ย้อนรอยคดี "สปายแวร์เพกาซัส" สู่วันที่ศาลยกฟ้อง เหตุไม่มีหลักฐานการละเมิด

ย้อนกลับไปเมื่อวันที่ 13 ก.ค. 2566 นายจตุภัทร์ บุญภัทรรักษา หรือ "ไผ่" นักกิจกรรมการเมือง เป็นโจทก์ยื่นฟ้องบริษัท เอ็นเอสโอ กรุ๊ป เทคโนโลยี (NSO Group Technologies) ผู้ผลิต พัฒนา และจัดจำหน่ายสปายแวร์ "เพกาซัส" (Pegasus) โดยขอให้ศาลสั่งให้บริษัทสัญชาติอิสราเอลระงับการใช้เพกาซัส และรับผิดชดใช้ความเสียหายจากการละเมิด 2.5 ล้านบาท

นายจตุภัทร์เป็น 1 ใน 35 คนไทย ที่โทรศัพท์ไอโฟนถูกโจมตีด้วยสปายแวร์ 3 ครั้ง ในระหว่างเดือน มิ.ย.-ก.ค. 2564 ซึ่งเป็นช่วงที่มีการชุมนุมเรียกร้องประชาธิปไตยและขับไล่รัฐบาล พล.อ.ประยุทธ์ จันทร์โอชา

ในคดีนี้ นายจตุภัทร์ยื่นคำร้องต่อศาลโดยระบุว่า NSO Group อำนวยความสะดวกในการใช้เพกาซัสเพื่อโจมตีเขาและนักกิจกรรมชาวไทยคนอื่นๆ ซึ่งเป็นการละเมิดสิทธิตามรัฐธรรมนูญ รวมถึงสิทธิในความเป็นส่วนตัว เขาเรียกร้องเงินชดเชยจำนวน 2,500,000 บาท การยุติการใช้เพกาซัสโจมตีอุปกรณ์ของเขา การเข้าถึงข้อมูลที่ถูกดึงออกไป และการลบข้อมูลดังกล่าวออกจากฐานข้อมูลของบริษัท

 

 

ล่าสุดวานนี้ (21 พ.ย. 2567) ศาลแพ่งพิพากษาคดีที่จตุภัทร์ บุญภัทรรักษา หรือไผ่ นักกิจกรรมการเมือง เป็นโจทก์ฟ้องบริษัท NSO Group ผู้ผลิตและจัดจำหน่ายสปายแวร์เพกาซัส จากประเทศอิสราเอล ฐานละเมิดความเป็นส่วนตัว โดยจตุภัทร์ถือเป็น 1 ใน 35 คน ที่ถูกเจาะระบบโดยเพกาซัสในระหว่างปี 2563-2564 ที่มีการชุมนุมประท้วงต่อต้านรัฐบาล

โจทก์ฟ้องว่า จำเลยเป็นนิติบุคคล สัญชาติอิราเอล มีคิวไซเบอร์ (Q Cybers) เป็นผู้ถือหุ้นใหญ่ พัฒนา ผลิต และจำหน่ายสปายแวร์เพกาซัส ที่ถูกออกแบบมาให้เจาะระบบ สอดแนม และเข้าถึงข้อมูลส่วนบุคคลในโทรศัพท์มือถือของโจทก์ โดยวิธีที่ไม่ชอบด้วยกฎหมาย และผู้ตกเป็นเป้าหมายไม่สามารถป้องกันตนเองได้ และแม้จะขายสิทธิการใช้งานให้หน่วยงานของรัฐบาลต่างๆ แล้ว จำเลยยังมีหน้าที่ต้องดูแลและควบคุมการใช้สปายแวร์เพกาซัสให้เป็นไปตามข้อตกลง และตามวัตถุประสงค์เพื่อป้องกันอาชญากรรมร้ายแรงเท่านั้น

จำเลยให้การว่า จำเลยไม่ได้ดูแล ควบคุม หรือใช้เพกาซัสสปายแวร์กับเป้าหมาย จำเลยเป็นเพียงบริษัทผู้คิดค้นและพัฒนาเพื่อจำหน่ายให้แก่รัฐบาลประเทศต่างๆ ที่ผ่านการตรวจสอบและคัดกรองภายในของจำเลยแล้ว ภายใต้ใบอนุญาตการส่งออกที่เข้มงวดของรัฐบาลอิสราเอล

หากตรวจพบว่ามีการใช้งานที่ไม่ถูกต้องจะเพิกถอนสิทธิการใช้ทันที จำเลยเป็นเพียงผู้พัฒนาและให้สิทธิการใช้งานแก่ลูกค้า รวมถึงช่วยบำรุงรักษา แต่ไม่เกี่ยวข้องกับการใช้งาน ลูกค้าเท่านั้นที่เป็นผู้ใช้ จำเลยไม่ได้ควบคุมการใช้งาน จึงไม่มีทางรู้ว่าเป้าหมายของลูกค้าคือใคร และไม่ได้เข้าถึงข้อมูลในอุปกรณ์อิเล็กทรอนิกส์ของเป้าหมาย

ประเด็นข้อพิพาท มี 3 ประเด็น

• จำเลยกระทำละเมิดต่อโจทก์หรือไม่ 
• ค่าเสียหายมีเพียงใด 
• ฟ้องโจทก์ขาดอายุความหรือไม่ ซึ่งโจทก์เป็นฝ่ายมีภาระในการพิสูจน์

ศาลมีปัญหาที่ต้องวินิจฉัย คือ จำเลยกระทำละเมิดหรือไม่ โจทก์มีผศ.ดร.ปริยกร ปุสวิโร เบิกความว่า จำเลยเป็นผู้ผลิตสปายแวร์ที่มีความสามารถในการเจาะระบบ ดัก และส่งข้อมูลไปยังเซิร์ฟเวอร์ของสปายแวร์ โดยใช้ช่องโหว่ที่เป้าหมายไม่ทราบจากระยะไกล เพียงแค่ทราบหมายเลขโทรศัพท์ก็สามารถโจมตีได้ เพราะไม่สามารถป้องกันได้ สปายแวร์จะดักรับ และทำสำเนาข้อมูลส่งให้ผู้ใช้ สามารถตรวจสอบร่องรอยได้จาก log file และข้อมูลการติดต่อกับเซิร์ฟเวอร์ที่ผิดปกติ

โจทก์ตรวจสอบพบ threat notifications จากแอปเปิลจากนั้น ยิ่งชีพ อัชฌานนท์ ผู้อำนวยการไอลอว์ได้ติดต่อสอบถามและประสานงานกับโจทก์เพื่อตรวจสอบการโจมตีโดยสปายแวร์เพกาซัส ต่อมาซิติเซ่นแล็บทำรายงาน สรุปได้ว่า โจทก์ถูกโจมตีโดยสปายแวร์เพกาซัส และยืนยันผลการตรวจสอบคู่ขนานกับแอมเนสตี้ อินเตอร์เนชั่นแนล (Amnesty International) ได้ผลตรงกัน จึงส่งผลการตรวจสอบให้โจทก์ทราบ

ศาลเห็นว่า แม้โจทก์จะอ้างว่า ตรวจสอบว่ามี threat notifications แต่อีเมลที่ปรากฏในเอกสารของโจทก์ไม่ใช่อีเมลของโจทก์ ส่อแสดงให้เห็นถึงเจตนาไม่สุจริต น่าเชื่อว่ามีการแก้ไขข้อมูล ศาลไม่เชื่อว่าโจทก์ได้รับข้อความแจ้งเตือน

แม้โจทก์จะนำสืบว่า ซิติเซ่นแล็บยืนยันว่าโทรศัพท์มือถือของโจทก์ถูกโจมตีเมื่อวันที่ 23, 28 มิถุนายน 2564 และ 9 กรกฎาคม 2564 แต่รายงาน Forcedentry พูดถึงกรณีทั่วไป ไม่เกี่ยวกับจำเลย ส่วนรายงาน Hide and Seek พูดถึงกรณีในปี 2561 มีเพียงรายงาน GeckoSpy ที่จัดทำเมื่อ 17 กรกฎาคม 2565 ย่อหน้าสุดท้ายระบุชื่อผู้ถูกโจมตีด้วยสปายแวร์เพกาซัส โดยใช้ log file ที่เชื่อมโยงกับสปายแวร์เพกาซัสที่ได้มาจากบางกรณีก่อนหน้า และมี time stamp ทำให้จำแนกวันที่ติดสปายแวร์ได้ ซิติเซ่นแล็บนำข้อมูลโทรศัพท์ของโจทก์ไปให้แอมเนสตี้ อินเตอร์เนชั่นแนล ยืนยันผลตรวจ ได้ผลตรงกัน

โจทก์มี ผศ.ดร.ปริยกร เบิกความว่า การตรวจสอบต้องดู log file ที่เก็บไว้ในเซิร์ฟเวอร์ ซึ่งเมื่อตรวจแล้วจะพบ IP Address ที่ผิดปกติซึ่งเป็นโครงสร้างของสปายแวร์เพกาซัส แต่ในเอกสารของซิติเซ่นแล็บ พบเพียงว่า โจทก์ติดสปายแวร์เพกาซัส แต่ไม่พบหลักฐานทางนิติวิทยาศาสตร์อย่างไร ตัวอย่างรหัส ตัวชี้วัดใน log file ที่เก็บหรือไม่ มี IP Address ที่ผิดปกติหรือไม่อย่างไร

โจทก์มีเพียงพยานที่อ้างถึงการเก็บข้อมูลการตรวจ แต่ไม่มีประจักษ์พยานที่เป็นผู้ตรวจมาเบิกความ ซึ่ง ผศ.ดร.ปริยกร เบิกความว่า การตรวจสอบต้องดู content ว่ามีแพทเทิร์นหรือ log file ที่ผิดปกติอย่างไร ข้อมูลถูกปรับแต่งอย่างไร โจทก์ไม่ได้นำผู้เชี่ยวชาญจากซิติเซ่นแล็บมาเบิกความว่า ชุดข้อมูลของโจทก์ถูกทำให้เปลี่ยนแปลงไปอย่างไร มีการตรวจวิเคราะห์ข้อมูลอย่างไร และไม่ปรากฏเหตุจำเป็นที่นำพยานมาเบิกความไม่ได้ ผลการตรวจจากซิติเซ่นแล็บจึงต้องห้ามรับฟัง ตามประมวลกฎหมายวิธีพิจารณาความแพ่ง มาตรา 95/1

พิเคราะห์แล้วเห็นว่า จำเลยไม่ได้กระทำละเมิดต่อโจทก์ จึงไม่ต้องพิจารณาประเด็นอื่น พิพากษายกฟ้อง

คดีนี้ ไผ่-จตุภัทร์ บุญภัทรรักษา ฟ้องคดีเมื่อ 13 กรกฎาคม 2566 คดีนี้นับเป็นคดีแรกของโลกที่ NSO ตกเป็นจำเลยและต่อสู้คดีจนกระทั่งสืบพยานฝ่ายโจทก์และจำเลยจนเสร็จสิ้น เมื่อวันที่ 3-6 และ 10 กันยายน 2567

ที่มา : iLaw

 

ข่าวที่เกี่ยวข้อง

• แอมเนสตี้ อ้างพบสปายแวร์เพกาซัสในโทรศัพท์ของผู้เห็นต่างจากรัฐบาลไทย
• ตรวจ สปายแวร์เพกาซัส (Pegasus) ในโทรศัพท์คุณ ง่ายๆแค่ 3 ขั้นตอน
• วิธีเช็กสปายแวร์เพกาซัส "Pegasus" สำหรับคนที่ใช้ระบบแอนดรอยด์ (Android)