NSO ไม่สามารถปฏิเสธความรับผิดชอบต่อการใช้เพกาซัสละเมิดสิทธิ : เปิดคำเบิกความต่อศาลแพ่งของนักกฎหมายระหว่างประเทศ

5 กันยายน 2567 เวลา 09.30 น. ศาลแพ่งรัชดา นัดสืบพยานโจทก์ในคดีที่ไผ่-จตุภัทร์ บุญภัทรรักษาเป็นโจทก์ยื่นฟ้องเอาผิดจำเลย บริษัท เอ็นเอสโอ กรุ๊ป (NSO) สัญชาติอิสราเอลในฐานะที่เป็นผู้ผลิต ผู้พัฒนาและผู้จำหน่วายสปายแวร์เพกาซัส ฐานละเมิดสิทธิส่วนบุคคลจากการใช้เทคโนโลยีสอดแนมขโมยข้อมูลในโทรศัพท์มือถือ โดยเรียกค่าเสียหาย 2,500,000 บาท และขอให้ศาลสั่ง NSO ให้หยุดใช้สปายแวร์เพกาซัสละเมิดความเป็นส่วนตัวของพลเมืองไทย

คดีนี้มีการสืบพยานฝ่ายโจทก์ตั้งแต่วันที่ 3 – 5 กันยายน 2567 โดยในวันที่ 4 กันยายน 2567 ฝ่ายโจทก์ได้นำเสนอพยานเข้าเบิกความ ได้แก่ วรัญญุตา ยันอินทร์ นักเทคนิคคอมพิวเตอร์จากไอลอว์, สุธาวัลย์ ชั้นประเสริฐ จากมูลนิธิสิทธิมนุษยชนทางดิจิทัล และฐิติรัตน์ ทิพย์สัมฤทธิ์กุล อาจารย์ประจำคณะนิติศาสตร์มหาวิทยาลัยธรรมศาสตร์ และในวันที่ 5 กันยายน 2567 ได้แก่ ผศ. ปริยกร ปุสวิโร อาจารย์ประจำภาควิชาวิศวกรรมคอมพิวเตอร์ คณะวิศวกรรมศาสตร์ มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี

ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล ประกอบอาชีพเป็นอาจารย์ประจำคณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ สอนหลักสูตรวิชากฎหมายระหว่างประเทศแผนกคดีเมือง กฎหมายสิทธิมนุษยชน กฎหมายดิจิทัล และกฎหมายคุ้มครองข้อมูลส่วนบุคคล คำเบิกความของฐิติรัตน์จะช่วยทำให้เราเข้าใจในมุมมองทางกฎหมายระหว่างประเทศว่า ทำไมบริษัท NSO ในฐานะผู้ผลิตและผู้ขายจึงไม่สามารถปฏิเสธความรับผิดชอบของตัวเองต่อการใช้สปายแวร์เพกาซัสกับนักกิจกรรมทางการเมืองในประเทศไทยได้

การใช้เพกาซัสในไทยไม่ได้รับความคุ้มครองจากกฎหมายระหว่างประเทศ

ฐิติรัตน์ทำคำเบิกความเป็นเอกสารส่งต่อศาลแพ่งว่า สิทธิในความเป็นอยู่ส่วนบุคคลเป็นสิทธิที่ได้รับการคุ้มครองตามรัฐธรรมนูญ 2560 มาตรา 32 และเป็นสิทธิที่ได้รับการคุ้มครองตามกฎหมายระหว่างประเทศคือ ปฏิญญาสากลว่าด้วยสิทธิมนุษยชน (Universal Declaration of Human Rights : UDHR) และ กติการะหว่างประเทศว่าด้วยสิทธิพลเมืองและสิทธิทางการเมือง (International Covenant on Civil and Political Rights : ICCPR)

ปฏิญญาสากลว่าด้วยสิทธิมนุษยชน ข้อ 12 กำหนดไว้ว่า

“บุคคลใดจะถูกแทรกแซงตามอำเภอใจในความเป็นส่วนตัว ครอบครัว ที่อยู่อาศัย หรือการสื่อสาร หรือจะถูกลบหลู่เกียรติยศและชื่อเสียงไม่ได้ ทุกคนมีสิทธิที่จะได้รับความคุ้มครองของกฎหมาย ต่อการแทรกแซงสิทธิหรือการลบหลู่ดังกล่าวนั้น”

กติการะหว่างประเทศว่าด้วยสิทธิพลเมืองและสิทธิทางการเมือง ข้อ 17 กำหนดไว้ว่า

“บุคคลจะถูกแทรกแซงความเป็นส่วนตัว ครอบครัว เคหสถาน หรือการติดต่อสื่อสารโดยพละการ หรือไม่ชอบด้วยกฎหมายไม่ได้ และจะถูกลบหลู่เกียรติและชื่อเสียงโดยไม่ชอบด้วยกฎหมายไม่ได้ บุคคลทุกคนมีสิทธิที่จะได้รับความคุ้มครองตามกฎหมายมีให้ถูกแทรกแซงหรือลบหลู่เช่นว่านั้น”

การสอดแนมต้องมีกฎหมายรองรับ ได้สัดส่วน และถูกตรวจสอบ

ตามหลักกฎหมายระหว่างประเทศ ความเป็นส่วนตัวจะถูกจำกัดหรือยกเว้นหรือละเมิดไม่ได้ เว้นแต่จะมีเหตุโดยชอบด้วยกฎหมายให้สามารถกระทำได้ โดยจะจำกัดสิทธิความเป็นส่วนตัวได้จะต้องพิจารณาตามเงื่อนไขและหลักเกณฑ์ภายใต้กรอบกฎหมายระหว่างประเทศ คือ 

1. มีกฎหมายของรัฐให้อำนาจให้จำกัดหรือยกเว้นหรือไม่
2. มีเหตุโดยชอบด้วยกฎหมายให้จำกัดหรือยกเว้นสิทธิความเป็นอยู่ส่วนตัวดังกล่าวหรือไม่ เช่น เป็นไปเพื่อสอบสวนการก่อการร้ายหรือสอบสวนอาชญากรรมร้ายแรง
3. ต้องเป็นไปตามหลักความจำเป็นและความได้สัดส่วน โดยจะต้องเป็นมาตรการที่กระทบสิทธิของบุคคลน้อยที่สุด เพื่อให้บรรลุเป้าหมายที่ชอบโดยกฎหมาย
4. ต้องมีกลไกตรวจสอบว่ามาตรการจำกัดหรือยกเว้นสิทธิความเป็นส่วนตัวของบุคคลชอบด้วยกฎหมายหรือไม่ เพื่อป้องกันไม่ให้มีการละเมิดสิทธิของบุคคลโดยไม่ชอบด้วยกฎหมาย 

ฐิติรัตน์อธิบายว่าในส่วนของการใช้สปายแวร์เพกาซัสในคดีนี้ ข้อเท็จจริงปรากฏตามรายงาน เรื่อง ปรสิตติดโทรศัพท์ ซึ่งพบว่าในช่วงปี 2563 – 2564 ซึ่งเป็นช่วงเดียวกับที่มีการชุมนุมและการเคลื่อนไหวในประเทศไทยอย่างกว้างขวาง มีบุคคลอย่างน้อย 35 คน ถูกเจาะระบบโดยสปายแวร์เพกาซัสในช่วงเวลาวันก่อนหรือในวันที่จัดการชุมนุม ซึ่งเป็นช่วงเดียวกันกับที่มีการประชุมจัดเตรียมกิจกรรมทางการเมือง โดยเป็นการเจาะระบบเพื่อวัตถุประสงค์ทางการเมือง เพื่อสอดส่องการเคลื่อนไหวของผู้ชุมนุม จับตาสถานการณ์ประท้วง และหาข้อมูลแหล่งที่มาเงินทุนของการชุมนุม 

ทนายจำเลยถามว่าฐิติรัตน์สามารถยืนยันได้หรือไม่ว่า รายงานปรสิตติดโทรศัพท์มีความถูกต้อง 100%  ฐิติรัตน์ตอบว่า ตนยืนยันในฐานะนักวิชาการว่ารายงานมีความน่าเชื่อถือทั้งในด้านเทคนิคและข้อกฎหมาย 

จากกรณีดังกล่าวจะเห็นได้ว่า การใช้สปายแวร์เพกาซัส เป็นไปโดยมีวัตถุประสงค์เพื่อติดตามกลุ่มผู้เคลื่อนไหวทางการเมือง โดยไม่ปรากฏว่ากลุ่มบุคคลที่ถูกโจมตีโดยสปายแวร์เพกาซัสกระทำการใดๆอันอาจจะแสดงได้ว่ามีเหตุโดยชอบด้วยกฎหมายให้สามารถล่วงละเมิดสิทธิความเป็นส่วนตัวได้ ยิ่งไปกว่านั้นการทำงานของสปายแวร์เพกาซัสสามารถเจาะเข้าระบบและเข้าถึงข้อมูลส่วนบุคคลได้อย่างไม่มีขอบเขตและไม่จำกัดเวลา จึงเป็นการแทรกแซงสิทธิความเป็นส่วนตัวโดยไม่ปรากฏเหตุโดยชอบด้วยกฎหมายและขัดต่อหลักความจำเป็นและความได้สัดส่วน ไม่สอดคล้องกับหลักการตามรัฐธรรมนูญและหลักการตามกฎหมายระหว่างประเทศ 

ภายหลังจากมีการค้นพบว่า มีการใช้สปายแวร์เพกาซัสกับบุคคลที่ออกมาวิพากษ์วิจารณ์หรือเห็นต่างจากรัฐ ผู้สื่อข่าว นักการเมืองฝ่ายค้าน และนักปกป้องสิทธิมนุษยชนทั่วโลก สำนักงานข้าหลวงใหญ่ด้านสิทธิมนุษยชนแห่งสหประชาชาติ จึงได้มีความเห็นทั่วไป (General Comment) ยืนยันว่าการใช้สปายแวร์เพกาซัสเพื่อเข้าถึงเครื่องมือสื่อสารส่วนบุคคล เป็นการแทรกแซงสิทธิความเป็นส่วนตัวอย่างร้ายแรง และอาจเชื่อมโยงกับการละเมิดสิทธิอื่นๆ เช่น เสรีภาพสื่อมวลชน

ทนายจำเลยถามว่า หากตำรวจต้องสอดแนมแล้วไปขอคำสั่งศาลในการสอดแนมผู้ก่อการร้ายเป็นการละเมิดสิทธิหรือไม่ ฐิติรัตน์ตอบว่าขึ้นอยู่กับว่าการสอดแนมนั้น (1) เป็นไปตามกฎหมายให้อำนาจหรือไม่ (2) มีวัตถุประสงค์อันชอบธรรมหรือไม่ (3) เครื่องมือที่ใช้นั้นได้สัดส่วนกับวัตถุประสงค์อันชอบธรรมหรือไม่ (4) มีกระบวนการในการตรวจสอบการใช้อำนาจรัฐว่าเป็นไปตามวัตถุประสงค์และได้สัดส่วนหรือไม่ เป็นไปตามหลักการในข้อ 17 สิทธิในความเป็นส่วนตัวตามปฏิญญาสากลว่าด้วยสิทธิมนุษยชน และรายงานข้าหลวงใหญ่สิทธิมนุษยชนแห่งสหประชาชาติว่าด้วยสิทธิความเป็นส่วนตัวในยุคดิจิทัล (The Right to Privacy in the Digital Age)

ทนายจำเลยถามว่า หากศาลมีคำสั่งอนุญาตแล้วจะเป็นการละเมิดสิทธิหรือไม่ ฐิติรัตน์ตอบว่า เมื่อใช้หมายศาลดังกล่าวเกินกว่าที่ได้ขออนุญาตศาลย่อมเป็นการละเมิดสิทธิ ทนายจำเลยถามว่า หน่วยงานราชการมีการสอดแนมตามหมายศาลไม่ถือว่าเป็นการละเมิดสิทธิใช่หรือไม่ ฐิติรัตน์ตอบว่า ใช่ แต่ต้องเป็นไปตามวัตถุประสงค์ดังที่ตนเบิกความไปข้างต้น หากทำตามหมายศาลและกรอบวัตถุประสงค์ดังกล่าวแล้วไม่เป็นการละเมิดสิทธิมนุษยชน

ทนายโจทก์ถามว่า การปฏิบัติตามหมายศาลและวัตถุประสงค์โดยชอบหมายความว่าอย่างไร ฐิติรัตน์ตอบว่าต้องเป็นวัตถุประสงค์ที่ชอบธรรมและเครื่องมือที่ใช้ในการบรรลุวัตถุประสงค์ต้องได้สัดส่วน วัตถุประสงค์โดยชอบในการจำกัดสิทธิความเป็นส่วนตัวมีหลากหลายรูปแบบและหลายเรื่อง หนึ่งในนั้นคือความปลอดภัยสาธารณะ ซึ่งการใช้เครื่องมือสอดแนมที่มีลักษณะทะลุทะลวงในระดับที่สามารถดึงข้อมูลทุกอย่างที่มีในโทรศัพท์ของบุคคลได้ถือว่าเป็นการใช้เครื่องมือที่มีลักษณะจำกัดสิทธิอย่างสูงมาก วัตถุประสงค์จะต้องมีความจำเป็นสูงสุด ในกรณีนี้คืออาชญากรรมร้ายแรง เช่น การก่อการร้าย การค้ามนุษย์ หรือคดียาเสพติด ไม่สามารถอ้างเหตุผลทางการเมืองเพื่อกระทำการเจาะข้อมูลจากโทรศัพท์มือถือได้ 

ประเด็นนี้ถูกพูดชัดเจนในรายงานของสหประชาชาติและความเห็นของผู้เชี่ยวชาญอื่นๆ ที่ว่าการใช้สปายแวร์สอดแนมที่ออกแบบมาเพื่อใช้กับอาชญากรรมร้ายแรงเอามาใช้กับบุคคลธรรมดาเพื่อเหตุผลทางการเมืองนั้นเป็นสิ่งที่ละเมิดสิทธิมนุษยชนอย่างชัดเจน เหตุที่องค์กรระหว่างประเทศต้องเขียนเรื่องนี้ เพราะเคยมีคดีในอดีตเกิดขึ้นมากมายและมีคนตายเกิดขึ้นจากกระบวนการที่ไม่ชอบด้วยกฎหมายเหล่านี้ 

ยูเอ็นระบุ บริษัทต้องไม่ปล่อยให้ลูกค้าใช้ผลิตภัณฑ์ละเมิดสิทธิมนุษยชน

หลักการชี้แนะว่าด้วยธุรกิจกับสิทธิมนุษยชนแห่งสหประชาชาติ (Guiding Principles on Business and Human Rights) ระบุไว้อย่างชัดเจนว่า ในกรณีที่บริษัทให้ข้อมูลกับรัฐบาลเพื่อใช้สำหรับการปราบปรามผู้เห็นต่างทางการเมืองนั้นขัดแย้งต่อหลักสิทธิมนุษยชนอย่างชัดเจน โดยหลักการนี้เป็นหลักการที่กำหนดโดยสหประชาชาติ มีวัตถุประสงค์เพื่อให้ผู้ประกอบธุรกิจดำเนินธุรกิจโดยเคารพหลักสิทธิมนุษยชน ตั้งอยู่บนสามเสาหลัก คือ 

1. รัฐมีหน้าที่คุ้มครองไม่ให้ผู้ประกอบธุรกิจกระทำการละเมิดสิทธิมนุษยชน 
2. ผู้ประกอบธุรกิจต้องเคารพสิทธิมนุษยชนโดยหลีกเลี่ยงไม่กระทำการที่เป็นการละเมิดสิทธิมนุษยชนหรือก่อให้เกิดผลกระทบที่เป็นการละเมิดสิทธิมนุษยชน 
3. ต้องมีกลไกเยียวยาผู้ได้รับผลกระทบจากการละเมิดสิทธิมนุษยชนโดยผู้ประกอบธุรกิจ 

บริษัทเทคโนโลยีทั่วโลกต่างมีความตื่นตัวที่จะปฏิบัติตามหลักการนี้ การประกาศยอมรับหลักการเช่นนี้ทำให้เกิดความชัดเจนว่า บริษัทเอกชนมีหน้าที่ต้องคุ้มครองสิทธิมนุษยชนของบุคคลที่เกี่ยวข้องไม่ว่าบุคคลนั้นจะอาศัยอยู่ในประเทศใด นอกจากนี้สหประชาชาติยังออกเอกสารคำแนะนำความรับผิดชอบด้านสิทธิมนุษยชนขององค์กรธุรกิจ (The Corporate Responsibility to Respect Human Rights) โดยนิยามว่า บริษัทอาจมีส่วนในการละเมิดสิทธิมนุษยชนได้ ไม่จำเป็นต้องเป็นผู้ก่อการละเมิดหรือสนับสนุนการละเมิดด้วยตนเอง แต่ยังรวมถึงความเกี่ยวข้องเมื่อการละเมิดสิทธิเกิดจากผลิตภัณฑ์หรือบริการของธุรกิจนั้น ในคำแนะนำนี้ยกตัวอย่างกรณีที่ธุรกิจถูกกล่าวหาว่าละเมิดสิทธิมนุษยชนในกรณีที่ให้ข้อมูลเกี่ยวกับผู้ใช้บริการอินเทอร์เน็ตแก่รัฐบาลที่ใช้ข้อมูลดังกล่าวในการติดตามดำเนินคดีกับผู้เห็นต่างทางการเมือง 

NSO ไม่สามารถปฏิเสธความรับผิดชอบต่อผลิตภัณฑ์ของตัวเองได้

ฐิติรัตน์อธิบายว่า บริษัท NSO ในฐานะบริษัทเอกชน ได้เคยประกาศลงในเว็บไซต์ของจำเลย ว่าเทคโนโลยีของ NSO มีวัตถุประสงค์เพื่อช่วยหน่วยงานของรัฐในการป้องกันและตรวจสอบการก่อการร้ายและอาชญากรรมอย่างร้ายแรง และ NSO ยืนยันที่จะเคารพสิทธิมนุษยชน โดยจะปฏิบัติตามหลักการชี้แนะของสหประชาชาติว่าด้วยธุรกิจกับสิทธิมนุษยชน ซึ่งกำหนดไว้ว่าบริษัทต่างๆ จะต้องป้องกันไม่ให้เกิดการละเมิดสิทธิมนุษยชนโดยใช้ผลิตภัณฑ์ของตัวเอง

หากดูตามเอกสารรายงานความโปร่งใสของบริษัท (NSO Group’s Transparency and Responsibility Report 2021) อธิบายรายละเอียดไว้ชัดเจนว่า ก่อนที่จะขายผลิตภัณฑ์ให้กับผู้ใดจะต้องตรวจสอบความเสี่ยงว่ารัฐบาลนั้นเป็นรัฐบาลที่มีโอกาสจะละเมิดสิทธิหรือไม่ ระหว่างการใช้งานก็จะมีการตรวจสอบ รวมถึงรับข้อร้องเรียนหรือข้อสงสัยจากภาคประชาสังคมอยู่เสมอ เมื่อได้รับแล้วก็จะเข้าไปตรวจสอบ และการตรวจสอบนั้นรวมถึงการตรวจสอบทางเทคนิคด้วย บริษัทจำเลยจึงไม่สามารถปฏิเสธความรับผิดชอบในกรณีที่เกิดการละเมิดสิทธิมนุษยชนจากการสอดแนมประชาชนที่ไม่ใช่อาชญากรรมที่ร้ายแรงในลักษณะจำนวนมากภายในระยะเวลาสองปีเช่นนี้ได้ จำเลยต้องรับผิดเนื่องจากมีนโยบายของบริษัทและมีเหตุการณ์ที่ละเมิดสิทธิเกิดขึ้นจริง

ฐิติรัตน์อธิบายเพิ่มว่า รายงานนี้ได้รับการรับรองจากสหประชาชาติในรายงานข้าหลวงใหญ่สิทธิมนุษยชนแห่งสหประชาชาติว่าด้วยสิทธิความเป็นส่วนตัวในยุคดิจิทัลหน้าที่ 2 ในเชิงอรรถที่ 5 ทนายจำเลยถามว่าเชิงอรรถที่ 5 ระบุไว้หรือไม่ว่า จำเลยเป็นผู้ใช้หรือควบคุมเพกาซัสสปายแวร์ ฐิติรัตน์ตอบว่ามีระบุไว้ ทนาย จำเลยถามต่อว่า ยืนยันได้หรือไม่ว่ารายงานดังกล่าวถูกต้อง ฐิติรัตน์ตอบว่า ตนในฐานะนักวิชาการเอกสารที่ออกมาจากสำนักข้าหลวงใหญ่แห่งสหประชาชาติได้รับความเชื่อถือ 

การเตรียมการไม่ถือว่าเป็นการปฏิบัติตามกฎหมายระหว่างประเทศ

ทนายจำเลยถามว่าจำเลยได้ปฏิบัติตามหลักสิทธิมนุษยชนตามเอกสารดังกล่าวแล้วใช่หรือไม่ ฐิติรัตน์ตอบว่าไม่ และอธิบายว่าบริษัทจำเลยเคยได้ส่งแนวทางการปรับปรุงนโยบายสิทธิมนุษยชนให้บริษัทที่ปรึกษาพอล เฮสติงส์ แอลแอลพี (Paul Hasting LLP) พิจารณาว่าสอดคล้องกับหลักการของสหประชาชาติหรือไม่ บริษัทที่ปรึกษาดังกล่าวให้คำตอบว่าสอดคล้องแล้วและแนะนำให้เพิ่มเติมมาตรการ เอกสารนี้ออกในปี 2562 ต่อมาในปี 2564 มีรายงานความโปร่งใสของบริษัท NSO Group ซึ่งมีเนื้อหาสอดคล้องกับบริษัทที่ปรึกษานี้ 

บริษัทที่ปรึกษา ให้คำแนะนำจำเลยว่าจะต้องคำนึงถึงหลักการตามหลักการชี้แนะของสหประชาชาติว่าด้วยธุรกิจกับสิทธิมนุษยชน เช่น

ข้อ 15 กำหนดให้ผู้ประกอบธุรกิจต้องเคารพสิทธิมนุษยชนโดยมีนโยบายเพื่อปฏิบัติหน้าที่ดังกล่าวและต้องมีกระบวนการตรวจสอบทางสิทธิมนุษยชน และมีกระบวนการเยียวยาผลกระทบทางสิทธิมนุษยชน

ข้อ 17 และข้อ 18 กำหนดขอบเขตกระบวนการตรวจสอบทางสิทธิมนุษยชนซึ่งจำเป็นต้องยืดหยุ่นตามสถานการณ์ และต้องให้ความสำคัญกับการหารือกับกลุ่มที่ได้รับผลกระทบหรือผู้มีส่วนได้ส่วนเสียอื่น

ข้อ 20 ระบุถึงความสำคัญของระบบติดตามตรวจสอบว่าผลกระทบทางสิทธิมนุษยชนได้รับการแก้ไขอย่างมีประสิทธิภาพโดยผู้ประกอบธุรกิจหรือไม่

ข้อ 22 กำหนดให้ผู้ประกอบธุรกิจที่ก่อให้เกิดหรือมีส่วนร่วมเกี่ยวกับการก่อให้เกิดผลกระทบทางสิทธิมนุษยชน ต้องมีกระบวนการเยียวยาและให้ความร่วมมือเพื่อให้เกิดการเยียวยาด้วย

ข้อ 29 และข้อ 31 กำหนดให้ผู้ประกอบธุรกิจต้องมีกระบวนการร้องเรียนเพื่อรายงานข้อกังวลทางสิทธิมนุษยชนต่อผู้ประกอบธุรกิจ โดยกระบวนการดังกล่าวต้องชอบธรรม เข้าถึงได้ คาดหมายได้ เป็นธรรม และโปร่งใส 

ฐิติรัตน์อธิบายเพิ่มว่า การที่ NSO ได้นำมาตรการดังกล่าวมาอยู่ในรายงานความโปร่งใสของบริษัทย่อมเป็นการชี้ให้เห็นว่าจำเลยทราบถึงภาระหน้าที่และความรับผิดชอบต่อสิทธิมนุษยชนที่บริษัท NSO ต้องมีต่อบุคคลในการประกอบธุรกิจ จากเอกสารนี้บอกว่าบริษัทได้เตรียมการปฏิบัติตามหลักสิทธิมนุษยชนแล้วซึ่งเอกสารนี้บอกแค่ว่าบริษัทได้เตรียมการ แต่ไม่ได้บอกว่าบริษัทได้ปฏิบัติตามแล้ว เชื่อว่า ถ้าบริษัทได้ทำตามหลักการนี้จะไม่เกิดกรณีที่มีการสอดแนมประชาชนทั่วไปที่ไม่ใช่อาชญากรรมร้ายแรง

NSO เคยระบุว่าจะควบคุมเพกาซัสไม่ให้ละเมิดสิทธิมนุษยชน

ทนายจำเลยถามว่า ตามคำฟ้องในคดีนี้เอกสารใดพิสูจน์ว่า NSO ใช้หรือควบคุมเพกาซัสสปายแวร์ ฐิติรัตน์ตอบว่ามีเอกสารอยู่ 2 ฉบับแสดงให้เห็นว่า จำเลยเป็นผู้ใช้หรือควบคุมคือ เอกสารนโยบายด้านสิทธิมนุษยชนของบริษัท NSO Group และรายงานความโปร่งใสบริษัท NSO Group  ทนายจำเลยถามต่อว่าข้อความใดในเอกสารที่แสดงว่าจำเลยกระทำละเมิดตามฟ้อง ฐิติรัตน์อธิบายว่า ในเอกสารเอกสารนโยบายด้านสิทธิมนุษยชนของบริษัท NSO Group ข้อ 4 และข้อ 5 ในหน้าที่ 3 จำเลยประกาศต่อสาธารณะว่าจะรับรองหลักการตามคำชี้แนะของสหประชาชาติว่าด้วยธุรกิจกับสิทธิมนุษยชน ว่าจะมีการตรวจสอบประเมินความเสี่ยงและควบคุมไม่ให้ผลิตภัณฑ์ของจำเลยถูกใช้ไปเพื่อการละเมิดสิทธิของประชาชนทั่วไปผู้ซึ่งไม่ใช่เป้าหมายอันชอบธรรมของการสอดแนมไม่ใช่อาชญากรรม หรือไม่ได้มีส่วนเกี่ยวข้องกับการก่อการร้าย นโยบายดังกล่าวมีขึ้นภายหลังจากที่มีกรณีคนตายและเป็นข่าวปทั่วโลก

ในคำเบิกความของฐิติรัตน์ที่ส่งต่อศาลแพ่งอธิบายว่า การดำเนินธุรกิจของจำเลยยังสามารถตรวจสอบการใช้งานสปายแวร์เพกาซัสของลูกค้าได้ ซึ่งมีทั้งกระบวนการตรวจสอบด้านสิทธิมนุษยชนก่อนทำสัญญา ระบุหน้าที่ที่จะต้องปฏิบัติตามและเคารพสิทธิมนุษยชนลงในสัญญา ติดตามว่าลูกค้าได้ปฏิบัติตามสัญญาในประเด็นด้านสิทธิมนุษชนหรือไม่ และจำเลยยังสามารถสอบสวนในกรณีที่มีข้อสงสัยว่ามีการละเมิดสิทธิมนุษยชนอีกด้วย เคยมีกรณีตัวอย่างที่จำเลยยกเลิกสัญญามาแล้ว เช่น กรณีที่ยุติสัญญาสปายแวร์เพกาซัสกับสหรัฐอาหรับเอมิเรตส์ เพราะมุฮัมมัด บิน รอชิด อัล มักตูม (Mohammed bin Rashid Al Maktoum) รองประธานาธิบดีในขณะนั้นใช้เพกาซัสสอดแนมอดีตภรรยาตนเองและคนใกล้เคียง 

นอกจากนี้ NSO เคยเข้าร่วมการไต่สวนของคณะกรรมาธิการไต่สวนเพื่อสอบสวนการใช้เพกาซัสและสปายแวร์สอดแนมในลักษณะเดียวกัน (Committee of inquiry to investigate the use of the Pegasus and equivalent surveillance spyware) ของรัฐสภายุโรป โดยคาเฮม เกลเฟนด์ ตัวแทนของจำเลย ได้ยืนยันว่า จำเลยได้รับอนุญาตให้เข้าถึงข้อมูลของลูกค้าที่เป็นรัฐบาลหรือหน่วยงานรัฐได้ ในกรณีที่มีการกล่าวหาว่ามีการใช้สปายแวร์เพกาซัสผิดวัตถุประสงค์ จะนำไปสู่การปิดระบบและเลิกสัญญา โดย NSO สามารถเห็นหมายเลขโทรศัพท์ของเป้าหมายและวันที่โจมตีได้ หากลูกค้าไม่ให้ความร่วมมือก็สามารถถูกบอกเลิกสัญญาได้ หรือหากพบว่า ใช้ผิดประเภทจริงก็สามารถปิดระบบได้เช่นเดียวกัน 

ข้อกล่าวอ้างของ NSO ข้างต้นสอดคล้องกับผลประโยชน์ทางธุรกิจของผู้ให้บริการสปายแวร์ที่จะต้องมีการติดต่อกับลูกค้าอยู่เสมอเพื่ออัพเดทซอฟต์แวร์ตามรูปแบบของช่องโหว่ที่เปลี่ยนไป และต้องจำกัดขอบเขตการใช้งานของลูกค้าอย่างเคร่งครัด เพื่อไม่ให้เกิดการนำไปใช้เกินกว่าที่กำหนดไว้ตามที่ตกลงในสัญญา รวมถึงป้องกันไม่ให้เกิดการใช้ในลักษณะที่ขัดกับกฎเกณฑ์ด้านการส่งออกของอิสราเอล เช่น ป้องกันกรณีรัฐบาลที่เป็นลูกค้าจะนำสปายแวร์เพกาซัสไปใช้เพื่อสืบหาข้อมูลที่อยู่ในรายการต้องห้าม ซึ่งส่วนใหญ่เป็นประเทศที่มีความขัดแย้งกับอิสราเอล 

ฐิติรัตน์ย้ำว่า NSO ไม่สามารถปฏิเสธว่าตนไม่มีความสามารถในการล่วงรู้ข้อมูลพื้นฐานของการใช้งานสปายแวร์ อย่างน้อยจำเลยต้องทราบจำนวนครั้งในการโจมตีและพื้นที่ที่โจมตี ซึ่งการล่วงรู้ข้อมูลเหล่านี้เกิดขึ้นได้แม้จำเลยจะจำกัดตนเองไม่ให้เข้าถึงเนื้อหาข้อมูลที่ลูกค้าไปสอดแนมมาก็ตาม 

ทนายจำเลยถามว่ามีข้อความส่วนใดในเอกสารผลตรวจเพกาซัสของไผ่-จตุภัทร์ ที่ระบุว่า NSO เป็นผู้ใช้และควบคุมสปายแวร์เพกาซัส ฐิติรัตน์ตอบว่า เอกสารดังกล่าวระบุถึงกระบวนการทางเทคนิคของมหาวิทยาลัยโตรอนโตในการตรวจสอบว่า มีการใช้สปายแวร์ซึ่งเป็นสปายแวร์เพกาซัสตัวนี้ไม่ใช่ตัวอื่นในการสอดแนมนักกิจกรรมชาวไทย ฐิติรัตน์ยืนยันว่าบริษัท NSO Group เป็นผู้ควบคุมและใช้สปายแวร์เพกาซัส 

ทนายจำเลยถามว่าการที่บริษัทจะรู้ข้อมูลการใช้งานสปายแวร์เพกาซัส จะต้องมีการร้องเรียนและได้รับอนุญาตจากลูกค้าใช่หรือไม่ ฐิติรัตน์เบิกความว่า การตรวจสอบมีหลายระดับที่ทนายพูดถึงคือระดับการเข้าไปดูข้อมูลของลูกค้า อันนี้ต้องขออนุญาตจากตัวลูกค้า แต่มีระดับการตรวจสอบอื่นๆ อีก ซึ่ง NSO เขียนไว้ในรายงานความโปร่งใสของบริษัทว่า บริษัทจะรวบรวมข่าวข้อสงสัยรายงานต่างๆ จากภาคประชาสังคม เพื่อตรวจสอบลักษณะการใช้โดยละเมิด ดังนั้น ข้อมูลจากฝั่งลูกค้าเป็นแค่หนึ่งแหล่งข้อมูลเท่านั้น NSO สามารถที่จะเข้าถึงข้อมูลอื่นๆ ได้ด้วย

ทนายจำเลยถามว่าที่พยานให้ถ้อยคำว่าจำเลยในฐานะผู้ประกอบการที่มีหน้าที่ในสิทธิมนุษยชนและควรจะรู้ถึงการกระทำที่เป็นการละเมิดดังกล่าวกับไม่ดำเนินการใดๆ เพื่อสอบสวนข้อเท็จจริง ฐิติรัตน์ในฐานะพยานนำหลักฐานมาได้อย่างไรถึงเบิกความเช่นนั้น ฐิติรัตน์ตอบว่ารู้ได้จากสามแหล่ง 

1. ตามเอกสารรายงานความโปร่งใสและนโยบายด้านสิทธิมนุษย์ชนของบริษัทจำเลยเอง 
2. เหตุการณ์ละเมิดสิทธิมนุษยชนที่เกิดขึ้นในอดีต 
3. รายงานที่เกี่ยวข้องกับสถานการณ์ในประเทศไทย 

เมื่อ NSO ยอมรับหลักการนี้และแก้ไขแนวทางการปฏิบัติภายในบริษัทให้สอดคล้องกับหลักการดังกล่าว เมื่อเกิดเหตุขึ้นเป็นจำนวนมากในระยะเวลาสองปี NSO ในฐานะผู้ประกอบธุรกิจที่มีหน้าที่ในการเคารพสิทธิมนุษยชนและรู้หรือควรจะได้รู้ถึงการกระทำที่เป็นการละเมิดดังกล่าวกลับไม่ได้ดำเนินการใดๆ เพื่อสอบสวนข้อเท็จจริงเกี่ยวกับการใช้สปายแวร์ที่นำไปสู่การละเมิดสิทธิมนุษยชนและไม่ได้แก้ไขหรือเยียวยาการละเมิดสิทธิมนุษยชนที่เกิดขึ้นแต่อย่างใด ทำให้เห็นว่ากระบวนการของจำเลยไม่ได้มีการตรวจสอบให้มีประสิทธิภาพตามที่กล่าวอ้าง จึงไม่สอดคล้องกับสิ่งที่บริษัทประกาศไว้

การฟ้องร้องสปายแวร์เพกาซัสในศาลประเทศอื่น

การสอดแนมด้วยเครื่องมืออย่างสปายแวร์เพกาซัส ก่อให้เกิดความกังวลที่รัฐหรือองค์กรต่างๆ ทั่วโลกจะให้ความสำคัญ จึงมีการฟ้องร้องในกรณีที่จำเลยอนุญาตให้เกิดการใช้งานสปายแวร์ในลักษณะที่นอกเหนือไปจากการติดตามอาชญากรร้ายแรงและส่งผลให้เกิดการละเมิดสิทธิมนุษยชนเป็นจำนวนมาก 

นอกจากประเทศไทยแล้วยังมีประชาชนในอีกหลายประเทศที่ถูกเจาะระบบโทรศัพท์ไอโฟนด้วย สปายแวร์เพกาซัส ซึ่งเป็นการละเมิดสิทธิส่วนบุคคลอย่างร้ายแรงทำให้มีผู้เสียหายอย่างน้อย 33 คดี ใน 12 ประเทศ ในจำนวนนี้แบ่งคดีเป็นสองรูปแบบหลัก คือ คดีที่ยื่นฟ้อง NSO และคดีที่ฟ้องรัฐบาลประเทศผู้ใช้งานสปายแวร์เพกาซัส เพื่อแสวงหาผู้กระทำละเมิดสิทธิมนุษยชนเรียกร้องค่าเสียหายและเยียวยาจากการถูกละเมิดสิทธิความเป็นส่วนตัวอย่างร้ายแรง

กรณีผู้เสียหายฟ้อง NSO โดยตรง

จากการติดตามกรณีศึกษาที่ผู้เสียหายพยายามต่อสู้เพื่อเรียกร้องสิทธิความเป็นส่วนตัวของตัวเองในระบบศาลต่างประเทศ พบว่าเมื่อวันที่ 23 พฤศจิกายน 2564 ตามเวลาของประเทศสหรัฐอเมริกาซึ่งตรงกับวันที่และช่วงเวลาที่ประชาชนชาวไทยที่ใช้โทรศัพท์ไอโฟนหลายคนได้รับอีเมลแจ้งเตือนถึงสปายแวร์ได้รับการสนับสนุนโดยรัฐ บริษัทแอปเปิล จึงได้ยื่นฟ้องบริษัท NSO Group และบริษัทคิวไซเบอร์ เรียกร้องให้แสดงความรับผิดชอบต่อการใช้สปายแวร์เพกาซัสสอดแนมกลุ่มเป้าหมายที่เป็นผู้ใช้ผลิตภัณฑ์ของแอปเปิล 

เอกสารปรากฏตามข่าวประชาสัมพันธ์ของบริษัทแอปเปิล ระบุว่า มีการโจมตีผู้ใช้แอปเปิลทั่วโลกด้วยสปายแวร์ที่เป็นอันตราย ดังนั้นการฟ้องร้องของแอปเปิลจึงมีวัตถุประสงค์เพื่อห้ามไม่ให้ NSO ใช้ผลิตภัณฑ์และบริการของแอปเปิลในการสร้างความเสียหายต่อบุคคลใดอีก โดยในคดีดังกล่าวชาเลฟ ฮูลิโอ (Shalev Hulio) ประธานเจ้าหน้าที่บริหารหรือ CEO ของ NSO ได้แถลงต่อศาลไว้ตอนหนึ่ง เมื่อวันที่ 3 มีนาคม 2565 ว่า 

“NSO requires, as a condition of use, that its government customers agree that they (1) will use NSO technology only for the prevention or investigation of serious crimes and terrorism and ensure that it will not be used for human rights violations and (2) will immediately notify NSO of any potential misuse. NSO contractually can suspend or terminate service to customers engaged in any improper use of its products outside these parameters and NSO has done so in the past when improper use has been uncovered. Moreover, the State of Israel may deny or revoke export licenses if it becomes aware the terms of the export license have been violated, including, for example, that the technology is being used to violate human rights.” 

แปลได้ว่า NSO Group กำหนดตามเงื่อนไขของการใช้ว่า ลูกค้าที่เป็นรัฐบาลจะต้องยอมรับว่า (1) จะใช้เทคโนโลยีของ NSO สำหรับการป้องกันและสืบสวนอาชญากรรมที่ร้ายแรงและการก่อการร้ายเท่านั้นและรับรองว่า รัฐบาลจะไม่ใช้สำหรับการละเมิดสิทธิมนุษยชนและ (2) แจ้ง NSO ทันทีที่มีความเป็นไปได้ว่า มีการใช้อย่างไม่เหมาะสม เอ็นเอสโอสามารถระงับสัญญาหรือยุติการบริการแก่ลูกค้าที่มีความเกี่ยวข้องกับการใช้งานอย่างไม่เหมาะสมของผลิตภัณฑ์ที่อยู่ที่นอกเหนือกรอบกติกา และ NSO เคยทำมาแล้วในอดีตครั้งที่การใช้งานอย่างไม่เหมาะสมได้รับการเปิดเผย มากไปกว่านั้น รัฐอิสราเอลอาจปฏิเสธหรือถอนใบอนุญาตการส่งออกถ้ารัฐอิสราเอลเริ่มที่จะทราบว่า เงื่อนไขของใบอนุญาตการส่งออกถูกละเมิดรวมถึงการใช้เทคโนโลยีละเมิดสิทธิมนุษยชน

อีกคดีที่มีความสำคัญและได้รับการจับตาคือคดีที่บริษัทวอตส์แอป และบริษัทเฟสบุ๊ค ซึ่งเป็นผู้นำด้านเทคโนโลยีการสื่อสารของโลกยื่นฟ้อง NSO และคิวไซเบอร์ โดยวอตส์แอปและเฟสบุ๊คเรียกร้องให้บริษัทแสดงความรับผิดชอบต่อการใช้สปายแวร์เพกาซัสสอดส่องกลุ่มเป้าหมายมายังผู้ใช้ผลิตภัณฑ์ของตน ในคดีนี้ผู้พิพากษาศาลกลางประจำมลรัฐแคลิฟอร์เนียมีคำสั่งให้จำเลยส่งชุดคำสั่งสปายแวร์ ตั้งแต่ปีที่มีการเจาะเข้าระบบของผู้ใช้วอตส์แอป ตั้งแต่ปี 2562 – 2563 จนถึง หนึ่งปีหลังจากที่การโจมตีดังกล่าวหยุดลงและสั่งให้ NSO มอบข้อมูลที่เกี่ยวข้องกับการทำงานของสปายแวร์เพกาซัสทั้งหมดให้กับบริษัทวอตส์แอปและเฟสบุ๊ค

ในสหรัฐอเมริกา ฮานาน คาช็อกกี ภรรยาหม้ายของจามาล คาช็อกกี นักข่าวและนักกิจกรรมสิทธิมนุษยชนชาวซาอุดิอาระเบียยื่นฟ้อง NSO และบริษัทคิวไซเบอร์ เป็นจำเลยต่อศาลแขวงตะวันออก รัฐเวอร์จิเนีย สหรัฐอเมริกา กล่าวหาว่า NSO ขายสปายแวร์ให้กับรัฐบาล เช่น ประเทศกาน่า ประเทศรวันดา สหรัฐอาหรับเอมิเรตส์ และซาอุดิอาระเบีย และดำเนินการวิเคราะห์ข้อมูลให้กับลูกค้า ผลิตรายงานจากข้อมูลที่ได้รับมาจากอุปกรณ์เป้าหมาย NSO ยังดูแลรักษาโครงสร้างพื้นฐานในการทำงานของเพกาซัส ฝึกอบรมลูกค้าที่เกี่ยวข้องกับการใช้งานและช่วยเหลือลูกค้าในทุกกระบวนขั้นตอนในการใช้สปายแวร์เพกาซัส แม้ศาลเวอร์จิเนียจะไม่รับพิจารณาด้วยเหตุที่ไม่มีเขตอำนาจศาลเนื่องจากไม่สามารถสรุปได้ว่าฮานานถูกโจมตีในขณะที่อยู่ในรัฐเวอร์จิเนียเป็นการเฉพาะ แต่ผู้พิพากษายอมรับว่าความเสียหายจากการโจมตีของสปายแวร์เพกาซัสนั้นมีหลักฐานพิสูจน์ได้ชัดเจน 

กรณีผู้เสียหายฟ้องรัฐบาลที่ใช้เพกาซัส

กรณีที่ไม่ใช่การฟ้องจำเลยโดยตรงแต่มีการพูดถึงข้อเท็จจริงในการใช้สปายแวร์เพกาซัสเป็นคดีที่เกิดขึ้นในสหราชอาณาจักร กาเนม อัล มาซาริร (Ghanem Al-Masarir) นักกิจกรรมสิทธิมนุษยชนชาวซาอุดิอาระเบียฟ้องรัฐบาลซาอุดิอาระเบียเป็นจำเลยต่อศาลในสหราชอาณาจักร กาเนมลี้ภัยจากซาอุดิอาระเบียและมาพำนักที่ลอนดอน ในวันที่ 31 สิงหาคม 2561 กาเนมถูกติดตามและถูกทำร้าย เมื่อมีการตรวจสอบพบว่า โทรศัพท์ทั้งสองเครื่องของเขาถูกโจมตีด้วยสปายแวร์เพกาซัส บิล มาแซค (Bill Marczak) ผู้เชี่ยวชาญด้านคอมพิวเตอร์จากซิติเซ่นแล็บ เบิกความต่อศาลอธิบายว่า หลังการตรวจสอบทางนิติวิทยาศาสตร์พบว่าโทรศัพท์ไอโฟนของกาเนมถูกโจมตีด้วยสแปร์สปายแวร์เพกาซัส โดยมีผู้ให้บริการชื่อว่า “Kingdom” ซึ่งมีผู้ที่ตกเป็นเหยื่อจากผู้ให้บริการรายเดียวกันนี้อีกห้าคน แทบทั้งหมดล้วนแต่เป็นคนที่มีภูมิหลังเกี่ยวกับซาอุดิอาระเบีย ศาลในสหราชอาณาจักรจึงรับคดีไว้พิจารณา 

ทนายจำเลยถามว่า คดีที่ศาลสหราชอาณาจักร ตามบันทึกถ้อยคำของพยานยังไม่มีการสืบพยานในปัจจุบันใช่หรือไม่ ฐิติรัตน์ตอบว่า มีการสืบพยานในชั้นวินิจฉัยเขตอำนาจศาลไปแล้ว แต่ยังไม่มีการสืบพยานในเนื้อหาของคดีในชั้นความรับผิด แต่ศาลพิจารณาแล้วว่า จำเลยมีส่วนร่วมในการใช้ควบคุมสปายแวร์เพกาซัส มิฉะนั้นศาลอังกฤษไม่สามารถที่จะรับคดีไว้ในการพิจารณาได้ เพราะจะมีเรื่องความคุ้มกันของรัฐเข้ามาเกี่ยวข้อง ซึ่งจำเลยที่ศาลสหราชอาณาจักรไม่ใช่ NSO

ศาลสหราชอาณาจักรและศาลสหรัฐอเมริกาวินิจฉัยแล้วว่า NSO มีส่วนเกี่ยวข้องกับการใช้สปายแวร์ในการสอดแนมประชาชนหรือไม่ คดีของวอตส์แอปและคดีของแอปเปิล แสดงให้เห็นว่าจำเลยไม่ได้เพียงเป็นตัวแทนการขายผลิตภัณฑ์ให้กับรัฐบาลเท่านั้น ซึ่งพยานหลักฐานที่ใช้ยื่นต่อศาลเหล่านี้ได้มาจากซิติเซ่นแล็บ เช่นเดียวกับคดีนี้ ซึ่งศาลสหราชอาณาจักรยืนยันว่าหลักฐานที่ได้จากซิติเซ่นแล็บ ทั้งสถาบันและตัวบุคคลน่าเชื่อถือและพิสูจน์ได้ในทางวิทยาศาสตร์ เพียงพอในการปลดภาระการพิสูจน์จากฝ่ายโจทก์

ฐิติรัตน์เบิกความต่อว่า ในฐานะนักวิชาการกฎหมายมีข้อสังเกตุว่า คดีเหล่านี้มีลักษณะเป็นการต่อสู้ในเชิงเทคนิคระหว่างบริษัทที่เป็นบริษัทเทคโนโลยีขนาดใหญ่กับประชาชนทั่วไป ความสามารถของประชาชนทั่วไปในการที่จะเข้าถึงข้อมูลที่เกี่ยวข้องกับเทคโนโลยีนั้นมีจำกัด ศาลจึงพิจารณาข้อมูลที่มาจากรายงานของนักวิชาการที่เชื่อถือได้ประกอบเป็นปกติในทางปฏิบัติในต่างประเทศ

ประชาชนทั่วไปก็รู้สึกหวาดระแวงได้ว่าจะถูกสอดแนมโดยรัฐ

ในคำเบิกความที่ทำเป็นเอกสารส่งต่อศาลแพ่งระบุว่า การสอดแนมถือเป็นการละเมิดข้อมูลส่วนบุคคล ส่งผลกระทบต่อสิทธิความเป็นส่วนตัว ซึ่งเป็นสิทธิสำคัญที่เอื้อให้ประชาชนสามารถใช้เสรีภาพในด้านอื่นๆ ได้อย่างกว้างขวาง อาจทำให้บุคคลเกิดความหวาดระแวงไม่กล้าเปิดเผยข้อมูลที่จำเป็นต่อการใช้สิทธิอื่นๆ ที่ต้องใช้ผ่านโทรศัพท์ เช่น ข้อมูลสุขภาพ ข้อมูลด้านการเงินที่สำคัญ ข้อมูลที่เกี่ยวข้องกับครอบครัว อาจทำให้สื่อมวลชนและแหล่งข่าวไม่กล้าเปิดเผยข้อมูลที่จำเป็นต่อการทำข่าวเพื่อประโยชน์สาธารณะ อีกทั้งยังส่งผลกระทบต่อสังคมโดยรวม เนื่องจากสร้างบรรยากาศที่เกิดความกลัวในการแลกเปลี่ยนความคิดเห็น 

รายงานข้าหลวงใหญ่สิทธิมนุษยชนแห่งสหประชาชาติว่าด้วยสิทธิความเป็นส่วนตัวในยุคดิจิทัล ข้อ 10 ระบุว่า “การใช้เครื่องมือแฮกเพื่อโจมตีผู้สื่อข่าวและสื่อ ยังเป็นการทำลายเสรีภาพสื่ออย่างร้ายแรง เนื่องจากแหล่งข่าวอาจกลัวว่าจะถูกสอบสวนและได้รับผลกระทบ แค่การระบุว่ามีแผนการแฮกก็สร้างบรรยากาศของความหวาดกลัวต่อการใช้เสรีภาพในการแสดงออก กระทบต่อการทำงานของสื่อ การอภิปราย และการเข้าร่วมสาธารณะ ทั้งยังบั่นทอนหลักธรรมาภิบาลตามประชาธิปไตย ตามถ้อยคำของศาลฎีกาอินเดียที่เกี่ยวกับการใช้สปายแวร์เพกาซัสว่า บรรยากาศของความหวาดกลัวเนื่องจากการสอดแนมข้อมูลย่อมถือว่าเป็นการโจมตีต่อสื่อมวลชนที่มีบทบาทสำคัญในการเฝ้าระวังประเด็นสาธารณะ”

และข้อความตามข้อ 12 ระบุว่า  ระบุว่า “สปายแวร์ไม่เพียงส่งผลกระทบต่อผู้ตกเป็นเป้าหมายเท่านั้น หากรวมถึงทุกคนที่มีการสื่อสารกับบุคคลเหล่านั้น หรือกรณีที่มีการเปิดใช้งานกล้องถ่ายภาพ ไมโครโฟน หรือข้อมูลตำแหน่งที่ตั้ง ย่อมส่งผลกระทบต่อบุคคลอื่นๆ ซึ่งอยู่ในที่ตั้งเดียวกันกับอุปกรณ์เหล่านั้นได้”

นอกเหนือจากผลกระทบต่อการใช้สิทธิเสรีภาพในด้านต่างๆแล้ว หลังจากเกิดเหตุละเมิด ความเสียหายจากการรั่วไหลของข้อมูลยังอาจก่อรูปได้อีกแม้เวลาผ่านไปนาน เพราะข้อมูลส่วนบุคคลอาจถูกนำไปใช้ประกอบการกระทำอันเป็นมิจฉาชีพได้หลากหลายรูปแบบตัวอย่างที่พบเห็นในเวลานี้ คือ การหลอกลวงผ่านโทรศัพท์หรืออินเทอร์เน็ตที่เรียกกันว่า แก๊งคอลเซ็นเตอร์ ในปัจจุบันปัญหาเรื่องการสแกมหรือการหลอกลวง มีข้อเท็จจริงว่า ข้อมูลที่อาชญากรหรือแก๊งคอลเซ็นเตอร์ใช้อยู่นั้นหลุดมาจากหน่วยงานของรัฐ เมื่อสปายแวร์ถูกใช้โดยรัฐอย่างผิดวัตถุประสงค์หรือเรียกว่า Misuse ทำให้เกิดความหวาดระแวงไม่เฉพาะนักกิจกรรมที่ถูกสอดแนมในคดีนี้เท่านั้น ประชาชนทั่วไปก็รู้สึกได้ แม้แต่ตนก็มีความรู้สึกหวาดระแวงว่าอาจจะถูกสอดแนมได้เช่นกัน

ทนายจำเลยถามว่า ทราบได้อย่างไรว่าการที่ถูกโจมตีโดยสปายแวร์เพกาซัสทำให้โจทก์รู้สึกไม่ปลอดภัยข้อมูลของโจทก์ไม่ปลอดภัย ฐิติรัตน์ตอบว่า เห็นได้จากบทสัมภาษณ์ของโจทก์และผู้เสียหายอื่นๆ ที่ถูกสอดแนมในลักษณะเดียวกันและบทสัมภาษณ์จากข่าว ตนไม่เคยคุยกับโจทก์ในคดีนี้ว่าโจทก์รู้สึกหวาดระแวงอย่างไร แต่วิญญูชนต้องทราบอยู่แล้วว่าจะต้องรู้สึกเช่นนั้น 

ในเอกสารเบิกความที่ส่งต่อศาลแพ่ง ฐิติรัตน์เบิกความอธิบายทิ้งท้ายว่า เมื่อมีการละเมิดสิทธิของโจทก์ย่อมต้องถือว่าโจทก์ได้รับความเสียหายแล้ว สอดคล้องกับคำพิพากษาศาลฎีกาที่ 4893/2558 โดยศาลในคดีดังกล่าวได้ยอมรับแนวคิดความเสียหายที่เกิดจากการละเมิดสิทธิความเป็นส่วนตัวและสอดคล้องกับความเห็นของผู้เชี่ยวชาญสหประชาชาติที่ระบุว่า บุคคลต้องมีวิธีการและกลไกที่จะเข้าถึงได้เพื่อยืนยันสิทธิความเป็นส่วนตัวและรัฐต้องจัดให้ประชาชนสามารถเข้าถึงกลไกที่จะเรียกร้องค่าเสียหายหรือเยียวยาความเสียหายที่เกิดจากการถูกละเมิดสิทธิ์ได้