ตำรวจยาเสพติดรับ “เคย” ใช้เพกาซัส แต่กอ.รมน. ปฏิเสธ

1 สิงหาคม 2567 ที่ห้องประชุม N402 อาคารรัฐสภา คณะกรรมาธิการความมั่นคงแห่งรัฐ กิจการชายแดนไทย ยุทธศาสตร์ชาติและการปฏิรูปประเทศ (กมธ.ความมั่นคงฯ) ที่มีรังสิมันต์ โรม สส.พรรคก้าวไกลเป็นประธาน เชิญหน่วยงานด้านความมั่นคงหลายแห่ง รวมทั้งกองอำนวยการรักษาความมั่นคงภายในราชอาณาจัก (กอ.รมน.) เข้ามาชี้แจงเรื่องการใช้สปายแวร์เพกาซัสเพื่อล้วงข้อมูลในโทรศัพท์มือถือซึ่งเป็นการละเมิดสิทธิมนุษยชน

กรณีนี้สืบเนื่องมาจากคำร้องจากไอลอว์ ที่ยื่นไว้ต่อประธานกมธ.ความมั่นคงฯ เมื่อวันที่ 17 กรกฎาคม 2567 เพื่อขอให้สภาผู้แทนราษฎรใช้อำนาจที่มีอยู่ช่วยตรวจสอบข้อเท็จจริงเกี่ยวกับการใช้เทคโนโลยีละเมิดสิทธิส่วนบุคคลว่า มีหน่วยงานรัฐแห่งใดเป็นผู้รับผิดชอบและเป็นการกระทำที่มีกฎหมายรองรับหรือไม่ พร้อมกับนำเสนอหลักฐานรายงานการตรวจสอบ ที่พบว่า กอ.รมน. เคยมีส่วนเกี่ยวข้องกับการใช้เทคโนโลยีที่ผลิตโดยบริษัท เอ็นเอสโอ กรุ๊ป ของประเทศอิสราเอล ซึ่งเป็นผู้ผลิตและจัดจำหน่ายสปายแวร์เพกาซัสแต่เพียงผู้เดียว

ในการประชุมกมธ.ความมั่นคงฯ มีผู้เข้าร่วมการประชุม ได้แก่ ตัวแทนผู้ร้อง ซึ่งประกอบด้วย อภิรักษ์ นันทเสรีและฉัตรมณี ไตรสนธิ ทนายความของผู้ฟ้องคดีเกี่ยวกับการถูกใช้เพกาซัสสปายแวร์ในประเทศไทย, สุธาวัลย์ ชั้นประเสริฐ จาก DigitalReach องค์กรซึ่งศึกษาประเด็นทางเทคนิคเกี่ยวกับเพกาซัสสปายแวร์ ฝ่ายหน่วยงานของรัฐ มีตัวแทนจากกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (DE), ตัวแทนจากกองบัญชาการตำรวจปราบปรามยาเสพติด (บช.ปส.), ตัวแทนจากสำนักข่าวกรองแห่งชาติ (สขช.), ตัวแทนจากกองอำนวยการรักษาความมั่นคงภายในราชอาณาจักร (กอ.รมน.) ส่วนด้าน NSO Group บริษัทผู้ผลิตสปายแวร์ไม่ได้ส่งตัวแทนเข้ามาชี้แจง ทาง กมธ.ความมั่นคงฯ แจ้งว่า จะออกหนังสือเชิญอีกครั้ง หากยังไม่มาจะดำเนินการออกหนังสือเรียก

ฝ่ายผู้ร้องชี้แจงที่มาของเรื่องร้องเรียนนี้ว่า มีการตรวจพบการใช้สปายแวร์เพกาซัสกับนักกิจกรรมทางการเมือง นักศึกษา เยาวชน นักวิชาการ และคนทำงานด้านสิทธิมนุษยชนในระหว่างปี 2563-2564 ซึ่งเป็นช่วงเวลาที่มีการชุมนุมทางการเมืองต่อต้านรัฐบาลพล.อ.ประยุทธ์ จันทร์โอชา และอภิปรายถึงปัญหาเพกาซัสสปายแวร์ในระดับโลก โดยอธิบายวิธีการตรวจสอบทางนิติวิทยาศาสตร์เพื่อให้ทราบถึงการถูกเจาะระบบโดยสปายแวร์เพกาซัส

๐ อ่านข้อมูลเกี่ยวกับเพกาซัส ปรสิตติดโทรศัพท์ เพิ่มเติมได้ที่ https://www.ilaw.or.th/articles/35056

กระทรวงดีอี ปฏิเสธไม่เคยจัดซื้อจัดจ้าง

ตัวแทนจากกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (DE) ชี้แจงโดยสรุปว่า ไม่มีนโยบายในการจัดหาหรือใช้อาวุธไซเบอร์หรือเทคโนโลยีเพื่อติดตามข้อมูลของประชาชน ซึ่งถ้ามีการใช้ เป็นความผิดตามพ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ มาตรา 7 มาตรา 8 และพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 27 หน่วยงานของกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ไม่ได้มีการจัดหาอาวุธไซเบอร์และไม่มีภารกิจดังกล่าว อีกทั้งยังชี้ว่าหน่วยงานที่จะดักจับข้อมูล ควรขออนุญาตจากศาลก่อนและควรรายงานให้หน่วยงานที่มีอำนาจดังกล่าวทราบด้วย รวมถึงด้านของสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ได้เริ่มดำเนินการปี 2564 แต่สกมช. ไม่เคยจัดซื้อจัดจ้างและไม่มีนโยบายใช้เพกาซัสสปายแวร์

หน่วยข่าวกรอง ยืมเครื่องมือหน่วยงานอื่น

ตัวแทนจากสำนักข่าวกรองแห่งชาติ (สขช.) ซึ่งเป็นหน่วยงานที่มีกฎหมายให้อำนาจใช้เทคโนโลยีดักรับข้อมูลได้ ชี้แจงโดยสรุปว่า หน่วยงานมีหน้าที่หาข่าวแต่ไม่เคยใช้เพกาซัสหรือมัลแวร์ในการหาข่าวและมีหน้าที่ป้องกันการเจาะเข้ามาจากมัลแวร์ต่างๆ รวมถึงเพกาซัสด้วย สขช.ไม่ทราบว่า มีหน่วยงานความมั่นคงใช้เพกาซัสสปายแวร์ ทั้งนี้ได้อธิบายว่า สขช. มีการสืบสวนฝ่ายตรงข้าม เช่น กลุ่มก่อการร้ายโดยจะไปยืมเครื่องมือของหน่วยงานอื่น แต่ไม่เคยเจาะเข้าไปอ่านข้อมูลในเครื่องได้ 

ตำรวจยาเสพติดรับเคยซื้อเพกาซัส แต่ไม่ได้ใช้แล้ว

ตัวแทนจากกองบัญชาการตำรวจปราบปรามยาเสพติด (บช.ปส.) ชี้แจงโดยสรุปว่า หน่วยงานได้ดำเนินการจัดซื้อเพกาซัสสปายแวร์ตั้งแต่ปี 2557 แต่เป็นเวอร์ชั่นที่เป้าหมายต้องกดลิงก์เท่านั้นถึงจะเจาะข้อมูลได้ แต่อย่างไรก็ดี ตั้งแต่ปี 2563 บช.ปส. ไม่ได้รับงบในการอัปเดตสัญญาอนุญาตซอฟต์แวร์เพื่อให้ทำงานอยู่บนคอมพิวเตอร์ (license) แล้ว ต่อมาในปี 2559 บช.ปส.ใช้เพกาซัสสปายแวร์ตามอำนาจากกฎหมายวิธีพิจารณาคดียาเสพติด โดยมีการขออนุมัติจากเลขาธิการคณะกรรมการป้องกันและปราบปรามยาเสพติดและศาล ซึ่งในปี 2559 ใช้กับคดียาเสพติดเท่านั้น ส่วนในปี 2560 บช.ปส.ใช้เพกาซัสสปายแวร์อีกครั้ง ในคดี Alexander ซึ่งเป็นคดีฟอกเงิน ยึดทรัพย์ และส่งผู้ร้ายข้ามแดน และอธิบายย้ำว่า นับตั้งแต่ปี 2563 บช.ปส. ไม่ได้รับงบประมาณในการอัปเดตโปรแกรม เนื่องจากของบประมาณไม่ทันรอบ จึงไม่มีประโยชน์ในการใช้ดำเนินการเพราะเทคโนโลยีไปไม่ถึงและขณะนี้ไม่มีการใช้แล้ว รวมถึงไม่มีการใช้สปายแวร์ในลักษณะอื่น ไม่มีเครื่องมือพิเศษ มีแต่ License Plate Recognition (LPR) ซึ่งเป็นระบบตรวจจับและอ่านป้ายทะเบียนรถยนต์แบบอัตโนมัติ การใช้เครื่องมือพิเศษต้องผ่านขั้นตอนของกรรมการและกฎหมายยาเสพติดและคนใช้ต้องเป็นเจ้าหน้าที่ตำรวจ ไม่มีเจ้าหน้าที่ของเอกชนมายุ่งเกี่ยว 

ในปี 2557 บช.ปส. มีโปรแกรมชื่อว่า circles ซึ่งลักษณะใกล้เคียงกับเพกาซัสสปายแวร์แต่ในการจัดซื้อมีหลายบริษัทเป็นคู่สัญญาและในการเก็บรักษาข้อมูลที่ได้จากการใช้โปรแกรมดังกล่าว ศาลจะเข้ามาควบคุม โดยเมื่อได้ข้อมูลมาข้อมูลจะถูกเก็บอยู่ที่ศาลอาญาเท่านั้น การใช้เพกาซัสสปายแวร์ของบช.ปส. จำเป็นต้องมีการติดต่อกับ NSO  Group ในการใช้งานลิงก์เพื่อให้เป้าหมายได้กดซึ่งเป็นการดำเนินการตามกรอบกฎหมาย แต่ไม่เกี่ยวกับผู้ให้บริการเครือข่ายโทรศัพท์ โดย NSO Group จะเป็นผู้สร้างลิ้งก์ให้เป้าหมายกดและระบบจะจัดส่งลิงก์ไปตามเบอร์ของเป้าหมายที่แจ้งไป 

กอ.รมน. ไม่มีเทคโนโลยีเพกาซัสใช้ 

ตัวแทนจากกองอำนวยการรักษาความมั่นคงภายในราชอาณาจักร (กอ.รมน.) ชี้แจงโดยมีใจความสำคัญว่า กอ.รมน. ทั้งประเทศไม่มีเทคโนโลยีเพกาซัสสปายแวร์ใช้ การทำงานจะเป็นงานข่าวกรองโดยใช้บุคคลเป็นหลัก ไม่มีเครื่องมือพิเศษใช้ แต่การใช้จะเป็นไปตามกฎหมาย

อย่างไรก็ดีตามเอกสารงบประมาณ 2563 พบว่า กอ.รมน. มีการจัดซื้อโปรแกรม skylock และตามรายงานของ citizen lab พบว่า มี server ของ กอ.รมน. ที่เชื่อมโยงกับเทคโนโลยีของบริษัท NSO Group แต่ กอ.รมน. กลับให้ข้อมูลว่า กอ.รมน. ไม่เคยใช้ มีใช้แค่ระบบ GIS ซึ่งช่วยประมวลผลจากข่าวสารและข่าวกรอง และไม่รู้ว่าใครใช้ 

ต่อมาพลโท พงศกร รอดชมภู หนึ่งในกรรมาธิการเสนอว่า ถ้าไม่มีการเพกาซัสสปายแวร์จริง อยากให้ กอ.รมน. ฟ้องว่ามีคนแอบใช้ระบบของ กอ.รมน. 

การดำเนินงานต่อของ กมธ.ความมั่นคงฯ

1. ขอให้กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เป็นเจ้าภาพในการหาข้อเท็จจริงว่า หน่วยงานไหนในประเทศไทยเป็นผู้ใช้สปายแวร์เพกาซัส เพราะหน่วยงานที่เชิญมาวันนี้แจ้งว่าไม่ได้เป็นคนใช้ จึงต้องมีหน่วยงานใดหน่วยงานหนึ่งอยู่เบื้องหลังการใช้งานสปายแวร์นี้ต่อประชาชนคนไทย

2. มอบหมายให้พรรณิการ์ วานิช อดีตสส. ที่เป็นหนึ่งในเหยื่อของสปายแวร์เพกาซัส ส่งข้อมูลเกี่ยวกับการพบการใช้เพกาซัสสปายแวร์ใน server ของกอ.รมน. ให้ กอ.รมน. ตรวจสอบ ถ้ากอ.รมน. ไม่ได้ใช้จริงแนะนำให้ฟ้องเป็นคดีต่อไป

3. ให้ กอ.รมน. ชี้แจงเรื่องอุปกรณ์สอดแนมที่ชื่อว่า skylock ว่ามีการใช้จริงตามเอกสารงบประมาณหรือไม่
 

4. ทางกมธ.ความมั่นคงฯ จะทำหนังสือสอบถามไปยังผู้ตรวจการแผ่นดิน ให้ตรวจสอบว่ามีการจัดซื้อจัดจ้างหรือใช้งบประมาณแผ่นดินสำหรับเพกาซัสสปายแวร์ในหน่วยงานใดหรือไม่

5. ให้พรรณิการ์ วานิช และไอลอว์ยกร่างคำถามไปยัง บริษัท NSO Group และสถานทูตอิสราเอลเพื่อให้ตอบกลับมาเป็นลายลักษณ์อักษร 

สปายแวร์เพกาซัส (Pegasus) เป็นเทคโนโลนยีที่ออกแบบมาเพื่อการจารกรรมข้อมูลจากโทรศัพท์สมาร์ทโฟน เรียกได้ว่าเป็นอาวุธไซเบอร์ที่ร้ายแรงที่สุดในโลก โดยมีผู้ผลิตและจัดจำหน่าย คือ บริษัท NSO Group สัญชาติอิสราเอล ที่จะเสนอขายให้กับหน่วยงานของรัฐเท่านั้น โดยทางบริษัทได้ระบุว่า สปายแวร์เพกาซัสนั้นมีเทคโนโลยีเข้ารหัสระดับสูงทำให้อาชญากร หรือผู้ก่อการร้ายที่ถูกสอดแนมนั้นมืดแปดด้านไม่รู้ว่าถูกใครโจมตี อีกทั้งตัวซอฟต์แวร์ยังสามารถซ่อนตัวบนสมาร์ทโฟน ทำให้ผู้ใช้สามารถจับตาความเคลื่อนไหวได้ทุกย่างก้าวและสามารถทำได้หลายอย่าง ดังต่อไปนี้

• เปิดอ่านข้อมูลในข้อความ SMS, อีเมล และแอปพลิเคชันแชทต่าง ๆ ไม่ว่าจะเป็น LINE, Facebook Messenger, iMessages, telegram ฯลฯ โดยที่สามารถเปิดอ่าน และคัดลอกข้อมูลออกไปได้
• บันทึกเสียงสนทนาทั้งการโทรเข้า และโทรออก
• ขโมยรูปภาพที่มีภายในเครื่อง
• สั่งเปิดไมโครโฟน หรือกล้อง เพื่อแอบดักฟังเสียง หรือดูภาพโดยรอบ

ที่ผ่านมา ทาง NSO Group ได้มีส่วนพัวพันกับคดีดังระดับโลกหลายครั้ง เช่น กรณีที่ Apple ฟ้องร้อง NSO Group เพื่อระงับการใช้สปายแวร์เพกาซัส ซึ่งตรวจพบว่า สปายแวร์ชนิดนี้ถูกรัฐบาลในหลายประเทศรอบโลกใช้ไม่ตรงตามวัตถุประสงค์เพื่อป้องกันอาชญการรมหรือการก่อการร้าย แต่ใช้สอดแนมนักกิจกรรม นักหนังสือพิมพ์และผู้นำทางการเมืองที่อยู่ฝ่ายตรงข้ามกับรัฐบาล

สำหรับในประเทศไทย เพกาซัส เป็นที่รู้จักในวงกว้างครั้งแรกในหลังจากเดือนพฤศจิกายน 2564 Apple ส่งอีเมล์แจ้งเตือนนักกิจกรรม นักวิชาการและผู้ทำงานภาคประชาสังคมผู้ใช้งาน iPhone ว่าอาจตกเป็นเป้าหมายจากการโจมตีของผู้โจมตีที่สนับสนุนโดยรัฐ ไอลอว์จึงร่วมมือกับ Citizen Lab และ DigitalReach SEA เพื่อสืบสวนข้อเท็จจริง และสรุปเป็นรายงานเผยแพร่ในเดือนกรกฎาคม 2565 พบว่า มีผู้ถูกโจมตีด้วยสปายแวร์นี้อย่างน้อย 35 คน แทบทั้งหมดมีส่วนในการชุมนุมเพื่อเรียกร้องประชาธิปไตยในปี 2563

วันที่ 19 กรกฎาคม 2565 ระหว่างการอภิปรายไม่ไว้วางใจรัฐบาล ศรัณย์ ทิมสุวรรณ ส.ส.จังหวัดเลย พรรคเพื่อไทย ได้ตั้งคำถามถึงข้อครหาต่อการใช้สปายแวร์เพกาซัสในประเทศไทย ด้านชัยวุฒิ ธนาคมานุสรณ์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมหรือดีอีในขณะนั้น ชี้แจงรับว่า ระบบนี้มีจริง แต่เป็นงานด้านความมั่นคงหรือการปราบปรามยาเสพติด ไม่ใช่อำนาจของกระทรวงดีอี หลังจากนั้นความคืบหน้าในการเปิดโปงผู้ใช้เพกาซัสสปายแวร์ปราบชุมนุมในไทยก็ดำเนินเรื่อยมา ด้วยการใช้กลไกทางกฎหมายต่างๆ โดยเฉพาะอย่างยิ่งเมื่อวันที่ 13 กรกฎาคม 2566 ไผ่-จตุภัทร์ บุญภัทรรักษา นักกิจกรรมเป็นโจทก์คนเดียวยื่นฟ้อง NSO Group ต่อศาลแพ่ง ในคดีนี้ศาลรับฟ้องและส่งหมายเรียกคู่ความไปยังประเทศอิสราเอล ต่อมาบริษัท NSO Group แต่งตั้งทนายความมาสู้คดี และศาลแพ่งกำหนดนัดสืบพยานวันที่ 3-6 และ 10 กันยายน 2567