Czy i jak ten pomysł miałby być realizowany z informatycznego punktu widzenia?

Smartfony?

Abstrahując od tego czy takie paszporty szczepionkowe w ogóle powinny być, jak się to ma do naszych praw i wolności i całego szeregu innych fundamentalnych zagadnień, zastanówmy się jakie wyzwania związane z bezpieczeństwem wiążą się z tym pomysłem. Jak należałoby zaprojektować takie paszporty i jak przetwarzać dane w nich zawarte, mając na uwadze etykę i prywatność?

Może użyć do tego telefonu? Według finder.com 98% populacji Wielkiej Brytanii w wieku 16-24 lata ma smartfona, ale odsetek ten spada do 53% dla osób powyżej 65. roku życia (jest to w zasadzie odwrotność profilu ryzyka zachorowania na Covid-19). Podobnie jest w innych krajach Unii Europejskiej. Nie każdy ma telefon, taka jest obiektywna prawda.

To może jednak papier?

Historia uczy nas, że zaufaliśmy już mechanizmom rejestrowania statusu szczepień. Międzynarodowy Certyfikat Szczepień (International Certificate of Vaccination) czyli Prophylaxis, od lat trzydziestych XX wieku chroni świat przed żółtą febrą, tyfusem i innymi chorobami. Jest ważny na całym świecie, powiązany z paszportem i - jako dokument papierowy – nie wymaga od nas martwienia się o stan naładowania baterii.

Czy potrzebujemy więc czegoś więcej do pokazania w restauracji, miejscu pracy czy na lotnisku? Po szczepieniu w wielu krajach otrzymuje się naklejki. Większość osób nakleja ją na tył telefonu komórkowego. Z pewnością naklejka nie jest idealna - można ją skopiować i podrobić. To może trzeba by ten pomysł wzbogacić o rozwiązanie kryptograficzne z długą, naprawdę długą długością klucza?

Ochrona danych

Spójrzmy na to jakie dane mielibyśmy chronić. Te dane dotyczą jedynie tego, czy dana osoba została zaszczepiona, koniec, kropka. Nie, czy dana osoba jest zarażona, czy jest nosicielem choroby. Dodatkowo pochodzenie danych o szczepieniu też jest wątpliwe. Nie wszystkie kraje europejskie od samego początku rozpoczęcia akcji szczepień wymagały przedstawiania dokumentu tożsamości ze zdjęciem, podczas szczepienia.

Tak, naklejkę można sfałszować ale aplikacja też może zostać zhakowana. Istnieje pułapka mentalna, w którą łatwo wpaść: ochrona danych za pomocą drogiego rozwiązania cyfrowego nie polepszy jakości tych danych a może tylko stworzyć fałszywe poczucie bezpieczeństwa.

Argumenty za podejściem cyfrowym

Aplikacje dotyczące covid-19 nie miały do tej pory łatwo. Z technicznego punktu widzenia nie trzeba szukać daleko – wystarczy przypomnieć sobie losy aplikacji do śledzenia kontaktów, które zostały opracowane w ciągu ostatniego roku - niektóre były używane z powodzeniem ale absolutnie nie była to reguła.

W czasie, gdy obawy dotyczące prywatności i etyki są gorąco dyskutowane, można zapytać, kto chciałby opracować kolejne rozwiązanie cyfrowe w szaleńczym tempie, nie mówiąc już o tym, że jest to finansowane przez Państwo a wszyscy znamy bolączki publicznych przetargów na rozwiązania informatyczne.

Certyfikaty i naklejki mogą zostać zgubione, sfałszowane lub sprzedane online osobie, która zaoferowała najwyższą cenę i – przede wszystkim - nie są one silnie powiązane z żadną formalną dokumentacją. Są też przestarzałe - wyciąganie zaświadczenia dwa razy w roku na lot bardzo różni się od wyciągania go dwa razy dziennie na kawę. Rozwiązanie cyfrowe też nie będzie doskonałe ale może lepszy od naklejki byłby taki model:

• Rząd tworzy publiczny interfejs programowania aplikacji (API), który zwraca binarną odpowiedź – dana osoba jest zaszczepiona lub nie.
• Zostaje utworzona baza danych z użyciem danych z dokumentacji medycznej, w której każdy ma przypisany unikalny identyfikator - taki jak numer PESEL (kiepsko) lub jakiś całkowicie losowy identyfikator.

W prostocie siła – zwykły interfejs API z możliwością wykonywania zapytań, zaprojektowany w celu ograniczenia dostępu do absolutnego minimum przy użyciu danych, które są już dostępne dla wielu pracowników służby zdrowia. Każda osoba musi tylko udowodnić, kim jest. Kojarzenie zdjęcia z osobą nie jest niczym nowym – korzystamy przecież z dowodów osobistych czy praw jazdy.

Powyższy model zdecydowanie nie jest doskonały, ale już chyba lepiej zaufać zapytaniu zweryfikowanemu w rządowej bazie danych niż naklejce, jak to ma obecnie miejsce we wspomnianej na wstępie Wielkiej Brytanii.