記者保護消息來源¶
調查報導的風險常常不在記者身上,而在消息來源那一端。記者就算被盯上,背後通常還有編輯部、媒體律師、業界同行的支援。消息來源就不一定,可能是公司內部的中階員工、政府機關的承辦、被監控的社運參與者,他們暴露的代價遠比記者高。
這篇文章從一個常見流程出發:第一次接觸的安全管道、確認對方身分、敏感檔案交換、訪談紀錄保存、報導刊出後雙方都需要做的數位整理。每一步都對應到具體的工具與威脅模型,並引用台灣與東南亞調查報導圈常見的實務做法。
要先理解為什麼這些步驟存在,可以回頭看 威脅模型 與 Metadata 為什麼重要。
為什麼需要這套流程¶
「我又沒有要爆什麼大新聞,這些步驟太麻煩」是常見的抗拒,但威脅不是只有國安等級的對手才有。常見場景:
- 商業爆料的內部員工,公司有完整的存取紀錄與設備管理系統
- 跨境議題的訪問對象,所在地法規不同、家人或同事在境內
- 環境污染或勞權議題的舉報人,被告知會被找麻煩
- 科技公司員工討論監控產品、被追蹤通訊紀錄
- 警方相關案件的關係人,地檢署可調閱通訊紀錄
每一個場景都有「對手能拿到什麼」這個問題。記者要做的是讓對手即使拿到了通訊紀錄、雲端備份、家中電腦,也無法把訊息回溯到消息來源身上。
第一次接觸¶
公開的安全收件管道¶
報社或記者個人公開「請用這個管道聯繫我」的入口,比起被動等對方找方法,主動降低對方暴露的風險。常見選項:
- SecureDrop:Freedom of the Press Foundation 維運的開源系統,記者透過 Tor 隱藏服務收件,消息來源可上傳檔案不留 metadata。國際大型媒體(紐約時報、衛報、Intercept)都有部署
- Signal 號碼:個人記者最常見的入口,但要注意 Signal 仍綁手機號碼,第一次接觸前對方可能不想暴露號碼
- Tor 上的隱蔽收件箱:自架的 onion service + 簡易表單系統(社群可考慮用 OnionShare 的 Receive 模式架輕量版收件箱)
- PGP 公鑰:傳統方式但門檻高,多數對方不會用
對方主動先聯繫的處理¶
如果消息來源透過不安全管道(公司 email、LINE、Facebook Messenger)先聯繫上你:
- 不要在原管道討論細節
- 引導對方移到 Signal、Cryptpad 或 SecureDrop
- 第一句訊息盡量無內容(「收到,請我們改用 X 工具繼續」)
- 不要把對方原本的訊息轉貼給編輯或同事,避免擴大暴露面
第一次見面前的判斷¶
收到聯繫後不需要馬上回,給自己一兩天評估:
- 訊息內容跟對方的職位、身分是否合理(過於完美的爆料要警覺)
- 對方提供的細節能否在公開資訊裡部分驗證
- 如果是社交工程攻擊,對手要的是什麼(找出舉報人、汙染你的報導、消耗你的時間)
實務上,編輯部的資深記者通常會幫忙看一下對方訊息,第二雙眼睛能擋掉一部分風險。
確認對方身分¶
確認身分跟保護身分是同一件事的兩面。要在不問太多、不留紀錄的前提下,確認對方確實是他自稱的人。
多管道交叉驗證¶
- 對方說在公司 X 任職,能不能在 LinkedIn、公司網站、媒體訪談裡找到佐證
- 對方提供的內部文件,格式、術語、命名慣例是否符合該公司的習慣
- 對方願意視訊(Jitsi、Element Call)但不錄影,看到本人能再排除一部分風險
- 對方主動提供的細節(職位、進公司時間、最近的內部事件)能否跨檢
不問什麼¶
- 不要要求對方傳身分證、員工證、薪資單做「驗證」,這些東西在報導刊出後反而成為暴露來源的證據
- 不要記下對方家裡地址、家人姓名、緊急聯絡人,除非報導本身需要
- 不要把驗證對話存在你個人雲端(iCloud、Google Drive),改用 Cryptpad 或本地加密筆記
敏感檔案交換¶
去除 metadata¶
收到檔案的第一件事是去 metadata,不是直接打開。Office 文件、PDF、照片、影片都會帶 metadata,包括:
- 作者名稱、公司資訊(Office 檔的 author 欄位)
- 拍照的 GPS 座標、相機型號、時間戳
- PDF 的編輯歷程、註解
- 影片的編碼器資訊、剪輯軟體
去 metadata 工具:
- mat2:跨格式的 metadata 清除工具(mat2 GitHub)
- ExifTool:圖片影片 metadata 編輯,可選擇性清除
- Word / Google Docs:另存新檔時選「移除個人資訊」(Office 走「文件檢查」、Google Docs 在「設定 → 隱私」中關掉自動填入後再下載)
- PDF:用 mat2 處理,或印成新 PDF(最暴力但最乾淨)
加密儲存¶
去 metadata 後的檔案存在加密容器,不要直接放工作筆電的桌面:
- VeraCrypt:跨平台加密容器,把敏感檔案放進去再卸載
- macOS FileVault + 加密 dmg:建立隨需掛載的加密磁碟映像
- Cryptpad Drive:上傳到社群的 Cryptpad 加密儲存(注意 Cryptpad 的加密是客戶端的,server 看不到內容)
- Tails 持久卷宗:在 Tails 系統裡直接處理,把暫時性檔案放到加密的 persistence storage
傳遞媒介¶
如果需要把檔案再傳給編輯或法律顧問:
- anoni.net Send(send.anoni.net):端對端加密、可設密碼、過期自動刪除
- OnionShare:透過 Tor 起臨時 onion service 傳檔(Send 模式),雙方都用 Tor Browser,適合給法律顧問或編輯送一次性檔案
- 加密郵件附件:PGP 加密後寄送(適合對方有 PGP 工具的場景)
- 不要用:LINE、Facebook、Email 附件、雲端硬碟分享連結(這些都留下平台側紀錄)
訪談紀錄¶
記錄方式¶
訪談紀錄的目的是讓你有依據寫報導,不是把對方的所有話留下來。記錄方式由風險高到低:
| 方式 | 風險 | 適用 |
|---|---|---|
| 錄音 | 高 | 對方明確同意、且報導要引述原話 |
| 即時打字記錄 | 中 | 多數情境 |
| 事後憑記憶寫 | 低 | 高風險場景、對方明確要求不留紀錄 |
錄音的話,用獨立錄音裝置(Tascam 或 Zoom 的手持式錄音機,這裡的 Zoom 是日本錄音設備廠商 Zoom Corporation,不是視訊會議的那家 Zoom),不要用手機。原因有六點:
- 手機綁定身分。SIM、Apple ID、Google Account、各種 app 帳號都掛在同一台機,錄音檔跟你的相片、訊息、位置紀錄共存。裝置一旦被搜或被扣,全部一起暴露。
- 自動雲端同步難關乾淨。iCloud、Google Drive、相簿備份、訊息 app 的媒體備份預設會把錄音檔上雲,OS 升級或 app 更新後常常自動再打開。敏感受訪者對這個無法接受。
- 檔案 metadata 跟手機綁死。手機產生的錄音檔會帶 GPS、裝置型號、時間戳,跟手機的位置歷史交叉就能還原訪問現場。獨立錄音機只有時間戳,不帶位置與裝置 ID。
- app 權限與背景行為難稽核。手機上其他 app 可能有麥克風或檔案存取權限,crash report、telemetry 會回傳片段。獨立錄音機是 air-gapped 硬體,無網路、無 OS、無 app,就是一張 SD 卡。
- 可獨立銷毀。獨立錄音機的 SD 卡是物理可銷毀單位,不會牽連其他資料。手機要銷毀錄音得連帶處理整台或整個分區,難度與成本都更高。
- 錄音穩定性。長訪談(2 至 3 小時)手機常因來電、通知、低電量中斷,獨立錄音機沒這些干擾,電池與儲存空間管理也更可預期。
錄完盡快上傳到加密容器、刪除原裝置。報導刊出後評估是否銷毀原檔。
打字記錄:用 Cryptpad 或本地加密筆記,不要用 Google Docs、Notion 等雲端服務(即使免費版加密,metadata 仍可能被調閱)。
對方資訊的最小化¶
訪談紀錄裡:
- 用代號取代真名(消息來源 A、B、C,不寫對方公司全名,只寫業界與產業類別)
- 不記錄家人、伴侶、其他第三方的可識別資訊
- 報導引述前再對照原檔確認用詞,但成稿後盡可能銷毀識別連結(例如代號對應表單獨保存)
代號對應表(哪個代號是誰)獨立加密保存,跟訪談紀錄分開存放。最理想是只在你頭腦裡,但實務上多人合作報導時需要書面紀錄,那就嚴格隔離。
報導刊出後的整理¶
報導刊出常常是消息來源風險升高的時刻。對方公司會啟動內部調查、檢視員工存取紀錄、抓出可能的洩漏者。記者這邊要做的:
記者端¶
- 訪談錄音、原始檔案的銷毀評估(保留 vs 銷毀的取捨:保留是備案應對訴訟,銷毀是斷對方關連)
- 跟消息來源約定不再聯繫的緩衝期(通常 1-3 個月)
- 評估自己的裝置是否需要重灌(高敏感報導建議刊出後重灌記者用筆電)
- Signal 與 Cryptpad 的對應對話設定 disappearing messages
對方端的提醒¶
報導前最後一次接觸時,提醒消息來源:
- 公司可能會啟動內部調查,留意辦公室監控、email 紀錄抽查
- 接下來幾天不要主動討論這個議題,連跟最熟的同事都不要
- 個人裝置上跟記者的對話紀錄盡快清掉(Signal 訊息、Cryptpad 連結、瀏覽器歷史)
- 萬一被約談,可以說的範圍與底線
媒體側的紀錄¶
報導本身的公開資料、引用、查證紀錄要好好留存(這是面對訴訟的依據)。但跟消息來源往返的私下對話,原則上越早銷毀越好。具體分類:
| 內容 | 保留 | 銷毀 |
|---|---|---|
| 公開引述的文件、訪談原文 | ✓(律師建議下保留 7 年起) | |
| 公開資料的查證紀錄 | ✓ | |
| 跟消息來源的代號對應表 | ✓(刊出後 3 個月內) | |
| Signal 對話 | ✓(disappearing messages 處理) | |
| 訪談錄音原檔 | 視風險評估 | 同上 |
台灣的脈絡¶
法規與通訊紀錄¶
- 通訊保障及監察法:通保法允許檢警在偵辦特定罪嫌時申請通訊監察書,記者個人通訊在某些案件下可被監聽
- 個人資料保護法:對方提供的內部文件如包含個資,報導引用前需評估是否符合公益例外
- 揭弊者保護法(2025 起):見 揭弊者保護法技術觀察,但此法主要保護「依法揭弊」的對象,未循正式管道的爆料者保障有限
在地實務¶
- 台灣調查報導圈使用 Signal 為主、Telegram 部分使用、SecureDrop 部署仍少
- 報導者、鏡週刊等媒體有專責的數位安全團隊或外部顧問
- 跨境議題(中國、東南亞)通常會跟國際組織合作(OCCRP、Forbidden Stories),他們有自己的安全標準
求助管道¶
- 報導者基金會數位安全資源:https://www.twreporter.org/
- Access Now Helpline(24/7 國際數位安全求助):https://www.accessnow.org/help/
- Citizen Lab(裝置鑑識與監控分析):https://citizenlab.ca/
- 緊急情況見 緊急求救
接下來¶
- 威脅模型:寫報導前,先盤點誰是對手、能拿到什麼
- Metadata 為什麼重要:理解檔案隱含的元資料風險
- 匿名通訊工具比較:Signal、SimpleX、Briar 在不同場景的取捨
- 社群自架服務:anoni.net 提供給公益用途的協作工具入口