วันอังคาร, กรกฎาคม 19, 2565

ปรสิตติดโทรศัพท์ : รายงานข้อค้นพบการใช้เพกาซัสสปายแวร์ในประเทศไทย



ปรสิตติดโทรศัพท์ : รายงานข้อค้นพบการใช้เพกาซัสสปายแวร์ในประเทศไทย

16 กรกฎาคม 2022
โดย ilaw-freedom

ข้อค้นพบหลัก
  • สปายแวร์เพกาซัสนับได้ว่าเป็นอาวุธสอดแนมทางไซเบอร์ที่ก้าวหน้าที่สุดในโลก ซึ่งถูกพบแล้วว่าถูกเอามาใช้กับคนไทยที่เห็นต่างจากรัฐ เหยื่อหลายคนได้รับการเตือนจากบริษัท แอปเปิ้ลในเดือนพฤศจิกายน 2564 ว่า โทรศัพท์ของพวกเขาอาจถูกเจาะโดยการโจมตีที่สนับสนุนโดยรัฐ
  • จากการสืบสวนค้นหาข้อเท็จจริงที่ยังคงไม่เสร็จสิ้นพบว่ามีคนที่ถูกเจาะโดยเพกาซัส 30 คน ระหว่างปี 2563-2564
  • คนส่วนใหญ่ที่ถูกเจาะมีบทบาทในการประท้วงเพื่อเรียกร้องประชาธิปไตย สนับสนุนการปฏิรูปการเมืองและสถาบันพระมหากษัตริย์ ระหว่างปี 2563-2564
  • การใช้เพกาซัสต่อผู้เห็นต่างทางการเมือง เชื่อได้ว่ามีแรงจูงใจสามประการ หนึ่ง เพื่อสอดส่องกิจกรรมบนโลกออนไลน์ของผู้ชุมนุม สอง เพื่อติดตามสถานการณ์การประท้วง และสาม เพื่อหาข้อมูลเแหล่งที่มาของเงินของการประท้วง
บทสรุปโดยย่อ

เพกาซัส คือ สปายแวร์ที่มีความซับซ้อนและมีประสิทธิภาพสูง ผลิตโดยบริษัท NSO Group บริษัทผู้ให้บริการด้านความมั่นคงไซเบอร์สัญชาติอิสราเอล โดยบริษัทดังกล่าวจะขายผลิตภัณฑ์ให้กับหน่วยงานของรัฐเท่านั้น และจะต้องได้รับการอนุมัติจากทางการอิสราเอลเสียก่อน เมื่ออุปกรณ์ใดถูกเจาะระบบได้สำเร็จ เพกาซัสจะเปลี่ยนโทรศัพท์เป้าหมายให้กลายเป็นเครื่องมือสอดแนมระยะจากไกล ผู้เจาะระบบจะสามารถควบคุมเครื่องมือสื่อสารของเป้าหมายได้อย่างเบ็ดเสร็จ โดยจะสามารถเข้าถึงข้อมูลทั้งหมดในเครื่องทั้งรูปภาพ วิดีโอ ข้อความ บันทึกการโทรศัพท์ รวมทั้งยังสามารถเปิดกล้อง และไมโครโฟนของเครื่องเพื่อสอดแนมตามเวลาจริง โดยที่เจ้าของเครื่องไม่รู้ตัว

เพกาซัสได้รับการยอมรับว่าเป็นเทคโนโลยีที่ล้ำสมัย ในบางเวอร์ชั่นเพกาซัสจะสามารถเข้าสู่ระบบได้โดยที่ไม่ต้องกดปุ่มใดๆ การเจาะระบบจะถูกทำจากทางไกลโดยที่เจ้าของเครื่องเป้าหมายไม่จะเป็นต้องกดปุ่มหรือทำอะไรเลย ทำให้เจ้าของเครื่องไม่แม้แต่จะรู้ตัวว่าอุปกรณ์ของเขาถูกเจาะระบบเสียแล้ว หลายครั้งเพกาซัสถูกใช้เพื่อวัตถุประสงค์ทางการเมืองโดยผู้นำเผด็จการมักนำมาใช้กับผู้เห็นต่างทางการเมืองทั้งนักปกป้องสิทธิ นักกิจกรรมทางการเมือง สื่อมวลชน และทนายความ เป็นต้น

ในเดือนพฤศจิกายน 2564 มีนักกิจกรรมจำนวนหนึ่งที่ใช้ไอโฟนได้รับคำเตือนจาก Apple ว่า โทรศัพท์ของพวกเขาอาจตกเป็นเป้าการเจาะระบบที่ได้รับการสนับสนุนโดยรัฐ การศึกษาของ iLaw DigitalReach และ Citizen Lab แห่ง Munk School of Global Affairs & Public Policy มหาวิทยาลัยโตรอนโต แคนาดา ซึ่งยังคงไม่เสร็จสิ้น พบว่ามีโทรศัพท์ของบุคคลอย่างน้อย 30 คน ถูกเจาะระบบได้สำเร็จโดยสปายแวร์ในช่วงระหว่างปี 2563 – 2564 ซึ่งเป็นช่วงที่กระแสการชุมนุมเรียกร้องประชาธิปไตยทั่วประเทศกำลังขึ้นสูง

แม้ว่าหลักฐานทางนิติวิทยาศาสตร์ที่รวบรวมได้จากร่องรอยการเจาะของสปายแวร์เพกาซัส จะไม่สามารถบ่งชี้ได้ว่า บุคคลหรือหน่วยงานใดเป็นผู้ใช้สปายแวร์นี้เจาะระบบ แต่หลักฐานแวดล้อมก็พอจะสรุปได้ว่ารัฐบาลไทยเป็นผู้ได้รับประโยชน์สูงสุดจากการใช้สปายแวร์เพกาซัสเจาะระบบเครื่องมือสื่อสารของผู้เห็นต่างที่เกี่ยวข้องกับการประท้วงรัฐบาล ซึ่งรัฐบาลมีความพยายามที่จะควบคุมสถานการณ์ในวิธึการต่างๆ อยู่แล้ว ทั้งการดำเนินคดี การส่งเจ้าหน้าที่ไปติดตามที่บ้าน และการขึ้นบัญชีติดตามเฝ้าระวัง แม้รายงานของ Citizen Lab จะไม่ได้สรุปว่าหน่วยงานใดของรัฐบาลไทยที่เป็นผู้รับผิดชอบในปฏิบัติการเจาะระบบ แต่รายงานสามารถสรุปได้ว่า มีหน่วยงานของรัฐที่ใช้เพกาซัสในไทย การใช้สปายแวร์เพกาซัสยังบ่งชี้ด้วยว่ารัฐมีขีดความสามารถในการสอดแนมด้วยเครื่องมือดิจิทัลมากเกินกว่าที่จะเคยจินตนาการได้

รายงานนี้จะเริ่มด้วยการให้ภาพรวมของสถานการณ์การเมืองไทยตั้งแต่การรัฐประหาร 22 พฤษภาคม 2557 ที่ก่อให้เกิดกระแสต่อต้านและการประท้วงเรียกร้องประชาธิปไตย และรัฐบาลไทยมีความพยายามที่จะใช้เครื่องมือดิจิทัลในการสอดแนมเพื่อตอบโต้อย่างไรบ้าง ในส่วนที่สองจะนำเสนอข้อค้นพบซึ่งรวมถึงรายชื่อของผู้ที่เคยถูกเจาะระบบโดยสปายแวร์ รายงานนี้ยังจะแสดงให้เห็นถึงความเชื่อมโยงระหว่างช่วงเวลาที่มีการเจาะระบบกับช่วงเวลาที่มีการชุมนุมทางการเมือง โดยการศึกษานี้สามารถสรุปได้ว่าอาจมีเหตุผลสามประการที่ทำให้บุคคลตกเป็นเป้าของการเจาะระบบ ได้แก่ 1) เพื่อหาข้อมูลเกี่ยวกับพฤติกรรมการใช้อินเทอร์เน็ต 2) เพื่อหาข้อมูลเกี่ยวกับการชุมนุม และ 3) เพื่อหาข้อมูลเกี่ยวกับผู้ให้ความช่วยเหลือด้านการเงินหรือทรัพยากร

วิธีการหาข้อมูล

นักเคลื่อนไหวทางการเมืองหลายคนได้รับอีเมล์จากเตือนจาก Apple ว่า ไอโฟนของพวกเขาอาจถูกเจาะโดยการโจมตีที่สนับสนุนจากรัฐ จึงติดต่อมาหา DigitalReach ในเดือนพฤศจิกายน 2564 ขณะที่หลายคนแม้ไม่ได้รับการแจ้งเตือนจากแอปเปิ้ลแต่ผลการตรวจสอบก็พบว่า ถูกเจาะโดยเพกาซัสด้วยเช่นกัน ข้อมูลของหลายคนถูกส่งต่อให้ Citizen Lab เพื่อตรวจและยืนยันการถูกเจาะแต่ละครั้ง ของไอโฟนแต่ละเครื่อง ข้อมูลการถูกเพกาซัสเจาะถูกส่งต่อให้ iLaw เพื่อทำการลงพื้นที่หาข้อมูลเพิ่มเติมเป็นเวลาสี่เดือนระหว่างเดือนมีนาคมถึงมิถุนายน 2565 เพื่อหาข้อเท็จจริงเพิ่มว่ามีใครที่อาจตกเป็นเหยื่ออีกบ้าง นอกจากคนที่ได้รับอีเมล์จาก Apple แล้ว การวิเคราะห์คนที่มีความเสี่ยงดูจากบทบาทในการทำกิจกรรมทางการเมือง และความสัมพันธ์กับคนที่ตรวจพบว่าถูกเจาะไปก่อนหน้านั้น ต่อมาในเดือนเมษายน 2565 Apple ยังส่งอีเมล์เตือนมาอีกรอบหนึ่ง ทำให้มีคนที่มีความเสี่ยงเพิ่มขึ้นที่ต้องทำการตรวจสอบเพิ่มเติมอีก คนที่มีความเสี่ยงจะถูกเพกาซัสเจาะมีทั้งนักกิจกรรมทางการเมือง คนทำงานด้านสิทธิมนุษยชน และนักวิชาการ

การวิเคราะห์เชิงเทคนิค

DigitalReach ให้ความช่วยเหลือ iLaw ในการรวบรวมกรณีศึกษาที่อาจเกี่ยวข้องกับสปายแวร์เพกาซัสหรือสปายแวร์อื่นๆ ที่ Citizen Lab ตรวจสอบ กระบวนการนี้รวมถึงการเก็บรวบรวมอุปกรณ์เพื่อตรวจเชิงนิติวิทยาศาสตร์โดยได้รับความยินยอมจากเจ้าของเครื่องที่อุปกรณ์ของเขาอาจตกเป็นเป้าหมาย นักวิจัยจาก Citizen Lab ทำการตรวจสอบอุปกรณ์ และวิเคราะห์ว่าอุปกรณ์ดังกล่าวถูกเจาะระบบโดยเพกาซัสหรือไม่ โดยใช้วิธีการตรวจสอบที่ได้รับการยืนยันอย่างอิสระในการสอบสวนที่ผ่านมา

รายละเอียดวิธีการตรวจสอบของ Citizen Lab สามารถดูได้ ที่นี่

การยืนยันผลโดยองค์กรที่สาม

อุปกรณ์ที่ผ่านการตรวจทางนิติวิทยาศาสตร์บางส่วนจากเหยื่อของเพกาซัสยังถูกส่งต่อให้กับ Amnesty International’s Security Lab โดยได้รับความยินยอมจากเหยื่อ เพื่อให้ตรวจสอบหาหลักฐานการเจาะระบบของเพกาซัสอย่างอิสระ การตรวจสอบอีกครั้งยืนยันเทคนิคการพิสูจน์เพกาซัสของ Citizen Lab เนื่องจาก Amnesty International’s Security Lab ใช้เทคนิคและอุปกรณ์ในการวิเคราะห์ที่ต่างออกไป

iLaw และ DigitalReach ทำงานกับผู้ที่ถูกเจาะและผลการวิเคราะห์ดำเนินการโดย Citizen Lab ซึ่งในหลายกรณีมีการระบุวันที่มีการโจมตีอย่างเจาะจง เพื่อค้นหาว่า วันเหล่านี้มีความเกี่ยวข้องกับกิจกรรมของเหยื่อและกิจกรรมของพวกเขาหรือไม่

บริบทของการวิเคราะห์ข้อมูล

วันที่ที่โทรศัพท์ถูกเจาะถูกนำไปเปรียบเทียบกับเหตุการณ์ทางการเมืองในไทยระหว่างปี 2563-2564 เพื่อสังเกตพฤติกรรมและเหตุผลในการใช้สปายแวร์ iLaw ได้สัมภาษณ์เหยื่อแต่ละคนเพื่อทำความเข้าใจถึงบทบาทของคนที่ถูกเจาะในช่วงเวลาต่างๆ ของเหตุการณ์ทางการเมือง การทำกิจกรรมของพวกเขา พฤติกรรมการใช้โทรศัพท์ในในช่วงวันที่ถูกเจาะ ข้อมูลจากการสัมภาษณ์ใช้เพื่อทำการวิเคราะห์เพื่อเปิดเผยรูปแบบของการโจมตี

ผลลัพธ์ที่ได้ในรายงานนี้ เป็นการตรวจสอบการโจมตีที่เกิดขึ้นในไอโฟนเท่านั้น ยังไม่มีสัญญาณว่า มีการเจาะเข้าไปในอุปกรณ์ iOS อื่นๆ เนื้อหาในรายงานนี้มาจากข้อมูลของอุปกรณ์ระบบปฏิบัติการ iOS เท่านั้น เนื่องจากการสืบสวนยังมีข้อจำกัดทางเทคโนโลยีในการวิเคราะห์ผลอุปกรณ์ระบบปฏิบัติการ Android สำหรับการกู้คืนหลักฐานของการเข้าถึงอุปกรณ์

กระบวนการตรวจสอบทั้งหมดดำเนินการภายใต้ความยินยอมของเหยื่อ อย่างไรก็ตามเหยื่อแต่ละคนมีความต้องการรักษาความเป็นส่วนตัวในกระบวนการสอบสวนแตกต่างกัน บางคนต้องการที่จะเป็นนิรนาม ไม่เปิดเผยข้อมูลที่ระบุตัวตน เพื่อรักษาความเป็นส่วนตัวในกิจกรรมทางเมืองและความเกี่ยวข้องของพวกเขา เหยื่อบางคนต้องการให้สิ่งที่เกิดขึ้นกับพวกเขามีส่วนช่วยในด้านของการสอบสวนเท่านั้นและไม่ต้องการให้กล่าวถึงพวกเขาเป็นการเฉพาะ

ตัวเลขของผู้ที่ถูกโจมตีที่อยู่ในรายงานนี้ เป็นเพียงแค่ส่วนหนึ่งของปฏิบัติการที่ใช้สปายแวร์ในประเทศไทย เนื่องจากผู้ที่มีความเสี่ยงถูกโจมตีบางรายที่ได้รับการติดต่อแล้ว แต่ไม่ได้ให้ความยินยอมในการเป็นส่วนหนึ่งของการสืบสวน มีหลายกรณีที่พวกเขาทำโทรศัพท์หาย หรือเปลี่ยนเครื่องใหม่ไปแล้วตอนที่พวกเขาได้รับการติดต่อ บางคนทำการล้างช้อมูลแบบตั้งค่าโรงงาน (Factory reset) หลังจากที่ได้รับอีเมล์แจ้งเตือนจาก Apple ซึ่งส่งผลให้ไม่พบร่องรอยการโจมตี จึงเชื่อว่า ยังมีผู้ที่ถูกเจาะโดยสปายแวร์เพกาซัสที่การศึกษานี้อาจจะไม่ระบุถึง

1. บริบทการเมืองของประเทศไทย

ตั้งแต่การเปลี่ยนแปลงการปกครองเมื่อปี 2475 ที่นำจุดจบมาสู่ระบอบสมบูรณาญาสิทธิราชย์ ระบอบประชาธิปไตยไทยต้องเผชิญกับความท้าทาย ทั้งความไร้เสถียรภาพทางการเมืองและความไม่สงบ การปกครองโดยทหารกลายเป็นเรื่องปกติแทรกด้วยรัฐบาลที่มาจากการเลือกตั้งซึ่งมักมีอายุสั้นเป็นช่วงๆ

ในระยะเวลากว่า 90 ปี ของการปกครอง “ระบอบใหม่” ประเทศไทยต้องเผชิญกับการรัฐประหารที่ประสบความสำเร็จ 13 ครั้ง นอกจากนั้นก็มีความพยายามในการยึดอำนาจอีกหลายครั้ง และมีการชุมนุมบนท้องถนนที่หลายครั้งจบลงด้วยเหตุนองเลือด ความไม่แน่นอนของสถานการณ์ทางการเมืองยังส่งผลให้ไทยเป็นหนึ่งในประเทศที่ใช้รัฐธรรมนูญเปลือง คือ มีการยกเลิกรัฐธรรมนูญฉบับเก่าและจัดทำฉบับใหม่ขึ้นแทนถึง 20 ฉบับด้วย

ช่วงสองทศวรรษที่ผ่านมาการเมืองไทยมีความโกลาหลมากที่สุดช่วงหนึ่งในประวัติศาสตร์ การประกาศใช้รัฐธรรมนูญฉบับปี 2540 ส่งผลให้เกิดระบบการเมืองพรรคใหญ่ ทักษิณ ชินวัตร นักธุรกิจด้านโทรคมนาคมจัดตั้งพรรคไทยรักไทยและนำเสนอนโยบายที่สร้างความนิยมทั้งในหมู่คนชนบทและคนจนเมือง แม้ว่ารัฐบาลของทักษิณจะได้รับความนิยมมากชนิดที่ไม่เคยมีรัฐบาลใดได้รับมาก่อน แต่ก็มีกระแสต่อต้านเกิดขึ้นในช่วงปี 2548 โดยรัฐบาลทักษิณถูกกล่าวหาว่าทุจริตและบริหารประเทศแบบผูกขาดอำนาจ การชุมนุมประท้วงรัฐบาลทักษิณเกิดขึ้นอย่างต่อเนื่องโดยมีกลุ่มอนุรักษ์นิยม – กษัตริย์นิยมเป็นหัวหอกในการเคลื่อนไหว จนกระทั่งทหารได้ทำการยึดอำนาจจากรัฐบาลที่มาจากการเลือกตั้งในวันที่ 19 กันยายน 2549 โดยอ้างเหตุผลเพื่อควบคุมสถานการณ์ให้อยู่ในความสงบและปกป้องสถาบันพระมหากษัตริย์

การรัฐประหารในปี 2549 ได้กลายเป็นหนึ่งในต้นตอของสถานการณ์ความขัดแย้งที่ต่อเนื่องยาวนานมาจนถึงปัจจุบัน (ปี 2565) หลังการรัฐประหาร 2549 มีการแบ่งฝักฝ่ายตามแนวคิดและอุดมการณ์ทางการเมืองออกเป็นสองกลุ่มใหญ่ๆ ได้แก่กลุ่มอนุรักษ์นิยม - กษัตริย์นิยม ที่ใช้สีเหลืองเป็นสัญลักษ์กับกลุ่มที่ต่อต้านการรัฐประหารซึ่งบางส่วนเป็นผู้สนับสนุนอดีตรัฐบาลทักษิณซึ่งต่อมาได้มีการนำสีแดงมาใช้เป็นสัญลักษณ์ ขณะที่ตัวของทักษิณแม้จะเลือกลี้ภัยในต่างประเทศก็ยังคงเคลื่อนไหวและยังคงมีอิทธิพลต่อทางการเมืองการเมืองไทย พรรคการเมืองที่มีความเชื่อมโยงกับอดีตนายกรัฐมนตรีทักษิณชินวัตรทั้งอดีตพรรคพลังประชาชนและพรรคเพื่อไทยต่างสามารถชนะการเลือกตั้งทั่วไปอย่างไม่ยากนัก (ปี 2550 และปี 2554 ตามลำดับ) โดยเฉพาะในกรณีของพรรคเพื่อไทยที่ส่งยิ่งลักษณ์ ชินวัตร น้องสาวของอดีตนายกรัฐมนตรีขึ้นเป็นนายกรัฐมนตรีหญิงของประเทศ

ในปี 2557 เกิดการประท้วงใหญ่ของคณะกรรมการประชาชนเพื่อการเปลี่ยนแปลงปฏิรูปประเทศไทยให้เป็นประชาธิปไตยที่สมบูรณ์แบบอันมีพระมหากษัตริย์ทรงเป็นประมุข (กปปส.) ที่ตั้งเป้ากำจัดอิทธิพลของทักษิณจากการเมืองไทย ความวุ่นวายทางการเมืองประมาณ 6 เดือน ที่เกิดขึ้นตั้งแต่ช่วงปลายปี 2556 ต่อต้นปี 2557 ถูกพล.อ.ประยุทธ์ จันทร์โอชา ผู้บัญชาการทหารบกในขณะนั้นใช้เป็นข้ออ้างในการทำรัฐประหาร นำทหารเข้ามาแทรกแซงการเมืองอีกครั้งในวันที่ 22 พฤษภาคม 2557 หรือเกือบแปดปีหลังการรัฐประหารครั้งก่อนหน้า หลังการรัฐประหาร สถานการณ์สิทธิมนุษยชนในประเทศถดถอยจนเข้าขั้นวิกฤต ผู้ที่เห็นต่างหรือแสดงการต่อต้านคณะรัฐประหารเจ้าหน้าที่ถูกจับกุมตามอำเภอใจ เกิดกรณีบังคับสูญหายผู้ลี้ภายการเมืองชาวไทยในประเทศเพื่อนบ้าน และมีการใช้กระบวนการยุติธรรมจัดการกับฝ่ายตรงข้ามกับผู้มีอำนาจ ห้าปีหลังการรัฐประหาร พล.อ.ประยุทธ์ขึ้นดำรงตำแหน่งนายกรัฐมนตรีในฐานะแคนดิเดทของพรรคการเมืองหลังการเลือกตั้งทั่วไปในปี 2562 โดยที่การเลือกตั้งครั้งนั้นดำเนินไปภายใต้กติกาที่ออกแบบมาเพื่อคณะรัฐประหาร[1] หลังการเลือกตั้งทหารจึงยังคงมีอิทธิพลในฝ่ายบริหารและนายทหารที่มีส่วนเกี่ยวของกับคณะรักษาความสงบแห่งชาติ คณะรัฐประหารที่ยึดอำนาจในปี 2557 ยังคงมีตำแหน่งอยู่[2] ในคณะรัฐมนตรีชุดที่มาจากการเลือกตั้งในปี 2562

รัฐบาลพล.อ.ประยุทธ์ถูกตั้งคำถามทั้งเรื่องการทุจริตและการไร้ความสามารถในการบริหารราชการแผ่นดิน หนี้สาธารณะพุ่งสูงขึ้นเป็นประวัติการณ์[3] ขณะที่การใช้จ่ายงบประมาณเพื่อซื้ออาวุธยุทโธปกรณ์[4] ก็สูงสวนทางกับสถานภาพทางเศรษฐกิจและการเงินของประเทศ คณะรักษาความสงบแห่งชาติยังจัดทำรัฐธรรมนูญที่เอื้อต่อการสืบทอดอำนาจของตัวเองมาให้ประชาชนออกเสียงประชามติภายใต้การบังคับใช้กฎหมายพิเศษควบคุมการแสดงออกทางการเมือง ขณะเดียวกันรัฐธรรมนูญฉบับคณะรัฐประหารที่ประกาศใช้ในปี 2560 ยังละเลยหรือไม่คุ้มครองสิทธิมนุษยชนขอประชาชนในหลายๆ มิติ และรัฐบาลของพล.อ.ประยุทธ์ยังกดปราบผู้เห็นต่างจากรัฐบาลอย่างต่อเนื่อง รวมทั้งยังมีความเป็นไปได้ว่ารัฐบาลใช้สารพัดยุทธวิธีจัดการฝ่ายตรงข้ามทางการเมืองเพื่อให้ฝ่ายตัวเองได้อยู่ในอำนาจ

สองปีหลังการรัฐประหาร 2557 พระเจ้าอยู่หัวรัชกาลที่สิบสืบราชบัลลังก์ต่อจากรัชกาลที่เก้าที่สวรรคตเมื่อวันที่ 13 ตุลาคม 2559 หลังเปลี่ยนรัชกาลมีความเปลี่ยนแปลงที่สำคัญเกิดขึ้นในการบริหารกิจการในพระองค์ รัฐธรรมนูญ 2560 บัญญัติไว้ในมาตรา 15 ว่าการจัดการองค์กรหรือบุคคลของสำนักพระราชวังให้เป็นไปตามพระราชอัธยาศัย[5] ในปีเดียวกัน (2560) สภานิติบัญญัติแห่งชาติยังออกพระราชบัญญัติระเบียบบริหารราชการในพระองค์[6] และพระราชกฤษฎีกาจัดระเบียบราชการและการบริหารงานบุคคลของราชการในพระองค์[7] กฎหมายทั้งสองฉบับกำหนดให้ส่วนราชการของพระมหากษัตริย์ซึ่งได้รับงบประมาณจากรัฐเป็นอิสระจากการกำกับดูแล สถานการณ์ที่เกิดขึ้นถูกนำไปตั้งคำถามในที่ประชุมสภาผู้แทนราษฎรและมีนักกิจกรรมทางการเมืองที่นำประเด็นนี้ไปวิพากษ์วิจารณ์[8] ทว่าการพูดถึงประเด็นสถาบันพระมหากษัตริย์ยังเป็นสิ่งต้องห้ามและมีกฎหมายหมิ่นประมาทพระมหากษัตริย์ฯ ตามประมวลกฎหมายอาญามาตรา 112 ที่ถูกนำมาใช้จัดการกับผู้แสดงความคิดเห็นวิพากษ์วิจารณ์ประเด็นดังกล่าว ทำให้เป็นการยากที่จะมองเห็นความเปลี่ยนแปลงในระยะเวลาอันใกล้

1.1 สถานการณ์การชุมนุม ปี 2563 - 2564

ความน่าเคลือบแคลงเรื่องการทุจริตและความไร้ประสิทธิภาพในการบริหารราชการแผ่นดิน การยุบพรรคอนาคตใหม่ และข้อสงสัยเกี่ยวกับสถานะและพระราชอำนาจของพระมหากษัตริย์ในสังคมไทยส่งผลให้เกิดการชุมนุมประท้วงในปี 2563[9] เริ่มด้วยการชุมนุมในรั้วมหาวิทยาลัยที่จัดโดยนักกิจกรรมและนักศึกษาในช่วงต้นปี 2563 เพื่อประท้วงความไม่เป็นธรรมในกรณีการยุบพรรคอนาคตใหม่ การชุมนุมเริ่มขยายตัวในช่วงกลางปีหลังกลุ่มเยาวชนปลดแอก - Free Youth ซึ่งเป็นกลุ่มนักเคลื่อนไหวที่สมาชิกแรกตั้งเป็นนิสิตนักศึกษาจัดการชุมนุมที่อนุสาวรีย์ประชาธิปไตยเมื่อวันที่ 18 กรกฎาคม 2563 ครั้งนี้มีผู้มาร่วมชุมนุมราว 3000 คน หลังการชุมนุมครั้งนั้น มีการจัดชุมนุมเพิ่มขึ้นในหลายพื้นที่ทั่วประเทศโดยกลุ่มกิจกรรมต่างๆ[10]

วันที่ 3 สิงหาคม 2563 กลุ่มมหานครเพื่อประชาธิปไตยและกลุ่มมอกะเสด จัดการชุมนุม "เสกคาถาผู้พิทักษ์ปกป้องประชาธิปไตยในธีม แฮรี พอตเตอร์"[11] โดยมีทนายอานนท์ นำภา ขึ้นปราศรัยวิพากษ์วิจารณ์สถาบันพระมหากษัตริย์อย่างเปิดเผยในที่ชุมนุม[12] ซึ่งนับเป็นครั้งแรกที่มีการปราศรัยวิพากษ์วิจารณ์พระมหากษัตริย์อย่างเปิดเผย อย่างน้อยก็ในยุคนับตั้งแต่การรัฐประหาร 2557

จากนั้นในวันที่ 10 สิงหาคม 2563 แนวร่วมธรรมศาสตร์และการชุมนุมจัดการชุมนุม "ธรรมศาสตร์จะไม่ทน" ที่มหาวิทยาลัยธรรมศาสตร์รังสิต โดยมี รุ้ง ปนัสยา สิทธิจิรวัฒนกุล อ่านประกาศแนวร่วมธรรมศาสตร์และการชุมนุมฉบับที่ 1[13] ซึ่งมีสาระสำคัญ คือ 10 ข้อเรียกร้องเพื่อการปฏิรูปสถาบันพระมหากษัตริย์ เช่น ให้รัฐบาลจำกัดบทบาทพระมหากษัตริย์ในทางการเมืองโดยยกเลิกกฎหมายต่างๆ ที่มีเนื้อหาเป็นการขยายพระราชอำนาจ ให้ยกเลิกประมวลกฎหมายอาญามาตรา 112 และให้สอบสวนกรณีการ “อุ้มหาย" ผู้ลี้ภัยการเมืองชาวไทย เป็นต้น หลังจากนั้นการชุมนุมประท้วงรัฐบาลและมีข้อเรียกร้องต่อสถาบันพระมหากษัตริย์ก็ขยายตัว

ตลอดปี 2563 - 2564 มีกลุ่มกิจกรรมการเมืองหลายที่ก่อตัวและทำกิจกรรมทางการเมือง โดยทุกกลุ่มต่างมีเป้าหมายคล้ายกันคือให้ประเทศไทยได้เป็นประชาธิปไตยอย่างแท้จริง โดยกลุ่มนักเคลื่อนไหวที่มีบทบาทสำคัญและเกิดขึ้นในช่วงนี้ ได้แก่ กลุ่มมวลชนอาสา (We Volunter)[14] นักเรียนเลว[15] กลุ่มทะลุฟ้า[16] และทะลุวัง[17] เป็นต้น

รัฐบาลพล.อ.ประยุทธ์ประกาศสถานการณ์ฉุกเฉินที่มีความร้ายแรงในช่วงกลางเดือนตุลาคม 2563[18] ขณะที่เจ้าหน้าที่ฝ่ายความมั่นคงก็เริ่มตอบโต้ผู้ชุมนุมด้วยปืนฉีดน้ำแรงดันสูงรวมทั้งน้ำผสมสารเคมี แก๊สน้ำตา และกระสุนยาง[19] นักเคลื่อนไหวคนสำคัญหลายคนถูกดำเนินคดีทั้งด้วยข้อหาชุมนุมฝ่าฝืนข้อกำหนดตามพ.ร.ก.ฉุกเฉินฯ[20] ข้อหายุยงปลุกปั่นตามประมวลกฎหมายอาญามาตรา 116[21] ข้อหาหมิ่นประมาทพระมหากษัตริย์ตามประมวลกฎหมายอาญามาตรา 112[22] และข้อหาอื่นๆ รัฐบาลยังมีความพยายามที่จะสอดแนมหรือสืบข้อมูลของคนที่รัฐเชื่อว่าเป็นผู้สนับสนุนการชุมนุม[23] ด้วย

1.2 ความพยายามสอดส่องทางดิจิทัลโดยรัฐ

ความเปลี่ยนแปลงครั้งสำคัญด้านความมั่นคงหลังรัฐบาลคสช.เข้าบริหารประเทศ ได้แก่การประกาศใช้พระราชบัญญัติสภาความมั่นคงแห่งชาติ 2559[24] แทนที่พระราชบัญญัติฉบับปี 2502 กฎหมายฉบับใหม่นิยามคำว่า "ความมั่นคงแห่งชาติ" ที่ต่างไปจากฉบับเดิมว่า

"ภาวะที่ประเทศปลอดจากภัยคุกคามต่อเอกราชอธิปไตย บูรณภาพแห่งอาณาเขต สถาบันศาสนา สถาบันพระมหากษัตริย์ ความปลอดภัยของประชาชน การดำรงชีวิตโดยปกติสุขของประชาชน หรือที่กระทบต่อผลประโยชน์แห่งชาติหรือการปกครองระบอบประชาธิปไตยอันมีพระมหากษัตริย์ทรงเป็นประมุข รวมทั้งความพร้อมของประเทศที่จะเผชิญสถานการณ์ต่างๆ อันเกิดจากภัยคุกคามทุกรูปแบบ"

และกฎหมายฉบับใหม่ยังได้เพิ่มรัฐมนตรีว่าการกระทรวงยุติธรรม และรัฐมนตรีว่าการกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เข้ามาเป็นสมาชิกใหม่ในสภาความมั่นคงแห่งชาติด้วย

ในปี 2559 กระทรวงเทคโนโลยีสารสนเทศและการสื่อสารถูกเปลี่ยนชื่อเป็น กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม สภานิติบัญญัติแห่งชาติที่แต่งตั้งโดยคณะรักษาความสงบแห่งชาติ (คสช.) ยังได้ผ่าน พระราชบัญญัติองค์กรจัดสรรคลื่นความถี่และกำกับการประกอบกิจการวิทยุกระจายเสียง วิทยุโทรทัศน์ และกิจการโทรคมนาคม (ฉบับที่ 2)[25] ซึ่งมีสาระสำคัญประการหนึ่งคือการจำกัดอำนาจของคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (กสทช.) ในการกำกับดูแลกิจการกระจายเสียงและโทรคมนาคมของประเทศ ในฐานะองค์กรอิสระตามรัฐธรรมนูญ โดยให้คณะกรรมการดิจิทัลเพื่อเศรษฐกิจและสังคม ซึ่งอยู่ภายใต้กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เป็นผู้กำกับดูแลแผนปฏิบัติการของกสทช. ภายหลังการเปลี่ยนแปลงดังกล่าว กสทช.ให้ความร่วมมือกับรัฐบาลในการจัดการกับผู้เห็นต่างจากรัฐในหลายๆกรณี เช่นการสั่งให้ว๊อยซ์ทีวีงดออกอากาศเป็นเวลา 15 วัน[26] ในปี 2562 ต่อมาในปี 2564 กสทช.ยัง "ขอความร่วมมือ" จากสื่อในประเทศไม่ให้เผยแพร่เนื้อหาเกี่ยวกับข้อเรียกร้องการปฏิรูปสถาบันพระมหากษัตริย์และข้อเสนอยกเลิกประมวลกฎหมายอาญามาตรา 112 ด้วย[27]

ในส่วนของความพยายามในการสอดส่องประชาชน รัฐมีกฎหมายหลายฉบับที่ให้อำนาจในการทำงาน ทั้งพ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ทั้งฉบับปี 2550 และฉบับแก้ไขเพิ่มเติมปี 2560 ให้อำนาจเจ้าหน้าที่ในการแจ้งหรือเรียกให้บุคคลมาให้ถ้อยคำ เรียกบันทึกการจราจรของข้อมูลจากผู้ให้บริการอินเทอร์เน็ต สั่งให้ผู้ให้บริการอินเทอร์เน็ตส่งมอบข้อมูลของผู้ใช้บริการ ทำสำเนาข้อมูล ถอดรหัสข้อมูลของบุคคลเป้าหมาย รวมทั้งการยึดระบบปฏิบัติการคอมพิวเตอร์ใดๆ เพื่อประโยชน์ในการสอบสวน[28] พ.ร.บ.คอมพิวเตอร์ฯยังให้อำนาจเจ้าหน้าที่ในการสั่งให้ผู้ให้บริการอินเทอร์เน็ตเก็บข้อมูลของผู้ใช้บริการไว้ในระยะเวลาระหว่าง 90 วัน - 1 ปี ซึ่งผู้ให้บริการอินเทอร์เน็ตที่อยู่ในประเทศไทยน่าจะให้การสนับสนุนความพยายามของรัฐในการสอดแนมเพื่อให้สามารถดำเนินธุรกิจในประเทศไทยต่อไปได้ เมื่อธันย์ฐวุฒิ ทวีวโรดมกุล หรือ "หนุ่ม เรดนนท์" ผู้ถูกกล่าวหาว่าเป็นเว็บมาสเตอร์ของเว็บไซต์นปช.ยูเอสเอถูกพิพากษาจำคุกในปี 2554 มีข้อมูลว่าทริปเปิล ที บรอดแบนด์ ซึ่งเป็นบริษัทผู้ให้บริการอินเทอร์เน็ตได้เปิดเผย ไอพีแอดเดรสของธันย์ฐวุฒิกับเจ้าหน้าที่[29]

ในปี 2562 สภานิติบัญญัติแห่งชาติผ่านกฎหมายอีกสองฉบับ ได้แก่ พ.ร.บ.ความมั่นคงไซเบอร์ฯ[30] และพ.ร.บ.ข่าวกรองแห่งชาติ[31] ซึ่งทำให้รัฐสามารถทำการสอดส่องประชาชนได้ง่ายขึ้น พ.ร.บ.ความมั่นคงไซเบอร์ฯ ให้อำนาจเจ้าหน้าที่ในการเรียกบุคคลมาสอบถามข้อมูลและเข้าไปในพื้นที่ส่วนบุคคลโดยไม่ต้องขออำนาจศาลในกรณีที่มีภัยคุกคามไซเบอร์ระดับร้ายแรง[32] กฎหมายยังให้อำนาจเจ้าหน้าที่ในการเข้าถึงข้อมูลคอมพิวเตอร์และเครือข่าย ทำสำเนาข้อมูล รวมถึงยึดอุปกรณ์อิเล็กทรอนิกส์โดยไม่ต้องขออำนาจศาล ในกรณีที่ดำเนินการเพื่อตอบโต้ภัยคุกคามไซเบอร์ระดับวิกฤติ ในส่วนของพ.ร.บ.ข่าวกรองแห่งชาติมีแก้ไขความในมาตรา 6 ให้ต่างจากพ.ร.บ.ข่าวกรองแห่งชาติฉบับปี 2528 โดยมีความตอนหนึ่งว่า

"ในกรณีที่มีความจำเป็นต้องได้มาซึ่งข้อมูลหรือเอกสารอันเกี่ยวกับการข่าวกรอง การต่อต้าน ข่าวกรอง การข่าวกรองทางการสื่อสาร หรือการรักษาความปลอดภัยฝ่ายพลเรือน สำนักข่าวกรองแห่งชาติ อาจดำเนินการด้วยวิธีการใด ๆ รวมทั้งอาจใช้เครื่องมืออิเล็กทรอนิกส์ เครื่องมือทางวิทยาศาสตร์ เครื่องโทรคมนาคม หรือเทคโนโลยีอื่นใด เพื่อให้ได้มาซึ่งข้อมูลหรือเอกสารดังกล่าวได้"

และแม้ในปีเดียวกันจะมีการประกาศใช้พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล กฎหมายฉบับดังกล่าวก็ถูกงดเว้นไม่บังคับใช้กับหน่วยงานด้านความมั่นคง

ถึงแม้ว่ารัฐบาลจะปฏิเสธความเกี่ยวข้อง แต่ก็มีความเชื่อกันว่ามีความเกี่ยวโยงระหว่างการสอดส่องของรัฐกับการติดตามคุกคามกลุ่มผู้เห็นต่าง ระหว่างปี 2563 - 2564 มีปรากฎการณ์ที่นักกิจกรรมอย่างน้อย 4 คน ได้แก่ ปิยรัฐ จงเทพ[33] ศรีไพร นนทรีย์[34] พรรณิการ์ วานิช[35] และ รถของสมาชิกกลุ่มทะลุฟ้า[36] พบว่าตัวเองถูกติดเครื่องติดตามระบบจีพีเอสบนรถยนต์ ในเดือนสิงหาคม 2564 มีการเปิดเผยเอกสารของราชการซึ่งเป็นรายชื่อของบุคคล 183 คน ที่รัฐบาลเฝ้าติดตาม โดยในเอกสารดังกล่าวมีข้อมูลส่วนบุคคลทั้งชื่อนามสกุล วันเกิด หมายเลขบัตรประชาชน หมายเลขหนังสือเดินทาง ประวัติอาชญากรรมและภาพถ่าย[37] ในรายชื่อดังกล่าวปรากฎรายชื่อของนักกิจกรรม นักการเมืองพรรคฝ่ายค้าน และคนทำงานในภาคประชาสังคม เช่น ทนายอานนท์ นำภา, รุ้ง ปนัสยา สิทธิจิรวัฒนกุล และปิยรัฐ จงเทพ ซึ่งต่อมาในเดือนมิถุนายน 2565 มีการเปิดเผยเอกสารของทางราชการที่ระบุว่า สภาความมั่นคงแห่งชาติดำเนินการติดตามสอดส่องและรวบรวมข้อมูลความเคลื่อนไหวของ ผู้เห็นต่างทางการเมืองจากรัฐอีกคนหนึ่งซึ่งเชื่อกันว่าเป็นรัศม์ ชาลีจันทร์[38] อดีตนักการทูตซึ่งเริ่มออกมาวิพากษ์วิจารณ์รัฐบาลในช่วงเวลาก่อนหน้านั้นไม่นาน

2. เพกาซัสในประเทศไทย

ผู้เห็นต่างจากรัฐบาลหลายคนได้รับการเตือนว่าโทรศัพท์ของตนเองอาจจะถูกเจาะในเดือนพฤศจิกายน 2564 เมื่อแอปเปิลส่งการแจ้งเตือนภัยมาบอกว่า ไอโฟนของพวกเขาอาจจะตกเป็นเป้าหมายของการโจมตีที่ได้รับการสนับสนุนโดยรัฐ โดยมีบางคนโพสต์เรื่องการได้รับแจ้งเตือนของตนเองบนโซเชียลมีเดีย และทราบในภายหลังว่าการโจมตีนี้มาจากเพกาซัส ในเวลาเดียวกัน แอปเปิลก็ได้ยื่นฟ้อง NSO Group บริษัทสัญชาติอิสราเอลผู้ผลิตเพกาซัส

หลังจากที่เรื่องราวการแจ้งเตือนเพกาซัสเริ่มตกเป็นข่าว และพรรคการเมืองฝ่ายค้านออกมาตั้งคำถาม รัฐบาลก็ออกมาปฏิเสธว่าตนเองมีส่วนเกี่ยวข้อง ประวิตร วงศ์สุวรรณ รองนายกรัฐมนตรีตอบว่ารัฐบาลกำลังสอบสวนเรื่องนี้ ในขณะที่ ชัยวุฒิ ธนาคมานุสรณ์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม กล่าวว่าตนไม่ทราบเรื่องนี้มาก่อนและกำลังจะตรวจสอบ และ ธนกร วังบุญคงชนะ โฆษกรัฐบาลก็ออกมาให้สัมภาษณ์เช่นเดียวกันว่า “เรายืนยันว่าเรื่องนี้ไม่เป็นความจริง รัฐบาลให้ความเคารพแก่เสรีภาพส่วนบุคคล”

2.1 ข้อค้นพบ

จากการตรวจสอบจนถึงตอนนี้ พบว่ามีบุคคลอย่างน้อย 30 คนที่ถูกเพกาซัสเจาะ โดยการเจาะทั้งหมดเกิดขึ้นในช่วงระหว่างปี 2563-2564 และคนที่ตกเป็นเป้าหมายของสปายแวร์ส่วนใหญ่คือนักกิจกรรมที่มีบทบาทในการชุมนุมเรียกร้องประชาธิปไตยในช่วงเวลาเดียวกัน คนที่ถูกเพกาซัสเจาะประกอบไปด้วยนักกิจกรรม 24 คน นักวิชาการ 3 คน และเอ็นจีโอ 3 คน การเจาะครั้งแรกเกิดขึ้นในวันที่ 22 ตุลาคม 2563 และการเจาะครั้งสุดท้ายเกิดขึ้นในวันที่ 19 พฤศจิกายน 2564 นักกิจกรรม เช่น อานนท์ นำภา, ปนัสยา สิทธิจิรวัฒนกุล, จตุภัทร์ บุญภัทรรักษา, ปิยรัฐ จงเทพ ต่างถูกเพกาซัสเจาะโทรศัพท์ทั้งหมด นอกจากนักกิจกรรมที่อยู่ในแนวหน้าเป็นที่รู้จักแล้ว นักกิจกรรมที่ทำงานอยู่เบื้องหลังก็ถูกเจาะด้วยเช่นกัน ความพยายามของรัฐบาลที่จะหาแหล่งเงินของการชุมนุมทำให้กลุ่มคนที่บริจาคเงินให้กับการชุมนุมตกเป็นเป้าหมายด้วย โดยหนึ่งในนั้นคืออินทิรา เจริญปุระ อย่างไรก็ตาม ยังมีบุคคลบางส่วนที่ยังไม่สามารถสรุปเหตุผลเบื้องหลังของการโจมตีได้เนื่องจากมีความเชื่อมโยงกับการชุมนุมไม่มากในช่วงเวลาที่โทรศัพท์ของพวกเขาถูกเจาะ

นอกจากนี้ จากการตรวจสอบที่พบว่า มีบุคคลบางคนเท่านั้นที่ถูกเจาะยังทำให้สามารถสรุปได้ว่าการโจมตีไม่ได้เกิดขึ้นในระดับองค์กร ผลจากการตรวจโทรศัพท์ของบุคลากรจากแอมเนสตี้ อินเตอร์เนชั่นแนล ประเทศไทย และศูนย์ทนายความเพื่อสิทธิมนุษยชน (TLHR) พบว่าไม่มีใครถูกเจาะโดยสปายแวร์เพกาซัส แม้ว่าในเดือนตุลาคม 2564 แอมเนสตี้ทำงานร่วมกับปนัสยาในแคมเปญ #FreeRatsadon โดยล่ารายชื่อผ่าน Change.org เพื่อกดดันให้รัฐบาลไทยหยุดดำเนินคดีและปล่อยตัวผู้เห็นต่างทางการเมือง หลังจากนั้น ต่อมาในเดือนพฤศจิกายน 2564 แอมเนสตี้ก็ตกเป็นเป้าของการชุมนุมเรียกร้องให้แอมเนสตี้หยุดการดำเนินงานในประเทศไทย สำหรับศูนย์ทนายความเพื่อสิทธิมนุษยชนนั้นเป็นที่รู้จักจากบทบาทในการให้ความช่วยเหลือทางกฎหมายกับนักกิจกรรมที่ถูกจับกุม ควบคุมตัว หรือดำเนินคดีโดยเจ้าหน้าที่รัฐ ข้อค้นพบแสดงให้เห็นว่ามีแค่บางบุคคลเท่านั้นที่ตกเป็นเป้าหมายของการโจมตี ซึ่งตรงกับศักยภาพของสปายแวร์ที่ไม่สามารถสอดส่องเป้าหมายในลักษณะวงกว้างได้ ผลการตรวจสอบนี้ตรงกับคำแถลงของแอปเปิ้ลว่ามีความเป็นไปได้น้อยมากที่คนส่วนใหญ่จะตกเป็นเหยื่อของการโจมตีที่ได้รับการสนับสนุนโดยรัฐ ข้อค้นพบยังแสดงให้เห็นอีกว่าข้อมูลทั้งหมดต่างมีความสัมพันธ์กับขบวนการเรียกร้องประชาธิปไตยในระหว่างปี 2563-2564











2.2 การใช้เพกาซัสกับผู้เห็นต่างทางการเมือง

หลังจากใช้ข้อค้นพบเกี่ยวกับการโจมตีผู้เห็นต่างโดยเพกาซัส โดยนำช่วงเวลาของการชุมนุมครั้งสำคัญเปรียบเทียบกับเวลาของการโจมตี พบว่านักกิจกรรมถูกเจาะโดยเพกาซัสทั้งในวันก่อนและในวันที่มีการจัดการชุมนุมซึ่งเป็นช่วงที่มีการประชุมจัดเตรียมกิจกรรม จึงสามารถสรุปได้ว่าแรงจูงใจในการใช้เพกาซัสมีทั้งหมดสามประการหลัก (2.2.1) เพื่อสอดส่องการเคลื่อนไหวในโลกออนไลน์ของผู้ชุมนุม (2.2.2) เพื่อจับตาสถานการณ์ประท้วง และ (2.2.3) เพื่อหาข้อมูลแหล่งข้อมูลที่มาเงินทุนของการชุมนุม







2.2.1 การใช้เพกาซัสเพื่อติดตามกิจกรรมออนไลน์ของนักกิจกรรม

การใช้เพกาซัสเพื่อติดตามกิจกรรมออนไลน์ของนักกิจกรรม หมายถึง การที่ผู้โจมตีกำลังมองหาข้อมูลที่อยู่เบื้องหลังจากกิจกรรมออนไลน์ของนักกิจกรรม การโจมตีในเป้าประสงค์นี้พบในกรณีของอานนท์ นำภาและเบนจา อะปัญ นักกิจกรรมทั้งสองถูกโจมตีในช่วงที่พวกเขาถูกคุมขังอันเนื่องมาจากการชุมนุม บัญชีเฟซบุ๊กของพวกเขาคงมีความเคลื่อนไหวในระหว่างที่อยู่ในการคุมขัง ดังนั้นจึงเชื่อได้ว่า เหตุผลที่โทรศัพท์ของนักกิจกรรมทั้งสองถูกโจมตีมาจากการที่ผู้โจมตีต้องการทราบว่า บัญชีเฟซบุ๊กเหล่านี้ทำงานอย่างไรหรือใครที่อยู่เบื้องหลัง

2.2.1.1 อานนท์ นำภา

อานนท์ นำภาถูกเจาะโดยเพกาซัสห้าครั้ง คือ วันที่ 3 และ 15 ธันวาคม 2563, วันที่ 10 และ 14 กรกฎาคม 2564 และวันที่ 31 สิงหาคม 2564 ขณะที่การเจาะสี่ครั้งแรกนั้นเชื่อว่า เป็นเพราะผู้โจมตีต้องการติดตามการชุมนุม การเจาะครั้งสุดท้ายมีความโดดเด่นต่างจากสี่ครั้งแรกเพราะเกิดขึ้นในระหว่างที่อานนท์ถูกคุมขังในเรือนจำ

การเจาะสองครั้งแรกเกิดขึ้นหลังจากที่ผู้ชุมนุมใช้กลยุทธ์ “เปิดแผล” ซึ่งคือการจัดชุมนุมในพื้นที่ที่มีสัญญะความหมายต่อสถาบันกษัตริย์ พื้นที่นี้รวมถึงสำนักงานใหญ่ของธนาคารไทยพาณิชย์ ซึ่งรัชกาลที่สิบทรงถือครองหุ้นใหญ่ และที่กรมทหารราบที่ 1 และ 11 มหาดเล็กราชวัลลภรักษาพระองค์ ทั้งสองหน่วยงานถูกโอนอัตรากำลังพลจากกองทัพไปเป็นของหน่วยบัญชาการถวายความปลอดภัยรักษาพระองค์ ซึ่งเป็นส่วนราชการในพระองค์ การเจาะครั้งที่สามและสี่คือ วันที่ 10 และ 14 กรกฎาคม 2564 เกิดขึ้นก่อนหน้าการชุมนุมขนาดใหญ่เนื่องในวันครบรอบหนึ่งปีขบวนการเคลื่อนไหวเพื่อประชาธิปไตยที่จัดขึ้นในวันที่ 18 กรกฎาคม 2564

วันที่ 7 กรกฎาคม 2564 อานนท์โพสต์เฟซบุ๊กทำนองว่า เขาจะไปร่วมการชุมนุมในวันดังกล่าวด้วย สามวันถัดมาอานนท์ถูกเจาะโดยเพกาซัส การเจาะครั้งที่สี่เกิดขึ้นในวันที่ 14 กรกฎาคม 2564 วันดังกล่าวเขาโพสต์ข้อความบนเฟซบุ๊กเกี่ยวกับการจัดชุมนุมระหว่างการแพร่ระบาดของโควิด 19

กาเจาะครั้งสุดท้ายเกิดขึ้นขณะที่อานนท์ถูกคุมขังในเรือนจำอาจชี้ให้เห็นว่า ผู้โจมตีต้องการทราบว่า ใครอยู่เบื้องหลังบัญชีเฟซบุ๊กของเขาเนื่องจากเวลาดังกล่าวเฟซบุ๊กของอานนท์ยังคงมีความเคลื่อนไหว ข้อความบนเฟซบุ๊กที่โพสต์อย่างต่อเนื่อง คือ ข้อความฝากจากศาลและเรือนจำ รวมทั้งข้อความเรื่องการอัพเดทเงินที่ได้รับการบริจาคให้แก่นักโทษทางการเมือง วันที่ 16 มีนาคม 2564 เฟซบุ๊กของอานนท์ได้อัพโหลดภาพจดหมายที่เขียนโดยลายมือ ซึ่งอ้างว่า เป็นลายมือของอานนท์เอง รายละเอียดเล่าถึงกรณีที่ผู้คุมเรือนจำพยายามจะแยกเขาและนักโทษคดีการเมืองคนอื่นออกจากไปเป็นพิเศษในยามวิกาล สาธารณะให้ความสนใจในจดหมายฉบับนี้อย่างกว้างขวางเนื่องจากเขาอธิบายถึงความไม่ชอบมาพากล เขาและเพื่อนนักโทษต่างหวาดวิตกในความปลอดภัยในชีวิต แถลงการณ์ของกรมราชทัณฑ์ระบุว่า การแยกตัวดังกล่าวเป็นไปตามกระบวนการของการตรวจหาเชื้อโควิด 19 ทางกรมทำการร้องทุกข์กล่าวหาแอดมินของเฟซบุ๊กอานนท์ นำภา เพื่อให้ตำรวจตรวจสอบว่า บัญชีดังกล่าวมีการเข้าถึงจากที่ใด พร้อมทั้งยืนยันว่า ไม่มีเครื่องมือสื่อสารภายในเรือนจำและจะตรวจสอบด้วยว่า จดหมายฉบับดังกล่าวมาจากที่ใด

เนื้อหาที่เผยแพร่บนเฟซบุ๊กของอานนท์นำไปสู่การที่เจ้าหน้าที่รัฐเร่งหาผู้ที่ใช้เฟซบุ๊กของอานนท์ ตอนที่เฟซบุ๊กของอานนท์เล่าถึงการแพร่ระบาดของโควิด 19 และการจัดการที่ผิดพลาดของกรมราชทัณฑ์ ตัวแทนของกระทรวงยุติธรรมแถลงข่าวว่า ผู้ที่อยู่เบื้องหลังเฟซบุ๊กของอานนท์ควรระมัดระวังในการกล่าวถึงสถานการณ์ในเรือนจำ มิเช่นนั้นจะดำเนินคดีเพราะการกระทำที่ก่อความเสียหาย

นอกจากอานนท์แล้ว ทนายความจากศูนย์ทนายความสิทธิมนุษยชนเพื่อนร่วมงานของอานนท์ได้ให้ตรวจสอบโทรศัพท์รวม 12 คน แต่ไม่พบร่องรอยการเจาะเข้าใสในโทรศัพท์ 12 เครื่องดังกล่าว จึงสรุปได้ว่า อานนท์เป็นเหยื่อของเพกาซัสจากการทำกิจกรรม ไม่ใช่ในฐานะของทนายความเพื่อสิทธิมนุษยชน

2.2.1.2 เบนจา อะปัญ

เบนจา อะปัญเป็นนักกิจกรรมที่เป็นที่รู้จักอีกคนหนึ่ง เคยสังกัดแนวร่วมธรรมศาสตร์และการชุมนุม โทรศัพท์ของเธอถูกเจาะเมื่อวันที่ 17 พฤศจิกายน 2564 ขณะที่เธอถูกคุมขังจากข้อกล่าวหาเช่นหมิ่นประมาทพระมหากษัตริย์ฯ ลักษณะการเจาะที่เกิดขึ้นในช่วงที่เธอถูกคุมขังเหมือนกับกรณีของอานนท์ คือ เฟซบุ๊กของเธอยังคงเคลื่อนไหวในระหว่างการคุมขัง

เริ่มแรกเบนจามีบทบาทเบื้องหลังในการชุมนุม แต่เมื่อสมาชิกหลักคนสำคัญของแนวร่วมธรรมศาสตร์ฯถูกจับกุมและไม่ได้รับการปล่อยตัวชั่วคราวระหว่างการพิจารณาคดี ทำให้เบนจาต้องขยับมาเป็นแนวหน้าของกลุ่มร่วมกับนักกิจกรรมคนอื่นๆ เบนจาเป็นคนที่อ่านประกาศแนวร่วมธรรมศาสตร์และการชุมนุมฉบับที่สองเมื่อวันที่ 10 สิงหาคม 2564 หนึ่งปีหลังจากที่ปนัสยา สิทธิจิรวัฒนกุล นักกิจกรรมจากแนวร่วมธรรมศาสตร์ฯ อ่านประกาศฉบับแรกที่มีเนื้อหาเรียกร้องให้ปฏิรูปสถาบันกษัตริย์สิบข้อ เบนจาเข้าร่วมกิจกรรม “ใครๆก็สวมครอปท็อป” ที่ห้างสรรพสินค้าในกรุงเทพฯ และต่อมาถูกกล่าวหาในคดีหมิ่นประมาทพระมหากษัตริย์จากการล้อเลียนกษัตริย์

วันที่ 7 ตุลาคม 2564 เบนจาถูกจับกุมและศาลสั่งปฏิเสธไม่ให้ประกันตัวหลายครั้ง เธอถูกคุมขังเป็นเวลา 99 วัน จนกระทั่งวันที่ 14 มกราคม 2565 เธอได้รับการปล่อยตัวในที่สุด ระหว่างการคุมขังเฟซบุ๊กของเบนจามีความเคลื่อนไหวเรื่อยมามีการเผยแพร่ข้อความฝากจากเธออธิบายสถานการณ์ภายในเรือนจำ วันที่ 17 พฤศจิกายน 2564 วันที่โทรศัพท์ของเบนจาถูกเจาะโดยเพกาซัส บัญชีเฟซบุ๊กของเธอโพสต์ข้อความเรื่องการสั่งไม่ให้ประกันตัวปนัสยาเพื่อนของเธอ และวิพากษ์วิจารณ์เหล่าผู้ที่อยู่ในอำนาจ

2.2.2 การใช้เพกาซัสเพื่อติดตามการชุมนุม

เพกาซัสถูกใช้เพื่อติดตามสถานการณ์การชุมนุมด้วยการเจาะเข้าโทรศัพท์เพื่อหาข้อมูลเกี่ยวกับการชุมนุม รวมถึงการจัดการชุมนุมอย่างไร, จัดที่ไหนและมีใครอีกบ้างที่เกี่ยวข้อง กรณีนี้เกี่ยวข้องกับสมาชิกของแนวร่วมธรรมศาสตร์และการชุมนุม, จุฑาทิพย์ ศิริขันธ์ กับการเคลื่อนไหวของเยาวชนปลดแอก และจตุภัทร์ บุญภัทรรักษา กับกลุ่มทะลุฟ้า

2.2.2.1 สมาชิกแนวร่วมธรรมศาสตร์และการชุมนุม

นักกิจกรรมแนวหน้าของแนวร่วมธรรมศาสตร์ฯ ผู้ซึ่งจัดและเข้าร่วมการชุมนุมจำนวนมากถูกดำเนินคดีจากหลายเหตุเกี่ยวข้องกับการชุมนุมและข้อความที่โพสต์ออนไลน์ สมาชิกสี่คนถูกเจาะจากเพกาซัส ได้แก่ ปนัสยา สิทธิจิรวัฒนกุล, ณัฐชนน ไพโรจน์, ชลทิศ โชติสวัสดิ์และนิราภร อ่อนขาว นิราภร เป็นคนที่ค้นพบว่าถูกเจาะมากที่สุด คือ 14 ครั้งระหว่งวันที่ 16 กุมภาพันธ์ถึง 7 กรกฎาคม 2564 ตามด้วยปนัสยาที่ถูกเจาะสี่ครั้งคือ วันที่ 15, 20 และ 23 มิถุนายน 2564 และ วันที่ 24 กันยายน 2564

ปนัสยาสมาชิกคนสำคัญของแนวร่วมธรรมศาสตร์ฯ ผู้ที่อ่านประกาศแนวร่วมธรรมศาสตร์ฯ ฉบับที่หนึ่งที่มีข้อเรียกร้องปฏิรูปกษัตริย์สิบข้อ เธอถูกเจาะโดยเพกาซัสรวมสี่ครั้ง ที่ผ่านมาเธอถูกดำเนินคดีมาตรา 112 ไม่น้อยกว่าสิบคดี และถูกคุมขังระหว่างการดำเนินคดีรวมสามรอบ การเจาะสามครั้งแรกเกิดขึ้นในเดือนมิถุนายน 2564 ชี้ให้เห็นว่า ผู้เจาะอาจกำลังมองหาข้อมูลที่เกี่ยวกับการเตรียมการชุมนุมเนื่องในวันครบรอบ 89 ปีการอภิวัฒน์สยาม เปลี่ยนแปลงการปกครองเมื่อปี 2475 วันที่ 18 กันยายน 2564 ปนัสยาเปิดเผยว่า ตอนนี้เธอทราบว่า เธอมีหมายจับอยู่และไม่รู้ว่า ตำรวจจะมาแสดงหมายจับกุมตัวเธอเมื่อไหร่ ต่อมาวันที่ 22 กันยายน 2564 สองวันก่อนหน้าการเจาะ ตำรวจแสดงหมายจับเข้าจับกุมเธอกล่าวหาว่า เป็นแอดมินเพจเฟซบุ๊กแนวร่วมธรรมศาสตร์ฯ[39]

ขณะที่เธอถูกจับกุม ตำรวจพยายามจะตามหาแอดมินเพจอีกคนและพยายามจะยึดโทรศัพท์ของชลทิศ โชติสวัสดิ์ สมาชิกแนวร่วมธรรมศาสตร์ฯ อีกคนหนึ่ง ทนายความของชลทิศโต้แย้งพฤติการณ์การยึดโดยไม่มีหมายค้นของตำรวจ ท้ายสุดตำรวจไม่ได้ยึดโทรศัพท์ไป แต่ในวันถัดมา (วันที่ 23 กันยายน 2564) ชลทิศถูกเจาะโดยเพกาซัส ในกรณีของปนัสยา หลังตำรวจจับกุมตัวเธอได้รับการปล่อยตัวชั่วคราว อย่างไรก็ตามปนัสยาถูกเจาะอีกครั้งในวันที่ 24 กันยายน 2564 ขณะที่การเจาะสามครั้งแรกอาจชี้ให้เห็นว่า ผู้โจมตีมองหาและต้องการข้อมูลเกี่ยวกับการชุมนุม แต่การเจาะในเดือนกันยายนที่เกิดขึ้นไล่เลี่ยกันกับชลทิศนี้อาจมองได้ว่า เป็นการเจาะข้อมูลเพื่อติดตามกิจกรรมออนไลน์เพื่อที่จะรู้ว่าใครอยู่เบื้องหลังเพจเฟซบุ๊กของกลุ่ม

กรณีที่เกิดขึ้นกับปนัสยาและชลทิศสอดคล้องกับกรณีของนิราภรที่ถูกเจาะ 14 ครั้ง คือ วันที่ 16 กุมภาพันธ์, วันที่ 16 มีนาคม, วันที่ 26 และ 30 เมษายน, วันที่ 11, 14, 20 และ 31 พฤษภาคม, วันที่ 8, 15, 20 และ 23 มิถุนายน และ วันที่ 1 และ 7 กรกฎาคม 2564 การเจาะนิราภรทั้งหมดเกิดขึ้นในปี 2564 เธอเป็นสมาชิกของแนวร่วมธรรมศาสตร์และการชุมนุมรุ่นที่หนึ่งและร่วมก่อตั้งกลุ่มมาพร้อมกับนักกิจกรรมคนอื่นๆ เช่น ปนัสยา วันที่ 17 กันยายน 2564 ตำรวจ[40] จับกุมนิราภรกล่าวหาว่า เธอเป็นแอดมินเพจเฟซบุ๊กแนวร่วมธรรมศาสตร์และการชุมนุม กรณีของเธอมีความน่าสนใจจากการที่ถูกเจาะ 14 ครั้งเป็นสถิติที่มากที่สุดที่พบในปัจจุบันของเหยื่อเพกาซัสในประเทศไทย การเจาะที่เกิดขึ้นกับนิราภรที่บทบาทหลักอยู่เบื้องหลัง แสดงให้เห็นว่า ผู้โจมตีอาจคิดว่า กิจกรรมบนโลกออนไลน์ของเธออาจเป็นช่องทางให้เห็นหรือเข้าถึงแผนการชุมนุมของแนวร่วมธรรมศาสตร์ฯ รวมถึงวิธีการเคลื่อนไหวเนื่องจากนิราภรเป็นหนึ่งในเจ้าของบัญชีธนาคารที่รับบริจาคเงินจากสาธารณะของแนวร่วมธรรมศาสตร์ฯ ด้วย

นิราภรถูกเจาะครั้งแรกในวันที่ 16 กุมภาพันธ์ 2564 ในช่วงที่มีการชุมนุมเรียกร้องให้ปล่อยตัวนักกิจกรรมทางการเมืองที่ถูกคุมขังระหว่างการพิจารณาคดีและไม่กี่วันก่อนหน้าการอภิปรายไม่ไว้วางใจในสภา ข้อเท็จจริงเพิ่มเติมพบว่า มีสี่ครั้งที่นิราภรถูกเจาะในวันเดียวกันกับที่เพจเฟซบุ๊กของแนวร่วมธรรมศาสตร์ฯ เผยแพร่ประกาศนัดหมายทำกิจกรรมชุมนุม คือ วันที่ 26 เมษายน 2564 มีการนัดหมายรวมตัวทำกิจกรรมผูกโบว์ขาวที่ศาลฎีกาในวันเดียวกัน, การชุมนุมเพื่อติดตามการพิจารณาคำร้องปล่อยตัวชั่วคราวของนักกิจกรรมที่ศาลอาญาวันที่ 30 เมษายน 2564 ซึ่งเพจมีการเผยแพร่นัดหมายในวันเดียวกัน, การประท้วงติดตามกรณีที่นักกิจกรรมของกลุ่มถูกหมายจับที่สน.พหลโยธินวันที่ 11 พฤษภาคม 2564 ซึ่งเพจมีการเผยแพร่นัดหมายในวันเดียวกัน, และการประกาศนัดหมายชุมนุมครบรอบ 89 ปีอภิวัฒน์สยามบนเพจของกลุ่มเมื่อวันที่ 20 มิถุนายน 2564 ระหว่างวันที่ 25 เมษายนถึงวันที่ 6 พฤษภาคม 2564 ช่วงเวลาที่นิราภรถูกเจาะเป็นช่วงที่แนวร่วมธรรมศาสตร์ฯทำแคมเปญ “ราชอยุติธรรม” เรียกร้องให้ปล่อยตัวนักกิจกรรมทางการเมืองที่ถูกคุมขังในเรือนจำ

ส่วนเหตุผลที่ณัฐชนนถูกเจาะยังยากที่จะสรุป เขาขยับขึ้นสู่นักกิจกรรมแถวหน้าของแนวร่วมธรรมศาสตร์ฯ ในตอนที่เพื่อนของเขาถูกคุมขังในเรือนจำ ณัฐชนนถูกเจาะเมื่อวันที่ 18 พฤศจิกายน 2564 ต่อมาวันที่ 2 ธันวาคม 2564 ศาลอาญามีคำสั่งจำคุกเขาสองเดือนจากความผิดฐานละเมิดอำนาจศาลจากการชุมนุมเพื่อเรียกร้องให้ปล่อยตัวนักกิจกรรมทางการเมืองที่ศาลอาญาเมื่อวันที่ 30 เมษายน 2564 อย่างไรก็ตามก่อนหน้าการถูกเจาะวันที่ 1 พฤศจิกายน 2564 ศาลอาญามีคำสั่งจำคุกณัฐชนนสี่เดือนในความผิดฐานละเมิดอำนาจศาลจากการชุมนุมเพื่อเรียกร้องให้ปล่อยตัวนักกิจกรรมทางการเมืองที่ศาลอาญาเมื่อวันที่ 29 เมษายน 2564 แต่เขาได้รับการปล่อยตัวชั่วคราวในระหว่างการอุทธรณ์ในวันเดียวกัน

2.2.2.2 จุฑาทิพย์ ศิริขันธ์ กับการเคลื่อนไหวของเยาวชนปลดแอก

จุฑาทิพย์ ศิริขันธ์เป็นนักกิจกรรมคนสำคัญในขบวนการเคลื่อนไหวของคนรุ่นใหม่ในประเทศไทย อย่าง “เยาวชนปลดแอก” ที่จุดกระแสการชุมนุมต่อต้านรัฐบาลทั่วประเทศและมีบทบาทสำคัญในการชุมนุมเพื่อประชาธิปไตยระหว่างปี 2563-2564 เพจเฟซบุ๊กของเยาวชนปลดแอกมีผู้ติดตามเพิ่มขึ้นหลักล้านคนในช่วงไม่กี่เดือนหลังจากเปิดตัว ซึ่งมักถูกใช้เพื่อระดมมวลชนออกมาเคลื่อนไหวชุมนุม เยาวชนปลดแอกใช้เฟซบุ๊กเป็นสื่อหลักในการประชาสัมพันธ์และแอพลิเคชั่นเทเลแกรมในการสื่อสารกับผู้เข้าร่วมแบบเรียลไทม์ บ่อยครั้งที่กลุ่มเปลี่ยนสถานที่นัดหมายการชุมนุมและรูปแบบของการชุมนุมในช่วงก่อนหน้าเวลานัดหมายเพื่อหลีกเลี่ยงการปิดกั้นของเจ้าหน้าที่รัฐ

โทรศัพท์ของจุฑาทิพย์ถูกเจาะหกครั้งคือ วันที่ 21 และ 26 ตุลาคม 2563, วันที่ 15,20 กุมภาพันธ์ 2564, วันที่ 18 มีนาคม 2564 และวันที่ 6 กันยายน 2564 การเจาะครั้งแรกวันที่ 21 ตุลาคม 2563 เกิดขึ้นวันที่ผู้ชุมนุมหลายหมื่นคนเดินขบวนจากอนุสาวรีย์ชัยสมรภูมิไปที่ทำเนียบรัฐบาลเพื่อเรียกร้องให้พลเอกประยุทธ์ จันทร์โอชาลาออกจากตำแหน่งนายกรัฐมนตรี หลังเสร็จสิ้นการชุมนุมตำรวจเข้าจับกุมผู้จัด คือ ภัสราวลี ธนกิจวิบูลย์ผล มีข่าวทำนองว่า ตำรวจจะจับกุมตัวจุฑาทิพย์ตามหมายจับก่อนหน้าของเธอ เมื่อเธอทราบว่า มีหมายจับรออยู่ทำให้เธอตัดสินใจกลับที่พักในช่วงวันที่ 21-22 ตุลาคม 2563 ตามช่วงเวลาที่ถูกเจาะอาจสรุปได้ว่า ผู้โจมตีต้องการรู้ที่อยู่ของเธอและเสาะหาข้อมูลเกี่ยวกับการชุมนุม

ระหว่างวันที่ 17-31 ตุลาคม 2563 มีการชุมนุมแบบ “ไม่มีแกนนำ” เกิดขึ้น 205 ครั้ง กระแสการชุมนุมขึ้นสู่งสุด วันที่ 15 ตุลาคม 2563 รัฐบาลประกาศสถานการณ์ฉุกเฉินที่มีความร้ายแรงในพื้นที่กรุงเทพมหานคร วันดังกล่าวจุฑาทิพย์และนักกิจกรรมคนอื่นๆ นำผู้ชุมนุมหลายหมื่นคนไปชุนนุมที่แยกราชประสงค์ ต่อมาวันที่ 22 ตุลาคม 2563 รัฐบาลประกาศยกเลิกสถานการณ์ฉุกเฉินที่มีความร้ายแรง โทรศัพท์ของจุฑาทิพย์ถูกเจาะอีกครั้งวันที่ 26 ตุลาคม 2563 วันเดียวกันกับที่ผู้ชุมนุมนัดหมายรวมตัวกันเคลื่อนขบวนจากสามย่านมิตรทาวน์ไปที่สถานเอกอัครราชทูตเยอรมนี ประจำประเทศไทย

วันที่ 24 กุมภาพันธ์ 2564 เพจเฟซบุ๊กของเยาวชนปลดแอกเปิดตีวแคมเปญรีเด็ม (Restart Democracy-REDEM) เป็นการรีแบรนด์จากแคมเปญเดิม คือ Restart Thailand (RT) ที่ใช้โลโก้คล้ายรูปค้อนและเคียวอันเป็นสัญลักษณ์ของแนวคิดคอมมิวนิสต์ ก่อนหน้าการเปิดตัวจุฑาทิพย์เข้าร่วมการประชุมกับนักกิจกรรมกลุ่มเดียวกันหลายครั้ง หนึ่งในนั้นจัดขึ้นเมื่อวันที่ 15 กุมภาพันธ์ 2564 วันเดียวกันกับที่เธอถูกเจาะหลังจากทิ้งห่างไปสามเดือน ต่อมาวันที่ 17 มีนาคม 2564 รีเด็มประกาศชุมนุมวันที่ 20 มีนาคม 2564 ที่สนามหลวง ชักชวนให้ผู้ชุมนุมพับจดหมายเรียกร้องจำกัดอำนาจสถาบันกษัตริย์และส่งข้ามรั้ววัง เป็นที่น่าสนใจว่า โทรศัพท์ของจุฑาทิพย์ถูกเจาะโดยเพกาซัสอีกครั้งในวันที่ 18 มีนาคม 2564

นอกจากจุฑาทิพย์แล้ว สมาชิกของเยาวชนปลดแอกและเครือข่ายที่ทำงานใกล้ชิดต่างถูกเจาะโดยเพกาซัส ได้แก่ เกศกนก วงศาภักดี, ปรมินทร์ รัศมีสวัสดิ์, ปัณฑ์สิรี จิรฐากูรณ์และฉัตรรพี อาจสมบูรณ์ ปัณฑ์สิรีและฉัตรรพี เป็นสมาชิกของกลุ่มศาลายาเพื่อประชาธิปไตย กลุ่มที่มักจะเข้าร่วมกิจกรรมของเยาวชนปลดแอก รัชศักดิ์ คมกฤศ สมาชิกอีกคนของศาลายาเพื่อประชาธิปไตยได้รับอีเมล์การแจ้งเตือนจากแอปเปิ้ลด้วยเช่นกัน อย่างไรก็ตาม Citizen Lab ระบุว่า ยังไม่พบการเจาะเข้าโทรศัพท์ของรัชศักดิ์ในขณะทำการวิเคราะห์

จุฑาทิพย์, เกศกนกและปรมินทร์ถูกเจาะโดยเพกาซัสในช่วงเวลาเดียวกันในเดือนกันยายน 2564 คือ วันที่ 6, 5 และ 12 กันยายนตามลำดับ สองคนจากศาลายาเพื่อประชาธิปไตย ปัณฑ์สิรีถูกเจาะเมื่อวันที่ 17 สิงหาคม 2564 ก่อนหน้าโทรศัพท์ของฉัตรรพีจะถูกเจาะวันที่ 30 สิงหาคม 2564 และอีกครั้งในวันที่ 9 กันยายน 2564 ซึ่งเป็นช่วงเวลาเดียวกันกับสมาชิกทั้งสามคนของเยาวชนปลดแอก

ผู้โจมตีอาจมองหาข้อมูลที่เกี่ยวข้องกับการชุมนุมที่เกิดขึ้นในช่วงเวลาดังกล่าว การโจมตีที่บ่อยครั้งอาจเนื่องจากนักกิจกรรมรีเด็มใช้วิธีการชุมนุมแบบไร้แกนนำและมักจะเปลี่ยนสถานที่ชุมนุม ขณะที่ฉัตรรพีถูกเจาะเมื่อวันที่ 30 สิงหาคม 2564 กลุ่มรีเด็มมีการพูดคุยเรื่องการจัดการชุมนุมก่อนหน้าที่การชุมนุมจะเกิดขึ้นที่สถานเอกอัครราชทูตสวิตเซอร์แลนด์ ต่อมาวันที่ 5 กันยายน 2564 เป็นวันที่โทรศัพท์ของเกศกนกถูกเจาะโดยเพกาซัส กลุ่มเยาวชนปลดแอกมีการประชุมภายในแต่วันดังกล่าวเกศกนกไม่ได้เข้าร่วมประชุม วันถัดมา (วันที่ 6 กันยายน 2564) จุฑาทิพย์ถูกเจาะอีกครั้ง

ส่วนปรมินทร์ เป็นสมาชิกที่ไม่ได้เป็นที่รู้จักในทางสาธารณะ เขาเป็นหนึ่งในเจ้าของบัญชีธนาคารที่ใช้รับบริจาคเงินจากสาธารณะของเยาวชนปลดแอก ซึ่งอาจทำให้เขาตกเป็นเป้าหมาย เขายังช่วยถ่ายทอดสดสถานการณ์การชุมนุมด้วย วันที่เขาถูกเจาะโดยเพกาซัสเกิดขึ้นไม่นานก่อนหน้าที่ที่พักของเขาจะถูกค้นในวันที่ 17 กันยายน 2564 ในหมายค้นระบุว่า เป็นการค้นหาอาวุธปืนและสิ่งผิดกฎหมาย ตำรวจยังบอกด้วยว่า อยู่ระหว่างการสืบสวนเพื่อจับกุมตัวชายคนหนึ่ง โดยตำรวจแสดงภาพให้ปรมินทร์ดูเป็นภาพผู้ชายรูปพรรณคล้ายปรมินทร์ที่กำลังอยู่ในที่ชุมนุมและถูกใส่กุญแจมือด้วย

2.2.2.3 จตุภัทร์ บุญภัทรรักษาและทะลุฟ้า

จตุภัทร์ บุญภัทรรักษา หรือชื่อที่เป็นที่รู้จักคือ ไผ่ ดาวดิน ถูกเจาะโดยเพกาซัสสามครั้ง คือ วันที่ 23 และ 28 มิถุนายน และวันที่ 9 กรกฎาคม 2564 จตุภัทร์เริ่มเป็นที่รู้จักครั้งแรกตอนที่เขาและเพื่อนไปชูสามนิ้ว ต่อหน้าพลเอกประยุทธ์เมื่อปี 2557 ต่อมาเขาได้เข้าร่วมเป็นแกนนำกลุ่มทะลุฟ้า

การเจาะในวันที่ 23 มิถุนายน 2564 เกิดขึ้นก่อนหน้าการนัดหมายชุมนุมวันที่ 24 มิถุนายน 2564 เพื่อรำลึก 89 ปีการอภิวัฒน์สยามเมื่อปี 2475 โดยเขาถูกเจาะวันเดียวกันกับปนัสยา, นิราภรและผู้ไม่เปิดเผยชื่อลำดับที่ 3 วันดังกล่าวเป็นวันที่มีการเจาะมากที่สุด จึงพอเห็นได้ว่า ผู้โจมตีกำลังค้นหาข้อมูลเมื่อมีการนัดหมายประท้วงครั้งใหญ่ และยังเป็นการชุมนุมครั้งใหญ่ครั้งแรกหลังจากเว้นห่างนานจากการแพร่ระบาดของโควิด 19 และคลื่นการคุมขังนักกิจกรรมทางการเมือง

วันที่ 28 มิถุนายน 2564 ตอนที่เขาถูกเจาะเป็นครั้งที่สอง จตุภัทร์เดินทางไปที่จังหวัดขอนแก่นและเตรียมการชุมนุมที่อนุสาวรีย์ประชาธิปไตย จังหวัดขอนแก่น ในวันที่ 1 กรกฎาคม 2564 ซึ่งเกิดขึ้นก่อนหน้าการชุมนุมที่หน้าทำเนียบรัฐบาลในวันที่ 2 กรกฎาคม 2564 เขาระบุว่า ช่วงเวลาที่ถูกเจาะเขาเข้าร่วมการประชุมนับครั้งไม่ถ้วน การเจาะครั้งที่สามเกิดขึ้นวันที่ 9 กรกฎาคม 2021 ก่อนหน้าการชุมนุมครบรอบหนึ่งปีเยาวชนปลดแอกในวันที่ 18 กรกฎาคม 2564 ประมาณหนึ่งสัปดาห์ อย่างไรก็ตามวันที่ชุมนุมเขาไม่ได้เข้าร่วมด้วย แต่มีสมาชิกของทะลุฟ้าบางคนไปเข้าร่วมกิจกรรม

2.2.3 การใช้เพกาซัสเพื่อค้นหาข้อมูลเกี่ยวกับแหล่งเงินทุน

ข้อค้นพบสามารถสรุปได้ว่า เพกาซัสถูกใช้ต่อบุคคลบางกลุ่มที่สนับสนุนด้านการเงินให้แก่การชุมนุม อินทิรา เจริญปุระ เป็นที่รู้จักต่อสาธารณะจากการบริจาคเงินให้แก่การชุมนุม เธอเป็นนักแสดงที่เป็นที่รู้จักในสังคม มีการใช้โซเชียลมีเดียโพสต์ข้อความเพื่อเชิญชวนให้ประชาชนมาร่วมการชุมนุมและเตรียมสิ่งอำนวยความสะดวกให้ เช่น อาหาร, ไอศกรีม และห้องน้ำ

อินทิราถูกเจาะสามครั้งได้แก่ วันที่ 9 และ 26 เมษายน และวันที่ 4 มิถุนายน 2564 ในช่วงเวลาดังกล่าวเธอตกเป้าหมายที่อาจถูกตรวจสอบภาษีโดยเจ้าหน้าที่ของกรมสรรพากร เธอมีฉายาในหมู่ผู้ชุมนุมว่า “แม่ยก” บทบาทของเธอในการชุมนุมเป็นคนที่อยู่เบื้องหลังไม่ใช่คนที่ออกหน้าหรือขึ้นเวทีปราศรัย วันที่ที่เธอถูกเจาะสอดคล้องกับสมาชิกของกลุ่ม The Mad Hatter ผู้ที่เคยบริจาคเงินและไม่เคยมีส่วนร่วมในการจัดการชุมนุม พวกเขาถูกเจาะระหว่างเดือนพฤษภาคมถึงกรกฎาคม 2564

นักกิจกรรมอย่างนิราภร อ่อนขาว แนวร่วมธรรมศาสตร์และการชุมนุมและปรมินทร์ รัศมีสวัสดิ์ เยาวชนปลดแอก ซึ่งมีชื่อเป็นเจ้าของบัญชีธนาคารร่วมของกลุ่มที่ตนสังกัดอาจถูกนับรวมเข้ากับรูปแบบการเจาะนี้ด้วยเช่นกัน

3. บทสรุป

ข้อมูลที่ได้จากการสืบสวนซึ่งยังไม่เสร็จสิ้นเผยให้เห็นว่า มีผู้ที่ถูกโจมตีจากเพกาซัส 30 คนและมีความเชื่อมโยงกับการชุมนุมเพื่อเรียกร้องประชาธิปไตยระหว่างปี 2563-2564 และการโจมตีเป็นรูปแบบหนึ่งของการคุกคามผู้เห็นต่างทางการเมือง

ถึงแม้ว่า ข้อมูลอย่างเป็นทางการที่ระบุชื่อบุคคลที่อยู่เบื้องหลังกระบวนการดังกล่าวโดยตรงจะไม่สามารถเข้าถึงได้ แต่ก็มีความชัดเจนว่า รัฐบาลไทยเป็นผู้ได้รับประโยชน์มากที่สุดจากการโจมตีครั้งนี้ เนื่องจากสปายแวร์กำลังเป็นหนึ่งในรูปแบบของการปราบปราม พวกเขาทำให้นักกิจกรรมฝ่ายตรงข้ามรัฐบาลรู้สึกไม่ปลอดภัยจากการที่สิทธิในความเป็นส่วนตัวถูกละเมิดอย่างร้ายแรงด้วยเครื่องมือทางไซเบอร์ที่ทันสมัยที่สุดในโลก การโจมตีเช่นนี้ยังเป็นการส่งสัญญาณว่า ถ้าคนๆ หนึ้งไม่ต้องการถูกเจาะและการเปิดเผยข้อมูลส่วนตัวต่อเจ้าหน้าที่รัฐ พวกเขาจะต้องไม่ท้าทายรัฐบาลหรือสถาบันพระมหากษัตริย์

ถ้าหากรัฐเป็นผู้อยู่เบื้องหลังการทำงานของเพกาซัสจริง สปายแวร์ตัวนี้ก็มีส่วนสำคัญที่ช่วยให้รัฐบาลสอดส่องผู้พากษ์วิจารณ์และผู้เห็นต่างทางการเมืองได้ และเพกาซัสหรือเครื่องมือดิจิทัลในลักษณะเช่นเดียวกันก็ยังอาจนำมาใช้ต่อผู้เห็นต่างได้อีกในอนาคต

เท่าที่ทราบ ยังไม่ปรากฏกรณีการนำข้อมูลส่วนตัวมาเผยแพร่เพื่อแบล็คเมล์ต่อนักกิจกรรมที่เรียกร้องให้ปฏิรูปสถาบันกษัตริย์ อย่างไรก็ตาม สังเกตได้ว่าตำรวจไทยมีความสามารถในการระบุตัวตนของผู้ที่เคลื่อนไหวบนโลกออนไลน์และสามารถระบุที่อยู่ของบุคคลได้แบบเรียลไทม์ ตามหลักกฎหมายว่าด้วยการพิจารณาหลักฐาน ข้อมูลที่ได้มาจากสปายแวร์เพกาซัส เป็นข้อมูลที่ได้มาโดยไม่ชอบด้วยกฎหมาย ไม่ได้สามารถเป็นหลักฐานในชั้นศาลได้ อย่างไรก็ตามปัญหาคือ ในหลายคดีเมื่อเจ้าหน้าที่รัฐให้การต่อศาล พวกเขากล่าวเพียงว่า ได้รับข้อมูลมาจาก “การสืบสวนทางลับ” โดยปราศจากการอธิบายอย่างแน่ชัด

ในประเทศที่เป็นประชาธิปไตยจริงๆ การเห็นต่างเกิดขึ้นทำได้ ประชาชนมีสิทธิเสรีภาพในการแสดงออกและเสรีภาพในการชุมนุม ซึ่งเป็นพื้นฐานที่สำคัญของประชาธิปไตย และสิทธิในความเป็นส่วนตัวก็ถูกรับรองภายใต้รัฐธรรมนูญ อย่างไรก็ตาม ถ้าสิทธิเหล่านี้ไม่ได้ถูกเคารพในประเทศไทย นักกิจกรรมทางการเมืองถูกคุกคามเพราะการทำกิจกรรมที่สงบสันติ ก็เป็นการส่งสัญญาณว่า ประเทศไทยปกครองด้วยระบอบอะไรภายใต้รัฐบาลของพลเอกประยุทธ์ จันทร์โอชา

ลิงค์บทความเดิม  เวป iLaw