คิดว่าควรเขียนถึงแอป Contact Tracing สักที หลังจากตอนนี้ค่อนข้างชัดแล้วว่า “ไทยชนะ” กำลังกลายเป็นบริการมาตรฐานสำหรับทุกที่ หลังจากที่ก่อนนี้มีโครงการแข่งกันทั้ง หมอชนะ, Thai.Care, และไทยชนะเอง (ที่จริงมีกลุ่มยิบย่อยอีกมาก แต่คงไม่พูดถึง)

หมอชนะเป็นตัวแรกที่เปิดตัวใหญ่โต แม้จะบอกว่าเป็น Contact Tracing บอกว่าให้คะแนนไม่เกินสีส้มหรืออะไรก็ตาม แต่ต้องพูดให้ชัดว่าแอปหมอชนะเป็น Social Scoring พยายามบอกว่าใครเสี่ยงหรือไม่เสี่ยงโดยเอาแนวคิดจากจีนเป็นหลัก โดยส่วนตัวแล้วยินดีที่หมอชนะไม่ถูกเลือกมาใช้งานจากการกวาดข้อมูลผู้ใช้ที่มากเกินไป ในแง่ของฟีเจอร์ Contact Tracing แล้วหมอชนะกวาดข้อมูลจำนวนมาก ทั้ง location, การเข้าใกล้กัน, รวมไปถึงรูปภาพ (ทีมงานบอกว่าไม่แน่ใจว่าแค่ไหนถึงพอ) ในแง่เทคนิคแล้วการทำ Contact Tracing ของหมอชนะเปิดให้มีการติดตามตัวผู้ใช้จาก third party ได้

ไทยชนะดูแล้วมีแนวทางออกแบบให้ “พอๆ” กับ logbook ตามหน้าร้าน แนวคิดคล้ายกัน และกระบวนการตรวจสอบก็ไม่ต่างกันมาก คือไม่ตรวจสอบอะไรเลยนอกจาก “ลงชื่อ” แล้ว ข้อดีคือลงเบอร์คนอื่นได้ ลดความยุ่งยากในหลายกรณี เช่น เบอร์กลางของบ้าน แม้จะไม่ได้ตั้งใจปิดบังตัวตน แต่การใช้หมายเลขโทรศัพท์อื่นได้ก็ลดความเสี่ยงไปมาก ผมเองก็ใช้เบอร์ที่ “ตามตัว” ได้ แต่ไม่ใช่เบอร์โทรหลัก

แอปพวกนี้มีความกังวลสองด้านใหญ่ ด้านนึงคือความไว้ใจตัวผู้ดำเนินการ อีกด้านคือความเลินเล่อจน data breach ออกมาทั้งหมด ความเสี่ยงสูงสุดคือข้อมูลทั้งหมดรั่วออกมา ซึ่งคนที่ยิ่งเก็บข้อมูลมาก ความเสี่ยงก็จะมากตามตัว การเก็บ location ทำให้ track ได้ทั้งหมดว่าใครเคยไปที่ไหนมาบ้าง แม้ว่าเราอาจจะบอกว่า logbook หน้าร้านเสี่ยงกว่าเพราะไม่มีมาตรการป้องกันอะไร แต่ฐานข้อมูลก็มีขนาดเล็กกว่ามาก

ไทยชนะนั้นเก็บข้อมูลการเช็คอินซึ่งก็คือพิกัดอย่างหยาบ ข้อดีมากคือไม่มีข้อมูลสถานที่ส่วนตัว (บ้าน, เส้นทางเดินทาง ฯลฯ) มีแต่จุด check-in เท่านั้น แต่ก็ต้องนับว่าเป็นข้อมูลพิกัดอยู่ดี หากรั่วไหลออกมาผู้ใช้ก็อาจจะถูกตามตัวได้ว่าไปร้านหรือห้างใดมาบ้าง ข้อมูลเช่นนี้ในชาติตะวันตกหลายชาติก็มองว่ามากเกินไปแล้ว

ในแง่ของข้อมูลที่เปิดออกมา ไทยชนะเปิดเผยข้อมูลปริมาณผู้ใช้ในแต่ละพื้นที่ ซึ่งหลายคนอาจจะกังวลในแง่ของ business intelligence โดยเฉพาะห้างและร้านอาหารหลายที่ที่อยู่ในตลาดหลักทรัพย์ การติดตามได้ว่าร้านใดยังได้รับความนิยมมีมูลค่าสูงพอที่จะมีคนพยายามเก็บข้อมูลแน่นอน แต่ทั้งนี้ข้อมูลในช่วงนี้ก็น่าจะต่างจากข้อมูลก่อนหน้าและหลังจากนี้ที่สถานการณ์ COVID คลี่คลายไปมาก

เทียบกับ Exposure Notification API แล้ว ข้อมูลที่อยู่บนเซิร์ฟเวอร์จริงๆ จะมีเพียง contact ของผู้ที่ยืนยันว่าติดเชื้อเท่านั้น การ breach จะแทบไม่มีผลอะไรมากนัก เพราะไม่มีข้อมูลพิกัด แม้แต่พิกัดอย่างหยาบ ข้อมูลที่อัพโหลดมีเพียง ID ที่ต้องการแจ้งเตือนเท่านั้น

จุดสำคัญอีกจุดคือการใช้งานได้จริง ศบค. ระบุว่าหากผู้ใช้ไทยชนะได้รับแจ้งเตือนจะได้ตรวจ COVID ฟรี แต่คำถามคือเกณฑ์การแจ้งเตือนจะเป็นอย่างไร เพราะพื้นที่ที่ลงทะเบียนไทยชนะนั้นมีตั้งแต่ร้านชาไข่มุกที่ไม่มีที่นั่ง ไปยันห้างสรรพสินค้าขนาดยักษ์ เช่น Central World นั้นมีความจุเต็มพื้นที่เกือบแสนคน หากมีคน checkin แล้วป่วยจริง เราจะกวาดคนทั้งห้างไปตรวจทั้งหมด? หรือหากไม่ไหวก็อาจจะควรพิจารณาลดการลงทะเบียนให้เหลือแค่พื้นที่เล็กพอ (ร้านไม่เกิน 1,000 คน?) ส่วนพื้นที่ใหญ่กว่านั้นใช้มาตรการจำกัดคนเข้าออก นับคนเร็วๆ ไม่ให้แน่นเกินไปก็น่าจะพอแล้ว