知道的代價:必要知情、認知負荷與資訊倫理的雙向責任
副標題:從保密管理到承知倫理的跨域初探
版本:v0.2 公開論文初稿(新增附錄 B)
日期:2026 年 6 月
領域:情報倫理、資訊倫理、認知科學、組織治理、知識管理
摘要
一般對於資訊倫理的討論,常在「知情權」與「保密義務」之間擺盪:一方強調透明、公開、告知與問責,另一方強調安全、機密、權限與風險控制。本文試圖提出一個補充性的觀點:知情並非單純的權利授予,也不只是資訊持有者單方面承受的洩密風險;知情本身具有雙向代價。資訊一旦被授予,不只增加揭露者的安全、法律與組織風險,也可能增加承知者的認知負荷、心理壓力、道德責任、選邊成本、誘惑暴露與牽連風險。
本文提出「雙向知情代價模型」(bidirectional cost of knowing model),主張資訊授權應從「誰值得信任」轉向「誰在任務上有必要知道,並且有能力承擔知道之後的後果」。在此框架下,保密不是不信任他者,而是不把不必要的認知重量交給不需要承擔的人;透明也不是無限制公開,而是以目的、任務、能力、脈絡與問責為條件的可治理揭露。本文綜合資訊倫理、最小權限原則、資料最小化原則、認知負荷理論、資訊過載研究、知識不正義與「不知情權」等脈絡,嘗試建立一套可用於組織治理、AI 系統設計、企業機密管理與高風險知識傳遞的初步倫理框架。
關鍵詞: 情報倫理、資訊倫理、必要知情、認知負荷、最小權限、資料最小化、承知倫理、組織治理、知識管理、保密倫理
1. 問題意識:知情不只是權利,也是一種重量
現代社會高度重視透明。政治治理要求資訊公開,企業治理要求揭露與問責,醫療倫理強調知情同意,科技倫理也不斷要求演算法透明、資料治理與可解釋性。這些要求多半合理,因為權力若完全躲在不透明之中,容易形成濫權、操控、剝削與不可追責的制度。
然而,透明並不等於無限制揭露。資訊不是沒有重量的物品。某些資訊一旦被知道,就會改變承知者的責任、風險、心理狀態與行動位置。人知道某件事之後,可能不能再假裝不知道;可能被迫承擔保密義務;可能因為理解了某個脆弱系統而被捲入風險;可能因為接觸商業機密而失去某些職涯自由;可能因為得知高壓決策的內幕而承受道德壓力;也可能因為知道某些敏感事實而成為攻擊、利誘或調查的目標。
因此,本文的核心命題是:
知道的代價是雙向的。資訊揭露不只影響資訊持有者,也改變資訊承知者的認知、倫理與社會位置。
這個命題並不否定知情權,也不為任意保密辯護。相反地,它要求我們更精確地區分三件事:
- 應該被公開的資訊:涉及公共利益、權力問責、權益保障與公平程序的資訊。
- 應該被必要揭露的資訊:特定任務、角色、決策或風險承擔所必需的資訊。
- 不應任意擴散的資訊:知道它並不增加正當行動能力,反而增加承知者與組織風險的資訊。
在此意義上,本文試圖將保密從低階的「防洩漏管理」提升為一種更細緻的「承知倫理」:誰需要知道?為何需要知道?知道到什麼程度即可?何時知道最好?知道之後需要什麼保護、訓練與責任邊界?誰不應被迫承受不必要的知情代價?
2. 既有脈絡:從資訊倫理到最小權限
2.1 資訊倫理:資訊不是中性的流動物
資訊倫理研究長期關注資訊生成、處理、傳播與使用所帶來的道德問題。Floridi 的資訊倫理將道德關懷延伸至資訊環境與資訊實體,提醒我們資訊社會中的傷害並不只發生於物理層面,也發生於資訊結構、資訊關係與資訊存在方式之中。資訊被扭曲、濫用、污染、壟斷或不當揭露,都可能產生倫理後果。
本文承接此問題意識,但焦點放在一個較少被單獨突出的面向:資訊揭露對承知者本身的代價。許多討論關心「資訊是否應被揭露」,但較少問:「某人被授予資訊之後,他是否真的受益?是否有能力承擔?是否因此承受不必要的責任?」
2.2 最小權限與必要知情:安全原則的倫理化
在資訊安全領域,「最小權限」(least privilege)是一項基本原則:使用者或系統只應取得完成任務所需的最低必要存取權限。NIST SP 800-53 的 AC-6 控制項即以此為核心,要求授予完成組織任務所必要的授權存取,而非寬泛授權。這原本是安全工程原則,但它也可以被轉化為倫理原則。
若某人不需要某項資訊來完成任務,卻被授予該資訊,風險並不只增加於組織端。承知者也可能因此承擔更高保密責任、法律風險與心理壓力。從這個角度看,最小權限不是單純的「不相信員工」,而是避免把不必要的資訊重量交給不需要承擔的人。
本文將此原則概括為:
資訊權限應依任務而生,不依關係而開。
在成熟組織中,親近、信任、資歷與地位不應自動等於全知授權。真正合理的資訊授權應該依據任務必要性、承擔能力、保密訓練、風險等級與問責機制。
2.3 資料最小化:不是收越多越好,也不是知越多越好
GDPR 第 5 條將「資料最小化」(data minimisation)列為個人資料處理原則之一,要求資料處理應限於與目的相關且必要的範圍。這個原則通常用於限制個資蒐集與處理,但其背後可延伸出更一般的倫理精神:在資訊治理中,「更多」不必然更好;超出目的的資訊蒐集、揭露與保存,都會增加風險。
若將此精神移植到組織知識與高敏感資訊管理中,可以形成「知情最小化」的概念:
在不損害正當決策與必要問責的前提下,讓每個人只知道其任務、責任與安全所必要知道的內容。
這不是反透明,而是反對無目的、無界線、無配套的資訊擴散。
2.4 認知負荷與資訊過載:人不是無限容量的接收器
認知科學提醒我們,人類不是無限容量的資訊處理器。認知負荷理論指出,工作記憶容量有限,當任務要求超過處理能力時,學習與決策品質會下降。資訊過載研究也指出,過量資訊可能損害決策品質、延長決策時間、降低滿意度並增加壓力。
這對資訊倫理具有直接意義:即使某些資訊是真實的、有價值的,也不代表所有人在任何時點都適合接收它。資訊揭露若不考慮承知者的認知狀態、任務能力、脈絡準備與支持機制,可能使承知者陷入混亂、焦慮、過度責任感或錯誤決策。
2.5 不知情權:知道也可能不是自主的唯一形式
在生命倫理與遺傳資訊領域,「知情權」與「不知情權」曾被反覆討論。歐洲《人權與生物醫學公約》(Oviedo Convention)第 10 條同時承認個人對健康資訊的知情權與不知情權。UNESCO 關於人類遺傳資料的討論也承認,在某些脈絡下,個人有權決定是否接收與自己有關的遺傳資訊。
雖然本文討論的不局限於醫療或遺傳資訊,但「不知情權」提供了一個重要啟示:自主不一定等於接收所有資訊。某些情境下,尊重人也包括尊重他不被迫承受某些資訊後果的權利。
2.6 知識不正義:資訊分配也可能傷害人的認知地位
Fricker 的「知識不正義」理論指出,人可能在作為知識主體時受到不公對待,例如其證言被不合理貶低,或其經驗缺乏合適的社會詮釋資源。這提醒我們,資訊倫理不能只問「資訊是否流動」,還要問「誰被承認為能知道的人」「誰被允許解釋」「誰有足夠語言理解自身經驗」。
本文的觀點與此並不衝突。必要知情倫理不應成為壓制弱勢者知情權的工具。相反地,它必須與知識正義並行:該知道的人不應被排除;不需要承擔的人不應被強迫承擔;資訊授權不應成為階級控制,而應成為任務、風險與承擔能力的精準配置。
3. 雙向知情代價模型
本文提出「雙向知情代價模型」。它主張每一次資訊揭露至少涉及兩組成本:
- 揭露者/組織端成本:洩密風險、安全風險、法律風險、商業風險、戰略風險、權力問責風險。
- 承知者端成本:認知負荷、心理壓力、道德責任、行動限制、誘惑暴露、被牽連風險、職涯約束與社會關係成本。
傳統保密治理較重視第一類成本。本文則主張第二類成本同樣重要。
3.1 承知者端成本的七種類型
3.1.1 認知負荷成本
承知者可能接收超過其任務需求或理解能力的資訊,導致工作記憶負擔增加、判斷混亂、任務偏移或過早接觸高階複雜性。這在新進員工、跨域協作者、外包人員與短期顧問中尤其常見。
3.1.2 心理壓力成本
某些資訊即使不要求立即行動,也會造成壓力。例如公司重大危機、內部衝突、投資風險、未公開裁撤計畫、法律糾紛或高度敏感技術路線。承知者若無決策權,卻知道重大風險,可能陷入無力感與焦慮。
3.1.3 道德責任成本
知道某件事後,人可能被迫面對道德選擇:是否告知他人?是否介入?是否沉默?是否成為共犯?某些資訊會把承知者推入倫理困境,而他未必有足夠權限或能力處理。
3.1.4 行動限制成本
承知者知道機密後,其未來行動可能受限。例如不能參與競品、不能公開某些經驗、不能將特定內容放入作品集、不能自由討論某些方法。這些限制可能合理,但不應在非必要情況下任意加諸他人。
3.1.5 誘惑暴露成本
高價值資訊會帶來誘惑。承知者可能面臨外部利誘、社交炫耀、作品集展示、跳槽籌碼、投資交易或自我膨脹的誘惑。對某些人而言,不知道反而比較安全。
3.1.6 被牽連風險
知道機密的人可能成為攻擊、調查、詐騙、社交工程或法律程序的目標。資訊存取紀錄也可能在事後成為責任追蹤依據。若某人沒有必要知道,讓他知道就是讓他進入不必要的風險半徑。
3.1.7 關係成本
知情會改變人際關係。當一個人知道別人不知道的事,他可能在團隊中被隔離、被猜疑、被要求透露、被迫選邊,或因不能解釋而被誤解。資訊差不只是認知差,也會改變社會位置。
4. 必要知情不是反透明:三種錯誤理解
必要知情原則容易被誤解,因此需要先排除三種錯誤解讀。
4.1 錯誤一:把必要知情當成權力遮蔽
必要知情不能被用來掩蓋違法、濫權、剝削、歧視或公共危害。當資訊涉及公共利益、勞動權益、投資人權益、使用者安全、資料濫用或重大倫理風險時,適當揭露與問責可能是必要的。
換言之,必要知情不是「上位者想保密就保密」,而是要求每一項資訊遮蔽都能回答:遮蔽目的是否正當?遮蔽範圍是否比例適當?是否有替代問責機制?是否保護了相關人的權益?
4.2 錯誤二:把信任等同於全知授權
在人際與組織文化中,信任常被誤解為「我相信你,所以我什麼都讓你知道」。然而,在高風險資訊環境中,這種理解過於粗糙。成熟信任不是取消邊界,而是建立可預期、可承擔、可問責的邊界。
本文提出:
信任不是全知授權,而是精準授權。
讓某人知道不必要的機密,並不一定是尊重他,反而可能是不負責任地把風險轉嫁給他。
4.3 錯誤三:把不讓人知道理解為貶低能力
資訊分層不必然意味著不信任或看不起。很多時候,不授權只是因為任務不需要。成熟組織應該讓成員理解:權限不是人格評價,而是任務配置。
若權限分配被人格化,團隊容易產生猜疑:「為什麼他知道我不知道?是不是我不被信任?」因此,必要知情制度必須搭配清楚的權限邏輯與溝通文化:不知情不是低等,知情也不是特權;知情只是責任與任務的結果。
5. 承知倫理:從保護秘密到保護承知者
本文將「承知倫理」定義為:
在資訊揭露前後,對承知者的認知能力、心理負擔、道德責任、行動限制與風險牽連進行評估、限制與支持的倫理實踐。
它包含五個基本問題:
- 必要性問題:此人完成任務是否真的需要知道?
- 比例性問題:他需要知道全部,還是只需要知道部分?
- 時機問題:現在知道是否過早?是否應分階段揭露?
- 能力問題:他是否具備理解、保密、承擔與使用資訊的能力?
- 支持問題:知道之後,是否有足夠制度、法律、心理與工作流程支持?
這套問題將資訊治理從靜態權限表,推向動態責任設計。
5.1 分層揭露
資訊不必只有「完全公開」與「完全保密」兩種狀態。更合理的方式是分層揭露:
- 公開層:可被外界理解與引用的資訊。
- 工作層:完成一般任務所需的流程、素材、規格與背景。
- 機密層:涉及未公開產品、商業策略、核心技術與敏感資料。
- 王冠層:涉及組織長期生存、不可替代核心知識、關鍵算法或戰略命脈。
分層揭露的目標不是製造神秘感,而是降低不必要風險,並避免讓不需要知道的人被捲入高風險資訊場。
5.2 局部化揭露
除了分層,還需要局部化。某人可能需要知道某個專案的介面規格,但不需要知道底層算法;需要知道美術風格,但不需要知道商業談判;需要知道測試資料結構,但不需要知道使用者身份;需要知道故事設定,但不需要知道未公開產品路線。
局部化揭露的倫理重點是:
給足以完成任務的資訊,而不是給足以暴露整個系統的資訊。
5.3 延遲揭露
某些資訊不是永遠不能知道,而是不應過早知道。過早揭露可能造成焦慮、誤判、權力競逐或策略外洩。尤其在創業、研發、法律、投資與人事調整中,資訊時機本身就是治理問題。
延遲揭露必須受到限制:它不能用於欺騙應知情者,也不能損害其重大權益。合理延遲的依據應是任務成熟度、風險控制與決策時點,而不是權力者的便利。
5.4 可撤回與可遺忘的近似設計
現實中,人一旦知道某事,很難真正「不知道」。因此,高風險資訊揭露前更應謹慎。但制度仍可設計近似的「遺忘」與「撤回」機制,例如:
- 限時存取。
- 禁止下載。
- 分段水印。
- 存取紀錄。
- 離職後權限回收。
- 文件版本撤銷。
- 僅允許閱讀摘要而非原始資料。
- 對敏感資訊進行抽象化、去識別化或模組化。
這些技術措施不能消除人腦中的記憶,但能降低再傳播、複製與濫用風險。
5.5 承知後支持
若某人必須知道高風險資訊,組織不應只要求他簽保密協議,還應提供:
- 清楚的可說與不可說邊界。
- 遇到外部詢問時的回應模板。
- 作品集與公開經歷的合法表述方式。
- 法律與合約責任說明。
- 心理壓力或道德困境的回報管道。
- 離職交接與資料清除流程。
承知者不是機密容器,而是承擔責任的人。
6. 組織治理中的應用
6.1 招聘階段
在招聘中,組織常希望快速判斷候選人的能力與可信度。但若過早揭露核心機密,候選人還未建立關係、責任與法律邊界,就已經被放進高風險資訊場。更好的做法是使用假資料、外圍題目、抽象規格與付費試作來觀察能力。
招聘時可觀察的重點包括:
- 候選人是否尊重前雇主或前合作方的機密。
- 是否能清楚區分自己與團隊貢獻。
- 是否主動詢問哪些內容可以公開。
- 是否能在不接觸核心機密的情況下完成風格拆解或系統設計。
- 是否能接受分層授權,而非急於接觸所有資料。
最值得警惕的人,不一定是能力差的人,而是能力強但邊界感模糊的人。
6.2 專案協作
專案協作中,必要知情原則可具體化為:
- 每個任務附帶資料需求表。
- 每個角色只取得任務所需資料。
- 高敏感資料需有存取理由與期限。
- 非核心協作者使用抽象化規格。
- 外包人員不接觸不可替代核心。
- 跨部門共享前先進行資訊裁剪。
這不只是防止洩漏,也能減少團隊成員的認知負荷,使每個人專注在真正需要處理的問題上。
6.3 核心機密管理
對具有高經濟價值或戰略價值的資訊,組織應採取合理保密措施。這與營業秘密法制的精神一致:資訊若要被視為受保護的秘密,通常需要具備不為一般人知悉、因秘密性具有經濟價值,以及持有人採取合理保密措施等條件。
因此,組織不能只說「這很重要」,還必須以制度證明它被當成重要資訊管理:
- 明確標記機密等級。
- 紀錄存取者與存取目的。
- 簽署適當保密協議。
- 限制複製與外傳。
- 定期審查權限。
- 對離職、轉任、外包結束進行回收流程。
這些措施同時保護組織,也保護承知者。因為清楚邊界能降低「我不知道能不能講」的模糊壓力。
6.4 透明與問責
必要知情原則必須搭配問責機制。否則它可能被濫用為不透明權力。組織可透過以下方式平衡:
- 對外公開足以建立信任的原則與流程。
- 對內建立申訴與吹哨管道。
- 對高風險資訊遮蔽建立審查紀錄。
- 對權限配置定期審核。
- 對涉及公共利益的資訊建立例外處理機制。
成熟的資訊治理不是所有人知道所有事,而是讓應知者知道,讓不應濫權者被監督,讓不必要承擔者免於被資訊壓迫。
7. AI 與 Agent 時代的特殊意義
AI 與 Agent 系統使資訊揭露問題更加複雜。過去,資訊主要被人閱讀與記憶;現在,資訊可能被模型摘要、嵌入、索引、檢索、轉寫、重組、代理執行與二次生成。這意味著「讓某人或某系統知道」的後果更難控制。
7.1 Agent 不應自動取得全部上下文
在 AI-native 工作流中,常見做法是把大量資料丟給 Agent,期待它自行理解任務。但從必要知情倫理看,這並不理想。Agent 也應遵循最小權限:只取得完成當前任務所需的上下文、工具與資料。
這樣做有三個理由:
- 降低敏感資訊外洩或被錯誤引用的風險。
- 降低模型受無關資訊干擾的機率。
- 讓任務輸出更容易被追蹤與審核。
7.2 AI 系統中的承知者不只包括人
當 AI 系統具有檢索、記憶與工具使用能力時,「承知者」不再只限於人,也包括模型、代理流程、資料庫、向量索引、日誌系統與第三方 API。資訊治理因此需要問:
- 哪個模型看到過資料?
- 是否被寫入長期記憶?
- 是否進入可檢索索引?
- 是否被外部工具處理?
- 是否被記錄在日誌中?
- 是否可能在未來任務中被錯誤召回?
在這個脈絡下,必要知情原則更應成為 AI 系統設計的核心,而不只是人事管理原則。
7.3 對 AI 的透明也應區分層級
AI 倫理經常要求透明與可解釋,但透明也需要分層。對一般使用者,需要知道系統用途、限制、資料使用、風險與申訴方式;對審計者,需要更深的模型、資料與流程資訊;對攻擊者,不應公開可被利用的安全細節。
因此,AI 透明不是把所有內部機制裸露出來,而是根據權利、風險、角色與問責需求提供適當層級的可理解資訊。
8. 反對意見與回應
8.1 反對意見一:必要知情會被權力者濫用
這是合理擔憂。任何保密原則都可能被權力者濫用。因此,必要知情必須和問責、審查、吹哨保護、權益保障與公共利益例外並行。本文主張的不是任意遮蔽,而是比例化、可審計、可說明的資訊分配。
8.2 反對意見二:人有權知道與自己有關的事
原則上是對的。本文並不否定個人對自身權益、健康、資料、勞動條件與法律責任的知情權。本文討論的是:當某些資訊與某人任務或權益沒有直接關係,或其揭露只增加風險而不增加正當行動能力時,是否仍應讓他知道。必要知情不能侵犯基本權利,但可以限制不必要的機密擴散。
8.3 反對意見三:不讓人知道會降低團隊信任
如果權限管理缺乏說明,確實會降低信任。但若組織清楚建立「權限依任務而非親疏」的文化,反而能提升信任。成員會知道自己不必背負不必要秘密,也知道若任務需要,組織會提供足夠資訊與支持。
8.4 反對意見四:高創造力需要資訊自由流動
創造力確實需要跨域資訊流動,但不是所有資訊都必須原樣流動。組織可以透過摘要、抽象模型、去識別化案例、模組化介面與安全沙盒,讓創作者取得足夠刺激與脈絡,而不暴露不可替代核心。資訊自由與機密保護不是二選一,而是設計問題。
9. 初步原則:承知倫理八條
本文提出以下八條原則,作為後續討論起點。
原則一:必要性原則
資訊揭露應基於任務、權利、責任或公共利益的必要性,而非關係親疏、好奇、地位象徵或權力展示。
原則二:比例性原則
承知者應取得足以完成任務的資訊量,而非自動取得完整系統。知道多少,應與任務需求、風險等級與承擔能力成比例。
原則三:承擔能力原則
高風險資訊揭露前,應評估承知者是否具備理解、保密、判斷與承擔後果的能力。
原則四:分階段揭露原則
資訊可依任務進展、信任累積、責任升級與風險成熟度分階段揭露,而非一次性全量交付。
原則五:承知者保護原則
保密制度不只保護秘密,也應保護承知者免於不必要的心理壓力、法律風險、社會牽連與行動限制。
原則六:透明問責原則
必要知情制度本身必須可說明、可審核、可申訴,並對公共利益、權益保障與違法風險保留適當例外。
原則七:最小持有原則
不只人員權限應最小化,文件、索引、模型記憶、日誌與第三方工具的資料持有也應最小化。
原則八:邊界教育原則
組織應教育成員理解資訊邊界:什麼可說、什麼不可說、什麼可公開、什麼只能抽象描述、離職後什麼不能帶走。
10. 一個可操作的評估表
在揭露高敏感資訊前,可使用以下問題作為簡易評估:
| 面向 | 問題 | 若答案是否定 |
|---|---|---|
| 任務必要性 | 此人完成任務是否必須知道? | 不揭露或只給摘要 |
| 權益相關性 | 此資訊是否直接影響其權利或安全? | 可降低揭露層級 |
| 比例性 | 是否可只揭露部分資訊? | 採取局部化揭露 |
| 時機 | 現在是否是適當時點? | 延遲或分階段揭露 |
| 承擔能力 | 此人是否理解風險與義務? | 先訓練與說明 |
| 支持機制 | 知道後是否有明確可說/不可說邊界? | 先建立文件與流程 |
| 技術控制 | 是否有限時、紀錄、權限與防複製措施? | 先補安全措施 |
| 問責例外 | 若涉及公共利益或違法風險,有無申訴機制? | 建立例外流程 |
這張表的目的不是官僚化資訊,而是避免資訊揭露變成情緒化、關係化與臨時化決策。
11. 討論:資訊倫理需要處理「不必要知道」
現代資訊倫理多半重視「不該隱瞞應知資訊」。這非常重要。但另一方面,我們也需要處理「不該讓人承擔不必要知道」。
在資訊稀缺時代,知道通常意味著權力;在資訊過剩與高風險知識密集時代,知道也可能意味著負擔。當組織、AI 系統、平台與知識工作流快速擴張時,資訊治理不能只追求更多揭露,也不能只追求更強封鎖,而要追求更精準的承知配置。
本文的核心句可以概括為:
知情不是恩賜,而是負擔;授權不是親近,而是必要。
這句話包含兩層倫理意義。第一,資訊持有者不應以「我信任你」為理由,將不必要風險交給他者。第二,承知者也不應把「我想知道」自動等同於「我應該知道」。成熟資訊倫理需要同時約束隱瞞者與好奇者。
12. 結論
本文提出「知道的代價是雙向的」作為情報倫理與認知科學之間的橋接命題。資訊揭露不只會增加組織與資訊持有者的洩漏風險,也會改變承知者的認知負荷、心理狀態、道德責任、社會位置與行動自由。因此,資訊治理不應停留在「公開或保密」的二分,而應發展出必要知情、比例揭露、承知者保護、分層權限與透明問責並重的承知倫理。
這套觀點可應用於企業機密、研發組織、AI Agent 工作流、醫療資訊、法律協作、平台治理與高風險知識管理。它不反對透明,而是要求透明有層次;它不否定信任,而是要求信任有邊界;它不只是保護秘密,也保護那些不需要承擔秘密重量的人。
最後,本文以兩句格言收束:
一個人不需要知道全部,就不要讓他知道全部。
知道的代價是雙向的;秘密不只保護持有者,也保護不必承知者。
參考文獻與延伸資料
以下為公開初稿參考脈絡,後續正式投稿或出版時可再依 APA、Chicago 或期刊格式整理。
Floridi, Luciano. “Information Ethics, Its Nature and Scope.” 2006. PhilArchive.
https://philarchive.org/archive/FLOIEIEuropean Union. General Data Protection Regulation, Article 5: Principles relating to processing of personal data.
https://gdpr-info.eu/art-5-gdpr/National Institute of Standards and Technology. Privacy Framework.
https://www.nist.gov/privacy-frameworkNIST SP 800-53 Rev. 5, AC-6: Least Privilege.
https://csf.tools/reference/nist-sp-800-53/r5/ac/ac-6/Sweller, John. “Cognitive Load During Problem Solving: Effects on Learning.” Cognitive Science, 1988.
https://onlinelibrary.wiley.com/doi/10.1207/s15516709cog1202_4Sweller, John, van Merriënboer, Jeroen J. G., and Paas, Fred. “Cognitive Architecture and Instructional Design.” 1998.
https://link.springer.com/article/10.1023/A%3A1022193728205Che, J. “Why information overload damages decisions? An explanation based on cognitive load theory.” 2019.
https://journal.psych.ac.cn/xlkxjz/EN/10.3724/SP.J.1042.2019.01758Council of Europe. Oviedo Convention and human rights principles regarding health. Article 10 includes the right to know and right not to know.
https://www.coe.int/en/web/human-rights-and-biomedicine/the-oviedo-convention-and-human-rights-principles-regarding-healthUNESCO. International Declaration on Human Genetic Data, Article 10.
https://www.unesco.org/en/legal-affairs/international-declaration-human-genetic-dataFricker, Miranda. Epistemic Injustice: Power and the Ethics of Knowing. Oxford University Press, 2007.
https://academic.oup.com/book/32817Zuboff, Shoshana. The Age of Surveillance Capitalism. Harvard Business School faculty page.
https://www.hbs.edu/faculty/Pages/item.aspx?num=56791Cornell Legal Information Institute. “Trade Secret.”
https://www.law.cornell.edu/wex/trade_secretOECD. AI Principles. Adopted 2019, updated 2024.
https://www.oecd.org/en/topics/sub-issues/ai-principles.html
附錄 A:可公開使用的短版摘要
本文提出「知道的代價是雙向的」作為資訊倫理與認知科學之間的橋接命題。資訊揭露不只增加資訊持有者的洩密風險,也可能增加承知者的認知負荷、心理壓力、道德責任、行動限制與牽連風險。因此,成熟的資訊治理不應只在公開與保密之間二分,而應建立必要知情、比例揭露、分層授權、承知者保護與透明問責並重的承知倫理。本文主張,保密不必然是不信任,透明也不等於全量公開;信任不是全知授權,而是精準授權。秘密不只保護持有者,也保護不必承知者免於不必要的知情代價。
附錄 B:保護性保密與遮蔽性保密:情報倫理的必要區分
本附錄將本文「知道的代價是雙向的」一命題延伸至情報倫理、國家安全治理與公共機密制度。其目的不是為任意保密辯護,也不是削弱民主社會中透明、監督與問責的價值,而是提出一項必要區分:保密本身不具有單一倫理性質;保密可能是保護,也可能是遮蔽。
在公共討論中,「機密」常被直覺地視為權力不透明、政府逃避問責或組織壓制資訊的工具。這種警覺有其必要,因為歷史上確實存在大量以國家安全、商業秘密、內部紀律或公共秩序之名掩蓋濫權的案例。然而,若因此把所有保密都視為反公共、反人民或反民主,也會落入另一種天真:並非所有真相都適合在任何時間、以任何形式、對所有人全量公開。
有些資訊一旦公開,不只會傷害政府或組織,也會傷害人民、線人、受害者、外交空間、未完成的保護行動、脆弱基礎設施,甚至使敵對者、犯罪組織或惡意行動者獲得攻擊優勢。在這種情境下,保密不只是權力特權,也可能是一種公共責任。
因此,本附錄提出「保護性保密」與「遮蔽性保密」的區分。
B.1 保護性保密
保護性保密是指資訊不公開的主要理由在於保護公共利益、人民安全、行動對象、情報來源、脆弱群體、制度功能或尚未完成的風險處理。
典型情境包括:
- 保護情報來源與線人安全:若公開資訊會暴露提供資訊者、臥底人員、協作者或其家屬,使其遭受報復、追殺、拘禁或社會性毀滅,保密具有強烈倫理正當性。
- 保護正在進行的行動:若公開將使反恐、反間諜、救援、調查、反詐騙、重大犯罪偵辦或危機處理行動失敗,保密可以避免更大傷害。
- 保護脆弱基礎設施:若公開系統漏洞、能源管線弱點、通訊節點、網路防禦細節或緊急應變盲點,會直接增加攻擊者能力,則完整公開可能不符合公共利益。
- 保護受害者與弱勢群體:涉及性暴力、兒童、難民、證人保護、政治迫害者或高風險個案的資訊,公開可能造成二次傷害。
- 保護外交與談判空間:某些協商若在未成熟階段全量公開,可能使各方無法退讓、升高衝突,或讓保護人民的實際解法失去可行性。
- 防止惡意學習:某些高風險技術、攻擊流程、規避方式與安全弱點若被不加處理地公開,可能使惡意者獲得可操作能力。
這些情境的共同點是:資訊不公開的目的不是保護權力者的面子、利益或免責,而是避免資訊本身以錯誤方式進入公共環境後造成可預見傷害。
換言之,保護性保密的核心句是:
有些機密之所以不能公開,不是因為真相不屬於人民,而是因為真相一旦以錯誤方式、錯誤時機、錯誤範圍公開,會反過來傷害人民。
B.2 遮蔽性保密
遮蔽性保密是指保密的主要功能不是保護公共利益,而是掩蓋濫權、腐敗、失職、非法監控、錯誤決策、權力鬥爭、行政怠惰、政治操作或組織聲譽風險。
典型情境包括:
- 掩蓋非法行動:以機密之名隱藏違法監控、非法拘禁、酷刑、選舉干預、違法資料蒐集或未授權行動。
- 逃避政策問責:將失敗政策、錯誤判斷或高層決策缺陷包裝成「不可公開」。
- 保護個人或派系利益:機密分類服務於特定官員、政黨、企業派系或組織高層,而非公共利益。
- 壓制異議與吹哨者:將揭露問題的人定義為危害安全者,而不是處理其揭露的實質問題。
- 無期限封存不利資訊:即使風險已經消失,仍拒絕解密,只為避免尷尬、責任或歷史評價。
- 以安全語言擴張權力:利用人民對安全的合理焦慮,擴大不受監督的權限。
遮蔽性保密的危險在於,它常與保護性保密使用相同語言:安全、穩定、公共利益、行動需要、人民福祉、國家利益。然而,二者的倫理性質相反。保護性保密承擔風險,遮蔽性保密轉嫁風險;保護性保密服務公共利益,遮蔽性保密服務權力免責。
因此,判斷保密是否正當,不能只問「是否機密」,也不能只問「是否涉及安全」,而要問:
此一保密是在保護人民免於傷害,還是在保護權力免於被看見?
B.3 正當保密的十項判準
為避免「保護性保密」被濫用為遮蔽性保密的修辭,本附錄提出十項判準。這些判準不是要求所有機密都公開,而是要求機密本身接受制度化約束。
B.3.1 公共利益目的
保密必須服務可說明的公共利益,例如人民安全、受害者保護、重大調查、基礎設施安全、外交和平、戰爭風險降低或高風險技術防濫用。若保密主要服務個人利益、派系利益、聲譽保護或逃避問責,其正當性高度可疑。
B.3.2 必要性
保密範圍必須是達成保護目的所必要。若可透過遮蔽姓名、延遲公開、摘要揭露、獨立審查報告或分級公開達成目的,就不應採取全量封鎖。
B.3.3 比例性
保密造成的民主成本、知情限制與問責缺口,必須與其避免的傷害成比例。風險越高,保密越可能正當;風險越低,越需要傾向公開或有限公開。
B.3.4 最小範圍
只保密真正需要保密的部分,不應把整個事件、整份報告或整個制度都放進黑箱。可公開的部分應盡可能公開,敏感部分可以刪節、延後、摘要化或提供給具授權的監督者。
B.3.5 期限與複審
保密不應自動永久化。許多資訊在行動結束、來源安全、外交風險降低或技術弱點修補後,應進入解密、部分解密或歷史檔案審查流程。
B.3.6 紀錄義務
真正正當的保密不應等於無紀錄。相反地,越是敏感行動,越需要保留授權、決策、責任鏈、風險評估與事後審查紀錄,以便在適當層級接受問責。
B.3.7 分層監督
人民不一定需要直接知道所有細節,但必須有合法、專業、受約束、可追責的機制替人民知道。例如司法審查、國會監督、獨立監察、內部稽核、專門委員會或具保密權限的外部審查者。
B.3.8 吹哨與異議通道
若內部人員發現保密正在遮蔽違法、濫權或重大危害,制度必須提供安全、合法、可受理的揭露通道。否則,保密容易從保護性機制變成封閉性權力。
B.3.9 承知者保護
高敏感資訊不只保護資訊本身,也要保護被授權知情者。承知者可能因知道而承受心理壓力、外部誘惑、法律責任、道德負擔與社會風險。因此,授權伴隨訓練、支持、邊界、紀錄與退場機制。
B.3.10 事後公共說明
在不傷害安全的前提下,制度應盡可能提供事後說明、統計報告、刪節版文件、原則性報告或歷史解密,使公共社會能理解權力是否大致在合法與比例範圍內運作。
以上十項判準可濃縮為一句話:
正當保密不是不受監督的保密,而是不向所有人公開、但仍接受適當層級問責的保密。
B.4 人民的知情權與代理知情
民主社會不可能要求所有公民都知道所有情報細節。若如此,不只不切實際,也可能直接破壞保護人民的行動。然而,這並不意味人民只能盲目信任情報組織。更成熟的原則是:
人民不必直接知道全部,但人民有權要求:有人以合法、專業、受約束、可追責的方式知道。
這可以稱為「代理知情」或「制度化承知」。其意義在於,人民將部分高敏感資訊的直接知情交由受授權機構或代表承擔,但這種代理不是空白授權,而是受法律、程序、紀錄、審查與問責約束。
代理知情可以解決兩種極端:
- 全量公開極端:所有資訊都必須公開,否則就是黑箱。此立場忽略公開本身可能造成安全風險。
- 完全信任極端:只要機構自稱為國家或人民服務,就不需外部監督。此立場忽略保密可能轉化為濫權遮蔽。
成熟制度應避免這兩種極端。其目標不是讓人民全盲,也不是讓人民全知,而是讓人民知道:有哪些人、在什麼權限下、依據什麼程序、以什麼責任,替公共社會承擔必要的知情重量。
B.5 情報組織的倫理位置:秘密不是特權,而是負擔
真正以人民與國家公共利益為核心的情報組織,不應把機密視為神聖不可問的權力特權,而應把它視為一種沉重責任。情報工作之所以需要保密,不是因為情報人員高於人民,而是因為某些資訊若被不當公開,會使人民承受更大風險。
因此,良好的情報倫理應同時包含兩種自我約束:
- 對外克制:不因透明壓力而任意暴露來源、行動、弱點與受保護者。
- 對內克制:不因機密權限而逃避合法性、比例性與人權邊界。
簡言之:
機密可以正當,但不能神聖化。公開可以必要,但不能浪漫化。
對真正負責任的情報組織而言,最成熟的說法不是「相信我們,我們是好人」,而是:
我們不向所有人公開所有細節,但我們接受法律、紀錄、專業監督與事後問責;我們保密,是為了降低公共傷害,而不是為了免於被檢查。
這種姿態才能把保密從權力語言轉化為公共責任語言。
B.6 原始真相、可承受真相與可公開真相
本文主張,真相在公共治理中至少有三種層次:
- 原始真相:完整事件、來源、方法、過程、決策鏈與風險細節。
- 可承受真相:特定承知者在其任務、能力與保護機制下能夠承擔的資訊版本。
- 可公開真相:在不造成不成比例傷害的前提下,可以向公共社會揭露的資訊版本。
這三者不必完全相同。某些原始真相應保留於高度受控層級;某些可承受真相應交給監督者、法官、審計者或國會委員;某些可公開真相則應以摘要、統計、刪節報告、歷史解密或原則性說明形式進入公共討論。
這不是操控真相,而是承認資訊揭露具有脈絡性與風險性。問題不在於是否存在分層,而在於分層是否正當、是否受監督、是否有期限、是否可追責。
B.7 一個簡化判斷表
下表可作為判斷保密類型的初步工具:
| 判斷面向 | 保護性保密 | 遮蔽性保密 |
|---|---|---|
| 主要目的 | 保護人民、來源、受害者、行動、公共安全 | 保護權力者、組織聲譽、派系利益、錯誤決策 |
| 風險來源 | 公開後可能造成可預見公共傷害 | 公開後可能造成問責、尷尬或權力損失 |
| 保密範圍 | 盡量限縮於必要部分 | 傾向擴大、模糊、整包封存 |
| 保密期限 | 有複審、解密或部分公開可能 | 無期限或不願複審 |
| 紀錄狀態 | 留有授權、責任鏈與審查紀錄 | 記錄缺失、責任模糊、決策不可追蹤 |
| 監督機制 | 接受合法分層監督 | 以機密為由拒絕一切監督 |
| 對吹哨者態度 | 提供內部合法通道 | 把問題揭露者視為主要敵人 |
| 對人民的關係 | 暫時不直接公開,但仍承擔公共責任 | 以人民之名遮蔽人民應被保護的權利 |
B.8 與本文主命題的關係
本附錄並未改變本文主命題,而是將其推進到公共治理場域。若「知道的代價是雙向的」,那麼情報倫理中的保密就不只是保護情報機構免於洩密,也可能是保護人民免於被錯誤公開方式傷害;同時,它也必須防止情報機構以人民安全之名,把自身權力排除於監督之外。
因此,成熟情報倫理應同時承認:
- 有些資訊不公開,確實可能是為了人民好。
- 但任何聲稱「為了人民好」的保密,都必須接受必要性、比例性、期限、紀錄與監督的檢驗。
- 人民不必直接知道全部,但人民有權要求有人以合法、專業、受約束、可追責的方式知道。
- 機密不是免責區,而是高責任區。
- 保密不是信任的相反,而是信任被制度化、邊界化與責任化之後的形式。
本附錄可以用以下五句作結:
保密可以是保護,也可以是遮蔽。
公開可以是正義,也可以是傷害。
知情可以是權利,也可以是負擔。
人民不必直接知道全部,但人民有權要求有人正當地知道。
真正成熟的制度,不是在全知與全盲之間選邊,而是在必要知情、分層監督與公共責任之間建立平衡。