นักเคลื่อนไหวยื่นฟ้องรัฐ หลังพบการใช้สปายแวร์ ‘เพกาซัส’ สอดแนมประชาชน

เมื่อพูดคำว่า ‘เพกาซัส’ (Pegasus) หลายคนจะนึกถึงม้าสีขาวมีปีกซึ่งเป็นสัตว์ในเทพนิยายกรีก แต่ในแวดวงเทคโนโลยี คำว่าเพกาซัสยังเป็นชื่อของสปายแวร์ (spyware) หรือโปรแกรมที่ถูกออกแบบเพื่อการโจรกรรมข้อมูลส่วนบุคคล ซึ่งเจ้าสปายแวร์ตัวนี้ขึ้นชื่อลือชาว่าสามารถเจาะเข้ามือถือของใครก็ได้ และแทบจะเป็นไปไม่ได้ที่จะป้องกันเพกาซัส

ด้วยความร้ายกาจของสปายแวร์ที่ชื่อเพกาซัส ทำให้หลายรัฐบาลทั่วโลกนำมาใช้ในทางที่ผิด เช่น การใช้เพื่อสอดแนมประชาชน กลุ่มคนที่เป็นคนเห็นต่าง ศัตรูทางการเมือง โดยเพกาซัสมีความสามารถในการเข้าถึงข้อมูลในมือถือได้หลากหลาย เช่น ตำแหน่งของผู้ใช้ การส่งข้อความ ประวัติการโทร อีเมล รูปภาพ วิดีโอ ไฟล์ โซเชียลมีเดีย รหัสผ่านที่อยู่ในมือถือ

สำหรับประเทศไทย มีรายการการใช้สปายแวร์เพกาซัสตั้งแต่ปี 2557 ก่อนจะมีการตรวจพบครั้งใหญ่ในปี 2564 หลังบริษัทแอปเปิล ผู้ผลิตไอโฟน แจ้งเตือนมือถือของนักเคลื่อนไหวทางการเมือง นักวิชาการ ว่าอาจจะตกเป็นเป้าหมายของการโจมตีที่ได้รับการสนับสนุนโดยรัฐ ก่อนจะทราบในภายหลังว่าถูกโจมตีด้วยเพกาซัสสปายแวร์

หลังพบหลักฐานการใช้เพกาซัสสปายแวร์ภายในประเทศไทย ภาคประชาชนดำเนินการฟ้องหน่วยงานรัฐต่อศาล เพื่อขอให้ศาลสั่งหยุดการใช้สปายแวร์สอดแนมประชาชน อันเป็นการใช้อำนาจโดยไม่ชอบด้วยกฎหมาย และเป็นการละเมิดสิทธิมนุษยชน พร้อมเรียกค่าเสียหายรวม 5 ล้านบาท

• ‘Pegasus Spyware’ ปรสิตเกาะนักกิจกรรมอย่างน้อย 30 คน ถึงเวลาตั้งคำถามกับ ‘งบลับความมั่นคง’
• เมื่อประชาชนฟ้องบริษัทสปายแวร์

เพกาซัส 101: สปายแวร์โจรกรรมข้อมูลมหาประลัย

เพกาซัสสปายแวร์ถูกผลิตโดยบริษัท NSO Group ซึ่งตั้งอยู่ในประเทศอิสราเอล โดย ชาเลฟ ฮูลิโอ (Shalev Hulio) หนึ่งในผู้ก่อตั้งบริษัท NSO Group อธิบายการทำงานของสปายแวร์ตัวนี้ว่า มันสามารถถูกส่งให้ ‘บินไปในอากาศ’ เพื่อเจาะระบบอุปกรณ์เป้าหมายได้ มีรายงานด้วยว่า เพกาซัสสามารถเข้าถึงมือถือของเป้าหมายได้ แม้จะไม่ได้กดคลิก (zero click) ลิงก์ หรือไฟล์ใดๆ ก็ตาม

เมื่อเพกาซัสเจาะเข้ามือถือ มือถือเครื่องนั้นจะถูกล้วงข้อมูลได้ทุกอย่าง ทั้งตำแหน่งของผู้ใช้ ข้อมูลการส่งข้อความ ประวัติการโทร อีเมล รูปภาพ วิดีโอ ไฟล์  โซเชียลมีเดีย รหัสผ่าน ที่น่าเป็นกังวลมากที่สุดคือ สามารถเข้าถึงการใช้งานมือถือ อย่างเช่น การสั่งเปิดกล้อง ไมโครโฟน เพื่อดักฟัง หรือจับตาดู ไม่ต่างจากกล้องวงจรปิดเคลื่อนที่ โดยที่เจ้าของไม่สามารถรู้ได้เลยว่ากำลังถูกสอดแนมอยู่

ความล้ำหน้าของเพกาซัสอีกอย่างคือ ‘แทบจะไม่มีวิธีการป้องกัน’ มีรายงานว่า แม้แต่ไอโฟนซึ่งได้รับการยอมรับเรื่องการป้องกันการเจาะระบบมือถือ ยังไม่สามารถป้องกันเพกาซัสได้ อีกทั้งพวกมาตรการป้องกันความเป็นส่วนตัว อย่างการใช้งานอินเทอร์เน็ตผ่านเครือข่ายเสมือน (VPN) การเข้ารหัสจากปลายทางถึงปลายทาง (as end-to-end encryption) หรือการยืนยันตัวตนสองชั้น (two-factor authentication) ก็ไม่สามารถป้องกันการเจาะเข้ามาของเพกาซัสได้เช่นกัน

‘คนเห็นต่าง’ กำลังตกเป็นเป้าของสปายแวร์เพกาซัส

ด้วยอานุภาพที่เหนือชั้นของเพกาซัส ทำให้มันสุ่มเสี่ยงที่จะถูกนำมาใช้ในทางที่ผิด แม้ NSO Group บริษัทผู้ผลิตเพกาซัส จะอ้างว่า สปายแวร์ถูกออกแบบมาเพื่อป้องกันและสืบสวนการก่อการร้ายและอาชญากรรมร้ายแรง เช่น การก่อการร้าย การค้ามนุษย์ หรืออาชญากรรมที่เกี่ยวข้องกับยาเสพติด แต่ก็มีรายงานว่า ผู้ที่ถูกเจาะระบบโดยเพกาซัสมีทั้งบุคคลสำคัญทางการเมือง และคนที่ทำงานด้านสิทธิมนุษยชน หรือสื่อสารมวลชน

ในปี 2565 Citizen Lab องค์กรที่จับตาเรื่องสิทธิมนุษยชนในโลกไซเบอร์ สังกัดมหาวิทยาลัยโตรอนโต เผยแพร่รายงานว่า มีเจ้าหน้าที่และนักการเมืองระดับสูงในแคว้นกาตาลุญญาของสเปน รวมถึงบุคคลที่เกี่ยวข้องกับขบวนการเคลื่อนไหวเรียกร้องเอกราชให้กาตาลุญญาแยกตัวจากสเปน อย่างน้อย 63 คน ตกเป็นเหยื่อของเพกาซัส และในปีเดียวกัน Citizen Lab ยังแจ้งไปถึงรัฐบาลอังกฤษว่า บุคลากรที่ทำงานอยู่ในบ้านเลขที่ 10 ถนนดาวน์นิง ซึ่งเป็นที่ทำงานของนายกรัฐมนตรีอังกฤษ รวมถึงกระทรวงการต่างประเทศอังกฤษ อาจตกเป็นเป้าหมายของเพกาซัสด้วย

เช่นเดียวกับประเทศไทย จากข้อมูลที่โครงการอินเทอร์เน็ตเพื่อกฎหมายประชาชน (iLaw) ทำงานร่วมกับ DigitalReach และ Citizen Lab ระบุว่า หลังบริษัทแอปเปิลแจ้งเตือนว่า มือถือของพวกเขาอาจจะตกเป็นเป้าหมายของการโจมตีที่ได้รับการสนับสนุนโดยรัฐ มีการตรวจสอบพบการใช้เพกาซัสตั้งแต่ปี 2563-2564 จำนวน 35 คน โดยคนส่วนใหญ่ที่ถูกเจาะระบบมีบทบาทในการประท้วงเพื่อเรียกร้องประชาธิปไตย สนับสนุนการปฏิรูปการเมืองและสถาบันพระมหากษัตริย์

ในรายงานที่ iLaw ทำร่วมกับ DigitalReach และ Citizen Lab ตั้งข้อสังเกตการใช้เพกาซัสกับบรรดานักกิจกรรม นักเคลื่อนไหว นักการเมือง และนักวิชาการ ว่า แรงจูงใจน่าจะมาจากการสอดส่องกิจกรรมบนโลกออนไลน์ของผู้ชุมนุม หรือติดตามสถานการณ์การประท้วง เนื่องจากพบการเจาะระบบในวันที่ใกล้เคียงกับการเคลื่อนไหวทางการเมืองของกลุ่มผู้ชุมนุมในประเทศ

ยกตัวอย่างเช่น จุฑาทิพย์ ศิริขันธ์ หนึ่งในนักเคลื่อนไหวในนามกลุ่ม ‘เยาวชนปลดแอก’ ถูกเจาะข้อมูลอย่างน้อย 6 ครั้ง หนึ่งในนั้นคือ 21 ตุลาคม 2563 ซึ่งเป็นวันที่ผู้ชุมนุมหลายหมื่นคนเดินขบวนจากอนุสาวรีย์ชัยสมรภูมิไปที่ทำเนียบรัฐบาลเพื่อเรียกร้องให้ พลเอกประยุทธ์ จันทร์โอชา ลาออกจากตำแหน่งนายกรัฐมนตรี 

หรือกรณีของ อานนท์ นำภา ทนายความและนักเคลื่อนไหวด้านสิทธิมนุษยชน ถูกเจาะมือถือด้วยเพกาซัสในวันที่ 10 และ 14 กรกฎาคม 2564 ซึ่งเกิดขึ้นก่อนหน้าการชุมนุมขนาดใหญ่เนื่องในวันครบรอบหนึ่งปีขบวนการเคลื่อนไหวเพื่อประชาธิปไตยที่จัดขึ้นในวันที่ 18 กรกฎาคม 2564 

นอกจากนี้ ยังพบการใช้เพกาซัสกับเอ็นจีโอ เช่น ยิ่งชีพ อัชฌานนท์ ผู้อำนวยการ iLaw ที่ถูกเจาระบบในวันที่ 1 ธันวาคม 2563 ซึ่งเป็นวันก่อนที่กลุ่มราษฎรจะจัดการชุมนุมหลังศาลรัฐธรรมนูญมีคำวินิจฉัยเรื่องบ้านพักพลเอกประยุทธ์หนึ่งวัน หรือถูกเจาระบบในวันที่ 10 กุมภาพันธ์ 2564 ซึ่งเป็นวันที่กลุ่มราษฎรนัดชุมนุมเพื่อเรียกร้องให้ยกเลิกมาตรา 112 และปล่อยตัวนักกิจกรรมที่อยู่ในเรือนจำ

ทั้งนี้ ยังมีนักวิชาการและนักการเมืองที่ออกมาวิพากษ์วิจารณ์รัฐบาล หรือแสดงความคิดเห็นทางการเมือง ถูกเจาะระบบมือถือโดยเพกาซัสด้วยเหมือนกัน เช่น รศ.ดร.ปิยบุตร แสงกนกกุล อดีตเลขาธิการพรรคอนาคตใหม่ พรรณิการ์ วานิช อดีตโฆษกพรรคอนาคตใหม่ ศ.ดร.พวงทอง ภวัครพันธุ์ อาจารย์คณะรัฐศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย รศ.ดร.ประจักษ์ ก้องกีรติ อาจารย์คณะรัฐศาสตร์ มหาวิทยาลัยธรรมศาสตร์ และ สฤณี อาชวานันทกุล นักเขียน นักแปล และนักวิชาการอิสระด้านการเงินและเศรษฐศาสตร์

ประชาชนยื่นฟ้องศาล - สั่งหน่วยรัฐหยุดสอดแนมประชาชน

หลังการตรวจสอบพบการใช้เพกาซัสภายในประเทศไทย กลุ่มผู้เสียหาย นำโดย ยิ่งชีพ อัชฌานนท์ ผู้อำนวยการ iLaw และ อานนท์ นำภา ทนายความและนักเคลื่อนไหวด้านสิทธิมนุษยชน ได้ยื่นฟ้องต่อศาลปกครองในวันที่ 20 มิถุนายน 2566 เพื่อสั่งให้หน่วยงานรัฐจำนวน 9 แห่ง ที่อาจมีส่วนเกี่ยวข้องกับการใช้เพกาซัสสปายแวร์ ยุติการสอดแนมประชาชนอย่างไม่ชอบด้วยกฎหมาย

หน่วยงานรัฐที่ถูกยื่นฟ้อง ได้แก่ สำนักนายกรัฐมนตรี ซึ่งกำกับดูแลกองอำนวยการรักษาความมั่นคงภายในราชอาณาจักร (กอ.รมน.) และสำนักข่าวกรองแห่งชาติ สำนักงานตำรวจแห่งชาติ กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม กองทัพบก กองทัพเรือ กองทัพอากาศ กรมสอบสวนคดีพิเศษ กระทรวงการคลัง และ คณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์

ในคำฟ้องระบุว่า เหตุที่ทำให้เชื่อว่า หน่วยงานข้างต้นมีส่วนเกี่ยวข้องกับเพกาซัสสปายแวร์ว่า เนื่องจากแนวปฏิบัติการทำธุรกิจของบริษัท NSO Group จะทำธุรกิจเฉพาะกับหน่วยงานภาครัฐ ประกอบกับการอภิปรายทั่วไปเพื่อลงมติไม่ไว้วางใจของ ศรัณย์ ทิมสุวรรณ ส.ส.พรรคเพื่อไทย ในวันที่ 19 กรกฎาคม 2565 ทำให้ ชัยวุฒิ ธนาคมานุสรณ์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ได้ชี้แจงในเชิงยอมรับต่อสภาว่า เคยได้ทำการศึกษาและอาจจะมีการใช้งานเพกาซัสสปายแวร์จริงในงานด้านความมั่นคงและยาเสพติด 

ต่อมาในวันที่ 21 กรกฎาคม 2565 หลังการอภิปรายทั่วไปเพื่อลงมติไม่ไว้วางใจของ พิจารณ์ เชาวพัฒนวงศ์ ส.ส.พรรคก้าวไกล ทำให้ พลเอกชัยชาญ ช้างมงคล รัฐมนตรีช่วยว่าการกระทรวงกลาโหม ต้องชี้แจงว่า รัฐบาลไม่มีนโยบายใช้สปายแวร์ละเมิดสิทธิส่วนบุคคล แต่กระนั้น พลเอกชัยชาญ ก็ไม่ได้ปฏิเสธการครอบครองเพกาซัส และเป็นเพียงการกล่าวชี้แจงด้วยวาจา 

ต่อมา ปกรณ์วุฒิ อุดมพิพัฒน์สกุล ส.ส.พรรคก้าวไกล พบเอกสารชี้แจงรายละเอียดการใช้งบประมาณของกองบัญชาการตำรวจปราบปรามยาเสพติด (บช.ปส.) ที่ระบุถึง ‘โครงการจัดหาระบบรวบรวมและประมวลผลข่าวกรองชั้นสูง’ และจากเอกสาร ระบุว่าเป็นใบเสนอราคาของบริษัท Q CYBER ซึ่งเป็นบริษัทในเครือของ NSO Group และมีการอธิบายการทำงานของสปายแวร์ที่เหมือนกับเพกาซัส

โดยการฟ้องคดีดังกล่าว ผู้ฟ้องคดีเห็นว่า การใช้เพกาซัสสปายแวร์ไม่ชอบด้วยรัฐธรรมนูญและกฎหมาย เนื่องจากรัฐธรรมนูญ ปี 2560 มาตรา 32 กำหนดให้การจำกัดสิทธิในความเป็นอยู่ส่วนตัวจะกระทำได้ต่อเมื่อมีอำนาจตามบทบัญญัติแห่งกฎหมาย และจะต้องกระทำการเท่าที่จำเป็นและเพื่อประโยชน์สาธารณะ แต่การเจาะมือถือของผู้ฟ้องคดีทั้งสอง ไม่ปรากฏหลักฐานว่าผู้ฟ้องคดีทั้งสองคนกระทำการอันเข้าข่ายจะเป็นภัยต่อความมั่นคง หรือกระทบต่อประโยชน์สาธารณะในวันเวลาดังกล่าว 

รวมถึงการเจาะระบบมือถือมีมูลเหตุมาจากการต้องการสอดแนมการเคลื่อนไหวทางการเมืองของประชาชน เพื่อจำกัด หรือขัดขวางการใช้สิทธิเสรีภาพในการแสดงออกและการชุมนุมโดยสงบ จึงไม่ถือว่าเป็นการกระทำเพื่อผลประโยชน์สาธารณะ รวมถึงการเข้าถึงข้อมูลส่วนตัวยังเป็นการเข้าถึงข้อมูลในลักษณะกว้างขวางเกินกว่าความจำเป็น

อีกทั้งการใช้เพกาซัสสปายแวร์เป็นการใช้เทคโนโลยีเพื่อเข้าถึงระบบและข้อมูลที่ใส่รหัสผ่าน ขัดต่อพระราชบัญญัติว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ปี 2560 เนื่องจากเป็นการเข้าถึงระบบคอมพิวเตอร์ที่มีมาตรการป้องกันการเข้าถึงโดยเฉพาะโดยมิชอบด้วยกฎหมาย และเป็นการดักรับข้อมูลคอมพิวเตอร์โดยมิชอบด้วยกฎหมาย เนื่องจากไม่มีเหตุอันควรเชื่อว่าผู้ฟ้องคดีมีการกระทำความผิดตาม พ.ร.บ.คอมพิวเตอร์ฯ 

ในการฟ้องคดีครั้งนี้ ผู้ฟ้องร้องขอศาลปกครองให้สั่งให้ระงับการใช้สปายแวร์เพกาซัสสอดแนมผู้ที่ถูกฟ้องทั้งสอง ให้เปิดเผยข้อมูลการใช้สปายแวร์เพกาซัส และส่งมอบข้อมูลที่ได้ไปคืนให้กับผู้ถูกฟ้องทั้งสอง นอกจากนั้นยังให้เยียวยาความเสียหายที่เกิดขึ้นจากการละเมิดในหน้าที่ของเจ้าหน้าที่ให้ผู้ฟ้องคดีคนละ 2 ล้านบาท และค่าเสียหายต่อจิตใจของผู้ฟ้องคดีทั้งสองที่เกิดจากการกระทำละเมิดของเจ้าหน้าที่ คนละ 500,000 บาท รวมเป็น 5 ล้านบาท