信息技术与伦理/举报

我们所处的世界非常复杂。企业、机构、政府和个人将尽其所能取得成功，即使以牺牲他人为代价，也要获得更多利润，并在竞争中领先。他们甚至可能会非法收集个人、机构和其他国家政府的信息，以获得优势。

大多数人用自己的良心作为道德指南，这导致一些员工或个人看到需要通过举报的方式公开反对工作场所的不道德、非法和犯罪行为。本文试图为读者设定基调或提供指导文件，即在举报之前，他们应该了解举报的优势和劣势。从本质上讲，揭露机构内部的非法、不道德和犯罪活动是爱国之举。这也的确是，通过适当的渠道，这样做也可能获得经济奖励。最重要的是，根据联邦法律，如果员工有证据或真诚地相信他们的雇主或同事参与了以某种方式违反法律的活动，那么他们可以在大多数州获得举报保护。然而，不利的一面是，他们的职业生涯将受到不利影响，尽管有联邦保护，举报者也会面临来自雇主、同事甚至家人和朋友的某种形式的报复。

许多学者认为，举报没有明确的界定。在研究了这个主题后，我们可以将举报定义为，将对组织（私营或公共）或政府机构内部的不当行为的真正担忧提请管理层、员工、当局、印刷和电子媒体注意。

举报背后的理由必须是真正令人担忧的，这与违反法律、违反法律义务、不道德行为、可能危及机构的非法行为、影响国家、危及公众和损害环境有关。

肯塔基大学土木工程系教授理查德·奇克斯将理查德·T·德乔治关于商业伦理史的模型解释为，当

• “产品对公众造成的伤害是严重和相当大的。” ^[1]
• “工程师（或员工）已将他们的担忧告知他们的上级。” ^[2]
• “工程师（或员工）没有从他们的直接主管那里得到任何满意的答复，他们已经用尽了公司内部可用的所有渠道，包括向董事会求助。” ^[3]

当一名 IT 专业人员置身于他们认为公司可能违反法律的情况时，他们可以举报违规行为，而不会受到雇主的报复。根据他们的行业和所在地，IT 专业人员应该首先查看联邦和州法律以获得保护。联邦雇员有法律保护他们，例如 1989 年的举报人保护法和 2012 年的举报人保护增强法的修改版本。从本质上讲，该法律规定了对联邦雇员举报欺诈、浪费、滥用、管理不善或对公共安全的重大和具体危害的保护。职业安全与健康管理局 (OHSA) 允许 IT 专业人员向其雇主提出申诉。OSHA 提供信息，让专业人员了解他们的权利以及他们在哪些联邦法律下受到保护。OSHA 的举报人保护计划执行了 20 多项联邦法律的条款，这些法律保护雇员免遭报复，原因包括，除其他事项外，提出或报告有关各种工作场所安全和健康的危害或违规行为的担忧……。” ^[4]

在举报之前，IT 专业人员应该检查他们的雇佣合同，看看是否有内部举报的义务。IT 专业人员必须以诚信行事，这意味着真诚地打算采取行动，而不利用他人或履行履行承诺的行动，即使在某些法律技术细节没有满足时，当他们认为组织违反了法律时。 ^[5]

然而，IT 专业人员不受保密保护。在 Erhart v. Bofi Holdings 举报案中，法院裁定，如果这样做被认为是“合理必要的”，则应限制披露机密信息。 ^[6] 在举报违规行为时，IT 专业人员应确保他们没有泄露有关其雇主的不必要的机密信息。虽然他们受到保护免遭报复，但他们不受保护免遭因披露机密信息而引起的诉讼。

在 19 世纪，“举报者”一词用于指代使用哨子向其他警官或公众发出危险警报的执法人员。在体育运动中，裁判使用哨子表示犯规或非法比赛，进球、得分或达阵。 ^[7]

举报并非 21 世纪的新事物。我们可以追溯到 7 世纪的英格兰。当时使用的术语是“qui tam”，在我们当代时代被称为虚假索赔法。

这个词源于拉丁语短语“qui tam pro domino rege quam pro se ipso in hac parte sequitur”，翻译成“他既为了国王，也为了自己而起诉。” 在 695 年，在肯特国王威特雷德的声明中，他解释说，“如果一个自由民在[安息日]工作，他将丧失[利润]，告发他的人将获得一半的罚款，以及[利润]劳动。” ^[8] 该声明代表了允许私人个人因举报违反其国家立法的行为而获得奖金的首个法律示例。

美国是培养和融入公民义务价值观以维护和造福公众利益的国家之一。本杰明·富兰克林成为历史上第一批美国举报人之一。在 1773 年，他公开了机密信件，表明马萨诸塞州的皇家任命总督故意误导议会，以促进殖民地军队建设。 ^[9] 在更现代的近些时候，大型公司实际上已经开发出专门的团队，他们寻找其他软件开发公司内部的缺陷和违规行为，并向这些公司发出通知，并在必要时举报。这里提到了谷歌的 Project Zero。

谷歌 Project Zero 和举报如何联系在一起？两者都向公众披露有关组织内部发生的事情的数据，这在大多数情况下会影响公众。谷歌 Project Zero 是一个庇护调查团队，成立于 Google Inc. 下。Google Project Zero 的重点是“发现流行软件产品的漏洞，包括由 Google 本身创建的产品。” ^[10]

该部门负责调查和验证软件是否存在弱点迹象。在 Google Project Zero 团队发现现有漏洞的任何情况下，该团队都会向存在问题的公司发出公平的警告。现在，该公司知道其系统中存在问题，因此会得到“90 天的时间来解决问题”。 ^[11] 如果问题在 90 天内没有得到解决，Google Project Zero 将向公众发布数据。提供 90 天的时间让该公司解决问题。

但是，在 Google 和 Microsoft 之间发生冲突后，Project Zero 在 2015 年改变了其政策。现在，除了 90 天之外，Project Zero 必须再给 14 天，前提是公司通知 Project Zero 该公司将发布补丁来解决问题，但必须在规定的天数内完成。

自谷歌 Project Zero 项目启动以来，该团队已经发现了多个公司系统中的漏洞。其中一个案例发生在微软 Windows 系统上。2017 年，Project Zero 团队成员在推特上表示，两名成员“发现了有史以来最严重的 Windows 远程代码执行漏洞”^[12]，并强调这是一个严重的漏洞。他还在另一条推文中表示，在 90 天的修复期内无法提供更多细节。Project Zero 确实通知了微软关于该漏洞的信息，这导致了微软采取行动解决问题。他们发布了该修复的报告，名为 CVE-2017-0290。令人担忧的是，如果系统中的某些部分没有打补丁，“任何发送到系统并被 Windows Defender 扫描的文件都可能被用于攻击，并在 LocalSystem 级别执行”。^[13] 微软修复完问题后，会在每 4 周的 Windows 更新中自动发布。

首先，揭露机构的违法、不道德和犯罪行为是正确的事，这会让你成为一个爱国公民。举报并不总是容易，但它确实提供了一种道德上的尽职尽责感，因为你知道你在做一些对得起自己良心的事，即使这意味着全世界都背叛了你。

在职业生涯中，我们面临着艰难的选择。我们是屈服于组织内的非法规范，眼睁睁地看着公司进行不道德和违法的行为，还是冒着失去工作、家人或朋友的风险，揭发组织内所有不道德的行为？一些善良的人强烈地认为，他们有义务为自己的国家和同胞尽力保护他们免受其组织内的任何犯罪和不道德行为的侵害。

其次，你可能会因为举报机构内任何不道德和违法行为而获得金钱奖励。举报法在几个世纪前就存在了，一直持续到今天。当前的举报法修正案，加上举报者获得的高额现金支付，促使更多员工提出投诉。举报会带来巨大的后果，但也伴随着慈善奖励和宝贵的认可。根据 2018 年《举报者项目年度国会报告》，在 2018 财年颁发的举报者奖金中，委员会向 13 名个人颁发了约 1.68 亿美元的举报者奖金，这些人自愿提供原始信息，要么导致了调查，要么对成功的执法行动做出了重大贡献。三位个人获得有史以来最大的奖金，总计近 8300 万美元。2018 年 3 月 19 日，委员会宣布了其有史以来最大的两项举报者奖金，两名个人共同获得了近 5000 万美元的联合奖金，另一名举报者获得了超过 3300 万美元的奖金。前两位个人共同提供了重要的信息，促使委员会启动了第一个调查（也是两个调查中的第一个），他们持续提供协助，为委员会节省了大量时间和资源。第三位个人向委员会提供了额外的信息，该信息启动了委员会的第二个调查，并成为该调查的基石，最终导致了涵盖行动。^[14]

第三，你受到法律保护。随着时间的推移，参议员、众议员和民间组织已经意识到举报者为国家提供的重要帮助，他们发布的信息让机构和组织对不道德和违法行为负责。基于这些发现，已经通过了政策和法律来激励举报者，并保护他们免受机构报复。多德-弗兰克法案（正式名称为《多德-弗兰克华尔街改革与消费者保护法案》）是一项由美国总统巴拉克·奥巴马于 2010 年签署成为法律的法案，它是对被称为“大萧条”的金融危机的回应。举报者保护法案为联邦雇员提供了一种方式，让他们可以披露不端行为并报告报复行为。^[15]

根据举报者沃德·斯潘根伯格的说法，他声称在 Uber 公司秘密追踪客户（包括名人、著名政客和前配偶）时敲响了警钟，Uber 管理层说：“嘿，很好，谢谢。我们会考虑的。现在去解决其他问题。”他在 Uber 工作了仅仅 11 个月后，就被解雇了，原因是他提出了这些隐私问题。他是 Uber 公司前信息安全合规负责人，他希望人们意识到 Uber 公司正在泄露他们的信息。Uber 允许未经授权的人访问其 4000 万客户的私人信息。^[16]

正如你从上面的段落中可以看出，你的职业生涯将受到负面影响。根据多德-弗兰克法案，除其他事项外，雇主被禁止在员工举报公司或机构进行的非法行为后进行报复。在充满仇恨、嫉妒和猜忌的当代世界中，举报雇主会对你的职业产生负面影响。一旦事情公之于众，你就会被贴上“举报者”的标签，这将限制你在可预见的未来被新机构雇用的可能性。其他机构可能认为你不是一个忠诚的资产。

“我知道我将因我的行为而受到惩罚，将这些信息公之于众标志着我的结束。甚至追查这个故事的记者也处于危险之中，直到他们发表文章。美国情报界，如果他们认为你是能够阻止这种泄露并让他们成为该信息的唯一所有者的唯一故障点，他们肯定会杀了你。”爱德华·斯诺登在 2013 年 5 月 16 日写道，这是他与《华盛顿邮报》记者巴顿·格尔曼的首次直接交流。爱德华·斯诺登是举报国家安全局活动的人。在为政府担任 IT 分包商期间，斯诺登对国家安全局的监控活动感到震惊，他复制了机密数据并将其发送给《卫报》。斯诺登被指控犯有政府盗窃罪，以及与 1917 年《间谍法》相关的另外两项指控。在护照被美国政府吊销后，斯诺登开始在世界各地寻求庇护，他现在居住在俄罗斯的某个不明地点。^[17]

作为一名正式的举报者，你会受到管理层和同事，甚至家人或朋友的报复。当你准备揭发你发现的非法行为时。没有任何机构或个人希望独自倒下，他们、他们的同伙或支持者会用尽全力来对抗你。你应该为可能的监禁和公众隔离做好准备。克里斯托弗·怀利，揭露 Facebook 数据泄露事件的数据科学家，透露自从他揭露丑闻以来，他曾遭到过身体攻击和跟踪。怀利告诉《商业内幕》，自从他公开披露剑桥分析公司在 2016 年美国总统大选中武器化了 5000 万 Facebook 用户的数据以来，他的生活发生了转变。怀利说，正是这一点让他容易受到攻击。他遇到的部分虐待行为已向警方报告，同时对该举报者也进行了风险评估。所有这些意味着他必须在公共场合采取一些预防措施。“我在街上多次遭到身体攻击。”“这并不容易处理。^[18]

在举报之前，应该了解举报的优缺点。关于举报的优势：首先，揭露机构的违法、不道德和犯罪行为是正确的事，这会让你成为一个爱国公民。其次，你可能会因为举报机构内任何不道德和违法行为而获得金钱奖励。第三，你受到法律保护。关于举报的劣势，首先，你的职业生涯将受到负面影响。其次，你会受到老板、同事，甚至家人和朋友的报复。现在你已经了解了优缺点，决定权在你手里。^[19]