人权卫士们经常在讨论数字信息安全时集中在隐私和数据保护上。这些也是必须的,但是一个强壮的密码或VPN在你面对危险或是被警察强制消失时能有多大的帮助呢?在这种情况下就算是最老练的人权卫士也很可能放弃抵抗。强壮的数字安全是应对实际威胁防护的补充,但是对于很多人权卫士来说处在敌对的环境这种威胁是无法逃避的所以其防护措施就应更加的实用化。
以隐私和数据保护为重点意味着传统的数字安全思维往往强调通信安全的技术指标,以防止人权卫士的信息被窃取或是人身自由被限制。
以隐私和数据保护为重点意味着传统的数字安全思维往往强调通信安全的技术指标,以防止人权卫士的信息被窃取或是人身自由被限制。但是技术工具的保护只延伸至人权卫士被警方拘留并进行酷刑之前索取信息获取权限之前。我知道有一些很有经验的人权卫士在被威胁使用酷刑后很快便交出了密码,但是没人可以说他们这样有什么不对。在这样可怕和沮丧的情况下,需要一种更全面的数字安全保护方式。
Max Pixel/Some rights reserved
Through ongoing support for local initiatives that take a practical approach to digital security, the hope is that more secure behavior will develop in tandem with technology for the authentic holistic security of HRDs in hostile environments.
联合国人权维权者状况特别报告员福尔斯特(Michel Forst)于2016年2月的一份报告中阐述了这些多重不安全状况,呼吁人权卫士们培养一种将人身安全与数字安全和心理健康相联系的“整体安全”文化。“整体安全”的概念自2016年以前就一直在人权卫士保护框架中得到关注,但往往是采用相互割裂的方式在进行。
然而在实践中,这通常意味着将数字安全工具与人身和心理策略从一个环境移植到另一个环境中,而不会全面的考虑人身,心理的现实情况对数字安全的影响。
这个问题对于在独裁政权和公民自由尺度缩小的环境中行动的人权卫士至关重要,他们没有良好的法治环境,没有诸如人身保护令,律师权或免于酷刑的法律保护。而正如扎拉・拉赫曼(Zara Rahman)最近所表达的那样,“技术有时被提及或是采用,并不是因为它们是这项工作最具战略性或不可或缺的工具,而是由于面临无法确定的风险和压力。”
通常提升数字安全性所提供最常见的技术建议是:加密。大多数数字安全文献推荐使用诸如Protonmail,Signal Messenger或Vera Crypt等加密工具, 这些工具是必需的,但不足。 是的,正确的加密确保了只有正确的人才能访问数,保护数据免受第三方监控,除非采用非常复杂和极为耗费时间的破解入侵方式。 但这在专制政权里只能提供短期的安全。
数年来,我一直在与中国和其他地方的人权卫士合作,发展各种实用的防护方法,包括数字安全。 我参与的项目是基于目标受益者中的一些小组,他们积极反馈并参与其中,也获得了无国界记者和其他方面的支持。 该项目的初步结论是:可以为其他处于压制环境中的人权卫士提供有价值并可移植的帮助。
经过相当的反思,我的合作者和我发现对行为方式的更多关注对于为在恶劣环境中的人权卫士提供数字安全至关重要。这意味要搞清楚人权卫士们如何使用他们选择的数字安全工具,人权卫士们如何理解当地的现实情况,以及他们是怎么被支持(或没有被支持)去解决自己特殊的处境和威胁。这可以称为本地化数字安全行为方式。
下面有几个到目前为止我们工作中遇到一些实例。
出于实用的目的,依靠安全的通信工具在专制政权下是很重要的,但是一旦被拘留,减少对方对敏感信息的关注是最重要的而不是考虑如何让对方无法获取解密信息。 人权卫士应采用专门的电子邮件进行工作,并坚持零收件箱政策,即始终删除内容,手动或通过自动销毁(如Protonmail中提供)或使用信号(Signal)和电报(Telegram进行基于点对点加密的聊天通信。 这应该是人权卫士的标准沟通行为。
另一个经常被忽视的行为问题是人权卫士如何删除敏感信息。通过文件恢复程序可以恢复删除数据,如果隐藏的敏感数据可以轻松被恢复并访问,则加密敏感数据是无意义的。我了解情况的人权卫士叙述说在警察讯问期间,警察会根据全部或部分恢复的文件提出质疑,而且这些人权卫士认为这些资料已被删除。简而言之,我们通常删除某些资料的方式并不一定会真的删除任何东西。
最终,任何数字安全的方法都必须将增加的安全性与对现实情况的理解和实用的行为方式结合起来。例如,实际上,大多数人都不会记住他们每个帐户的登录信息,包括购物或普通聊天工具的帐户。他们会很乐意保存一些密码或帐户详细信息,并将很快放弃他们认为并非必要的步骤。因此,最实际的行为方法之一是维护双重浏览器策略。人权卫士应该保留一个浏览器,比如说Firefox,用于所有的人权相关工作。在这里,他们使用相关的浏览器扩展组件和很传统的但是最好的防护手段:退出时自动删除一切信息。另一方面,他们应该保留一个单独的个人浏览器来进行娱乐,比如说Chrome或Opera,例如非敏感密码可以保存,以方便使用。
这种做法也应该是本地化的。 这意味着语言本地化,因为只有英语界面的技术工具太多,但首先要做到的是适应地区实际情况和适应当地语言文化。 这与Danna Ingleton最近的一篇文章相一致,她认识到致力于以人权卫士自己的经验为中心开展防护工作对于机构而言的重要性。
在这个意义上,开发实用的数字安全策略要求将更大程度上从机构扩展到受影响最大人权卫士以及最有可能受益的人权卫士。实现这一目标的一个方法是资助创建本地反馈小组,这是我参与的项目的开展基础:创建新的数字安全手册版本,确定什么是使用相关技术的最实用的行为方式,或为机构支持设计自下而上的反馈支持方式。
通过持续支持对数字安全采取实用和本地化的可行性方法并与技术相结合,我们期望能为敌对环境中的人权卫士开发出更安全的行为模式。