IP編輯：增強隱私和解決濫用的措施

大家好，这里是关于葡萄牙语维基百科自禁止未注册用户编辑之后，相关统计数据的更新。我们在影响报告页面发布了详细报告。本报告包含从数据中获取的统计指标以及我们在葡萄牙语维基百科活跃编者中进行的调查。

总而言之，这份报告呈现出积极的变化。在数据收集期间，我们没有发现任何明显的负面影响。有鉴于此，我们鼓励在两个或更多项目上进行实验以观察是否会发生类似的变化。所有的项目都有自己的情况，在葡萄牙语维基百科上能成立的情形在其他项目上未必也能成立。我们想在两个项目上进行有期限的实验，禁止未注册用户的编辑。我们估计大约需要8个月事件来收集足够的数据以便观察到较为显著的变化。此后，我们会停止实验，允许未注册用户编辑，同时分析收集到的数据。一旦数据发布，社群可以自行决定他们是否继续禁止未注册用户编辑。

我们称此为禁止IP编辑实验。您可以在该页上查看时间线和详细信息。请使用该页及其讨论页就这项实验进行更多讨论。

葡萄牙语维基百科自去年起禁止未注册用户编辑。近几个月内我们团队一直在收集这一变动对维基项目的影响。我们也和多名社区成员交流此事。我们正在处理数据收集的最后一些工作，以准确呈现该维基的发展状态。相信不久之后我们会有更新。

您可能已经知道，我们正在开发一些新的工具，用来减轻屏蔽IP地址带来的影响，同时对所有人来说也是更好的反破坏工具。我们的项目所能提供给社群的反破坏工具有许多不足，这不是秘密，这些工具有许多可以改进的方面。我们希望开发一种工具让进行反破坏工作的社群成员能更高效地工作。我们也希望降低参与反破坏工作的门槛。

我们此前已经谈过这些关于这些工具的一些想法，我会在下方提供近期的更新。需要注意的是，近几个月以来，由于我们团队正对安全投票进行重大修改以满足即将举行的WMF理事会选举，这些工具的开发进度有所减缓。

IP 资讯功能

IP地址相关的信息非常常用，我们正在开发一个显示这些信息的工具。巡查员、管理员和用户查核员目前依靠外部网站来获取这些内容。我们希望通过将这些信息整合到我们的网站中，以便简化查询IP信息的过程。我们最近完成了该工具原型并进行了一轮用户测试以检验我们的方法。我们发现大多数参与采访的编者认为这个工具很有用，并表示有意愿在未来继续使用。您可以阅读该项目页面上的最新消息。 我们希望就以下问题征求意见：

• 检查IP的编辑时，会寻找哪些信息？会利用哪些页面来查看这些信息？
• 对您来说最有用的信息是什么？
• 当您与他人分享IP相关的信息时，您觉得哪种信息可能将匿名编者置于风险中？

编者匹配功能

这个项目在之前的讨论中也被称为“附近编者”或“傀儡探测”。我们尝试给它起一个合适的名字，以便不熟知“傀儡”一词的人理解。

目前本项目处于早期阶段。维基媒体基金会研究计划中有一个项目就是关于辅助探测两个具有相似编辑特征的编者。这将会有助于将使用不同自动生成用户名的未注册编者联系起来。在我们刚开始讨论这个项目的时候，就有许多支持本项目的声音。我们也得知开发这个功能的一些风险。我们计划近期开发出一个原型并与社群分享。关于此项目，有一个十分粗糙的项目页面。我们希望可以尽快更新该页。如果您有任何关于这个项目的想法，请至项目讨论页留言。

如前文所述，我们的首要目标是为反破坏战士提供更好的工具，让她们有更好的管理体验，同时努力使IP地址字串对她们的价值更少。这么做的另一个原因是—IP地址难以理解，IP地址仅对精通技术的用户很有用。与IP地址共事的学习曲线更高，这给没有技术背景的用户进入职能角色制造了壁垒。我们需要任何人都可以使用的管理工具。

第一件事是让用户查核工具更灵活、强大且易于使用。用户核查工具是检测并封禁破坏者（特别是长期的滥用者）的重要工具，但其很多年没有维护，现在因此看起来过时，而且缺乏必要功能。

我们预见到IP遮蔽生效后参加成为用户查核员的用户会增加。这更加需要更好更易用的用户核查体验。怀着这一想法，反骚扰工具团队去年一年都在改进用户查核工具—使其更有效率，更加用户友好。我们也将社区提出的许多出色功能计入工作范围。在此期间，我们持续地咨询用户查核员和巡查员们，尽我们之所能实现她们的期望。新功能将在2020年10月在所有维基媒体计划可用。

我们专注的下一个功能是IP信息。在向六个维基咨询后，我们决定了这个项目，她们帮我们锁定IP地址的使用例。IP地址提供的一些重要信息应该对巡查员可用，以高效完成工作，所以IP信息的目标是快速而简易地呈现IP地址的关键信息。IP地址提供比如位置、组织、是Tor/VPN节点的可能性、rDNS、IP地址段。IP信息快速而简易地呈现这些信息，不需要任何可能难用的外部工具，我们希望这对巡查员轻松工作很有裨益。这些信息层级足够高，展示这些不会威胁此匿名用户的隐私，同时巡查员们也能据此对IP作出质量判断。

IP信息之后，我们会投入开发找寻类似编辑者功能。我们会使用机器学习模型，由我们和用户查核员们协力构建，由过去的用户查核数据训练，用以比较用户行为，并标记两个或多个用户看起来行为类似。模型会考虑用户在何页面活跃、写作风格、编辑次数等等，以预测某两个用户有多类似。我们尽力使模型更加准确。

一旦完成，此模型可以用在许多地方。第一步我们会用它帮助用户查核员侦测傀儡，省去她们做大量手动工作的麻烦。在未来我们可以考虑如何让更多人使用此工具，以及用它侦测恶意傀儡环（malicious sockpuppeting rings）和错误信息战（disinformation campaigns）。

您可以在该工具的项目页面了解更多情况和评论。

IP地址作为半可靠的部分性的身份标志是有价值的，它不能被用户自己轻易地更改。然而由于网络服务提供商及设备配置的原因，IP地址提供的信息并不总是可靠，而且需要较深的技术知识和熟练度才能有效运用IP地址信息，虽然管理员目前不需要证明他们具有这样的能力。这些技术信息也可用于支撑额外的信息（所谓的“行为信息”），并可以显著影响最终实施的管理操作。

在社群方面，是否允许未注册用户编辑是一个长久以来激烈辩论的话题。到目前为止，这些讨论在允许未注册用户编辑方面存在一些问题。这类讨论通常围绕着如何制止破坏进行，而非围绕保留伪匿名编辑的权限并降低编辑门槛展开。由于未注册用户往往与破坏有关，编辑者对于他们往往存在偏见，这也在诸如ORES的工具的算法中有所体现。另外，与未注册用户的沟通中也存在较大的问题，这主要是与缺乏通知有关，而且也不能保证同一个人能够持续关注发送至该IP讨论页的消息。

关于隐藏IP地址的潜在影响，IP地址被隐藏以后，管理员的工作流程会受到显著影响，并且可能在短期内增加用户查核员的工作量。我们预计管理员控制破坏的能力会受到很大影响。不过，我们可以通过提供等同或更好的反破坏工具来降低这种影响，然而老工具过渡到新工具的则需要一定的过渡期，在此期间管理员的反破坏效率会不及以往。为了给管理员们提供合适的工具，我们必须小心地保留或提供某些当前依赖IP信息运作之功能的替代品：

• 封禁的有效性及预估的附加封禁设置
• 在未注册用户之间展现出相似性或固定模式的方法，例如地理相似性，某些机构（例如某些编辑是来自同一所高中或大学）
• 标记出一组未注册用户的能力，例如在特定IP段内不断改变的IP破坏者
• 限定位置或特定机构的操作（未必是封禁），例如确定编辑是来自开放代理或学校、图书馆一类的开放场所。

根据我们处理临时账户和识别未注册用户的方法，我们或许可以提升与未注册用户的沟通效果。如果我们隐藏IP地址，并保持未登录用户的编辑权限，则对未注册编辑、匿名破坏以及对未注册用户的偏见的相关讨论和担忧不太可能发生重大变化。

我们在设计新的 Special:Investigate 工具的过程中，与多个计划上的用户查核员进行了交流。通过这些交流，以及实际经历过真实的案例后，我们将通用的用户查核工作流程分为五个部分：

• 分类评估：分析案例的查核可行性及复杂性。
• 画像：描述用户的行为模式，以便用来辨别多个账号背后的人。
• 查核：使用用户查核工具检查IP地址和用户代理。
• 判断：将技术信息与画像步骤中建立的行为信息进行比对，确定需要采取何种管理措施。
• 结束：将查核结果在公开及非公开（如有需要）平台报告，并将信息适当存档以便将来使用。

我们也和信任与安全团队成员合作，了解用户查核工具在维基媒体基金会的调查以及需要该团队处理的案件中的作用。

最普遍和常见的痛点都围绕着用户核查工具不直观的信息呈现、每次需要在新标签打开每个链接，这造成了许多困惑，因为标签页的增长很快失去控制。而且，用户查核员面对的信息高度技术性，无法快速理解，很难跟上这些标签页。所有我们询问的人都表示她们使用第三方软件或者纸和笔来记录信息。

我们也对英文维基百科的傀儡调查页面做了基础的分析，获得了关于她们处理的有多少件、多少被拒绝、一个报告通常包含多少傀儡的统计数据。

之前关于对各维基计划上巡查工作的研究主要集中于巡查员的工作量和工作流。最近，维基百科上的巡查研究重点关注巡查员的工作流和识别对反破坏工作的潜在威胁。早前的研究，例如关于新页面巡查的调查和巡查员工作量研究，主要研究的是英文维基百科，并且只研究巡查员的工作量，更具体而言是机器人巡查工具对巡查员工作量的影响。

我们的研究数据来自以下五个维基：

• 日语维基百科
• 荷兰语维基百科
• 德语维基百科
• 中文维基百科
• 英语维基百科

选择这些维基是由于其对IP编辑的已知态度、每月IP编辑占比和其他特定或不寻常的IP编辑者可能遇到的情况（比如使用修订巡查功能或者对代理的广泛使用）。参与者在互动客栈（或者其他类似场所）召集。我们也尽可能在维基大使馆页面张贴了。然而，尽管我们有对采访本身的翻译支持，我们并没有给发布出的的消息翻译，这可能是低回应率的原因。所有采访通过Zoom进行，笔记员同时参加。

与之前的研究相同，我们没有发现对IP信息系统地或统一地使用。这些信息仅仅在有了一定怀疑之后才会被查询。大多数检查用户可疑活动都是从维基上的公开信息开始的，比如本地编辑、全域编辑或者查询过往封禁记录。

对于IP地址的信息而言，精确性和准确性是相对不重要的。关于一个IP地址在三个不同的IP信息网站上查到三个不同的地理位置的现象，一位与我们面谈过的用户说，地理位置的精确程度并不重要，而一致性则较为重要。换言之，只要一个IP地址一直显示为来自同一个国家，那么该信息正确与否，精确度如何并不重要。这和我们所理解的IP地址信息的使用方式相符合，也就是IP地址作为设备或个人的半唯一信息，普通人是并不容易以此欺骗他人。与用户相关的信息的准确性和精确性并不重要，而该信息与用户关联这件事本身，以及其难以更改的性质才更为重要。

我们的发现指出了关于IP信息工具的几点关键设计方面：

• 提供关于原始数据的简明总结
• 覆盖IP信息的关键方面
  • 地理信息（如有可能，可精确到城市或区的级别）
  • 注册机构
  • 连接类型（高流量，例如数据中心或移动网络，还是低流量，例如家用宽带）
  • 是否属于网络代理

从道义上讲，解释这些结论是如何得出的，以及获取与IP地址相关的信息本身固有的不准确性非常重要。虽然这对于巡查员来说并不是一个主要的关注点，但如果我们希望创造一个为管理操作提供理由的工具，我们应该小心地明确工具的局限性。

首先，我们要感谢每一名参与讨论的成员。我们感谢对详细情况的关注、小心的考虑、为本项目付出的时间、提出的问题和担心，以及对IP遮蔽的建议。今天，我们想更多地讨论这个项目以及启发此工作的风险、回答开始至今提出的一些问题，以及简单讨论接下来的步骤。

背景

为了解释我们是如何到达这里的，我们想简要地回顾一下。维基百科和它的兄弟项目是为了持久而建立的。分享所有知识的总和并不是一年、十年或我们任何一个人的一生就能完成的事情。但是，虽然社区和基金会的使命是为长期创建的，但实现这一使命的技术和管理结构在它们被设计的时候是非常重要的。这些特点中的许多都经受住了考验，并且随着它们运作环境的改变而茁壮成长。在过去的20年里，很多事情都发生了变化：社会使用互联网的方式和与互联网的关系，影响在线平台运行的法规和政策，以及用户对网站如何处理他们数据的期望。

特别地，在过去的五年中，用户和政府都对在线隐私和对个人数据的收集、存储、处理和分享格外关心。很大程度上，此计划走在互联网其他部分之前：隐私和匿名性是保证用户分享和使用免费知识的关键。基金会长久以来几乎不收集用户的信息，注册时不要求电子邮件地址，将IP地址作为个人数据看待（比如，我们2014-2018版本的隐私政策）。最近，关于隐私的话题已经被提出，这启发了新的法律和最佳实践：欧盟2018年5月生效的通用数据保护条例 发出了关于个人数据和个人应当有何种权利去理解和控制个人数据的使用的全球对话的初声。在最近几年，全世界的数据保护法律在对话、法律草案、成文法律间变换，比如在巴西、印度、日本或者美国。

法律問題

基金会的隐私团队正持续关注此对话，评估我们的实践，以及为未来制定计划。我们的工作就是审视当下的维基计划，并评估如何帮助这些计划在未来的法律和社会框架内运作。几天前，作为这项工作的一部分，我们分析认为目前公开未注册贡献者IP地址的系统需要有所修改。我们认为，这种公开信息的方式对用户而言有其风险。即便已经有提示信息，告诉这些人维基计划中编辑署名是如何实现的，但许多人并不希望自己的信息被公开。隐私团队经常收到报告称编辑过页面的用户对于自己的IP地址出现于历史记录页面感到惊讶。在有些人所处的地方，该项目十分有争议，又或者他们担心暴露IP地址会让政府找到并针对他们。我们所预见的法律框架正在运行中，并且公开这些IP地址对计划和用户造成实质性的风险。

我们听到你们中的一些人说，你们想更深入地了解激发这个项目的法律风险是什么，基金会目前是否面临法律诉讼，我们认为如果我们不屏蔽IP地址可能会导致什么后果，等等（其中许多问题已经收集在本节末尾的扩展列表中）。我们很抱歉不能提供更多的信息，因为我们需要对风险的一些细节进行保密。"特权"意味着律师必须对某些东西进行保密，因为披露这些东西可能会对其客户造成伤害。这就是为什么特权很少被放弃；在多个国家的法律体系中，这是一个正式的概念，它的存在有非常实际的原因--保护客户。在这里，放弃特权和披露这些信息可能会损害项目和基金会。一般来说，法律事务团队努力做到尽可能的透明；然而，我们法律策略的一个重要部分是逐案处理每个问题。如果我们公开讨论关于可能提出的具体论点的特权信息，或我们认为最有可能导致诉讼的风险，这可能会创造一个路线图给那些人据此寻求损害维基媒体项目和社区。

尽管如此，我们从多个角度研究了这一风险，考虑到世界各国的法律和政策情况，以及IP地址被公布的用户的担忧和监督要求，我们的结论是，非登录用户的IP地址不应再公开可见，主要是因为它们可以与单个用户或设备相关联，因此可以用来识别和定位非登录用户，并将他们与他们在Wiki上的活动联系起来。

尽管有这些顾虑，我们也明白，IP地址在保护项目方面发挥着重要作用，使用户能够反破坏和反滥用。我们明白，这是一个我们需要全面解决的问题。这就是为什么一个来自维基媒体基金会不同部门的工作小组被召集起来研究这个问题并向高层领导提出建议。当决定进行IP屏蔽时，我们都明白，我们需要和社区一起做这件事——只有考虑到你们的意见和想法，我们才能够成功地完成这一过渡。

我想要强调，即使IP地址已被遮蔽以及新的工具已为您的反破坏工作就位的情况下，这一项目也不会终止。而是，它将成为对话的新过程——我们想要您的反馈，关于什么部分工作、什么部分不如预期，这样以来新的工具才可以被改善，并适配您的需要。

提问

过去的几个月，大家提出了许多问题，而我们经常无法提供令人满意的细节回答，特别是法律方面的。

问：你们具体在担心什么法律风险？

答：我们无法提供正在评估的特定法律风险。我们理解询问为什么后得到“这是优先事项”的答复让人沮丧。很抱歉，我们无法提供更多细节，但是如前文所述，我们需要我们需要保证风险评估和我们看到的地平线上的法律风险，是机密的，因为提供这些细节可以是某人了解如何损害维基媒体计划、社区和基金会。

对一些问题，我们有固定的回答。

问：此项目在正在进行吗？

答：是的，我们正继续找寻最佳方案，能同时隐藏未登录用户IP地址和维持社区保护维基媒体项目的能力，并会执行此方案。

问：能否在不同地区有差别地执行此更改？

答：不可能。我们以同样标准保护所有用户的隐私。此更改会在所有维基媒体计划执行。

问：如果未登录用户的其他信息公开了（比如位置或者互联网服务提供商）那么公开IP本身也没问题，对吗？

答：不是这样的。在新系统中，我们公开的信息是大体的，不会链接到个人或者具体设备，提供城市级别精确的信息，或者仅能提供此编辑是从某学校的某人。这确实是该用户的有关信息，但是比IP地址更不精确和更不私人。所以尽管我们为了避免滥用公开了一些信息，我们也更好地保护了特定贡献者的隐私。

问：我们只要告诉她，你的IP会公开，这不足够吗？

答：不。如上所述，许多人看到IP地址被公开感到困惑。而且，即使某人知晓此信息，基金会也有法律责任合适地处理其个人数据。我们认定不应当公开未登录用户的IP地址，因为那不是当下关于隐私的最佳实践，因为其产生的风险，包括对用户自己的风险。

问：IP遮蔽如何影响CC-BY-SA的署名？

答：IP遮蔽不会影响维基百科上CC协议的署名。维基媒体计划的3.0版本的协议已经陈述了署名应当包括“原始作者的名字（或笔名）”（见许可证的4c部分），而使用IP遮蔽的形式而不是IP地址正是“笔名”。IP地址本来就是纷繁复杂的，并且在不同时间分配给不同的人，所以使用IP地址作为未注册编辑者的笔名和使用IP遮蔽的形式都是满足许可协议的“笔名”要求的。同时，我们的使用条款第7章指明了要贡献维基百科，则编辑者同意条目链接（包括条目历史）的署名是足够的。

但有时，我们不知道怎么回答一些问题，因为这需要您和我们共同努力来找到答案。

问：想获得这个新的用户权限的人需要满足什么条件？

答：首先有年龄限制，我们还没决定，但应该是至少16岁。另外她们应当是活跃，信誉良好的社区成员。我们想听您的意见。

：我看到您的团队正在准备为可以看到遮蔽后的IP地址的用户的新权限。那么，法务团队认为对于IP地址和特定遮蔽用户名的关系是否属于非公开信息保密协议所定义的非公开个人信息？获得这个新权限的用户是否需要签署访问非公开个人数据政策或者该文件的其他版本？ ：1 如果是，那么获得该权限的我作为用户查核员是否可以讨论已注册账号和她们的IP地址，就像我和其他签名者现在正在做的那样？ ：2 如果不是，能否有人解释为什么我们要这么麻烦地为这些不被认为是非公开的信息做这么多？ ：3 无论哪种情况，用户查核员是否被允许披露已注册账号和未注册的遮蔽用户名之间的关系？

答：好问题。我们的回答是“是的“。首先，没错，任何获得该权限的人都要在某种方式上明确知晓他们是为了反破坏和滥用行为才获得这一信息的。我们正在工作在这一”知晓“应该是什么形式。获得权限的过程要比签署访问非公开个人数据政策更简单一些。

至于这将如何影响CU，现在，访问非公开个人数据政策允许访问非公开个人数据的用户与其他也能查看该数据的用户分享该数据。因此，一个CU可以与其他CU分享数据，以开展他们的工作。在这里，我们保持了登录用户和登出用户之间的区别，即，一个CU将不能与拥有这项新权利的用户分享登录用户的IP地址，因为拥有新权限的用户将没有访问这些信息的权限。

假设CU也选择查看非登录用户的IP地址，根据目前的计划，该CU将能够与其他也选择加入的CU分享IP地址信息，证明登录用户与被屏蔽的非登录用户之间的联系。她们还可以向拥有新权利的用户表明，他们检测到了登录用户和非登录用户之间的连接。然而，CU不能直接与只有新权限的非CU用户分享登录用户的IP地址。

如果这听起来不可行，请让我们知晓。如前文所述，我们正在了解情况，并想要从您获得反馈，确认它是否工作。

下一步

在接下来的几个月里，我们将为我们正在建设或计划建设的工具推出更详细的计划和原型。我们会希望得到你对这些有助于保护项目的新工具的反馈。我们将继续尝试在可能的时候回答你的问题，并在我们应该共同得出答案的时候寻求你的想法。有了你的反馈，我们可以制定让我们更好地保护未登录的编辑的个人数据的计划，同时不牺牲对维基媒体用户或网站的保护。我们感谢你的想法、你的问题以及你对这个项目的参与。

應該頁面所書之請求，為解答相關疑問，維基媒體基金會法務部特此發表此聲明。鑑於可見度問題，此處亦張貼以期閱覽。

諸位安，此為法務團隊的訊息。首先，我們想感謝諸位令人深思的評論。作為律師，我們有時不能公開發表我們所有所思所想的細節，望諸位諒解。但我們已閱讀諸位的評論、瞭解各位的觀點。這些評論與觀點也有助於我們向基金會提供法律意見。

在部份情況下，由於法律專業操守的規則和法律專業保密權規限律師如何處理資訊，我們需要對我們向我們工作細節或者基金會提供的法律意見保密。我們知道在一些事例中，對於無法向大眾傳達我們的所思所想、會做之事以及不會做之事的這件事情會令大家感到失望，此起事件亦不例外。儘管我們不能總是披露這些細節，我們可以肯定我們的總體目標是為了在確保基金會遵守適用法律之時，同時保護維基項目和維基社群。

在法務團隊內部，私隱團隊專注於保證基金會所持的網站以及我們的數據收集和處理實踐遵守相關法律、我們自己的私隱相關政策和私隱權價值觀。我們相信對於在全世界各地創作、分享和享受自由知識，貢獻者們和讀者們的個人私隱權是不可或缺的。作為此項工作的一部分，我們首先會查閱適用法律，再了解用戶疑問、疑慮、請求；公共政策問題；組織政策；行業內的最佳實踐，以助於指導基金會的私隱相關工作。在這種情況下，在針對這些因素仔細考慮後，我們認為應努力屏蔽未登錄編輯的IP，使其不會暴露給所有的維基媒體項目訪問者。由於上述有關法律專業操守和法律專業特權的緣故，我們無法詳細說明我們審議的確切細節或者致使作出該決定背後的內部討論與分析的具體內容。

我们要强调的是，我们如何做的具体细节是灵活的；我们正在寻找符合支持社区需求的最佳方式来实现这一目标。桌面上有几个潜在的选择，我们希望确保与你们合作找到实施的方法。我们意识到，你们可能有更多的问题，我们想事先说明，在这次对话中，我们可能无法回答那些涉及法律方面的问题。感谢每一位花时间考虑这项工作并提供意见、关切和想法的人。