IP編輯:增強隱私和解決濫用的措施

From Meta, a Wikimedia project coordination wiki
Jump to navigation Jump to search
This page is a translated version of the page IP Editing: Privacy Enhancement and Abuse Mitigation and the translation is 93% complete.
Outdated translations are marked like this.
关于IP编辑
IP Info feature New! Other related tools
IP编辑限制研究


什么是隐藏IP地址计划,为什么维基媒体基金会要隐藏IP地址?

本计划旨在对大多数无需利用IP地址进行反破坏活动的人完全或部分隐藏维基媒体计划中未注册编者的IP地址。

目前,任何人都可以在没有维基媒体账户或不登陆账户的情况下编辑维基媒体的维基站点。维基媒体计划所使用的MediaWiki软件会公开记录这类编者的IP地址,并且任何人都可以查看。

对于维基媒体计划而言,有充分的理由储存并公开IP地址,即这对反破坏反骚扰工作十分重要。

然而,通过您的IP地址,他人可以知道您在哪里作出编辑,并可以此识别您的身份或设备。如果在您当地,我们的维基站点较有争议,那么这将会成为令人担忧的情况。公开您的IP地址会令他人知晓您的位置。

随着隐私法律和标准的变化(例如通用数据保护条例及其引发的关于隐私的全球性讨论),维基媒体基金会的法律团队决定通过对大众隐藏IP地址来保护用户的隐私。然而,我们仍然会向有需要的用户提供IP地址信息,以便保护维基站点。

我们知道这一变化会影响现有的反破坏工作流程。对于能用来识别并封禁破坏者、傀儡账号、利益冲突编者及其他不良行为者的工具,我们会继续努力开发,让相关用户可以继续使用这些工具。

产品及技术更新

实施策略和下一步计划(2022年2月25日)

大家好,我们有一项关于隐藏IP地址实施策略的更新。

我们首先感谢所有来到这里留下反馈的人。我们听到很多人抱怨这个页面不太容易阅读,这一问题我们正在努力解决。我们真诚地感谢您抽出时间阅读本页面和讨论页上的内容。在决定实施方案之前,我们阅读并考虑了讨论页上的每一条评论。

开始之前我们必须说目前依旧很多问题尚未解决,在这个项目上依然有很长的路要走。我们希望您可以在这些讨论上就这些问题发表您的意见。如果您还没有非常了解的话,在继续阅读前,请先阅读谁可以继续访问IP地址这段。

我们收到了来自社群对这两项提议的反馈,但很遗憾的是对这两种提议都没有达成共识。以下评论引自讨论页:

  • “对于小维基来说,我认为基于IP的方案更好,因为两个匿名用户不太可能使用相同的IP地址;而且对于破坏者来说,修改IP显然比清除cookies困难。”
  • “基于会话的系统看起来更好,这有助于与匿名编者沟通。我是英文维基百科的管理员,我与IP用户的交集基本都是回退她们的编辑,警告她们不要继续破坏。就最近的几个案子来看,我甚至懒得给她们发警告,毕竟应该看到这些警告的人可能事实上根本看不到。有一次我在与一位提议一些变更的编者进行沟通,我发现事实上我在好几个IP地址(的讨论页上)留言;同时我也很难确定她们是不是同一个人,因此我不得不一直向她们确认(她们是不是同一位编者)。”
  • “作为德语维基百科的管理员,对这里列出的两种隐藏IP的方式(基于IP和基于会话),我显然更喜欢基于IP的方式。将浏览器切换到隐私模式或是清除cookies简直不要太简单(我一直这么做);相对的,修改IP地址至少需要花点功夫,况且我们已经有禁止使用开放代理的方针了。我同意Beland的观点,基于会话的身份验证方法可能有助于与善意匿名编者相沟通,但这种方法似乎还不够强大。”
  • “我更倾向于基于会话的方案。该方案有助于识别并与行为良好的匿名用户沟通。然而同时,我们也需要在过滤器中识别多个来自同一IP的会话。这些用户可能是好人(例如来自学校),但很大概率会是破坏者或机器人。有一个功能目前我还没看到有人提出,就是当一个匿名用户创建账户时,创建账户的操作默认应是将现有的会话ID重命名为用户选择的用户名。我们需要查看先前的匿名用户ID与新注册用户之间的关联。”
  • “即使是IP会变成加密后的形式,我也倾向于基于IP的方案,因为cookies似乎更加复杂,而且需要不断关闭与之相关的弹窗(在欧洲很常见)很烦人。我必须要说的一点就是,我很喜欢不需要cookies即可编辑维基百科这件事(除非要登陆账户)。”
  • “在现有基于IP+会话的封禁基础上,新增纯粹基于会话的封禁会是很不错的改进。能够与IPv6用户基于会话进行交流,而非基于他们不断变化的IP地址也很不错。”

总之,对于基于会话的方案的主要反对意见在于清除cookies非常容易,使得用户可以轻易改变身份。

对于基于IP的方案的主要反对意见为:

  • 对IP地址的加密方式可能被泄露,这意味着IP地址会被所有人看到
  • 这一方法并没有改进与未注册编者的沟通方式
  • 除对IP地址的封禁外,不支持基于会话的封禁

鉴于上方的描述和与技术团队就实施的可行性和带来的广泛影响进行的讨论,我们决定采用基于会话的方式,并增加了有关于解决用户删除cookies和改变身份问题的内容。如果用户频繁的修改她的用户名,我们可以采取某些手段——如查看界面中的额外信息——以关联这些用户名并确认她们的身份。我们仍在研究这方面的细节问题。这一流程将类似于目前检测傀儡的方式,只不过部分工作将自动完成。

我们仍在解决大量相关的技术问题,并会在下一次更新时提供更多的相关细节信息。这包括LTA文档、与IP用户的沟通、防滥用过滤器、第三方维基站点、小工具、用户脚本、WMF云工具、对IP查看者权限的限制等等。我们感谢您的意见,欢迎您在讨论页上提供反馈。

隐藏IP地址以及工作流变更(2021年12月9日)

9 December 2021 Update
我们考虑了两种隐藏IP地址的方式。作为跟进,我们分析了一些工作流在两种方式下的变化。

注意:在两种隐藏IP的方式中,管理员、监管员、用户查核员和具有IPViewer权限的用户若有反破坏的需要,可以在最近更改和页面历史之类的页面查看IP地址。

未注册用户的编辑体验

目前:目前在大多数维基站点上,未注册编者可以在不登入的情况下编辑页面。在编辑之前,会有一则讯息提醒他们的IP地址将被公开、永久地记录下来。

基于IP:未注册用户能和现在一样进行编辑。在编辑之前,会有一则讯息提示他们的IP地址会以加密的形式记录下来,而其真实IP则会在一段有限的时间内对管理员和巡查员可见。

基于会话:这与上面类似,区别在于编者会被告知,他们的编辑会以一个自动生成的用户名记录下来。

在交流中如何称呼未注册编者

目前:一般使用具体的IP地址来指称未注册编者;如果是持续出没的破坏者,则通常会根据其行为取一个名字。

基于 IP:巡查员和管理员不可公开提及IP地址,但可以公开提及加密的IP地址或长期破坏者的名字,或是与其他也具有相关权限的用户分享IP信息。

基于会话:巡查员和管理员不可公开提及IP地址,但可以提及自动生成的用户名,或与其他具有同等权限的用户分享IP信息。这将有助于识别特定的编者,但也会因为一个自动生成的用户名背后有多个IP地址而带来困扰——这与目前一个IP地址背后存在多个编者类似。为了缓解这种担忧,我们正在建立一个展现编者使用的所有活跃IP地址的工具。

未注册用户使用用户讨论页的体验

目前:每个IP地址有一个讨论页,未注册的编者可以在其上接收留言。当编者的IP地址发生变化时,他们会在新的IP地址的讨论页上接收新的留言。这割裂了讨论,使其他用户难以与一位未注册的编者进行长期的交流。

基于IP:在这种方案中,未注册用户的讨论页与现行的相同。未注册编者会在其加密后IP地址对应的讨论页上收到留言。一旦IP地址变化,对应的讨论页也随之变化。

基于会话:在这种方案中,未注册编者的讨论页与其浏览器cookie关联。即便IP发生变化,讨论页也不会变动。如果清空浏览器cookie,则其会话身份将丢失,并获得新的cookie及相关联的新讨论页。由于IP相较cookies变化得更为频繁,大多数用户可能会获得一个半永久的讨论页,除非他们特意拒绝如此。另一个好处是,讨论页上的留言在任何情况下都可以发送至正确的目标。

Talk page notification screenshot
讨论页通知

封禁未注册编者

目前:管理员可以直接封禁单个IP地址或一个IP段。另外,还可以使其变为自动封禁,也就是利用用户浏览器的cookie防止用户更换IP后封禁时效。该功能于几年前加入。

基于IP:与现行版本相同。IP地址默认隐藏,但是管理员和有权限的巡查员可以获取IP。

基于会话:这种方案中,我们仍可以像现在这样封禁IP地址,也可以基于cookie进行封禁。这对公共设备(例如图书馆或网咖)场景十分有用。相比之下,封禁IP或IP段可能导致不必要的误伤。我希望指出的是,这种方式对于阻止有经验的破坏者来说用处不大,他们会轻易绕过cookie封禁。

隐藏IP的实现方法(常见问题)(2021年10月)

October 2021 Update
这次的常见问题主要是有关几种可能的实现方法及它们对社群的影响。

问:在IP地址被隐藏之后,谁可以查看IP地址?

答:用户查核员、监管员和管理员选择同意不与无权限者分享信息后,可以查看完整的IP地址。

参与反破坏活动的编者,经社群审核同意后,可被授予一个用来查看IP地址的权限,以便继续反破坏工作。该权限与其他权限类似,由社群决定授予,并有最小编辑数和编辑天数限制。

所有注册超过一定时间并编辑了一定次数(具体数值待定)的用户,无需权限即可查看隐去部分信息的IP地址。亦即,隐去末尾部分八字节的IP地址。这些用户需要在参数设置里同意不与无权限用户分享信息,然后就能使用此功能。

其他用户均无法获取未注册用户的IP地址。

问:有哪些可能的技术实现选项?

答:过去几周中我们参与了多个讨论,讨论了技术上实现隐藏IP且将对编者和读者的影响降到最低的可能性。我们从不同的团队获得了反馈和见解。下面是两条主要的实现路径。

  • 基于IP的身份识别:在这种方案中,除了IP地址会变为加密的IP地址之外,其余均保持不变。这可以让现有的许多工作流保持不变,但也不提供任何新的好处。
  • 基于会话的身份识别:在这种方式中,我们基于浏览器Cookie为未注册编辑者建立身份信息。即使IP地址发生变化,Cookie也不会变动,因此会话不会随IP地址变化而结束。

问:基于IP的方案是如何运作的?

答:目前,未注册编者通过IP地址区分彼此。这种身份识别模型在我们的项目中运行了多年。熟悉IP地址的用户都知道,IP地址可能被多人使用,取决于那个IP地址动态与否。相比IPv4地址,IPv6地址更是如此。

未注册用户也会因为通勤或在不同的地理位置编辑而更换IP地址。

如果选择基于IP的方案来完成隐藏IP的任务,我们会保留现在有关IP地址的功能,并简单的把它们替换成加密后的识别符。这种方案可以保持每个IP的独特性,同时保护用户的隐私。例如,使用192.168.1.2的未注册用户可能会显示为User:ca1f46。 优势: 现有工作流和模型所受影响最小

劣势: 在这个IP地址变得更为动态、IP信息逐渐无用的世界,不能提供任何好处。

问:基于会话的方案是如何运作的?

答:这种方案是基于浏览器中的cookie来识别未注册编者。他们的编辑会被归入一个自动生成的用户名,例如User:192.168.1.2可能会被赋予用户名User:Anon3406。

在这种方案中,只要他们拥有那个cookie,会话就会一直持续,即使IP地址发生变化会话也不会中断。

优势:

  • 将用户身份与设备浏览器联系起来,提供一种更持久的与他们交流的方式。
  • 用户的身份不会随IP地址改变而改变。
  • 这种方案使未注册编者能设定某些现在只有注册用户才能设置的偏好。
  • 这种方案可向未注册编者提供将编辑历史转入永久账户的途径。

劣势:

  • 目前未註冊編輯者所代表的模型將發生重大變化
  • 未註冊編輯者的身分持續存在時長等同於瀏覽器cookie存在時間
  • 處在隱私模式的破壞者或刪除他們cookie的人將在不改變IP的情況下獲得新的身分
  • 可能需要重新考量一些社群工作流程和工具

问:基金会更倾向使用哪一种方案?

答:我们更倾向基于会话的方案,这种方案在未来会带来更多机遇。我们可以找到存在了20年的沟通问题的解决方案。用户可以删除Cookie以获得新的身份,但是其IP对持有新权限的反破坏人士仍然可见。当然,我们明白删除Cookie比更换IP简单很多,我们也了解其后果。

仅向需要的人公示IP地址的提议(2021年6月10日)

10 June 2021 Update

大家好,本项目从上次发布更新以来已经有几个月了。这期间我们与许多用户进行了对话,包括编者社群和基金会内的人。我们和资深社群成员就此项目对反破坏工作的影响进行了讨论,对于讨论中提出的各个忧虑,我们都仔细小心地加以考虑。另外还有许多人支持这项提议,认为它是改进未注册用户的隐私以及减少暴露IP带来的法律风险的一步。

我们曾经不清楚这个项目会是怎样的,当时我们的目的在于理解IP地址对于社群的意义。此后我们在对话中收到了很多关于这个问题的反馈,有许多不同的语言、不同的社群参与了讨论。我们非常感谢所有付出时间,让我们了解在他们的维基站点或跨维基环境中,反破坏工作是如何有效进行的。

关于这个计划,我们现在已经有一些较为具体提议,可以确保反破坏工作进行同时避免向无关的人披露IP地址。 请注意这只是「提议」,不是将要发生的事或者最终决定,我们只是想问问您的意见如何。——您认为哪一点比较好?哪一点不可行?有何其他方法?


我们同资深维基社群成员讨论之后,产生了一些想法;之后我们会与法律部门合作完善这些想法。概要如下:

  • 用户查核员, 监管员和管理员可以查看完整的IP地址,前提是在他们在设置中选择同意不与未授权者共享。
  • 参与反破坏活动的维基人,经社群批准后,可以获得查看IP地址的权限。权限的获得过程类似于我们项目上的管理员选举。为了保证只有真正需要本权限的维基人才可获取它,社群的批准至关重要。这些维基人应满足一定的注册时间(时间限制尚未确定)和编辑数标准(标准尚未确定)。
  • 所有满足一定注册时间和编辑数标准(具体的注册时间和编辑数标准尚未确定)的用户都可以访问IP的一部分,IP地址的尾部八个字节会被隐藏(形如10.10.10.*)——前提是他们需要在偏好设置中同意不与未获授权者分享相关信息。
  • 所有其他用户无法读取未注册贡献者的IP地址。

获取IP地址的操作将会被记录下来,以备需要时检查。这和现在记录用户查核操作的日志类似。我们希望藉此平衡用户的隐私需求和社群反破坏工作中获取信息的需求。我们希望能向有需要的人提供信息,但同时需要一个流程,使得只有真正需要的人才能获得这些信息,并且获取操作会被记录下来。

我们希望听取您对这个提议的意见。请在讨论页发表看法。

  • 您认为有哪些是可行的?
  • 您认为有哪些是不可行的?
  • 还有什么其他更好的想法吗?

葡萄牙语维基百科禁止IP编辑后的数据

Portuguese Wikipedia’s metrics following restriction

30 August 2021 Update
大家好,这里是关于葡萄牙语维基百科自禁止未注册用户编辑之后,相关统计数据的更新。我们在影响报告页面发布了详细报告。本报告包含从数据中获取的统计指标以及我们在葡萄牙语维基百科活跃编者中进行的调查。

总而言之,这份报告呈现出积极的变化。在数据收集期间,我们没有发现任何明显的负面影响。有鉴于此,我们鼓励在两个或更多项目上进行实验以观察是否会发生类似的变化。所有的项目都有自己的情况,在葡萄牙语维基百科上能成立的情形在其他项目上未必也能成立。我们想在两个项目上进行有期限的实验,禁止未注册用户的编辑。我们估计大约需要8个月事件来收集足够的数据以便观察到较为显著的变化。此后,我们会停止实验,允许未注册用户编辑,同时分析收集到的数据。一旦数据发布,社群可以自行决定他们是否继续禁止未注册用户编辑。

我们称此为禁止IP编辑实验。您可以在该页上查看时间线和详细信息。请使用该页及其讨论页就这项实验进行更多讨论。

更新1:葡萄牙语维基百科对IP编辑的限制

Update
葡萄牙语维基百科自去年起禁止未注册用户编辑。近几个月内我们团队一直在收集这一变动对维基项目的影响。我们也和多名社区成员交流此事。我们正在处理数据收集的最后一些工作,以准确呈现该维基的发展状态。相信不久之后我们会有更新。

工具

Tool development

更新2:工具开发现状
您可能已经知道,我们正在开发一些新的工具,用来减轻屏蔽IP地址带来的影响,同时对所有人来说也是更好的反破坏工具。我们的项目所能提供给社群的反破坏工具有许多不足,这不是秘密,这些工具有许多可以改进的方面。我们希望开发一种工具让进行反破坏工作的社群成员能更高效地工作。我们也希望降低参与反破坏工作的门槛。

我们此前已经谈过这些关于这些工具的一些想法,我会在下方提供近期的更新。需要注意的是,近几个月以来,由于我们团队正对安全投票进行重大修改以满足即将举行的WMF理事会选举,这些工具的开发进度有所减缓。

IP 资讯功能

IP 资讯的一个样例

IP地址相关的信息非常常用,我们正在开发一个显示这些信息的工具。巡查员、管理员和用户查核员目前依靠外部网站来获取这些内容。我们希望通过将这些信息整合到我们的网站中,以便简化查询IP信息的过程。我们最近完成了该工具原型并进行了一轮用户测试以检验我们的方法。我们发现大多数参与采访的编者认为这个工具很有用,并表示有意愿在未来继续使用。您可以阅读该项目页面上的最新消息。 我们希望就以下问题征求意见

  • 检查IP的编辑时,会寻找哪些信息?会利用哪些页面来查看这些信息?
  • 对您来说最有用的信息是什么?
  • 当您与他人分享IP相关的信息时,您觉得哪种信息可能将匿名编者置于风险中?

编者匹配功能

这个项目在之前的讨论中也被称为“附近编者”或“傀儡探测”。我们尝试给它起一个合适的名字,以便不熟知“傀儡”一词的人理解。

目前本项目处于早期阶段。维基媒体基金会研究计划中有一个项目就是关于辅助探测两个具有相似编辑特征的编者。这将会有助于将使用不同自动生成用户名的未注册编者联系起来。在我们刚开始讨论这个项目的时候,就有许多支持本项目的声音。我们也得知开发这个功能的一些风险。我们计划近期开发出一个原型并与社群分享。关于此项目,有一个十分粗糙的项目页面。我们希望可以尽快更新该页。如果您有任何关于这个项目的想法,请至项目讨论页留言。

更新1:工具开发现状
如前文所述,我们的首要目标是为反破坏战士提供更好的工具,让她们有更好的管理体验,同时努力使IP地址字串对她们的价值更少。这么做的另一个原因是—IP地址难以理解,IP地址仅对精通技术的用户很有用。与IP地址共事的学习曲线更高,这给没有技术背景的用户进入职能角色制造了壁垒。我们需要任何人都可以使用的管理工具。

第一件事是让用户查核工具更灵活、强大且易于使用。用户核查工具是检测并封禁破坏者(特别是长期的滥用者)的重要工具,但其很多年没有维护,现在因此看起来过时,而且缺乏必要功能。

我们预见到IP遮蔽生效后参加成为用户查核员的用户会增加。这更加需要更好更易用的用户核查体验。怀着这一想法,反骚扰工具团队去年一年都在改进用户查核工具—使其更有效率,更加用户友好。我们也将社区提出的许多出色功能计入工作范围。在此期间,我们持续地咨询用户查核员和巡查员们,尽我们之所能实现她们的期望。新功能将在2020年10月在所有维基媒体计划可用。

我们专注的下一个功能是IP信息。在向六个维基咨询后,我们决定了这个项目,她们帮我们锁定IP地址的使用例。IP地址提供的一些重要信息应该对巡查员可用,以高效完成工作,所以IP信息的目标是快速而简易地呈现IP地址的关键信息。IP地址提供比如位置、组织、是Tor/VPN节点的可能性、rDNS、IP地址段。IP信息快速而简易地呈现这些信息,不需要任何可能难用的外部工具,我们希望这对巡查员轻松工作很有裨益。这些信息层级足够高,展示这些不会威胁此匿名用户的隐私,同时巡查员们也能据此对IP作出质量判断。

IP信息之后,我们会投入开发找寻类似编辑者功能。我们会使用机器学习模型,由我们和用户查核员们协力构建,由过去的用户查核数据训练,用以比较用户行为,并标记两个或多个用户看起来行为类似。模型会考虑用户在何页面活跃、写作风格、编辑次数等等,以预测某两个用户有多类似。我们尽力使模型更加准确。

一旦完成,此模型可以用在许多地方。第一步我们会用它帮助用户查核员侦测傀儡,省去她们做大量手动工作的麻烦。在未来我们可以考虑如何让更多人使用此工具,以及用它侦测恶意傀儡环(malicious sockpuppeting rings)和错误信息战(disinformation campaigns)。

您可以在该工具的项目页面了解更多情况和评论

研究

IP地址隐藏影响报告
IP地址作为半可靠的部分性的身份标志是有价值的,它不能被用户自己轻易地更改。然而由于网络服务提供商及设备配置的原因,IP地址提供的信息并不总是可靠,而且需要较深的技术知识和熟练度才能有效运用IP地址信息,虽然管理员目前不需要证明他们具有这样的能力。这些技术信息也可用于支撑额外的信息(所谓的“行为信息”),并可以显著影响最终实施的管理操作。
由維基媒體基金會支持的關於IP掩蔽對我們社群造成影響的報告。

在社群方面,是否允许未注册用户编辑是一个长久以来激烈辩论的话题。到目前为止,这些讨论在允许未注册用户编辑方面存在一些问题。这类讨论通常围绕着如何制止破坏进行,而非围绕保留伪匿名编辑的权限并降低编辑门槛展开。由于未注册用户往往与破坏有关,编辑者对于他们往往存在偏见,这也在诸如ORES的工具的算法中有所体现。另外,与未注册用户的沟通中也存在较大的问题,这主要是与缺乏通知有关,而且也不能保证同一个人能够持续关注发送至该IP讨论页的消息。

关于隐藏IP地址的潜在影响,IP地址被隐藏以后,管理员的工作流程会受到显著影响,并且可能在短期内增加用户查核员的工作量。我们预计管理员控制破坏的能力会受到很大影响。不过,我们可以通过提供等同或更好的反破坏工具来降低这种影响,然而老工具过渡到新工具的则需要一定的过渡期,在此期间管理员的反破坏效率会不及以往。为了给管理员们提供合适的工具,我们必须小心地保留或提供某些当前依赖IP信息运作之功能的替代品:

  • 封禁的有效性及预估的附加封禁设置
  • 在未注册用户之间展现出相似性或固定模式的方法,例如地理相似性,某些机构(例如某些编辑是来自同一所高中或大学)
  • 标记出一组未注册用户的能力,例如在特定IP段内不断改变的IP破坏者
  • 限定位置或特定机构的操作(未必是封禁),例如确定编辑是来自开放代理或学校、图书馆一类的开放场所。

根据我们处理临时账户和识别未注册用户的方法,我们或许可以提升与未注册用户的沟通效果。如果我们隐藏IP地址,并保持未登录用户的编辑权限,则对未注册编辑、匿名破坏以及对未注册用户的偏见的相关讨论和担忧不太可能发生重大变化。

用户查核工作流程
我们在设计新的 Special:Investigate 工具的过程中,与多个计划上的用户查核员进行了交流。通过这些交流,以及实际经历过真实的案例后,我们将通用的用户查核工作流程分为五个部分:
  • 分类评估:分析案例的查核可行性及复杂性。
  • 画像:描述用户的行为模式,以便用来辨别多个账号背后的人。
  • 查核:使用用户查核工具检查IP地址和用户代理。
  • 判断:将技术信息与画像步骤中建立的行为信息进行比对,确定需要采取何种管理措施。
  • 结束:将查核结果在公开及非公开(如有需要)平台报告,并将信息适当存档以便将来使用。

我们也和信任与安全团队成员合作,了解用户查核工具在维基媒体基金会的调查以及需要该团队处理的案件中的作用。

最普遍和常见的痛点都围绕着用户核查工具不直观的信息呈现、每次需要在新标签打开每个链接,这造成了许多困惑,因为标签页的增长很快失去控制。而且,用户查核员面对的信息高度技术性,无法快速理解,很难跟上这些标签页。所有我们询问的人都表示她们使用第三方软件或者纸和笔来记录信息。

我们也对英文维基百科的傀儡调查页面做了基础的分析,获得了关于她们处理的有多少件、多少被拒绝、一个报告通常包含多少傀儡的统计数据。

巡查员对IP地址的使用
之前关于对各维基计划上巡查工作的研究主要集中于巡查员的工作量和工作流。最近,维基百科上的巡查研究重点关注巡查员的工作流和识别对反破坏工作的潜在威胁。早前的研究,例如关于新页面巡查的调查巡查员工作量研究,主要研究的是英文维基百科,并且只研究巡查员的工作量,更具体而言是机器人巡查工具对巡查员工作量的影响。

我们的研究数据来自以下五个维基:

  • 日语维基百科
  • 荷兰语维基百科
  • 德语维基百科
  • 中文维基百科
  • 英语维基百科

选择这些维基是由于其对IP编辑的已知态度、每月IP编辑占比和其他特定或不寻常的IP编辑者可能遇到的情况(比如使用修订巡查功能或者对代理的广泛使用)。参与者在互动客栈(或者其他类似场所)召集。我们也尽可能在维基大使馆页面张贴了。然而,尽管我们有对采访本身的翻译支持,我们并没有给发布出的的消息翻译,这可能是低回应率的原因。所有采访通过Zoom进行,笔记员同时参加。

与之前的研究相同,我们没有发现对IP信息系统地或统一地使用。这些信息仅仅在有了一定怀疑之后才会被查询。大多数检查用户可疑活动都是从维基上的公开信息开始的,比如本地编辑、全域编辑或者查询过往封禁记录。

对于IP地址的信息而言,精确性和准确性是相对不重要的。关于一个IP地址在三个不同的IP信息网站上查到三个不同的地理位置的现象,一位与我们面谈过的用户说,地理位置的精确程度并不重要,而一致性则较为重要。换言之,只要一个IP地址一直显示为来自同一个国家,那么该信息正确与否,精确度如何并不重要。这和我们所理解的IP地址信息的使用方式相符合,也就是IP地址作为设备或个人的半唯一信息,普通人是并不容易以此欺骗他人。与用户相关的信息的准确性和精确性并不重要,而该信息与用户关联这件事本身,以及其难以更改的性质才更为重要。

我们的发现指出了关于IP信息工具的几点关键设计方面:

  • 提供关于原始数据的简明总结
  • 覆盖IP信息的关键方面
    • 地理信息(如有可能,可精确到城市或区的级别)
    • 注册机构
    • 连接类型(高流量,例如数据中心或移动网络,还是低流量,例如家用宽带)
    • 是否属于网络代理

从道义上讲,解释这些结论是如何得出的,以及获取与IP地址相关的信息本身固有的不准确性非常重要。虽然这对于巡查员来说并不是一个主要的关注点,但如果我们希望创造一个为管理操作提供理由的工具,我们应该小心地明确工具的局限性。

維基媒體基金會法務部門聲明

Updates

2021年7月
首先,我们要感谢每一名参与讨论的成员。我们感谢对详细情况的关注、小心的考虑、为本项目付出的时间、提出的问题和担心,以及对IP遮蔽的建议。今天,我们想更多地讨论这个项目以及启发此工作的风险、回答开始至今提出的一些问题,以及简单讨论接下来的步骤。

背景

为了解释我们是如何到达这里的,我们想简要地回顾一下。维基百科和它的兄弟项目是为了持久而建立的。分享所有知识的总和并不是一年、十年或我们任何一个人的一生就能完成的事情。但是,虽然社区和基金会的使命是为长期创建的,但实现这一使命的技术和管理结构在它们被设计的时候是非常重要的。这些特点中的许多都经受住了考验,并且随着它们运作环境的改变而茁壮成长。在过去的20年里,很多事情都发生了变化:社会使用互联网的方式和与互联网的关系,影响在线平台运行的法规和政策,以及用户对网站如何处理他们数据的期望。

特别地,在过去的五年中,用户和政府都对在线隐私和对个人数据的收集、存储、处理和分享格外关心。很大程度上,此计划走在互联网其他部分之前:隐私和匿名性是保证用户分享和使用免费知识的关键。基金会长久以来几乎不收集用户的信息,注册时不要求电子邮件地址,将IP地址作为个人数据看待(比如,我们2014-2018版本的隐私政策)。最近,关于隐私的话题已经被提出,这启发了新的法律和最佳实践:欧盟2018年5月生效的通用数据保护条例 发出了关于个人数据和个人应当有何种权利去理解和控制个人数据的使用的全球对话的初声。在最近几年,全世界的数据保护法律在对话、法律草案、成文法律间变换,比如在巴西、印度、日本或者美国。

法律問題

基金会的隐私团队正持续关注此对话,评估我们的实践,以及为未来制定计划。我们的工作就是审视当下的维基计划,并评估如何帮助这些计划在未来的法律和社会框架内运作。几天前,作为这项工作的一部分,我们分析认为目前公开未注册贡献者IP地址的系统需要有所修改。我们认为,这种公开信息的方式对用户而言有其风险。即便已经有提示信息,告诉这些人维基计划中编辑署名是如何实现的,但许多人并不希望自己的信息被公开。隐私团队经常收到报告称编辑过页面的用户对于自己的IP地址出现于历史记录页面感到惊讶。在有些人所处的地方,该项目十分有争议,又或者他们担心暴露IP地址会让政府找到并针对他们。我们所预见的法律框架正在运行中,并且公开这些IP地址对计划和用户造成实质性的风险。

我们听到你们中的一些人说,你们想更深入地了解激发这个项目的法律风险是什么,基金会目前是否面临法律诉讼,我们认为如果我们不屏蔽IP地址可能会导致什么后果,等等(其中许多问题已经收集在本节末尾的扩展列表中)。我们很抱歉不能提供更多的信息,因为我们需要对风险的一些细节进行保密。"特权"意味着律师必须对某些东西进行保密,因为披露这些东西可能会对其客户造成伤害。这就是为什么特权很少被放弃;在多个国家的法律体系中,这是一个正式的概念,它的存在有非常实际的原因--保护客户。在这里,放弃特权和披露这些信息可能会损害项目和基金会。一般来说,法律事务团队努力做到尽可能的透明;然而,我们法律策略的一个重要部分是逐案处理每个问题。如果我们公开讨论关于可能提出的具体论点的特权信息,或我们认为最有可能导致诉讼的风险,这可能会创造一个路线图给那些人据此寻求损害维基媒体项目和社区。

尽管如此,我们从多个角度研究了这一风险,考虑到世界各国的法律和政策情况,以及IP地址被公布的用户的担忧和监督要求,我们的结论是,非登录用户的IP地址不应再公开可见,主要是因为它们可以与单个用户或设备相关联,因此可以用来识别和定位非登录用户,并将他们与他们在Wiki上的活动联系起来。

尽管有这些顾虑,我们也明白,IP地址在保护项目方面发挥着重要作用,使用户能够反破坏和反滥用。我们明白,这是一个我们需要全面解决的问题。这就是为什么一个来自维基媒体基金会不同部门的工作小组被召集起来研究这个问题并向高层领导提出建议。当决定进行IP屏蔽时,我们都明白,我们需要和社区一起做这件事——只有考虑到你们的意见和想法,我们才能够成功地完成这一过渡。

我想要强调,即使IP地址已被遮蔽以及新的工具已为您的反破坏工作就位的情况下,这一项目也不会终止。而是,它将成为对话的新过程——我们想要您的反馈,关于什么部分工作、什么部分不如预期,这样以来新的工具才可以被改善,并适配您的需要。

提问

过去的几个月,大家提出了许多问题,而我们经常无法提供令人满意的细节回答,特别是法律方面的。

问:你们具体在担心什么法律风险?

答:我们无法提供正在评估的特定法律风险。我们理解询问为什么后得到“这是优先事项”的答复让人沮丧。很抱歉,我们无法提供更多细节,但是如前文所述,我们需要我们需要保证风险评估和我们看到的地平线上的法律风险,是机密的,因为提供这些细节可以是某人了解如何损害维基媒体计划、社区和基金会。

对一些问题,我们有固定的回答。

问:此项目在正在进行吗?

答:是的,我们正继续找寻最佳方案,能同时隐藏未登录用户IP地址和维持社区保护维基媒体项目的能力,并会执行此方案。

问:能否在不同地区有差别地执行此更改?

答:不可能。我们以同样标准保护所有用户的隐私。此更改会在所有维基媒体计划执行。

问:如果未登录用户的其他信息公开了(比如位置或者互联网服务提供商)那么公开IP本身也没问题,对吗?

答:不是这样的。在新系统中,我们公开的信息是大体的,不会链接到个人或者具体设备,提供城市级别精确的信息,或者仅能提供此编辑是从某学校的某人。这确实是该用户的有关信息,但是比IP地址更不精确和更不私人。所以尽管我们为了避免滥用公开了一些信息,我们也更好地保护了特定贡献者的隐私。

问:我们只要告诉她,你的IP会公开,这不足够吗?

答:不。如上所述,许多人看到IP地址被公开感到困惑。而且,即使某人知晓此信息,基金会也有法律责任合适地处理其个人数据。我们认定不应当公开未登录用户的IP地址,因为那不是当下关于隐私的最佳实践,因为其产生的风险,包括对用户自己的风险。

问:IP遮蔽如何影响CC-BY-SA的署名?

答:IP遮蔽不会影响维基百科上CC协议的署名。维基媒体计划的3.0版本的协议已经陈述了署名应当包括“原始作者的名字(或笔名)”(见许可证的4c部分),而使用IP遮蔽的形式而不是IP地址正是“笔名”。IP地址本来就是纷繁复杂的,并且在不同时间分配给不同的人,所以使用IP地址作为未注册编辑者的笔名和使用IP遮蔽的形式都是满足许可协议的“笔名”要求的。同时,我们的使用条款第7章指明了要贡献维基百科,则编辑者同意条目链接(包括条目历史)的署名是足够的。

但有时,我们不知道怎么回答一些问题,因为这需要您和我们共同努力来找到答案。

问:想获得这个新的用户权限的人需要满足什么条件?

答:首先有年龄限制,我们还没决定,但应该是至少16岁。另外她们应当是活跃,信誉良好的社区成员。我们想听您的意见。

我看到您的团队正在准备为可以看到遮蔽后的IP地址的用户的新权限。那么,法务团队认为对于IP地址和特定遮蔽用户名的关系是否属于非公开信息保密协议所定义的非公开个人信息?获得这个新权限的用户是否需要签署访问非公开个人数据政策或者该文件的其他版本?1 如果是,那么获得该权限的我作为用户查核员是否可以讨论已注册账号和她们的IP地址,就像我和其他签名者现在正在做的那样?2 如果不是,能否有人解释为什么我们要这么麻烦地为这些不被认为是非公开的信息做这么多?3 无论哪种情况,用户查核员是否被允许披露已注册账号和未注册的遮蔽用户名之间的关系?

答:好问题。我们的回答是“是的“。首先,没错,任何获得该权限的人都要在某种方式上明确知晓他们是为了反破坏和滥用行为才获得这一信息的。我们正在工作在这一”知晓“应该是什么形式。获得权限的过程要比签署访问非公开个人数据政策更简单一些。

至于这将如何影响CU,现在,访问非公开个人数据政策允许访问非公开个人数据的用户与其他也能查看该数据的用户分享该数据。因此,一个CU可以与其他CU分享数据,以开展他们的工作。在这里,我们保持了登录用户和登出用户之间的区别,即,一个CU将不能与拥有这项新权利的用户分享登录用户的IP地址,因为拥有新权限的用户将没有访问这些信息的权限。

假设CU也选择查看非登录用户的IP地址,根据目前的计划,该CU将能够与其他也选择加入的CU分享IP地址信息,证明登录用户与被屏蔽的非登录用户之间的联系。她们还可以向拥有新权利的用户表明,他们检测到了登录用户和非登录用户之间的连接。然而,CU不能直接与只有新权限的非CU用户分享登录用户的IP地址。

如果这听起来不可行,请让我们知晓。如前文所述,我们正在了解情况,并想要从您获得反馈,确认它是否工作。

下一步

在接下来的几个月里,我们将为我们正在建设或计划建设的工具推出更详细的计划和原型。我们会希望得到你对这些有助于保护项目的新工具的反馈。我们将继续尝试在可能的时候回答你的问题,并在我们应该共同得出答案的时候寻求你的想法。有了你的反馈,我们可以制定让我们更好地保护未登录的编辑的个人数据的计划,同时不牺牲对维基媒体用户或网站的保护。我们感谢你的想法、你的问题以及你对这个项目的参与。

2020年10月
該頁面所書之請求,為解答相關疑問,維基媒體基金會法務部特此發表此聲明。鑑於可見度問題,此處亦張貼以期閱覽。

諸位安,此為法務團隊的訊息。首先,我們想感謝諸位令人深思的評論。作為律師,我們有時不能公開發表我們所有所思所想的細節,望諸位諒解。但我們已閱讀諸位的評論、瞭解各位的觀點。這些評論與觀點也有助於我們向基金會提供法律意見。

在部份情況下,由於法律專業操守的規則和法律專業保密權規限律師如何處理資訊,我們需要對我們向我們工作細節或者基金會提供的法律意見保密。我們知道在一些事例中,對於無法向大眾傳達我們的所思所想、會做之事以及不會做之事的這件事情會令大家感到失望,此起事件亦不例外。儘管我們不能總是披露這些細節,我們可以肯定我們的總體目標是為了在確保基金會遵守適用法律之時,同時保護維基項目和維基社群。

在法務團隊內部,私隱團隊專注於保證基金會所持的網站以及我們的數據收集和處理實踐遵守相關法律、我們自己的私隱相關政策和私隱權價值觀。我們相信對於在全世界各地創作、分享和享受自由知識,貢獻者們和讀者們的個人私隱權是不可或缺的。作為此項工作的一部分,我們首先會查閱適用法律,再了解用戶疑問、疑慮、請求;公共政策問題;組織政策;行業內的最佳實踐,以助於指導基金會的私隱相關工作。在這種情況下,在針對這些因素仔細考慮後,我們認為應努力屏蔽未登錄編輯的IP,使其不會暴露給所有的維基媒體項目訪問者。由於上述有關法律專業操守和法律專業特權的緣故,我們無法詳細說明我們審議的確切細節或者致使作出該決定背後的內部討論與分析的具體內容。

我们要强调的是,我们如何做的具体细节是灵活的;我们正在寻找符合支持社区需求的最佳方式来实现这一目标。桌面上有几个潜在的选择,我们希望确保与你们合作找到实施的方法。我们意识到,你们可能有更多的问题,我们想事先说明,在这次对话中,我们可能无法回答那些涉及法律方面的问题。感谢每一位花时间考虑这项工作并提供意见、关切和想法的人。

––
Best regards,
Anti-Harassment Tools Team

Please use the talk page for discussions on the matter. For any issues concerning this release, please don't hesitate to contact Niharika Kohli, Product Manager – niharika(_AT_)wikimedia.org and cc Sandister Tei, Community Relations Specialist – stei(_AT_)wikimedia.org or leave a message on the talk page.

For more information or documentation on IP editing, masking and an overview of what has been done so far including community discussions, please see the links below.