跳转至

揭弊者保护法的技术观察

揭弊者保护是制度问题,但每一次揭弊行为都会留下数位足迹:通讯记录、文件下载、登录时间、办公网络日志。法律能保护的范围,与技术上能不能让揭弊行为「不留痕迹到可被识别」之间,存在一段需要被仔细讨论的距离。这页从台湾 2025 年 7 月刚上路的《公益揭弊者保护法》(Public Interest Whistleblower Protection Act,以下简称 PIWPA)切入,整理保护的对象与条件,对照技术上的匿名管道能补足哪些缝隙,并列出揭弊者本人在实务上可以怎么准备。

本文不是法律意见,个案问题请咨询专业。具体条文与适用范围以法务部公告为准。

从「制度与技术交界」切入

揭弊者面对两种不同的风险:被认出来的法律后果(解雇、降职、诉讼、刑责),以及被认出来的数位痕迹(谁在哪台机器上动了哪份文件、什么时候联系了谁)。法律处理前者,技术处理后者,两边不能互相替代。

举一个典型情境:某公部门员工发现上级涉嫌挪用补助款,想对外揭发。即使法律保证「身份保密、不得解雇」,如果他在公司网络下载证据、用公司信箱寄给记者、用个人手机在办公室拍屏幕传到 Telegram,留下的数位足迹可能让他在进入法律保护程序前就被内部追到。

这页的定位跟 scenarios/journalist 不同:journalist 写记者方接收消息来源的工具流程,这页聚焦揭弊者本人的法律处境与行动前的准备。两篇互补,建议搭配阅读。

台湾《公益揭弊者保护法》:从草案到上路

台湾的揭弊者保护长期分散在不同法规(公务员服务法的服从义务反面、刑事诉讼法的证人保护、贪污治罪条例的减免规定、组织犯罪防制条例的污点证人等),缺乏一套整合的保护架构。国际透明组织(Transparency International)多次将「揭弊者专法」列为衡量国家廉能的关键指标,台湾在这个面向长期被点名。

关键时间线:

  • 2018 年:行政院首次通过揭弊者保护法草案送立法院,届期不续审
  • 2024-12-27:立法院三读通过《公益揭弊者保护法》1
  • 2025-07-22:正式施行(公布后 6 个月施行)
  • 2025-07:法务部公告施行细则草案

这是台湾第一部专门保护揭弊者的法律,主管机关为法务部,并设立「揭弊者保护委员会」办理保护事项。

法律保护什么

保护对象

PIWPA 适用于「泛公部门」:

  • 公部门员工(中央与地方各机关公务员)
  • 国营事业员工
  • 受政府控制的事业、团体或机构

私部门员工不在保护范围。立法过程中曾有把私人企业纳入的讨论(包含「资本额 1 亿以下中小企业排除」的折衷方案),最终法律仍定位在公部门。这是制度上最大的落差,后面会独立讨论。

揭弊事项范围

法律保护的揭弊内容限于「重大不法行为」,包含贪污、渎职、财政或预算重大不法、严重浪费公帑、职务上其他犯罪行为等。揭弊者必须是善意揭弊(诚信相信内容真实),恶意捏造或明知不实的举报不在保护范围。

揭弊管道:层次性架构

PIWPA 采取「先内部、后外部、最后媒体」的阶梯设计:

  1. 第一层(内部通报):向所属机关或受理揭弊机关提出
  2. 第二层(外部通报):若受理机关 20 日内未通知是否受理,或 6 个月内未通知调查结果,经适当促请程序后,可具名向民意代表、媒体与民间团体揭弊

这个设计反映了立法者对「跳过内部程序直接对外」的保留态度。实务上,揭弊者要先走完内部程序、留下时间记录,才能合法进入外部揭弊。

救济措施

  • 身份保密义务:受理机关、人员不得无故泄漏揭弊者身份
  • 职务保护:所属机关不得因揭弊对揭弊者解雇、降职、减薪、调职等不利处分
  • 公务员违反泄漏义务的刑责:6 月以上 5 年以下有期徒刑,得并科新台币 30 万元以下罚金

奖励

因揭弊而查获不法事实者,最高可获得罚款或没入金额 10% 的奖金。这个诱因机制借鉴美国 False Claims Act 的 qui tam 设计,但比例上保守很多(美国通常是 15–30%)。

制度的落差:法律不保护的地方

PIWPA 上路后,仍有几个明显的保护缺口:

  • 私部门员工:最大缺口。包含一般私人企业、外商在台分公司、未受政府控制的民间团体
  • 退休人员:法条保护现职员工,退休后揭弊的回溯保护未明确
  • NGO 内部揭弊:许多倡议组织本身就是揭弊对象,对自家内部问题的揭弊缺乏保护
  • 跨域揭弊:揭弊内容涉及国安、军事或营业秘密时,会与《国家机密保护法》、《营业秘密法》、《国家情报工作法》等法规竞合
  • 匿名揭弊:法律强调「具名」揭弊才能进入保护程序,完全匿名的揭弊不在 PIWPA 保护范围

最后一点对技术社群特别重要:完全匿名揭弊在台湾现行制度下,依靠的是技术匿名(Tor、SecureDrop、加密电邮)而非法律保护。这不代表匿名揭弊没有价值,只是要清楚知道这时候法律站在一旁,技术是唯一的防线。

揭弊行为的数位足迹

从决定揭弊到把资料送出,揭弊者会在多个层面留下可被回溯的痕迹。常见的足迹来源:

  • 公司网络:DLP(资料外泄防护)系统的文件外传告警、proxy log、防火墙封包记录、员工浏览记录
  • 终端装置:USB 接入记录、打印机的列印日志、云端剪贴簿、屏幕截图工具的历史
  • 通讯软件 metadata:Slack、Teams、Email 的传送时间、收件者、附件名称、IP 地址
  • 公司发放的设备:手机与笔电的位置记录、SIM 卡绑定、MDM(移动装置管理)的所有监控
  • 账号与身份日志:登录时间、来源 IP、设备指纹、SSO 跨服务的关联记录
  • 云端服务:Google Workspace、Microsoft 365 的下载、分享、外部存取记录
  • 金流:补贴款、线人费、爆料奖金的转账记录(连结 为什么匿名支付重要
  • 跨机构交叉:揭弊者在公司外用「同一支手机」、「同一张信用卡」、「同一个账号」做的所有事都可能被连回来

这份清单是要说明「为什么揭弊者本人需要在行动前思考数位足迹」,并不是让人放弃揭弊。法律保护的是「揭弊者被识别后不能受不利处分」,技术可以做的是「在进入法律程序前尽量不被识别」。

技术匿名管道:法律补不到的地方,工具能补吗

当揭弊不在 PIWPA 保护范围(例如私部门员工),或揭弊者选择匿名揭弊时,几个技术工具是常见的选项:

  • SecureDrop:媒体机构部署的标准匿名收件系统,跑在 Tor hidden service 上
  • Signal、Wire:日常加密通讯的最低门槛,注意 Signal 仍会留下「谁跟谁、何时」的 metadata
  • Tor 上的隐蔽收件箱:机构或个人记者部署的 .onion 收件管道
  • 加密电邮(PGP):高自主性、高使用门槛,密钥管理是最大挑战
  • 抛弃式装置 + Tails:高敏感情境的标准做法,整个工作环境跑在随身 USB 上、关机后不留痕迹

每个工具都有威胁模型限制(连结 威胁模型怎么想)。SecureDrop 防的是中间网络与媒体内部泄漏,但防不了揭弊者本人在公司网络下载资料时留下的痕迹。Signal 防的是内容被读,但社交图谱(你跟记者的联络)仍可被观察。Tor 防的是 IP 连线层的识别,但防不了你在文件里留下的个人风格、用字偏好、metadata。

技术不能取代制度,制度也不能取代技术。两者搭配才是完整的揭弊安全策略。

揭弊者本人怎么准备

行动前

  • 确认自己受哪些法律保护:公部门员工走 PIWPA 程序、私部门员工要找熟悉劳动法、营业秘密法的律师咨询
  • 隔离工作装置与个人装置:不在公司网络、公司设备、公司账号上做任何研究。不查相关法律、不搜寻记者联系方式、不下载匿名工具
  • 建立外部资料管道:用个人装置(最好是新买的抛弃式手机)、家里网络、咖啡店 Wi-Fi(要评估)、Tor 加 Tails 等组合
  • 不留商讨痕迹:不在公司通讯软件讨论、不向同事透露意图、不在跟揭弊有关的群组里留言

行动中

  • 文件处理:去除 metadata(PDF 的作者栏位、Office 文件的修订历程、照片的 EXIF)。可用 mat2 等工具批次清理
  • 不留分档线索:避免「Doc1.docx」、「Final2.pdf」这类个人习惯文件名
  • 通讯管道的选择:第一次接触尽量用 SecureDrop 或记者公开的 PGP 公钥,避免直接用工作信箱或私人 LINE
  • 时间规划:不在上班时间用工作装置存取相关内容、不在公司网络范围上传资料
  • 金流匿名:补贴、爆料奖金的接收避免直接用实名账户,可参考 为什么匿名支付重要 提到的选项

行动后

  • 数位足迹清理:揭弊资料离开后,本机要清理浏览记录、剪贴簿、暂存档、最近文件清单
  • 法律支援的启动时机:若触发 PIWPA 程序,建议同步联系律师,记录受理机关回应的时间与方式(为日后可能进入第二层揭弊保留证据)
  • 心理准备:揭弊不是一次性事件。从通报到调查到结案,动辄数月到数年。期间可能面对职场压力、诉讼、媒体曝光等延伸后果,事前要有心理建设与支持系统

记者端与律师端的分工

揭弊者通常不是孤军奋战,记者与律师是两个关键节点:

  • 记者端:详细的接收消息来源工作流程见 记者保护消息来源。包含安全管道部署、文件处理、访谈记录保存与报导后双方的数位整理
  • 律师端:找熟悉揭弊者保护、劳动法、刑事程序的事务所。可咨询的 NGO 包含人本教育基金会、台湾人权促进会、公民监督国会联盟等。许多 NGO 接受 pro bono 咨询,但容量有限,建议在行动前就先建立联系

为什么匿名网络社群会关心这件事

我们长期推广 Tor、Tails、SecureDrop、加密通讯与威胁模型思考,跟揭弊者保护是同一条问题链的不同节点:

  • 制度与技术是互补不是替代。PIWPA 保护公部门揭弊者「被识别后」的处境,技术匿名工具补的是「行动中尽量不被识别」的能力
  • 私部门揭弊保护的缺口,是社群可以着力的政策倡议方向。国际比较上,欧盟 2019/1937 号指令、美国 Sarbanes-Oxley Act、英国 Public Interest Disclosure Act 都涵盖私部门。台湾下一轮修法值得追踪
  • 连回 网络自由为什么重要 的「个资与身份」框架:揭弊者保护是这个面向最具体的应用情境之一,技术社群的工具与制度倡议在这里交会

中国对应制度速览

对照参考、不取代主轴

本节为对照参考,取代台湾揭弊者保护法的讨论主轴。中国大陆与台湾在揭弊者保护的制度路径、政治环境、实务风险有显著差异,海外华语读者评估自身处境时,请依实际所在司法管辖判断。

中国大陆没有专门的「揭弊者保护法」,相关制度散落在数个法律与党内规范:

举报与监督制度

  • 《监察法》(2018/03 通过):国家监察体制改革核心法律,规定向监察机关举报职务违法犯罪的程序与保护。但对举报人的人身保护条款相对原则性。
  • 《公职人员政务处分法》(2020/07 施行):对公职人员违法行为的处分依据,举报人保护规定较薄弱。
  • 《刑事诉讼法》第 49 条:对举报、控告、申诉人员的保护原则。
  • 党纪处分条例:党员通过党内监督举报的程序与(理论上的)保护。

实务风险与缺口

  • 缺乏独立监督机制:中国没有类似台湾「揭弊者保护委员会」的独立机关,举报多向纪检监察系统提起,体制内回报存在打击报复风险。
  • 私部门完全无保护:中国的私营企业内部举报缺乏专门法律保护,劳动法对解雇等不利处分的救济不及揭弊情境特殊性。
  • 公开揭弊的政治风险:透过媒体、社交平台公开揭弊在中国可能触发《刑法》第 246 条(诽谤罪)、第 293 条(寻衅滋事罪)、《国家秘密法》(2024 修订)等罪名,与台湾 PIWPA 走「内部 → 外部 → 媒体」阶梯的设计完全相反。
  • 新闻审查与平台治理:揭弊内容在中国境内媒体与社交平台上的可见度受到主动审查,与台湾媒体环境差异明显。
  • 跨境揭弊:海外华语揭弊者面对中国当局对家属施压、跨境追诉等风险,已有多起公开个案。

外部研究:

制度差异意味着揭弊者面对的风险完全不同,技术匿名能力的需求也不同。在中国大陆情境下做敏感揭弊,技术匿名(Tor、SecureDrop、Tails、加密通讯)可能是唯一可行的途径,且需要更高的操作纪律与境外协作管道。台湾 PIWPA 的「先内部、后外部」程序设计在中国情境下不适用,海外华语读者请勿直接套用。

参考来源

  1. 揭弊者保护法三读 公务员泄揭弊者身份最重关 5 年、检举不法有赏 - 中央社(CNA)