คณะกรรมาธิการยุโรป (European Commission - EC) ออกแนวทางการสร้างระบบติดตามผู้ใกล้ชิดผู้ป่วย COVID-19 หรือ contact tracing ที่ประเทศกำลังพัฒนา รวมถึงกูเกิลและแอปเปิลที่กำลังออก API กลางให้ทุกประเทศใช้งานได้

แนวทางการใช้งานแอป contact tracing มีดังนี้

หนึ่งในปัญหาด้านความปลอดภัยที่ค่อนข้างใหญ่สำหรับ Zoom คือการส่งทราฟฟิควิ่งเข้าศูนย์ข้อมูลจีน แถมไม่ใช่การเข้ารหัสแบบ end-to-end ทำให้ล่าสุด Zoom ประกาศว่าตั้งแต่วันที่ 18 เมษายนเป็นต้นไป โฮสต์สามารถเลือกศูนย์ข้อมูลสำหรับการทำวิดีโอคอลได้แล้ว แต่เฉพาะแอคเคาท์ที่เสียเงินเท่านั้น

Zoom บอกว่าจะสามารถเลือกทั้ง opt-in หรือ opt-out จากตัวเลือกศูนย์ข้อมูลในระดับภูมิภาคไหนก็ได้ แต่จะไม่สามารถ opt-out ภูมิภาคเริ่มต้น (default) ที่ตัวเองอยู่ได้ โดยภูมิภาค ณ ตอนนี้ที่ Zoom แบ่งเอาไว้มี the United States, Canada, Europe, India, Australia, China, Latin America, และ Japan/Hong Kong (เข้าใจว่าไทยอยู่ในภูมิภาคนี้)

ความคืบหน้าต่อจากข่าว ทีม Code for Public ร่วมกับหน่วยงานรัฐบาลไทยเตรียมปล่อยแอปติดตามการเข้าใกล้ผู้ป่วย COVID-19 วันนี้แอพตัวนี้เปิดตัวแล้วในชื่อว่า หมอชนะ

"หมอชนะ" เป็นระบบเก็บข้อมูลการเดินทางของประชาชน เพื่อประเมินความเสี่ยงได้ว่า ในบริเวณนั้นมีผู้ป่วย COVID-19 หรือไม่

ตอนนี้แอพเปิดให้ดาวน์โหลดแล้วบน App Store และ Play Store

คุณสิทธิพล พรรณวิไล เจ้าของบล็อก NuuNeoi.com (หลายคนอาจจะรู้จักในฐานผู้ร่วมก่อตั้งเว็บ DroidSans) เผยแพร่บทความสัมภาษณ์ผู้พัฒนาแอปติดตามตัวผู้เข้าใกล้ผู้ป่วยโรค COVID-19 โดยระบุว่าแอปนี้จะเปิดตัวโดย "หน่วยงานรัฐแห่งหนึ่ง"

แอปนี้แนวคิดคล้ายกับ TraceTogether ของรัฐบาลสิงคโปร์ ที่อาศัยการกระจายแพ็กเก็ต Bluetooth Low Energy (BLE) ออกไปรอบๆ ตัว แล้วให้ตัวแอปในเครื่องอื่นๆ เก็บข้อมูลไว้ว่าเจอใครมาบ้าง หากมีผู้ใช้แอปนี้ติดโรค COVID-19 ก็สามารถไปตามตัวผู้เข้าใกล้ผู้ป่วยทั้งหมดกลับมากักกันโรคได้

ทีม NPE ซึ่งเป็นหน่วยงานสำหรับพัฒนาแอปทดลองตลาดของ Facebook ได้ออกแอปทดลองล่าสุดชื่อว่า Tuned สำหรับคู่รักไว้ติดต่อพูดคุยกันเพียงสองคน

คำอธิบายของแอปนั้นบอกว่า เมื่อเป็นแอปไว้คุยกันเพียงสองคน จึงเป็นพื้นที่ส่วนตัว ซึ่งคุณสามารถเป็นตัวของตัวเองอย่างไรก็ได้ ตัวแอปสามารถแชร์ข้อความ เนื้อหาและการสนทนาในหลากหลายแบบ เช่น เชื่อมต่อ Spotify เพื่อแชร์เพลง แชร์ความรู้สึกตอนนั้น ไปจนถึงรูปภาพ การ์ด ข้อความเสียง ฯลฯ

เนื่องจากเป็นแอปโครงการทดลอง Facebook จึงอาจไม่ได้นำมาพัฒนาต่อเป็นแอปสำหรับผู้ใช้ทั่วไป ตอนนี้มีให้ดาวน์โหลดเฉพาะบน iOS ใน App Store อเมริกา

ทีมพัฒนา Chrome เสนอการทดสอบ UI แบบใหม่สำหรับส่วนเสริมของเบราว์เซอร์ (extension) โดยระบุเหตุผลว่าเป็นการแสดงให้ผู้ใช้เห็นชัดเจนขึ้นว่าส่วนเสริมใดเข้าถึงข้อมูลอะไรบ้าง อย่างไรก็ดีหน้าจอที่เสนอมาระบุถึงกระบวนการติดตั้งส่วนเสริมว่าไอคอนที่มุมขวาบนนั้นจะถูกซ่อนทันทีหลังจากติดตั้ง และผู้ใช้ต้องกด pin กลับมาเองอีกครั้งเพื่อแสดงไอคอน

นักพัฒนาที่มาตอบโพสข้อเสนอนี้ไม่พอใจนัก โดยหลายความเห็นระบุว่ากูเกิลผูกเรื่องการปกป้องความเป็นส่วนตัวผู้ใช้เข้ากับการแสดงไอคอนที่จะทำให้ส่วนเสริมถูกเรียกใช้งานยากขึ้นทั้งๆ ที่ผู้ใช้เป็นติดตั้งเองแต่แรก

นักวิจัยจาก Citizen Lab ออกรายงานข้อมูลว่าบริการวิดีโอคอล Zoom ได้ส่งข้อมูลการโทรศัพท์จากอเมริกาเหนือผ่านประเทศจีนโดยไม่แจ้งให้ผู้ใช้ทราบก่อน รวมถึงกุญแจเข้ารหัสที่ใช้กับข้อมูลเหล่านั้นด้วย

ต้องอธิบายก่อนว่า Zoom ไม่ได้เข้ารหัสแบบ end-to-end แต่เป็น end to end (ไม่มีขีด) หมายความว่า Zoom ยังถือกุญแจเข้ารหัสข้อมูลลูกค้า ซึ่งแน่นอนว่าตามกฎหมายจีนทางการสามารถสั่งให้ Zoom ส่งกุญแจเพื่อถอดรหัสข้อมูลใด ๆ ก็ตามที่ต้องการได้

Chrome ออกเวอร์ชัน 80 เมื่อเดือนกุมภาพันธ์ที่ผ่านมา โดยจุดสำคัญอย่างหนึ่งคือเตรียมพร้อมบังคับใช้ค่า SameSite สำหรับคุกกี้ และจะทยอยเปิดใช้ฟีเจอร์นี้ให้ผู้ใช้ทีละกลุ่ม

ล่าสุด Chrome ประกาศหยุดบังคับใช้ค่าคุกกี้ SameSite ชั่วคราว โดยทางทีมพัฒนาให้เหตุผลว่าเนื่องจากสถานการณ์ COVID-19 เพื่อป้องกันเหตุการณ์เว็บไซต์ไม่เสถียร

กลุ่มบริษัทยุโรปและสถาบันการศึกษา ร่วมกันตั้งหน่วยงานไม่หวังผลกำไรชื่อว่า Pan-European Privacy-Preserving Proximity Tracing
(PEPP-PT) โดยเป็นองค์กรจดทะเบียนในสวิสเซอร์แลนด์ กำลังพัฒนาแอปติดตามการเข้าใกล้ชิดระหว่างกันเพื่อเปิดทางให้องค์กรด้านสาธารณสุขสามารถติดตามตัวผู้ใกล้ชิดผู้ได้รับเชื้อ SARS-CoV-2 หรือเป็นสาเหตุของโรค COVID-19

แนวทางของ PEPP-PT นั้นแทบไม่เก็บข้อมูลกลับเซิร์ฟเวอร์เลยหากไม่ได้ใกล้ชิดกับผู้ติดเชื้อ โดยแอปจะกระจายหมายเลขประจำตัวแบบไม่เปิดเผยตัวตน (anonymous ID) ให้กับโทรศัพท์รอบข้าง พร้อมกับเก็บประวัติการเข้าใกล้โทรศัพท์รอบข้างไว้ในตัวโทรศัพท์เอง ไม่มีการส่งกลับเซิร์ฟเวอร์ และจะเก็บประวัติไว้เท่าที่จำเป็นพร้อมกับลบข้อมูลเก่าออก

Zoom ได้รับความนิยมอย่างสูงในช่วงเวลาที่ทั่วโลกกำลังปรับตัวมาทำงานและเรียนที่บ้าน แต่กลับถูกวิจารณ์ถึงความปลอดภัยและความเป็นส่วนตัว เช่น การใช้ Facebook SDK จนส่งข้อมูลออกไปยังเฟซบุ๊ก, การอ้างว่าวิดีโอเข้ารหัสแบบ end to end, หรือช่องโหว่ที่พบอยู่เรื่อยๆ ในช่วงหลัง จนตอนนี้บริษัทก็ออกมาตอบรับว่าประเด็นต่างๆ ได้แก้ไขไปแล้ว และจะแก้ไขความกังวลอื่นๆ อย่างต่อเนื่อง

แนวทางของ Zoom คือประกาศหยุดพัฒนาฟีเจอร์ใหม่ไปอีก 90 วัน ทุ่มวิศวกรทั้งหมดแก้ไขความปลอดภัยและความเป็นส่วนตัวเท่านั้น โดยเตรียมทำงานร่วมกับหน่วยงานภายนอกหรือตัวแทนผู้ใช้ให้เข้ามาตรวจสอบการทำงาน พร้อมกับเตรียมออกรายงานความโปร่งใสแจ้งภาพรวมการส่งข้อมูลให้หน่วยงานภายนอก

กระทรวงสาธารณสุขสิงคโปร์เปิดตัวแอป TraceTogether แอปที่ช่วยให้เจ้าหน้าที่หาประวัติการเข้าใกล้ผู้ป่วยได้ง่ายขึ้นผ่านทาง Bluetooth ของโทรศัพท์มือถือ

ตัวแอปไม่ได้ใช้ GPS แต่ใช้เฉพาะ Bluetooth เท่านั้น โดยแลกเปลี่ยนข้อมูลระหว่างโทรศัพท์ที่เข้าใกล้กันด้วยโปรโตคอล BlueTrace ที่ทาง Government Digital Servies (GDS) ของรัฐบาลสิงคโปร์ออกแบบขึ้นใหม่

Edward Snowden อดีตเจ้าหน้าที่ CIA ผู้เปิดเผยเอกสารลับจำนวนมากได้ให้ความเห็นเรื่องเกี่ยวกับเทคโนโลยีการควบคุมตรวจตราประชากรในสถานการณ์แพร่ระบาดของ COVID-19 โดยเขาเตือนว่าเมื่อเทคโนโลยีเหล่านี้ถูกนำออกมาใช้งานแล้ว มันจะอยู่อย่างถาวร การจะยกเลิกจะไม่ใช่เรื่องง่าย

Snowden ให้สัมภาษณ์กับ Copenhagen International Documentary Film Festival โดยเขาระบุว่าเมื่อกฎหมายสภาวะฉุกเฉินผ่านแล้วเช่นทุกวันนี้ สิ่งเหล่านี้จะยังคงอยู่แบบเหนียวแน่น โดยกฎหมายเกี่ยวกับสถานการณ์ฉุกเฉินเมื่อให้อำนาจกับเจ้าหน้าที่แล้ว พวกเขาจะรู้สึกสะดวกสบายกับอำนาจที่พวกเขาได้รับมา ทำให้เขาเริ่มที่จะชอบมันแล้ว

หลายวันที่ผ่านมา Zoom ถูกวิจารณ์ว่าแอป iOS ส่งข้อมูลผู้ใช้บางส่วนให้กับเฟซบุ๊ก แม้ผู้ใช้จะไม่ได้ใช้บริการอะไรที่เกี่ยวข้องกับเฟซบุ๊กเลยก็ตาม ล่าสุดทาง Zoom ออกมารับทราบปัญหานี้และแก้ปัญหาแล้ว

ปัญหานี้เกิดจากการใช้ Facebook SDK ในแอป โดยตัว SDK จะเก็บข้อมูลบางส่วนของผู้ใช้ ได้แก่ หมายเลขประจำแอป, เวอร์ชั่นของแอป, เครือข่ายที่โทรศัพท์เคลื่อนที่ที่เชื่อมต่ออยู่, หมายเลขประจำเครื่องสำหรับโฆษณา, จำนวนซีพียู, พื้นที่ดิสก์, ขนาดจอ, รุ่นเครื่อง, ภาษาที่ใช้งาน, โซนเวลา, เวอร์ชั่น iOS, และหมายเลขไอพี

ไมโครซอฟท์เผย จะหยุดลงทุนในบริษัทสตาร์ทอัพทำระบบจดจำใบหน้าที่เป็นบริษัทภายนอกหรือ third party หลังมีกรณีข้อสงสัยว่า AnyVision บริษัทในอิสราเอล ไปช่วยทำระบบจดจำใบหน้าในเขต West Bank ซึ่งมีความเกี่ยวข้องกับรัฐบาลอิสราเอล และไมโครซอฟท์ก็ได้ร่วมลงทุนในบริษัทนี้ด้วย ส่งผลให้เกิดการวิพากษ์วิจารณ์ว่ากระทบสิทธิมนุษยชน สิทธิพลเมืองหรือไม่

แอปเปิลปล่อย iOS 13.4, iPad OS 13.4, watchOS 6.2 และ macOS 10.15.4 ออกมาล่าสุดและมีการเปลี่ยนแปลงที่ค่อนข้างสำคัญกับ Safari คือแอปเปิลเลิกรองรับคุกกี้ที่มาจากนอกเว็บ (third-party cookies) โดยดีฟอลต์แล้ว เป็น

นอกจากนี้แอปเปิลระบุด้วยว่าเว็บนอกมักจะย้ายไปดึงข้อมูลจากตัวเว็บหลัก (first-party) แทน ดังนั้นนอกจากบล็อกคุกกี้จากภายนอกแล้ว Safari จะลบคุกกี้ที่เป็น first-party ด้วยหลังผ่านไป 7 วันและหากผู้ใช้งานไม่มีการเข้าเว็บหรือมี interaction กับเว็บนั้นอีกหลังผ่านไป 7 วันก็จะลบข้อมูลในสตอเรจที่เว็บนั้น ๆ ใช้งาน (script-writable storage) เพื่อป้องกันไม่ให้เว็บนอกมาดึงข้อมูลจากส่วนนี้ไปแทน

ความเป็นส่วนตัวที่แลกมาด้วยความปลอดภัยมั่นคงของสาธารณะกลายเป็นประเด็นในหลาย ๆ ประเทศอีกครั้งหลังเกิด COVID-19 จากให้รัฐบาลติดตามตัวเพื่อยืนยันการกักกันตัว อย่างก่อนหน้านี้อิสราเอลก็เพิ่งผ่านกฎหมายลักษณะนี้ ล่าสุดเป็นไต้หวัน ที่จะเริ่มบังคับใช้มาตรการนี้แล้ว

รัฐบาลไต้หวันนำโดยกระทรวงความมั่นคงไซเบอร์ ได้ร่วมมือกับผู้ให้บริการเครือข่ายในประเทศ ตรวจสอบสัญญาณเครือข่ายโทรศัพท์มือถือของผู้ป่วยที่ต้องกักกันตัวอยู่บ้าน ว่าอยู่บ้านจริง ๆ ไม่ออกไปแพร่เชื้อหรือไม่ โดยเจ้าหน้าที่จะโทรไปตรวจสอบวันละ 2 เวลาด้วยเพื่อตรวจสอบว่าไม่ได้ทิ้งมือถือไว้ที่บ้าน

รัฐบาลอิสราเอลผ่านกฎหมายฉุกเฉิน เปิดทางให้รัฐสามารถติดตามความเคลื่อนไหวของคนที่เป็นโรค COVID-19 และกลุ่มเสี่ยงผ่านการใช้งานโทรศัพท์ของพวกเขา และยังสามารถใช้ข้อมูลนั้นในการตามหาผู้ที่มาติดต่อกับคนเป็นโรค เพื่อให้เขากักตัวดูอาการลดโอกาสแพร่กระจายของโรค อย่างไรก็ตาม กฎหมายลักษณะนี้มีความรุกล้ำความเป็นส่วนตัวมาก และยังเป็นกฎลักษณะเดียวกันกับการสืบหาผู้ก่อการร้าย

โรงเรียนในประเทศโปแลนด์ถูกทางการสั่งปรับเป็นเงิน 20,000 zloty (หน่วยเงินของโปแลนด์ คิดเป็นเงินไทยราว 166,000 บาท) ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลยุโรปหรือ GDPR หลังจากทางโรงเรียนประมวลผลข้อมูลลายนิ้วมือของนักเรียนเพื่อตรวจสอบการจ่ายเงินค่าอาหารกลางวัน

Jan Nowak ประธานของ UODO หน่วยงานด้านการปกป้องข้อมูลส่วนตัวในโปแลนด์ระบุว่าทางโรงเรียนได้ประมวลผลลายนิ้วมือของเด็กนับร้อยคนโดยไม่มีมาตรฐานตามกฎหมาย ซึ่งโรงเรียนมีทางเลือกมากมายในการจัดการอาหารของโรงเรียนที่ไม่จำเป็นต้องใช้ลายนิ้วมือ

DuckDuckGo เสิร์ชเอนจินเน้นความเป็นส่วนตัวเปิดตัว Tracker Radar สำหรับให้ข้อมูลเกี่ยวกับแทร็กเกอร์ที่คอยตามเก็บข้อมูลผู้ใช้บนอินเทอร์เน็ต ซึ่งข้อมูลเหล่านี้ DuckDuckGo เก็บพร้อมประมวลผลเอง

สำหรับรายชื่อใน Tracker List นี้ มีโดเมนทั้งหมด 5,326 โดเมนที่บริษัทกว่า 1,727 แห่งใช้เพื่อตามเก็บข้อมูลผู้ใช้บนโลกออนไลน์ แทร็กเกอร์เหล่านี้พบได้ทั่วไป เน้นเก็บข้อมูลพฤติกรรมการใช้งานผู้ใช้งานบนอินเทอร์เน็ต ซึ่ง Tracker Radar จะให้ข้อมูลเกี่ยวกับแทร็กเกอร์แต่ละตัวด้วย เช่น พฤติกรรมการเก็บข้อมูล, เจ้าของ, นโยบายความเป็นส่วนตัว และอื่น ๆ

จากประเด็นธนาคารกสิกรไทยทำประกันชีวิต COVID-19 ให้ฟรี สังคมก็ท้วงติงถึงเงื่อนไขการขอข้อมูล ที่รวมถึงข้อมูลทัศนคติทางการเมือง เชื้อชาติ ลัทธิ ศาสนา พฤติกรรมทางเพศ และยังเป็นข้อมูลที่ธนาคารสามารถนำไปใช้ในการพิจารณาเสนอผลิตภัณฑ์ บริการและข้อเสนอพิเศษต่างๆ ซึ่งสังคมมองว่าเป็นการละเมิดข้อมูลส่วนบุคคล

ล่าสุดทางธนาคารกสิกรได้ออกมาเปลี่ยนเงื่อนไข โดยปรับปรุง เงื่อนไขความยินยอมในการเก็บรวบรวม ใช้ เปิดเผยข้อมูล ข้อ 1.10 โดยตัดเอาข้อมูลการเมือง เชื้อชาติ ศาสนาออกไป ตามรูปภาพหน้าจอด้านล่าง

กูเกิลเตรียมย้ายข้อมูลบัญชีพลเมืองสหราชอาณาจักร (อังกฤษ) ไปยังศูนย์ข้อมูลที่อยู่ใต้กฎหมายสหรัฐฯ หลังจากสหราชอาณาจักรจะออกจากสหภาพยุโรป พร้อมกับเตรียมให้ผู้ใช้กดยอมรับข้อตกลงใหม่

กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหราชอาณาจักรยังคงมีผลต่อไป แต่เนื่องจากสหราชอาณาจักรไม่ได้อยู่ในสหภาพยุโรปอีกแล้ว กฎหมายในอนาคตก็อาจจะไม่เป็นไปตาม GDPR อีกต่อไป โดยสหราชอาณาจักรและสหรัฐฯ นั้นมีความตกลงร่วมกันที่จะให้ทั้งสองประเทศสามารถขอข้อมูลผู้ใช้ข้ามกันได้ง่ายขึ้นในอนาคต

แนวทางกฎหมาย GDPR นับเป็นหนึ่งในกฎหมายคุัมครองข้อมูลส่วนบุคคลที่เข้มแข็งที่สุดในโลก โดยให้สิทธิเจ้าของข้อมูลเพิ่มเติมทั้งสิทธิ์ในการขอข้อมูลกลับและสิทธิ์ในการขอลบข้อมูลทิ้ง

เมื่อต้นปี 2019 เราเห็นข่าว Google Play ห้ามแอพที่ขอสิทธิเข้าถึงบันทึกการโทรและ SMS โดยไม่จำเป็น โดยให้เหตุผลเรื่องความปลอดภัยและความเป็นส่วนตัว แต่ก็สร้างเสียงวิจารณ์ไม่น้อย

เวลาผ่านมาครบปี กูเกิลสรุปตัวเลขให้เห็นชัดๆ ว่าแอพที่ขอสิทธิการใช้งาน SMS และการโทร (call data) มีจำนวนลดลงถึง 98% โดย 2% ที่เหลือคือแอพที่ยังจำเป็นต้องใช้งานสิทธิเหล่านี้จริงๆ

กูเกิลยังให้ข้อมูลด้านความปลอดภัยอื่นๆ ของ Google Play ในปี 2019 ดังนี้

Yoav Weiss วิศวกรทีมงาน Google Chrome โพสข้อเสนอสเปค HTTP header ตัวใหม่ที่ชื่อว่า UA-CH (User Agent Client Hint) สำหรับใช้งานแทนที่สตริง User-Agent ทุกวันนี้ที่แสดงข้อมูลผู้ใช้จำนวนมาก ทั้งเวอร์ชั่นย่อยเบราว์เซอร์และระบบปฎิบัติการจนเว็บไซต์สามารถติดตามผู้ใช้ได้อย่างแม่นยำ โดยใน UA-CH เว็บไซต์จะต้องขออนุญาตอ่านข้อมูลเบราว์เซอร์เป็นกรณีไป ไม่เช่นนั้นจะได้เพียงชื่อเบราว์เซอร์และเวอร์ชั่นหลักของเบราว์เซอร์เท่านั้น

อย่างไรก็ดี ขณะที่กระทู้กำลังพูดคุยเรื่องเสปค ก็มีผู้ถามว่าถ้ากูเกิลสนใจความเป็นส่วนตัว ทำไมจึงยังเติม HTTP header ที่ชื่อว่า x-client-data ที่เป็นเลขสุ่มระบุตัวตนผู้ใช้ได้อย่างแม่นยำ และทำงานเฉพาะโดเมนของกูเกิลอยู่