เปิดหลักฐานสำคัญของฝ่ายโจทก์ที่ชี้ว่า NSO ต้องรับผิดฐานใช้สปายแวร์เพกาซัสเจาะมือถือ
13 กรกฎาคม 2566 ไผ่-จตุภัทร์ บุญภัทรรักษาเป็นโจทก์ยื่นฟ้องจำเลย บริษัท เอ็นเอสโอ กรุ๊ป (NSO) สัญชาติอิสราเอลที่เป็นผู้ผลิต ผู้จำหน่ายและพัฒนาสปายแวร์เพกาซัส ฐานละเมิดสิทธิส่วนบุคคลจากการใช้เทคโนโลยีขโมยข้อมูลในโทรศัพท์มือถือ โดยเรียกค่าเสียหาย 2,500,000 บาทและขอให้ศาลสั่งให้ NSO หยุดใช้สปายแวร์เพกาซัสละเมิดความเป็นส่วนตัวของพลเมืองไทย ซึ่งศาลแพ่งนัดสืบพยานในวันที่ 3-6 และ 10 กันยายน 2567
คดีนี้มีความท้าทายในการพิสูจน์ข้อเท็จจริงในประเด็นนิติวิทยาศาสตร์ทางคอมพิวเตอร์ ซึ่งต้องอาศัยความรู้ความเชี่ยวชาญเป็นพิเศษที่จะตรวจพบร่องรอยของการใช้งานสปายแวร์ที่เป็นเทคโนโลยีล้ำสมัยสำหรับการทำสงครามไซเบอร์ รวมทั้งการพิสูจน์ถึงความรับผิดของจำเลยที่เป็นบริษัทด้านเทคโนโลยีชั้นนำระดับโลกว่า จำเลยนั้นมีส่วนรู้เห็นถึงการใช้งานสปายแวร์และมีภาระความรับผิดจากการที่ลูกค้าของจำเลยใช้งานผลิตภัณฑ์ในทางที่ผิดด้วยอย่างไรบ้าง
โจทก์ซึ่งเป็นนักกิจกรรมทางการเมืองในประเทศไทย ไม่มีต้นทุนทางการเงิน และไม่มีความรู้ทางคอมพิวเตอร์ ได้รับการสนับสนุนข้อมูลจากไอลอว์ และได้รับความช่วยเหลือทางเทคโนโลยีจากดิจิทัล รีช (Digital Reach) และ ซิติเซ่นแล็บ (Citizen Lab) เพื่อตรวจสอบการใช้งานสปายแวร์เพกาซัสและรวบรวมข้อมูลในการต่อสู้คดีนี้ ตัวโจทก์ยังมีส่วนร่วมในการยื่นเรื่องร้องเรียนไปยังกลไกด้านสิทธิมนุษยชนที่มีอยู่ทำให้เข้าถึงหลักฐานข้อเท็จจริงและข้อมูลสนับสนุนที่มากขึ้น
ในการดำเนินคดีแพ่งฝ่ายโจทก์มีภาระการพิสูจน์ถึงการเจาะระบบโดยสปายแวร์เพกาซัส และพิสูจน์ถึงความรับผิดของจำเลย ซึ่งฝ่ายโจทก์นำเสนอเอกสารหลักฐานที่สำคัญ ดังนี้
1. รู้ได้อย่างไรว่า มีเพกาซัสในประเทศไทย
ซิติเซ่นแล็บ เป็นองค์กรที่ทำงานตรวจสอบการใช้เทคโนโลยีที่ละเมิดสิทธิมนุษยชนทั่วโลก ไม่ได้เจาะจงเฉพาะกรณีของประเทศไทย ซิติเซ่นแล็บตรวจพบร่องรอยของการใช้งานสปายแวร์ในประเทศไทยมาก่อนเกิดเหตุคดีนี้แล้ว โดยสุธาวัลย์ ชั้นประเสริฐ ผู้อำนวยการองค์กร Digital Reach เป็นพยานโจทก์เบิกความว่า ในระหว่างปี พ.ศ. 2560 ถึงปี 2561 นักวิจัยจากซิติเซ่นแล็บได้พัฒนาระบบการตรวจสอบและค้นหาเซิร์ฟเวอร์ของสปายแวร์เพกาซัสเรียกว่า ดีเอ็นเอสแคชโพรบบิ้ง (DNS Cache Probing) โดยตรวจสอบผ่านระบบของดีเอ็นเอสว่า อุปกรณ์ที่อยู่บนเครือข่ายของผู้ให้บริการอินเทอร์เน็ตเชื่อมต่อกับเซิร์ฟเวอร์ของสปายแวร์เพกาซัสหรือไม่ ซึ่งทำให้สามารถระบุเครือข่ายการถูกโจมตีโดยสปายแวร์เพกาซัสว่า มีอยู่ใน 45 ประเทศ โดยค้นพบว่า ในประเทศไทยมีผู้ใช้งานเพกาซัสภายใต้ชื่อผู้ใช้บริการ “ช้าง (CHANG)” ผ่านผู้ให้บริการ บริษัท กสท โทรคมนาคม จำกัด (มหาชน) และ บริษัท ทรู อินเทอร์เน็ต คอร์ปอเรชั่น จำกัด
ซึ่งซิติเซ่นแล็บจัดทำเป็นรายงานชื่อ HIDE AND SEEK : Tracking NSO Group’s Pegasus Spyware to Operations in 45 Countries เผยแพร่เมื่อ 18 กันยายน 2561 เป็นหลักฐานข้อค้นพบชิ้นแรกเกี่ยวกับการใช้สปายแวร์เพกาซัสในประเทศไทย เอกสารชิ้นนี้ถูกนำเสนอต่อศาลแพ่งเป็นเอกสารหมาย จ.41
ต่อมาหลังการเผยแพร่รายงาน "ปรสิตติดโทรศัพท์" ในเดือนกรกฎาคม 2565 ที่ค้นพบว่า มีคนไทยอย่างน้อย 35 คนที่เป็นนักการเมืองฝ่ายค้าน นักกิจกรรม นักวิชาการ และนักสิทธิมนุษยชน ถูกเจาะระบบโทรศัพท์มือถือโดยสปายแวร์เพกาซัส ทางสภาผู้แทนราษฎรที่กำลังพิจารณาร่างงบประมาณรายจ่ายประจำปี 2566 ได้ขอให้สำนักงานตำรวจแห่งชาติอธิบายรายละเอียดการขออนุมัติงบประมาณในโครงการที่ชื่อว่า “โครงการจัดหาระบบรวบรวมและประมวลผลข่าวกรองชั้นสูง” ของกองบัญชาการตำรวจปราบปรามยาเสพติด หรือ บช.ปส. มูลค่า 350 ล้านบาท ซึ่งสำนักงานตำรวจแห่งชาติได้เสนอเอกสารเป็นใบกระตุกครุภัณฑ์ ที่มีรายละเอียดความต้องการเทคโนโลยีการสอดแนมที่มีคุณสมบัติเหมือนกันกับสปายแวร์เพกาซัสมาให้กับทางสภาผู้แทนราษฎร เอกสารนี้ถูกนำเสนอต่อศาลแพ่งเป็นเอกสารหมาย จ.24
แม้ในเอกสารดังกล่าวจะไม่มีการระบุชื่อ "สปายแวร์เพกาซัส" และไม่ได้ระบุว่า ผลิตโดย บริษัท เอ็นเอสโอ กรุ๊ป จำกัด แต่เอกสารดังกล่าวระบุชัดเจนว่า กองบัญชาการตำรวจปราบปรามยาเสพติดมีการใช้เทคโนโลยีสอดแนมชั้นสูงมาตั้งแต่ปี 2557 เพื่อเพิ่มขีดความสามารถและศักยภาพการปฏิบัติงานของเจ้าหน้าที่ในการสืบสวน สืบค้น และเข้าถึงข้อมูลของโทรศัพท์เคลื่อนที่โดยผ่านหมายเลขโทรศัพท์ โดยในเอกสารหน้า 2-3 มีข้อความระบุว่า ระหว่างปี 2562-2564 เทคโนโลยีสอดแนมชั้นสูงนี้ "ใช้งานอยู่" และในเอกสารทั้งหมดมีใบเสนอราคาขายสินค้าจากบริษัทเอกชนแห่งหนึ่งชื่อว่า บริษัท เอ็นจีเนียริ่ง รีวอร์ด (ประเทศไทย) จำกัด ซึ่งเสนอขายสินค้าชื่อ Q Cyber รุ่น Minotuar ผลิตภัณฑ์จากประเทศอิสราเอล ราคา 350 ล้านบาท
ซึ่งเมื่อสืบค้นข้อมูลเกี่ยวกับบริษัท เอ็นเอสโอ กรุ๊ป จำเลยในคดีนี้ ก็พบว่า ในการจัดทะเบียนนั้นมีบริษัทชื่อ Q Cyber Technologies เป็นผู้ถือหุ้นอีกชั้นหนึ่ง หรือเป็น "บริษัทแม่" ของ NSO นั่นเอง และตัวแทนของ NSO คือ ชมูเอล ซันเรย์ ยังเบิกความต่อศาลแพ่งด้วยว่า บริษัท Q Cyber เป็นผู้รับผิดชอบในการทำการตลาด ซึ่งการจัดจำหน่ายในบางประเทศเป็นการทำสัญญาโดยตรงกับรัฐบาล ในบางประเทศจะตั้งบริษัทเป็นตัวแทนจำหน่าย (Reseller) เพราะมีข้อกำหนดเรื่องภาษีมูลค่าเพิ่ม
นอกจากนี้ยังได้ข้อเท็จจริงจากคำเบิกความของผศ.ดร.ปริยกร ปุสวิโร พยานผู้เชี่ยวชาญด้านคอมพิวเตอร์จากฝ่ายโจทก์ ว่า ตามปกติในการจัดซื้อจัดจ้างของหน่วยงานราชการ เอกสารที่ระบุลักษณะของผลิตภัณฑ์ที่ต้องการจะจัดซื้อจะไม่สามารถระบุชื่อผลิตภัณฑ์หรือชื่อผู้ขายได้ ระบุได้เพียงคุณสมบัติของผลิตภัณฑ์ที่ต้องการเท่านั้น จึงทำให้ไม่มีชื่อของสปายแวร์เพกาซัสโดยตรงในเอกสารขออนุมัติงบประมาณ
ด้วยข้อมูลทั้งหมดเหล่านี้ประกอบกันจึงเชื่อได้ว่า ใบกระตุกครุภัณฑ์ที่สำนักงานตำรวจแห่งชาติจัดทำขึ้นและส่งให้แก่สภาผู้แทนราษฎรตรวจสอบนั้น เป็นเอกสารที่บช.ปส.เสนอขออนุมัติงบประมาณเพื่อจัดซื้อสปายแวร์เพกาซัสไว้ใช้งานเกี่ยวกับการสืบสวนคดียาเสพติด ซึ่งจะจัดซื้อจากตัวแทนจำหน่าย ของบริษัท Q Cyber ที่เป็นตัวแทนของ NSO นั่นเอง และปฏิเสธไม่ได้ว่า นี่คือหลักฐานที่ละเอียดที่สุดของการมีอยู่และวิธีการทำงานของสปายแวร์เพกาซัสในประเทศไทยที่ใช้โดยหน่วยงานของรัฐไทย
นอกจากนี้แล้วในปี 2567 ไอลอว์ยังยื่นคำร้องขอให้คณะกรรมาธิการความมั่นคงแห่งรัฐ กิจการชายแดนไทย ยุทธศาสตร์ชาติและการปฏิรูปประเทศ (กมธ.ความมั่นคงฯ) สภาผู้แทนราษฎร ตรวจสอบข้อเท็จจริงเกี่ยวกับการใช้สปายแวร์เพกาซัสในประเทศไทย ซึ่งเมื่อวันที่ 1 สิงหาคม 2567 กมธ.ความมั่นคงฯ ได้เรียกหน่วยงานที่เกี่ยวข้องมาชี้แจง พลตำรวจตรี อิทธิพล จันทร์ศรีบุตร ผู้บังคับการข่าวกรองยาเสพติด และพันตำรวจเอกวันชนะ รองผู้บังคับการข่าวกรองยาเสพติด (บช.ปส.) ให้ข้อมูลต่อที่ประชุม สรุปได้ว่ามีการใช้งานสปายแวร์เพกาซัสจริงในปี 2559-2560 ซึ่งฝ่ายโจทก์ได้นำบันทึกการประชุมฉบับนี้เสนอต่อศาลแพ่งเป็นเอกสารหมายจ.43
ข้อเท็จจริงทั้งหมดนี้สอดรับกับข้อเท็จจริงที่ได้จากเจ้าหน้าที่รัฐระดับรัฐมนตรี ในการอภิปรายไม่ไว้วางใจรัฐบาลเมื่อปี 2565 ชัยวุฒิ ธนาคมานุสรณ์ ซึ่งขณะนั้นเป็นรัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (DE) ลุกขึ้นชี้แจงข้อกล่าวหากรณีการใช้สปายแวร์เพกาซัสว่า "เรื่องสปายแวร์ที่เข้าไปดักฟังหรือไปสิงอยู่ในตัวเครื่องมือถือแล้วก็จะรู้เหมือนสามารถดูหน้าจอ การพูดการคุย การส่งข้อความทั้งหมด อันนี้ผมรู้ว่ามีจริง ระบบนี้มีจริง เราเคยศึกษาอยู่ แต่ทางกระทรวงดิจิทัลฯ ไม่ได้เป็นคนทำเรื่องนี้ เพราะเราไม่มีอำนาจนะครับ เท่าที่ผมทราบ มันจะเป็นงานด้านความมั่นคงหรือด้านยาเสพติด ท่านต้องไปจับคนร้ายยาเสพติด ท่านก็ต้องไปดักฟังว่าเขาจะส่งยาที่ไหน ผมเข้าใจว่ามีการใช้ในลักษณะแบบนี้นะครับ แต่มันจำกัด (limit) มาก ต้องเกี่ยวกับคดีพิเศษ คดีสำคัญที่ต้องดักฟังพ่อค้ายาเสพติด ผมเคยได้ยินว่ามี ไม่ใช่หน่วยงานที่ผมดูนะ"
และในวันเดียวกัน พล.อ.ชัญชาญ ช้างมงคล รัฐมนตรีช่วยว่าการกระทรวงกลาโหม ก็ชี้แจงในการอภิปรายไม่ไว้วางใจไว้ว่า "ในส่วนของรัฐบาลเรียนยืนยันว่า ไม่มีนโยบายที่จะใช้สปายแวร์ละเมิดสิทธิส่วนบุคคลของผู้ใด การดำเนินการก็ยืนยันว่า ไม่มีนโยบาย ไม่เคยกำหนดที่จะใช้สปายแวร์หรือปฏิบัติการข่าวสารไปดำเนินการที่จะไปกระทบต่อสิทธิของบุคคลหรือประชาชนทั่วไป" ซี่งไม่มีคำปฏิเสธว่า สิ่งนี้ไม่มีอยู่ในมือของรัฐบาลหรือหน่วยงานของรัฐไทย
2. รู้ได้อย่างไรว่า โทรศัพท์ของโจทก์ถูกเจาะระบบโดยเพกาซัส
เมื่อเช้ามืดของวันที่ 24 พฤศจิกายน 2564 คนไทยหลายคนที่ใช้โทรศัพท์มือถือยี่ห้อไอโฟนได้รับอีเมลแจ้งเตือนจากบริษัท แอปเปิล ผู้ผลิตและจำหน่ายไอโฟนว่า ไอโฟนของเขาอาจตกเป็นเป้าของผู้โจมตีที่สนับสนุนโดยรัฐ (State-sponsored attackers may be targeting your iPhone) แต่ช่วงเวลานั้นจตุภัทร์ โจทก์ในคดีนี้ถูกคุมขังอยู่ในเรือนจำพิเศษกรุงเทพเพราะไม่ได้รับอนุญาตให้ประกันตัว จึงไม่สามารถเข้าถึงโทรศัพท์มือถือได้ และไม่ได้เห็นการแจ้งเตือนดังกล่าวด้วยตัวเอง
จนกระทั่งจตุภัทร์ ได้รับการปล่อยตัวในเดือนกุมภาพันธ์ 2565 และกลับไปใช้โทรศัพท์ไอโฟนเครื่องเดิมซึ่งเขาไม่ได้เข้าไปดูข้อความย้อนหลังไปถึงสามเดือน ต่อมาจตุภัทร์ได้รับการติดต่อประสานงานจากไอลอว์เพื่อสอบถามว่า ได้รับอีเมลแจ้งเตือนดังกล่าวหรือไม่ และขอความยินยอมที่จะตรวจสอบโทรศัพท์ไอโฟนของจตุภัทร์ ซึ่งจตุภัทร์หาอีเมล์แจ้งเตือนดังกล่าวไม่เจอแล้ว แต่เมื่อทางไอลอว์แนะนำให้ล็อกอินเข้าไปตรวจสอบในระบบของ Apple IDซึ่งเป็นวิธีการตรวจสอบเบื้องต้น ก็พบข้อความเตือนลักษณะเดียวกันอยู่ในระบบ Apple ID ของเขา จึงเชื่อว่าจตุภัทร์น่าจะได้รับอีเมลแจ้งเตือนดังกล่าวเช่นกัน และข้อความแจ้งเตือนของจตุภัทร์ก็ได้นำเสนอต่อศาลแพ่งเป็นเอกสารหมาย จ.4
ตามคำเบิกความของยิ่งชีพ อัชฌานนท์ ผู้อำนวยการไอลอว์ และวรัญญุตา ยันอินทร์ นักเทคนิคคอมพิวเตอร์จากไอลอว์ ซึ่งเป็นพยานโจทก์ได้อธิบายว่า หลังได้รับความยินยอมก็จัดทำสำเนาข้อมูลจากโทรศัพท์ไอโฟนของจตุภัทร์เพื่อส่งไปให้ซิติเซ่นแล็บทำการตรวจสอบเพื่อยืนยันผลการตรวจว่า โทรศัพท์เครื่องนี้เคยถูกเจาะระบบโดยสปายแวร์เพกาซัสหรือไม่
หลังจากนั้นเมื่อวันที่ 17 กรกฎาคม 2567 ซิติเซ่นแล็บออกรายงานข้อค้นพบสปายแวร์เพกาซัสในประเทศไทย ชื่อ
GeckoSpy Pegasus Spyware Used against Thailand’s Pro-Democracy Movement ซึ่งมีข้อมูลระบุว่า โทรศัพท์ไอโฟนของจตุภัทร์ถูกเจาะระบบโดยสปายแวร์เพกาซัสอย่างน้อยสามครั้งในปี 2564 ซึ่งรายงานดังกล่าวโจทก์นำเสนอต่อศาลแพ่งเป็นเอกสารหมาย จ.42 และในรายงานดังกล่าวยังระบุไว้ด้วยว่า หลังซิติเซ่นแล็บทราบผลการตรวจสอบแล้วยังได้ส่งข้อมูลจากโทรศัพท์ไอโฟนของจตุภัทร์ให้องค์กรอีกแห่งหนึ่ง คือ แอมเนสตี้เทค (Amnesty Tech) ตรวจสอบยืนยันอีกครั้งหนึ่ง (Peer Review) และได้ผลการตรวจสอบเป็นอย่างเดียวกัน
ในเดือนพฤศจิกายน 2565 ทางซิติเซ่นแล็บ ภายใต้มหาวิทยาลัยโตรอนโต ประเทศแคนาดา ได้ออกเอกสารรับรองผลการตรวจสอบอย่างเป็นทางการว่า จตุภัทร์ถูกสปายแวร์เพกาซัสโจมตีอย่างน้อยสามครั้ง ซึ่งเอกสารฉบับนี้เป็นเครื่องยืนยันที่ชัดเจนที่สุดว่าโทรศัพท์มือถือของโจทก์ถูกเจาะระบบโดยสปายแวร์ของจำเลยจริง เป็นหลักฐานชิ้นสำคัญในคดีที่โจทก์นำเสนอต่อศาลแพ่งเป็นเอกสารหมาย จ.5
แม้ว่า ผลการตรวจสอบโทรศัพท์มือถือของซิติเซ่นแล็บ และแอมเนสตี้ เทคนั้น ถูกพยานจากฝ่ายจำเลยกล่าวหาว่า ไม่น่าเชื่อถือ อย่างไรก็ดี การตรวจสอบหาร่องรอยการโจมตีของสปายแวร์นั้นเป็นเรื่องที่ไม่ง่าย คนที่มีความรู้ทางคอมพิวเตอร์ธรรมดาๆ ไม่สามารถทำได้ และบนโลกใบนี้เหยื่อที่เคยถูกเจาะระบบโดยสปายแวร์เพกาซัสทุกคนก็พึ่งพาเทคโนโลยีในการตรวจสอบของซิติเซ่นแล็บ และแอมเนสตี้ เทค เช่นเดียวกัน โดยเมื่อปี 2565 สำนักงานข้าหลวงใหญ่ด้านสิทธิมนุษยชนแห่งสหประชาชาติเคยออกรายงานชื่อ "สิทธิความเป็นส่วนตัวบนโลกยุคดิจิทัล"โดยอ้างอิงข้อมูลจากการตรวจสอบของทั้งสององค์กรนี้เช่นกัน ซึ่งแสดงให้เห็นชัดเจนแล้วถึงการยอมรับของสังคมโลกต่อมาตรฐานและความน่าเชื่อถือของการตรวจสอบด้านเทคโนโลยีโดยองค์กรที่รับรองผลการตรวจสอบในคดีนี้ และโจทก์นำเอกสารนี้เสนอต่อศาลแพ่งเป็นเอกสารหมาย จ.45นอกจากกระบวนการของสหประชาชาติจะเชื่อถือหลักฐานของโจทก์ในคดีนี้แล้ว หน่วยงานของรัฐในประเทศไทยก็ยังเชื่อถือด้วยเช่นกัน โดยก่อนที่จะยื่นฟ้องคดีนี้จตุภัทร์เคยยื่นคำร้องขอให้คณะกรรมการสิทธิมนุษยชนแห่งชาติ (กสม.) เข้ามาตรวจสอบกรณีการใช้สปายแวร์เพกาซัสต่อนักกิจกรรมทางการเมืองของไทย โดยยื่นเอกสารหลักฐานทั้งผลการตรวจสอบโทรศัพท์มือถือจากซิติเซ่นแล็บ และรายงานของซิติเซ่นแล็บให้เป็นหลักฐาน หลังการตรวจสอบใช้เวลาไปประมาณหนึ่งปีหกเดือน กสม. ก็สรุปเป็นรายงานและออกมติ
เชื่อว่า มีการใช้สปายแวร์ เพกาซัสละเมิดสิทธิจริง โดยพิจารณาจากความน่าเชื่อถือของการตรวจสอบทางเทคนิคคอมพิวเตอร์ที่ไปในทิศทางเดียวกันกับพยานผู้เชี่ยวชาญของกสม. และบริบทแวดล้อมในต่างประเทศ
ซึ่งรายงานของกสม. ฉบับนี้โจทก์นำเสนอต่อศาลแพ่งเป็นเอกสารหมาย จ.34
3. รู้ได้อย่างไรว่า จำเลยรู้เห็นการใช้งานสปายแวร์เพกาซัสต่อโจทก์
เนื่องจาก NSO ให้การในคดีนี้ว่า จำเลยเพียงแต่ขายสปายแวร์ให้กับลูกค้าเท่านั้น ส่วนลูกค้าเป็นผู้ใช้งานซึ่งจะใช้งานกับใครอย่างไรนั้นไม่ได้อยู่ในความรับรู้ของจำเลยด้วย แต่การกล่าวอ้างของจำเลยเช่นนี้ขัดแย้งต่อเอกสารของจำเลยเองหลายฉบับ รวมทั้งคำพูดที่จำเลยเคยพูดไว้ต่อสาธารณะหลายครั้ง ตัวอย่างเช่น
เอกสารคำประกาศนโยบายด้านสิทธิมนุษยชน (Human Rights Policy) บนเว็บไซต์ของจำเลย ซึ่งมีข้อความตอนหนึ่งเขียนว่า เราตั้งใจออกแบบผลิตภัณฑ์เพื่อสนับสนุนการใช้งานโดยมีธรรมาภิบาลและเพื่อป้องกันการใช้งานที่ผิดวัตถุประสงค์โดยไม่ได้รับอนุญาตหรือโดยอุบัติเหตุ โดยใช้กลไก เช่น การควบคุมการให้อนุญาตใช้ผลิตภัณฑ์ การแบ่งหน้าที่ระหว่างการใช้งาน และการอนุญาตให้บันทึก ตรวจสอบ แจ้งเตือน บันทึก เข้าระบบ และเรียกค้นข้อมูล ซึ่งหมายความว่าจำเลยสามารถเข้าถึงข้อมูลการใช้งานของลูกค้าและทราบได้ว่าสปายแวร์เพกาซัสกำลังถูกใช้งานกับใครอย่างไรบ้าง และโจทก์นำเสนอหลักฐานนี้ต่อศาลแพ่งเป็นเอกสารหมาย จ.28
เอกสารรายงานความโปร่งใส (Transparency Report) บนเว็บไซต์ของจำเลยเอง ซึ่งมีข้อความตอนหนึ่งว่า ในฐานะบริษัท เราจะดำเนินการสืบสวนเมื่อใดก็ตามที่เราพบรายงานที่มีมูลความจริงเกี่ยวกับการสอดแนมทางดิจิทัลและการดักฟังการสื่อสารที่ถูกกล่าวหาว่าไม่ชอบด้วยกฎหมาย รวมถึงรายงานที่สื่อและองค์กรภาคประชาสังคมหยิบยกขึ้นมาเสนอซึ่งอาจเกี่ยวข้องกับการที่ลูกค้าใช้ผลิตภัณฑ์ของเรา
เอกสารรายงานความโปร่งใส (Transparency Report) ยังมีข้อความอีกตอนหนึ่งว่า หากลูกค้าถูกกล่าวหาว่าใช้เทคโนโลยีในทางที่ผิด เราจะทำการสืบสวนทันที เมื่อลูกค้าไม่สามารถที่จะแสดงความเชื่อมั่นให้เราได้มากเพียงพอที่จะยังคงเป็นผู้ใช้งานสินค้าของเรา เราก็จะตัดความสัมพันธ์ ซึ่งแสดงให้เห็นว่า จำเลยมีหน้าที่และมีระบบในการติดตามตรวจสอบและสามารถเข้าถึงการใช้งานของลูกค้าโดยรับทราบข้อร้องเรียนผ่านทางสื่อมวลชนและรายงานของภาคประชาสังคม และจำเลยยังสามารถทราบได้ว่าสปายแวร์เพกาซัสกำลังถูกใช้งานกับใครอย่างไรบ้าง และโจทก์นำเสนอหลักฐานนี้ต่อศาลแพ่งเป็นเอกสารหมาย จ.2
ชาเลฟ ฮูลิโอ (Shalev Hulio) ซีอีโอของ NSO เคยให้สัมภาษณ์กับเว็บไซต์ฟอร์บส์ (Forbes) อธิบายการทำงานของบริษัทไว้ว่า NSO ไม่ได้ตรวจสอบอยู่ตลอดว่าลูกค้าทำอะไรกับเทคโนโลยี แต่ก็ยังสามารถเข้าถึงบันทึกการใช้งานจากลูกค้าเมื่อมีสาเหตุที่จะต้องสืบสวนว่าหมายเลขโทรศัพท์ใดบ้างที่ถูกเลือกเพื่อการสอดแนม เมื่อมีการเปิดเผยข้อมูลว่า เพกาซัสเจาะอุปกรณ์ 37 ชิ้นได้สำเร็จ บริษัทก็เริ่มการสืบสวนและอ้างว่าไม่มีโทรศัพท์เครื่องใดเลยที่ถูกโจมตีด้วยซอฟต์แวร์ของบริษัท เขาสามารถบอกได้ว่า นักการเมืองชาวฝรั่งเศส และภรรยาของคาช็อกกี กรณีที่มีข่าวดังว่าเป็นผู้ถูกโจมตีโดยเพกาซัสนั้นไม่ใช่เป้าหมาย ฝ่ายโจทก์ได้นำคำแปลของรายงานข่าวชิ้นนี้เสนอต่อศาลแพ่งเป็นเอกสารหมาย จ.30 เพื่อชี้ให้เห็นว่า จำเลยสามารถตรวจสอบด้วยเทคโนโลยีของตัวเองได้ว่า ใครถูกโจมตีโดยเพกาซัสจริงหรือไม่ หากไม่จริงก็สามารถออกมาปฏิเสธข้อกล่าวหาต่อสาธารณะได้ แต่กรณีของโจทก์และคนไทยอย่างน้อย 35 คนนั้น จำเลยไม่เคยอธิบายว่าได้ตรวจสอบแล้ว หรือไม่เคยปฏิเสธข้อเท็จจริงใดๆ
จำเลยเคยเข้าร่วมการไต่สวนโดยคณะกรรมาธิการของรัฐสภายุโรป (Committee of inquiry to investigate the use of the Pegasus and equivalent surveillance spyware) โดย คาเฮม เกลเฟนด์ ในฐานะตัวแทนของจำเลย ได้ระบุยืนยันว่า จำเลยสามารถได้รับอนุญาตให้เข้าถึงข้อมูลของลูกค้าที่เป็นรัฐบาลหรือหน่วยงานรัฐได้ ในกรณีมีการกล่าวหาว่ามีการใช้สปายแวร์เพกาซัสโดยผิดวัตถุประสงค์ โดยจำเลยสามารถเห็นหมายเลขโทรศัพท์ของเป้าหมายและวันที่โจมตี และหากลูกค้าไม่ให้ความร่วมมือกับจำเลย จำเลยก็สามารถเลิกสัญญาได้ หรือหากพบว่ามีการใช้ผิดประเภทจริง จำเลยก็สามารถปิดระบบได้เช่นเดียวกัน หากมีรายงานใดๆ ก็ตามที่เกี่ยวข้องกับการเปลี่ยนแปลงหลักนิติธรรมของประเทศ ไม่ว่าจะเป็นการรัฐประหาร หรือการชุมนุมประท้วงขนาดใหญ่ที่กำลังจะเกิดขึ้นในประเทศ จะนำไปสู่การระงับการใช้งานโดยอัตโนมัติ ฝ่ายโจทก์ได้นำวิดีโอบันทึกคำให้การของคาเฮมต่อรัฐสภายุโรปยื่นต่อศาลแพ่งเป็นเอกสารหมาย วจ.1
ในคำเบิกความต่อศาลแพ่งของชมูเอล ซันเรย์ ตัวแทนของบริษัทจำเลย ก็ได้อธิบายไว้โดยละเอียดว่า เพกาซัสมีบันทึกกิจกรรมของผู้ปฏิบัติงานหรือ Activity Log ผู้ตรวจสอบ (auditors) จะต้องได้รับอนุญาตจากลูกค้าให้ตรวจสอบ ซึ่งนโยบายเช่นนี้ของจำเลยมีรากฐานมาจากการเคารพการปฏิบัติงานของลูกค้า สิ่งนี้เป็นส่วนหนึ่งของระบบเพื่อให้มั่นใจว่าลูกค้าจะทำการตามที่ควรจะเป็น Activity Log นั้นฝังไว้ในซอฟต์แวร์ในสถานที่ของลูกค้า แต่ออกแบบซอฟต์แวร์ที่ลูกค้าไม่สามารถเข้าไปยุ่งเกี่ยวกับ Activity Log ได้ กรณีมีการใช้ระบบผิดวัตถุประสงค์ก็จะขอให้ลูกค้าแสดง Activity Log ว่าใช้ถูกวัตถุประสงค์หรือไม่
ชมูเอลยังเบิกความด้วยว่า ตลอด 14 ปีที่ผ่านมามีการสอบสวนประมาณ 100 ครั้ง เท่าที่มีการบันทึกไว้ เคยตรวจสอบว่ามีการใช้เพกาซัสในทางที่ผิดและยกเลิกสัญญาไปแล้วแปดครั้ง ซึ่งสอดคล้องกับคำอธิบายถึงความสามารถของจำเลยในทางเทคโนโลยีที่จะตรวจสอบการใช้งานเทคโนโลยีในทางที่ผิด และหยุดยั้งไม่ให้เกิดการละเมิดสิทธิโดยสปายแวร์เพกาซัสได้
แม้ในเอกสารคำให้การของจำเลยจะยืนยันว่า จำเลยไม่รู้ว่าลูกค้าที่ซื้อสปายแวร์เพกาซัสไปนั้นจะนำไปใช้งานอย่างไร แต่จากหลักฐานที่ปรากฏบนเว็บไซต์ของจำเลยเอง และที่ตัวแทนของบริษัทจำเลยอธิบายไว้เอง ก็เห็นได้ชัดว่า NSO มีข้อมูลการใช้งานของลูกค้าอยู่ในมือตลอดเวลา เพียงแต่จะเข้าไปตรวจสอบเมื่อใดเท่านั้น
คำให้การของจำเลยยังขัดกับข้อมูลที่ได้จากหน่วยงานรัฐของไทยที่ยอมรับโดยตรงว่า เป็นลูกค้าของจำเลยและเคยใช้งานสปายแวร์เพกาซัส คือ บช.ปส. ที่ให้ข้อมูลต่อกมธ.ความมั่นคงฯ ไว้ว่า "ขั้นตอนการใช้งานสปายแวร์เพกาซัสคือต้องขออำนาจศาล และให้บริษัทผู้ผลิตสร้างลิงก์และส่งไปยังหมายเลขเป้าหมายเพื่อให้กดรับ" ซึ่งเป็นบทบาทของจำเลยโดยตรงที่ต้องเป็นผู้ครอบครองและรู้ถึงหมายเลขโทรศัพท์ของเป้าหมาย รวมทั้งกดสั่งงานให้ส่งลิงก์ไปยังเป้าหมายด้วยเครื่องมือของจำเลยด้วย จำเลยจึงไม่สามารถปฏิเสธการรู้เห็นและรับผิดต่อการใช้งานสปายแวร์เพกาซัสในทางที่ผิด
นอกจากหลักฐานที่ปรากฏเกี่ยวกับความรู้เห็นของจำเลยในการใช้งานสปายแวร์เพกาซัสแล้ว ยังมีคำอธิบายในทางเทคโนโลยี ซึ่งพยานโจทก์ปาก ผศ.ปริยกร ปุสวิโร ผู้เชี่ยวชาญด้านคอมพิวเตอร์เบิกความไว้ว่า สปายแวร์เพกาซัสนั้นเป็นเทคโนโลยีที่การทำงานต้องเชื่อมต่อระบบออนไลน์ ซึ่งระบบการให้บริการแบบนี้เรียกว่า Software as a Service (SaaS) ตามปกติแล้วจะต้องตามมาด้วยการให้บริการบำรุงรักษาจากผู้ขายโดยสามารถให้บริการจากระยะไกล หากผู้ขายรายใดไม่มีบริการลักษณะนี้ก็จะไม่ได้รับเลือกให้จัดซื้อจากหน่วยงานของรัฐ ทำให้สปายแวร์เพกาซัสนั้น แม้จะติดตั้งโครงสร้างไว้ที่สถานที่ตั้งของผู้ซื้อ แต่ผู้ผลิตและผู้ขายนั้นสามารถเข้าถึงเทคโนโลยีได้ด้วยการเชื่อมโยงผ่านทางอินเทอร์เน็ต
โดยผศ.ปริยกร เบิกความถึงอธิบายถึงเอกสารที่ระบุรายละเอียดผลิตภัณฑ์เพกาซัส ซึ่งเป็นเหมือนข้อมูลสำหรับการเสนอขายผลิตภัณฑ์ที่ใช้เป็นหลักฐานในคดีในประเทศสหรัฐอเมริกา และฝ่ายโจทก์ได้นำยื่นต่อศาลไว้เป็นเอกสารหมาย จ.55 โดยเอกสารดังกล่าวมีการวาดแผนผังโครงสร้างของระบบการทำงานของสปายแวร์เพกาซัส มีการเชื่อมโยงคลาวด์ผ่านอินเทอร์เน็ตซึ่งการเดินทางของข้อมูลต้องเดินทางจากเจ้าหน้าที่รัฐผู้บังคับใช้กฎหมายผ่าน Pegasus Installation Server ก่อนที่จะติดตั้งสายลับเข้าไปยังโทรศัพท์มือถือของเป้าหมาย
แผนผังนี้ยังสอดคล้องกับเอกสารของสำนักงานตำรวจแห่งชาติที่เสนอเพื่อขออนุมัติงบประมาณ ตามเอกสารหมายจ.24 หน้า 20 ที่แสดงแผนผังการทำงานของเทคโนโลยีสอดแนมที่ตำรวจต้องการใช้ โดยมีภาพแผนผังการเชื่อมโยงระบบ (System Diagram) ที่แสดงให้เห็นว่าข้อมูลจะไม่เดินทางจากตำรวจไปยังเป้าหมายโดยตรง แต่จะต้องเดินทางผ่านระบบคลาวด์ของผู้พัฒนาซอฟต์แวร์ หรือ Proxy Server ก่อนเสมอ หมายความว่าการโจมตีทุกครั้งที่ตำรวจต้องการเข้าถึงโทรศัพท์มือถือเป้าหมายจะต้องผ่านระบบการทำงานของเทคโนโลยีภายใต้ความดูแลของ NSO ซึ่งจะปฏิเสธว่า ไม่รับรู้รับทราบเกี่ยวกับการโจมตีและเป้าหมายไม่ได้เลย
4. ทำไมผู้ผลิตและผู้ขาย ต้องรับผิดชอบต่อการใช้งานของลูกค้า
ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล นักวิชาการด้านกฎหมายระหว่างประเทศ อธิบายถึงความรับผิดชอบของบริษัทเอกชนว่า ปัจจุบันมีหลักการชี้แนะของสหประชาชาติว่าด้วยธุรกิจกับสิทธิมนุษยชน (UN Guiding Principles on Business and Human Rights) ซึ่ง NSO ได้ประกาศยอมรับที่จะปฏิบัติตาม หลักการนี้ให้คำนิยามว่าบริษัทอาจมีส่วนในการละเมิดสิทธิมนุษยชนได้ ไม่จำเป็นต้องเป็นผู้ก่อให้เกิดการละเมิดหรือสนับสนุนการละเมิดด้วยตัวเอง แต่ยังรวมทั้งความเกี่ยวข้องเมื่อการละเมิดสิทธิเกิดจากผลิตภัณฑ์หรือบริการของธุรกิจนั้นๆ และในเอกสารนี้ยังยกตัวอย่างกรณีที่ธุรกิจอาจถูกกล่าวหาว่า ละเมิดสิทธิมนุษยชนได้ในกรณีที่ให้ข้อมูลเกี่ยวกับผู้ใช้บริการอินเทอร์เน็ตแก่รัฐบาล ซึ่งใช้ข้อมูลดังกล่าวในการติดตาม และดำเนินคดีกับผู้เห็นต่างทางการเมือง ฝ่ายโจทก์ได้นำเสนอต่อศาลแพ่งเป็นเอกสารหมาย จ.46
ในปี 2563 เดวิด เคย์ ผู้รายงานพิเศษแห่งสหประชาชาติว่าด้วยการส่งเสริมและปกป้องเสรีภาพด้านความคิดเห็นและการแสดงออกในขณะนั้น ทำหนังสือแสดงความคิดเห็นเกี่ยวกับการใช้สปายแวร์เพกาซัสของ NSO ส่งไปยังศาลในสหรัฐอเมริกาในฐานะ “เพื่อนศาล” (Amicus curiae) เพื่อเข้าร่วมในคดีที่ WhatsApp เป็นโจทก์ฟ้อง NSO จากการใช้สปายแวร์เพกาซัสเจาะระบบการสื่อสาร ประเด็นสำคัญ คือ ชี้ว่า การเยียวยาที่เป็นผลมาจากการละเมิดสิทธิความเป็นส่วนตัวเป็นสิ่งที่จำเป็น แต่ทั่วโลกยังคงไม่มีแนวทางที่เหมาะสมนอกจากการฟ้องคดีต่อศาล
เดวิด เคย์ อธิบายด้วยว่า ทางเลือกอื่นนอกเหนือจากการดำเนินคดีซึ่งให้แนวทางแก้ไขเยียวยาที่สอดคล้องกับกฎหมายสิทธิมนุษยชนระหว่างประเทศนั้นดูเหมือนจะไม่มีให้ใช้ การแสวงหาความรับผิดของบริษัทเอกชนอย่างที่กำลังทำในคดีนี้อาจเป็นหนทางเดียวที่เป็นไปได้ในปัจจุบันในการให้ NSO และองค์กรทำนองเดียวกันนี้ต้องรับผิดชอบต่อการกระทำของตนในการแทรกซึมโจมตี (Infiltrating) บริการของบริษัทอื่น หนังสือฉบับนี้ถูกแปลเป็นภาษาไทยและนำเสนอต่อศาลแพ่งเป็นเอกสารหมาย จ.60
นอกจากนี้ยังมีเอกสารอีกฉบับหนึ่ง คือ ความเห็นของคณะกรรมการสิทธิมนุษยชนแห่งชาติที่ออกมติเมื่อวันที่ 2 เมษายน 2567 ระบุว่า แม้ NSO ได้อ้างว่า บริษัทไม่ได้เป็นผู้ใช้งานสปายแวร์เพกาซัสด้วยตันเอง แต่จะขายสิทธิการใช้งานให้แก่หน่วยงานของรัฐนำไปใช้ในการป้องกันและปราบปรามอาชญากรรมเท่านั้น แต่จากข้อเท็จจริงที่ปรากฏข้างต้นแสดงให้เห็นว่ากระบวนการกลั่นกรองประเมินความเสี่ยงและความเหมาะสมของผู้ซื้อเพื่อป้องกันการใช้ผลิตภัณฑ์ของบริษัทไปในทางที่ไม่ชอบนั้นยังมีข้อบกพร่อองอยู่ บริษัท NSO Group ไม่อาจปฏิเสธความรับผิดชอบต่อการละเมิดสิทธิมนุษยชนดังกล่าวได้