資訊科技與倫理/舉報

我們所處的世界非常複雜。企業、機構、政府和個人將盡其所能取得成功，即使以犧牲他人為代價，也要獲得更多利潤，並在競爭中領先。他們甚至可能會非法收集個人、機構和其他國家政府的資訊，以獲得優勢。

大多數人用自己的良心作為道德指南，這導致一些員工或個人看到需要透過舉報的方式公開反對工作場所的不道德、非法和犯罪行為。本文試圖為讀者設定基調或提供指導檔案，即在舉報之前，他們應該瞭解舉報的優勢和劣勢。從本質上講，揭露機構內部的非法、不道德和犯罪活動是愛國之舉。這也的確是，透過適當的渠道，這樣做也可能獲得經濟獎勵。最重要的是，根據聯邦法律，如果員工有證據或真誠地相信他們的僱主或同事參與了以某種方式違反法律的活動，那麼他們可以在大多數州獲得舉報保護。然而，不利的一面是，他們的職業生涯將受到不利影響，儘管有聯邦保護，舉報者也會面臨來自僱主、同事甚至家人和朋友的某種形式的報復。

許多學者認為，舉報沒有明確的界定。在研究了這個主題後，我們可以將舉報定義為，將對組織（私營或公共）或政府機構內部的不當行為的真正擔憂提請管理層、員工、當局、印刷和電子媒體注意。

舉報背後的理由必須是真正令人擔憂的，這與違反法律、違反法律義務、不道德行為、可能危及機構的非法行為、影響國家、危及公眾和損害環境有關。

肯塔基大學土木工程系教授理查德·奇克斯將理查德·T·德喬治關於商業倫理史的模型解釋為，當

• “產品對公眾造成的傷害是嚴重和相當大的。” ^[1]
• “工程師（或員工）已將他們的擔憂告知他們的上級。” ^[2]
• “工程師（或員工）沒有從他們的直接主管那裡得到任何滿意的答覆，他們已經用盡了公司內部可用的所有渠道，包括向董事會求助。” ^[3]

當一名 IT 專業人員置身於他們認為公司可能違反法律的情況時，他們可以舉報違規行為，而不會受到僱主的報復。根據他們的行業和所在地，IT 專業人員應該首先檢視聯邦和州法律以獲得保護。聯邦僱員有法律保護他們，例如 1989 年的舉報人保護法和 2012 年的舉報人保護增強法的修改版本。從本質上講，該法律規定了對聯邦僱員舉報欺詐、浪費、濫用、管理不善或對公共安全的重大和具體危害的保護。職業安全與健康管理局 (OHSA) 允許 IT 專業人員向其僱主提出申訴。OSHA 提供資訊，讓專業人員瞭解他們的權利以及他們在哪些聯邦法律下受到保護。OSHA 的舉報人保護計劃執行了 20 多項聯邦法律的條款，這些法律保護僱員免遭報復，原因包括，除其他事項外，提出或報告有關各種工作場所安全和健康的危害或違規行為的擔憂……。” ^[4]

在舉報之前，IT 專業人員應該檢查他們的僱傭合同，看看是否有內部舉報的義務。IT 專業人員必須以誠信行事，這意味著真誠地打算採取行動，而不利用他人或履行履行承諾的行動，即使在某些法律技術細節沒有滿足時，當他們認為組織違反了法律時。 ^[5]

然而，IT 專業人員不受保密保護。在 Erhart v. Bofi Holdings 舉報案中，法院裁定，如果這樣做被認為是“合理必要的”，則應限制披露機密資訊。 ^[6] 在舉報違規行為時，IT 專業人員應確保他們沒有洩露有關其僱主的不必要的機密資訊。雖然他們受到保護免遭報復，但他們不受保護免遭因披露機密資訊而引起的訴訟。

在 19 世紀，“舉報者”一詞用於指代使用哨子向其他警官或公眾發出危險警報的執法人員。在體育運動中，裁判使用哨子表示犯規或非法比賽，進球、得分或達陣。 ^[7]

舉報並非 21 世紀的新事物。我們可以追溯到 7 世紀的英格蘭。當時使用的術語是“qui tam”，在我們當代時代被稱為虛假索賠法。

這個詞源於拉丁語短語“qui tam pro domino rege quam pro se ipso in hac parte sequitur”，翻譯成“他既為了國王，也為了自己而起訴。” 在 695 年，在肯特國王威特雷德的宣告中，他解釋說，“如果一個自由民在[安息日]工作，他將喪失[利潤]，告發他的人將獲得一半的罰款，以及[利潤]勞動。” ^[8] 該宣告代表了允許私人個人因舉報違反其國家立法的行為而獲得獎金的首個法律示例。

美國是培養和融入公民義務價值觀以維護和造福公眾利益的國家之一。本傑明·富蘭克林成為歷史上第一批美國舉報人之一。在 1773 年，他公開了機密信件，表明馬薩諸塞州的皇家任命總督故意誤導議會，以促進殖民地軍隊建設。 ^[9] 在更現代的近些時候，大型公司實際上已經開發出專門的團隊，他們尋找其他軟體開發公司內部的缺陷和違規行為，並向這些公司發出通知，並在必要時舉報。這裡提到了谷歌的 Project Zero。

谷歌 Project Zero 和舉報如何聯絡在一起？兩者都向公眾披露有關組織內部發生的事情的資料，這在大多數情況下會影響公眾。谷歌 Project Zero 是一個庇護調查團隊，成立於 Google Inc. 下。Google Project Zero 的重點是“發現流行軟體產品的漏洞，包括由 Google 本身建立的產品。” ^[10]

該部門負責調查和驗證軟體是否存在弱點跡象。在 Google Project Zero 團隊發現現有漏洞的任何情況下，該團隊都會向存在問題的公司發出公平的警告。現在，該公司知道其系統中存在問題，因此會得到“90 天的時間來解決問題”。 ^[11] 如果問題在 90 天內沒有得到解決，Google Project Zero 將向公眾釋出資料。提供 90 天的時間讓該公司解決問題。

但是，在 Google 和 Microsoft 之間發生衝突後，Project Zero 在 2015 年改變了其政策。現在，除了 90 天之外，Project Zero 必須再給 14 天，前提是公司通知 Project Zero 該公司將釋出補丁來解決問題，但必須在規定的天數內完成。

自谷歌 Project Zero 專案啟動以來，該團隊已經發現了多個公司系統中的漏洞。其中一個案例發生在微軟 Windows 系統上。2017 年，Project Zero 團隊成員在推特上表示，兩名成員“發現了有史以來最嚴重的 Windows 遠端程式碼執行漏洞”^[12]，並強調這是一個嚴重的漏洞。他還在另一條推文中表示，在 90 天的修復期內無法提供更多細節。Project Zero 確實通知了微軟關於該漏洞的資訊，這導致了微軟採取行動解決問題。他們釋出了該修復的報告，名為 CVE-2017-0290。令人擔憂的是，如果系統中的某些部分沒有打補丁，“任何傳送到系統並被 Windows Defender 掃描的檔案都可能被用於攻擊，並在 LocalSystem 級別執行”。^[13] 微軟修復完問題後，會在每 4 周的 Windows 更新中自動釋出。

首先，揭露機構的違法、不道德和犯罪行為是正確的事，這會讓你成為一個愛國公民。舉報並不總是容易，但它確實提供了一種道德上的盡職盡責感，因為你知道你在做一些對得起自己良心的事，即使這意味著全世界都背叛了你。

在職業生涯中，我們面臨著艱難的選擇。我們是屈服於組織內的非法規範，眼睜睜地看著公司進行不道德和違法的行為，還是冒著失去工作、家人或朋友的風險，揭發組織內所有不道德的行為？一些善良的人強烈地認為，他們有義務為自己的國家和同胞盡力保護他們免受其組織內的任何犯罪和不道德行為的侵害。

其次，你可能會因為舉報機構內任何不道德和違法行為而獲得金錢獎勵。舉報法在幾個世紀前就存在了，一直持續到今天。當前的舉報法修正案，加上舉報者獲得的高額現金支付，促使更多員工提出投訴。舉報會帶來巨大的後果，但也伴隨著慈善獎勵和寶貴的認可。根據 2018 年《舉報者專案年度國會報告》，在 2018 財年頒發的舉報者獎金中，委員會向 13 名個人頒發了約 1.68 億美元的舉報者獎金，這些人自願提供原始資訊，要麼導致了調查，要麼對成功的執法行動做出了重大貢獻。三位個人獲得有史以來最大的獎金，總計近 8300 萬美元。2018 年 3 月 19 日，委員會宣佈了其有史以來最大的兩項舉報者獎金，兩名個人共同獲得了近 5000 萬美元的聯合獎金，另一名舉報者獲得了超過 3300 萬美元的獎金。前兩位個人共同提供了重要的資訊，促使委員會啟動了第一個調查（也是兩個調查中的第一個），他們持續提供協助，為委員會節省了大量時間和資源。第三位個人向委員會提供了額外的資訊，該資訊啟動了委員會的第二個調查，併成為該調查的基石，最終導致了涵蓋行動。^[14]

第三，你受到法律保護。隨著時間的推移，參議員、眾議員和民間組織已經意識到舉報者為國家提供的重要幫助，他們釋出的資訊讓機構和組織對不道德和違法行為負責。基於這些發現，已經通過了政策和法律來激勵舉報者，並保護他們免受機構報復。多德-弗蘭克法案（正式名稱為《多德-弗蘭克華爾街改革與消費者保護法案》）是一項由美國總統巴拉克·奧巴馬於 2010 年簽署成為法律的法案，它是對被稱為“大蕭條”的金融危機的回應。舉報者保護法案為聯邦僱員提供了一種方式，讓他們可以披露不端行為並報告報復行為。^[15]

根據舉報者沃德·斯潘根伯格的說法，他聲稱在 Uber 公司秘密追蹤客戶（包括名人、著名政客和前配偶）時敲響了警鐘，Uber 管理層說：“嘿，很好，謝謝。我們會考慮的。現在去解決其他問題。”他在 Uber 工作了僅僅 11 個月後，就被解僱了，原因是他提出了這些隱私問題。他是 Uber 公司前資訊安全合規負責人，他希望人們意識到 Uber 公司正在洩露他們的資訊。Uber 允許未經授權的人訪問其 4000 萬客戶的私人資訊。^[16]

正如你從上面的段落中可以看出，你的職業生涯將受到負面影響。根據多德-弗蘭克法案，除其他事項外，僱主被禁止在員工舉報公司或機構進行的非法行為後進行報復。在充滿仇恨、嫉妒和猜忌的當代世界中，舉報僱主會對你的職業產生負面影響。一旦事情公之於眾，你就會被貼上“舉報者”的標籤，這將限制你在可預見的未來被新機構僱用的可能性。其他機構可能認為你不是一個忠誠的資產。

“我知道我將因我的行為而受到懲罰，將這些資訊公之於眾標誌著我的結束。甚至追查這個故事的記者也處於危險之中，直到他們發表文章。美國情報界，如果他們認為你是能夠阻止這種洩露並讓他們成為該資訊的唯一所有者的唯一故障點，他們肯定會殺了你。”愛德華·斯諾登在 2013 年 5 月 16 日寫道，這是他與《華盛頓郵報》記者巴頓·格爾曼的首次直接交流。愛德華·斯諾登是舉報國家安全域性活動的人。在為政府擔任 IT 分包商期間，斯諾登對國家安全域性的監控活動感到震驚，他複製了機密資料並將其傳送給《衛報》。斯諾登被指控犯有政府盜竊罪，以及與 1917 年《間諜法》相關的另外兩項指控。在護照被美國政府吊銷後，斯諾登開始在世界各地尋求庇護，他現在居住在俄羅斯的某個不明地點。^[17]

作為一名正式的舉報者，你會受到管理層和同事，甚至家人或朋友的報復。當你準備揭發你發現的非法行為時。沒有任何機構或個人希望獨自倒下，他們、他們的同夥或支持者會用盡全力來對抗你。你應該為可能的監禁和公眾隔離做好準備。克里斯托弗·懷利，揭露 Facebook 資料洩露事件的資料科學家，透露自從他揭露醜聞以來，他曾遭到過身體攻擊和跟蹤。懷利告訴《商業內幕》，自從他公開披露劍橋分析公司在 2016 年美國總統大選中武器化了 5000 萬 Facebook 使用者的資料以來，他的生活發生了轉變。懷利說，正是這一點讓他容易受到攻擊。他遇到的部分虐待行為已向警方報告，同時對該舉報者也進行了風險評估。所有這些意味著他必須在公共場合採取一些預防措施。“我在街上多次遭到身體攻擊。”“這並不容易處理。^[18]

在舉報之前，應該瞭解舉報的優缺點。關於舉報的優勢：首先，揭露機構的違法、不道德和犯罪行為是正確的事，這會讓你成為一個愛國公民。其次，你可能會因為舉報機構內任何不道德和違法行為而獲得金錢獎勵。第三，你受到法律保護。關於舉報的劣勢，首先，你的職業生涯將受到負面影響。其次，你會受到老闆、同事，甚至家人和朋友的報復。現在你已經瞭解了優缺點，決定權在你手裡。^[19]