การสืบย้อนคนที่เคยใกล้กัน ที่ยังรักษาความเป็นส่วนตัว ในบริบท #COVID19

เขียนไว้ในเฟซบุ๊กและทวิตเตอร์ ชวนคุยเรื่องแอปติดตามผู้เคยอยู่ใกล้ผู้เป็นโรคที่อาจติดต่อได้ (contact tracing) กับความอธิบายได้ทางนโยบาย การเลือกปฏิบัติ และผลกระทบที่อาจอยู่กับเราไปนานกว่าอายุของวิกฤต?

TraceTogether ของสิงคโปร์

ทางสิงคโปร์ที่เราพอได้ยินจากข่าวมาบ้าง วันนี้มีโปรโตคอลกับตัวซอร์สโค้ดออกมาแล้ว

  • BlueTrace เป็นโปรโตคอล ที่เขาใช้คำว่า “privacy-preserving cross-border contact tracing”
  • OpenTrace เป็นแอปที่ใช้ BlueTrace (open source reference implementation)
  • TraceTogether เป็น OpenTrace ที่ปรับแต่งเพื่อใช้ในสิงคโปร์

ทาง GovTech หน่วยงานด้านเทคโนโลยีรัฐบาลของสิงคโปร์ เล่าเรื่องของ OpenTrace ไว้ที่ 6 things about OpenTrace

ไอเดียรวมๆ คือใช้บลูทูธเพื่อเก็บข้อมูลว่า เราเคยไปอยู่ใกล้ใครบ้าง (มือถือของเราเคยไปอยู่ใกล้ใครมือถือเครื่องไหนบ้าง) คือมองว่าต้องการติดตามการติดต่อที่อาจเกิดขึ้นได้ระหว่างคนสู่คนโดยตรง ดังนั้นสิ่งที่สนใจ คือการอยู่ใกล้ชิดของคน ไม่สนใจว่าคนนั้นจะไปอยู่ที่ไหน — คือเก็บเฉพาะ who ไม่เก็บ where

เท่าที่ดูในข่าว Channel News Asia เป็นการเปิดให้ใช้ตามความสมัครใจ ไม่บังคับ แต่ก็เชิญชวน

ThaiAlert (รอประกาศชื่อจริง)

ส่วนนี่เป็นแอปโดยกลุ่ม Code for Public ใน GitHub ใช้ชื่อว่า “contact-tracer”

ไอเดียคล้ายกันในส่วนการใช้บลูทูธ แต่เพิ่มเติมการเก็บตำแหน่งที่ตั้งจาก GPS มาด้วย — ก็คือเก็บทั้ง who และ where

NuuNeoi อธิบายแนวคิดไว้ในบล็อกของเขา (ภาษาไทย – เป็นคนไทย)

คุณลิ่วไปทักเรื่องการเปิดเผย user id ระหว่าง broadcast ใครสนใจตามต่อได้ในเฟซบุ๊กของ NuuNeoi

เข้าใจว่าวันศุกร์ที่ 10 เมษายนนี้ จะมีการประกาศใช้แอปจากกลุ่ม Code for Public นี้ในประเทศไทย (มี DEPA และ DGA ของกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ร่วมสนับสนุน)

ระบบอื่นๆ

ตอนนี้ก็มีระบบอื่นที่เสนอกันมาเยอะ เช่น

  • WeTrace เป็นแบบทำนอง TraceTogether จากสวิตเซอร์แลนด์
  • Decentralized Privacy-Preserving Proximity Tracing (DP-3T) จาก EPFL+ทีม
  • Pan-European Privacy-Preserving Proximity Tracing (PEPP-PT) ที่เป็นโครงการระดมสมองออกแบบในทวีปยุโรป
  • หรือวิธีการเก็บตำแหน่งไว้ในเครื่องโดยมีกลไกป้องกันของ MIT Private Kit (ในนั้นมี whitepaper ชื่อ Apps Gone Rogue: Maintaining Personal Privacy in an Epidemic ด้วย ถ้าสนใจลองดูได้)

ระบบเหล่านี้อาจมีแนวคิดในการออกแบบต่างกัน บางระบบรวมศูนย์ (centralized) บางระบบกระจาย (decentralized) บางอันเก็บแค่ ใคร (who) บางอันเก็บ ที่ไหน (where) ด้วย แต่รวมๆ ก็พยายามบันทึกข้อมูลให้น้อยที่สุดเท่าที่จะใช้ติดตามผู้ที่เคยอยู่ใกล้ผู้ติดเชื้อได้ ตามที่ผู้ออกแบบเห็นว่าเหมาะสมกับบริบทของพื้นที่ที่จะเข้าไปดูแล

สิ่งที่น่าห่วงกว่าเรื่องเทคนิค — การเลือกปฏิบัติ?

แม้ในทางเทคนิค กว่าจะแปลงจากจากอัลกอริทึมสู่แอปที่รันจริงในมือถือเรา มันก็มีเรื่องต้องระวังกันในแต่ละขั้นอยู่แล้ว

อย่างไรก็ตาม สิ่งที่น่าเป็นห่วงมากที่สุด (ในบริบทของแอปที่จะยิ่งคนใช้เยอะยิ่งมีประโยชน์เยอะ คนใช้น้อยก็ยังมีประโยชน์อยู่แต่ก็น้อยลงไป) อาจไม่ใช่เรื่องทางเทคนิค แต่เป็นเรื่องว่า รัฐจะใช้วิธีอะไรให้คนมาใช้แอป หรือรู้ข้อมูลแล้วจะทำอย่างไรต่อ รู้แล้วจะมีมาตรการทางสาธารณสุข-สังคม-กฎหมาย อะไรตามมา

ตัวอย่าง:

หากกำหนดว่าใครไม่ลงแอปก็จะไม่รับรักษา หรือจัดลำดับการรักษาไว้ท้ายๆ หรือใช้ข้อมูลที่ได้มาในการจำกัดสิทธิอื่น

เช่น ไม่ให้ใช้สิทธิประกันสุขภาพหรือประกันสังคม จะรักษาต้องจ่ายเงินเองทั้งหมด ไม่ให้เข้าถึงบริการสาธารณะ ไม่ให้ใช้ขนส่งสาธารณะ ไม่ให้ติดต่อราชการ ไม่ให้เข้าร้านค้า (รัฐจะไปบังคับให้ร้านค้าต้องมีมาตรการนี้อีกที) ตัดสิทธิ์การเข้าถึงเน็ต (ซึ่งในบริบทการที่ต้องอยู่บ้านไปไหนไม่ได้สะดวก ก็เป็นเรื่องใหญ่มาก เพราะไปจำกัดความสามารถในการทำงานหารายได้ การทำธุรกรรมทางการเงิน การซื้อของกินของใช้ การศึกษา การติดต่อกับญาติ และการเข้าถึงข่าวสาร คนตอนนี้คนพึ่งเน็ตมากกว่าปกติ)

เหล่านี้เป็นเรื่องทำได้หรือไม่ เพราะอะไร จะเป็นการขัดต่อสิทธิในการได้รับการรักษาพยาบาลหรือไม่ (คือต่อให้ไม่มีข้อมูลว่าเคยไปอยู่กับใคร แต่ถ้ามีอาการเข้าข่าย ก็ควรได้รับการรักษาหรือไม่?)

ตรงนี้นอกจากเรื่องสิทธิพลเมืองแล้ว ในแง่จริยธรรมทางการแพทย์ก็ต้องตอบให้ได้ชัดเจนด้วย

(อันนี้ยังไม่นับเรื่องความเป็นเจ้าของสมาร์ตโฟน การเข้าถึงโครงข่าย ฯลฯ)

วันศุกร์ที่ 10 เมษานี้ ถ้าจะมีการประกาศใช้แอปจริง รายละเอียดที่น่าติดตามคือ จะใช้อะไรในการ “บังคับ” หรือ “จูงใจ” คนให้ติดตั้งแอป และถ้าไม่มีแอป ไม่มีข้อมูล ไม่ว่าด้วยเหตุผลอะไร จะเก็บอะไรขึ้นกับบุคคลนั้น

หน้าที่ในการอธิบายของผู้ใช้อำนาจ

ไม่ว่าจะเลือกใช้มาตรการทางเทคโนโลยี ทางกฎหมาย และทางสาธารณสุขอะไรก็ตาม หน้าที่ในการอธิบายตัวนโยบายและตัวการออกแบบทางเทคนิคต่างๆ ให้คนทั่วไปที่จะได้รับประโยชน์และผลกระทบจากนโยบายดังกล่าวได้เข้าใจอย่างชัดเจน เป็นหน้าที่ของผู้มีอำนาจตัดสินใจเลือก

อย่างของ BlueTrace มีอธิบายข้อพิจารณาทางนโยบายของรัฐบาล ซึ่งเป็นที่มาของการออกแบบตัวโปรโตคอลทางเทคนิคที่นี่ https://bluetrace.io/policy/

หากมีหน่วยงานใดก็ตามในไทย ประกาศจะทำ contact tracing ทำนองนี้สำหรับโรคระบาด ไม่ว่าจะเป็น #COVID19 หรือโรคใดก็ตาม เราก็คาดหวังคำอธิบายอะไรทำนองนี้เหมือนกัน ไม่ใช่เพียงเรื่องเทคนิค แต่เป็นเรื่องว่าการตัดสินใจใช้มาตรการต่างๆ นี้จะทำให้เกิดอะไร มีประโยชน์อะไร จะเอาอะไรไปแลกให้ได้ประโยชน์นั้นมา การเอาสิ่งนั้นไปแลก อาจมีผลกระทบอะไร ป้องกันความเสียหายยังไง เยียวยายังไง คือไม่ใช่ว่าค้านไม่ให้ทำไปเสียหมด ถ้าสมเหตุสมผล อธิบายได้หมด เราในฐานะประชาชนก็ควรสนับสนุน และจริงๆ การตั้งคำถามเหล่านี้ ก็คือการสนับสนุนทางหนึ่ง เป็นการสนับสนุนให้ทำอย่างรับผิดชอบ

ผลกระทบที่จะอยู่กับเราเกินอายุของวิกฤต

ช่วงเวลานี้ก็เป็นช่วงเวลาที่ทุกสาขาอาชีพ (รวมไปถึงสิ่งที่อธิบายในเชิงอาชีพไม่ได้) ก็ทำในเรื่องที่เขาถนัดเพื่อช่วยเท่าที่ทำได้ สายคอมก็ดูมีเรื่องน่าตื่นเต้นเยอะ เป็นพรมแดนใหม่ๆ ความท้าทายใหม่ๆ อันนึงที่หลายคนก็ระวังกันอยู่แล้วก็คือ การตัดสินใจในภาวะวิกฤต ฉุกเฉิน เกี่ยวกับความเป็นความตาย ที่มีแนวโน้มจะทำให้เราเร่งตัดสินใจเพื่อแก้ปัญหาตรงหน้านี้ จะมีผลอยู่กับเรายาวนานกว่าตัววิกฤตเองหรือเปล่า และผลที่ว่านั้นเป็นผลที่เราอยากจะอยู่กับมันไปยาวๆ จริงไหม หรือมันมีวิธีอะไรที่จะจำกัดผลดังกล่าวให้อยู่แค่ช่วงสั้นๆ แค่ในช่วง “ภาวะยกเว้น” นี้ แต่ไม่ใช่ตลอดชีวิตเราและหลังจากชีวิตเรา

Paul-Olivier Dehaye, director of PersonalData.IO, speaks to Open Rights Group about the use of contact tracing surveillance in the global response to Covid-19.

Published by

bact

bact' is a name

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.