รู้จักเพกาซัสสปายแวร์ อาวุธไซเบอร์ละเมิดสิทธิความเป็นส่วนตัว เครื่องมือปราบปรามผู้เห็นต่าง

เพกาซัสสปายแวร์คืออะไร?

เพกาซัสเป็นสปายแวร์ล้ำสมัย ผลิตโดยบริษัทเอ็นเอสโอ กรุ๊ป สัญชาติอิสราเอล สปายแวร์ตัวนี้สามารถเจาะโทรศัพท์เป้าหมายได้โดยวิธีการ “ไร้การกด” (zero-click) โดยที่เจ้าของไม่รู้ตัวผ่านช่องโหว่ในระบบปฏิบัติการของโทรศัพท์ เมื่อสปายแวร์เพกาซัสสามารถเจาะเข้าไปในโทรศัพท์เป้าหมายได้แล้ว โทรศัพท์เครื่องนั้นจะตกอยู่ภายใต้การควบคุมของผู้เจาะสมบูรณ์ ข้อมูลทุกอย่าง เช่น รูปภาพ วีดีโอ แชท อีเมล หรือแม้กระทั่งการเปิดกล้องหรือไมโครโฟน จะสามารถถูกสั่งการจากทางไกลและโอนถ่ายข้อมูลไปยังผู้ควบคุมเพกาซัสได้

สปายแวร์เพกาซัสถือเป็นอาวุธร้ายแรง ผู้ผลิตจะขายให้กับลูกค้าที่เป็นหน่วยงานของรัฐบาลเท่านั้น โดยก่อนจะขายต้องได้รับอนุญาตจากรัฐบาลอิสราเอลด้วย

อ่านเพิ่มเติมที่นี่

สปายแวร์เพกาซัส เครื่องมือปราบปรามผู้เห็นต่างในหลายประเทศทั่วโลก

ที่ผ่านมามีการเปิดโปงว่า รัฐบาลหลายประเทศฉกฉวยนำสปายแวร์เพกาซัสไปใช้กับผู้ที่เห็นต่างจากรัฐบาลหรือระบอบ ไม่ว่าจะเป็นนักปกป้องสิทธิมนุษยชน นักข่าว นักกิจกรรมทางการเมือง นักการเมืองฝ่ายตรงข้าม ซึ่งรวมถึงประธานาธิบดี กษัตริย์ และเจ้าหน้าที่ระดับสูงในองค์กรระหว่างประเทศ บริษัทเอ็นเอสโอ กรุ๊ปเจอกับกระแสวิพากษ์วิจารณ์อย่างหนักจากการละเมิดสิทธิมนุษยชนที่เกิดขึ้นโดยสปายแวร์เพกาซัส โดยต้องเจอกับการฟ้องร้องจากแอปเปิลและเมต้าจากกรณีการเจาะระบบ รวมถึงการถูกรัฐบาลสหรัฐอเมริกาติด “บัญชีดำ” ไม่ให้สามารถทำธุรกิจกับสหรัฐฯ ได้ 

อ่านเพิ่มเติมที่นี่

ผู้ถูกละเมิดสิทธิความเป็นส่วนตัวและบริษัทเทคโนโลยีเดินหน้าฟ้องเจ้าของสปายแวร์เพกาซัส

ซิติเซ่น แล็บ (Citizen Lab) องค์กรที่ตรวจสอบการใช้เทคโนโลยีละเมิดสิทธิมนุษยชน ได้รวบรวมข้อมูลการดำเนินคดีที่ผู้เสียหายจากสปายแวร์ทั่วโลกได้ยื่นฟ้องบริษัทผู้ผลิตเทคโนโลยีที่ละเมิดสิทธิส่วนบุคคลนี้ ซึ่งพบว่า บริษัท เอ็นเอสโอ กรุ๊ป ถูกผู้เสียหายและรัฐบาลฟ้องแล้วอย่างน้อยใน 12 ประเทศ เช่น สหราชอาณาจักร สหรัฐอเมริกา โปแลนด์ สเปน ฮังการี รวมทั้งประเทศต้นทางอย่างอิสราเอล

จากข้อมูลที่ซิติเซ่น แล็บรวบรวม บริษัท เอ็นเอสโอ กรุ๊ป ถูกดำเนินคดีแยกเป็นหลายประเภท อย่างน้อย 33 คดี มีทั้งคดีในศาลสิทธิมนุษยชนยุโรป (European Court of Human Rights) การตรวจสอบโดยคณะกรรมการสิทธิมนุษยชนขององค์การรัฐอเมริกัน (Inter-American Commission on Human Rights (IACHR)) การตรวจสอบโดยคณะกรรมาธิการของรัฐสภายุโรป (The European Parliament) การสืบสวนของอัยการ และการดำเนินคดีเพื่อเรียกร้องค่าเสียหายต่อศาล

คดีที่มีชื่อเสียงในสหรัฐอเมริกา เช่น บริษัท แอปเปิ้ล อิงค์ ฟ้องเอ็นเอสโอกรุ๊ป ในเดือนพฤศจิกายน พ.ศ. 2564 จากการติดตั้งสปายแวร์เพกาซัสในอุปกรณ์ของผู้ใช้แอปเปิ้ล นอกจากนี้  เดือนตุลาคม พ.ศ. 2562 บริษัท วอตส์แอป (WhatsApp) และเฟซบุ๊ก (Facebook) ฟ้องเอ็นเอสโอกรุ๊ป จากการใช้เซิร์ฟเวอร์ของ WhatsApp ในการส่งมัลแวร์ไปยังโทรศัพท์มือถือประมาณ 1,400 เครื่อง โดยคดีในสหรัฐอเมริกา ฝ่ายผู้ถูกฟ้องต่อสู้คดีคัดค้านอำนาจศาลของสหรัฐว่า พวกเขาเป็นบริษัทที่ทำงานภายใต้การอนุมัติของรัฐบาลอิสราเอล จึงเป็นองค์กรที่ได้รับความคุ้มกันทางการทูต ทำให้การดำเนินคดีล่าช้าเพราะต้องเสียเวลาไปมากในการต่อสู้ประเด็นเรื่องเขตอำนาจศาล

อ่านเพิ่มเติมที่นี่

การค้นพบการใช้งานสปายแวร์เพกาซัสในประเทศไทย เปิดใช้หลังรัฐประหาร 2557 มีเหยื่ออย่างน้อย35 คน

หลังการรัฐประหาร 2557 รัฐบาลทหารให้ความสนใจกับการควบคุมโลกออนไลน์เป็นอย่างมาก หลักฐานที่มีอยู่พบมีสปายแวร์เพกาซัสใช้งานในประเทศมาแล้วอย่างน้อยตั้งแต่ปี 2557 จากการตรวจสอบโดย ซิติเซ่น แล็บ (Citizen Lab) พบว่าครั้งแรกที่มีการตรวจเจอสปายแวร์ตัวนี้คือวันที่ 27 พฤษภาคม 2557 หรือหลังจากรัฐประหารโดยคณะรักษาความสงบแห่งชาติไม่ถึงหนึ่งสัปดาห์ และอีกครั้งในเดือนพฤศจิกายน 2557 นอกจากนี้ รัฐบาลไทยยังเป็นลูกค้าหรือมีความเกี่ยวข้องกับบริษัทในเครือของ NSO Group มาอย่างน้อยตั้งแต่ปี 2558 แล้ว

Citizen Lab ตรวจสอบการทำงานด้วยวิธีทางอิเล็กทรอนิกส์แล้วพบว่า มีหน่วยงานไทยสามหน่วยงานที่เกี่ยวข้อง ได้แก่ กองบัญชาการตำรวจปราบปรามยาเสพติด (บช.ปส.) กองอำนวยการรักษาความสงบภายใน (กอ.รมน.) และกองพันหน่วยข่าวกรองทหาร ทั้งนี้ จากการวิเคราะห์พบว่า บช.ปส. ซึ่งมีรหัสลูกค้าว่า Toyota Dragon มีการใช้เทคโนโลยีของ Circles ในการสอดส่องเป็นหน่วยงานแรกของไทย โดยครั้งแรกที่ตรวจพบเจอคือในเดือนกันยายน 2558 หรือหลังการรัฐประหารเพียงหนึ่งปีกว่า

อ่านเพิ่มเติมที่นี่

ต่อมาวันที่ 24 พฤศจิกายน 2564 แอปเปิลส่งอีเมลแจ้งเตือนนักกิจกรรม นักวิชาการและภาคประชาสังคมผู้ใช้ไอโฟนว่า อาจตกเป็นเป้าหมายของผู้โจมตีที่ได้รับการสนับสนุนจากรัฐ หลังจากนั้นปี 2565 ไอลอว์ ดิจิทัล รีช (Digital Reach) และ Citizen Lab ร่วมกันสืบสวนการใช้งานสปายแวร์เพกาซัสในประเทศ จนได้ข้อสรุปออกมาในเดือนกรกฎาคม 2565 ว่า มีผู้ถูกโจมตีจากสปายแวร์เพกาซัสอย่างน้อย 35 คน 

คนส่วนใหญ่ที่ถูกโจมตีมีบทบาทในการประท้วงเพื่อเรียกร้องประชาธิปไตย สนับสนุนการปฏิรูปการเมืองและสถาบันพระมหากษัตริย์ ระหว่างปี 2563-2564 การใช้สปายแวร์เพกาซัสต่อผู้เห็นต่างทางการเมือง เชื่อได้ว่ามีแรงจูงใจสามประการ หนึ่ง เพื่อสอดส่องกิจกรรมบนโลกออนไลน์ของผู้ชุมนุม สอง เพื่อติดตามสถานการณ์การประท้วง และสาม เพื่อหาข้อมูลเแหล่งที่มาของเงินของการประท้วง

รายงานปรสิตติดโทรศัพท์ : รายงานข้อค้นพบการใช้เพกาซัสสปายแวร์ในประเทศไทย

รายงานปรสิตติดโทรศัพท์ : การส่งเพกาซัสติดตามนักการเมืองก้าวหน้า-ก้าวไกล

เทียบไทม์ไลน์ การ “เจาะ” ของเพกาซัส กับการชุมนุมทางการเมือง

วิธีการตรวจสอบการโจมตีจากสปายแวร์เพกาซัสเบื้องต้น

เปิดโปงการใช้สปายแวร์เพกาซัสกลางรัฐสภา รัฐไทยไม่ปฏิเสธการมีอยู่ก่อนยูเทิร์นบอกว่า ไม่เคยพูด

21 กรกฎาคม 2565 พิจารณ์ เชาวพัฒนวงศ์ ส.ส.บัญชีรายชื่อพรรคก้าวไกล อภิปรายเรื่องสปายแวร์เพกาซัสที่ก่อนหน้านี้มีการเปิดเผยว่า มีประชาชนตกเป็นเป้าหมายการเจาะข้อมูลอย่างน้อย 35 คน คือ นักกิจกรรม 24 คน นักวิชาการ 3 คน เอ็นจีโอ 3 คน และนักการเมืองพรรคก้าวไกลและคณะก้าวหน้ารวม 5 คน  เขากล่าวด้วยว่า การโจมตีนักการเมืองเกิดขึ้นในช่วงใกล้เคียงกับการอภิปรายสำคัญในสภา เป็นการหวังจะมารู้ข้อมูลล่วงหน้าและอภิปรายเรื่องอะไรหรือไม่ ถ้าเป็นจริงนี่คือ กระบวนการขัดขวางการตรวจสอบถ่วงดุลตามวิถีทางประชาธิปไตยอย่างชัดเจน 

“จากพฤติกรรมการสอดแนมนักการเมืองฝ่ายตรงข้าม ปฏิเสธไม่ได้ว่า นี่คือ การช่วงชิงทางการเมือง การสอดแนมข้อมูล พฤติการณ์การทำงานของพวกเรา ตั้งใจที่จะทำลายขั้วตรงข้ามทางการเมือง ผมยืนยันอีกครั้งว่า ต้องย้ำตรงนี้ว่า NSO จะขายเพกาซัสให้แก่รัฐบาลหรือหน่วยงานราชการเท่านั้น โดยต้องได้รับความเห็นชอบจากกระทรวงกลาโหมของอิสราเอลเสียก่อน ดังนั้นการที่คนไทยอย่างน้อย 35 คน ถูกโจมตีด้วยอาวุธไซเบอร์ตรงนี้ยืนยันได้เลยว่าต้องเป็นฝีมือของรัฐบาล ต้องเป็นฝีมือของพลเอกประยุทธ์ จันทร์โอชาแน่นอนเพราะไม่มีเหตุผลใดที่รัฐบาลอื่นเขาจะมาโจมตี 35 คนดังกล่าว…ผมยืนยันว่า การค้นพบครั้งนี้เป็นแค่ยอดภูเขาน้ำแข็งเท่านั้น”

อ่านคำอภิปรายฉบับเต็มที่นี่

ชัยวุฒิ ธนาคมานุสรณ์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมยอมรับว่า ระบบนี้มีจริง  “เรื่องสปายแวร์ที่เข้าไปดักฟังหรือไปสิงอยู่ในตัวเครื่องมือถือ แล้วก็จะรู้เหมือนสามารถดูหน้าจอ การพูดการคุย การส่งข้อความทั้งหมด อันนี้ผมรู้ว่ามีจริง ระบบนี้มีจริง เราเคยศึกษาอยู่ แต่ทางกระทรวงดิจิทัลฯ ไม่ได้เป็นคนทำเรื่องนี้ เพราะเราไม่มีอำนาจนะครับ เท่าที่ผมทราบ มันจะเป็นงานด้านความมั่นคงหรือด้านยาเสพติด ท่านต้องไปจับคนร้ายยาเสพติด ท่านก็ต้องไปดักฟังว่าเขาจะส่งยาที่ไหน ผมเข้าใจว่ามีการใช้ในลักษณะแบบนี้นะครับ แต่มันจำกัด (limit) มาก” แต่ในภายหลังมาแก้ต่างว่า ไม่ได้บอกว่า มีในเมืองไทยหรือระบบราชการไทย

ด้าน พล.อ.ประยุทธ์ จันทร์โอชา นายกรัฐมนตรีชี้แจงว่า  “เรื่องเพกาซัส เพกาเซิ่สอะไร ผมไม่รู้จักหรอกนะครับ ท่านก็ว่าผมไม่ฉลาดอยู่แล้วหนิ แล้วผมไม่มีค่า ไม่มีความจำเป็นที่จะต้องไปเสียเงินงบประมาณเพื่อมาตามไอ้เรื่องแบบนี้หรอก”

เส้นทางการแสวงหาความเป็นธรรมของเหยื่อสปายแวร์เพกาซัส

กลไกรัฐสภา

หลังการค้นพบการใช้งานสปายแวร์เพกาซัสในไทย ผู้เสียหายเดินหน้าแสวงหาความเป็นธรรมผ่านช่องทางคณะกรรมาธิการของสภาผู้แทนราษฎร ครั้งแรกในวันที่ 15 กันยายน 2565 ผู้เสียหายจากสปายแวร์เพกาซัสยื่นหนังสือต่อณัฐชา บุญไชยอินสวัสดิ์ สมาชิกสภาผู้แทนราษฎรพรรคก้าวไกลและประธานคณะกรรมาธิการพัฒนาการเมือง การสื่อสารมวลชน และการมีส่วนร่วมของประชาชนเพื่อเรียกร้องให้ตรวจสอบการใช้สปายแวร์เพกาซัสกับผู้เห็นต่างทางการเมือง อย่างไรก็ดีไม่มีความคืบหน้านัก

ต่อมาวันที่ 17 กรกฎาคม 2567 ผู้เสียหายเข้ายื่นหนังสือต่อรังสิมันต์ โรม ประธานคณะกรรมาธิการความมั่นคงแห่งรัฐ กิจการชายแดนไทย ยุทธศาสตร์ชาติและการปฏิรูปประเทศ (กมธ.ความมั่นคงฯ) สภาผู้แทนราษฎร ให้ช่วยตรวจสอบข้อเท็จจริงเกี่ยวกับการใช้เทคโนโลยีละเมิดสิทธิมนุษยชน รังสิมันต์ตอบรับหนังสือและร่วมแถลงต่อสื่อมวลชนว่า ในอดีตที่มีการตรวจพบความเชื่อมโยงระหว่างหน่วยงานรัฐไทยด้านการปราบปรามยาเสพติดกับบริษัท เอ็นเอสโอ ผู้พัฒนาสปายแวร์สัญชาติอิสราเอล นำไปสู่การปรับงบประมาณในรัฐบาลก่อนหน้า อย่างไรก็ตามในรัฐบาลปัจจุบันรังสิมันต์ย้ำว่าแม้จะยังไม่ตรวจพบการใช้งบประมาณกับเพกาซัสสปายแวร์ในเอกสารงบประมาณ แต่ก็ไม่ได้หมายความว่าไม่ได้มีการซื้อสปายแวร์ลักษณะนี้มาใช้งานผ่านการใช้ชื่ออื่นๆ อีก

ต่อมาวันที่ 1 สิงหาคม 2567 คณะกรรมาธิการความมั่นคงแห่งรัฐฯ เชิญหน่วยงานด้านความมั่นคงหลายแห่ง รวมทั้งกองอำนวยการรักษาความมั่นคงภายในราชอาณาจัก (กอ.รมน.) เข้ามาชี้แจงเรื่องการใช้สปายแวร์เพกาซัสเพื่อล้วงข้อมูลในโทรศัพท์มือถือซึ่งเป็นการละเมิดสิทธิมนุษยชน โดยตัวแทนจากกองบัญชาการตำรวจปราบปรามยาเสพติด (บช.ปส.) ชี้แจงว่าว่า หน่วยงานได้ดำเนินการจัดซื้อเพกาซัสสปายแวร์ตั้งแต่ปี 2557 แต่เป็นเวอร์ชั่นที่เป้าหมายต้องกดลิงก์เท่านั้นถึงจะเจาะข้อมูลได้ แต่อย่างไรก็ดี ตั้งแต่ปี 2563 บช.ปส. ไม่ได้รับงบในการอัปเดตสัญญาอนุญาตซอฟต์แวร์เพื่อให้ทำงานอยู่บนคอมพิวเตอร์ (license) แล้ว

กลไกองค์กรอิสระ

21 กันยายน 2565 ที่สำนักงานคณะกรรมการสิทธิมนุษยชน กลุ่มผู้เสียหายสปายแวร์เพกาซัสเข้ายื่นหนังสือกับศยามล ไกยูรวงศ์ กรรมการสิทธิมนุษยชนแห่งชาติ เพื่อเรียกร้องให้ตรวจสอบข้อเท็จจริงการใช้สปายแวร์เพกาซัสกับผู้เห็นต่างทางการเมือง และให้ กสม. ใช้อำนาจสั่งให้หน่วยงานที่อยู่เบื้องหลังหยุดใช้สปายแวร์ละเมิดสิทธิของประชาชนในทันที กสม.ใช้เวลาการตรวจสอบเกือบสองปี จากนั้นวันที่ 5 เมษายน 2567 วสันต์ ภัยหลีกลี้ กรรมการสิทธิมนุษยชนแห่งชาติแถลงข่าวกรณีสืบเนื่องจากการให้ตรวจสอบการใช้งานสปายแวร์ เพกาซัสต่อนักกิจกรรม นักการเมืองและนักวิชาการระหว่างปี 2563-2564 โดยสรุปแล้วกสม. เชื่อว่า มีการใช้สปายแวร์ เพกาซัสละเมิดสิทธิจริง 

โดยพิจารณาจากความน่าเชื่อถือของการตรวจสอบทางเทคนิคคอมพิวเตอร์ที่ไปในทิศทางเดียวกันกับพยานผู้เชี่ยวชาญของกสม. และบริบทแวดล้อมในต่างประเทศ เช่น การที่แอปเปิลฟ้องคดีต่อเอ็นเอสโอ และกระทรวงพาณิชย์ของสหรัฐอเมริกา เพิ่มรายชื่อเอ็นเอสโอเข้าไปในบัญชีรายชื่อบริษัทที่มีส่วนร่วมในกิจกรรมที่ขัดต่อความมั่นคงของชาติและผลประโยชน์ด้านนโยบายต่างประเทศของสหรัฐอเมริกา เนื่องจากมีหลักฐานว่ามีการจัดหาสปายแวร์ให้แก่รัฐบาลหลายประเทศ เพื่อใช้โจมตีไปยังเป้าหมายที่เป็นเจ้าหน้าที่ของรัฐ ผู้สื่อข่าว นักธุรกิจ นักกิจกรรม และนักวิชาการ ซึ่งส่งผลให้เกิดการปราบปรามผู้เห็นต่างโดยไม่จำกัดพรมแดน อันเป็นการกระทำที่ขัดกับกฎระเบียบในทางระหว่างประเทศ 

ด้วยเหตุผลดังกล่าวทำให้เชื่อว่า ผู้ร้องและผู้ที่ถูกโจมตีรายอื่นๆ เป็นเหยื่อจากสปายแวร์เพกาซัส และบุคคลทั้งหมดไม่ได้มีส่วนเกี่ยวข้องกับอาชญากรรมร้ายแรงใด มีเพียงการถูกดำเนินคดีอันเนื่องมาจากการใช้เสรีภาพในการแสดงความคิดเห็นและเสรีภาพในการชุมนุมเพื่อคัดค้านหรือวิพากษ์วิจารณ์การดำเนินงานของรัฐบาลในช่วงที่ผ่านมา จึงเข้าข่ายเป็นการใช้งานโดยมิชอบและผิดวัตถุประสงค์ ทั้งยังเป็นการละเมิดสิทธิความเป็นส่วนตัวและส่งผลให้เกิดความหวาดกลัวต่อการวิพากษ์วิจารณ์โดยสุจริตหรือการตรวจสอบการทำงานของรัฐบาลและหน่วยงานของรัฐ

อ่านทั้งหมดที่นี่

กลไกศาล

เหยื่อ 8 คนฟ้อง NSO Group ต่อศาลแพ่ง

สถานะ : จำหน่ายคดี

วันที่ 15 พฤศจิกายน 2565 ผู้เสียหาย 8 คนจากการละเมิดสิทธิความเป็นส่วนตัวของสปายแวร์เพกาซัสยื่นฟ้องต่อศาลแพ่ง ในความผิดฐานละเมิดจนก่อให้เกิดความเสียหาย เป็นการล่วงละเมิดสิทธิส่วนบุคคลขั้นร้ายแรง ซึ่งไม่มีกฎหมายฉบับใดในประเทศไทยให้อำนาจทั้งรัฐและเอกชนที่จะล้วงข้อมูลในโทรศัพท์เช่นนี้ได้ โดยยื่นฟ้องบริษัท NSO Group จำกัด ที่เป็นผู้ผลิตและจำหน่ายสปายแวร์นี้ให้กับรัฐบาลไทยและมีส่วนรู้เห็นการใช้งานสปายแวร์นี้

โดยในคำฟ้องอธิบายว่า การใช้เทคโนโลยีเจาะเข้ามาในโทรศัพท์มือถือและได้ข้อมูลทุกอย่าง เข้าถึงข้อมูลที่เป็นส่วนตัวทุกประเภท รวมทั้งการเปิดไมโครโฟนเพื่อแอบฟังบทสนทนา และการเปิดกล้อง เพื่อแอบดูภาพที่เกี่ยวข้องเจ้าของเครื่อง เป็นการทำลายความเป็นส่วนตัวของโจทก์โดยสิ้นเชิง และเมื่อสปายแวร์เจาะเข้ามาในโทรศัพท์ครั้งหนึ่งแล้วก็สามารถเข้าถึงข้อมูลต่างๆ ได้อย่างไม่มีจำกัดเวลา ทำให้โจทก์ทั้ง 8 คนได้รับความเสียหายต่อสิทธิเสรีภาพขั้นพื้นฐานอย่างต่อเนื่องยาวนาน และเรียกร้องค่าเสียหายคนละ 1,000,000 บาท ซึ่งเป็นความเสียหายอันไม่ใช่ตัวเงิน ตามประมวลกฎหมายแพ่งและพาณิชย์มาตรา 446

ต่อมาวันที่ 26 พฤศจิกายน 2565 ศาลแพ่งมีคำสั่งจำหน่ายคดี เนื่องจากการละเมิดที่เกิดขึ้นกับเหยื่อทั้งเกิดต่างกรรมต่างวาระกัน จึงไม่อาจเป็นคู่ความร่วมในคดีเดียวกันได้ จึงคืนคำฟ้องเพื่อเขียนฟ้องใหม่และให้จำหน่ายคดีออกจากสารบบ

ไผ่ ดาวดินฟ้อง NSO Group ต่อศาลแพ่ง

สถานะคดี : นัดฟังคำพิพากษาวันที่ 21 พฤศจิกายน 2567

วันที่ 13 กรกฎาคม 2566  ไผ่-จตุภัทร์ บุญภัทรรักษา นักกิจกรรมเป็นโจทก์คนเดียวยื่นฟ้อง NSO Group ต่อศาลแพ่งเรียกค่าเสียหายจากการละเมิดสิทธิความเป็นส่วนตัว 2,500,000 บาท เหตุที่ฟ้องร้องเนื่องจาก NSO Group เป็นผู้พัฒนาเพกาซัส สปายแวร์ อาวุธสงครามไซเบอร์ที่สามารถสอดแนมแบบไร้การคลิก (Zero-click approach) สามารถเข้าถึงข้อมูลส่วนบุคคลของเป้าหมายโดยวิธีการที่ไม่ชอบด้วยกฎหมาย โดยในคำฟ้องอธิบายว่า หลังจากที่ขายสิทธิการใช้งานให้แก่รัฐบาลต่างๆ แล้ว NSO Group ยังมีหน้าที่ให้การดูแล ควบคุมการใช้งานสปายแวร์ดังกล่าวกับบุคคลเป้าหมาย โดยเมื่อรัฐบาลที่ซื้อสปายแวร์ดังกล่าวระบุตัวเป้าหมายแล้ว NSO Group เป็นผู้ที่ควบคุมเพื่อทำการเจาะระบบ สอดแนมบุคคลเป้าหมาย ทำสำเนาข้อมูลและส่งให้กับหน่วยงานของรัฐอีกทอดหนึ่ง

ในประเทศไทย หลังการจัดซื้อแล้ว NSO Group ยังทำหน้าที่อบรมการใช้งานให้เจ้าหน้าที่ของรัฐในการใช้กับโจทก์ และพบว่า มีการใช้งานสปายแวร์ดังกล่าวตั้งแต่เดือนพฤษภาคม 2557 ระหว่างการชุมนุมทางการเมืองปี 2563-2565 มีการใช้สปายแวร์สอดส่องนักกิจกรรม นักวิชาการ นักการเมืองและผู้ทำงานในภาคประชาสังคมอย่างน้อย 35 คนหลายครั้ง ในส่วนของไผ่เกิดขึ้นระหว่างเดือนมิถุนายนถึงกรกฎาคม 2564 อย่างน้อย 3 ครั้ง โดยเป็นช่วงที่เกี่ยวเนื่องกับการเตรียมการการชุมนุม การกระทำของ NSO Group ในการผลิต พัฒนา จำหน่ายต่อรัฐและควบคุมเพื่อให้ได้ข้อมูลของโจทก์เป็นการละเมิดต่อเสรีภาพที่ประกันไว้ในรัฐธรรมนูญ 2560 พ.ร.บ.คอมพิวเตอร์ฯ และหลักการระหว่างประเทศ

คดีนี้ศาลรับฟ้องและส่งหมายเรียกคู่ความไปยังประเทศอิสราเอล ต่อมาบริษัท NSO Group แต่งตั้งทนายความมาสู้คดี โดยศาลแพ่งนัดฟังคำพิพากษาวันที่ 21 พฤศจิกายน 2567

อ่านสรุปความเคลื่อนไหวและข้อต่อสู้คดีที่นี่

ยิ่งชีพและอานนท์ฟ้องสำนักนายกฯ ต่อศาลปกครอง

สถานะคดี : อยู่ระหว่างการอุทธรณ์คำสั่งไม่รับฟ้อง

วันที่ 20 มิถุนายน 2566 ยิ่งชีพ อัชฌานนท์ ผู้อำนวยการโครงการอินเทอร์เน็ตเพื่อกฎหมายประชาชน (iLaw) และอานนท์ นำภา ทนายความสิทธิมนุษยชนฟ้องคดีกับศาลปกครองต่อหน่วยงานรัฐ 9 หน่วยงานที่อาจมีส่วนเกี่ยวข้องกับการดำเนินการดังกล่าวโดยมีสำนักนายกรัฐมนตรี ซึ่งกำกับดูแลกองอำนวยการรักษาความมั่นคงภายใน (กอ.รมน.) และสำนักข่าวกรองแห่งชาติ เป็นผู้ถูกฟ้องคดีที่ 1 สำหรับหน่วยงานรัฐอื่นๆ ที่ถูกยื่นฟ้องในคดีนี้ได้แก่ สำนักงานตำรวจแห่งชาติ กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม กองทัพบก กองทัพเรือ กองทัพอากาศ กรมสอบสวนคดีพิเศษ กระทรวงการคลัง และคณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์

วันที่ 21 สิงหาคม 2566 ศาลปกครองมีคำสั่งไม่รับฟ้องระบุว่า คำฟ้องของผู้ฟ้องคดีเป็นการบรรยายฟ้องที่มีเจตนากล่าวอ้างว่า เจ้าหน้าที่ในสังกัดของผู้ถูกฟ้องคดีกระทำการละเมิดเพื่อแสวงหาประโยชน์ในการแสวงหาข้อเท็จจริงและหลักฐานเกี่ยวกับการกระทำความผิดหรือหาตัวผู้กระทำความผิดที่มีโทษทางอาญา ดังนั้นการเข้าถึงข้อมูลคอมพิวเตอร์ดังกล่าว จึงเป็นขั้นตอนการสืบสวนตามพ.ร.บ.คอมพิวเตอร์ฯ ที่มีการบัญญัติโทษทางอาญาให้อำนาจไว้โดยตรง การกระทำละเมิดตามฟ้องจึงเป็นการกระทำละเมิดอันเนื่องมาจากการดำเนินกระบวนการยุติธรรมทางอาญาโดยมิชอบด้วยประมวลกฎหมายวิธีพิจารณาความอาญาหรือกฎหมายพิเศษของฝ่ายปกครองที่มีการบัญญัติโทษทางอาญาไว้ กรณีนี้จึงไม่ใช่การคดีพิพาทที่ศาลปกครองมีอำนาจรับฟ้อง

ส่วนข้อกล่าวหาว่ารัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมละเลยต่อหน้าที่ไม่ควบคุมหรือกำกับปล่อยให้เจ้าหน้าที่กระทำการโดยมิชอบนั้น จะต้องวินิจฉัยประเด็นว่าเจ้าหน้าที่ของผู้ถูกฟ้องคดีดำเนินกระบวนการยุติธรรมทางอาญาชอบด้วยกฎหมายหรือไม่ก่อน หากเป็นกระบวนการที่ชอบด้วยกฎหมายย่อมไม่เป็นการกระทำละเมิด ข้อนี้จึงเกี่ยวเนื่องกับการดำเนินกระบวนการยุติธรรมทางอาญา ศาลปกครองจึงมีคำสั่งไม่รับคำฟ้องและจำหน่ายคดีออกจากสารบบความ คืนเงินค่าธรรมเนียมทั้งหมดให้แก่ผู้ฟ้องคดี

คดีนี้อยู่ระหว่างการอุทธรณ์ โดยผู้ฟ้องคดียืนยันว่า คำฟ้องไม่ได้บรรยายมุ่งไปที่หน่วยงานรัฐเจาะถึงข้อมูลของผู้ฟ้องคดีโดยไม่มีฐานกฎหมายใดให้อำนาจ กระทำโดยไม่มีฐานอำนาจตามกฎหมายทั้งหมด ไม่ใช่การละเมิดขั้นตอนตามพ.ร.บ.คอมพิวเตอร์ฯ แต่เป็นการกระทำทางปกครอง ศาลปกครองมีอำนาจรับพิจารณาคดี ขณะนี้ศาลได้ส่งอุทธรณ์ให้ศาลปกครองสูงสุดพิจารณา

กลไกระหว่างประเทศ

19 เมษายน 2566 ผู้รายงานพิเศษแห่งองค์การสหประชาชาติ (UN special rapporteur) ส่งจดหมายถึงรัฐบาลไทยเพื่อให้ประเทศไทย “คลี่คลาย” กรณีการใช้สปายแวร์คุกคามและล้วงข้อมูลประชาชนโดยเร็ว เนื่องจากผู้ตกเป็นเหยื่อของสปายแวร์เพกาซัสส่วนใหญ่เป็นเยาวชนที่เคลื่อนไหวทางการเมืองและร่วมการชุมนุมทางการเมือง รวมทั้งยังมีคนทำงานด้านสิทธิมนุษยชนที่ตกเป็นเหยื่อด้วย การใช้เพกาซัสในประเทศไทยจึงเกี่ยวข้องกับการละเมิดสิทธิหลายมิติ จดหมายแสดงความกังวลฉบับดังกล่าวระบุว่าสหประชาชาติอาศัยข้อความตามประกาศของคณะมนตรีสิทธิมนุษยชนแห่งชาติ (United Nations Human Rights Council) หรือ UNHRC ในการเรียกร้องให้รัฐบาลไทยทำตามข้อเรียกร้องทั้งเจ็ดข้อ เช่น ให้ข้อมูลเพิ่มเติมเกี่ยวกับข้อกล่าวการใช้สปายแวร์เพกาซัสต่อประชาชนภายในประเทศ และให้ข้อมูลเกี่ยวกับมาตรการการปกป้องสิทธิส่วนบุคคล เสรีภาพในการแสดงออก และเสรีภาพในการรวมกลุ่ม 

ผู้รายงานพิเศษขององค์การสหประชาชาติให้เวลารัฐบาลไทยในการตอบกลับอยู่ที่ 60 วัน นับจากวันที่ 19 เมษายน 2566 แต่รัฐบาลไทยไม่ได้ตอบกลับจดหมายดังกล่าวตามเวลาที่กำหนด UNHRC จึงเปิดเผยจดหมายข้อเรียกร้องฉบับนี้ลงบนเว็บไซต์ของ UNHRC โดยไม่ได้มีคำอธิบายจากรัฐบาลไทยประกอบด้วย