กสม.ชี้หน่วยงานรัฐไทยเอี่ยวใช้สปายแวร์เพกาซัส ชงครม.สั่งสอบ-เรียกเอกสารลับ

วันที่ 5 เมษายน 2567 เวลา 10.30 น. วสันต์ ภัยหลีกลี้ กรรมการสิทธิมนุษยชนแห่งชาติแถลงข่าวกรณีสืบเนื่องจากการให้ตรวจสอบการใช้งานสปายแวร์ เพกาซัสต่อนักกิจกรรม นักการเมืองและนักวิชาการระหว่างปี 2563-2564 ก่อนหน้านี้ในเดือนกรกฎาคม 2565 iLaw และ DigitalReach ออกรายงานการสอบสวนการใช้สปาแวร์เพกาซัสในไทยโดยพบว่า มีผู้ตกเป็นเป้าหมายการโจมตีอย่างน้อย 35 คน มีเป้าหมายเพื่อหาข้อมูลการเคลื่อนไหวชุมนุมเพื่อเรียกร้องประชาธิปไตยและปฏิรูปสถาบันกษัตริย์ในช่วงปี 2563-2564 และ Citizen Lab สังกัดมหาวิทยาลัยโตรอนโต แคนาดายังได้ตรวจสอบทางเทคนิคคอมพิวเตอร์และออกรายงานทางเทคนิคที่ชี้ให้เห็นว่า มีผู้ที่ถูกโจมตีจากสปายแวร์เพกาซัสในไทยจริง

เพกาซัสเป็นชื่อของสปายแวร์ล้ำสมัยที่พัฒนาโดยเอ็นเอสโอ บริษัทสัญชาติอิสราเอลที่จะให้ขายให้กับหน่วยงานรัฐเท่านั้น ในหน้าเว็บไซต์ของบริษัทระบุว่า การสร้างเทคโนโลยีของบริษัทนั้นจะช่วยให้หน่วยงานของรัฐป้องกันและสอบสวนการก่อการร้ายและอาชญากรรมที่ร้ายแรง หากในความเป็นจริงผู้ที่ตกเป็นเป้าหมายโจมตีมีทั้งนักข่าวและนักสิทธิมนุษยชนที่ไม่มีส่วนเกี่ยวข้องกับอาชญากรรมร้ายแรงใด

ต่อมากลุ่มผู้เสียหายนำโดยยิ่งชีพ อัชฌานนท์ ผู้อำนวยการ iLaw ไผ่-จตุภัทร์ บุญภัทรรักษา นักกิจกรรมกลุ่มทะลุฟ้าและตัวแทนแนวร่วมธรรมศาสตร์และการชุมนุมเมื่อวันที่ 21 กันยายน 2565 คณะกรรมการสิทธิมนุษยชนแห่งชาติ (กสม.) ใช้เวลาตรวจสอบประมาณหนึ่งปีกับหกเดือนจนมีผลการตรวจสอบออกมาเมื่อวันที่ 2 เมษายน 2567 

โดยสรุปแล้วกสม. เชื่อว่า มีการใช้สปายแวร์ เพกาซัสละเมิดสิทธิจริง โดยพิจารณาจากความน่าเชื่อถือของการตรวจสอบทางเทคนิคคอมพิวเตอร์ที่ไปในทิศทางเดียวกันกับพยานผู้เชี่ยวชาญของกสม. และบริบทแวดล้อมในต่างประเทศ เช่น การที่แอปเปิลฟ้องคดีต่อเอ็นเอสโอ และกระทรวงพาณิชย์ของสหรัฐอเมริกา เพิ่มรายชื่อเอ็นเอสโอเข้าไปในบัญชีรายชื่อบริษัทที่มีส่วนร่วมในกิจกรรมที่ขัดต่อความมั่นคงของชาติและผลประโยชน์ด้านนโยบายต่างประเทศของสหรัฐอเมริกา เนื่องจากมีหลักฐานว่ามีการจัดหาสปายแวร์ให้แก่รัฐบาลหลายประเทศ เพื่อใช้โจมตีไปยังเป้าหมายที่เป็นเจ้าหน้าที่ของรัฐ ผู้สื่อข่าว นักธุรกิจ นักกิจกรรม และนักวิชาการ ซึ่งส่งผลให้เกิดการปราบปรามผู้เห็นต่างโดยไม่จำกัดพรมแดน อันเป็นการกระทำที่ขัดกับกฎระเบียบในทางระหว่างประเทศ 

ด้วยเหตุผลดังกล่าวทำให้เชื่อว่า ผู้ร้องและผู้ที่ถูกโจมตีรายอื่นๆ เป็นเหยื่อจากสปายแวร์เพกาซัส และบุคคลทั้งหมดไม่ได้มีส่วนเกี่ยวข้องกับอาชญากรรมร้ายแรงใด มีเพียงการถูกดำเนินคดีอันเนื่องมาจากการใช้เสรีภาพในการแสดงความคิดเห็นและเสรีภาพในการชุมนุมเพื่อคัดค้านหรือวิพากษ์วิจารณ์การดำเนินงานของรัฐบาลในช่วงที่ผ่านมา จึงเข้าข่ายเป็นการใช้งานโดยมิชอบและผิดวัตถุประสงค์ ทั้งยังเป็นการละเมิดสิทธิความเป็นส่วนตัวและส่งผลให้เกิดความหวาดกลัวต่อการวิพากษ์วิจารณ์โดยสุจริตหรือการตรวจสอบการทำงานของรัฐบาลและหน่วยงานของรัฐ

ข้อเท็จจริงตามคำร้องยังไม่มีพยานหลักฐานที่ระบุได้อย่างชัดเจนว่าหน่วยงานของรัฐในประเทศไทยหน่วยงานใดเป็นผู้ใช้งานสปายแวร์เพกาซัส แต่เมื่อพิจารณาจากการขายให้หน่วยงานรัฐ และช่วงเวลาที่ถูกโจมตีที่มักจะเกิดขึ้นก่อนการจัดชุมนุมวิจารณ์รัฐบาล และพิจารณาเอกสารประกอบการของบประมาณการจัดซื้อจัดจ้างในโครงการจัดหาระบบรวบรวมและประมวลผลข่าวกรองชั้นสูงของกองบัญชาการตำรวจปราบปรามยาเสพติด “ซึ่งมีข้อมูลการจัดซื้อระบบเข้าถึงข้อมูลข่าวสารอิเล็กทรอนิกส์ในอดีต และระบบที่จะจัดหามาใช้งานใหม่มีคุณสมบัติในการส่ง Application Agent ไปติดตั้งบนโทรศัพท์เคลื่อนที่โดยที่เป้าหมายไม่รู้ตัว คล้ายกับรูปแบบการเจาะระบบปฏิบัติการของโทรศัพท์เคลื่อนที่เป้าหมายแบบไม่ต้องคลิก (Zero-click exploit) ที่เป็นคุณสมบัติเด่นของสปายแวร์เพกาซัส ด้วยเหตุที่กล่าวมานี้จึงไม่อาจปฏิเสธได้ว่าหน่วยงานของรัฐในประเทศไทยไม่ได้มีส่วนเกี่ยวข้องกับการใช้งานสปายแวร์เพกาซัสโจมตีเพื่อสอดแนมข้อมูลของนักกิจกรรม นักวิชาการ ผู้ที่ทำงานในองค์กรภาคประชาสังคม และผู้ร้อง”

กสม.เห็นควรมีข้อเสนอแนะไปยังคณะรัฐมนตรี (ครม.) เพื่อให้สั่งการให้หน่วยงานของรัฐที่เกี่ยวข้องดำเนินการในการแสวงหาข้อเท็จจริงเกี่ยวกับการใช้งานสปายแวร์ในทางที่อาจไม่เป็นไปตามกรอบของกฎหมายที่ให้อำนาจ หรือไม่สอดคล้องกับมาตรฐานระหว่างประเทศที่ประเทศไทยมีพันธกรณีต้องปฏิบัติตาม โดยผู้ดำเนินมาตรการหรือปฏิบัติหน้าที่ในกลไกข้างต้นต้องมีอำนาจในการเรียกเอกสาร พยานหลักฐาน หรือเข้าถึงข้อมูลที่เป็นความลับด้วย 

นอกจากนี้ให้ ครม. สั่งการให้หน่วยงานที่เกี่ยวข้องเร่งศึกษาข้อมูล เพื่อให้มีกฎหมาย ระเบียบ แนวปฏิบัติ หรือกลไกในการกำกับ ควบคุม และตรวจสอบการใช้งานสปายแวร์หรือเทคโนโลยีสอดแนมของหน่วยงานของรัฐ เพื่อเป็นหลักประกันในการป้องกันไม่ให้มีการนำสปายแวร์หรือเทคโนโลยีดังกล่าวไปใช้งานในลักษณะที่ผิดวัตถุประสงค์ ไม่ชอบด้วยกฎหมาย หรือไม่สอดคล้องกับมาตรฐานระหว่างประเทศ ทั้งนี้ ในระหว่างที่ยังไม่มีกฎหมายหรือกลไกดังกล่าวให้กำชับหน่วยงานของรัฐที่มีอำนาจใช้เทคโนโลยีสอดแนมให้ใช้งานโดยถูกต้องตามกฎหมาย และสอดคล้องกับมาตรฐานระหว่างประเทศอย่างเคร่งครัดด้วย