為什麼民主社會早就接受過假名式參與：從吹哨者保護到 sealed indictment 的法理重建

一、導論

民主憲政體系對假名式參與的承認比一般直覺早得多。吹哨者保護法、John Doe 訴訟、sealed indictment、匿名捐款上限制度、證人保護程序，這五條制度橫跨刑事、民事、行政、選舉、行政管理五個法律場域。表面題材分歧，骨架卻指向同一個範式，「常態假名加事後條件性啟封」。所謂常態假名，指的是該角色在該制度的預設狀態下無須對特定相對方揭露真實身分；所謂事後條件性啟封，指的是該假名在符合預先明定條件時可被有權主體要求揭露，並附帶申訴與救濟¹。這個範式本身即構成制度設計的常態，並非例外性的安全閥。

這個觀察對於數位 civic proof 的工程實作具有直接意涵。當前一波公民科技工具（線上連署、論壇藍勾勾驗證、政治結社內部問責、敏感諮詢與吹哨平台）反覆遇到一個論證瓶頸，既要保障參與者的假名連續性，又要確保群體層次的事後問責²。許多工程方繞過這個問題的方式，是宣稱密碼學工具（零知識證明、threshold cryptography、accountable group signature）已在技術上可行，等待對應立法到位即可³。這個敘事的方向相反。法律工具沒有不夠用，欠缺的是把既有制度的條件條款抽取為可移植模板，並與工程系統做明確契約對接⁴。

本文核心問題分為四層。第一，哪些既有法律制度已承認常態假名加事後問責，其共同骨架為何？第二，這個共同骨架能否被形式化為單一的最小必要條件？第三，這個形式化結構能否類比移植到 civic proof 的具體工程場景？第四，移植在哪些條件下會失敗，哪些場景根本不適用？對應的核心命題可被表述如下。民主憲政體系已在多個場域以歷史沉澱的方式承認「假名加事後條件性啟封」範式，其骨架可形式化為三件式合取結構 T = T.Trigger ∧ T.Authority ∧ T.Remedy；該結構可類比移植到四個 civic proof 場景，並可提煉為一份 5 段法律契約規格初稿；但部署受 5 條邊界條件約束，缺一即落入 Reality Winner / WITSEC / Twitter Doe 模式⁵。

需要先標明四項邊界。其一，假名不等於絕對匿名。本文討論的五條制度都是「對特定相對方保留假名 + 對至少一個有權主體保留事後可識別性」⁶。把吹哨者保護法寫成「匿名舉報」的同義詞，會直接違反 5 U.S.C. § 2302 與 EU Directive 2019/1937 對舉報人身分管理的明文設計⁷。其二，紙面上的制度承認不等於部署有效。OSC（U.S. Office of Special Counsel）FY2023 處理的 corrective action petitions 中，MSPB 終局勝訴率歷年皆低於 5%；台灣大林蒲遷村案的吹哨者救濟程序拖延逾 4 年；歐盟成員國對 Whistleblower Directive 2019/1937 的 transposition 期限為 2021 年 12 月，至 2024 年初仍有 9 國未完成內國法化並遭委員會啟動 infringement 程序⁸。其三，誰持鑰、誰能啟封是政治經濟問題而非純技術問題。FEC 因兩黨各佔 3 席常陷僵局；sealed indictment 雖然形式上由大陪審團與法院決定，實務上法院對檢察官的 sealing motion 駁回率極低；WITSEC 的 USMS 與 DOJ 同屬行政部門，內部監督鏈受限⁹。其四，從法律先例到 civic proof 工程是類比推理而非結構同構。類比強度依賴三項要素的同時成立，同樣的對抗性目標、同樣的規範約束組合、同樣的失敗模式¹⁰。

本文章節安排如下。§2 盤點五條既有法律制度並抽取共同骨架。§3 把共同骨架形式化為三件式合取結構 T = (Trigger, Authority, Remedy)，並交代與 article 03 H1’ 三道牆假說的同構聲明。§4 用三件式對五制度做填充驗證。§5 把三件式類比移植到四個 civic proof 場景（α 線上連署、β 論壇藍勾勾、γ 政治結社內部問責、δ 敏感諮詢與吹哨）。§6 提出 5 段法律契約規格初稿。§7 用四個失敗 / 成功案例與五法域比較劃出 5 條邊界條件，並處理不適用場景。§8 結論套用收束句並明示與 article 01 / 02 / 03、prompt 11 / 14 的接合。

二、五條既有法律制度的歷史沉澱

第一條制度是吹哨者保護法。在美國聯邦層次，5 U.S.C. § 2302（Whistleblower Protection Act 1989；經 WPEA 2012 修正）確立公務員揭露違法行為的反報復保護¹¹。Sarbanes-Oxley §806（18 U.S.C. § 1514A）擴及上市公司，以 OSHA 既有的反報復程序為投訴 channel¹²。Dodd-Frank §922（15 U.S.C. § 78u-6）為 SEC 場域加上獎金條款並加強身分保密¹³。在歐盟層次，Directive (EU) 2019/1937 採三層階梯，內部 channel → 主管機關 → 公開揭露，並要求成員國於 2021 年 12 月前內國法化¹⁴。德國 Hinweisgeberschutzgesetz 2023 與法國 Loi Sapin II（2016 制定，2022 修法）是內國法化的兩個代表¹⁵。日本《公益通報者保護法》（2004 制定，2020 重大修法）走較為內向的內部通報路徑¹⁶。台灣的《揭弊者保護法》草案則歷經多屆未三讀，是這條制度史上的一個顯著缺口¹⁷。

吹哨者保護法的骨架可以重述為「報告 channel + 反報復 + 條件性身分保密 + 申訴 channel + 救濟 channel」五元結構。SEC 與 OSC 的承辦部門對接收到的舉報人身分採預設保密，但保密並非絕對，當案件進入司法程序、舉報人作證、或司法調查需要時，身分可被有權主體要求揭露¹⁸。Reality Winner 案（U.S. v. Winner, S.D. Ga. No. 1:17-CR-00034, 2017）是這個範式在媒體中介層面失靈的經典樣本。Winner 將 NSA 文件交給 The Intercept；該媒體未注意到雷射印表機輸出文件上的 microdot tracking pattern（俗稱 yellow dots），在事實核查過程中將原件交給政府官員，導致 Winner 被快速識別並依 Espionage Act 起訴¹⁹。本案的結構性問題在制度層面而非執行層面，根源在於制度未為媒體中介設計次級 Authority。當吹哨者透過記者而非政府承辦窗口揭露資訊時，三件式中的 Authority 條款由媒體事實上承擔，但並無對應的 metadata 處理規範與救濟路徑²⁰。

第二條制度是 John Doe 訴訟的揭露程序保護。Doe v. Cahill, 884 A.2d 451 (Del. 2005) 提出五要件測試，原告需通知匿名被告、提出 prima facie 證據、證明本人受實質損害、揭露身分為達成救濟所必要、平衡言論自由與身分揭露利益²¹。Dendrite International v. Doe No. 3, 775 A.2d 756 (NJ 2001) 提出四步驟程序測試²²。Doe v. 2theMart.com, 140 F. Supp. 2d 1088 (W.D. Wash. 2001) 提出 factor test，後者更強調平台中介的義務²³。In re Anonymous Online Speakers (Mobilisa v. Doe), 661 F.3d 1168 (9th Cir. 2011) 第九巡迴上訴庭採折衷標準²⁴。Reporters Committee for Freedom of the Press 2024 年的追蹤指出，Cahill 五要件至今已被 12 個以上的州採用²⁵。

John Doe 訴訟結構的特徵在於程序前移，揭露身分前必須先通過實質證據門檻。法院（不是原告）扮演 Authority；Motion to quash 機制提供申訴 channel；惡意訴訟的反向追償提供救濟²⁶。但跨州標準分歧（Cahill 五要件、Dendrite 四要件、Mobilisa factor test）形成 forum shopping 誘因。Glassdoor v. Andra Group, LP, 27 N.Y.3d 1062 (2017) 與 Music Group Macao Commercial Offshore Ltd. v. Does (N.D. Cal. 2014) 是兩個跨州歧異的代表，前者採較嚴格的 Cahill 路徑，後者採較寬鬆的程序²⁷。Volokh 2017 的整理顯示，原告會選擇對自己最有利的州起訴，使得 race-to-the-bottom 風險真實存在²⁸。

第三條制度是 sealed indictment。Federal Rules of Criminal Procedure, Rule 6(e) 確立大陪審團程序的保密義務，違反者可因 contempt of court 受懲²⁹。Federal Judicial Center 2009 年的全國研究（Reagan & Timm）指出，1979-2009 三十年間約 18% 的聯邦刑事案件曾經密封³⁰。28 CFR § 50.9 規範 DOJ 內部 sealing policy。Press-Enterprise Co. v. Superior Court, 478 U.S. 1 (1986) 確立第一修正案下的程序公開推定，sealing 必須通過嚴格審查³¹。Douglas Oil Co. v. Petrol Stops Northwest, 441 U.S. 211 (1979) 確立大陪審團紀錄的揭露需有 particularized need³²。

Sealed indictment 的骨架是「條件性密封 + 第三方主持（大陪審團 + 法院） + 媒體介入申訴（intervention） + Rule 6(e) contempt 救濟」。但 Authority 條款在實務上有結構性弱點。Andrew Miller v. United States, 18-3052 (D.C. Cir. 2019) 與相關案例顯示，法院對檢察官 sealing motion 的駁回率極低；大陪審團名義上獨立但實務上由檢察官主導議程；媒體要介入 sealing 必須先知道有 sealed case 存在，而這個資訊本身常常因密封而不可得³³。形式上的「第三方主持」在政治經濟層面可被檢察官的議程設定權力大幅稀釋。

第四條制度是匿名捐款的憲法框架。Buckley v. Valeo, 424 U.S. 1 (1976) 確立 disclosure 與小額豁免的並行³⁴。BCRA 2002（Bipartisan Campaign Reform Act, Pub. L. 107-155）強化大額捐款揭露要求³⁵。Citizens United v. FEC, 558 U.S. 310 (2010) 與 Doe v. Reed, 561 U.S. 186 (2010) 進一步確立揭露義務的合憲性，後者特別處理公投連署簽名的公開推定³⁶。NAACP v. Alabama ex rel. Patterson, 357 U.S. 449 (1958) 提供反向豁免，當揭露會帶來實質報復風險，揭露義務本身違憲³⁷。AFP v. Bonta, 594 U.S. ___ (2021), 141 S. Ct. 2373 在 NAACP 系譜下推翻加州對非營利組織捐款人名單的揭露要求³⁸。

匿名捐款結構的骨架是「金額門檻下匿名 + 法定門檻或 NAACP 豁免 + FEC + IRS 雙監督 + 行政訴願 + 罰款 / 競選撤銷救濟」。FEC 在政治經濟層面的設計缺陷是這條制度最常被批評的點。FEC 由 6 名委員組成、兩黨各佔 3 席，重要決議需 4 票通過，使任一黨可以否決對己不利的調查；Hasen 2016 Plutocrats United 與 Briffault 2015 對此的分析指出，這個設計事實上導致大量灰色地帶捐款（dark money）無法被有效追究³⁹。OpenSecrets 2024 年的估計顯示，自 2010 年 Citizens United 判決後，dark money 在聯邦選舉的累計流入超過 18 億美元⁴⁰。

第五條制度是證人保護程序。Witness Security Reform Act 1984（18 U.S.C. § 3521-3528）確立 WITSEC 程序的法定基礎⁴¹。USMS（U.S. Marshals Service）統計累計保護證人逾 19,300 名，並聲稱遵守保密協議者無一被殺害⁴²。Earley & Shur 2002 WITSEC 提供制度史的內部視角⁴³。但這個「無一被殺」的數據需要嚴謹解讀。WITSEC 的「遵守規則」定義極窄，違反保密協議任一條（如向家人透露新身分、回到舊住地）都會使該案被排除在「制度有效」的統計之外⁴⁴。DOJ Office of the Inspector General 2005 年的 Audit Report 05-15 指出 WITSEC 程序的監督鏈缺陷；Pelisek 2014 In Plain Sight 與 Maas 2003 Underboss 紀錄了 Marvin Bryan、Sammy Gravano 等案例中的洩密與失序⁴⁵。Brann 2013 在 Stanford Law Review 65 卷的論文系統整理了 WITSEC 對自身過失的訴訟豁免，FTCA discretionary function exception（28 U.S.C. § 2680(a)）關上了多數對 WITSEC 過失的訴訟之門⁴⁶。在 Ziglar v. Abbasi, 137 S. Ct. 1843 (2017) 與 Egbert v. Boule, 142 S. Ct. 1793 (2022) 之後，Bivens 訴訟對行政機關過失的補救空間進一步限縮⁴⁷。

把五條制度的共同骨架整理出來，得到以下五項條件。一、假名或條件性匿名作為制度常態而非例外。二、啟封是條件性的，需要明確 trigger。三、啟封權力不集中於原告或被告，交給「不直接是原告也不直接是被告」的第三方。四、啟封決定可被申訴。五、錯誤啟封或違規洩漏有救濟與懲罰。這五項條件在五個獨立法律場域以歷史沉澱的方式重複出現，構成「假名加事後問責」範式的經驗基礎⁴⁸。

三、三件式合取結構的形式化

把上述五項條件抽象化，可得到三件式合取結構 T = T.Trigger ∧ T.Authority ∧ T.Remedy。這是一個合取結構，三件式同時滿足才能成立；缺一即模板崩潰⁴⁹。

T.Trigger 三條子條款。其一，客觀可判定（objectively determinable）。Trigger 條件必須能被中立第三方依文義判斷，不依賴內部裁量。其二，預先明定（prospectively specified）。條件須在揭露事件發生前已經存在於成文規範，避免溯及既往（non-retroactive）。其三，與保護利益相關（germane to protected interest）。Trigger 不可任意連結到不相干的事由，必須與制度欲保護的利益直接關聯⁵⁰。Sunstein 1997 Free Markets and Social Justice 對 rules vs standards 的討論為「客觀可判定」提供了規範基礎⁵¹。Bingham 2010 The Rule of Law 對 prospectivity 的處理為「預先明定」提供了基礎⁵²。

T.Authority 三條子條款。其一，與當事方獨立（independence）。Authority 不可由原告、被告或政府單方控制。其二，可被監督（reviewability）。Authority 的決定須能被上級或外部機關審查。其三，程序內部可稽核（auditable record）。Authority 的程序需留有可被檢視的紀錄⁵³。Tyler 1990 Why People Obey the Law 與 Tyler & Huo 2002 Trust in the Law 用實證資料支撐這三條子條款，程序正義的中立、信任、尊嚴、發聲四項指標，恰好對應到 Authority 的獨立性、可監督性與可稽核性⁵⁴。Klass and Others v. Germany, ECtHR (1978) 與 Roman Zakharov v. Russia, ECtHR [GC] (2015) 在國家秘密監控場景把這三條子條款明確列為合公約性的最低門檻⁵⁵。

T.Remedy 三條子條款。其一，具體申訴路徑（concrete grievance channel）。被影響方須能在程序層面提出申訴。其二，實質救濟（substantive redress）。救濟須超越宣示性，包含金錢賠償、身分恢復、判決撤銷等具體類型。其三，申訴對象與啟封權力者可區分（separation of complainant and gatekeeper）。被影響方申訴的對象不得是當初決定啟封的同一個主體⁵⁶。Rakoff 2014 Designing Constitutional Remedies 把救濟分為補償、預防、宣示三類，並論證宣示性救濟在實踐中常無法產生制度約束力⁵⁷。Bivens v. Six Unknown Named Agents, 403 U.S. 388 (1971)、Carlson v. Green, 446 U.S. 14 (1980)、Davis v. Passman, 442 U.S. 228 (1979) 三案構成「無實質救濟即無權利」的法理線索⁵⁸。

需要強調，三件式是規範性主張而非實證描述。「現實中很多制度不完美」不是三件式不成立的反證；「滿足三件式」也並非充分條件，三件式僅為最小必要條件。個案部署仍需 case-specific 的補強條款（時效、舉證標準、第三方介入機制等）⁵⁹。同時需要明示，本文以五條制度為樣本提取共同骨架，N=5 是 empirical regularity 而非定理；§7 的邊界條件處理樣本擴展時的失靈條件，後續博論章節將以 N≥10 的擴展研究進一步檢驗。

合取結構的「缺一即敗」可從三個反證確認。缺 T.Trigger 時，吹哨者無法事前判斷自己是否受保護，制度退化為事後賭博。Reality Winner 案中 Espionage Act 對「national defense information」的廣義解釋使吹哨者面對的 trigger 條件事實上不可預測，這直接抑制揭露行為⁶⁰。缺 T.Authority 時，啟封權力被當事方或政府單方掌握，制度退化為單方識別。中國《網路安全法》§ 24 的網路實名制與《數據安全法》§ 35 對國家機關調取資料的廣義授權使「假名加事後問責」事實上無法成立⁶¹；ECtHR 在 Roman Zakharov v. Russia 的判決中明確認定俄羅斯的監控制度因缺乏獨立 Authority 而違反 ECHR Article 8⁶²。缺 T.Remedy 時，制度信任崩潰，當事方傾向不舉報、不參與。Tyler & Huo 2002 在 Russell Sage 的實證資料中，制度信任度對主動參與行為的迴歸係數為 β = 0.41，是核心預測變項⁶³。

三件式合取結構與 article 03 H1’ 三道牆假說的關係需要明確。article 03 把「強集會弱結社」的觀察修正為三道牆合取結構 H1’ = ¬F ⇔ W1 ∧ W2 ∧ W3，其中 W1 是持續性假名牆（工具層）、W2 是群體界線可驗證牆（制度層）、W3 是內部問責牆（治理層）⁶⁴。本文的 T 三件式與 H1’ 三道牆同構，但用於不同層級。article 03 三道牆討論的是 civic proof 工程在規模化結社情境下的條件束；本文 T 三件式討論的是法律制度承認假名式參與的最小必要條件。兩者在合取結構與「缺一即敗」這兩點上同構，並在 W2 / W3 與 T.Authority / T.Remedy 之間有對應關係。但同構不等於結構同一，T 是法律制度的演繹基礎，H1’ 是工程實作的演繹延伸。從 T 推到 H1’ 屬於類比推理，類比強度依賴後文 §5 的填充驗證與 §7 的邊界條件處理。

四、三件式對五制度的填充驗證

把 T = (Trigger, Authority, Remedy) 套到五條制度，可以驗證合取結構的填充能力，同時暴露每條制度的結構性弱點。

吹哨者保護法的 T.Trigger 是「reasonable belief of violation + 進入訴訟程序」，T.Authority 是 OSC 與法院（在 EU 場景則是 Whistleblower Directive 的三層階梯主管機關），T.Remedy 是復職、補薪、懲罰性賠償⁶⁵。三件式形式上齊備，但 OSC 終局勝訴率歷年低於 5% 揭露的是 T.Authority 的政治經濟脆弱，OSC 的承辦資源與政治意志依任期、預算、政黨輪替而劇烈波動⁶⁶。EU 9 國 transposition 延遲是 T.Trigger 與 T.Authority 在跨法域層面的可預測性問題⁶⁷。

John Doe 訴訟的 T.Trigger 是 Cahill 五要件 / Dendrite 四要件 / 2theMart factor test，T.Authority 是審理法院，T.Remedy 是 motion to quash + 惡意訴訟救濟⁶⁸。三件式形式上齊備，但 Cahill / Dendrite / Mobilisa 三套標準的跨州分歧使 T.Trigger 的預先明定性受損；Glassdoor 與 Music Group Macao 的對比顯示同一類事實在不同州可能適用不同門檻⁶⁹。

Sealed indictment 的 T.Trigger 是「Rule 6(e) 大陪審團程序 + 28 CFR § 50.9 DOJ 內部規則」，T.Authority 是大陪審團與法院，T.Remedy 是 Rule 6(e) contempt + 媒體介入⁷⁰。三件式形式上齊備，但法院對檢察官 sealing motion 的駁回率極低，加上 sealed case 本身因密封而不為媒體所知，使 T.Authority 的獨立性與 T.Remedy 的可申訴性在實務上受損⁷¹。

匿名捐款的 T.Trigger 是「BCRA + Buckley 揭露門檻 + NAACP / AFP v. Bonta 豁免」，T.Authority 是 FEC + IRS，T.Remedy 是行政訴願 + 罰款 + 競選撤銷⁷²。三件式形式上齊備，但 FEC 兩黨僵局結構使 T.Authority 在政治敏感案件中難以行使；OpenSecrets 估計的 dark money 流入規模顯示 T.Trigger 的判定門檻在 LLC 與 501(c)(4) 結構穿透下事實上失效⁷³。

WITSEC 的 T.Trigger 是「審判作證 + MOU 違反」，T.Authority 是 USMS + DOJ + 法院，T.Remedy 是「重新安置 + 補償（限於 MOU 框架內）」⁷⁴。三件式形式上齊備，但 USMS 與 DOJ 同屬行政部門使 T.Authority 的獨立性受限；FTCA discretionary function exception 與 Bivens 限縮使 T.Remedy 對 USMS / DOJ 自身過失幾近不可訴⁷⁵。

五條制度的填充驗證共同指向一個觀察。三件式在制度設計層面齊備不等於在部署層面有效；五條制度的紙面承認與實證部署之間都存在落差，落差的根源都是 T.Authority 的獨立性與 T.Remedy 的可訴性受到政治經濟條件的侵蝕⁷⁶。這個觀察為 §7 的 5 條邊界條件鋪設了演繹基礎。

五、四個 civic proof 場景的類比移植

把三件式類比移植到四個 civic proof 場景。需要先強調，「類比移植」不是「結構同構」，五條法律制度的對抗性目標、規範約束組合、失敗模式與 civic proof 工程不完全一致；類比強度依賴每個場景的填充與失敗模式對齊程度⁷⁷。

場景 α 是線上連署與公投。最相關的法律先例是 Doe v. Reed, 561 U.S. 186 (2010) 對公投連署簽名公開推定的處理，加上加州 California Constitution Article II § 8 與瑞士 Bundesverfassung Art. 138-139 對公投連署門檻的規範⁷⁸。T.Trigger 部分直接套用，簽名門檻達到後啟動公投程序屬客觀可判定；但需要補上 sybil 防禦條款（防止單一身分以多個假名重複簽名）。T.Authority 需要大幅修改，選舉委員會作為主權機關可承擔，但跨域公投（國際組織、跨境公民倡議）需要 multisig 跨域協作 + GDPR 對接，現有制度不直接覆蓋。T.Remedy 直接套用，被誤剔除的簽名可申請 audit；zk-SNARK 可提供「我簽過但未被計入」的零知識證明⁷⁹。整體可移植性中等。

工程實作建議方向是 zk-SNARK + threshold opening（k-of-n，建議 n ≥ 5、k ≥ 3） + Census Authority Merkle tree。Vocdoni 的 census authority 設計與 Estonia i-Voting 的審計報告提供了部分工程參考⁸⁰。但需注意 receipt-free 設計（Benaloh & Tuinstra 1994）與 T.Remedy 之間的內生張力。若投票完全 receipt-free，被誤剔除的簽名無法事後驗證；若提供 receipt，又會破壞投票自由⁸¹。這條張力使選舉投票場景在後文 §7 列為不適用場景的代表。

場景 β 是論壇藍勾勾與假名身分。最相關的法律先例是 John Doe 訴訟的 Cahill / Dendrite 程序保護⁸²。T.Trigger 完全需要新設計，Cahill 五要件處理的是「身分揭露」，論壇藍勾勾處理的是「驗證升級」與「unmask 請求」兩種不同行為，需要分別給出 trigger 條款。T.Authority 需要大幅修改，論壇方非主權機關，需要透過 Terms of Service 與 fiduciary duty 條款注入準法律義務。T.Remedy 直接套用，但需補上「unmask 行為本身的損害」這一類別。即使最終法院認定 unmask 合法，被 unmask 過程造成的 chilling effect 與名譽損害仍應有救濟⁸³。整體可移植性中等。

工程實作建議方向是 DID（Decentralized Identifier）+ W3C Verifiable Credentials Data Model 2.0 + selective disclosure（如 BBS+ 簽章）⁸⁴。Bluesky 的 AT Protocol 與 Kleppmann 2024 的設計提供了實作參考⁸⁵。但需注意 Twitter Transparency Report 2022 H1 顯示的 subpoena 挑戰率，當論壇方面對司法請求時，挑戰程度依平台政策、所在地法律、商業利益而劇烈波動，這是 T.Authority 條款的政治經濟弱點⁸⁶。

場景 γ 是政治結社內部問責。最相關的法律先例是 NAACP v. Alabama 的雙層原則，對外保護會員身分不被國家強制揭露，對內維持群體層次的問責機制⁸⁷。T.Trigger 直接套用程度最高，成員違反章程、利益衝突、貪污等內部問責 trigger 在組織法層面已成熟。T.Authority 強直接套用，accountable group signature（Chaum & van Heyst 1991, Camenisch & Stadler 1997）提供「群外不可連結但群內可揭發」的密碼學工具⁸⁸，但需要在政治經濟層面補強，key holder 應跨組織、跨法域分散，否則退化為「形式第三方」。T.Remedy 直接套用，並需補上跨境 forum selection 條款⁸⁹。整體可移植性強。

工程實作建議方向是 accountable group signature + threshold key（k-of-n proactive secret sharing） + DAO LLC wrapper（如 Wyoming DAO LLC 法、瑞士 Verein、馬紹爾群島 DAO LLC）⁹⁰。需注意 article 01 在 W3 政治經濟成就警示中強調的關鍵，key holder 跨組織分散與 hard threshold 是制度成就而非純技術成就，WikiLeaks 早期 Assange 個人對 key 與發布流程的 effective control 即是 T.Authority 集中化的失敗範例⁹¹。

場景 δ 是敏感諮詢與吹哨。最相關的法律先例是 Sarbanes-Oxley + Dodd-Frank + EU Directive 2019/1937 三層階梯⁹²。T.Trigger 強直接套用，SOX §806 的「reasonable belief of violation」、Whistleblower Directive 的內部 → 主管機關 → 公開揭露三層階梯都是成熟條款。T.Authority 強直接套用，SecureDrop 的 multi-journalist threshold 機制提供工程參考；EU Directive 要求成員國指定獨立主管機關。但需在政治經濟層面補強，newsroom 文化必須支撐 metadata 處理紀律，否則仍可能落入 Reality Winner 模式⁹³。T.Remedy 直接套用，並需補上跨境救濟條款（記者與消息來源跨境協作的常見場景）⁹⁴。整體可移植性強。

工程實作建議方向是 Tor onion v3 + threshold GPG + air-gap workflow + cryptographic deletion log。SecureDrop 已部署於 70+ 新聞機構，是當前最成熟的實作參考⁹⁵。GlobaLeaks 與 OCCRP Aleph 提供互補的工具線⁹⁶。但需強調，SecureDrop 工程齊備不等於 metadata 義務齊備。Boutet & Brown 2014 的研究指出，未受訓 newsroom 仍可能落入 Reality Winner 模式，工程工具不能取代制度配套⁹⁷。

四場景的可移植性評估匯整為下表。

場景	T.Trigger	T.Authority	T.Remedy	整體可移植性
α 線上連署	部分套用 + 補 sybil	大幅修改 + 跨域 multisig	直接套用 + 誤剔除 audit	中
β 論壇藍勾勾	全新設計	大幅修改 + 契約注入	直接套用 + unmask 損害	中
γ 政治結社問責	直接套用程度最高	強直接套用 + 政治經濟補強	直接套用 + 跨境 forum	強
δ 敏感諮詢吹哨	強直接套用	強直接套用 + 政治經濟補強	直接套用 + 跨境補強	強

可移植性分為強、中兩級的判準是 T.Authority 條款是否能直接從既有法律先例移植。γ 與 δ 場景的 T.Authority 在 NAACP / SOX / Whistleblower Directive 中已有對應制度，移植路徑相對清晰；α 與 β 場景的 T.Authority 需要重新設計，移植路徑需要更多工程-法律對接的契約規格⁹⁸。article 02 的四場景 typology 與本文四場景填入的對應關係，形成 article 02 → 本文的演繹延伸⁹⁹。

六、法律契約規格 5 段子規格

這一節是本文的核心輸出。把上述類比移植進一步具體化為一份「假名式 civic proof 工程實作的法律契約規格」初稿，分為 5 段子規格。下文以 δ 吹哨場景作為填充示範。

§ 6.1 模板宣告（Template Declaration）。每個 civic proof 服務在 Terms of Service 與 technical specification 文件中明確宣告採用何種既有法律制度作為三件式模板。宣告應包含三項，對應的法律先例、不直接主張結構同構（僅主張合法性論證模板的可移植）、移植強度評估（強 / 中 / 弱）¹⁰⁰。在 δ 場景下，模板宣告示例為「本服務採 SOX §806 + Dodd-Frank §922 + EU Directive 2019/1937 三層階梯為合法性論證模板。本服務不主張與上述法律先例結構同構，僅主張在『常態假名 + 事後條件性啟封』範式下繼承其制度模板。移植強度評估為強。」這個宣告為 prompt 11 提出的 wallet-as-essential-facility 提供合法性論證錨點。Wallet 的角色是現有吹哨者保護法在工程介面層的具體化，而不是新類別的法律工具¹⁰¹。

§ 6.2 啟封 trigger 規格。Threshold key holders 採 k-of-n 機制（k ≥ ⌈n/2⌉ + 1，建議 n ≥ 5、k ≥ 3）¹⁰²。每次 unmask 請求需建立 audit log，內容包含請求時間、請求方、trigger 條款編號、shares 提交順序與時間戳；audit log 採 append-only Merkle tree 並公開可驗¹⁰³。在 δ 場景下，啟封 trigger 規格為「當且僅當（1）SOX §806 規定的法律程序進行中，且（2）多個獨立主管機關（OSC + 法院 + 行業 IG）同時提出請求，threshold key holders 才執行 unmask；任何單一主管機關的請求自動觸發 30 天的內部審查與舉報人通知期。」Shamir 1979 secret sharing 與 Herzberg 1995 proactive secret sharing 提供密碼學基礎¹⁰⁴。

§ 6.3 啟封權力分配規格。Threshold key holders 必須跨組織、跨法域、跨技術棧分散；每位 holder 需簽署 fiduciary duty agreement，違反者承擔個人 + 機構連帶責任¹⁰⁵。Key rotation 至少每 24 個月一次，rotation 採 Herzberg proactive secret sharing 確保舊 share 失效¹⁰⁶。在 δ 場景下，分配規格為「key holders 至少 5 人，分布於至少 3 個法域（如美 + 歐 + 台），跨至少 2 種類型機構（新聞機構、人權組織、學術機構），任一 holder 不得同時為被舉報方的關係人；每位 holder 簽署 fiduciary duty agreement，違反者個人最高賠 100 萬美元 + 機構連帶賠最高 1000 萬美元。」這條規格直接回應 article 01 在 W3 政治經濟成就警示，key holder 跨組織與 hard threshold 是制度成就而非純技術成就，否則會落入 WikiLeaks 早期 Assange 集中化模式¹⁰⁷。

§ 6.4 救濟路徑規格。被啟封者具完整 audit 能力（可檢視 unmask 請求的全部 metadata 與決策紀錄）。申訴採三層階梯，平台 dispute board 30 天 → 行業自律 90 天 → 法院或仲裁庭¹⁰⁸。救濟類型應包含，金錢賠償 + chilling effect 推定損害 + audit log 銷毀（適當情況下）+ 公開道歉 + 未來 unmask 加重門檻¹⁰⁹。在 δ 場景下，救濟路徑示例為「若 unmask 後法院認定無充分 trigger，舉報人可獲（1）已實際發生的金錢損失賠償；（2）chilling effect 推定損害（按行業平均年薪 3 倍計）；（3）相關 audit log 銷毀，但保留聚合統計；（4）平台公開道歉並更新政策；（5）未來對該舉報人的 unmask 請求需 7-of-7 一致同意。」Rakoff 2014 的救濟三分類在這裡確保救濟超越宣示性¹¹⁰。

§ 6.5 跨法域 forum selection 條款。ToS 事先約定（a）主要適用法（如 EU Directive 2019/1937 + 紐約州 SHIELD Act）；（b）仲裁庭（如 PCA Permanent Court of Arbitration 或 ICC International Chamber of Commerce）；（c）緊急救濟法院。使用者可 opt-in 補強保護但不得 opt-out 主要法律保護¹¹¹。在 δ 場景下，forum selection 示例為「主要適用法為 EU Whistleblower Directive 2019/1937 + 美國紐約州 SHIELD Act + 台灣個資法（以對舉報人最有利者為準）；仲裁庭為 PCA；緊急禁制令向紐約州南區聯邦地院提出。」這條規格直接回應 prompt 14 提出的跨法域救濟空白問題。Forum selection 的作用在於事前確立 race-to-the-bottom 的下限，而不是消除跨法域差異¹¹²。需要明示，forum selection 條款的實際受理仍依 PCA / ICC 是否願意處理 civic proof 案件而定，目前缺乏直接判例，這是後續研究的開放空間¹¹³。

把 5 段子規格合在一起，得到一份可在不等待新立法的條件下開始部署的工程-法律對接初稿。需要強調，「不必等待新立法」並不等於「完全不需要新立法」，選舉投票、稅務、具法效簽章等場景仍可能需要立法路徑¹¹⁴。本文主張的是更克制的版本，對於已有合適法律模板的場景，工程方可以基於既有制度移植開始部署，而不必把採用率寄望於 6-10 年後的新立法¹¹⁵。Apple ATT 在 2021 年的部分成功與 P3P / DNT 在 2002-2019 年的失敗，恰好對比兩種情境，前者同時享有國家法律契約（GDPR / CCPA）與平台合約契約（Apple Developer Agreement），後者僅有平台單方標準而無對應法律契約¹¹⁶。

七、五條邊界條件與不適用場景

5 段子規格不是萬能藥。三件式部署受 5 條邊界條件約束，缺一就會落入下文列舉的失敗模式。

7.1 司法獨立性最低門檻。T.Authority 不可由原告、被告或政府單方控制。中國《網路安全法》§ 24 的網路實名制與《數據安全法》§ 35 對國家機關調取資料的廣義授權使「假名加事後問責」事實上退化為「事前實名」¹¹⁷。中國憲法第 35 條形式上保障言論、出版、集會、結社等自由，但無獨立司法機關可受理對國家機關的訴訟，使三件式從一開始就無法成立¹¹⁸。中國案例的角色為「模板不成立時的後果展示」（模板從未試圖在中國成立），其用途並非作為模板的失敗反例。在無司法獨立的條件下，「假名加事後問責」的承諾無法產生穩定的制度約束¹¹⁹。香港 2020 年國安法施行後，原本可運作的 John Doe 訴訟程序在涉港安案件中被收窄甚至排除，是這條邊界條件在過渡狀態下的見證¹²⁰。

7.2 救濟可訴性最低門檻。T.Remedy 必須包含可訴的具體賠償類型，金錢、身分恢復、再安置、判決撤銷。WITSEC 案例顯示「主權豁免 + Bivens 限縮」會關上對 Authority 自身過失的訴訟之門¹²¹。FTCA discretionary function exception（28 U.S.C. § 2680(a)）使 USMS 對自身過失的訴訟豁免極廣；Ziglar v. Abbasi (2017) 與 Egbert v. Boule (2022) 進一步限縮 Bivens 訴訟的適用空間¹²²。其結果是，WITSEC 案例中即使有違規洩漏致死的紀錄（如 Marvin Bryan、Sammy Gravano 案的後續），受害者家屬幾近無法對 USMS / DOJ 主張救濟¹²³。Brann 2013 的 Stanford Law Review 論文系統整理了這條限制，指出 WITSEC 的 T.Remedy 在制度設計與部署層面之間存在結構性落差¹²⁴。

7.3 技術 metadata 控制最低門檻。T.Trigger 與 T.Authority 之間的 metadata（印表機指紋、IP log、文件 hash、token 連結性）必須由 T.Authority 持有或受其指定的技術託管方持有。Reality Winner 案顯示 metadata 一旦落入未受規範的中介手中，整個三件式形同虛設¹²⁵。Winner 將文件交給 The Intercept 時，文件上的雷射印表機 microdot pattern（EFF 2017 yellow dots note 紀錄此規格）使印表機序號與輸出時間可被快速回推；The Intercept 在事實核查時將原件交給政府官員，metadata 就此繞過所有 T.Authority 條款¹²⁶。Schmidle 2018 在 The New Yorker 的調查報導指出，這個失誤的根源在制度層面而非執行層面，制度未為媒體中介設計次級 Authority 的結構性缺位才是核心成因¹²⁷。

7.4 跨法域協作最低門檻。跨境 civic proof 需要法域間互認協定，否則 forum shopping 與 race-to-the-bottom 把所有法域標準拉到最寬鬆者。EU Directive + ECtHR 監督是當前最成熟的協作模型¹²⁸。CLOUD Act vs GDPR 的衝突顯示了反向情境，美國 CLOUD Act（Pub. L. 115-141, 18 U.S.C. § 2713）授權 DOJ 向跨境的美國服務提供商索取資料，與 GDPR Art. 6 / Art. 49 的跨境傳輸限制直接衝突¹²⁹。US v. Microsoft (2018) 一案最終因 CLOUD Act 通過而被認為無爭議性而被撤銷，但實質衝突並未解決¹³⁰。對 civic proof 而言，這意味著跨法域 forum selection 條款只能事前限縮 race-to-the-bottom，無法消除主權衝突；prompt 14 對跨法域救濟空白的處理更為核心¹³¹。

7.5 政治脈絡最低門檻。威權國家「假名加事後問責」會退化為「事前實名」；模板在憲政民主基礎條件不存在時不可移植¹³²。中國案例（含香港 2020 國安法後的次級樣本）是這條邊界的最清楚證據¹³³。需要強調，「政治脈絡最低門檻」不是西方中心主義的判準。憲政民主基礎條件包括司法獨立、言論自由、結社自由、新聞自由的形式承認與實質運作，這些條件在多個非西方法域（日本、台灣、南韓、印度等）皆部分或完全成立；而即使在西方法域，當這些條件因政治氣候惡化而局部退化（如美國某些州對 SLAPP 訴訟的處理、匈牙利近年對 NGO 揭露要求的擴張），三件式部署也會相應失靈¹³⁴。

把 5 條邊界條件對應到四個失敗 / 成功案例，可以建立一張對照表。

案例	T.Trigger	T.Authority	T.Remedy	結構性失靈位置
Reality Winner (2017)	OK	缺位（媒體獨自處理 microdot）	缺位（Espionage Act 無 public interest defense）	T.Authority 失守
WITSEC 洩密 (1971-2024)	OK	部分（USMS 對自身過失沉默）	缺位（主權豁免 + Bivens 限縮）	T.Remedy 失守
Twitter Doe 跨州	不一致（三套標準）	不一致（無聯邦最高判例）	程序終結即失能	T.Trigger + T.Authority 雙重不一致
CNIL 雙重匿名 (2024)	嚴格（Loi 2020-936）	CNIL 監督（Laboratoire d’innovation numérique）	GDPR 罰則掛鉤（4% 全球營收上限）	對照組：三件式齊備時成功

CNIL 雙重匿名年齡驗證 2024 是反向對照¹³⁵。Loi du 30 juillet 2020 (n° 2020-936) 為線上年齡驗證提供 Trigger 條款；CNIL 的 Laboratoire d’innovation numérique 提供獨立 Authority；GDPR 的 4% 全球營收罰則上限提供實質 Remedy¹³⁶。三件式齊備使該制度在歐盟脈絡下穩定運作。

不適用場景。把三件式套用到所有 civic 場景並不合適。以下五類場景在三件式中至少有一件無法在假名化條件下滿足，因此不在本文移植主張的範圍內。一、具法效簽章（不動產登記、公證遺囑、商業契約簽署），T.Trigger 要求簽章主體可被無歧義地識別，與假名化內生衝突¹³⁷。二、稅務與金融合規（FATF Travel Rule、KYC / AML），T.Authority 的跨境合規要求與假名化內生衝突¹³⁸。三、選舉投票（一人一票 receipt-free 設計），T.Remedy 的可申訴性與 receipt-free 條件內生張力¹³⁹。四、醫療紀錄存取，HIPAA 與 GDPR 對醫療資料的處理規範與假名化模板有部分重疊但不直接覆蓋¹⁴⁰。五、兒童保護線上身分驗證，COPPA 與相關規範對最低身分強度有獨立要求¹⁴¹。

需要明示三項邊界。其一，本文 5 條邊界條件的判準是規範條件能否脫離政治經濟條件獨立評估，這是 Pozen 2018 對透明度框架的批評打在這裡的位置¹⁴²。其二，邊界條件不是排他的，一個場景可能同時觸發多條邊界。其三，邊界條件本身可能隨技術與制度演化而漂移；ZK voting 主流化、跨法域互認協定擴展、metadata 規範強化都可能使原本不適用的場景在 5-10 年後變得可移植¹⁴³。

八、結論

民主憲政對假名式參與的接受由來已久。從吹哨者保護到 sealed indictment，五條制度共同構成「假名加事後問責」範式的歷史沉澱，可被形式化為三件式合取結構並類比移植到四個 civic proof 場景。法律工具已經提供制度模板，欠缺的是技術-法律對接的契約規格初稿；本文 §6 的 5 段子規格是這個介入點的初步嘗試。但部署仍受 5 條邊界條件約束（司法獨立 / 救濟可訴 / metadata 控制 / 跨法域協作 / 政治脈絡），缺一就會落入 Reality Winner / WITSEC / Twitter Doe 的失敗模式。

本文與博論其他部分的接合可整理如下。與 article 01 (accountability without identification) 的接合在 §6.3 啟封權力分配規格，key holder 跨組織與 hard threshold 是政治經濟成就而非純技術成就，這條警示由 article 01 W3 提出，本文延伸到法律契約規格的具體條款¹⁴⁴。與 article 02 (civic proof concept positioning) 的接合在 §5 四場景填入，本文用既有法律制度的合法性論證填補 article 02 typology 的法律支柱¹⁴⁵。與 article 03 (digital association empirical test) 的接合在 §3 三件式合取結構，T 與 article 03 H1’ 三道牆同構但用於不同層級，前者是法律制度的演繹基礎，後者是工程實作的演繹延伸¹⁴⁶。與 prompt 11 (wallet as essential facility) 的接合在 §6.1 模板宣告，wallet 的合法性論證錨點為現有吹哨者保護法的工程介面具體化¹⁴⁷。與 prompt 14 (cross-jurisdictional redress gap) 的接合在 §6.5 forum selection 條款與 §7.4 跨法域協作邊界¹⁴⁸。

本文留下的開放問題包括以下幾項。三件式對非西方法系的可移植性（伊斯蘭法系對 secrecy 與 remedy 的處理）¹⁴⁹；三件式 vs 四件式辯論（是否需要加第四件式「時效 / 自動失效 auto-sunset」）¹⁵⁰；ZK voting 主流化對選舉投票場景判斷的影響¹⁵¹；DAO LLC wrapper 在 Wyoming 之外（瑞士 Verein、馬紹爾群島 DAO LLC）的法律承認光譜¹⁵²；演算法治理場景下 T.Authority 條款的重構需求¹⁵³；契約規格與監管沙盒（FCA / MAS 金融科技沙盒）的關係¹⁵⁴。這些問題留給博論後續章節與 N≥10 的擴展研究處理。

參考資料

1. Tyler, T. R. (1990). Why People Obey the Law. Yale UP. 程序正義四要素為三件式 T.Authority 提供規範基礎。來源等級 A。
2. Mulligan, D. K., & Schneider, F. B. (2011). “Doctrine for Cybersecurity.” Daedalus 140(4)。工程-法律語言落差的核心論證。來源等級 B。
3. Camenisch, J., & Lysyanskaya, A. (2001). “An Efficient System for Non-transferable Anonymous Credentials.” EUROCRYPT 2001。匿名憑證密碼學奠基論文。來源等級 A。
4. Reidenberg, J. R. (1998). “Lex Informatica: The Formulation of Information Policy Rules through Technology.” Texas Law Review 76。技術即規範的奠基論證。來源等級 A。
5. Bingham, T. (2010). The Rule of Law. Penguin。法治八要件支撐三件式合取結構。來源等級 A。
6. Solove, D. J. (2008). Understanding Privacy. Harvard UP。對假名與匿名的概念區分。來源等級 A。
7. 5 U.S.C. § 2302 (Whistleblower Protection Act 1989, as amended by WPEA 2012, Pub. L. 112-199); Directive (EU) 2019/1937 on Whistleblower Protection, OJ L 305/17。對舉報人身分管理的明文設計。來源等級 A。
8. OSC FY2023 Annual Report; MSPB 2018 Whistleblower Protections report; European Commission 2024 transposition status (IP/24/1117, 2024-01-25)。紙面 / 實證落差證據。來源等級 A/B。
9. Hasen, R. L. (2016). Plutocrats United. Yale UP; Federal Judicial Center 2009 Sealed Cases in Federal Courts (Reagan & Timm); DOJ Office of the Inspector General (2005). A Review of DOJ’s Witness Security Program. Audit Report 05-15。啟封權力的政治經濟弱點。來源等級 A/B。
10. Pozen, D. E. (2018). “Transparency’s Ideological Drift.” Yale L.J. 128(1)。透明度框架的政治經濟批評。來源等級 A。
11. 5 U.S.C. § 2302 (Whistleblower Protection Act 1989, as amended by WPEA 2012, Pub. L. 112-199)。聯邦公務員吹哨者保護法定基礎。來源等級 A。
12. 18 U.S.C. § 1514A (Sarbanes-Oxley §806, 2002); 29 CFR § 1980 (OSHA whistleblower complaint procedure)。SOX §806 沿用 OSHA 程序。來源等級 A。
13. 15 U.S.C. § 78u-6 (Dodd-Frank §922, Pub. L. 111-203, 2010); SEC Office of the Whistleblower FY2023 Annual Report。SEC 場域吹哨者獎金條款。來源等級 A/B。
14. Directive (EU) 2019/1937 on Whistleblower Protection, OJ L 305/17, Art. 7-15; Council of the EU 2019-04-16 Press Release。三層階梯設計。來源等級 A/D。
15. Germany Hinweisgeberschutzgesetz 2023-05-31; France Loi Sapin II (n° 2016-1691) + 2022 amendments。德法內國法化代表。來源等級 B。
16. 日本《公益通報者保護法》(2004 制定; 2020 重大修法); Wolff, L. (2015). “Whistleblowing in Japan.” Cambridge Companion to Japanese Law; Oka, K. (2021). “External Whistleblowing After 2020 Amendments.” Japanese Yearbook of International Law 64。日本制度史。來源等級 A/B。
17. 中華民國《揭弊者保護法》草案 (2018-2025 各屆版本); 立法院議案查詢系統。台灣立法缺口紀錄。來源等級 D。
18. Vandekerckhove, W. (2006/2010). Whistleblowing and Organizational Social Responsibility; Devine, T., & Maassarani, T. F. (2011). The Corporate Whistleblower’s Survival Guide。吹哨者身分保密制度史。來源等級 A。
19. United States v. Reality Winner, S.D. Ga. No. 1:17-CR-00034 (2017); Schmidle, N. (2018). “The Untold Story of NSA Contractor Reality Winner.” The New Yorker, Dec 17。Reality Winner 起訴與媒體調查。來源等級 A/B。
20. EFF (2017). Yellow Dots of Mystery: Is Your Printer Spying On You?; Lichtenstein, R. M. (2020). “Sources, Leaks, and the Espionage Act.” Wisconsin Law Review 2020(4)。媒體中介的結構性缺位。來源等級 B/A。
21. Doe v. Cahill, 884 A.2d 451 (Del. 2005)。Cahill 五要件測試。來源等級 A。
22. Dendrite International v. Doe No. 3, 775 A.2d 756 (N.J. Super. Ct. App. Div. 2001)。Dendrite 四步驟程序測試。來源等級 A。
23. Doe v. 2theMart.com, 140 F. Supp. 2d 1088 (W.D. Wash. 2001)。2theMart factor test。來源等級 A。
24. In re Anonymous Online Speakers (Mobilisa v. Doe), 661 F.3d 1168 (9th Cir. 2011)。第九巡迴折衷標準。來源等級 A。
25. Reporters Committee for Freedom of the Press 2024 Anonymous Speech Online; Lidsky, L. B. (2010). B.C. L. Rev. 50。Cahill 五要件採用範圍。來源等級 A/B。
26. Lidsky, L. B. (2000). “Silencing John Doe.” Duke L.J. 49; Volokh, E. (2009 / 2017) Anonymous speech 系列。John Doe 訴訟結構分析。來源等級 A。
27. Glassdoor v. Andra Group, LP, 27 N.Y.3d 1062 (2017); Music Group Macao Commercial Offshore Ltd. v. Does (N.D. Cal. 2014)。跨州歧異代表案例。來源等級 A。
28. Volokh, E. (2017). Anonymous speech 後續論文。Forum shopping 與 race-to-the-bottom 風險分析。來源等級 A。
29. Federal Rules of Criminal Procedure, Rule 6(e); 28 CFR § 50.9 (DOJ sealing policy)。大陪審團程序保密。來源等級 A。
30. Federal Judicial Center 2009 Sealed Cases in Federal Courts (Reagan & Timm)。18% 聯邦刑事案件曾密封。來源等級 B。
31. Press-Enterprise Co. v. Superior Court, 478 U.S. 1 (1986); In re Washington Post, 807 F.2d 383 (4th Cir. 1986)。第一修正案下的程序公開推定。來源等級 A。
32. Douglas Oil Co. v. Petrol Stops Northwest, 441 U.S. 211 (1979)。大陪審團紀錄揭露的 particularized need 標準。來源等級 A。
33. Andrew Miller v. United States, 18-3052 (D.C. Cir. 2019); Kitrosser, H. (2015). Reclaiming Accountability. U of Chicago Press。法院對 sealing motion 駁回率與大陪審團獨立性問題。來源等級 A。
34. Buckley v. Valeo, 424 U.S. 1 (1976)。Disclosure 與小額豁免。來源等級 A。
35. Bipartisan Campaign Reform Act, Pub. L. 107-155 (2002); 52 U.S.C. § 30101 et seq.。BCRA 強化大額揭露。來源等級 A。
36. Citizens United v. FEC, 558 U.S. 310 (2010); Doe v. Reed, 561 U.S. 186 (2010)。揭露義務合憲性與公投連署簽名公開推定。來源等級 A。
37. NAACP v. Alabama ex rel. Patterson, 357 U.S. 449 (1958)。揭露豁免的反向原則。來源等級 A。
38. Americans for Prosperity Foundation v. Bonta, 594 U.S. ___ (2021), 141 S. Ct. 2373。NAACP 系譜的當代重申。來源等級 A。
39. Hasen, R. L. (2016). Plutocrats United. Yale UP; Briffault, R. (2015). Election Law Journal。FEC 兩黨僵局結構分析。來源等級 A。
40. OpenSecrets 2024 Dark Money 估計; OECD 2023 Financing Democracy report。Citizens United 後 dark money 累計流入。來源等級 B。
41. 18 U.S.C. § 3521-3528 (Witness Security Reform Act 1984, Pub. L. 98-473)。WITSEC 法定基礎。來源等級 A。
42. USMS WITSEC Fact Sheet 2023。19,300+ 累計保護證人。來源等級 B。
43. Earley, P., & Shur, G. (2002). WITSEC. Bantam。WITSEC 制度史內部視角。來源等級 A。
44. DOJ Office of the Inspector General (2005). A Review of DOJ’s Witness Security Program. Audit Report 05-15; Pelisek, C. (2014). In Plain Sight. Counterpoint。WITSEC「無一被殺」統計的取樣偏差。來源等級 B。
45. Maas, P. (2003). Underboss: Sammy the Bull Gravano’s Story. HarperCollins; Pelisek 2014 同前。WITSEC 失敗案例紀錄。來源等級 B。
46. Brann, M. (2013). “Witness Protection and Sovereign Immunity.” Stanford Law Review 65; 28 U.S.C. § 2680(a)。FTCA 例外與訴訟豁免。來源等級 A/B。
47. Ziglar v. Abbasi, 137 S. Ct. 1843 (2017); Egbert v. Boule, 142 S. Ct. 1793 (2022)。Bivens 訴訟限縮。來源等級 A。
48. Pozen, D. E. (2013). “The Leaky Leviathan.” Harvard Law Review 127; Bok, S. (1983). Secrets. Pantheon。秘密與假名的法理史視角。來源等級 A。
49. Sunstein, C. R. (1997). Free Markets and Social Justice. Oxford UP。規則 vs 標準的規範基礎。來源等級 A。
50. Bingham 2010 同前; Sunstein 1997 同前。T.Trigger 三條子條款的法理基礎。來源等級 A。
51. Sunstein 1997 同前。「客觀可判定」的規範基礎。來源等級 A。
52. Bingham 2010 同前。Prospectivity 的規範基礎。來源等級 A。
53. Klass and Others v. Germany, App. No. 5029/71, ECtHR (1978-09-06); Roman Zakharov v. Russia, App. No. 47143/06, ECtHR [GC] (2015-12-04)。T.Authority 三條子條款的判決法基礎。來源等級 A。
54. Tyler 1990 同前; Tyler, T. R., & Huo, Y. J. (2002). Trust in the Law. Russell Sage。程序正義四要素的實證支撐。來源等級 A。
55. Klass v. Germany 同前; Roman Zakharov v. Russia 同前。國家秘密監控場景下的 ECtHR 判決法。來源等級 A。
56. Rakoff, T. D. (2014). Designing Constitutional Remedies. Harvard UP。救濟三分類。來源等級 A。
57. Rakoff 2014 同前。宣示性救濟的制度約束力分析。來源等級 A。
58. Bivens v. Six Unknown Named Agents, 403 U.S. 388 (1971); Carlson v. Green, 446 U.S. 14 (1980); Davis v. Passman, 442 U.S. 228 (1979)。「無實質救濟即無權利」法理線索。來源等級 A。
59. Solove, D. J. (2007). “I’ve Got Nothing to Hide…” San Diego L. Rev. 44; Cohen, J. E. (2013). “What Privacy Is For.” Harvard Law Review 126(7)。三件式作為最小必要條件的概念支撐。來源等級 A。
60. United States v. Morison, 844 F.2d 1057 (4th Cir. 1988); Vladeck, S. (2018). “Espionage Act and National Security Whistleblowing.” American University Law Review 67。Espionage Act 的廣義解釋對 trigger 可預測性的侵蝕。來源等級 A/B。
61. 中華人民共和國《網路安全法》(2017) § 24; 《數據安全法》(2021) § 35; 《個人信息保護法》(2021)。中國實名制與資料調取規範。來源等級 A。
62. Roman Zakharov v. Russia 同前。ECtHR 對缺乏獨立 Authority 監控制度的違反公約認定。來源等級 A。
63. Tyler & Huo 2002 同前。制度信任度對主動參與行為的迴歸係數。來源等級 A。
64. mashbean (2026). Article 03 digital-association-empirical-test 工作稿。被檢驗的 H1’ 三道牆假說。來源等級 D（內部交叉引用）。
65. 5 U.S.C. § 2302 同前; 18 U.S.C. § 1514A 同前; Directive (EU) 2019/1937 同前。吹哨者保護三件式填充。來源等級 A。
66. OSC FY2023 Annual Report 同前; MSPB 2018 同前。OSC 終局勝訴率歷年低於 5% 的政治經濟脆弱性。來源等級 B。
67. European Commission 2024 transposition status 同前; Whistleblower Protection EU Directive Coalition 2019- Implementation Tracker。EU 9 國 transposition infringement。來源等級 A/B。
68. Doe v. Cahill 同前; Dendrite 同前; 2theMart 同前; Mobilisa 同前。John Doe 三件式填充。來源等級 A。
69. Glassdoor v. Andra 同前; Music Group Macao 同前。跨州標準分歧與 forum shopping。來源等級 A。
70. Federal Rules of Criminal Procedure, Rule 6(e) 同前; 28 CFR § 50.9 同前。Sealed indictment 三件式填充。來源等級 A。
71. Andrew Miller 同前; Kitrosser 2015 同前。Sealed indictment 的 Authority 獨立性受限。來源等級 A。
72. Buckley 同前; BCRA 同前; NAACP v. Alabama 同前; AFP v. Bonta 同前。匿名捐款三件式填充。來源等級 A。
73. Hasen 2016 同前; OpenSecrets 2024 同前。FEC 兩黨僵局與 dark money 規模。來源等級 A/B。
74. 18 U.S.C. § 3521-3528 同前; USMS WITSEC Fact Sheet 2023 同前。WITSEC 三件式填充。來源等級 A/B。
75. Brann 2013 同前; Ziglar v. Abbasi 同前; Egbert v. Boule 同前。WITSEC 的 Authority 獨立性與 Remedy 可訴性問題。來源等級 A/B。
76. Pozen 2018 同前; Mulligan & Schneider 2011 同前。三件式部署落差的政治經濟分析。來源等級 A/B。
77. Lessig, L. (1999/2006). Code and Other Laws of Cyberspace. Basic Books; Reidenberg 1998 同前。類比推理 vs 結構同構的方法論基礎。來源等級 A。
78. Doe v. Reed 同前; California Constitution Article II § 8 (Initiative Process); 瑞士 Bundesverfassung Art. 138-139 (Volksinitiative)。公投連署的法律先例。來源等級 A。
79. Chaum, D. (1981). “Untraceable Electronic Mail, Return Addresses, and Digital Pseudonyms.” Communications of the ACM 24(2)。Mix-net 假名投票奠基。來源等級 A。
80. Vocdoni technical documentation + Census Authority Specification; Springall, D. et al. (2014). “Security Analysis of the Estonian Internet Voting System.” ACM CCS; Estonia Internet Voting Audit Reports。線上投票工程參考。來源等級 A/B/C。
81. Benaloh, J., & Tuinstra, D. (1994). “Receipt-free Secret-ballot Elections.” STOC。Receipt-free 設計的密碼學奠基。來源等級 A。
82. Doe v. Cahill 同前; Dendrite 同前。論壇假名身分的法律先例。來源等級 A。
83. Reporters Committee 2024 同前; Twitter Transparency Report 2022 H1 (subpoena 挑戰率); Reddit Transparency Reports 2022, 2023。論壇方應對 unmask 請求的實證資料。來源等級 A/B。
84. W3C Verifiable Credentials Data Model 2.0; Camenisch & Lysyanskaya 2001 同前。DID + VC + selective disclosure 工程基礎。來源等級 A。
85. Kleppmann, M. et al. (2024). Bluesky and the AT Protocol; AT Protocol Specification。Bluesky 設計參考。來源等級 A/B。
86. Twitter Transparency Report 2022 H1 同前; Donath, J. (1999). Identity and Deception in the Virtual Community。論壇 Authority 條款的政治經濟弱點。來源等級 B/A。
87. NAACP v. Alabama 同前; Brown v. Socialist Workers ‘74, 459 U.S. 87 (1982)。雙層原則與 NAACP 系譜延伸。來源等級 A。
88. Chaum, D., & van Heyst, E. (1991). “Group Signatures.” EUROCRYPT 1991; Camenisch, J., & Stadler, M. (1997). “Efficient Group Signature Schemes.” CRYPTO 1997。Accountable group signature 密碼學奠基。來源等級 A。
89. Talley v. California, 362 U.S. 60 (1960); McIntyre v. Ohio Elections Commission, 514 U.S. 334 (1995)。匿名表達的延伸支撐。來源等級 A。
90. Shamir, A. (1979). “How to Share a Secret.” Communications of the ACM 22(11); Herzberg, A. et al. (1995). “Proactive Secret Sharing.” CRYPTO 1995。Threshold key 密碼學工具基礎。來源等級 A。
91. Leigh, D., & Harding, L. (2011). WikiLeaks. Guardian Books; mashbean (2026). Article 01 accountability without identification 工作稿。WikiLeaks 早期集中化失敗範例。來源等級 B/D。
92. 18 U.S.C. § 1514A 同前; 15 U.S.C. § 78u-6 同前; Directive (EU) 2019/1937 同前。吹哨者三層階梯。來源等級 A。
93. SecureDrop Architecture Specification + Audit Reports; Boutet, A., & Brown, B. (2014). Whistleblowing Technologies and the Surveillance State。SecureDrop 部署規模與 metadata 紀律。來源等級 A/B。
94. Guja v. Moldova, App. No. 14277/04, ECtHR (2008-02-12); ECHR Article 6, 8, 10, 13。跨境吹哨者保護的 ECtHR 判例。來源等級 A。
95. SecureDrop Architecture 同前; Roberts, J. (2018). “Information Subsidies and Press Whistleblower Programs.” Journalism Studies。SecureDrop 在 70+ 新聞機構的部署。來源等級 A/B。
96. GlobaLeaks Documentation; OCCRP Aleph Documentation。互補吹哨工具線。來源等級 B。
97. Boutet & Brown 2014 同前; Schmidle 2018 同前。未受訓 newsroom 的 metadata 落入 Reality Winner 模式風險。來源等級 A/B。
98. W3C VC Data Model 2.0 同前; Camenisch & Stadler 1997 同前。場景間可移植性差異的工程基礎。來源等級 A。
99. mashbean (2026). Article 02 civic-proof-concept-positioning 工作稿。四場景 typology。來源等級 D（內部交叉引用）。
100. Marsden, C. T. (2011). Internet Co-Regulation. Cambridge UP。模板宣告的 co-regulation 框架。來源等級 B。
101. Mulligan & Schneider 2011 同前; Citron, D. K. (2008). “Technological Due Process.” Wash. U. L. Rev. 85。模板宣告作為 wallet 合法性錨點。來源等級 B。
102. Goldreich, O., Micali, S., Wigderson, A. (1987). “How to Play Any Mental Game.” STOC; Shamir 1979 同前。Threshold k-of-n 密碼學基礎。來源等級 A。
103. SecureDrop Architecture 同前; W3C VC Data Model 2.0 同前。Append-only Merkle tree audit log 設計。來源等級 A。
104. Shamir 1979 同前; Herzberg 1995 同前。Threshold cryptography + proactive secret sharing。來源等級 A。
105. Pozen 2013 同前; Kitrosser 2015 同前。Fiduciary duty 與啟封權力分配。來源等級 A。
106. Herzberg 1995 同前。Proactive secret sharing 的 key rotation 機制。來源等級 A。
107. mashbean (2026). Article 01 同前; Leigh & Harding 2011 同前。Article 01 W3 政治經濟成就警示。來源等級 D/B。
108. Tyler 1990 同前; Bingham 2010 同前。三層階梯救濟設計的程序正義基礎。來源等級 A。
109. Rakoff 2014 同前; Cohen, J. E. (2013) 同前。實質救濟類型與 chilling effect 推定損害。來源等級 A。
110. Rakoff 2014 同前。救濟三分類在契約規格中的應用。來源等級 A。
111. CLOUD Act, Pub. L. 115-141, 18 U.S.C. § 2713; Schwartz, P. M., & Solove, D. J. (2014). “Reconciling Personal Information.” California Law Review 102(4)。Forum selection 與跨法域對接。來源等級 A。
112. mashbean (2026). Prompt 14 cross-jurisdictional-redress-gap 工作稿。Race-to-the-bottom 下限。來源等級 D（內部交叉引用）。
113. UNCAC art. 33; EU Charter of Fundamental Rights, Art. 11, 47。國際法層面的吹哨者保護承認。來源等級 A。
114. Schwartz, P. M., & Solove, D. J. (2014) 同前; Bradford, A. (2020). The Brussels Effect. Oxford UP。立法路徑的時間成本與制度移植。來源等級 A。
115. Dorf, M. C., & Sabel, C. F. (1998). “A Constitution of Democratic Experimentalism.” Columbia Law Review 98(2); Gunningham, N., Grabosky, P., & Sinclair, D. (1998). Smart Regulation. Oxford UP。民主實驗主義與 regulatory mix。來源等級 A。
116. Cranor, L. F. (2002). Web Privacy with P3P. O’Reilly; W3C P3P 1.0 Specification (2002); W3C DNT Working Group Note (2019); Hoofnagle, C. et al. (2012). “Behavioral Advertising.” Harvard Law & Policy Review 6; Apple ATT Developer Documentation (2021); EU Commission COM(2018) 43 final。P3P / DNT 失敗對 Apple ATT 部分成功的歷史對照。來源等級 A/B/C。
117. 中華人民共和國《網路安全法》(2017) § 24; 《數據安全法》(2021) § 35 同前。中國實名制與廣義資料調取授權。來源等級 A。
118. 中華人民共和國憲法第 35 條; 《行政訴訟法》第 13 條。形式承認與實質運作落差。來源等級 A。
119. Hualing Fu (2021). Hong Kong’s National Security Law. Edward Elgar。「模板不成立時的後果展示」概念支撐。來源等級 B。
120. Fu 2021 同前。香港 2020 國安法後 John Doe 訴訟收窄。來源等級 B。
121. 28 U.S.C. § 2680(a) 同前; Brann 2013 同前。FTCA discretionary function exception。來源等級 A/B。
122. Ziglar v. Abbasi 同前; Egbert v. Boule 同前。Bivens 訴訟適用空間限縮。來源等級 A。
123. Pelisek 2014 同前; Maas 2003 同前。WITSEC 違規洩漏致死案例與救濟空白。來源等級 B。
124. Brann 2013 同前。WITSEC T.Remedy 制度設計與部署落差的系統整理。來源等級 A。
125. Schmidle 2018 同前; EFF 2017 同前。Reality Winner 案 metadata 控制失敗的結構性教訓。來源等級 B。
126. EFF 2017 Yellow Dots of Mystery 同前; United States v. Reality Winner 同前。Microdot tracking pattern 與媒體事實核查程序。來源等級 B/A。
127. Schmidle 2018 同前; Lichtenstein 2020 同前。次級 Authority 結構性缺位的法律分析。來源等級 B/A。
128. Directive (EU) 2019/1937 同前; ECHR Article 6, 8, 10, 13 同前; Council of Europe Convention 108+ (modernized 2018), Art. 9。EU 跨境協作模型。來源等級 A。
129. CLOUD Act 同前; Regulation (EU) 2016/679 (GDPR), OJ L 119/1, 2016-05-04, Art. 6, 49。CLOUD Act vs GDPR 衝突。來源等級 A。
130. United States v. Microsoft Corp., 138 S. Ct. 1186 (2018) (vacated)。CLOUD Act 通過後 Microsoft 案被撤銷。來源等級 A。
131. mashbean (2026). Prompt 14 同前。跨法域救濟空白由 prompt 14 處理。來源等級 D。
132. Roman Zakharov 同前; 中國《網路安全法》§ 24 同前。威權國家三件式部署的退化。來源等級 A。
133. Hualing Fu 2021 同前。香港對照組與政治脈絡邊界。來源等級 B。
134. Pozen 2018 同前; Bradford 2020 同前。憲政民主基礎條件的多法域比較。來源等級 A。
135. CNIL 2022/2024 Online age verification technical guidance。CNIL 雙重匿名年齡驗證對照組。來源等級 B。
136. France Loi du 30 juillet 2020 (n° 2020-936) 同前; GDPR Art. 83 (4% 全球營收罰則)。CNIL 三件式齊備配置。來源等級 A。
137. 45 C.F.R. Parts 160, 164 (HIPAA Privacy Rule); FATF Recommendations。具法效簽章與假名化內生衝突。來源等級 A。
138. FATF Travel Rule; CLOUD Act 同前。稅務金融合規的跨境身分強制要求。來源等級 A。
139. Benaloh & Tuinstra 1994 同前; Springall 2014 同前。Receipt-free 與 T.Remedy 內生張力。來源等級 A/B。
140. 45 C.F.R. Parts 160, 164 同前; GDPR Art. 9 (special categories)。醫療紀錄假名化的規範重疊。來源等級 A。
141. Children’s Online Privacy Protection Act (COPPA), 15 U.S.C. §§ 6501-6506。兒童保護線上身分驗證的獨立要求。來源等級 A。
142. Pozen 2018 同前。規範條件與政治經濟條件的判準分離。來源等級 A。
143. Massanari, A. (2017). “#Gamergate and The Fappening.” New Media & Society; Spada, P., Mellon, J., Peixoto, T. (2016). Effects of the Internet on Participation. World Bank。技術與制度演化的開放空間。來源等級 B。
144. mashbean (2026). Article 01 同前。W3 政治經濟成就警示。來源等級 D。
145. mashbean (2026). Article 02 同前。Article 02 typology 的法律支柱填補。來源等級 D。
146. mashbean (2026). Article 03 同前。T 三件式與 H1’ 三道牆同構但用於不同層級。來源等級 D。
147. mashbean (2026). Prompt 11 wallet-as-essential-facility 工作稿。Wallet 合法性論證錨點。來源等級 D。
148. mashbean (2026). Prompt 14 同前。跨法域 forum selection 與救濟邊界。來源等級 D。
149. Nissenbaum, H. (2010). Privacy in Context. Stanford UP。非西方法系可移植性的開放問題。來源等級 A。
150. Sunstein 1997 同前; Bingham 2010 同前。三件式 vs 四件式辯論的概念基礎。來源等級 A。
151. Springall 2014 同前; Vocdoni technical documentation 同前。ZK voting 主流化的技術軌跡。來源等級 A/B。
152. Wyoming DAO LLC Act (W.S. 17-31-101 et seq.); 馬紹爾群島 DAO LLC Act 2022。DAO 法律承認光譜。來源等級 A/D。
153. Citron 2008 同前。演算法治理場景下 T.Authority 重構需求。來源等級 B。
154. Black, J. (2002). Critical Reflections on Regulation; FCA / MAS 金融科技沙盒文件。契約規格與監管沙盒關係。來源等級 A/D。