0
บทความโดย :
ดร. มนต์ศักดิ์ โซ่เจริญธรรม
25 เมษายน 2563
https://www.facebook.com/monsaks
0
(เรียกชื่อง่ายๆ ว่า ข้อปฏิบัติ สำหรับการทำ App ตรวจติดตามว่าใครเคยเข้าใกล้ใครบ้าง สำหรับ COVID-19)
บทความนี้ เขียนขึ้นโดยอิงกับเอกสาร Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak ซึ่งเผยแพร่โดยคณะกรรมการข้อมูลส่วนบุคคลของยุโรป (EDPB – European Data Protection Board)
บทความนี้ ไม่ใช่การแปลมาตรงๆ จากต้นฉบับ แต่เป็นการเรียบเรียงขึ้นใหม่ในภาษาของผู้เขียนเอง และมีการอธิบายขยายความพร้อมทั้งยกตัวอย่างเพิ่มเติม ตลอดจนมีการตัดเนื้อหาบางส่วนออกไป ให้เหลือเฉพาะแก่นที่สำคัญและจำเป็น (ในมุมมองของข้าพเจ้าเอง) เพื่อให้ลัดสั้นตรง และผู้อ่านสามารถเข้าใจและนำไปปฏิบัติได้ง่ายขึ้น อนึ่ง แนวทางการปฏิบัติหลายๆ ข้อที่ให้ไว้ในเอกสารนี้สามารถนำไปประยุกต์ใช้กับการเก็บรวบรวมข้อมูลและประมวลผลเพื่อการอื่นได้ด้วย ทั้งนี้ การประยุกต์ใช้จัดการกับโรคระบาด COVID-19 จะเป็นการประยุกต์ใช้งานที่ชัดเจน และช่วยให้เกิดความกระจ่างมากขึ้นสำหรับผู้สนใจ
ทั้งนี้ ผู้อ่านควรศึกษาประกอบกับเอกสาร Guideline ต้นฉบับ ประกอบด้วยหากต้องการได้เนื้อหารายละเอียดปลีกย่อยครบถ้วน
มนต์ศักดิ์ โซ่เจริญธรรม
25 เมษายน 2563
- เจตนารมณ์ของเอกสาร (Guideline) นี้ คือ เพื่อเสริมกำลัง (เทคโนโลยี) ในการรับมือกับ COVID-19 ไม่ใช่เพื่อเป็นเครื่องมือส่งเสริมการติดตามบุคคล ควบคุมบุคคล หรือ ตีตราบุคคล (ว่าติดเชื้อ)
- ข้อแนะนำชุดนี้อยู่บนจุดประสงค์การเก็บข้อมูลเพื่อนำไปทำแบบจำลองการแพร่ระบาดของเชื้อ COVID-19 เพื่อประเมินประสิทธิผลการจำกัดการพบปะและเดินทาง ติดตามการติดต่อระหว่างบุคคล และเพื่อคอยเตือนแต่ละบุคคลว่าเคยได้มีการเข้าใกล้ผู้ที่ได้รับการวินิจฉัยว่าติดเชื้อหรือไม่ ทั้งนี้เป้าหมายใหญ่ก็เพื่อจะตัดห่วงโซ่การติดต่อของโรคลงให้เร็วที่สุด
- การเก็บข้อมูลและติดตามต้องเป็นไปตามความสมัครใจของผู้ใช้งาน (Data Subject)
- คำว่า “ข้อมูลตำแหน่ง” (Location Data) ในเอกสารนี้เก็บมาจาก 2 แหล่ง
- เก็บจากอุปกรณ์โดยตรง เช่น โทรศัพท์มือถือ หรือ จากผู้ให้บริการเครือข่ายโทรศัพท์มือถือ
- ผู้ให้บริการแอปพลิเคชั่นเกี่ยวกับตำแห่นง เช่น แอปนำทาง หรือ บริการขนส่ง
- หากเลือกได้ ควรเลือกใช้ (หรือประมวลผล) ข้อมูลนิรนาม (Anonymized Data) เป็นหลัก (Personal Data ถือเป็นอันดับรอง)
- เมื่อมีการทำข้อมูลส่วนบุคคลเป็นข้อมูลนิรนามแล้ว ต้องมีการทดสอบ และถ้าทดสอบไม่ผ่าน ก็ต้องถือว่าข้อมูลนั้นยังไม่ใช่ข้อมูลนิรนาม (เพราะยังบ่งชี้ตัวบุคคลได้)
- เกณฑ์ (Criteria) ในการทดสอบข้อมูลส่วนบุคคลที่ถูกทำเป็นข้อมูลนิรนามแล้ว
- ข้อมูลนั้นยังสามารถใช้แยกบุคคลออกมาจากกลุ่มได้หรือไม่
- ยังสามารถเชื่อมโยงข้อมูล 2 รายการขึ้นไป ว่ามาจากบุคคลเดียวกันได้หรือไม่
- สามารถอนุมาน (ด้วยความมั่นใจอย่างมีนัยสำคัญทางสถิติ) ทำให้รู้สิ่งที่ไม่รู้มาก่อนเกี่ยวกับบุคคลได้
- คนมักเข้าใจคลาดเคลื่อนว่า Anonymization (การทำให้เป็นข้อมูลนิรนาม) กับ Pseudonymization (การทำให้เป็นข้อมูลกึ่งนิรนาม) คือสิ่งเดียวกัน แต่อันที่จริง เป็นคนละสิ่งกัน โดยข้อมูลกึ่งนิรนาม ยังถือเป็นข้อมูลส่วนบุคคลอยู่ (ตามเกณฑ์ GDPR) แต่ข้อมูลนิรนามไม่ถือเป็นข้อมูลส่วนบุคคลแล้ว เพราะไม่สามารถบ่งชี้ไปที่ตัวบุคคลได้อีกต่อไป
- บางครั้งข้อมูลที่คิดว่าเป็นนิรนามแล้ว อาจจะยังไม่ได้นิรนามจริงก็ได้ เช่น กรณีข้อมูลตำแหน่งหลายๆ ตำแหน่งต่อเนื่องกันที่อาจถูกนำมาทำ Re-Identification โดยดูจากรูปแบบการเดินทางและเส้นทางของ Data Subject แล้ว จับคู่กลับไปยังประวัติการเดินทาง (ที่อาจได้มาจากแหล่งอื่น) ก็จะทำให้ทราบได้ว่าข้อมูลตำแหน่งนั้นๆ เป็นการเดินทางของบุคคลใด
- ถ้าการเก็บข้อมูลนั้นเพื่อติดตาม (Contact-Tracing) และแจ้งเตือนความเสี่ยงให้กับผู้ใช้ ซึ่งเป็นบริการที่ Data Controller ดำเนินการให้ผู้ใช้ กรณีนี้ไม่ต้องฐานกฎหมายในลักษณะการขอความยินยอม (Consent) ในการเก็บข้อมูลนั้น แต่เป็นการใช้ฐานกฎหมายที่ทำตามสัญญาการบริการ (Data Controller ให้บริการแก่ Data Subject) ส่วนการเก็บข้อมูลนั้นต้องเก็บเฉพาะรายการที่จำเป็นจริงๆ
- หาก Data Controller ที่จัดทำแอปพลิเคชั่นติดตามบุคคล (Contact-Tracing) เป็นหน่วยงานรัฐที่มีหน้าที่ทางด้านสาธารณะสุขของประชาชนอยู่แล้ว ย่อมไม่จำเป็นต้องอ้างฐานกฎหมายเรื่องการขอความยินยอม (Consent) โดยให้ฐานกฎหมายเรื่องประโยชน์สาธารณะแทน อย่างไรก็ตาม จะดำเนินการได้ก็เฉพาะกับผู้ใช้ที่อาสาสมัครเข้าร่วมโครงการเท่านั้น ที่เป็นเช่นนี้เพราะหากเลือกใช้ฐานกฎหมายเรื่องการขอความยินยอมจะนำมาซึ่งความผูกพัน (และอาจยุ่งยาก) เพิ่มเติม เช่น ต้องอนุญาตให้ผู้ใช้ถอนความยินยอมได้ตลอดเวลา ต้องอนุญาตให้ผู้ใช้ร้องขอให้ลบข้อมูลได้ หรือ อนุญาตให้ถ่ายโอนข้อมูลไปยังผู้ให้บริการรายอื่นได้
- ในส่วนการประมวลผลข้อมูลสุขภาพ ให้ใช้ฐานกฎหมายประมวลผลเพื่อประโยชน์สาธารณะ (Public Interest) โดยเน้นไปที่สาธารณะสุข (Public Health) ได้
- EDPB แนะนำว่าต้องมีการทำการประเมินผลกระทบความเสี่ยงข้อมูลส่วนบุคคล (Data Protection Impact Assessment – DPIA) ก่อนจะดำเนินการเก็บรวบรวมข้อมูล ทั้งนี้เนื่องจากเข้าเงื่อนสำคัญ 4 ข้อคือ เป็น 1) มีการประมวลผลข้อมูลสุขภาพ (ข้อมูลอ่อนไหว) 2) ทำในวงกว้าง (Large Scale) 3) ทำเป็นระบบ (อัตโนมัติ) และ 4) มีการใช้เทคโนโลยีใหม่ (ซึ่งอาจยังไม่ทราบผลกระทบแน่ชัด)
- เพื่อลดความเสี่ยงที่จะนำข้อมูลไปใช้จำแนกหรือติดตามจำเพาะบุคคล การส่งข้อมูลออกจากแอปพลิเคชั่น ในส่วนของข้อมูลระบุตัวตนควรใช้เฉพาะข้อมูลระบุแบบนิรนาม (Pseudonymous Identifiers) คือแยกแยะได้ว่าเป็นคนละคน แต่ไม่ทราบว่าเป็นใคร
- Pseudonymous Identifiers ดังกล่าว สร้างขึ้นโดยตัวแอปพลิเคชั่นเอง (ไม่มาจากเครื่องแม่ข่ายส่วนกลางหรือคลาวด์) โดยมีความจำเพาะสำหรับแต่แอปพลิเคชั่น (ซึ่งสร้างโดย Data Controller คนละราย)
- การเก็บประวัติการติดต่อ (กับบุคคลต่างๆ) ให้เก็บสำหรับเพื่อใช้เตือนผู้ที่มีความเสี่ยงติดเชื้อเท่านั้น (เตือนว่าเคยใกล้ชิดติดติดต่อกับผู้ที่ถูกระบุภายหลังว่าเป็น COVID-19 รายได้บ้างหรือไม่) และการเตือนไม่ควรมีการชี้จำเพาะบุคคลว่าผู้ติดเชื้อเหล่านั้นคือใคร รวมถึงแอปพลิเคชั่นจะต้องไม่เก็บข้อมูลที่ทำให้ทราบว่าตัวผู้ที่ได้รับคำเตือนนั้นคือใคร (คนที่มีโอกาสติดเชื้อนั้นคือใคร) ซึ่งหมายความว่าการประมวลผลนี้ต้องเกิดขึ้นในอุปกรณ์ (เช่นโทรศัพท์สมาร์ทโฟน) ของผู้ใช้เอง
- ในกรณีที่การประมวลผล Contact-Tracing ต้องการข้อมูลเสริม (Additional Information) ในการประมวลผล (เช่น ประวัติสุขภาพ สมาชิกในครอบครับ กิจกรรมเสี่ยง) ในกรณีนี้ ข้อมูลเสริมนั้นต้องถูกจัดเก็บที่อุปกรณ์ของผู้ใช้เอง (User Terminal) ไม่มีการส่งมาเก็บบันทึกที่ส่วนกลาง และถ้าต้องประมวลผลข้อมูล ให้ประมวลผลที่อุปกรณ์ของผู้ใช้เอง ในกรณีที่จำเป็นต้องถ่ายโอนข้อมูลออกจากอุปกรณ์จริงๆ จะต้องมีการถามความยินยอมล่วงหน้าและเป็นการถามที่จำเพาะเจาะจง
- ในการรายงานการติดเชื้อ (โดยผู้ใช้ (Data Subject) ที่รับการตรวจและทราบว่าตัวเองติดเชื้อ) เพื่อให้มั่นมั่นใจว่าผู้รายงานนั้น คือ บุคคลเดียวกับเจ้าของอุปกรณ์ตัวจริง (ที่ติดตั้งแอปพลิเคชั่นแต่แรก) จึงต้องมีการผูกกับการยืนยันตัวตนก่อนด้วยและต้องมีกระบวนการที่เหมาะสมปลอดภัย เช่น ใช้รหัสครั้งเดียว (คล้ายกับการส่งเลขรหัสผ่านทาง SMS มาที่ผู้ใช้เพื่อยืนยันสิทธิการโอนในกรณีโอนเงินผ่านโทรศัพท์) ทั้งนี้ต้องระลึกว่ารหัสการยืนยันนั้นต้องโยงกับเลขประจำตัวกึ่งนิรนาม (pseudonymous id) มิใช่โยงกับข้อมูลส่วนบุคคลที่บ่งชี้ไปยังบุคคลได้จริง (เช่น ชื่อ นามสกุล หรือ รหัสประจำตัวประชาชน 13 หลัก)
- การรายงานการติดเชื้อในข้อข้างต้น ต้องระบุความเชื่อมโยงศูนย์ที่ตรวจพบโรค (หรือเจ้าหน้าที่ที่รับผิดชอบ) ด้วย
- data controller และ องค์กรของรัฐ ควรต้องร่วมมือกันจัดให้มีแหล่งให้ดาวน์โหลดฐานข้อมูลผู้ติดเชื้อผ่านช่องทางหรือจากแหล่งเดียวกันและเป็นทางการ เพื่อป้องกันความเสี่ยงกรณี data subject ใช้แอปพลิเคชั่นจาก data controller ที่หลากหลาย และอาจมีการเชื่อมต่อไปยังฐานข้อมูลที่ไม่ถูกต้อง หรือ หลอกลวง
- ในการให้บริการแอปพลิเคชั่น contact-tracing อย่าลืมว่าต้องมีการจำกัดเวลา (6 เดือน 1 ปี หรือ อื่น ๆ) จำกัดขอบเขตให้จำเป็นที่สุด (minimal extent) และมีการทบทวนอย่างแท้จริง (genuine review) อยู่เสมอ พร้อมทั้งประเมินผลความสำเร็จโดยข้อมูลและหลักการทางวิทยาศาสตร์ด้วย
สรุป
-
- EDPB เน้นย้ำว่า ไม่ควรต้องเกิดสถานการณ์ที่ต้องเลือกระหว่างการตอบโต้ COVID-19 กับการปกป้องสิทธิเสรีภาพพื้นฐานของบุคคล
- กฎหมาย GDPR อนุญาตให้ดำเนินการประมวลผลข้อมูลสุขภาพ แต่ต้องทำอย่างมีความรับผิดชอบพร้อมทั้งตอกย้ำสิทธิและเสรีภาพของบุคคลว่าต้องไม่ถูกบั่นทอนลงไป ในการตอบโต้ไวรัส