ในปี 2020 เดวิด เคย์ ผู้รายงานพิเศษแห่งสหประชาชาติว่าด้วยการส่งเสริมและปกป้องเสรีภาพด้านความคิดเห็นและการแสดงออกในขณะนั้น ทำหนังสือแสดงความคิดเห็นเกี่ยวกับการใช้สปายแวร์เพกาซัสของบริษัท เอ็นเอสโอ กรุ๊ป (NSO) ผู้ผลิตอาวุธไซเบอร์จากประเทศอิสราเอล โดยทำส่งความคิดเห็นในฐานะ “เพื่อนศาล” (Amicus curiae) ยื่นไปยังศาลในสหรัฐอเมริกา เพื่อเข้าร่วมในคดีที่ WhatsApp เป็นโจทก์ฟ้อง NSO จากการใช้สปายแวร์เพกาซัสเจาะระบบการสื่อสาร

ประเด็นสำคัญในหนังสือของเดวิด เคย์ คือ การเยียวยาที่เป็นผลมาจากการละเมิดสิทธิความเป็นส่วนตัวเป็นสิ่งที่จำเป็นแต่ทั่วโลกยังคงไม่มีแนวทางที่เหมาะสมนอกจากการฟ้องคดีต่อศาล โดยในคดีนี้ NSO ยกข้อต่อสู้เรื่องเอกสิทธิ์คุ้มกัน (Immunity) ว่าไม่สามารถดำเนินคดีพวกเขาในประเทศสหรัฐอเมริกาได้ แต่เดวิดมองว่า ไม่มีข้อสนับสนุนในกฎหมายระหว่างประเทศสำหรับข้อต่อสู้ดังกล่าว

ต่อมาเอกสารฉบับนี้ได้ถูกแปลและนำเสนอต่อศาลแพ่งของไทย ในคดีที่จตุภัทร์ บุญภัทรรักษา ฟ้องคดีเรียกค่าเสียหายจาก NSO ฐานใช้สปายแวร์ละเมิดสิทธิความเป็นส่วนตัวของประชาชนคนไทยด้วย ขณะที่ศาลแพ่งของไทยมีนัดหมายฟังคำพิพากษาก่อนคดีในสหรัฐอเมริกา

ผู้ผลิตพัฒนาความสามารถในการปกปิดและขายเพกาซัสให้ผู้ปกครองที่กดขี่

ในหนังสือของเดวิด เคย์ ระบุว่า NSO พัฒนาและขายเครื่องมือสปายแวร์ที่รู้จักกันชื่อว่า “เพกาซัส” ซึ่งทำให้สามารถแทรกซึมเข้าถึงอุปกรณ์เคลื่อนที่ของเหยื่ออย่างลับๆ ถือเป็นการละเมิดสิทธิความเป็นส่วนตัวและการแสดงออกอย่างเสรีอย่างร้ายแรง ซึ่งสิทธิดังกล่าวได้รับการคุ้มครองภายใต้กฎหมายสิทธิมนุษยชนระหว่างประเทศ

NSO โต้แย้งว่า บริษัทผู้ผลิตเทคโนโลยีไม่ควรต้องรับผิดชอบ โดยพวกเขา อ้างว่า บริษัทขายเครื่องมือให้กับรัฐบาลเพื่อจุดประสงค์ในการสืบสวนการก่อการร้ายและอาชญากรรมร้ายแรงเท่านั้น แต่เดวิด เคย์ ให้ความเห็นว่า การอธิบายที่ตอบสนองเพียงประโยชน์ตนเองนั้น (self-serving story) เป็นไม่ได้เลยที่จะสามารถยืนยันได้ว่าเป็นความจริงหรือไม่ เนื่องจาก NSO และธุรกิจอื่นๆ ในตลาดสปายแวร์ของเอกชนดำเนินการแบบปกปิดเป็นความลับ นอกจากนี้ยังขัดแย้งกับหลักฐานที่เพิ่มมากขึ้นเรื่อยๆ ที่ระบุว่า สปายแวร์รวมถึงเพกาซัสสปายแวร์ของ NSO ได้แทรกแซงสิทธิมนุษยชนของนักเคลื่อนไหว นักข่าว และบุคคลอื่นๆ ซ้ำแล้วซ้ำเล่า และได้บ่อนทำลายค่านิยมประชาธิปไตยทั่วโลก หลักฐานทั้งหลายนั้นยังแสดงให้เห็นได้เพียงเศษเสี้ยวของกรณีการละเมิดที่เกิดขึ้นจริงเท่านั้น เนื่องจากตลาดสำหรับเทคโนโลยีการสอดส่องทางไซเบอร์ส่วนใหญ่ไม่มีการควบคุมและไม่สามารถเปิดเผยต่อการตรวจสอบต่อสาธารณะได้

NSO ขายผลิตภัณฑ์ให้กับระบอบการปกครองที่กดขี่ประชาชน ผู้ซื้อที่เป็นรัฐบาลส่วนใหญ่เป็นรัฐบาลที่มีประวัติการละเมิดสิทธิมนุษยชน การศึกษาวิจัยสรุปว่า ระหว่างปี 2559-2561 ดูเหมือนว่าเพกาซัสจะดำเนินการโดยลูกค้าอย่างน้อย 33 รายใน 45 ประเทศ เช่น บาห์เรน ซาอุดีอาระเบีย และโตโก โดย NSO รวมถึงบริษัทสอดส่องทางไซเบอร์อื่นๆ อ้างว่า ขายสปายแวร์ให้กับหน่วยงานของรัฐที่ต้องการหยุดยั้งการก่อการร้ายหรือสืบสวนคดีอาชญากรรมร้ายแรงเท่านั้น แต่รายงานที่ปรากฏต่อสาธารณะและการสืบสวนทางนิติวิทยาศาสตร์ได้ยืนยันว่า เทคโนโลยีอย่างเพกาซัสถูกใช้เพื่อเฝ้าติดตามและปราบปรามมุมมองของนักข่าว นักวิชาการ นักศึกษา ผู้นำฝ่ายค้าน และบุคคลอื่นๆ ที่ใช้สิทธิขั้นพื้นฐานในการแสดงออกอยู่เป็นประจำ ซึ่งชัดเจนว่าไม่ได้เกี่ยวข้องกับกิจกรรมก่อการร้าย 

นอกจากนี้การจำหน่ายเพกาซัสของ NSO ยังมีอะไรมากกว่าแค่การทำธุรกรรมและการส่งมอบสปายแวร์ มีการอ้างถึงการบริการหลังธุรกรรม (Post- transaction support) และการช่วยลูกค้าบางรายสร้างข้อความฟิชชิ่งที่เป้าหมายมีแนวโน้มที่จะกดมากกว่า (“NSO also helps some customers craft phishing messages that the target is more likely to click.”)

เดวิด เคย์ระบุว่า ปัญหานี้ร้ายแรงและยังคงดำเนินอยู่ เป็นการยากที่จะระบุขอบเขตทั้งหมดของปัญหาร้ายแรงของการละเมิดสิทธิมนุษยชนโดยใช้เทคโนโลยีสอดส่องทางไซเบอร์ แม้ว่า ปัญหาดังกล่าวอาจกว้างขวางกว่าที่ได้รับการยืนยันก็ตาม แต่การใช้เทคโนโลยีในทางที่ไม่ถูกต้องไม่ได้ถูกศึกษาและถูกรายงานน้อยเกินไป เนื่องจากเครื่องมือเหล่านี้ได้รับการออกแบบมาให้ทำงานอย่างเป็นความลับและเป้าหมายของการสอดส่องไม่สามารถตรวจจับได้

การสอดส่องโดยลับถือเป็นการละเมิดสิทธิมนุษยชน

ในหนังสือของเดวิด เคย์ระบุว่า การสอดส่องโดยลับที่ปราศจาความยินยอมโดยไม่มีการควบคุมทางกฎหมายถือเป็นการละเมิดสิทธิมนุษยชนขั้นพื้นฐานที่บัญญัติไว้ในกฎหมายระหว่างประเทศ ไม่ว่าความพยายามในการสอดส่องจะประสบความสำเร็จหรือไม่ หรือเป้าหมายรับรู้ถึงความพยายามดังกล่าว 

การสอดส่องที่ปราศจากความรับผิดรับชอบ (Unaccountable surveillance) ถือเป็นการละเมิดสิทธิมนุษยชนที่ได้รับการคุ้มครองตามกฎหมายระหว่างประเทศ ซึ่งรวมถึงกติการะหว่างประเทศว่าด้วยสิทธิพลเมืองและสิทธิทางการเมือง (International Covenant on Civil and Political Rights หรือ ICCPR) และปฏิญญาสากลว่าด้วยสิทธิมนุษยชนซึ่งถือเป็นมาตรฐานสิทธิมนุษยชนที่ประชาชนทั่วโลกได้รับมาอย่างยาวนานและรัฐบาลต้องส่งเสริมและปกป้อง หลักการดังกล่าวปกป้องสิทธิความเป็นส่วนตัวและเสรีภาพในการแสดงออกโดยตรง ความเป็นส่วนตัวและการแสดงออกเกี่ยวพันกันในพื้นที่ดิจิทัล โดยความเป็นส่วนตัวบนโลกออนไลน์ทำหน้าที่เป็นช่องทางในการรักษาความปลอดภัยในการใช้เสรีภาพในการแสดงความคิดเห็นและการแสดงออก  (“…privacy and expression are intertwined in digital space, with online privacy serving as a gateway to secure exercise of the freedom of opinion and expression.”)

มาตรา 17 (1) ของ ICCPR กำหนดว่า “[ไม่มีผู้ใดจะถูกแทรกแซงความเป็นส่วนตัว ครอบครัว เคหสถาน หรือการติดต่อสื่อสารโดยพลการหรือไม่ชอบด้วยกฎหมาย” มาตรา 17 อนุญาตให้มีการแทรกแซงความเป็นส่วนตัวเฉพาะในกรณีที่ “ได้รับอนุญาตจากกฎหมายภายในประเทศที่สามารถเข้าถึงได้และชัดเจน และเป็นไปตามหลักเกณฑ์กติกา” (“authorized by domestic law that is accessible and precise and that conforms to the requirements of the Covenant”) โดยมีวัตถุประสงค์เพื่อ“บรรลุเป้าหมายที่ชอบธรรม” (legitimate aim) และ “ผ่านการทดสอบความจำเป็นและความได้สัดส่วน” การแทรกแซงความเป็นส่วนตัวอย่างมีนัยสำคัญผ่านสปายแวร์ที่ไม่ได้รับการควบคุมอย่างเพกาซัสไม่ได้ให้การรับประกันว่าจะพยายามปฏิบัติตามมาตรฐานพื้นฐานเหล่านั้นด้วยซ้ำ

ICCPR ยังกำหนดให้รัฐบาลมีหน้าที่ปกป้องปัจเจกบุคคลจากการแทรกแซงสิทธิดังกล่าวโดยฝ่ายที่สาม โดยเฉพาะอย่างยิ่ง มาตรา 17(2) ของ ICCPR “กำหนดให้ทุกคนมีสิทธิได้รับการคุ้มครองตามกฎหมายจากการแทรกแซงความเป็นส่วนตัวของตนโดยมิชอบด้วยกฎหมาย” มาตรา 2 ของ ICCPR กำหนดให้รัฐภาคีไม่เพียงแต่ต้องเคารพสิทธิใน ICCPR เท่านั้น แต่ยังต้อง “ประกันสิทธิที่ ICCPR รับรองแก่บุคคลทั้งหมดภายในอาณาเขต [ของตน] และอยู่ภายใต้เขตอำนาจศาล [ของตน]” 

การพึ่งพาศาล เป็นหนทางเดียวที่จะเยียวยาเหยื่อได้

ทั้งคดีที่เกิดขึ้นในประเทศไทย และคดีที่ WhatsApp ยื่นฟ้องศาลในสหรัฐอเมริกานั้น ฝ่าย NSO ผู้ผลิตสปายแวร์เพกาซัส วางแนวทางต่อสู้คดีว่า การใช้สปายแวร์เพกาซัสต่อบุคคลใดก็ตามเป็นเรื่องที่ทางบริษัท NSO ไม่จำเป็นต้องรับผิดใดๆ เนื่องจากการขายสปายแวร์อยู่ภายใต้การควบคุมการส่งออกของกฎหมายอิสราเอล เท่ากับบริษท NSO กระทำไปในนามของรัฐอิสราเอลและไม่สามารถถูกดำเนินคดีในต่างประเทศได้ ในประเด็นนี้เดวิด เคย์ให้ความเห็นว่า ไม่มีข้อสนับสนุนในกฎหมายระหว่างประเทศสำหรับการขยายหลักการเอกสิทธิ์คุ้มกันผู้มีอำนาจอธิปไตยที่ NSO เสนอ (“….amicus [David Kaye] is aware of no support in international law for the novel extension of sovereign immunity principles that NSO proposes in this case.”) 

การให้เอกสิทธิ์คุ้มกันแก่ NSO จะถือเป็นการขยายสิทธิเอกสิทธิ์คุ้มกันอันจำกัดที่รัฐและผู้กระทำที่เป็นรัฐบางส่วนที่ได้รับในศาลต่างประเทศอย่างที่ไม่เคยมีมาก่อน  ยิ่งไปกว่านั้นการขยายขอบเขตดังกล่าวจะขัดแย้งโดยตรงกับแนวโน้มในกฎหมายระหว่างประเทศที่จะถือว่าผู้กระทำการในองค์กรเอกชนต้องรับผิดชอบต่อการปกป้องสิทธิมนุษยชน ในปี 2011 คณะมนตรีสิทธิมนุษยชนแห่งสหประชาชาติ ซึ่งเป็นองค์กรสิทธิมนุษยชนกลางของสหประชาชาติได้ให้การรับรองหลักการชี้แนะของสหประชาชาติว่าด้วยธุรกิจกับสิทธิมนุษยชน (UN Guiding Principles on Business and Human Rights: UNGPs) ย้ำถึงภาระผูกพันของรัฐต่างๆ ที่จะต้องให้แน่ใจว่าการดำเนินธุรกิจภายใต้เขตอำนาจศาลของตนเคารพสิทธิมนุษยชน และสนับสนุนให้ธุรกิจต่างๆ “หลีกเลี่ยงการละเมิดสิทธิมนุษยชนของผู้อื่น” และ “แก้ไขผลกระทบเชิงลบต่อสิทธิมนุษยชนที่ตนมีส่วนเกี่ยวข้อง”

เดวิด เคย์ มองว่า ข้อต่อสู้ของ NSO ที่เสนอว่า กลไกการควบคุมการส่งออกและข้อผูกพันในการกำกับดูแลตนเองที่มีอยู่นั้นเพียงพอที่จะจำกัดการละเมิดได้นั้นเป็นข้อกล่าวอ้างที่ผิด เพราะการควบคุมการส่งออกไม่ใช่วิธีที่มีประสิทธิภาพในการ “ลดความเสี่ยงที่เกิดจากอุตสาหกรรมการสอดส่องส่วนตัวและการใช้เครื่องมือสอดส่องของอุตสาหกรรมดังกล่าวอย่างกดขี่” Wassenaar ซึ่งเป็นกลุ่มความร่วมมือเพื่อควบคุมการส่งออกอาวุธตามแบบที่ใช้ในทางการทหาร ควบคุมการส่งออกสินค้าที่ใช้ได้สองทาง (Dual-Use Items)—มีไว้เพื่อจัดการกับการควบคุมการส่งออกโดยทั่วไป แต่ “ไม่เหมาะสมที่จะจัดการกับภัยคุกคามที่สอดส่องแบบกำหนดเป้าหมายที่กระทำต่อสิทธิมนุษยชน” เนื่องจาก “ขาดแนวทางหรือมาตรการบังคับใช้ที่สามารถจัดการกับการละเมิดสิทธิมนุษยชนที่เกิดจากเครื่องมือสอดส่องโดยตรง” (“ill-suited to addressing the threats that targeted surveillance pose to human rights” because “it lacks guidelines or enforcement measures that would directly address human rights violations caused by surveillance tools.”)

ที่ผ่านมายังไม่มีกลไกของรัฐบาลหรือเอกชนอื่นใด นอกเหนือจากการยื่นฟ้องที่มีไว้เพื่อป้องกันหรือแก้ไขการละเมิดเสรีภาพ “ทางเลือกอื่นนอกจากเหนือจากการดำเนินคดีซึ่งให้แนวทางแก้ไขเยียวยาที่สอดคล้องกับกฎหมายสิทธิมนุษยชนระหว่างประเทศนั้นดูเหมือนจะไม่มีให้ใช้” 

การแสวงหาความรับผิดของบริษัทเอกชนอย่างที่กำลังทำในคดีนี้อาจเป็นหนทางเดียวที่เป็นไปได้ในปัจจุบันในการให้ NSO และองค์กรทำนองเดียวกันนี้ต้องรับผิดชอบต่อการกระทำของตนในการแทรกซึมโจมตี (Infiltrating) บริการของบริษัทอื่นและในการช่วยเหลือระบอบที่กดขี่กระทำการละเมิดสิทธิมนุษยชน [private liability like that sought in this case may well be the only currently viable way to hold NSO and similar entities accountable for thei actions in infiltrating other companies’ services and in assisting repressive regimes to commit human rights abuses.]

นอกจากนี้ เดวิด เคย์ ยังชี้ถึงการต่อสู้คดีในสหรัฐอเมริกาว่า การขยายเอกสิทธิ์คุ้มกันให้กับ NSO ในสหรัฐอเมริกาจะขจัดความเป็นไปได้ในการเยียวยาใดๆ ต่อเหยื่อการแฮ็กของ NSO ในสหรัฐอเมริกาได้อย่างมีประสิทธิผล และจะมั่นใจได้ว่าบริษัทเอกชนที่ทำเรื่องสอดส่องทางไซเบอร์จะยังคงสร้างความเสียหายมากมายที่เกิดจากการออกแบบ การบำรุงรักษา และการจำหน่ายผลิตภัณฑ์ของตนต่อไป