ไผ่ จตุภัทร์ ฟ้องคดีแพ่ง NSO จากการใช้สปายแวร์เพกาซัส พิสูจน์ความรับผิดของผู้ผลิต

สปายแวร์เพกาซัสเป็นเทคโนโลยีเจาะระบบขโมยข้อมูลจากโทรศัพท์สมาร์ทโฟนที่ก้าวหน้าที่สุดในยุคหนึ่ง โดยผู้ผลิต คือ บริษัท NSO Group จากประเทศอิสราเอล ที่จัดจำหน่ายแก่รัฐบาลทั่วโลก อ้างว่า เพื่อช่วยรัฐในการป้องกันการก่อการร้ายและอาชญากรรมร้ายแรง แต่มีข้อค้นพบทั่วโลกว่า รัฐบาลหลายสิบประเทศใช้งานเพื่อติดตามสอดส่องพฤติกรรมของนักข่าว นักกิจกรรม นักสิทธิมนุษยชน เพื่อปราบปรามผู้เห็นต่างทางการเมือง  

สำหรับในประเทศไทย เพกาซัสเป็นที่รู้จักครั้งแรกในเดือนพฤศจิกายน 2564 เมื่อ Apple ส่งอีเมล์แจ้งเตือนผู้ใช้งาน iPhone หลายสิบคนว่า อาจเป็นเป้าหมายจากการโจมตีของผู้โจมตีที่สนับสนุนโดยรัฐ iLaw จึงสร้างความร่วมมือกับซิติเซ่นแล็บ (Citizen Lab) และ DigitalReach SEA เพื่อสืบสวนข้อเท็จจริง และสรุปเป็นรายงานเผยแพร่ในเดือนกรกฎาคม 2565 พบว่า มีผู้ถูกโจมตีด้วยสปายแวร์นี้อย่างน้อย 35 คน โดยทั้งหมดมีส่วนในการชุมนุมเพื่อเรียกร้องประชาธิปไตยในปี 2563-2564

จากข้อมูลที่ค้นพบนำไปสู่การฟ้องร้องคดีเพื่อพิสูจน์การละเมิดสิทธิครั้งนี้สามคดี โดยมีคดีที่ยังอยู่ในกระบวนการสองคดี ได้แก่ คดีในศาลแพ่ง ซึ่งไผ่-จตุภัทร์ ฟ้องบริษัท NSO Group เป็นจำเลย และ คดีในศาลปกครอง ซึ่งอานนท์ นำภาและยิ่งชีพ อัชฌานนท์ ฟ้องหน่วยงานรัฐ 9 แห่ง

คดีแพ่งพิสูจน์ความรับผิดของผู้ผลิตสปายแวร์

เนื่องจากการผลิตและการจัดจำหน่ายสปายแวร์ที่เป็นอาวุธสงครามทางไซเบอร์นั้นมีลักษณะต่างจากการผลิตและขายสินค้าโดยทั่วไป เพราะสปายแวร์ผลิตขึ้นมาโดยไม่มีวัตถุประสงค์และไม่มีประโยชน์อย่างอื่นนอกจากใช้เพื่อการเจาะระบบและขโมยข้อมูลโดยไม่ได้รับอนุญาตเท่านั้น ซึ่งเป็นเทคโนโลยีการละเมิดสิทธิโดยตรง แม้บางสถานการณ์หรือกฎหมายบางประเทศจะอนุญาตให้เจ้าหน้าที่รัฐใช้งานสปายแวร์เพื่อสืบสวนหาข้อมูลได้บ้าง แต่ผู้ผลิตและผู้ขายจึงมีหน้าที่และความรับผิดชอบต่อสินค้าของตัวเองต้องออกแบบผลิตภัณฑ์และระบบในการป้องการการใช้งานในทางที่ผิด และหากเกิดเหตุการณ์ที่เทคโนโลยีในความครอบครองของตัวเองถูกใช้เพื่อละเมิดสิทธิของประชาชนผู้ผลิตและขายจึงต้องร่วมรับผิดด้วย

ในเดือนพฤศจิกายน 2565 ผู้เสียหายคนไทยที่ถูกเจาะระบบโทรศัพท์มือถือแปดคน “ร่วมกัน” เป็นโจทก์ยื่นฟ้องบริษัท NSO Group ต่อศาลแพ่งในความผิดฐานละเมิดสิทธิส่วนบุคคลขั้นร้ายแรง แต่ศาลแพ่งไม่รับคำฟ้องไว้พิจารณาเพราะเห็นว่า โจทก์ทั้งแปดคนถูกกระทำละเมิดต่างกัน ไม่อาจฟ้องรวมเป็นคดีเดียวกันได้ แต่ผู้เสียหายต่างพิจารณาแล้วเห็นว่า การแยกฟ้องเป็นแปดคดีจะเพิ่มภาระทั้งทนายความ พยาน และค่าธรรมเนียมศาล จึงยื่นฟ้องใหม่เป็นคดีเดียวในวันที่ 13 กรกฎาคม 2566 โดยให้จตุภัทร์ บุญภัทรรักษา หรือ ไผ่ เป็นโจทก์เพียงคนเดียว

กรณีของจตุภัทร์นั้น ตามรายงานที่เผยแพร่เมื่อวันที่ 18 กรกฎาคม 2565 ระบุว่า เขาถูกโจมตีโดยเพกาซัสสามครั้ง คือ วันที่ 23 และ 28 มิถุนายน และวันที่ 9 กรกฎาคม 2564

ในคำฟ้องของจตุภัทร์นั้นระบุว่า เมื่อสปายแวร์เพกาซัสเจาะเข้ามาในโทรศัพท์มือถือและได้ข้อมูลทุกอย่าง เข้าถึงข้อมูลที่เป็นส่วนตัวทุกประเภท รูปถ่าย วิดีโอ ตำแหน่งที่อยู่ เครือข่ายสังคมออนไลน์ รวมทั้งการเปิดไมโครโฟนเพื่อแอบฟังบทสนทนา และการเปิดกล้อง เพื่อแอบดูภาพที่เกี่ยวข้องเจ้าของเครื่อง และเมื่อสปายแวร์เจาะเข้ามาในโทรศัพท์ครั้งหนึ่งแล้วก็สามารถเข้าถึงข้อมูลต่างๆ ได้อย่างไม่มีจำกัดเวลา เป็นการทำลายความเป็นส่วนตัวของโจทก์ เสรีภาพในการติดต่อสื่อสาร และเสรีภาพในการเดินทางเลือกถิ่นที่อยู่ หลังจำเลยได้ขายสิทธิการใช้เพกาซัสให้กับรัฐบาลต่างๆ แล้วจำเลยยังคงมีหน้าที่ดูแล ควบคุม หรือใช้เพกาซัสกับเป้าหมาย ตามที่หน่วยงานรัฐต้องการ ทำให้จำเลยสามารถเข้าถึงข้อมูลของเป้าหมายได้ ซึ่งไม่มีกฎหมายฉบับใดในประเทศไทยให้อำนาจทั้งรัฐและเอกชนที่จะล้วงข้อมูลในโทรศัพท์เช่นนี้ได้ จึงเป็นการกระทำละเมิดต่อโจทก์ทำให้โจทก์ได้รับความเสียหาย

คำขอในคดีแพ่งระหว่างจตุภัทร์ กับบริษัท NSO Group มีดังนี้

1. ขอให้จำเลยระงับการใช้สปายแวร์เพกาซัสต่อโจทก์ และ
2. ขอให้จำเลยส่งมอบข้อมูลที่ได้จากการใช้งานเพกาซัสและส่งมอบให้หน่วยงานรัฐของไทยคืนแก่โจทก์ทั้งหมด
3. ขอให้จำเลยรับผิดชดใช้ความเสียหายจากการละเมิด เป็นเงิน 2,000,000 บาท พร้อมดอกเบี้ยร้อยละ 5 ต่อปี จนกว่าจะชำระแก่โจทก์เสร็จสิ้น
4. ขอให้จำเลยชดใช้ค่าเสียหายต่อจิตใจ ทำให้โจทก์ต้องหวาดระแวง วิตกกังวลว่าจะถูกสปายแวร์เพกาซัสเจาะระบบ คิดเป็นค่าเสียหาย 500,000 บาท พร้อมดอกเบี้ยร้อยละ 5 ต่อปี จนกว่าจะชำระแก่โจทก์เสร็จสิ้น
5. ขอให้จำเลยชำระค่าฤชาธรรมเนียมศาล และค่าทนายความอย่างสูงแก่โจทก์

NSO ทำเซอร์ไพรส์ เปิดหน้าเข้าสู้คดีในประเทศไทย

หลังยื่นฟ้องแล้ว ฝ่ายโจทก์ต้องขอให้ศาลส่งหมายนัดและสำเนาคำฟ้องไปใช้จำเลยตามที่อยู่ของจำเลยในประเทศอิสราเอล ซึ่งในคดีแพ่งหากจำเลยอยู่ต่างประเทศและไม่ต้องการต่อสู้คดีอำนาจของศาลไทยก็ไม่อาจไปบังคับเอาตัวจำเลยในต่างประเทศมาดำเนินคดีได้ แต่เมื่อบริษัท NSO Group ได้รับหมายนัดของศาลแพ่งแล้ว ก็ได้แต่งตั้งทนายความในประเทศไทย ชื่อ ชิตชัย พันแสน จากบริษัท Tileke & Gibbins ให้เป็นตัวแทนมาต่อสู้คดี

โดยฝ่ายจำเลย ยื่นคำให้การปฏิเสธข้อกล่าวหา โดยสรุปใจความได้ว่า จำเลยไม่ได้ดูแล ควบคุม หรือใช้ซอฟต์แวร์เพื่อทำการเจาะเข้าระบบติดตามสอดแนมการใช้งานของเป้าหมาย จำเลยเป็นเพียงบริษัทผู้คิดค้นและพัฒนาเพื่อจำหน่ายให้แก่รัฐบาลประเทศต่างๆ ที่ผ่านการตรวจสอบและคัดกรองภายในของจำเลยแล้ว ภายใต้ใบอนุญาตการส่งออกที่เข้มงวดของรัฐบาลอิสราเอล หากตรวจพบว่ามีการใช้งานที่ไม่ถูกต้องก็จะเพิกถอนสิทธิในการใช้ทันที จำเลยเป็นเพียงผู้พัฒนาและให้สิทธิในการใช้งานแก่ลูกค้า รวมถึงช่วยบำรุงรักษา แต่ในส่วนการใช้งานจำเลยไม่มีส่วนเกี่ยวข้อง ลูกค้าเท่านั้นเป็นผู้ใช้ จำเลยไม่ได้เป็นผู้ควบคุมการใช้งาน จำเลยไม่มีทางรู้ว่าเป้าหมายของลูกค้าคือบุคคลใด และไม่ได้เข้าถึงข้อมูลในอุปกรณ์อิเล็กทรอนิกส์ของเป้าหมาย

ในช่วงระหว่างปี 2560-2565 บริษัท NSO Group ต้องเจอกับกระแสวิพากษ์วิจารณ์อย่างหนักจากทั่วโลก เมื่อมีการเปิดเผยว่าสปายแวร์เพกาซัสถูกนำไปใช้กับผู้เห็นต่างทางการในหลายประเทศ และยังต้องเจอกับการฟ้องร้องจากเหยื่ออย่างน้อย 30 คดี ใน 13 ประเทศ​ ซึ่งในหลายคดีบริษัท NSO Group จะต่อสู้คัดค้านเขตอำนาจศาลของประเทศนั้นๆ ในการพิจารณาคดี ทำให้การดำเนินคดีล่าช้าไม่ได้ต่อสู้กันในเนื้อหาของการใช้งานสปายแวร์ แต่สำหรับคดีในประเทศไทย เป็นคดีแรกที่บริษัท NSO Group ตัดสินใจแต่งตั้งทนายความคนไทยมาเป็นตัวแทน ยื่นคำให้การเข้าต่อสู้ในเนื้อหาของคดี ขอเข้าไกล่เกลี่ย และเข้าสืบพยานลงเนื้อหาคดีโดยละเอียด

ขณะเดียวกันในระหว่างการต่อสู้คดีฝ่ายบริษัท NSO Group ก็แสดงให้เห็นถึงเทคนิคในความพยายามทำให้คดีไม่เป็นที่รับรู้ โดยการขอให้ไอลอว์ลบเนื้อหาที่เผยแพร่ ขอให้ศาลสั่งพิจารณาคดีเป็นการลับ และขอให้ศาลสั่งลงโทษโจทก์ฐานละเมิดอำนาจศาล

ในวันนัดสืบพยานโจทก์ ฝ่ายโจทก์นำพยานเข้าสืบดังนี้

1. จตุภัทร์ บุญภัทรรักษา ตัวโจทก์เอง เบิกความถึงความเสียหายที่เกิดขึ้นจากการถูกละเมิดสิทธิส่วนบุคคลโดยสปายแวร์เพกาซัส
2. ยิ่งชีพ อัชฌานนท์ ผู้อำนวยการไอลอว์ เบิกความเล่าถึงการตรวจสอบการใช้งานสปายแวร์เพกาซัสกับคนไทยอย่างน้อย 35 คน และคำอธิบายของ NSO Group ที่เคยให้ไว้ในทางสากล
3. วรัญญุตา ยันอินทร์ นักเทคนิคคอมพิวเตอร์จากไอลอว์ เบิกความถึงขั้นตอนวิธีการทำสำเนาข้อมูลจากโทรศัพท์มือถือของโจทก์ ก่อนส่งไปตรวจพิสูจน์
4. สุธาวัลย์​ ชั้นประเสริฐ ผู้อำนวยการ DigitalReach เบิกความถึงขั้นตอนวิธีการรับไฟล์สำเนาจากโทรศัพท์ของเหยื่อและใช้โปรแกรมของ Citizen Lab ในการตรวจสอบ
5. ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล นักวิชาการด้านกฎหมายระหว่างประเทศ เบิกความถึงหลักกาความรับผิดชอบขององค์กรธุรกิจต่อสิทธิมนุษยชนของผู้ที่เกี่ยวข้อง และความคิดเห็นของสหประชาชาติต่อสปายแวร์เพกาซัส
6. ผศ.ดร.ปริยกร ปุสวิโร นักวิชาการด้านคอมพิวเตอร์ เบิกความถึงลักษณะทั่วไปของการทำงานของสปายแวร์ และความสามารถของผู้พัฒนาที่จะควบคุมการใช้งานเทคโนโลยีที่ผลิตขึ้นเอง

ฝ่ายจำเลยนำพยานเข้าสืบดังนี้

1. ยูวัล เอลโลวิช ผู้เชี่ยวชาญด้านคอมพิวเตอร์ เบิกความถึงจุดอ่อนและความไม่น่าเชื่อถือของเครื่องมือที่ชื่อ MVT ในการตรวจสอบสปายแวร์เพกาซัส
2. ชมูเอล ซันเรย์ หัวหน้าฝ่ายกฎหมายตัวแทนของจำเลย เบิกความถึง วัตถุประสงค์ของเพกาซัสและขั้นตอนการตรวจสอบการใช้งานในทางที่ผิดของบริษัทจำเลย

ข้อต่อสู้หลัก NSO เป็นผู้ใช้งานหรือแค่ขาย แล้วรู้เห็นกับการละเมิดหรือไม่

คำฟ้องโจทก์กล่าวหาบริษัท NSO Group ว่า หลังจากที่ขายสิทธิการใช้งานให้แก่รัฐบาลต่างๆ แล้ว NSO Group ยังมีหน้าที่ให้การดูแล ควบคุมการใช้งานสปายแวร์ดังกล่าวกับบุคคลเป้าหมาย โดยเมื่อรัฐบาลที่ซื้อสปายแวร์ดังกล่าวระบุตัวเป้าหมายแล้ว NSO Group เป็นผู้ที่ควบคุมเพื่อทำการเจาะระบบ สอดแนมบุคคลเป้าหมาย ทำสำเนาข้อมูลและส่งให้กับหน่วยงานของรัฐอีกทอดหนึ่ง ในประเทศไทย หลังการจัดซื้อแล้ว NSO Group ยังทำหน้าที่อบรมการใช้งานให้เจ้าหน้าที่ของรัฐในการใช้กับโจทก์ ทำหน้าที่ให้บริการซ่อมบำรุงระบบ และยังมีหน้าที่ตรวจสอบว่าหน่วยงานรัฐที่เป็นลูกค้านำสปายแวร์ไปใช้ในทางที่ผิดหรือไม่

ฝ่ายจำเลยเขียนคำให้การวางข้อต่อสู้ในประเด็นนี้ว่า NSO Group ไม่ได้ดูแล ควบคุม และ/หรือใช้เพกาซัสกับเป้าหมาย แต่เป็นเพียงผู้คิดค้นและพัฒนาสปายแวร์เพื่อจำหน่าย ขณะเดียวกันบริษัทของจำเลยก็ยังให้ความสำคัญกับสิทธิมนุษยชนโดยมีนโยบายด้านสิทธิมนุษยชน และรายงานความโปร่งใส โดยการทำสัญญากับลูกค้าจะต้องมีข้อกำหนดการใช้งานเพื่อปราบปรามอาชญากรรมร้ายแรงเท่านั้น ซึ่งบริษัทจะติดตามข้อร้องเรียนจากสื่อและเอ็นจีโอ หากพบข้อสงสัยการใช้สปายแวร์ในทางที่ผิดก็จะพูดคุยกับลูกค้าและขอความร่วมมือในการตรวจสอบการใช้งาน ซึ่งระบบของเพกาซัสมี Activity Log ให้ตรวจสอบได้ หากลูกค้าไม่ยินยอมก็จะระงับการใช้งาน ที่ผ่านมาเคยยกเลิกการใช้งานแล้วหลายกรณี

ทั้งนี้ฝ่ายจำเลยไม่ได้ปฏิเสธว่า ไม่เคยมีการใช้สปายแวร์เพกาซัสเพื่อเจาะระบบโทรศัพท์มือถือของโจทก์ และไม่ได้ปฏิเสธว่าไม่เคยขายให้กับหน่วยงานของรัฐไทย หรือไม่เคยมีการใช้สปายแวร์นี้ในประเทศไทย แต่ก็ยืนยันที่จะไม่ยอมรับหรือไม่เบิกความถึงข้อเท็จจริงใดๆ ที่อาจเกี่ยวข้องกับลูกค้าว่า ใครเป็นลูกค้าบ้าง โดยพยานจำเลยไม่ตอบคำถามว่า เคยตรวจสอบกรณีข้อร้องเรียนของโจทก์หรือไม่ แต่อธิบายว่า จะตรวจสอบเฉพาะกรณีมีรายงานที่น่าเชื่อถือเท่านั้น

คดีขาดอายุความหรือไม่ ทั้งที่ตัวโจทก์ยังอยู่ในคุก

คดีนี้โจทก์ยื่นฟ้องต่อศาลในวันที่ 13 กรกฎาคม 2566 โดยระบุว่า ทราบว่าถูกโจมตีวันที่ 18 กรกฎาคม 2565 ซึ่งเป็นวันที่เผยแพร่รายงานการค้นพบว่าคนไทยถูกเจาะระบบโดยสปายแวร์เพกาซัสอย่างน้อย 35 คน จำเลยคัดค้านว่า ที่จริงแล้วโจทก์ทราบว่า โดนเจาะระบบตั้งแต่เดือนพฤศจิกายน 2564 ซึ่งการฟ้องร้องเรียกค่าเสียหายฐานละเมิดต้องฟ้องภายในหนึ่งปีนับตั้งแต่รู้ คดีจึงขาดอายุความ 

อย่างไรก็ดี ศาลอาญามีคำสั่งไม่ให้ประกันตัวจตุภัทร์ในคดี “ประติมากรรมต้านอำนาจรัฐ” เมื่อวันที่ 9 สิงหาคม 2564 และทำให้โจทก์ในคดีนี้ต้องอยู่ในเรือนจำเรื่อยมาจนถึงวันที่ 10 กุมภาพันธ์ 2565 ระหว่างนั้นไม่สามารถเข้าถึงอุปกรณ์อิเล็กทรอนิกส์ใดๆ ได้ และไม่สามารถเข้าถึงอีเมล์ที่แจ้งเตือนจาก Apple ได้จึงยังไม่ทราบแน่ชัดว่า ถูกโจมตีหรือไม่ ต่อมาในวันที่ 17 กรกฎาคม 2565 จึงได้รับการยืนยันผ่านรายงานของ Citizen Lab เรื่อง “GeckoSpy Pegasus Spyware Used against Thailand’s Pro-Democracy Movement” ว่า ถูกโจมตีจริง ตามมาด้วยการยืนยันในวันที่ 18 กรกฎาคม 2565 รายงานร่วมของ iLaw และ DigitalReach Asia เรื่อง “ปรสิตติดโทรศัพท์ : รายงานข้อค้นพบการใช้เพกาซัสสปายแวร์ในประเทศไทย” 

นอกจากนี้ยังอ้างว่า จำเลยยังต่อสู้ว่า โจทก์เรียกค่าเสียหายโดยไม่ได้อธิบายว่า ได้รับผลกระทบต่อชีวิตอย่างไร คำนวณอย่างไร และในเรื่องความเสียหายทางจิตใจก็ไม่มีบทบัญญัติตามกฎหมายใดที่ให้โจทก์เรียกค่าเสียหายในส่วนนี้ได้ คดีนี้โจทก์เรียกค่าเสียหายรวม 2,500,000 บาท ทั้งที่ความเสียหายในการละเมิดสิทธิความเป็นส่วนตัว ถูกโจมตีจากสปายแวร์เข้าถึงโทรศัพท์นำข้อมูลทั้งหมด ทั้งที่สัมพันธ์กับการเคลื่อนไหวทางการเมือง เรื่องส่วนตัวและการเงิน เป็นความเสียหายที่ประเมินค่าไม่ได้และไม่อาจพิสูจน์กันเป็นเอกสารหลักฐานได้

Timeline ลำดับความเคลื่อนไหวคดี

13 กรกฎาคม 2566 โจทก์ยื่นฟ้องคดีต่อศาลแพ่ง

26 ตุลาคม 2566 จำเลยยื่นคำให้การเข้าต่อสู้คดี

6 พฤศจิกายน 2566 นัดพิจารณาคดี ทนายโจทก์แถลงต่อศาลว่า หนังสือมอบอำนาจจาก NSO Group ให้แก่สำนักกฎหมายและส่งช่วงต่อให้ทนายจำเลยไม่ชอบตามมาตรา 47 ของประมวลกฎหมายวิธีพิจารณาความแพ่ง เพราะไม่มีการรับรองเป็นพยานจากสถานทูตไทยในอิสราเอล ทนายจำเลยชี้แจงว่า เหตุที่เป็นเช่นนี้เนื่องจากภาวะสงครามในประเทศอิสราเอล ทำให้ต้องเลื่อนนัดไปจนกว่าจะสามารถติดต่อหน่วยงานราชการ เป็นผู้รับรองได้ จากนั้นศาลลงบัลลังก์เพื่อปรึกษาเจ้าของสำนวนเมื่อกลับขึ้นนั่งบัลลังก์อีกครั้ง ศาลเรียกทนายโจทก์และจำเลยมาสอบถาม ทนายจำเลยขอให้เลื่อนคดีออกไปก่อนจนกว่าสถานการณ์สงครามจะดีขึ้นและสามารถหาหน่วยงานราชการรับรองการมอบอำนาจได้ ทนายโจทก์แย้งติดสำนวนว่า การมอบอำนาจของจำเลยเกิดขึ้นระหว่างวันที่ 21 และ 24 กันยายน 2566 ซึ่งเกิดขึ้นก่อนสงครามอิสราเอลในวันที่ 7 ตุลาคม 2566

5 กุมภาพันธ์ 2567 นัดชี้สองสถาน ศาลขึ้นบัลลังก์และตรวจสอบเอกสารมอบอำนาจพบว่า มีการแก้ไขให้ถูกต้องแล้ว จึงชี้สองสถาน กำหนดประเด็นข้อพิพาทในคดีนี้ว่า คดีนี้มีประเด็นว่า 1) จำเลยกระทำละเมิดต่อโจทก์หรือไม่ 2) ค่าเสียหายมีเพียงใด 3) ฟ้องโจทก์ขาดอายุความหรือไม่ ซึ่งโจทก์เป็นฝ่ายมีภาระในการพิสูจน์

ทนายความโจทก์แถลงว่า ต้องการสืบพยานรวมเก้าปาก ฝ่ายจำเลยแถลงว่า ขอสืบพยานปากเดียว เป็นผู้บริหารของจำเลย และจะขอสืบพยานผ่านระบบจอภาพ ซึ่งฝ่ายโจทก์คัดค้านและขอให้พยานมาที่ศาล แต่ศาลสั่งว่า เห็นควรให้สืบพยานผ่านระบบจอภาพได้ โดยใช้ระบบ Google Meet ให้พยานเบิกความจากบ้านที่อิสราเอลได้ โดยให้ทั้งสองฝ่ายจัดทำบันทึกถ้อยคำแทนการซักถามพยานของฝ่ายตน และส่งสำเนาให้อีกฝ่ายหนึ่งล่วงหน้าไม่น้อยกว่าเจ็ดวัน

หลังจากนั้นคู่ความหาวันนัดที่ว่างตรงกัน และกำหนดเป็นวันนัดสืบพยานโจทก์วันที่ 3-6 กันยายน 2567 วันนัดสืบพยานจำเลยวันที่ 10 กันยายน 2567

21 มิถุนายน 2567 วันนัดไกล่เกลี่ย โจทก์ได้ยื่นข้อเสนอเป็นเอกสารว่า หากจำเลยเปิดเผยสัญญาซื้อขายสปายแวร์เพกาซัสที่ทำกับหน่วยงานของรัฐไทย ฝ่ายโจทก์ก็จะไม่ติดใจเรียกร้องค่าเสียหายใดๆ เพิ่มเติม หรือหากจำเลยยอมเปิดเผยข้อมูลบางส่วน เช่น ชื่อหน่วยงานที่ซื้อขายสปายแวร์เพกาซัสและบุคคลที่ตกเป็นเป้าหมายการโจมตี ก็จะขอเรียกร้องค่าเสียหายเพียงครึ่งเดียว คือ 1,250,000 บาท ฝ่ายจำเลยมีตัวแทนจากประเทศอิสราเอลเดินทางมาศาลเพื่อเข้าเจรจา แต่ไม่ยอมรับเงื่อนไขใดๆ นอกจากการจ่ายค่าเสียหายเพียงครึ่งเดียว ทำให้ตกลงกันไม่ได้ และยกเลิกการไกล่เกลี่ย (อ่านรายละเอียดเพิ่มเติมได้ทาง)

28 มิถุนายน 2567 ทนายจำเลยยื่นคำร้องต่อศาลแพ่ง ขอให้ศาลสั่งให้โจทก์ ทนายโจทก์ และไอลอว์ลบรายงานข่าวเกี่ยวกับวันนัดไกล่เกลี่ย ซึ่งศาลสั่งไว้ในคำร้องว่า ให้นัดพร้อมเพื่อไต่สวนเรื่องนี้ในวันนัดสืบพยานโจทก์นัดแรก

11 กรกฎาคม 2567 ทนายจำเลยยื่นคำร้องต่อศาลแพ่งอีกหนึ่งฉบับอธิบายว่า มีผู้แชร์โพสต์ดังกล่าวต่อไปเป็นจำนวนมาก โดยจตุภัทร์ก็แชร์ในลักษณะล้อเลียนจำเลย เป็นเหตุให้จำเลยได้รับความเสียหายมากขึ้น จึงขอให้ศาลมีคำสั่งกำหนดวันนัดใหม่ แต่ศาลแพ่งสั่งยกคำร้องโดยให้เหตุผลว่า ระยะเวลาที่กำหนดไว้เดิมไม่ถือเนิ่นช้าเกินควร 

3 กันยายน 2567 สืบพยานฝ่ายโจทก์ ได้แก่ จตุภัทร์ บุญภัทรรักษา, ยิ่งชีพ อัชฌานนท์ วรัญญุตา ยันอินทร์

4 กันยายน 2567 สืบพยานฝ่ายโจทก์ ได้แก่ วรัญญุตา ยันอินทร์, สุธาวัลย์ ชั้นประเสริญ, ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล

5 กันยายน 2567 สืบพยานฝ่ายโจทก์ ได้แก่ ผศ.ดร.ปริยกร ปุสวิโร

6 กันยายน 2567 สืบพยานฝ่ายจำเลย ได้แก่ ยูวัล เอลโลวิช

10 กันยายน 2567 สืบพยานฝ่ายจำเลย ได้แก่ ชมูเอล ซันเรย์

21 พฤศจิกายน 2567 ศาลแพ่งยกฟ้อง ศาลเห็นว่า NSO Group ผู้ผลิตสปายแวร์เพกาซัส ไม่ได้กระทำละเมิดต่อโจทก์ โดยศาลไม่เชื่อว่าโจทก์ได้รับแจ้งเตือนจากแอปเปิลจริง และไม่มีผู้ตรวจจากซิติเซ่นแล็บ (Citizen Lab) มาเบิกความยืนยันรายละเอียดการตรวจ ผลการตรวจจึงรับฟังไม่ได้