AS45 在线组织和互助需要多方面小心以维护所有参与者的安全：这里是基本注意事项

【2020年8月18日存档】在线组织民间互助组是疫情中直接行动的最佳实践。但组织者和联盟协调人员需要注意一些安全问题

各种各样的社区都在加紧组织互助团体，以虚拟方式团结起来，为需要帮助的人提供和协调支持。

为了满足防疫需求上的身体距离，许多人正在使用Google电子表格、Twitter 和 Facebook 上的公开帖子、以及社交媒体平台上的私人消息进行在线组织。

这种支持具有强大的能力，但同时也引起了安全方面的关注：被忽视的隐私设置和过分的个人数据收集会导致意外地泄露私人信息，这些信息的泄漏不仅对活动家本身是危险的，而且很容易损害任何寻求帮助的人们。

尽管这些努力似乎在帮助有需要的人与资源之间建立联系方面具有同等的好处，但是，其使用的媒介本身的隐私和安全隐患却完全不同。

EFF 为组织者和志愿者提供了有关数字安全和隐私注意事项的指南，以更好地保护他们所支持的社区。

以下是组织者需要牢记的安全注意事项：

1、定义您的受众群体 —— 您想吸引谁，如何吸引他们，以及您想要为他们做什么？

2、收集尽可能少的数据 —— 实现目标实际所需要的数据是什么？以及对社区来说最敏感的数据是哪些？

3、注意权限，并在可能的情况下限制访问 —— 您的数据需要全部公开吗？您可以限制它仅被社区中的一小部分人可见吗？

4、在旅途中和休息时使用加密 —— 您正在使用哪些工具？谁可以看到您的数据？它受到保护吗？

5、考虑一下您信任哪些公司、人员和系统掌握您的敏感数据 —— 您可以通过端到端加密平台连接参与者吗？

这些都是组织者在设计这些工作时应该考虑的所有问题，参与者应该有能力向组织者询问这些问题。

组织过程中共享的信息可能非常敏感，并且是潜在的网络钓鱼尝试的主要目标。参与这些工作的每个人都必须了解风险是什么，以及如何通过深思熟虑的数据保护措施来将风险最小化，这一点很重要。

为什么在组织互助时数据安全很重要

本文将假设一个行动组织者名为 Layla，以分析其经历。 Layla 认识到，迫切需要努力将需要财务支持的人员与帮助者联系起来，并获得资源。

她决定建立一个带有易于查看的相应文档的网站，以便帮助人们共享和推广他们的需求，并提供一种进一步联系的方式。

但是，这样做时，Layla 决定要保护自己社区的敏感数据免受恶意攻击。

个人数据可能会以多种方式被滥用，不幸的是，有很多恶意者经常想要在不确定性和压力很大的时期利用他人的脆弱性。以下只是一点点示例：

网络钓鱼：在了解有关目标情况的非常具体的信息时 —— 例如，他们的电子邮件、Venmo 或银行信息、他们的真实姓名、地址、他们寻求帮助的情况、他们的健康信息、以及他们的故事，恶意者就会欺骗目标。尤其是，恶意者会利用发现的尽可能多的信息来了解其目标，从而制作出听起来更真实的骗局。

Layla 需要思考如何限制这些信息的可见度，并确保仅在绝对必要时才收集参与者的敏感数据。

人肉弱势群体并促进针对性的骚扰：恶意者可以发布有关某人的生计、工作场所、和家庭住所的私人信息，以骚扰他们。这是 doxing 的典型操作。

• 更多抵御措施详见《抵制在线攻击：不要被 trolling 和 Doxing 压垮 (2)》

这种骚扰可以是数字层面的、财务方面的和现实物理层面的。数字层面的骚扰通常采取网上辱骂的形式；财务骚扰可能意味着将这些信息用于欺诈性账单；在其他情况下，攻击者会不断发送垃圾邮件，直到用户意外接受为止。

现实物理层面的骚扰包括很多种形式，从尾随纠缠到恶作剧、殴打、报假警让警察集体围攻目标人的住所等等。

即使在正常情况下，这些活动也可能危及一个人的生计或安全。对于那些已经被边缘化的或特别受时事影响的人们，会更加有害。

由于 Layla 支持的是有可能将其私人信息被用于有针对性的骚扰的社区，因此她需要仔细考虑如何保护这些信息，以免被恶意者掌握。

政府收集：全球大多数政府都在大规模收集有关公民的私密详细信息。在最有害的情况下，政府机构之间的这种数据收集和共享可能使已经被定位的社区面临更大的风险，尤其是在可能已经对某人进行监视的情况下 —— 由于其移民身份、性别、性取向、健康状况、经济状况、信仰、种族、或政治联盟。

就 Layla 而言，她特别担心移民和海关执法局进一步针对她所在社区的人们，并且不希望收集那些可能被滥用以促进突袭的信息。

数据销售：不论是大型还是小型公司都在不断抓取网络数据以获取有关他们可以汇总和出售的个人的信息，例如第三方跟踪所做的。这就是监视资本主义。

Layla 的社区成员担心，共享信息可能意味着他们最终会出现在更多的垃圾短信和电话营销列表上，或者被多家公司跟踪。

这些都是棘手的问题，会带来可怕的后果。组织者应该考虑使用以下概述的原则，采取实质性的预防措施来防止这些不良后果。

考虑到所有这些潜在威胁，Layla 知道她想保护社区成员提交的数据，她意识到自己收集的数据非常敏感。

使用 “威胁建模” 框架，Layla 需要思考以下问题：

1. 我想保护什么？

2. 我想防备谁？

3. 如果我失败了，后果有多严重？

4. 这些威胁发生的可能性有多大？

5. 我愿意为了防止潜在后果付出多大的努力？

关于威胁建模的方法，见这里《保护安全需要一系列思考方式，而不是哪个软件》；以及《了解自己的状况是保护安全的第一步》、《要想保护每个人的人权和安全，我们就需要联合》。

以下是帮助 Layla 这类组织者回答上述问题时的注意事项。

确定您的目标受众（和非目标受众）

在思考有关构建社区安全计划的问题时，通过此工作来确定您的目标并确定倡议的规模，可能会有所帮助。考虑以下问题。

1、我想联系谁？

这是针对邻里社区（由彼此认识的20个多位邻居组成的小组）、本地社区（乡镇或县内的人们，多达数百人）、还是更大的社区？不同模式的社区具有不同的安全计划。

2、您可以清楚地与参与工作的人交流什么？

计划一开始就要建立期望 —— 不仅是寻求和提供帮助的人们，而且还要包括有希望扩大您的努力的外部团体。

当前参与您的组织的人与其他组织的工作也存在很大的交叉关联趋势，并且有可能使您原本打算更封闭的组织工作最终获得了比预期更多的知名度。

要清楚地说明对这个社区的要求：考虑如何使流程对刚加入该计划的人透明：当他们提交请求时，他们期望多少天内能得到答复？如果响应及时实现或没能实现，会发生什么？该文档及其中的数据将被如何处理？

您需要多少数据来组织该援助？不同的受众可能需要不同级别的数据收集。这就需要考虑下面一点。

收集尽可能少的数据

连接人们以实现互助肯定需要您共享有关参与者的一些信息。

但是重要的是，要注意某些类型的数据的敏感性，尤其是有关一个人的病史、地理位置和具体身份的信息。

收集尽可能少的数据来实现您的目标有助于降低不良行为者获取足够信息以伤害目标人的风险。

某些类型的可识别性信息对于社区共享而言，其风险可能要比其他类型的信息稍低一点。例如，Layla 可能知道她所在社区中的某些人担心公开自己的电话号码，因此选择仅在她的表格中包含一个电子邮件地址字段。

名字和电子邮件地址就可以帮助她识别参与者，因此她还决定不需要存储社区成员的姓氏。

她还可以鼓励社区成员使用不包含名字和姓氏的电子邮件地址。

于是，如果数据落入坏人手中，那么他们将很难识别每个参与者。

考虑需要将这些信息保留多长时间也非常重要。删除不再需要的信息是一种很好的安全措施。一些组织者使用电子表格之类文档来组织一次性工作，而无需永久保存数据。

由于您的社区可能有不同的需求和关注点，因此您应该回答以下一些问题，以确保您仅收集了严格必要的内容：

• 您需要什么类型的信息才能实现这一组织行动的目标？

• 您要求的数据中是否存在冗余？如果是，您可以删除其中一些字段吗？

• 哪种类型的数据对您的社区最敏感？您能否要求提供一条不同的、不太敏感的替代信息，并且仍然可以实现您的目标？

• 您什么时候可以删除此电子表格和提交的数据？

注意权限，对访问透明

在 Venmo、Facebook 帖子或 Google 表格等服务中，用户可以通过调整设置来限制可见性。

例如，使用 Venmo 的用户可能会惊讶于默认情况下其所有交易都是公开的。用户可以将其交易设置调整为 “私人”，仅对发送者和接收者可见；但是，Venmo 始终会公开显示您与谁进行了互动的记录。

同样，可以将 Google 产品（例如文档和表格）设为私有，以便仅在受信任社区内的受邀电子邮件地址中可见；通过限制某些朋友或社区的可见度，可以使 Facebook 帖子更加私密。

但是 —— 您必须按顺序阅读本文 —— 首先应该是您的威胁模型，如果您组织的是类似透明度革命协作社区，那么以上这些最好都不要使用，因为它们都来自寡头，这些寡头与政府紧密合作，可以在任何政府请求下出卖你们所有人。具体见下面：

• 《他们是如何抓捕说真话的人？⚠️灾难和教训》

您可能需要选择下面这些：

• 《安全工具箱补充版：分类工具列表（2）》

并且，权限和访问注意事项超出了单个工具的范围，组织者需要从头开始考虑它们。

例如，Layla 可能会考虑使用 Google 表格来让其社区向志愿者提交援助和要约请求，而不是使用任何人都可以公开访问的可见的和可编辑的文档。

Layla 可能会稍为取舍，因为 Google表格需要一些受信任的人来审核请求，因此她可以选择与社区成员清楚地交流该过程。

或者，也许Layla决定只充当中间人，通过电子邮件介绍服务将寻求帮助的人联系起来，并鼓励他们使用端到端加密工具来传达更多详细信息。

加密一切

加密有多种类型，熟悉与在线组织动员工作有关的加密会很有帮助。

在选择一种促进交流的方法时，考虑一下谁可以看到哪些数据以及如何存储和保护这些数据，是很重要的。

通过互联网访问服务时，您的流量、及其所有提交的内容（“数据”）、有关内容的信息（“元数据”）），都将通过多个实体控制的多个设备，然后到达预期的目标设备。

The diagram shows unencrypted data in transit—which is often the default setting for Internet service providers. On the left, a smartphone sends a green, unencrypted message to another smartphone on the far right. Along the way, a cellphone tower passes the message along to company servers and then to another cellphone tower, which can each see the unencrypted “Hello” message. All computers and networks passing the unencrypted message are able to see the message. At the end, the other smartphone receives the unencrypted “Hello” message.

要考虑的一件事是，数据如何在传输中移动：人们如何共享信息，如何沟通其需求和服务，如何相互联系？又如何使它尽可能安全？

通常，端到端加密是保护通信数据仅在发送方和接收方之间可获取的最佳选择，因为它在用户的 “终端” 设备之间进行加密。

但是，在加入端到端加密服务之前，人们首先需要了解这项行动/工作的具体内容，他们可能首先会通过网站来了解它。

于是就不得不提出下一个重点：警惕未加密的服务和网站。例如，如果服务仅使用HTTP（而非HTTPS）来收集从表单提交的信息，则意味着其敏感数据未加密。

如果您是诸如 Layla 这样的网站运营者，则可以通过 Let’s Encrypt 获得免费的 HTTPS 证书。

对于那些希望通过民间互助组获得帮助的人，请警惕不使用加密的服务。

考虑信任和社区数据的敏感性

好消息是，网络上的大多数服务都使用 HTTPS 保护传输中的数据。但是，仅仅如此并不一定意味着该服务值得您的信任。

这是您认识的那个人经营的网站吗？您是否信任他们来保护您提交的数据？还是像 Google，Facebook 或 Twitter 这样的寡头？服务提供者是否为文档和帖子提供了不同的设置选项，例如 “公开”、“私人”、或仅限于一小部分人？

特别是，请问自己以下问题：

• 您在此平台上收集的数据有多敏感？

• 您相信服务提供商的安全能力吗？

• 您相信他们会负责任地处理您社区的数据吗？

• 如果您不信任他们，该怎么做？

对于某些人的安全计划而言，知道像 Google 或 Facebook 这样的寡头公司可以看到其在平台内的所有通信是一个可以接受的风险 —— 但是，对于另一些人来说，尤其是那些试图挑战政府和间谍机构值权威的人们，这是非常危险的。

后者应该使用那些更具隐私保护的产品或使用端到端的加密服务。具体参见《安全手册（1）》。

The top diagram demonstrates transport-layer encryption, where a company’s devices in the middle can decrypt messages exchanged between users; The bottom diagram demonstrates end-to-end encryption, where the decrypted message is only visible to the end devices and not the service providing devices.

对于 Layla 来说会鼓励她的社区使用 Signal 之类的工具来交流有关他们自己的更多详细信息，因为她确定自己不需要收集哪些私人信息。

• 不要错过《如何在不暴露私人电话号码的情况下使用signal》

其他要考虑的事

随着 Layla 的组织工作越来越受到关注，她可能会考虑与其他公民社会组织形成联盟，以扩大他们的工作。

但是，每个组织的工作都有不同的安全计划，并且在宣传方面或形成联盟关系时可能会需要考虑不同程度的问题。

对于创建这些汇总文档的人来说，一个很好的做法是，分别询问每个组织者是否可以接受某种做法。

此外，联盟负责人可能还希望考虑不同组织发布的信息类型之间的差异。范围从非常敏感到敏感性较低，需要准确评估。

对于那些汇总和汇编跨组织信息的联盟负责人来说，请考虑以下问题：

• 您为什么要汇总这些信息？您的目标是什么？

• 您要放大哪些不同类型的数据或信息？他们是否需要不同的隐私考虑？

• 您真正需要什么信息来使数据聚合对人们有用？

• 在链接到较小的数据源之前，您可以与具体的组织者事先交流一下吗？征求他们的意见关于他们想要公开哪些和隐藏哪些。

将安全计划制定流程纳入组织的工作是确保为您和您的社区保证安全标准一致的好办法。

收集和共享信息

1、定义您的受众

您想联系谁？您的受众对他们的需求有什么期望，他们如何获得信息更新以及数据的可见性如何？谁不应该访问此信息？

2、收集尽可能少的数据

您要实现目标所需要的最少量数据是哪些？哪种类型的数据对您的社区最敏感？您可以要求替代敏感数据的其他类型数据吗？

3、注意权限，尽可能限制访问

您需要公开所有数据供人们访问吗？如果不是，您可以将权限限制在社区的较小部分中吗？

4、使用加密

对于您正在使用的服务或平台，考虑谁可以看到哪些数据？您的数据在发送或存储的过程中是否受到保护？

5、此外

• 您能否会建议使用更安全的渠道来跟进更多详细信息？

• 您可以通过端到端加密平台联系所有参与者吗？端到端加密通信有助于保护通信数据在预期的发送方和预期的接收方之间。

对于那些为跨组织联盟工作努力的人们，请注意以下问题：

• 您为什么要汇总？您的目标是什么？

• 您要放大哪些不同类型的数据或信息？它们是否需要不同的隐私考虑？

• 您真正需要什么信息来使数据聚合对人们有用？

• 在链接到较小的数据源之前，您可以与具体的组织者事先交流一下吗？征求他们的意见关于他们想要公开哪些和隐藏哪些。

6、对于参与者来说，请检查组织者是否明确传达了以下信息：

• 您的参与期望是什么

• 提交哪些信息是必需的哪些是不必需的

• 参与平台是否使用加密，并确保至少使用HTTPS

• 数据的公开程度如何、以及组织者能看到多少数据

• 数据将存储在哪里以及存储多长时间

• 是否有端到端加密通信工具可以围绕敏感细节进一步与参与者建立联系，以及如何将这些细节与视野更广的平台区分开

了解您的风险：

• 您可以与组织者沟通这些问题并讨论他们为缓解这些问题而采取的步骤吗

• 注意与所提供信息有关的潜在网络钓鱼企图。

• 考虑一下您可以忽略的内容：是否需要提供真实姓名或其他可识别性信息，例如电话号码或家庭住址？如果您的电子邮件中包含您的真实姓名，您可以使用其他的与您的身份无关的电子邮件吗？

更多具体的自我保护措施详见我们的 列表-1 “技术防身”；以及列表-5 “护盾”。

直接行动正是因为政府的迟钝和不作为公民需要自己动手维护自己的利益。于是公民组织必须做得比政府更好，给参与者更多的安全和权益。希望这篇文章中介绍的注意事项能对您的社区有所帮助。⚪️