รู้จักเพกาซัสสปายแวร์ให้มากขึ้น จากปากคำของผู้ผลิตที่อธิบายต่อศาลแพ่ง

10 กันยายน 2567 เวลา 09.30 น. ศาลแพ่งรัชดา นัดสืบพยานจำเลยในคดีที่ไผ่-จตุภัทร์ บุญภัทรรักษาเป็นโจทก์ยื่นฟ้องจำเลย บริษัท เอ็นเอสโอ กรุ๊ป (NSO) สัญชาติอิสราเอลที่เป็นผู้ผลิต ผู้จำหน่ายและพัฒนาสปายแวร์เพกาซัส ฐานละเมิดสิทธิส่วนบุคคลจากการใช้เทคโนโลยีขโมยข้อมูลในโทรศัพท์มือถือ โดยเรียกค่าเสียหาย 2,500,000 บาทและขอให้ศาลสั่ง NSO ให้หยุดใช้สปายแวร์เพกาซัสละเมิดความเป็นส่วนตัวของพลเมืองไทย

คดีนี้มีการสืบพยานโจทก์ตั้งแต่วันที่ 3-5 กันยายน 2567 และฝ่ายจำเลยขอนำพยานผู้เชี่ยวชาญด้านคอมพิวเตอร์ คือ ยูวัล เอลโลวิซิ เข้าเบิกความเมื่อวันที่ 6 กันยายน 2567 โดยฝ่ายจำเลยมีพยานปากสุดท้าย คือ ชมูเอล ซันเรย์ (Shmuel Sunray) ตัวแทนของบริษัท NSO ที่ได้รับมอบอำนาจมาเข้าเบิกความในคดีนี้ และนี่เป็นครั้งแรกของชมูเอลที่มาปรากฏตัวต่อศาลในการพิจารณาคดีต่อหน้าสาธารณะเพื่ออธิบายถึงการทำงานของสปายแวร์เพกาซัสและการตรวจสอบการใช้งานของผู้ผลิต ให้เราได้รู้จักและเข้าใจมากยิ่งขึ้น

ชมูเอล อายุ 60 ปี มีตำแหน่งทางการคือ General Counsel ที่อาจแปลตรงตัวได้ว่า “ที่ปรึกษาทั่วไป” ของบริษัท เอ็นเอสโอ กรุ๊ป ในการเบิกความครั้งนี้ชมูเอลอธิบายว่า ตำแหน่งของเขา คือ ผู้บริหารสูงสุดฝ่ายกฎหมายของบริษัท ชมูเอลเล่าว่า เขาเป็นทนายความมา 35 ปี เคยเป็นทหารในกองทัพอิสราเอล และเคยทำงานในบริษัทขนาดใหญ่ด้านการทหารสองบริษัทที่มีมูลค่าเป็นพันล้านดอลล่าร์สหรัฐ และมาทำงานให้กับบริษัท เอ็นเอสโอ กรุ๊ป ตั้งแต่ปี 2562

การเบิกความของชมูเอล แบ่งออกเป็นสามรูปแบบ คือ หนึ่ง การส่งคำเบิกความเป็นเอกสารให้กับศาลและคู่ความล่วงหน้า ซึ่งเนื้อหาส่วนที่มาจากเอกสารนั้นในที่นี้จะสรุปและเรียบเรียงใหม่โดยอธิบายไว้ว่ามาจากเอกสารคำเบิกความ สอง การเบิกความสดต่อหน้าศาลด้วยตัวเองตามประเด็นที่เตรียมไว้ และสาม การตอบคำถามค้านของทนายความโจทก์ ซึ่งในที่นี้จะสรุปโดยระบุไว้ด้วยว่าเป็นการตอบคำถามค้าน

เพกาซัสมีขึ้นทำไม และไม่อยากให้เรียกว่าสปายแวร์

ในการเบิกความของชมูเอล เขาได้ใช้โอกาสนี้อธิบายถึงที่มาของการคิดค้นผลิตภัณฑ์เพกาซัส วัตถุประสงค์ และวิธีการทำงานของผลิตภัณฑ์นี้ทำให้เรามีความเข้าใจมุมมองของ NSO มากขึ้นและรู้จักเพกาซัสได้รอบด้านมากขึ้น แบบที่ไม่เคยหาข้อมูลอ่านได้จากที่ใดมาก่อนบนโลกอินเทอร์เน็ต

ในระหว่างการตอบคำถามค้านของโจทก์ ชมูเอลกล่าวย้ำหลายครั้งว่า ไม่ต้องการให้เรียกเพกาซัสว่า สปายแวร์ (Spyware) เพราะเครื่องมือนี้เป็นเพียงซอฟต์แวร์ที่ใช้เพื่อการดักรับข้อมูลอย่างถูกกฎหมาย (Lawful Interception) ซึ่งเขาจะกล่าวเช่นนี้ทุกครั้งที่ได้ยินคำว่าสปายแวร์อยู่ในคำถามของทนายความ และกล่าววนกลับไปกลับมาหลายครั้ง แม้บางครั้งชมูเอลจะเผลอพูดคำว่า สปายแวร์ ด้วยตัวเองบ้างก็ตาม แต่เขาต้องการให้คนในห้องพิจารณาคดีเลิกเรียกเพกาซัสว่า สปายแวร์

คำเบิกความของชมูเอลที่อธิบายเนื้อหาเกี่ยวกับเพกาซัสสปายแวร์ที่เขาผลิตและจัดจำหน่ายนั้น มีดังนี้

• ช่วงต้น ค.ศ. 2000 การสอดแนมผู้ก่อการร้ายและอาชญากรใช้วิธีการดักฟังโทรศัพท์ผ่านระบบเครือข่ายโทรศัพท์ที่เรียกว่า Mobile Network Operation ผู้พิพากษาจะออกหมายให้ตำรวจดักฟังการพูดคุยผ่านผู้ให้บริการได้ ต่อมาช่วงปี 2551-2552 โลกได้เปลี่ยนไป มีไอโฟนเครื่องแรกและมีโทรศัพท์แอนดรอยออกสู่ตลาด เป็นข่าวดีสำหรับพลเมืองที่ปฏิบัติตามกฎหมาย และเป็นข่าวดียิ่งกว่าสำหรับอาชญากรและผู้ก่อการร้ายเพราะมีการเข้ารหัสในการติดต่อทำให้ตำรวจและหน่วยข่าวกรองตกอยู่ในสภาพ “มืดบอด” (Go Dark) ไม่มีหูไม่มีตาที่จะคาดการณ์กิจกรรมของผู้ก่อการร้าย
• รัฐบาลบางประเทศคิดว่าวิธีแก้ปัญหา คือ ใช้การสอดแนมแบบหมู่มาก หรือ Mass Surveilance ในบางประเทศมี Super Computer สำหรับการดักฟังโทรศัพท์ทุกสายในประเทศได้ ถ้ามีบางคนพูดว่า ลอบสังหารประธานาธิบดี หรือระเบิด อาจมีคนมาเคาะประตูบ้านได้ บางความเห็นคิดว่า ใช้ระบบ Back Door System ที่บังคับใช้ผู้ผลิตต้องติดตั้งกลไกให้รัฐบาลดักฟังได้ ทั้งสองวิธีเป็นวิธีที่ไม่ดีเพราะทำให้รัฐบาลดักฟัง “ทุกคน” ได้ จึงมีความต้องการเพกาซัสขึ้นมา โดยมีเป้าหมายเฉพาะราย กำหนดเป้าหมายไปที่ผู้ต้องสงสัยรายหนึ่งๆ เป็นการเฉพาะได้ ซึ่งเป็นวิธีที่ได้สัดส่วน ปกป้องข้อมูลส่วนบุคคลได้มากกว่า ผู้พิพากษาสามารถออกหมายให้เป็นการเฉพาะสำหรับเป้าหมายและระบุระยะเวลาการสอดแนมรวมทั้งประเภทของข้อมูลด้วย
• เพกาซัสใช้งานตั้งแต่ปี 2553 ผู้ผลิตเข้าใจว่าเครื่องมือนี้มีประโยชน์ แต่ก็มีความเสี่ยงเช่นกัน จึงตระหนักอยู่แล้วว่า อำนาจที่ยิ่งใหญ่มาพร้อมกับความรับผิดชอบอันใหญ่ยิ่ง (Great Power comes with Great Responsibility) โดยชมูเอลขอยกคำพูดนี้มาจากหนังเรื่องสไปเดอร์แมน 
• NSO ตัดสินใจตั้งแต่แรกว่า จะมีหลักการสามประการ คือ หนึ่ง เครื่องมือนี้จะขายให้กับรัฐบาลเท่านั้น มีบริษัทและคนที่มาขอซื้อด้วยเงินจำนวนมากซึ่งบริษัท เอ็นเอสโอ ปฏิเสธ สอง เครื่องมือนี้ไม่ได้ขายให้ทุกรัฐบาล แต่ขายให้เฉพาะรัฐบาลที่มีความรับผิดชอบที่จะใช้ตามวัตถุประสงค์เท่านั้น สาม เครื่องมือนี้ต้องได้รับการปฏิบัติตามระเบียบด้วย ไม่ใช่เฉพาะบริษัท เอ็นเอสโอ ที่ตัดสินใจว่าจะขายให้ใคร แต่รัฐบาลอิสราเอลต้องอนุญาตว่า รัฐบาลประเทศใดจะใช้สิทธิในเครื่องมือนี้ได้บ้าง
• รัฐบาลอิสราเอล โดยกระทรวงกลาโหมมีหน่วยงานควบคุมการส่งออกที่ชื่อว่า DECA (Defense Export Control Authority) บริษัท เอ็นเอสโอ จึงต้องอยู่ภายใต้กฎหมายควบคุมการส่งออกซึ่งเป็นกฎหมายอาญา ซึ่งห้ามการส่งออกเทคโนโลยีหรือวิทยาการความรู้ไปยังหน่วยงานต่างประเทศโดยไม่ได้รับอนุญาต ในการได้รับใบอนุญาตจะต้องตรวจสอบประวัติด้านสิทธิมนุษยชนของผู้ใช้ปลายทาง และจะไม่ออกใบอนุญาตให้เว้นแต่รัฐบาลต่างประเทศจะให้คำมั่นต่อรัฐบาลอิสราเอลว่าจะใช้ตามวัตถุประสงค์เพื่อต่อต้านอาชญากรรมและการก่อการร้าย เป็นคำมั่นระหว่างรัฐบาล ไม่มีการบิดคำมั่นให้เป็นผลทางลบ
• การขายเพกาซัส จะขายเป็นแพ็คเกจให้ลูกค้า เพื่อให้ลูกค้ามีความสามารถในการใช้งานเพื่อกำหนดเป้าหมายปลายทาง และมีการเข้ารหัสข้อมูลที่ผู้ใช้ปลายทาง (end users) การส่งเพกาซัสไปที่โทรศัพท์มือถือเป้าหมายต้องมีโครงสร้างพื้นฐาน (infrastructure) ที่ติดตั้งไว้ในสถานที่ของลูกค้า ลูกค้าจะป้อนข้อมูลผ่านโครงสร้างพื้นฐานและเซิร์ฟเวอร์ และต้องมีเซิร์ฟเวอร์ส่งข้อมูลจากโทรศัพท์มือถือเป้าหมายไปยังสถานที่ของลูกค้า ซึ่ง NSO จะช่วยลูกค้าสร้างโครงสร้างพื้นฐาน แต่การใช้งานระบบลูกค้าสามารถทำได้อย่างเป็นอิสระ และ NSO ไม่สามารถเข้าถึงข้อมูลได้ 
• ในเอกสารคำเบิกความของชมูเอล ระบุว่า จำเลยเป็นเพียงผู้พัฒนาและอนุญาตให้ใช้สิทธิในซอฟต์แวร์ ขายให้กับรัฐบาลที่ชอบธรรม และให้การสนับสนุนทางเทคนิคและบริการบำรุงรักษาที่เกี่ยวข้องตลอดระยะเวลาของสัญญา จำเลยไม่มีทางรู้ถึงตัวบุคคลที่ลูกค้าของจำเลยกำลังสืบสวนอยู่ ซึ่งเป็นความลับขั้นสูงของแต่ละประเทศ นอกจากนี้เพกาซัสนั้น ไม่สามารถควบคุมอุปกรณ์ จัดการข้อมูลที่มีอยู่ หรือฝังข้อมูลใหม่เข้าไปในโทรศัพท์เป้าหมายได้ เปลี่ยนแปลง ลบ หรือจัดการข้อมูลในโทศัพท์เป้าหมายไม่ได้
• เป็นสิ่งสำคัญสำหรับ NSO ที่จะไม่เข้าถึงข้อมูลของลูกค้า ซึ่งเป็นไปตามระเบียบของบริษัทและรัฐบาลและเป็นสิ่งสำคัญของลูกค้าซึ่งมักจะเป็นหน่วยข่าวกรองที่ไม่ต้องการให้ผู้ขายเข้าไปเกี่ยวข้องกับข้อมูลเหล่านี้
• เมื่อทนายความจำเลยถามว่า ในคดีนี้โจทก์ฟ้องว่าจำเลยเป็นผู้ควบคุมหรือใช้เพกาซัสสปายแวร์นั้นจะอธิบายอย่างไร ชมูเอลตอบว่า NSO ไม่ได้ใช้ ควบคุม หรือเข้าถึงข้อมูลการใช้งานของรัฐบาลที่เป็นลูกค้า 
• ชมูเอล ตอบคำถามค้านจากทนายโจทก์ว่า โครงสร้างการบริหารงานของบริษัท เอ็นเอสโอ กรุ๊ป มีซีอีโอหรือเจ้าหน้าที่บริหารระดับสูง และใต้ลงมามีแผนกต่างๆ ได้แก่ ฝ่ายทรัพยากรบุคคล ฝ่ายการเงิน ฝ่ายติดต่อสื่อสาร ฝ่ายวิจัยและพัฒนาผลิตภัณฑ์ ฝ่ายขาย ฝ่ายลูกค้าสัมพันธ์ และฝ่ายกฎหมายและการปฏิบัติตามระเบียบซึ่งชมูเอลเป็นหัวหน้า มีผู้ถือหุ้นใหญ่ คือ บริษัท คิวไซเบอร์ เทคโนโลยี โครงสร้างด้านบน คือ คิวไซเบอร์ ด้านล่าง คือ เอ็นเอสโอที่เป็นผู้ผลิตและพัฒนาผลิตภัณฑ์ เป็นเจ้าของสิทธิบัตร แต่ละบริษัทมีหน้าที่การทำงานเป็นของตัวเอง 
• บริษัท คิวไซเบอร์ เป็นผู้รับผิดชอบในการทำการตลาด เพกาซัสทำการตลาดผ่านบริษัท คิวไซเบอร์ ซึ่งการจัดจำหน่ายในบางประเทศเป็นการขายโดยทำสัญญาโดยตรงกับรัฐบาล ในบางประเทศจะมีการตั้งบริษัทเป็นตัวแทนจำหน่าย (Reseller) เพราะมีข้อกำหนดเรื่องภาษีมูลค่าเพิ่ม กรณีที่มีตัวแทนจำหน่ายและถูกฟ้อง ตัวแทนจำหน่ายก็จะต้องเป็นคู่ความในคดีไม่ใช่บริษัท เอ็นเอสโอ กรุ๊ป
• เมื่อทนายความโจทก์ถามเอกสารงบกระตุก ครุภัณฑ์ นอกมาตรฐาน โครงการจัดหาระบบรวบรวมและประมวลผลข่าวกรองขั้นสูง ซึ่งเป็นเอกสารที่ฝ่ายโจทก์ยื่นเข้ามาในการเบิกความ ซึ่งปรากฏข้อความที่เขียนว่า “ยี่ห้อ Minotaur คิวไซเบอร์ ประเทศอิสราเอล” ชมูเอลเลือกที่จะขอไม่แสดงความคิดเห็นเกี่ยวกับเอกสารนี้
• ทนายความโจทก์ถามค้านว่า การพัฒนาเพกาซัสนั้นทำให้ เข้าถึงโทรศัพท์มือถือของเป้าหมายโดยที่เป้าหมายไม่รู้ตัวใช่หรือไม่ ชมูเอลตอบว่า ใช่ ทนายความโจทก์ถามต่อว่า เพกาซัสออกแบบเพื่อไม่ให้เป้าหมายป้องกันการเข้าถึงได้ใช่หรือไม่ ชมูเอลตอบว่า ใช่ ทนายความโจทก์ถามว่า ระบบที่ไม่ต้องคลิกลิงก์ (zero click) นั้นพัฒนาขึ้นเพื่อปกป้องไม่ให้ตรวจสอบไปถึงลูกค้าผู้ใช้งาน ใช่หรือไม่ ชมูลเอลตอบว่า ถูกต้อง 
• เมื่อทนายความถามว่า ระบบเพกาซัสก่อนปี 2553 ต้องใช้วิธีการส่งลิงก์ให้เป้าหมายกด ก่อนพัฒนาเป็นระบบที่ไม่ต้องคลิกลิงก์ใช่หรือไม่ ชมูเอลตอบว่า ไม่ใช่ และอธิบายเพิ่มว่า ระบบที่ไม่ต้องคลิกเป็นเครื่องมือหลักสำหรับการเข้าถึงโทรศัพท์มือถือ แต่ไม่ว่าจะใช้งานแบบคลิกลิงก์หรือไม่ต้องคลิกลิงก์ ลูกค้าสามารถเลือกได้ และทำให้อาชญากรหรือผู้ก่อการร้ายไม่รู้ว่าตัวเองกำลังถูกสอดแนม เหมือนที่คนถูกดักฟังโทรศัพท์จะไม่รู้ว่าตัวเองกำลังถูกดักฟัง

ผู้ผลิตเพกาซัสเผยมี Black Box และ Kill Switch สำหรับป้องกันลูกค้าใช้ในทางที่ผิด

เนื่องจากในการดำเนินคดีนี้ฝ่ายโจทก์กล่าวอ้างว่า จำเลยเป็นผู้ผลิต จำหน่าย ควบคุม และหรือใช้สปายแวร์เพกาซัสต่อโจทก์ ฝ่ายจำเลยจึงต้องการพิสูจน์ว่า พวกเขาไม่ได้เป็นผู้ควบคุมและใช้งานเพกาซัส ในทางตรงกันข้ามยังมีส่วนร่วมในการตรวจสอบการนำไปใช้ในทางที่ผิดอีกด้วย ซึ่งประเด็นบทบาทหน้าที่ของบริษัท เอ็นเอสโอ กรุ๊ป ต่อการใช้งานเพกาซัส ปรากฏอย่างละเอียดในคำเบิกความของชมูเอล ดังนี้

• ในเอกสารคำเบิกความของชมูลเอลอธิบายว่า เมื่อได้รับรายงานเกี่ยวกับการใช้เพกาซัสในทางที่ผิด หรือมีข้อกังวล จำเลยจะตรวจสอบและสอบสวนตามขั้นตอน ซึ่งจะเป็นไปอย่างรวดเร็ว เป็นไปตามกฎหมายที่บังคับใช้ และนโยบายด้านสิทธิมนุษยชนของจำเลย โดยจำเลยมีทีมปฏิบัติตามข้อกำหนด (compliance team) ทำการตรวจสอบเบื้องต้นเพื่อพิจารณาว่า มีข้อมูลและพื้นฐานทางเทคนิคเพียงพอที่จะตรวจสอบหรือไม่ จำเลยยังสื่อสารโดยตรงกับลูกค้า เพื่อทำความเข้าใจบริบททั้งหมดของสถานการณ์ คณะกรรมการบริหารที่ได้รับการแต่งตั้งเป็นพิเศษจะตัดสินใจว่า จะดำเนินการตรวจสอบอย่างเต็มรูปแบบหรือไม่ 
• ในเอกสารคำเบิกความของชมูเอลอธิบายว่า การตรวจสอบอาจรวมถึงการตรวจสอบข้อมูล การสัมภาษณ์ การประชุม การประเมินปัจจัยเสี่ยงตามวัตถุประสงค์ ผลการตรวจสอบจะถูกส่งให้กับคณะกรรมการที่ได้รับการแต่งตั้งเพื่อกำหนดขั้นตอนต่อไปและการแก้ไขที่เหมาะสมขึ้นอยู่กับผลการตรวจสอบ การดำเนินการเหล่านี้อาจรวมถึงการฝึกอบรมเพิ่มเติมให้แก่บุคลากรของลูกค้า จำเลยอาจใช้เงื่อนไขทางเทคโนโลยี หรือแก้ไขข้อกำหนดในสัญญา ในกรณีที่ร้ายแรงหรือขาดความร่วมมือของลูกค้าในกระบวนการตรวจสอบ จำเลยอาจระงับการเข้าถึงผลิตภัณฑ์ชั่วคราว ในกรณีที่ร้ายแรงที่สุดอาจยุติความสัมพันธ์ทางธุรกิจ
• ในการตอบคำถามทนายความโจทก์ ชมูเอล อธิบายวิธีการตรวจสอบการใช้เพกาซัสในทางที่ผิดว่า เริ่มจากการตรวจสอบกับลูกค้าว่าเป็นไปได้หรือไม่ที่จะเกี่ยวกับระบบของเขา แล้วจึงติดต่อลูกค้าขอข้อมูลว่าเป็นเป้าหมายโดยชอบด้วยกฎหมายหรือไม่ ขอดูหมายศาล ขอดูระยะเวลา เมื่อได้ข้อมูลแล้วจะตรวจสอบว่า เป็นการกระทำโดยชอบด้วยกฎหมายและละเมิดสิทธิมนุษยชนหรือไม่ และประชุมกับคณะกรรมการบริหาร ดูหลักฐาน และตัดสินใจว่าจะดำเนินการอย่างไร อาจจะดำเนินการหรือไม่ดำเนินการ หรือเตือนให้ลูกค้าเปลี่ยนเจ้าหน้าที่ เมื่อทนายความโจทก์ถามว่า เป้าหมายที่ถูกโจมตีด้วยวิธีการที่ผิดนั้นจะทราบจากที่ไหน ชมูเอลตอบว่า สอบถามจากลูกค้าว่าเป้าหมายคือใคร ถ้าลูกค้ารับก็จะดำเนินการขั้นต่อไป ถ้าลูกค้าไม่ยอมรับก็จะดู Audit Log
• ในการเบิกความต่อศาล ชมูเอลขอปฏิเสธการเข้าถึงและการติดตามข้อมูลของลูกค้าอย่างเด็ดขาด แต่อธิบายว่า เพกาซัสมีบันทึกกิจกรรมของผู้ปฏิบัติงานหรือ Activity Log แต่ NSO ถูกห้ามไม่ได้เข้าถึงข้อมูลเหล่านี้โดยไม่ได้รับอนุญาตอย่างชัดเจนจากลูกค้า ในการตรวจสอบการใช้งาน ทีมปฏิบัติการตามข้อกำหนด หรือผู้ตรวจสอบ (auditors) จะต้องได้รับอนุญาตจากลูกค้าให้ตรวจสอบ ซึ่งนโยบายเช่นนี้ของจำเลยมีรากฐานมาจากการเคารพการปฏิบัติงานของลูกค้า และการรักษาขอบเขตที่ชัดเจน เมื่อทนายความจำเลยถามถึง Activity Log นั้น ชมูเอลอธิบายว่า สิ่งนี้เป็นส่วนหนึ่งของระบบเพื่อให้มั่นใจว่าลูกค้าจะทำการตามที่ควรจะเป็น Activity Log นั้นฝังไว้ในซอฟต์แวร์ในสถานที่ของลูกค้า แต่ออกแบบซอฟต์แวร์ที่ลูกค้าไม่สามารถเข้าไปยุ่งเกี่ยวกับ Activity Log ได้ กรณีมีการใช้ระบบผิดวัตถุประสงค์ก็จะขอให้ลูกค้าแสดง Activity Log ว่าใช้ถูกวัตถุประสงค์หรือไม่ ขณะเดียวกันคำเบิกความของชมูเอลยังยืนยันว่า จำเลยไม่ได้ติดตามหรือบันทึกการใช้ระบบเพกาซัสของลูกค้า และไม่มีการเข้าถึงหรือมองเห็นโดยตรงว่าลูกค้าใช้งานอย่างไร
• ชมูลเอลตอบโต้ข้อกล่าวหาของโจทก์ที่ว่า NSO จะส่งพนักงานมาให้บริการ และสอนการทำงานให้กับลูกค้า โดยชมูเอลอธิบายว่า ข้ออ้างนี้ไม่ถูกต้อง NSO แยกการทํางานของพนักงานสนับสนุน (support staff) ทั้งทางกายภาพและทางการปฏิบัติงาน แยกพื้นที่ทํางานของลูกค้าอย่างเข้มงวด ไม่มีช่วงเวลาใดที่พนักงานของจำเลยอยู่ในห้องเดียวกันระหว่างการดำเนินงานของลูกค้า บทบาทของจําเลยจํากัดเฉพาะการให้ผลิตภัณฑ์และการสนับสนุนทางเทคนิค
• ชมูเอล อธิบายต่อศาลว่า จำเลยให้บริการเครื่องมือที่เรียกว่า “กล่องดํา” (black box) ซึ่งจำเลยจะให้บริการที่เรียกว่า black box solution และรักษาให้คงไว้โดยมองไม่เห็นการปฏิบัติงานของลูกค้า ชมูเอลไม่รู้ว่าอะไรอยู่ในกล่องดำบ้าง ไม่รู้ว่าลูกค้าใช้อย่างไร รวมถึงไม่มีกุญแจไขกล่องดำ 
• จำเลยมีระบบการเข้าถึงระบบทางไกล หรือ Remote Access ซึ่งชมูเอลอธิบายว่า จำเลยไม่ได้ให้บริการสนับสนุนลูกค้า แต่ให้บริการสนับสนุนทางเทคนิค (Technical Support) ซึ่งลูกค้าจะให้การเข้าถึงที่จำกัดมากและมองไม่เห็นอะไร ทำได้เฉพาะที่ได้รับอนุญาตจากลูกค้าเท่านั้น โดยมีประตูเล็กๆ ที่จำกัดเฉพาะเจาะจงและมีระยะเวลาในการเข้าถึงที่จำกัด เช่น การอัพเกรดซอฟต์แวร์ เป็นการจำกัดมากกว่าศูนย์ให้ความช่วยเหลือ (Help Center) ที่บริษัทซอฟต์แวร์ทั่วไปจะให้ลูกค้า 
• จำเลยมีระบบที่เรียกว่า คิลสวิตช์ (Kill Switch) เป็นความสามารถในการปิดการทํางานจากระยะไกล เป็นส่วนสำคัญของความมุ่งมั่นต่อการใช้เพกาซัสอย่างมีจริยธรรม ทำหน้าที่ป้องกันทางเทคโนโลยีต่อการใช้ผิดวัตถุประสงค์ คิลสวิตช์จะถูกเปิดใช้งานเฉพาะในสถานการณ์เฉพาะ เช่น (1) เมื่อจำเลยมีหลักฐานยืนยันว่าลูกค้าใช้ผลิตภัณพ์ผิดวัตถุประสงค์ (2) หากลูกค้าไม่ร่วมมือกับการตรวจสอบ (3) กรณีที่พบว่าลูกค้าละเมิดข้อตกลง 
• จากที่พยานของโจทก์เบิกความอธิบายไว้ว่า การขายซอฟต์แวร์จะต้องมาพร้อมกับบริการครบวงจรในการอัพเดทระบบและซ่อมบำรุง ที่เรียกว่า Software as a Service หรือ SaaS ชมูเอลอธิบายว่า เพกาซัสไม่ใช่บริการ SaaS วิธีการที่ให้มีระบบ Cloud ของเพกาซัสนั้นไม่เหมือนกับ Netfilx เพราะเพกาซัสจัดให้ ณ สถานที่ของลูกค้า NSO ไม่ได้ให้บริการ เช่น ถ้าลูกค้าให้หมายเลขโทรศัพท์มาแล้วให้เพกาซัสไปล้วงข้อมูลนั้น เพกาซัสไม่ได้ให้บริการในลักษณะนี้
• ทนายความโจทก์ถามว่า จำเลยเคยชี้แจงในรัฐสภายุโรปว่า เมื่อประเทศใดมีการยึดอำนาจ หรือจราจล จำเลยจะปิดระบบเพกาซัสทันทีใช่หรือไม่ ชมูเอลตอบว่า ใช่ กรณีมีการรัฐประหาร จำเลยเชื่อว่ามีความเสี่ยงต่อสิทธิมนุษยชนจะมีการใช้คิลสวิตช์และยกเลิกสัญญา 
• เมื่อทนายความโจทก์ถามว่าสำหรับรัฐบาลทหารหรือรัฐบาลที่มาจากการรัฐประหาร บริษัทของจำเลยเคยใช้วิธีการตอบโต้เมื่อมีการละเมิดสิทธิมนุษยชนหรือไม่ ชมูเอลบอกว่าสิ่งนี้ไม่เคยเกิดขึ้น แต่เมื่อทนายความโจทก์ถามต่อว่าแสดงว่าจำเลยไม่เคยขายสปายแวร์ให้กับรัฐบาลที่มาจากการรัฐประหารหรือเผด็จการใช่หรือไม่ ชมูเอลเลือกที่จะไม่ตอบ
• ทนายความโจทก์ถามว่า จำเลยเคยตรวจสอบว่ามีการใช้เพกาซัสในทางที่ผิดและยกเลิกสัญญาไปกี่ครั้ง ชมูเอลตอบว่า แปดครั้ง เท่าที่มีการบันทึกไว้ ทนายความโจทก์ถามต่อว่า กรณีที่ตรวจสอบแล้วไม่พบมีการใช้งานในทางที่ผิดมีกี่ครั้ง ชมูเอลตอบว่า มีหลายครั้ง เมื่อไม่พบก็ไม่ได้ปิดระบบ
• ทนายความโจทก์ถามว่า จำเลยมีข้อมูลหรือไม่ว่ามีลูกค้าใช้ผิดวัตถุประสงค์กี่ราย ชมูเอลตอบว่า ไม่ทราบจำนวนที่แน่ชัด แต่มีหลายรายที่ตรวจสอบแล้วพบว่าไม่เป็นความจริง ตลอด 14 ปีที่ผ่านมามีการสอบสวนประมาณ 100 ครั้ง ซึ่งข้อร้องเรียน 100 รายเป็นสถิติที่สมเหตุสมผล เท่าที่ทราบ NSO เป็นเพียงบริษัทเดียวที่มีระบบการตรวจสอบและปิดระบบของลูกค้าจริง
• ส่วนประเด็นที่เกี่ยวกับการที่บริษัท NSO ถูกขึ้นบัญชีดำในสหรัฐอเมริกา ชมูเอล ปฏิเสธว่าบริษัทไม่ได้ถูกขึ้นบัญชีดำแต่ถูกจัดให้อยู่ในบัญชีที่เรียกว่า “Entity list” ซึ่ง ชมูเอล อธิบายว่า เป็นบัญชีที่จำกัดการส่งออกเทคโนโลยีซึ่งจะสามารถส่งออกได้ก็ต่อเมื่อมีการอนุมัติ โดยในตอนนี้บริษัทกำลังอยู่ระหว่างยื่นอุทธรณ์เพื่อขอให้นำบริษัทออกจากบัญชีที่ว่านี้
• เมื่อทนายความโจทก์ถามว่า จำเลยผลิตและขายผลิตภัณฑ์และอ้างว่าไม่ได้เป็นผู้ใช้ ดังนั้น ถ้ามีการใช้งานเพื่อละเมิดสิทธิมนุษยชนแล้วจำเลยจะไม่ต้องรับผิดชอบใช่หรือไม่ ชมูเอลตอบว่า มีความรับผิดชอบเกี่ยวกับการใช้งานที่ผิดวัตถุประสงค์แต่ไม่รับผิดทางกฎหมาย จำเลยมีพันธะกรณีด้านสิทธิมนุษยชน แต่กรณีมีการใช้ในทางที่ผิดเกิดขึ้นเหนือการควบคุมก็ไม่ต้องรับผิดในทางกฎหมาย 

ไม่ตอบคำถามเกี่ยวกับประเทศไทย ยืนยันขอไม่เชื่อมโยงถึงลูกค้า

ก่อนการเริ่มสืบพยานในคดีนี้ ฝ่าย NSO เคยยื่นคำร้องขอให้ศาลสั่งพิจารณาคดีเป็นการลับ แต่ศาลยกคำร้อง เพราะไม่มีเหตุที่จะกระทบต่อความมั่นคงของรัฐ และก่อนชมูเอลจะเริ่มเข้าเบิกความต่อศาล ฝ่ายจำเลยยื่นคำแถลงต่อศาลขอไม่ตอบคำถามใดๆ ที่จะเปิดเผยถึงลูกค้าของจำเลยเพื่อการรักษาความลับในทางการค้า ซึ่งศาลแจ้งว่าเป็นสิทธิของพยานอยู่แล้วที่จะตอบคำถามหรือไม่ตอบคำถามก็ได้ ทำให้ในการขึ้นศาลนี้ชมูเอลมีเสาหลักที่แน่นหนาแล้วว่า จะไม่เบิกความใดๆ ที่เกี่ยวกับข้อมูลของลูกค้าของ NSO ที่เป็นผู้ใช้งานเพกาซัสตัวจริง

เมื่อชมูเอลตั้งหลักมาเช่นนี้ การจะถามคำถามตรงๆ ว่ามีการใช้งานเพกาซัสสปายแวร์ในประเทศไทยหรือไม่ และมีการใช้งานต่อโจทก์ซึ่งเป็นคนไทยหรือไม่ จึงคาดหมายได้อยู่แล้วว่า ชมูเอลจะใช้สิทธิไม่ตอบคำถาม รวมถึงหากทนายความโจทก์ตั้งคำถามตรงๆ ว่า ได้ตรวจสอบการใช้งานสปายแวร์เพกาซัสกับโจทก์หรือไม่ว่า เป็นการใช้ในทางที่ผิดหรือไม่ ชมูเอลก็จะใช้สิทธิไม่ตอบคำถาม เพราะหากชมูลเอลตอบว่า ตรวจสอบหรือไม่ตรวจสอบก็จะหมายความว่า มีลูกค้าในประเทศไทยที่ใช้งานเพกาซัสกับโจทก์อยู่นั่นเอง ทำให้การถามคำถามมีลักษณะอ้อมไปอ้อมมาไม่เข้าประเด็น

– ชมูเอลเบิกความต่อศาลว่า ไม่สามารถเปิดเผยชื่อลูกค้าได้ เพราะลูกค้าเป็นหน่วยข่าวกรองและหน่วยงานบังคับใช้กฎหมาย จึงดำเนินการอย่างแข็งขันและจริงจังเกี่ยวกับความเป็นส่วนตัวของลูกค้า ลูกค้าบอกจำเลยอย่างชัดเจนให้เก็บข้อมูลเป็นความลับสุดยอด ความสามารถในการเก็บรวบรวมข่าวกรอง หากรู้ว่าบางหน่วยงานมีเพกาซัสใช้งาน คนไม่ดี คนค้ายา คนใคร่เด็ก ผู้ก่อการร้าย ก็อาจจะหลบเลี่ยงได้ สิ่งที่เป็นประเด็นสำหรับลูกค้าก็คือความไว้เนื้อเชื่อใจ 

– ทนายความโจทก์ถามว่าจะไม่ขายในอิสราเอลใช่หรือไม่ ชมูเอลตอบว่า จะไม่ตอบคำถามที่เกี่ยวกับลูกค้าไม่ว่าจะเป็นลูกค้าในประเทศอิสราเอลหรือไม่

– ทนายความโจทก์ถามว่า เคยมีการตรวจสอบลูกค้าในภูมิภาคเอเชียตะวันออกหรือไม่ ชมูเอลตอบว่า จะไม่ตอบคำถามที่เกี่ยวกับลูกค้า

– ในการตอบคำถามค้านของทนายความโจทก์ทั้งหมด ชมูเอล ไม่ได้ยืนยันว่า โทรศัพท์มือถือของโจทก์ในคดีนี้เคยถูกเจาะระบบโดยเพกาซัสหรือไม่ และไม่ยืนยันว่า มีการตรวจสอบการใช้เพกาซัสในประเทศไทยหรือไม่ 

ไม่เชื่อผลตรวจว่าโจทก์ติดเพกาซัส ไม่ไว้ใจแอมเนสตี้

ในการต่อสู้คดีนี้ ฝ่ายโจทก์มีผลการตรวจสอบข้อมูลในโทรศัพท์มือถือโดย Citizen Lab จากมหาวิทยาลัยโตรอนโต ประเทศแคนาดา ซึ่งทำการตรวจทานอีกครั้งหนึ่ง (Peered Review) แล้วโดยห้องแล็บของแอสเนสตี้ อินเตอร์เนชั่นแนล ว่าโจทก์ถูกเจาะโดยสปายแวร์เพกาซัสจริง ทั้งหมดสามครั้ง แต่ NSO พยายามต่อสู้ว่า ผลการตรวจสอบนั้นไม่น่าเชื่อถือ เนื่องจากเครื่องมือการตรวจสอบของแอมเนสตี้ ที่ใช้ชื่อว่า MVT นั้นอาจถูกปลอมแปลงผลการตรวจสอบได้ แต่ไม่คัดค้านวิธีการตรวจของ Citizen Lab เพราะไม่ทราบว่าใช้วิธีการตรวจอย่างไร

นอกจากนี้แล้ว ในการเบิกความชมูเอลยังแสดงออกชัดเจนว่า ไม่เชื่อถือและไม่ไว้ใจแอมเนสตี้ อินเตอร์เนชั่นแนล ดังนี้

• ชมูเอล เบิกความตอบโต้เอกสารที่แอมเนสตี้ อินเตอร์เนชั่นแนล ส่งมายังศาลแพ่ง โดยกล่าวถึงเอกสารที่บริษัท เอ็นเอสโอ เขียนขึ้นเผยแพร่ต่อสาธารณะ เมื่อวันที่ 9 กันยายน 2567 และกล่าวว่า รู้สึกประหลาดใจที่เห็นเอกสารจากแอมเนสตี้ เพราะเชื่อว่า แอมเนสตี้มีแรงจูงใจเบื้องหลังในคดีนี้ และเห็นว่ามีประเด็นที่ต้องตอบโต้ ขอยืนยันในจุดยืนการปกป้องสิทธิมนุษยชน บริษัท เอ็นเอสโอ ได้แสดงคำมั่นในเวทีระหว่างประเทศ และเคยทำหนังสือถึงแอมเนสตี้แล้วแต่ไม่ได้รับการตอบรับ ชมูเอลไม่เชื่อว่า องค์กรแอสเนสตี้มีวาระเพื่อปกป้องสิทธิมนุษยชน แต่เชื่อว่ามีเจตนาไม่สุจริต (no BONA FIDE)
• ทนายความโจทก์ถามว่า การเริ่มต้นการตรวจสอบแต่ละกรณีมาจากสาเหตุใด ชมูเอลตอบว่า ตามนโยบายจะสอบสวนโดยเริ่มจากพยานหลักฐานที่น่าเชื่อถือทุกชิ้น ทั้งรายงานของสื่อ และเอ็นจีโอ ผู้ชี้เบาะแสที่เป็นบุคคลภายนอก (Whistleblowers) และผู้ชี้เบาะแสที่เป็นบุคคลภายใน คือ พนักงานที่อาจจะได้ยินบางอย่างมาจากลูกค้า แต่ต้องเป็นสิ่งที่น่าเชื่อถือและเป็นไปได้ว่าจะเกิดจากเครื่องมือของจำเลย
• ทนายความโจทก์พยายามถามว่า กรณีที่เกิดขึ้นกับโจทก์และประเทศไทยที่มีคนถูกตรวจพบว่าถูกเจาะโทรศัพท์ถึง 35 คนในเวลาไล่เลี่ยกัน ซึ่งเป็นกลุ่มและฝ่ายทางการเมืองเดียวกัน ถือว่ามีเหตุสมควรเพียงพอให้ตรวจสอบหรือไม่ ชมูเอลตอบว่า กรณีในคดีนี้เป็นเพียงข้อสันนิษฐานว่าเป็นเพกาซัสเท่านั้น และมีพยานผู้เชี่ยวชาญเบิกความไปแล้วว่า ไม่น่าเชื่อว่าจะเป็นเพกาซัส ถ้าพยานหลักฐานน่าเชื่อถือก็จะเริ่มการสอบสวน แต่ชมูเอลไม่ยืนยันว่า มีลูกค้าที่ใช้งานในประเทศไทยหรือไม่
• ตามที่โจทก์เขียนในคำขอท้ายฟ้องว่า ให้จำเลยระงับการใช้สปายแวร์เพกาซัสแก่โจทก์นั้น ชมูเอลเบิกความว่า เป็นคำขอที่ทำตามไม่ได้ เพราะไม่สามารถระงับสิ่งที่ไม่เคยทำได้ เป็นคำขอที่ไร้ความหมาย ตามที่โจทก์เขียนในคำขอท้ายฟ้องว่า ขอให้จำเลยส่งมอบข้อมูลที่นำไปคืนให้กับโจทก์ ชมูเอลเบิกความว่า ทำไม่ได้ เพราะไม่สามารถคืนสิ่งที่ไม่เคยมีได้

การเบิกความของชมูเอลต้องทำโดยผ่านล่าม ซึ่งฝ่ายจำเลยเตรียมล่ามมาเอง ทำให้ใช้เวลาในการเบิกความและบันทึกถ้อยคำพยานนานกว่าปกติ โดยช่วงเวลาสองชั่วโมงแรกเป็นการเบิกความไปตามที่ชมูเอลเตรียมมา และใช้เวลาตอบคำถามค้านอีกประมาณสามชั่วโมง จนกระทั่งถึงเวลาประมาณ 16.00 น. ทนายความโจทก์ก็ยังถามค้านไปได้ไม่ถึงครึ่งหนึ่งของคำถามที่เตรียมไว้ 

เมื่อการสืบพยานฝ่ายจำเลยยังไม่แล้วเสร็จ ศาลจึงเสนอให้เลื่อนไปสืบพยานต่อในนัดถัดไปและขอให้คู่ความหาวันเวลาที่ทั้งสองฝ่ายว่างตรงกัน แต่ทางชมูเอลกล่าวต่อศาลผ่านล่ามว่า เนื่องจากในประเทศอิสราเอลมีภาวะสงคราม จึงไม่แน่ใจว่าจะเดินทางมาประเทศไทยได้อีกหรือไม่ และถามว่าถ้าจะให้มาศาลอีกให้โจทก์เป็นฝ่ายออกค่าเดินทางให้จำเลยได้หรือไม่ ซึ่งจตุภัทร์ตอบว่า เท่าที่เคยตกเป็นจำเลยมาหลายสิบคดีก็ไม่เคยมีคดีใดที่โจทก์ออกค่าเดินทางให้ ชมูเอลจึงแสดงความคิดเห็นโดยถามว่า ถ้าเช่นนั้นให้องค์กรแอมเนสตี้จ่ายค่าเดินทางให้ได้หรือไม่ แล้วทนายความของจำเลยก็หันกลับไปพูดด้วยเสียงดังกับผู้สังเกตการณ์คดีว่า วันนี้มีตัวแทนของแอมเนสตี้มาด้วยหรือไม่ ไม่ทราบว่าจะจ่ายค่าเดินทางให้ได้หรือไม่ แต่ไม่มีใครตอบกลับ

หลังจากชมูเอลยืนยันแล้วว่า จะไม่กลับมาเบิกความอีกในนัดต่อไป เพื่อให้เกิดความรวดเร็วทนายโจทก์จึงแถลงว่า ไม่ต้องการที่จะถามคำถามพยานนี้อีกแล้ว และทนายจำเลยก็แถลงต่อศาลว่า ไม่ติดใจที่จะถามติงอีก ศาลจึงนัดฟังคำพิพากษาคดีนี้ในวันที่ 21 พฤศจิกายน 2567