เมื่ออังคารที่ผ่านมา ฝ่ายกฎหมายของบริษัท NSO Group ผู้ผลิตสปายแวร์ ‘เพกาซัส’ มาขึ้นศาลแพ่งของไทยเพื่อสู้คดีที่ ‘ไผ่ จตุภัทร์’ ฟ้องเรียกค่าเสียหายจากการถูกสอดแนม แต่ไม่ยอมตอบว่าทางบริษัทได้ตรวจสอบว่าโปรแกรมตัวเองถูกเอามาใช้ในไทยอ้างเหตุเป็นเรื่องความมั่นคงกระทบลูกค้า และกระบวนการตรวจสอบลูกค้าที่ใช้โปรแกรมของบริษัทไปละเมิดสิทธิก็ไม่ชัดเจนว่าตกลงแล้วตรวจได้จริงหรือไม่
หลังจากเมื่อ 2 ปีก่อนเกิดเหตุการณ์ที่นักวิชาการ นักกิจกรรมทางการเมืองและคนทำงานในองค์กรภาคประชาสังคมหลายคนที่ใช้มือถือไอโฟนของบริษัทแอปเปิลได้รับอีเมลแจ้งจากทางบริษัทว่าเจ้าของเครื่องถูกติดตั้งสปายแวร์และถูกสอดแนมจากหน่วยงานของรัฐ
ทำให้บรรดาคนกลุ่มนี้เริ่มตื่นตัวทำการตรวจสอบว่าตัวเองกำลังเผชิญกับอะไรอยู่จนพบว่าถูกสปายแวร์เพกาซัสติดตามและกลายเป็นแรงกระเพื่อมให้เรื่องนี้ถูกพูดถึงในสังคม และทำให้คนที่ออกมาเคลื่อนไหวทางการเมืองและนักวิชาการที่มีความเกี่ยวข้องกับคนกลุ่มแรกเริ่มตรวจสอบตัวเองว่าโดนไปด้วยหรือ จนล่าสุดพบว่ามีทั้งหมด 35 คน แต่ด้วยข้อจำกัดทางเทคนิคของมือถือแอนดรอยด์ทำให้เรื่องนี้ถูกตรวจสอบพบแค่คนที่ใช้มือถือไอโฟนเท่านั้น
จากนั้นมาผู้ที่ถูกสอดแนมได้เริ่มดำเนินการฟ้องเรียกค่าเสียหายจากทั้งบริษัท NSO group บริษัทเทคโนโลยีในการผลิตโปรแกรมสอดแนมของอิสราเอลซึ่งเป็นเจ้าของสปายแวร์เพกาซัส ไปจนถึงฟ้องศาลปกครองกับหน่วยงานรัฐของไทย 9 หน่วยงาน
ล่าสุดก็มีความคืบหน้าในคดีที่ จุตภัทร์ บุญภัทรรักษา หรือไผ่ นักกิจกรรม ฟ้องบริษัท NSO group เป็นจำเลยฐานละเมิดและเรียกค่าเสียหาย จนคดีเริ่มสืบพยานของทั้งฝ่ายโจทก์และจำเลยในศาลแพ่ง รัชดาฯ มาตั้งแต่ 3 ก.ย.2567 ที่ผ่านมาโดยมีชมูเอล ซันเรย์ (Shmuel Sunray) ที่ปรึกษาฝ่ายกฎหมายของบริษัทมาร่วมฟังและขึ้นเป็นพยานเมื่อ 10 ก.ย.2567
อย่างไรก็ตาม ทางฝ่าย NSO group ก็ออกแถลงการณ์ก่อนการสืบพยานและชมูเอลยังแถลงซ้ำในศาลว่าเขาจะไม่ตอบคำถามใดๆ ที่เชื่อมโยงไปถึงลูกค้าของบริษัทซึ่งเป็นประเด็นเกี่ยวกับความมั่นคงเพราะหากอาชญากรรู้ว่าลูกค้าเป็นใครก็อาจหลบเลี่ยงโปรแกรมของบริษัทได้
ทั้งนี้ประเด็นหลักของการสืบพยานเมื่อวานนี้คือฝ่ายจำเลยชี้แจงต่อศาลถึงเหตุผลของการผลิตเพกาซัส ที่เริ่มทำมาตั้งแต่ปี 2553 แล้วและได้ขายให้กับลูกค้าตั้งแต่ระดับหน่วยงานความมั่นคงและผู้บังคับใช้กฎหมายและระดับรัฐบาลแต่และประเทศแต่ไม่ได้ขายให้กับหน่วยงานเอกชน โดยชมูเอลยืนยันว่าบริษัทมีกระบวนการตรวจสอบประวัติในด้านต่างๆ ของรัฐบาลหรือหน่วยงานรัฐที่เป็นลูกค้าก่อนขายให้ เช่น ด้านสิทธิมนุษยชน ระดับการทุจริตคอรัปชั่น เสรีภาพการแสดงออกของสื่อ เป็นต้น
นอกจากนั้นการขายของบริษัทยังอยู่ภายใต้การดูแลของหน่วยงานชื่อ DECA ภายใต้กระทรวงกลาโหมของอิสราเอลอีกด้วย แต่ทางรัฐบาลก็ไม่ได้มีหุ้นส่วนหรือเข้ามาเกี่ยวข้องกับการบริหารของบริษัทโดยตรงแต่อย่างใด
ชมูเอลยังกล่าวถึงกระบวนการตรวจสอบหลังการขายโปรแกรมไปแล้วว่าลูกค้าได้นำโปรแกรมของบริษัทไปใช้ผิดวัตถุประสงค์หรือไม่ทั้งจากการรับเรื่องร้องเรียน ปรากฏตามสื่อ หรือมีผู้แจ้งเบาะแส(Whistleblower) และทางบริษัทสามารถขอบันทึกการใช้งาน (Activity’s logs) จากลูกค้าได้ อย่างไรก็ตามชมูเอลก็ยืนยันว่าทางบริษัทไม่สามารถเข้าถึงบันทึกดังกล่าวเองได้ถ้าลูกค้าไม่อนุญาตให้ NSO เข้าถึง
อีกทั้งชมูเอลก็กล่าวด้วยว่าทางบริษัทมีบริการให้แก่ลูกค้าน้อยกว่าบริษัททั่วไปด้วยเพราะทางบริษัทจะทำการดำเนินการติดตั้งเซิร์ฟเวอร์ให้กับลูกค้าและภายหลังการขายก็มีเพียงแค่การอัพเดตโปรแกรมการซ่อมบำรุงที่พนักงานของบริษัทจะเข้าไปแก้ไขได้เฉพาะพื้นที่และเวลาที่จำกัดทำให้ไม่สามารถดูข้อมูลที่ลูกค้ามีอยู่ได้ อีกทั้งเพกาซัสยังเป็นโปรแกรมที่ขายออกไปให้กับลูกค้าเลยโดยทางบริษัทไม่ได้ให้บริการในลักษณะคลาวด์ที่มีการรับส่งข้อมูลกันระหว่างผู้ให้บริการกับลูกค้า (เขายกตัวอย่างบริการแบบ Netflix) และโปรแกรมนี้ไม่ใช่บริการในแบบที่เรียกว่า Software as a service แต่เขาก็บอกด้วยว่าทางบริษัทมี Kill switch ที่ไว้ใช้บังคับปิดโปรแกรมที่อยู่กับลูกค้าได้ในกรณีที่พบว่าลูกค้านำโปรแกรมไปใช้ผิดวัตถุประสงค์
ทั้งนี้ทนายความของฝ่ายผู้เสียหายก็ได้ถามทางชมูเอลเกี่ยวกับกระบวนการตรวจสอบของทางบริษัทต่อกรณีลูกค้านำสินค้าไปใช้ผิดวัตถุประสงค์ ทั้งการตรวจสอบจากการสอบถามจากลูกค้าและกระบวนการทางเทคนิค อย่างไรก็ตามเมื่อทนายความถามในประเด็นที่เกี่ยวกับการตรวจสอบว่ามีการใช้เพกาซัสกับโจทก์หรือไม่ ชมูเอลกล่าวว่าตนขอไม่ตอบคำถามใดก็ตามที่เชื่อมโยงถึงลูกค้า
อย่างไรก็ตาม การถามของทนายความบางคำถามในเชิงหลักการทั่วไปของบริษัทชมูเอลยังให้คำตอบอยู่ เช่นว่ามีกระบวนการตรวจสอบอย่างไรหากเกิดกรณีเพกาซัสเข้าไปเกี่ยวข้องว่าก็จะมีการสอบสวนอย่างเต็มที่ทั้งจากการสอบถามและหากลูกค้าปฏิเสธก็จะขอดูบันทึกประวัติการใช้โปรแกรม และหากประเทศลูกค้าเกิดการรัฐประหารแล้วทางบริษัทเห็นว่าเสี่ยงที่จะเกิดการละเมิดสิทธิมนุษยชนทางบริษัทก็จะใช้ Kill Switch เพื่อสั่งให้โปรแกรมที่อยู่กับลูกค้าหยุดทำงานและยกเลิกสัญญา
เมื่อทนายความถามชมูเอลว่าหากรัฐบาลหรือหน่วยงานที่เป็นลูกค้าต้องการเปลี่ยนแปลงเป้าหมายหรือเพิ่มเป้าหมายที่จะให้เก็บข้อมูลไม่สามารถทำได้เองแต่จะต้องให้บริษัททำให้ใช่หรือไม่ เขากล่าวว่าใช่ ตามสัญญาลูกค้าเปลี่ยนเองไม่ได้
จากนั้นเมื่อทนายความถามว่าถ้าเช่นนั้นทางบริษัทก็ย่อมรู้ความเสี่ยงว่าเป้าหมายของลูกค้าอาจไม่ใช่กลุ่มอาชญากรรมและเป็นการละเมิดสิทธิมนุษยชนด้วยใช่หรือไม่?
ชมูเอลตอบว่าไม่ใช่ ถ้าลูกค้าต้องการจะขอให้ทางบริษัทเพิ่มจำนวนเป้าหมายจาก 10 เป็น 12 ทางบริษัทก็จะทำการตรวจสอบ (due diligence) แต่ไม่รู้ว่าใครคือกลุ่มเป้าหมาย
ทั้งนี้ทนายความยังถามถึงเอกสารที่มีการเปิดเผยในรัฐสภาของไทยว่าเป็นเอกสารการจัดซื้อโปรแกรมสอดแนมชื่อมิโนทอร์ (Minotaur) จากบริษัท Q Cyber ซึ่งเป็นบริษัทที่เป็นผู้ถือหุ้นและดูแลการตลาดให้ NSO group ซึ่งเป็นบริษัทด้านการพัฒนาโปรแกรม แต่ชมูเอลตอบว่าไม่ทราบและไม่รับรองเอกสารดังกล่าว
นอกจากนั้นชมูเอลยังได้กล่าวถึงเรื่องที่บริษัทชมูเอลยังตอบคำถามทนายความเรื่องความรับผิดทางกฎหมายกรณีลูกค้าใช้ผิดวัตถุประสงค์ด้วยว่า ทางบริษัทไม่รับผิดชอบทางกฎหมายในกรณีแบบนี้หากอยู่เหนือการควบคุมของบริษัท แต่บริษัทก็มีพันธะที่จะต้องตามหลักสิทธิมนุษยชนที่จะต้องปฏิบัติตามเช่นหลักการชี้แนะแห่งสหประชาชาติว่าด้วยธุรกิจกับสิทธิมนุษยชน (United Nations Guiding Principles on Business and Human Rights - UNGPs) และยึดถือหลักสิทธิมนุษยชนสูงสุดและปฏิบัติตามกฎหมายเช่นกฎหมายฟอกเงิน หรือกฎหมายต่อต้านการทุจริต
ทั้งนี้ทนายความของจตุภัทร์ไม่สามารถถามคำถามกับชมูเอลจนจบได้เนื่องจากการสืบพยานของวันที่ 10 ก.ย.นั้นเป็นวันสุดท้ายของนัดสืบพยานที่ศาลกำหนดไว้เบื้องต้น หากทนายความต้องการจะถามต่อจะต้องเพิ่มวันนัดสืบพยาน แต่เนื่องจากทางชมูเอลซึ่งเป็นฝ่ายจำเลยอ้างว่าตนซื้อตั๋วเครื่องบินขากลับไว้ในวันรุ่งขึ้น หากจะนัดสืบอีกก็ไม่แน่ว่าจะสามารถมาไทยได้เนื่องจากสภาวะสู้รบที่เกิดขึ้นในอิสราเอล อีกทั้งผู้พิพากษาในคดีนี้ไม่เหลือวันที่จะสามารถดำเนินการสืบพยานต่อได้ในปีนี้แล้วปากต้องเลื่อนออกไปอาจต้องรอถึงช่วงต้นปีหน้า
ด้วยเหตุนี้ทำให้ทางฝ่ายโจทก์ตัดสินใจไม่ขอถามพยานต่อและแถลงหมดคำถามที่จะสืบพยานฝ่ายโจทก์ทำให้ทนายความฝ่ายจำเลยแถลงหมดคำถามด้วยเช่นกัน ศาลจึงได้นัดฟังคำพิพากษาคดีนี้ในวันที่ 21 พ.ย.2567
ฝ่ายกฎหมาย NSO ให้การย้อนแย้งกัน
ทั้งนี้จากการติดตามฟังคำชี้แจงชมูเอลนอกจากเรื่องที่เขาไม่ยอมตอบเมื่อถูกถามเกี่ยวกับกรณีเหตุการณ์ในไทย แต่ก็มีบางจุดที่น่าตั้งข้อสังเกตในกระบวนการตรวจสอบว่ามีความจริงจังในการตรวจสอบกรณีที่ลูกค้านำสินค้าไปใช้ผิดวัตถุประสงค์
ประเด็นแรกคือ ตามที่ชมูเอลบอกว่า Activity Log หรือบันทึกประวัติการใช้งานจะถูกเก็บอยู่ในเครื่องของลูกค้า และทางบริษัทไม่สามารถเข้าถึงได้หากลูกค้าไม่ยินยอม เรื่องนี้จึงยังเป็นคำถามที่ยังไม่มีคำตอบในการชี้แจงต่อศาลของเขาว่าหากเกิดกรณีลูกค้านำสินค้าของบริษัทไปใช้ผิดวัตถุประสงค์แล้วหากทาง NSO สอบถามไปทางลูกค้าแล้วลูกค้าไม่ยอมรับและไม่ยินยอมให้เข้าถึงบันทึกการใช้งานแล้วทางบริษัทจะตรวจสอบได้อย่างไร
ประเด็นที่สอง ชมูเอลกล่าวว่าเพกาซัสเป็นโปรแกรมที่เขาอธิบายลักษณะเหมือนกับสินค้าขายขาดให้กับลูกค้าและไม่ใช่โปรแกรมที่บริษัทให้บริการผ่านตัวโปรแกรมตามคำที่เขาใช้คือ Software as a service แต่เขาก็ยอมรับไปด้วยว่าบริษัทสามารถปิดการใช้งานเพกาซัสได้ด้วยชุดคำสั่งที่เรียกว่า Kill switch นอกจากนั้นการเพิ่มเป้าหมายหรือเปลี่ยนลักษณะของเป้าหมายภายในโปรแกรมลูกค้าก็ไม่สามารถทำได้เองต้องเป็นบริษัททำ ซึ่งประเด็นนี้ก็เป็นประเด็นที่ไม่มีคำตอบที่ชัดเจนด้วยเช่นกันว่าสรุปแล้ว NSO สามารถเข้าถึงโปรแกรมของตัวเองในเครื่องลูกค้าได้มากน้อยแค่ไหนกันแน่
คดีในไทยถือว่ามาได้ไกลที่สุด
ทั้งนี้ iLaw รายงานไว้ก่อนหน้านี้ว่าที่ผ่านมานอกจากรณีของไทยแล้วยังมีผู้เสียหายในหลายประเทศที่ดำเนินการทางศาลในหลายประเทศรวมแล้วมีถึง 33 คดีใน 12 ประเทศ ทั้งศาลของแต่ละประเทศไปจนถึงศาลระหว่างประเทศอย่างศาลสิทธิมนุษยชนยุโรป อีกทั้งยังถูกตรวจสอบโดยคณะกรรมาธิการของรัฐสภายุโรปด้วย
คดีเด่นๆ เช่น บริษัทเทคโนโลยีระดับโลกทั้งแอปเปิล เมต้า แอมะซอน ฟ้องทั้งบริษัทซึ่งดำเนินงานภายใต้การอนุมัติของรัฐบาลอิสราเอลต่อศาลในสหรัฐฯ อย่างไรก็ตามคดีก็ล่าช้าเนื่องจากมีการต่อสู้กันเรื่องเขตอำนาจศาลเพราะบริษัทได้รับการคุ้มกันทางการทูต
ยังมีอีกคดีหนึ่งที่เป็นที่จับตาเนื่องจากเพกาซัสอาจเกี่ยวข้องกับการเสียชีวิตของนักข่าวชาวซาอุดิอาระเบีย จามาล คาช็อกกี ที่ถูกฆาตกรรมอย่างเหี้ยมโหดภายในสถานกงสุลซาอุดีอาระเบียในประเทศตุรกี
อย่างไรก็ตาม การดำเนินคดีกับบริษัทข้ามชาติถือเป็นเรื่องซับซ้อนและสำหรับกรณีของไทยก็ประสบปัญหาเช่นเดียวกัน
ก่อนหน้านี้ผู้เสียหายทั้งจากกลุ่มที่ได้รับข้อความแจ้งเตือนจากบริษัทแอปเปิลว่าไอโฟนของพวกเขาถูกสอดแนมโดยรัฐบาลของตนและถูกตรวจพบจากการใช้เครื่องมือขององค์กร Citizen Lab 8 คนรวมตัวกันยื่นฟ้อง NSO group ต่อศาลแพ่งเพื่อเรียกค่าเสียหาย แต่คดีนี้ศาลไม่รับฟ้องเนื่องจากเห็นว่าแต่ละคนถูกละเมิดต่างคนต่างวาระกันให้แยกฟ้อง
ต่อมาอานนท์ นำภา ทนายความสิทธิมนุษยชนร่วมกับยิ่งชีพ อัชฌานนท์ ผู้จัดการของ iLaw ร่วมกันยื่นฟ้องต่อศาลปกครองต่อหน่วยงานรัฐของไทย 9 แห่ง แต่ศาลปกครองก็ไม่รับฟ้องเนื่องเนื่องจากศาลไม่มีอำนาจรับ แต่คดีนี้ทางผู้ฟ้องยังอุทธรณ์คำสั่งไม่รับฟ้องของศาลอยู่
ทนายยังมีข้อกังขาเพราะสืบให้จบไม่ได้
ฉัตรมณี ไตรสนธิ ทนายความในคดีเล่าว่าช่วงการสืบพยานช่วง 3-6 ก.ย.ที่ผ่านมาเป็นการสืบพยานฝ่ายโจทก์ 6 คนที่มีทั้งตัวโจทก์เองและผู้เสียหายรวมถึงนักวิชาการ เจ้าหน้าที่จาก Digital Reach ที่ทำงานร่วมสทบสวนกับ Citizen Lab และผู้เชี่ยวชาญด้านคอมพิวเตอร์ และฝ่ายจำเลย 1 คนเป็นพยานผู้เชี่ยวชาญจากทางบริษัท NSO
ฉัตรมณีกล่าวว่าประเด็นหลักของฝ่ายโจทก์คือการพิสูจน์ว่าผู้เสียหายและโจทก์ถูกสปายแวร์เพกาซัสติดตามจริงซึ่งมีทั้งขั้นตอนตรวจพิสูจน์โดยผู้เชี่ยวชาญจาก Digital Reach อีกทั้ง Citizen Lab เองก็เป็นโครงการวิจัยภายใต้มหาวิทยาลัยโตรอนโตเกี่ยวกับประเด็นด้านเทคโนโลยีความมั่นคงอยู่แล้ว รวมถึงยังสืบพยานในประเด็นทางกฎหมายระหว่างประเทศและสิทธิมนุษยชน ไปจนถึงการพิสูจน์ว่าในการทำสัญญาซื้อขายกับรัฐบาลไทยนอกจากการซื้อขายตัวโปรแกรมแล้วทางบริษัทยังต้องมีการบริการบำรุงรักษาโปรแกรมด้วย
ทั้งนี้เมื่อถามทนายความมองการแถลงของชมูเอลที่จะไม่ยอมให้การหากมีคำถามที่อาจไปเกี่ยวข้องกับลูกค้า
ฉัตรมณีมองว่าเรื่องนี้ก็มีสองเรื่องคือเธอก็เข้าใจได้ในแง่ธุรกิจ ในขณะเดียวกันตัวเขาเองก็กำลังปฏิบัติตามหลักสิทธิมนุษยชนและไม่อยากให้โปรแกรมของตัวเองถูกเอาไปใช้ผิดประเภท เธอมองว่าบริษัทเองก็ควรจะต้องเข้ามารับผิดชอบมากกว่านี้อย่างน้อยที่ก็คือการตรวจสอบว่าโปรแกรมของตัวเองถูกใช้จริงหรือไม่แทนการมาปฏิเสธที่จะไม่ตอบแบบนี้
นอกจากนั้นฉัตรมณีทางบริษัทไม่แม้กระทั่งจะนำตัวอย่างของสัญญามาแสดงต่อศาลเรื่องข้อกำหนดต่างๆ อีกทั้งเขาก็บอกว่าจตุภัทร์อาจไม่ได้ถูกติดตามด้วยเพกาซัสแต่อาจจะเป็นตัวอื่นก็ได้แต่ทางบริษัทเองก็ไม่ได้แสดงให้เห็นว่าได้ตรวจสอบว่าจตุภัทร์ไม่ได้ถูกติดตามจากเพกาซัสจริงหรือไม่
อภิรักษ์ นันทเสรี ทนายความในคดีให้ความเห็นว่าถ้าบริษัทมีเจตนาสุจริตจริงก็ยังเอาสัญญาเปล่ามาเปิดเผยได้ว่ามีเงื่อนไขอะไรบ้างที่ห้ามลูกค้าทำ มีมาตรการป้องกันการละเมิดสิทธิมนุษยชนอย่างไร แล้วที่พยานบอกว่าจะมีการตรวจสอบถ้ามีข่าวว่าเพกาซัสถูกนำไปใช้ละเมิดสิทธิก็จะตรวจสอบแม้ว่าอาจจะสปายแวร์ตัวอื่นแต่เขาก็ถูกกล่าวหาแล้วก็น่าจะต้องทำการตรวจสอบ
ประเด็นที่ทางบริษัทไม่ตรวจสอบนี้ ฉัตรมณีก็เห็นว่าเหมือนเป็นการผลักภาระให้กับคนที่ตกเป็นเป้าหมายของการสอดแนมทั้งที่บริษัทผู้ผลิตสามารถเข้าถึงข้อมูลได้มากกว่าอยู่แล้ว จึงไม่ค่อยเป็นธรรมที่บริษัทจะผลักการตรวจสอบมาให้กับคนธรรมดาที่เข้าถึงข้อมูลอะไรไม่ได้
ฉัตรมณีสะท้อนถึงปัญหาที่ฝ่ายโจทก์ไม่สามารถสืบพยานปากนี้จนจบได้ อีกทั้งทางฝ่ายโจทก์ก็บอกว่าถ้าเลื่อนสืบออกไปก็อาจจะมาไม่ได้แล้ว ทำให้การสืบพยานถูกบีบด้วยเวลาให้ต้องจบคำถาม
อภิรักษ์เสริมว่ากระบวนการในคดีแพ่งแตกต่างกับคดีอาญา ที่แค่ทางฝ่ายโจทก์กับฝ่ายจำเลยแต่งตั้งทนายความเข้ามาดำเนินการแทนโดยที่ไม่ต้องมาศาลและไม่สามารถบังคับให้เจ้าตัวต้องมาที่ศาลได้และพอจำเลยอยู่ต่างประเทศก็กลายเป็นช่องว่างที่ฝ่ายโจทก์มีภาระต้องส่งหมายเรียกไปอิสราเอลแล้วไม่สามารถบังคับให้จำเลยมาศาลได้ แต่ในคดีอาญาถ้าเป็นพยานแล้วศาลออกหมายก็ต้องมาไม่เช่นนั้นจะมีโทษ
ร่วมบริจาคเงิน สนับสนุน ประชาไท โอนเงิน กรุงไทย 091-0-10432-8 "มูลนิธิสื่อเพื่อการศึกษาของชุมชน FCEM" หรือ โอนผ่าน PayPal / บัตรเครดิต (รายงานยอดบริจาคสนับสนุน)