วันพฤหัสบดี, กันยายน 12, 2567

สรุปคำให้การ ชามูเอล ซันเรย์ ผู้บริหารสูงสุดฝ่ายกฎหมาย NSO ใน “คดีเพกาซัส” ศาลแพ่งนัดฟังคำพิพากษา “คดีเพกาซัส” วันที่ 21 พ.ย. นี้ หลังเสร็จสิ้นการสืบพยานปากสุดท้าย



สรุปคำให้การ ชามูเอล ซันเรย์ ผู้บริหารสูงสุดฝ่ายกฎหมาย NSO ใน “คดีเพกาซัส”

หทัยกาญจน์ ตรีสุวรรณ
ผู้สื่อข่าวบีบีซีไทย
11 กันยายน 2024

ศาลแพ่งนัดฟังคำพิพากษา “คดีเพกาซัส” วันที่ 21 พ.ย. นี้ หลังเสร็จสิ้นการสืบพยานปากสุดท้าย

นายชามูเอล ซันเรย์ (Shmuel Sunray) ผู้รับมอบอำนาจจากบริษัท เอ็นเอสโอ กรุ๊ป เทคโนโลยี (NSO Group Techologies) เบิกความตอบคำถามทนายจำเลยเพิ่มเติมจากคำให้การที่ส่งให้ศาลไปแล้ว โดยเขาได้ยกคำกล่าวของ “ลุงเบน” ลุงของ ปีเตอร์ ปาร์กเกอร์ หรือ “สไปเดอร์แมน” ในภาพยนตร์เรื่องสไปเดอร์แมน ที่ว่า “With great power comes great responsibility” หรือ “อำนาจยิ่งใหญ่มาพร้อมกับความรับผิดชอบที่ใหญ่ยิ่ง” มาให้การต่อศาล โดยอ้างถึงกฎพื้นฐาน 3 ประการของบริษัทในการซื้อ-ขาย เพกาซัส (Pegasus)

อย่างไรก็ตามเขาไม่ได้เปิดเผยว่า บริษัทได้ดำเนินการสอบสวนกรณี 35 พลเมืองไทยถูกสปายแวร์เพกาซัสโจมตีโทรศัพท์มือถือหรือไม่ โดยบอกว่า “ไม่สามารถยืนยันหรือปฏิเสธอย่างเจาะจงได้ แต่อะไรต้องสอบสวนก็จะสอบสวน” พร้อมอ้างถึงหลักการรักษาความลับกับลูกค้า แต่ยอมรับว่า ตลอด 14 ปีนับจากพัฒนาเพกาซัส มีการสอบสวน 100 กรณี และมี 8 กรณีที่ยกเลิกการเชื่อมต่อเพราะถูกนำไปใช้อย่างผิดวัตถุประสงค์

คดีนี้ นายจตุภัทร์ บุญภัทรรักษา หรือ “ไผ่” นักกิจกรรมการเมืองที่เรียกตัวเองว่ากลุ่ม “ทะลุฟ้า” และกลุ่ม “คณะราษฎรอีสาน” เป็นโจทก์ยื่นฟ้อง เอ็นเอสโอ บริษัทเทคโนโลยีสัญชาติอิสราเอล ซึ่งเป็นผู้ผลิต จำหน่าย และพัฒนาสปายแวร์ “เพกาซัส” เมื่อ 13 ก.ค. 2566 ฐานละเมิดจากการใช้เทคโนโลยีขโมยข้อมูลในโทรศัพท์มือถือ โดยเรียกค่าเสียหาย 2.5 ล้านบาท และขอให้ศาลมีคำบังคับให้เอ็นเอสโอหยุดใช้เพกาซัสละเมิดความเป็นส่วนตัวของพลเมืองไทย

ศาลแพ่ง ถ.รัชดาภิเษก สืบพยานฝ่ายโจทก์รวม 6 ปาก และฝ่ายจำเลยรวม 2 ปาก

วานนี้ (10 ก.ย.) นายซันเรย์ ที่ปรึกษาทั่วไปของบริษัทเอ็นเอสโอ ขึ้นเบิกความเป็นปากสุดท้ายของฝ่ายจำเลย โดยถือเป็นครั้งแรกที่ผู้บริหารสูงสุดฝ่ายกฎหมายของบริษัทเอ็นเอสโอปรากฏตัวในชั้นศาล จากสารพัดคดีความและการไต่สวนนับสิบกรณีที่เกิดขึ้นทั่วโลก

เขาปฏิเสธจะให้ความเห็นเพิ่มเติมกับบีบีซีไทย ซึ่งเข้าร่วมสังเกตการณ์กระบวนการสืบพยานปากนี้ โดยให้เหตุผลว่า ขณะนี้ทุกอย่างอยู่ในชั้นศาลแล้ว แต่เปิดเผยความรู้สึกในการขึ้นให้การต่อศาลเป็นครั้งแรกว่า “น่าสนใจ”

นายซันเรย์ ใช้เวลาราว 5 ชม. เศษ ในการตอบข้อซักถามของทนายความทั้ง 2 ฝ่าย เนื่องจากต้องแปลคำให้การจากภาษาอังกฤษเป็นไทยประโยคต่อประโยค จนถึงเวลา 16.30 น. ทนายฝ่ายโจทก์ยังเหลือคำถามเกินกว่าครึ่งจากคำถามทั้งหมดที่เตรียมมาราว 100 ข้อ จึงต้องนัดวันสืบพยานอีกครั้ง ซึ่งได้ในช่วงเดือน ม.ค. 2568 ซึ่งระยะเวลาห่างไปอีก 4 เดือน ท้ายที่สุดทนายโจทก์จึงแถลงหมดคำถาม ทนายจำเลยไม่ติง

ศาลอ่านกระบวนพิจารณา กำหนดนัดแถลงปิดคดีภายใน 30 วัน และนัดฟังคำพิพากษา 21 พ.ย. นี้



นายซันเรย์ วัย 60 ปี แจ้งต่อศาลว่า ก่อนมาทำงานที่เอ็นเอสโอ เขาเป็นอดีตทหารกองทัพอิสราเอล สังกัดหน่วยอัยการทหาร (Military Advocate General - MAG) แผนกกฎหมายระหว่างประเทศ รับผิดชอบงานกฎหมายมหาชนระหว่างประเทศ และกฎหมายว่าด้วยมนุษยธรรม โดยว่าความมา 35 ปี ก่อนออกไปทำงานที่บริษัทผู้รับจ้างด้านการทหารของอิสราเอล 2 บริษัทยักษ์ใหญ่ มีภารกิจเกี่ยวข้องกับเงินหลักพันล้านดอลลาร์สหรัฐ, กำกับดูแลกฎระเบียบของบริษัทกว่า 70 แห่ง และการปฏิบัติตามกฎหมายระหว่างประเทศ จึงมีประสบการณ์มากระหว่างภาคธุรกิจ กฎหมาย และกิจการภายใน

บีบีซีไทยขอสรุปคำให้การบางส่วนปากคำของ นายชามูเอล ซันเรย์ “นักกฎหมายเบอร์ 1” ของบริษัทเทคสัญชาติอิสราเอล ซึ่งเป็นพยานฝ่ายจำเลยใน “คดีเพกาซัส” เอาไว้ ดังนี้

เพกาซัสมีไว้ทำไม

ต้นปี 2546 การสอดแนมผู้ก่อการร้ายทำโดยวิธีดักฟัง ผู้พิพากษาจะออกหมายให้ตำรวจดักฟังผ่านผู้ให้บริการเครือข่ายโทรศัพท์เคลื่อนที่ (Mobile Network Operator - MNO) เพื่อให้ฟังได้ 2 ทาง ต่อมาปี 2551-2552 โลกเปลี่ยนไปเมื่อมีไอโฟนเครื่องแรก และโทรศัพท์ที่ใช้ระบบปฏิบัติการแอนดรอยส์ (Android) เครื่องแรก นับเป็นข่าวดีสำหรับประชากรที่ทำตามกฎหมายในการได้ติดต่อสื่อสารกับเพื่อนฝูงและครอบครัว แต่เป็นข่าวดียิ่งกว่าสำหรับผู้ก่ออาชญากรรมในการเข้ารหัสเพื่อสื่อสารและวางแผนได้โดยที่ตำรวจไม่รู้

หน่วยงานบังคับใช้กฎหมายและหน่วยข่าวกรอง “ไม่มีหู ไม่มีตา ในการดักกิจกรรมอาชญากรรมของผู้ก่อการร้ายได้” จึงเกิดการถกเถียงระหว่างประเทศกลายเป็นประเด็นใหญ่
  • รัฐบาลบางประเทศเชื่อว่าวิธีการจัดการคือให้สอดแนมคนหมู่มาก รัฐบาลอาจมีซูเปอร์คอมพิวเตอร์ที่สามารถฟังโทรศัพท์มือถือได้ทุกเครื่อง หากมีใครพูดคำว่า “ลอบสังหารประธานาธิบดี” หรือ “ระเบิด” อาจมีคนมาเคาะประตูบ้านได้
  • มีบางความเห็นแนะนำให้ใช้ระบบหลังบ้าน ถ้าแอปเปิล หรือกูเกิล หรือบริษัทขายมือถือให้ติดตั้งกลไกที่รัฐบาลสามารถฟังมือถือได้
แต่ 2 วิธีการนี้ไม่ดี จะทำให้รัฐบาลสามารถฟังมือถือของประชาชนทุกคนได้ จึงต้องมีเครื่องมือแบบเพกาซัส โดยมุ่งเน้นเป้าหมายเฉพาะราย กำหนดทิศทางไปที่ผู้ต้องสงสัยรายหนึ่งรายใดเป็นการเฉพาะ

“ด้วยวิธีนี้เป็นวิธีการที่ได้สัดส่วนมากกว่า ผู้พิพากษาสามารถออกหมายเป็นการเฉพาะได้ และเป็นวิธีการที่รักษาความเป็นส่วนตัวได้มากกว่า เท่าที่ทราบ เพกาซัสคือเครื่องมือแรกที่บรรลุวัตถุประสงค์ได้” นายซันเรย์กล่าว

นโยบายของบริษัทเอ็นเอสโอเกี่ยวกับการใช้เพกาซัสเป็นอะไร

เมื่อเพกาซัสพัฒนาขึ้นในปี 2553 ผู้ก่อตั้งบริษัทตระหนักว่าเครื่องมือนี้มีประโยชน์ แต่ก็มีความเสี่ยงเช่นกัน มีคำกล่าวในภาพยนตร์เรื่อง “สไปเดอร์แมน” ที่ว่า “With great power comes great responsibility” อำนาจยิ่งใหญ่มาพร้อมกับความรับผิดชอบที่ใหญ่ยิ่ง บริษัทจึงวางกฎพื้นฐาน 3 ประการ
  • เครื่องมือนี้จะขายให้เฉพาะรัฐบาลและหน่วยงานของรัฐเท่านั้น
  • เครื่องมือนี้ไม่ได้ขายให้ทุกรัฐบาล แต่จะขายให้เฉพาะรัฐบาลที่บริษัทแน่ใจว่ามีความรับผิดชอบว่าจะใช้งานตามวัตถุประสงค์ที่ถูกต้อง
  • เครื่องมือนี้ต้องได้รับการปฏิบัติตามกฎ ไม่ใช่เฉพาะบริษัทที่สามารถตัดสินใจว่าจะขายให้ใครได้ แต่ต้องได้รับอนุญาตจากรัฐบาลอิสราเอลด้วยว่าจะให้รัฐบาลไหนใช้ซอฟต์แวร์ได้
การทำงานของเพกาซัสเป็นอย่างไร

เป็นแพคเกจที่ส่งมอบให้ลูกค้า ทำให้ลูกค้ามีความสามารถในการใช้ซอฟต์แวร์นี้เพื่อกำหนดเป้าหมายบนอุปกรณ์ (โทรศัพท์มือถือ) ของเป้าหมายปลายทาง มีการเข้ารหัสข้อมูล ทำให้มือถือของเป้าหมายมีโครงสร้างพื้นฐานจากสถานที่ที่ลูกค้าส่งไป ลูกค้าจะโอนข้อมูลจากโครงสร้างพื้นฐานไปยังมือถือของเป้าหมาย และมีเซิร์ฟเวอร์ส่งข้อมูลจากมือถือของเป้าหมายกลับมายังสถานที่ของลูกค้า

บริษัทไม่สามารถเข้าถึงข้อมูลใหม่ ๆ การส่งและการโอนภายใน และบริษัทไม่มีส่วนเกี่ยวข้องใด ๆ กับการปฏิบัติงานของลูกค้า นี่เป็นระเบียบของบริษัทและรัฐบาลอิสราเอลก็ไม่สามารถเข้าไปยุ่งในเรื่องนี้ได้

“นี่เป็นสิ่งสำคัญสำหรับลูกค้าที่เป็นหน่วยข่าวกรอง หน่วยบังคับใช้กฎหมาย ที่ไม่ต้องการให้ผู้ขายในเชิงพาณิชย์ไปยุ่งเกี่ยวกับข้อมูลเหล่านี้” และ “บริษัทไม่ได้ใช้ ควบคุม เข้าถึงข้อมูลเกี่ยวกับการใช้งานจริงของลูกค้า”

บริษัทบันทึกและเก็บบันทึกข้อมูลของลูกค้าผ่านเซิร์ฟเวอร์ของเอ็นเอสโอในบันทึกการใช้งาน (Activity log) ใช่หรือไม่

ขอตอบโดยใช้ความรู้ส่วนตัวว่าไม่ถูกต้องโดยสิ้นเชิง ไฟล์กิจกรรมเป็นส่วนหนึ่งของระบบเพื่อให้แน่ใจว่าลูกค้าเนินการอย่างที่ควรเป็น โดยมีการฝังไว้ในซอฟต์แวร์ ณ สถานที่ของลูกค้า ภายใต้การควบคุมของลูกค้า ล็อกนี้บริษัทไม่สามารถเข้าถึงได้ แต่มีไว้เพื่อสอบสวน โดยจะขอให้ลูกค้าแสดงให้ดูว่าใช้ระบบอย่างที่ควรใช้หรือไม่

“มันบ่งบอกว่าเราไม่สามารถเข้าถึงล็อกกิจกรรมได้หากลูกค้าไม่อนุญาต” และ “เราไม่สามารถให้พนักงานของเราไปอยู่ในสถานที่ของลูกค้าได้ เพราะลูกค้าไม่ได้ให้เข้าถึง”


บริษัทสามารถเข้าถึงทางไกล (Remote access) เพื่อช่วยลูกค้าสอดแนมเป้าหมายได้มากน้อยแค่ไหน

ไม่มีการเข้าถึงระบบปฏิบัติการของลูกค้า ไม่ได้ให้ความช่วยเหลือ ไม่ได้ให้บริการสนับสนุนใด ๆ ระบบซอฟต์แวร์ที่จำเลยทำคือการบริการสนับสนุนทางเทคนิค การอัพเกรด ฝั่งลูกค้าจะให้การเข้าถึงที่จำกัดมาก แต่จำเลยจะมองไม่เห็นอะไรเลย

“การยินยอมจากลูกค้าให้เข้าถึงทางไกล จะเข้าถึงเท่าที่จำเป็น เข้าทางประตูเล็ก ๆ โดยเป็นการอนุญาตที่จำกัดเฉพาะ อยู่ในเวลาที่จำกัดมาก ไม่ใช่เข้าถึงทางไกลแล้วจะทำอะไรก็ได้” ที่ปรึกษาทั่วไปของบริษัทเอ็นเอสโอตอบข้อซักถามของทนายฝ่ายจำเลย

เหตุใดจึงไม่สามารถเปิดเผยรายชื่อลูกค้าของบริษัทเอ็นเอสโอได้

ลูกค้าของบริษัทเป็นหน่วยข่าวกรอง หน่วยบังคับใช้กฎหมาย การดำเนินการจึงต้องคำนึงถึงความเป็นส่วนตัวและความลับ “ลูกค้าคาดหวังว่าจะมีการรักษาข้อมูลเป็นความลับสุดยอด ถ้าเกิดรู้ว่าหน่วยงานใดใช้ซอฟต์แวร์นี้ คนไม่ดี ผู้ค้ายาเสพติด ผู้ก่อการร้ายรู้ว่ามีการใช้เครื่องมือนี้ ก็จะหลบเลี่ยงได้ สิ่งนี้สำคัญสำหรับลูกค้า ความสัมพันธ์ระหว่างจำเลยกับลูกค้าคือความไว้เนื้อเชื่อใจ”

คำขอท้ายคำฟ้องที่ 1 โจทก์ขอให้จำเลยระงับการกระทำที่เป็นการสอดแนมและเข้าถึงข้อมูล

ผมไม่สามารถระงับสิ่งที่ผมไม่เคยทำได้ เป็นคำขอที่ไร้ความหมาย

คำขอท้ายคำฟ้องที่ 2 โจทก์ขอให้จำเลยส่งข้อมูลทั้งหมดคืนให้โจทก์

ผมไม่สามารถคืนสิ่งที่ผมไม่เคยมีได้ เปรียบเหมือนกับเพชรบนมงกุฎกษัตริย์ในเหรียญ เมื่อไม่เคยมี จึงไม่สามารถคืนได้ เป็นคำขอที่ไร้ความหมาย



แอมเนสตี้ อินเตอร์เนชั่นแนล ยื่นหนังสือข้อกฎหมายต่อศาล (amicus curiae) ขอให้บริษัทเอ็นเอสโอรับผิดในคดีนี้ จะตอบข้อสงสัยของแอมเนสตี้ฯ อย่างไร

ผมรู้สึกแปลกที่ได้เห็นหนังสือของแอมเนสตี้ฯ และใช้คำเรียกเพกาซัสว่าเป็นสปายแวร์ เชื่อว่าแอมเนสตี้ฯ คือ “แรงขับที่อยู่ข้างหลังคดีนี้”

บทความนี้วิจารณ์เอ็นเอสโอเกี่ยวกับจุดยืนด้านสิทธิมนุษยชน สิ่งที่จะตอบคือเราภูมิใจในจุดยืนของเราในการปกป้องสิทธิมนุษยชน เราได้ให้คำมั่นในเวทีระดับโลก เวทีระหว่างประเทศ เคยติดต่อแอมเนสตี้ฯ แล้ว แต่ไม่ได้รับการตอบรับ และไม่เชื่อว่าวาระของแอมเนสตี้ฯ เป็นไปเพื่อปกป้องสิทธิมนุษยชน แต่มีเจตนาที่ไม่สุจริต (bona fide)

ก่อนคณะกรรมการสิทธิมนุษยชนแห่งชาติ (กสม.) ของไทยออกรายงานผลการตรวจสอบการละเมิดสิทธิมนุษยชน เคยให้จำเลยมาชี้แจงหรือไม่

(ตอบทนายจำเลย) ไม่เคยได้รับการติดต่อจากองค์กรนี้เลย ถ้ามีโอกาสชี้แจง กสม. ก็จะอธิบายอย่างเดียวกับที่เบิกความในศาล และตามบันทึกถ้อยคำของพยานเท่าที่ทำได้

ทราบหรือไม่ว่า กสม. ไม่มีข้อกำหนด ไม่มีอำนาจเรียกเอกชนต่างประเทศมาชี้แจง จึงไม่ได้เรียกตัวแทนบริษัทเอ็นเอสโอมาชี้แจง

(ตอบทนายโจทก์) ไม่รู้ว่า กสม. คืออะไร ไม่ทราบว่าข้อกำหนดคืออะไร และไม่ทราบเกี่ยวกับรายงานหรือข้อค้นพบ และไม่เคยมีหนังสือโต้แย้งรายงาน กสม.

ทราบหรือไม่ว่า คณะกรรมาธิการ (กมธ.) ความมั่นคงแห่งรัฐ กิจการชายแดนไทย ยุทธศาสตร์ชาติและการปฏิรูปประเทศ สภาผู้แทนราษฎรของไทย เคยเชิญจำเลยผ่านทนายความให้มาชี้แจงกรณีมีการใช้เพกาซัสกับพลเมืองไทย และเหตุใดถึงไม่มาชี้แจง

ทนายความแจ้งให้ทราบว่าจำเลยได้รับคำเชิญ แต่ไม่มีอะไรจะพูดมากไปกว่าสิ่งที่พยานเบิกความในวันนี้

เดือน มิ.ย. 2565 นายคาเฮม เกลเฟนด์ (Chaim Gelfand) ฝ่ายกฎหมายของบริษัทเอ็นเอสโอ เคยไปชี้แจงในคณะกรรมการเฉพาะกิจที่รัฐสภายุโรป (อียู) กรณีการใช้เพกาซัสละเมิดสิทธิมนุษยชน ใช่หรือไม่


นายเกลเฟนด์ไปปรากฏตัวต่อหน้ารัฐสภายุโรป เพื่อร่วมกระบวนการปฏิบัติตามระเบียบ และการสอบสวนของจำเลย ทั้งนี้นายเกลฟัด “เป็นผู้ช่วยผม เป็นเบอร์ 2 และเป็นหัวหน้าแผนกตามกฎระเบียบของบริษัท”

คณะกรรมการอียูสอบถามว่าเหตุใดบริษัทที่ผลิตและจำหน่าย จึงไม่มีมาตรการป้องกันไม่ให้ใช้เพกาซัสกับบุคคลธรรมดาที่ไม่ใช่เป้าหมายอาชญากรรม

เข้าใจคำถาม แต่บริษัทมีมาตรการป้องกันหลายมาตรการ หากไม่แน่ใจว่าเครื่องมือถูกใช้กับเป้าหมายที่ถูกต้อง จะมีมาตรการต่าง ๆ เหล่านี้
  • ตรวจสอบลูกค้าก่อนขายเครื่องมือให้
  • มีมาตรการเข้มงวดสำหรับลูกค้าที่ต้องทำตามพันธสัญญา เรื่องการใช้และห้ามใช้เครื่องมือ
  • มีการฝึกอบรมเกี่ยวกับสิทธิมนุษยชน อะไรคือเป้าหมายที่ชอบและมิชอบด้วยกฎหมาย
  • มีการสอบสวนกรณีลูกค้าใช้งานโดยผิดวัตถุประสงค์
  • มีการควบคุมเทคโนโลยีว่าด้วยการอนุญาตให้ใช้ จำกัดลักษณะภูมิประเทศและอื่น ๆ
จำเลยเคยชี้แจงในคณะกรรมการอียูใช่หรือไม่ว่าประเทศใดยึดอำนาจ รัฐประหาร และมีการประท้วง บริษัทจะปิดระบบทันที

กรณียึดอำนาจ บริษัทเชื่อว่ามีความเสี่ยงต่อสิทธิมนุษยชนก็จะปิด โดยใช้ “คิวสวิตช์” (Q-Switch) และยกเลิกสัญญา

สำหรับ คิวสวิตช์ เป็นส่วนหนึ่งของโปรแกรม ซึ่งจะบังคับใช้ตามคำมั่นที่ทำไว้กับลูกค้า หากสอบสวนแล้วพบว่าไม่ปฏิบัติตามมาตรฐาน หรือลูกค้าไม่ให้ความร่วมมือ ก็มีกลไกหยุดเชื่อมต่อ

นับตั้งแต่ผลิตเพกาซัส เคยตรวจสอบและพบว่ามีการใช้เพกาซัสในทางที่ผิดวัตถุประสงค์และต้องยกเลิกสัญญากี่กรณี

ไม่มีตัวเลขแน่ชัด มีหลายกรณีที่พบว่าไม่จริง ไม่ละเมิด ก็ไม่ได้ปิด ตามข้อมูลที่บันทึกไว้มีอยู่ 8 กรณีที่ยกเลิกการเชื่อมต่อ เพราะใช้ผิดวัตถุประสงค์ แต่ถ้าให้ประเมินมีราว 100 กรณีที่มีการสอบสวน

“ตลอด 14 ปีที่มีการผลิต มีข้อร้องเรียน 100 กรณี เป็นสถิติที่สมเหตุสมผล เท่าที่ทราบ จำเลยเป็นบริษัทเดียวในโลกที่มีการสอบสวนและมีการปิดระบบ” นายซันเรย์ตอบคำถามทนายฝ่ายโจทก์

8 กรณีที่พบว่ามีการใช้เพกาซัสผิดวัตถุประสงค์ อยู่ในเอเชียตะวันออกเฉียงใต้หรือไม่

“เราไม่สามารถบอกได้ว่าใครคือลูกค้า ไม่สามารถแยกความแตกต่างระหว่างเป้าหมายกับลูกค้าได้ จึงตอบไม่ได้”

กรณี 35 คนไทยที่ถูกเจาะระบบมือถือโดยเพกาซัส ได้ดำเนินการสอบสวนอย่างไร


แกนนำและแนวร่วม “ราษฎร” บางส่วน เป็นโจทก์ยื่นฟ้องบริษัทเอ็นเอสโอต่อศาลแพ่ง ครั้งแรกเมื่อ พ.ย. 2565 โดยพวกเขาได้ชูป้ายข้อความที่ระบุถึงจำนวนครั้งในการถูกเพกาซัสโจมตี

อันนี้เป็นข้อสันนิษฐานว่าเป็นเพกาซัส แต่เราไม่เห็นด้วย เราอธิบายผ่านพยานผู้เชี่ยวชาญ (ศาสตราจารย์ ยูวา เอลโลวิช - Yual Elovici พยายฝ่ายจำเลย ซึ่งเป็นนักคอมพิวเตอร์และอดีตนายทหารอิสราเอล) แล้วว่าไม่ใช่เพกาซัส “อย่างที่บอกไปว่าเราไม่สามารถแยกแยะระหว่างลูกค้ากับเป้าหมายได้”

เรามีพันธสัญญาขององค์กร ถ้ามีกรณีสงสัยว่ามีการใช้ผลิตภัณฑ์ในทางที่ผิด จะมีการสอบสวนอย่างเต็มที่ และดำเนินการตามมาตรการอย่างเหมาะสม

“ทุกกรณีที่มีพยานหลักฐานอันควรเชื่อได้ก็จะสอบสวน แต่ไม่สามารถยืนยันหรือปฏิเสธอย่างเจาะจงได้ แต่อะไรต้องสอบสวนก็จะสอบสวน”

วิธีการสอบสวนทำอย่างไร

ขั้นตอนการสอบสวนคือ
  • ตรวจสอบกับลูกค้า ดูในทางเทคนิคว่าเป็นไปได้หรือว่าจะเป็นเพราะระบบของเรา
  • ติดต่อลูกค้า และขอข้อมูลว่าเป้าหมายนี้เป็นเป้าหมายโดยชอบด้วยกฎหมายหรือไม่ เช่น ขอดูว่ามีหมายศาลหรือไม่ มีระยะเวลาตามหมายอย่างไร
  • เมื่อได้ข้อมูล ก็นำมาตรวจสอบข้อสงสัยว่าจริงหรือไม่ มีการละเมิดสิทธิมนุษยชนหรือไม่
  • ประชุมคณกรรมการบริหารบริษัทเพื่อทบทวนหลักฐานทั้งหมด ก่อนตัดสินว่าจะดำเนินการอย่างไร
  • การดำเนินการ อาจรวมถึงไม่ดำเนินการด้วย หรือใช้วิธีการอื่นดำเนินการ ซึ่งถ้าไปแบบขั้นสุดคือใช้คิวสวิตช์ หรือใช้การตักเตือนลูกค้า หรือใช้วิธีการอื่นในการดำเนินการ ซึ่งขึ้นกับว่าผลการสอบสวนแสดงผลออกมาอย่างไร
จุดเริ่มต้นในการตรวจสอบเป็นมาอย่างไร ต้องมีข้อร้องเรียน หรือดูจากการรายงานข่าวของสื่อมวลชน

นโยบายของบริษัทคือ การสอบสวนเริ่มจากพยานหลักฐานที่น่าเชื่อถือทุกชิ้น ไม่ว่าจะเป็น การรายงานของสื่อ รายงานขององค์การเอกชนที่ไม่แสวงหากำไร (เอ็นจีโอ) จากผู้แจ้งเบาะแสทั้งบุคคลภายนอก หรือบุคคลภายในที่อาจเป็นลูกจ้างของบริษัทที่ได้ยินบางอย่างจากลูกค้าแล้วเอามาตั้งเป็นประเด็น ทั้งหมดนี้คือสิ่งจำเป็นที่ต้องสอบสวน ต้องเป็นสิ่งที่น่าเชื่อถือ เป็นการกระทำที่เป็นไปได้ว่าเกิดจากเครื่องมือของเรา

วัตถุประสงค์ในการพัฒนาเพกาซัส เพื่อให้เข้าถึงมือถือของเป้าหมายโดยที่เป้าหมายไม่รู้ตัวใช่หรือไม่

ใช้คำไม่ถูกต้อง การใช้เพกาซัสขึ้นกับรัฐบาล หน่วยข่าวกรอง หน่วยบังคับใช้กฎหมาย เพื่อสอดแนมผู้ก่อการร้ายและอาชญากร

สปายแวร์เพกาซัสถูกออกแบบให้เข้าถึงมือถือเป้าหมายโดยที่เป้าหมายไม่รู้ตัวใช่หรือไม่

ขอย้ำว่าไม่ใช่สปายแวร์ แต่ถ้าใช้โดยหน่วยงานของรัฐบาล คำนี้ถูกต้อง

เพกาซัสออกแบบมาเพื่อไม่ให้เป้าหมายป้องกันการเข้าถึงได้ใช่ไหม

ใช่

ระบบเข้าถึงโดยที่เป้าหมายไม่จำเป็นต้องกดลิงก์ก่อน (Zero click) พัฒนามาเพื่อป้องกันไม่ให้ตรวจย้อนร่องรอยไปถึงลูกค้าได้ใช่หรือไหม

ถูกต้อง แต่เพกาซัสเป็นเครื่องมือหลักในการเข้าถึงมือถือ ไม่ว่าจะคลิกหรือไม่คลิกลิงก์ อาชญากร ผู้ก่อการร้าย ก็ไม่รู้ว่ากำลังถูกสอดแนม คนกำลังถูกดักฟัง ก็ไม่รู้ว่าถูกดักฟัง

จำเลยรู้ว่าลูกค้ามีความเสี่ยงที่จะเอาเครื่องมือนี้ไปใช้ละเมิดสิทธิคนทั่วไปใช่หรือไม่

ใช่ มีความเสี่ยง นั่นคือเหตุผลที่เราต้องควบคุมป้องกันการใช้งานผิดวัตถุประสงค์ เปรียบเสมือนพอมอบปืนให้ตำรวจแล้ว ตำรวจเอาปืนไปใช้ตามวัตถุประสงค์หรือไม่

จำเลยผลิตและจำหน่ายเพกาซัส แต่ไม่ต้องรับผิดชอบหากมีการใช้ผิดวัตถุประสงค์ นี่คือหลักการสำคัญของบริษัทใช่หรือไม่

เรามองตัวเองว่ามีความรับผิดชอบ เราไม่รับผิดชอบทางกฎหมายกรณีมีการใช้ผิดวัตถุประสงค์ แต่มีพันธสัญญาเรื่องสิทธิมนุษยชน จึงแบ่งความรับผิดชอบกัน แต่ถ้ามีกรณีเกิดขึ้นนอกเหนือการควบคุม ก็จะไม่รับผิดชอบทางกฎหมาย

เรื่องสิทธิมนุษยชน จำเลยรับผิดชอบยังไง

พันธสัญญาคือ จัดให้มีการปฏิบัติตามหลักการชี้แนะแห่งสหประชาชาติว่าด้วยธุรกิจกับสิทธิมนุษยชน (United Nations Guiding Principles on Business and Human Rights - UNGPs) และยึดถือหลักสิทธิมนุษยชนอย่างสูงสุด เคารพสิทธิมนุษยชน และปฏิบัติตามกฎหมายเหมือนกับกฎหมายอื่น ไม่ว่าจะเป็น กฎหมายฟอกเงิน กฎหมายต่อต้านการทุจริตในต่างประเทศ ส่วนเรื่องความรับผิดชอบต่อเหยื่อ เปรียบเหมือนเราเป็นธนาคารที่ไม่ต้องรับผิดชอบต่อการฟอกเงินของลูกค้า แต่ธนาคารกำหนดข้อปฏิบัติทางกฎหมายอย่างเข้มงวด



“คดีเพกาซัส” ในศาลแพ่งของไทย ถือเป็นคดีแรกของโลกที่จะมีคำตัดสินออกมาในเดือน พ.ย. นี้ตามการเปิดเผยของเจ้าหน้าที่โครงการอินเทอร์เน็ตเพื่อกฎหมายประชาชน (ไอลอว์ - iLaw)

ไอลอว์ และ ดิจิทัลรีช (DigitalReach) ได้เปิดเผยรายงาน "ปรสิตติดโทรศัพท์: ปฏิบัติการสอดส่องผู้เห็นต่างด้วยสปายแวร์เพกาซัสในประเทศไทย" เมื่อ 18 ก.ค. 2565 พบว่า มีคนไทยอย่างน้อย 35 คนตกเป็นเป้าหมายในการโจมตีโดยเพกาซัส

กลุ่มเป้าหมายที่ถูกสอดแนมส่วนใหญ่เป็นผู้มีบทบาทในช่วงชุมนุมเรียกร้องประชาธิปไตยและให้มีการปฏิรูปสถาบันพระมหากษัตริย์ เมื่อปี 2563-2564 โดยมีทั้งนักกิจกรรมการเมืองอย่างน้อย 24 คน, นักการเมืองฝ่ายค้าน 5 คน, นักวิชาการ 3 คน, เจ้าหน้าที่ขององค์กรไม่แสวงหาผลกำไร (เอ็นจีโอ) 3 คน

การสอดส่องและขโมยข้อมูลจากโทรศัพท์มือถือโดยใช้ซอฟต์แวร์สายลับเกิดขึ้นครั้งแรกเมื่อ 22 ต.ค. 2563 และครั้งสุดท้ายที่ตรวจพบคือ 19 พ.ย. 2564

กรณีของนายจตุภัทร์ ตรวจพบว่าถูกเจาะข้อมูลไป 3 ครั้ง เมื่อ 23 และ 28 มิ.ย. 2564 และ 9 ก.ค. 2564

เพกาซัสจะเจาะเข้าโทรศัพท์มือถือทั้งที่ใช้ระบบปฏิบัติการไอโอเอส (iOS) และแอนดรอยด์ (Android) แล้วดูดเอาข้อมูลต่าง ๆ เช่น ข้อความสนทนา รูปภาพ อีเมล บันทึกการโทร และยังสามารถจับภาพจากกล้อง เปิดไมโครโฟนเพื่อดักฟังการสนทนาชนิดที่เจ้าของเครื่องไม่รู้ตัว นอกจากนี้ยังสามารถเข้าถึงข้อมูลการใช้แอปพลิเคชันต่าง ๆ ทั้งเฟซบุ๊ก, วอตส์แอป, อินสตาแกรม, สไกป์ รวมถึงโมบายแบงก์กิงด้วย

ในระหว่างปี 2560 มีประชากรโลกยื่นฟ้องดำเนินคดีกับ เอ็นเอสโอ กรุ๊ป ผู้ผลิตเพกาซัส รวมถึงให้ตั้งคณะกรรมการขึ้นมาเป็นการเฉพาะเพื่อสอบสวนการใช้งานสปายแวร์เพกาซัสโดยมิอชอบในประเทศต่างๆ ราว 30 กรณี ในจำนวนนี้มีบริษัทแอปเปิล และเฟซบุ๊ก เป็นโจทก์ยื่นฟ้องเอ็นเอสโอ ในข้อหาใช้ซอฟต์แวร์ของบริษัทละเมิดสิทธิเสรีภาพของผู้ใช้งานด้วย

ต่อมาในปี 2564 กระทรวงพาณิชย์ของสหรัฐฯ ได้เพิ่มรายชื่อบริษัทเอ็นเอสโอในบัญชีรายชื่อบริษัทที่มีส่วนร่วมในกิจกรรมที่ขัดต่อความมั่นคงของชาติและผลประโยชน์ด้านนโยบายต่างประเทศของสหรัฐฯ เนื่องจากมีหลักฐานว่ามีการพัฒนาและจัดหาสปายแวร์ให้แก่รัฐบาลหลายประเทศ เพื่อใช้โจมตีเป้าหมายที่เป็นเจ้าหน้าที่รัฐ ผู้สื่อข่าว นักธุรกิจ นักกิจกรรม และนักวิชาการ

https://www.bbc.com/thai/articles/cgjv3p47x4yo