ข้อมูลส่วนบุคคลคือทรัพย์สินหรือสิทธิ?

I. บทนำ: คำถามที่ดูเหมือนง่ายแม่นตอบยากที่สุด

ถามนักธุรกิจไทยว่า: "ข้อมูลลูกค้าของคุณ เป็นทรัพย์สินของคุณหรือของลูกค้า?" พวกเขาจะตอบว่า "ถ้าเก็บข้อมูล มันต้องเป็นของบริษัท ไม่เช่นนั้นทำไมต้องเก็บ?" คำตอบนี้ไม่ผิด แต่มันก็ไม่ตอบคำถาม

เพราะปัญหาไม่ได้เป็นเรื่องของความเป็นเจ้าของ ปัญหาคือ: PDPA ของไทย ตั้งอยู่บนสมมติฐานว่า ข้อมูลส่วนบุคคนคือ สิทธิขั้นพื้นฐาน ไม่ใช่ทรัพย์สิน — และนี่คือความแตกต่างที่ยิ่งใหญ่ที่สุดในการคิดแบบผิด

บทความนี้อธิบายว่า: (1) สองโมเดลนี้คืออะไร (2) พวกเขาต่างกันอย่างไร (3) ไทยเลือกโมเดลใด (4) ผลต่อธุรกิจเป็นอย่างไร (5) Data Economy คืออะไร และ (6) อนาคตจะไปไหน

II. แนวคิดที่ 1: ข้อมูลส่วนบุคคลในฐานะ "ทรัพย์สิน"

"โมเดลทรัพย์สิน" (Property Model) มองว่า ข้อมูลส่วนบุคคน = ทรัพย์สินของเจ้าของข้อมูล เหมือนกับที่บ้าน รถยนต์ หรือเงินเป็นทรัพย์สินของเรา เจ้าของมีสิทธิที่จะ (1) ใช้งานข้อมูลของตัวเอง (2) ให้ใครอื่นใช้งานเป็นอัลการ์บา (3) ขายข้อมูล (4) ปฏิเสธให้ใครอื่นใช้ (5) ฟ้องร้องถ้าใครลักข้อมูล

นักกฎหมายชาวอเมริกัน Lawrence Lessig เสนอแนวคิดนี้ในบทความที่ชื่อ "Privacy as Property"¹ โดยเขาบอกว่า "ถ้าข้อมูลของเรา คือทรัพย์สิน เราจะได้คุ้มครองเหมือนทรัพย์สินอื่นๆ เราสามารถขายข้อมูล ให้เช่า หรือปฏิเสธให้ใคร่คนไปยึดทำลาย"

แนวคิดนี้ฟังดูดี ถ้าเราคิดแบบตลาด: "ถ้าข้อมูลมีราคา ตลาดจะกำหนดราคา ผู้บริโภคจะได้เงินจากการขายข้อมูล บริษัทจะต้องเก่าเสียมิฉะนั้นจะไม่ได้ข้อมูล" นี่คือ "ประชาธิปไตยของตลาด"

แต่นักกฎหมายชื่อ Jerry Kang และ Benedikt Buchner โต้แย้งว่า² "ไม่ใช่ทั้งหมด" พวกเขาบอกว่า ถ้าข้อมูลเป็นทรัพย์สิน คนยากจนจะถูกกดดันให้ขายข้อมูลของตนเองเพราะต้องการเงิน "นี่ไม่ใช่การเลือก มันคือการบังคับ" — และในระบบตลาด คนยากจนก็ยากจนต่อไป

III. แนวคิดที่ 2: ข้อมูลส่วนบุคคลในฐานะ "สิทธิขั้นพื้นฐาน"

"โมเดลสิทธิ" (Rights Model) มองว่า ข้อมูลส่วนบุคคล = สิทธิขั้นพื้นฐานของเราในฐานะมนุษย์ เหมือนกับว่าสิทธิในชีวิต เสรีภาพ ความมีศักดิ์ศรี เป็นสิทธิที่ "ไม่ขายได้" ไม่มีใครสามารถบังคับให้ยอมเสียสิทธินี้ได้

โมเดลนี้มาจากแนวคิดทางด้านมนุษยธรรม EU รับประกัน "Charter of Fundamental Rights"³ ในข้อ 8 ว่า "ทุกคนมีสิทธิที่จะได้รับการคุ้มครองข้อมูลส่วนบุคคนของตน" — ไม่ได้บอกว่า "ถ้าคุณยินดี" แต่ว่า "ทุกคนมีสิทธิ" เสมอ — ขายไม่ได้ แม้คุณจะต้องการขาย

GDPR ของยุโรปตั้งอยู่บนโมเดลสิทธินี้⁴ — ประเทศยุโรป เลือกว่า ความเป็นส่วนตัว คือสิทธิ ไม่ใช่ทรัพย์สิน เพราะว่า "ถ้าเปิดให้ขายข้อมูล คนจำเป็นจะถูกล้วง ตรงปนี้สิทธิเกินไป"

IV. กฎหมายไทยเลือกโมเดลใด? อ่านจากตัวบท

ตอบแบบตรง: ไทยเลือกโมเดลสิทธิ ไม่ใช่โมเดลทรัพย์สิน

อ่านมาตรา 3 แรกของ PDPA บอกว่า "พระราชบัญญัตินี้มีวัตถุประสงค์เพื่อ คุ้มครองสิทธิ ของเจ้าของข้อมูลส่วนบุคคน" — ไม่ได้บอกว่า "คุ้มครองทรัพย์สิน" แต่บอกว่า "คุ้มครองสิทธิ"⁶

แล้ว อ่านรัฐธรรมนูญไทย มาตรา 32 บอกว่า "บุคคลย่อมมีสิทธิในความเป็นอยู่ส่วนตัว เกียรติยศ ชื่อเสียง และครอบครัว"⁷ — เป็นการใจแตกหรือถูกใจปรัชญา "สิทธิ"

หมายเหตุ: ถ้าข้อมูลส่วนบุคคนเป็นทรัพย์สิน ก็น่าจะอยู่ในหมวด "ทรัพย์สิน" ของประมวลกฎหมาย แต่ PDPA ไม่ได้บัญญัติเป็นทรัพย์สิน ตัดสินใจเทพให้เป็นสิทธิแทน — และในแง่นี้ ไทยสอดคล้องกับยุโรป

V. ผลกระทบในทางปฏิบัติ: ถ้าเป็นทรัพย์สินจะต่างจากสิทธิอย่างไร?

ถ้าข้อมูลส่วนบุคคน เป็น ทรัพย์สิน:

• เจ้าของข้อมูลสามารถ "ขาย" ข้อมูล ได้ เช่นเดียวกับการขายบ้านหรือรถ
• เมื่อคนรวย เขาสามารถ "ไม่ให้" บริษัทเก็บข้อมูล ได้ โดยไม่ให้ ทรัพย์สิน
• ถ้าใครขโมยข้อมูล ก็ถือว่าลักทรัพย์สิน แล้วต้องชดใช้มูลค่า
• ข้อมูลถือว่าเป็น "สินทรัพย์" สามารถนำไปจำนอง หรือใช้เป็นหลักประกัน

ถ้าข้อมูลส่วนบุคคน เป็น สิทธิ:

• เจ้าของข้อมูล "ไม่สามารถขาย" ข้อมูลได้แม้อยากจะขาย (เหมือนไม่สามารถขายอวัยวะของตัวเอง)
• ทุกคนมีสิทธิ "เท่ากัน" — คนรวยและคนจน ต่างคนต่างมีสิทธิไม่ให้เก็บข้อมูล
• ถ้าใครลักข้อมูล ถือว่า "กระทำละเมิดสิทธิ" ต้องแก้ไขหรือชดใช้คำเสียหาย
• ข้อมูลไม่ใช่ "สินทรัพย์" ขั้นต่อไป จึงไม่สามารถนำไปจำนอง

แล้วอื่นๆ? ข้อมูลในฐานะ "สิทธิ" มีปัญหา "ไม่สามารถโอนให้ใครได้" — ถ้า PDPA บอกว่า "ข้อมูลคือสิทธิของเจ้าของ" แล้วเจ้าของ "โอนสิทธินี้ให้บริษัท" จะเป็นไปได้หรือ? คำตอบคือ "ถึง" — เพราะสิทธิมนุษยชนไม่สามารถโอนได้

VI. ประมวลกฎหมายไทยอ่านอย่างไร?

ประมวลกฎหมายแพ่งและพาณิชย์ไทย มาตรา 138 นิยาม "ทรัพย์" ว่า "วัตถุมีรูปร่าง"⁷ — ข้อมูลดิจิทัลไม่มีรูปร่างจับต้องได้ เพราะฉะนั้น ข้อมูลไม่ใช่ "ทรัพย์" ตามความหมายของ ประมวล

แต่เมื่อ PDPA ออกมา มันแกะกฎหมายว่า "เราจะเรียกข้อมูลว่า 'สิทธิ' ไม่ใช่ 'ทรัพย์สิน'" — ดังนั้น ถ้านักธุรกิจไทยคิดว่า "ข้อมูลลูกค้าเป็นสินทรัพย์ของบริษัท" กฎหมายมาหยาบ "ไม่ใช่ เลยค่ะ มันคือสิทธิของลูกค้า บริษัทแค่ผู้จัดการ"

VII. Data Economy: เมื่อข้อมูลมีราคาเป็นพันล้าน

เดี๋ยวนี้มี "ตลาดข้อมูล" (Data Marketplace) เกิดขึ้น — บริษัทนำข้อมูลประชากร พฤติกรรม การค้นหา มาใจงาน "ลองซื้อข้อมูล ไหม คุณสามารถใช้ไปวิเคราะห์ลูกค้า"

ถ้ากฎหมายไทยเลือกว่า "ข้อมูลคือสิทธิ ไม่ใช่ทรัพย์สิน" แล้ว ตลาดข้อมูลจะเจ๋งปัญหา: "คนเหล่านี้นำข้อมูลมาขายโดยไม่ขอความยินยอมเจ้าของ ก็ถือว่าละเมิดสิทธิ"

ตรงนี้คือ "ความชัก" ของระบบ บริษัทเทคโนโลยีชอบ "โมเดลทรัพย์สิน" เพราะมันให้เสรีภาพในการค้นหาข้อมูล — แต่กฎหมายไทยเลือก "โมเดลสิทธิ" เพราะมันปกป้องคนมากกว่า

VIII. ทิศทางในอนาคต

ยุโรปเข้าใจว่า "ไม่มีการขายข้อมูล" ทำให้ GDPR มีกฎ "ถ้าต้องการใช้ข้อมูล ต้องขอความยินยอมใหม่" — บริษัทต้องถามทุกครั้ง ทุกครั้ง ทุกครั้ง

ไทยกำลังไปทางเดียวกัน PDPA บอกว่า "ต้องขอความยินยอม" ตรงนี้ เป็นการจะ "ปรับกฎหมายให้เข้มขัดกว่า" เพราะว่า "ข้อมูลคือสิทธิ ไม่ใช่ทรัพย์สิน และสิทธิต้องคุ้มครอง"

IX. บทสรุป

ข้อมูลส่วนบุคคล คือ "สิทธิ" ไม่ใช่ "ทรัพย์สิน" — นี่ไม่ใช่คำตอบที่ตอบคำถาม "ใครเป็นเจ้าของ?" แต่มันตอบคำถาม "มันมีค่าเท่าไหร่ ในทางกฎหมาย?"

ถ้ามันเป็น "สิทธิ" — ไม่สามารถขายได้ แม้คุณจะต้องการขาย ทุกคนต้องได้รับการคุ้มครองเท่าๆ กัน บริษัทต้องขอความยินยอมเสมอ แต่ถ้ามันเป็น "ทรัพย์สิน" — คุณสามารถขายได้ ตลาดจะกำหนดราคา คนรวยจะได้เงินจากการขาย ส่วนคนจนอาจไม่มีทางเลือก

ไทยเลือก "สิทธิ" เพราะว่า "ความเป็นส่วนตัว ต้องคุ้มครอง" — แล้วนี่คือคำว่าที่ทั่วไป บ้านไทยต้องปรับตัว นักธุรกิจต้องเข้าใจว่า ข้อมูลลูกค้า "ไม่ใช่สินทรัพย์" มันเป็น "สิทธิของลูกค้า" และเจ้าหน้าที่บริษัทเป็นเพียง "ผู้จัดการสิทธินั้น" เท่านั้น

เชิงอรรถ

1Lawrence Lessig, 'Privacy as Property' (2002) 69 Social Research 247. [เลสซิกเสนอว่าการมองข้อมูลส่วนบุคคลเป็นทรัพย์สิน ก็จะได้คุ้มครองดีกว่า]
2Jerry Kang and Benedikt Buchner, 'Privacy in Atlantis' (2004) 18 Harvard Journal of Law & Technology 229. [บทความนี้โต้แย้งว่าโมเดลทรัพย์สินมีปัญหา]
3Charter of Fundamental Rights of the European Union, Article 8, proclaimed at Nice 7 December 2000 [2000] OJ C 364/1. [กฎบัตรสิทธิขั้นพื้นฐาน EU ระบุว่าคุ้มครองข้อมูลส่วนบุคคน]
4European Convention on Human Rights, Article 8, Rome 4 November 1950. [ECHR มาตรา 8 คุ้มครองสิทธิในความเป็นส่วนตัว]
5ประมวลกฎหมายแพ่งและพาณิชย์ มาตรา 138: "ทรัพย์" หมายความว่าวัตถุมีรูปร่าง [ข้อมูลดิจิทัลไม่มีรูปร่าง]
6พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562, มาตรา 3 วรรคแรก: "พระราชบัญญัตินี้มีวัตถุประสงค์เพื่อคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคน" [ใช้คำว่า "สิทธิ" ไม่ใช่ "ทรัพย์สิน"]
7รัฐธรรมนูญแห่งราชอาณาจักรไทย พุทธศักราช ๒๕๖๐, มาตรา ๓๒: "บุคคลย่อมมีสิทธิในความเป็นอยู่ส่วนตัว เกียรติยศ ชื่อเสียง และครอบครัว" [บัญญัติไว้ในหมวดสิทธิและเสรีภาพ ไม่ใช่หมวดทรัพย์สิน]
8ประมวลกฎหมายแพ่งและพาณิชย์ มาตรา 420: ผู้ใดจงใจหรือประมาทเลินเล่อทำต่อบุคคลอื่น โดยผิดกฎหมายให้เขาเสียหาย ต้องใช้ค่าสินไหมทดแทน [การลักข้อมูล อาจถูกฟ้องตามมาตรา 420 ป.พ.พ.]
9Shoshana Zuboff, The Age of Surveillance Capitalism: The Fight for a Human Future at the New Frontier of Power (PublicAffairs 2019). [ซูบอฟฟ์ยืนยันว่า Data Economy คือ "ทุนนิยมการเฝ้าระวัง"]
10Paul Ohm, 'Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization' (2010) 57 UCLA Law Review 1701. [โอห์มแสดงให้เห็นว่า anonymization ไม่ปลอดภัย]
11ประมวลกฎหมายแพ่งและพาณิชย์ มาตรา 138 อีกครั้ง [เพื่อเน้นว่า ข้อมูลไม่ใช่ "ทรัพย์" ตามความหมายเดิม]