กสม. เชื่อมีการใช้ 'สปายแวร์ เพกาซัส' เสนอ ครม. สั่งการตรวจสอบ หาทางป้องกัน

กสม. เชื่อมีการใช้สปายแวร์เพกาซัสละเมิดสิทธิในความเป็นอยู่ส่วนตัว และเสรีภาพในการแสดงความคิดเห็น เสนอ ครม. สั่งการตรวจสอบ หาทางป้องกันการใช้งานในทางมิชอบ

5เม.ย.2567- นายวสันต์ ภัยหลีกลี้ กรรมการสิทธิมนุษยชนแห่งชาติ (กสม.)​ เปิดเผยว่ากสม. ได้รับเรื่องร้องเรียนจากผู้ร้องรายหนึ่ง ระบุว่า เมื่อเดือน พ.ย. 2564 ผู้ร้องได้รับอีเมลแจ้งเตือนจากบริษัทผู้ผลิตโทรศัพท์เคลื่อนที่ยี่ห้อไอโฟน หรือ บริษัท แอปเปิล ว่า โทรศัพท์เคลื่อนที่ของผู้ร้องอาจถูกเจาะระบบเพื่อสอดแนมโดยผู้โจมตีที่ได้รับการสนับสนุนจากองค์กรของรัฐ ผู้ร้องจึงติดต่อไปยังองค์กรที่มีความเชี่ยวชาญด้านเทคโนโลยีคอมพิวเตอร์ในต่างประเทศเพื่อขอให้ตรวจสอบ และพบว่าระบบโทรศัพท์เคลื่อนที่ของผู้ร้องถูกโจมตีโดยสปายแวร์ชื่อว่า “เพกาซัส (Pegasus)” ต่อเนื่องกัน 10 ครั้ง ตั้งแต่เดือนพ.ย.2563 -​ เดือนพ.ย. 2564 สปายแวร์ดังกล่าวผลิตขึ้นโดยบริษัท เอ็นเอสโอ กรุ๊ป เทคโนโลยี จำกัด ที่ตั้งอยู่ในประเทศอิสราเอล ซึ่งบริษัทผู้ผลิตกำหนดเงื่อนไขว่าจะขายผลิตภัณฑ์ให้เฉพาะหน่วยงานของรัฐเพื่อวัตถุประสงค์ในการป้องกันและปราบปรามอาชญากรรมร้ายแรงเท่านั้น ทั้งนี้ จากการตรวจสอบวิธีการทางเทคนิคคอมพิวเตอร์เพิ่มเติม พบว่ามีนักกิจกรรม นักการเมือง และนักวิชาการที่มีความคิดเห็นแตกต่างจากรัฐบาลอย่างน้อย 35 คน ถูกเจาะระบบโทรศัพท์เคลื่อนที่ด้วยสปายแวร์เพกาซัสเช่นเดียวกัน ทำให้ผู้ร้องเชื่อว่าเป็นการกระทำที่ได้รับการสนับสนุนจากหน่วยงานของรัฐในประเทศไทย อันเป็นการกระทำที่ไม่ชอบด้วยกฎหมาย และละเมิดต่อสิทธิในความเป็นอยู่ส่วนตัวของประชาชน จึงขอให้ตรวจสอบ

กสม. ได้พิจารณาข้อเท็จจริงจากทุกฝ่าย ประกอบด้วย ผู้ร้อง ผู้เสียหาย หน่วยงานความมั่นคงที่เกี่ยวข้อง พยานผู้เชี่ยวชาญ เอกสารงานวิจัย รวมทั้งหลักกฎหมาย และหลักสิทธิมนุษยชนแล้ว เห็นว่า สิทธิในความเป็นอยู่ส่วนตัว เกียรติยศ ชื่อเสียง และครอบครัว และเสรีภาพในการติดต่อสื่อสารถึงกันไม่ว่าในทางใด ๆ ของประชาชน ได้รับการบัญญัติรับรองและคุ้มครองไว้ตามรัฐธรรมนูญ2560 และกติการะหว่างประเทศว่าด้วยสิทธิพลเมืองและสิทธิทางการเมือง (ICCPR) ในฐานะสิทธิมนุษยชนขั้นพื้นฐาน การจำกัดสิทธิและเสรีภาพดังกล่าวจะทำได้เฉพาะแต่กรณีที่มีกฎหมายให้อำนาจไว้เท่านั้น และต้องเป็นไปโดยสอดคล้องกับหลักความจำเป็นและหลักความได้สัดส่วน

โดยข้อเท็จจริงตามคำร้องปรากฏว่า รายงานวิจัยที่จัดทำโดยห้องปฏิบัติการ Citizen Lab สังกัดมหาวิทยาลัย Toronto ประเทศแคนาดา ได้ระบุข้อค้นพบจากการตรวจวิเคราะห์ด้วยวิธีการทางนิติวิทยาศาสตร์ว่า ในช่วงเดือนต.ค. 2563 -​ พ.ย. 2564 มีผู้ถูกเจาะระบบโทรศัพท์เคลื่อนที่ด้วยสปายแวร์เพกาซัสในประเทศไทยอย่างน้อย 30 คน ประกอบด้วยนักกิจกรรม นักวิชาการ ผู้ที่ทำงานในองค์กรภาคประชาสังคม รวมถึงผู้ร้อง โดยข้อค้นพบที่ปรากฏนี้ได้รับการยืนยันผลการตรวจวิเคราะห์จากองค์กรที่มีความเชี่ยวชาญด้านการรักษาความปลอดภัยไซเบอร์อีกแห่งหนึ่งด้วย คือ ห้องปฏิบัติการด้านความปลอดภัยทางไซเบอร์ขององค์กรแอมเนสตี้ อินเตอร์เนชั่นแนลว่ามีการโจมตีด้วยสปายแวร์เพกาซัสต่อผู้ร้องและกลุ่มบุคคลดังกล่าว สอดคล้องกับความเห็นของพยานผู้เชี่ยวชาญของ กสม. ที่ระบุว่าผลการตรวจวิเคราะห์ของห้องปฏิบัติการ Citizen Lab นั้น มีความน่าเชื่อถือ ประกอบกับเมื่อปี 2564 บริษัท แอปเปิล ได้ฟ้องบริษัท เอ็นเอสโอ กรุ๊ปฯ ในฐานะผู้พัฒนาสปายแวร์เพกาซัส โดยเรียกร้องให้มีการแสดงความรับผิดชอบต่อการใช้สปายแวร์เพกาซัสที่พุ่งเป้าการสอดแนมมายังผู้ใช้งานผลิตภัณฑ์ของบริษัท แอปเปิล ซึ่งเป็นช่วงเวลาเดียวกันกับที่บริษัท แอปเปิล ส่งอีเมลแจ้งเตือนผู้ร้องและผู้ใช้งานผลิตภัณฑ์ของบริษัทรายอื่น ๆ ให้ระมัดระวังการถูกเจาะระบบโทรศัพท์เคลื่อนที่จากผู้โจมตีที่ได้รับการสนับสนุนโดยรัฐ รวมทั้งยังปรากฏด้วยว่านับตั้งแต่ปี 2560 เป็นต้นมา มีการฟ้องร้องบริษัท เอ็นเอสโอ กรุ๊ปฯ เป็นคดีต่อศาลและมีการตั้งคณะกรรมการเฉพาะขึ้นมาสอบสวนการใช้งานสปายแวร์เพกาซัสโดยมิชอบในประเทศต่าง ๆ อีกหลายกรณี นอกจากนี้ ในปี 2564 กระทรวงพาณิชย์ของสหรัฐอเมริกา ยังได้เพิ่มรายชื่อบริษัท เอ็นเอสโอ กรุ๊ป ฯ เข้าไปในบัญชีรายชื่อบริษัทที่มีส่วนร่วมในกิจกรรมที่ขัดต่อความมั่นคงของชาติและผลประโยชน์ด้านนโยบายต่างประเทศของสหรัฐอเมริกา เนื่องจากมีหลักฐานว่ามีการจัดหาสปายแวร์ให้แก่รัฐบาลหลายประเทศ เพื่อใช้โจมตีไปยังเป้าหมายที่เป็นเจ้าหน้าที่ของรัฐ ผู้สื่อข่าว นักธุรกิจ นักกิจกรรม และนักวิชาการ ซึ่งส่งผลให้เกิดการปราบปรามผู้เห็นต่างโดยไม่จำกัดพรมแดน อันเป็นการกระทำที่ขัดกับกฎระเบียบในทางระหว่างประเทศ

เมื่อพิจารณาถึงข้อเท็จจริงข้างต้น กสม. เห็นว่ากรณีตามคำร้องมีเหตุผลที่ทำให้เชื่อได้ว่ามีการใช้งานสปายแวร์เพกาซัสโจมตีระบบโทรศัพท์เคลื่อนที่เพื่อสอดแนมข้อมูลของผู้ร้อง รวมถึงนักกิจกรรม นักวิชาการ และผู้ที่ทำงานในองค์กรภาคประชาสังคมในประเทศไทย ทั้งที่กลุ่มคนข้างต้นไม่เคยปรากฏข่าวว่ามีประวัติเข้าไปเกี่ยวข้องกับการก่อการร้ายหรือการก่ออาชญากรรมที่มีความร้ายแรง เช่น การค้าอาวุธ การค้ามนุษย์ หรือการค้ายาเสพติด มีเพียงการถูกดำเนินคดีอันเนื่องมาจากการใช้เสรีภาพในการแสดงความคิดเห็นและเสรีภาพในการชุมนุมเพื่อคัดค้านหรือวิพากษ์วิจารณ์การดำเนินงานของรัฐบาลในช่วงที่ผ่านมา การเจาะระบบโทรศัพท์เคลื่อนที่เพื่อสอดแนมข้อมูลด้วยสปายแวร์เพกาซัส จึงเข้าข่ายเป็นการใช้งานโดยมิชอบและผิดวัตถุประสงค์ของการผลิตหรือพัฒนาสปายแวร์เพกาซัสขึ้นมา อีกทั้งยังถือเป็นการกระทำที่ละเมิดต่อสิทธิในความเป็นอยู่ส่วนตัวของผู้ร้อง รวมถึงนักกิจกรรม นักวิชาการ และผู้ที่ทำงานในองค์กรภาคประชาสังคม และส่งผลให้เกิดความหวาดกลัวและความกังวลต่อการวิพากษ์วิจารณ์โดยสุจริตหรือการตรวจสอบการทำงานของรัฐบาลและหน่วยงานของรัฐ อันเป็นสิ่งที่พึงกระทำได้ตามปกติของการปกครองในระบอบประชาธิปไตย ซึ่งจะนำไปสู่การจำกัดเสรีภาพในการแสดงความคิดเห็น รวมทั้งสิทธิและเสรีภาพอื่น ๆ ของประชาชนที่จะเข้าไปมีส่วนร่วมทางการเมืองโดยตรงด้วย

แม้ข้อเท็จจริงตามคำร้องจะยังไม่มีพยานหลักฐานที่ระบุได้อย่างชัดเจนว่าหน่วยงานของรัฐในประเทศไทยหน่วยงานใดเป็นผู้ใช้งานสปายแวร์เพกาซัสเจาะระบบโทรศัพท์เคลื่อนที่เพื่อสอดแนมข้อมูลของผู้ร้อง รวมถึงนักกิจกรรม นักวิชาการ และผู้ที่ทำงานในองค์กรภาคประชาสังคมในประเทศไทย แต่เมื่อพิจารณาถึงข้อมูลบ่งชี้เกี่ยวกับบริบทแวดล้อม และความน่าจะเป็นต่าง ๆ ประกอบกัน เช่น นโยบายของบริษัท เอ็นเอสโอ กรุ๊ป ฯ ที่จะขายสปายแวร์เพกาซัสให้แก่เฉพาะหน่วยงานของรัฐในประเทศต่าง ๆ เท่านั้น หรือโดยเฉพาะอย่างยิ่งหากคำนึงถึงช่วงเวลาที่ผู้ร้องและผู้เสียหายอื่น ๆ ถูกโจมตีด้วยสปายแวร์ดังกล่าวว่ามักจะเกิดขึ้นในช่วงก่อนมีการจัดกิจกรรมหรือการชุมนุมวิพากษ์วิจารณ์การทำงานของรัฐบาล รวมทั้งเมื่อพิจารณาเอกสารประกอบการของบประมาณการจัดซื้อจัดจ้างในโครงการจัดหาระบบรวบรวมและประมวลผลข่าวกรองชั้นสูงของกองบัญชาการตำรวจปราบปรามยาเสพติด ซึ่งมีข้อมูลการจัดซื้อระบบเข้าถึงข้อมูลข่าวสารอิเล็กทรอนิกส์ในอดีต และระบบที่จะจัดหามาใช้งานใหม่มีคุณสมบัติในการส่ง Application Agent ไปติดตั้งบนโทรศัพท์เคลื่อนที่โดยที่เป้าหมายไม่รู้ตัว คล้ายกับรูปแบบการเจาะระบบปฏิบัติการของโทรศัพท์เคลื่อนที่เป้าหมายแบบไม่ต้องคลิก (Zero-click exploit) ที่เป็นคุณสมบัติเด่นของสปายแวร์เพกาซัส ด้วยเหตุที่กล่าวมานี้จึงไม่อาจปฏิเสธได้ว่าหน่วยงานของรัฐในประเทศไทยไม่ได้มีส่วนเกี่ยวข้องกับการใช้งานสปายแวร์เพกาซัสโจมตีเพื่อสอดแนมข้อมูลของนักกิจกรรม นักวิชาการ ผู้ที่ทำงานในองค์กรภาคประชาสังคม และผู้ร้อง

นายวสันต์​ กล่าวอีกว่า ด้วยเหตุผลข้างต้น กสม. ในคราวประชุมด้านการคุ้มครองและส่งเสริมสิทธิมนุษยชน เมื่อวันที่ 2 เม.ย. 2567 เห็นว่า เพื่อให้เกิดความกระจ่างชัดในเรื่องการละเมิดสิทธิมนุษยชนอันเกิดจากการใช้สปายแวร์เพกาซัสมากยิ่งขึ้น และเพื่อให้เกิดการแสวงหามาตรการเยียวยาและการป้องกันไม่ให้เกิดการละเมิดสิทธิมนุษยชนในลักษณะนี้ขึ้นอีก จึงเห็นควรมีข้อเสนอแนะไปยังคณะรัฐมนตรี (ครม.) เพื่อให้สั่งการให้หน่วยงานของรัฐที่เกี่ยวข้องดำเนินการให้มีมาตรการหรือกลไกที่มีความเหมาะสม เป็นอิสระ และโปร่งใส ในการแสวงหาข้อเท็จจริงเกี่ยวกับการใช้งานสปายแวร์เพกาซัส สปายแวร์อื่น ๆ หรือเทคโนโลยีสอดแนมในลักษณะเดียวกันในทางที่อาจไม่เป็นไปตามกรอบของกฎหมายที่ให้อำนาจ หรือไม่สอดคล้องกับมาตรฐานระหว่างประเทศที่ประเทศไทยมีพันธกรณีต้องปฏิบัติตาม โดยผู้ดำเนินมาตรการหรือปฏิบัติหน้าที่ในกลไกข้างต้นต้องมีอำนาจในการเรียกเอกสาร พยานหลักฐาน หรือเข้าถึงข้อมูลที่เป็นความลับด้วย

นอกจากนี้ให้ ครม. สั่งการให้หน่วยงานที่เกี่ยวข้องเร่งศึกษาข้อมูล เพื่อให้มีกฎหมาย ระเบียบ แนวปฏิบัติ หรือกลไกในการกำกับ ควบคุม และตรวจสอบการใช้งานสปายแวร์หรือเทคโนโลยีสอดแนมของหน่วยงานของรัฐ เพื่อเป็นหลักประกันในการป้องกันไม่ให้มีการนำสปายแวร์หรือเทคโนโลยีดังกล่าวไปใช้งานในลักษณะที่ผิดวัตถุประสงค์ ไม่ชอบด้วยกฎหมาย หรือไม่สอดคล้องกับมาตรฐานระหว่างประเทศ ทั้งนี้ ในระหว่างที่ยังไม่มีกฎหมายหรือกลไกดังกล่าวให้กำชับหน่วยงานของรัฐที่มีอำนาจใช้เทคโนโลยีสอดแนมให้ใช้งานโดยถูกต้องตามกฎหมาย และสอดคล้องกับมาตรฐานระหว่างประเทศอย่างเคร่งครัดด้วย