 内容 | 保留 | 销毁 |
|---|---|---|
| 公开引述的文件、访谈原文 | ✓(律师建议下保留 7 年起) | |
| 公开资料的查证记录 | ✓ | |
| 跟消息来源的代号对应表 | ✓(刊出后 3 个月内) | |
| Signal 对话 | ✓(disappearing messages 处理) | |
| 访谈录音原档 | 视风险评估 | 同上 |
台湾的脉络¶
法规与通讯记录¶
- 通讯保障及监察法:通保法允许检警在侦办特定罪嫌时申请通讯监察书,记者个人通讯在某些案件下可被监听
- 个人资料保护法:对方提供的内部文件如包含个资,报导引用前需评估是否符合公益例外
- 揭弊者保护法(2025 起):见 揭弊者保护法技术观察,但此法主要保护「依法揭弊」的对象,未循正式管道的爆料者保障有限
在地实务¶
- 台湾调查报导圈使用 Signal 为主、Telegram 部分使用、SecureDrop 部署仍少
- 报导者、镜周刊等媒体有专责的数位安全团队或外部顾问
- 跨境议题(中国、东南亚)通常会跟国际组织合作(OCCRP、Forbidden Stories),他们有自己的安全标准
求助管道¶
- 报导者基金会数位安全资源:https://www.twreporter.org/
- Access Now Helpline(24/7 国际数位安全求助):https://www.accessnow.org/help/
- Citizen Lab(装置鑑识与监控分析):https://citizenlab.ca/
- 紧急情况见 紧急求救
接下来¶
- 威胁模型:写报导前,先盘点谁是对手、能拿到什么
- Metadata 为什么重要:理解文件隐含的元数据风险
- 匿名通讯工具比较:Signal、SimpleX、Briar 在不同场景的取舍
- 社群自架服务:anoni.net 提供给公益用途的协作工具入口