ศาลแพ่งยกฟ้องคดีสปายแวร์เพกาซัส เห็นว่า NSO Group ผู้ผลิตสปายแวร์เพกาซัส ไม่ได้กระทำละเมิดต่อโจทก์ โดยศาลไม่เชื่อว่าโจทก์ได้รับแจ้งเตือนจากแอปเปิลจริง และไม่มีผู้ตรวจจากซิติเซ่นแล็บ (Citizen Lab) มาเบิกความยืนยันรายละเอียดการตรวจ ผลการตรวจจึงรับฟังไม่ได้
21 พฤศจิกายน 2567 ศาลแพ่งนัดฟังคำพิพากษาในคดีที่ไผ่-จตุภัทร์ ฟ้อง NSO จากการใช้สปายแวร์เพกาซัสเจาะระบบล้วงข้อมูลส่วนบุคคล ที่ห้องพิจารณาคดี 608 เวลา 09.35 น. ณัฐดา อินฉัตร ผู้พิพากษาออกนั่งพิจารณาคดีและอ่านคำพิพากษา ใจความว่า โจทก์ฟ้องว่า จำเลยเป็นนิติบุคคล สัญชาติอิราเอล มีคิวไซเบอร์ (Q Cybers) เป็นผู้ถือหุ้นใหญ่ พัฒนา ผลิต และจำหน่ายสปายแวร์เพกาซัส ที่ถูกออกแบบมาให้เจาะระบบ สอดแนม และเข้าถึงข้อมูลส่วนบุคคลในโทรศัพท์มือถือของโจทก์ โดยวิธีที่ไม่ชอบด้วยกฎหมาย และผู้ตกเป็นเป้าหมายไม่สามารถป้องกันตนเองได้ และแม้จะขายสิทธิการใช้งานให้หน่วยงานของรัฐบาลต่างๆ แล้ว จำเลยยังมีหน้าที่ต้องดูแลและควบคุมการใช้สปายแวร์เพกาซัสให้เป็นไปตามข้อตกลง และตามวัตถุประสงค์เพื่อป้องกันอาชญากรรมร้ายแรงเท่านั้น
จำเลยให้การว่า จำเลยไม่ได้ดูแล ควบคุม หรือใช้เพกาซัสสปายแวร์กับเป้าหมาย จำเลยเป็นเพียงบริษัทผู้คิดค้นและพัฒนาเพื่อจำหน่ายให้แก่รัฐบาลประเทศต่างๆ ที่ผ่านการตรวจสอบและคัดกรองภายในของจำเลยแล้ว ภายใต้ใบอนุญาตการส่งออกที่เข้มงวดของรัฐบาลอิสราเอล หากตรวจพบว่ามีการใช้งานที่ไม่ถูกต้องจะเพิกถอนสิทธิการใช้ทันที จำเลยเป็นเพียงผู้พัฒนาและให้สิทธิการใช้งานแก่ลูกค้า รวมถึงช่วยบำรุงรักษา แต่ไม่เกี่ยวข้องกับการใช้งาน ลูกค้าเท่านั้นที่เป็นผู้ใช้ จำเลยไม่ได้ควบคุมการใช้งาน จึงไม่มีทางรู้ว่าเป้าหมายของลูกค้าคือใคร และไม่ได้เข้าถึงข้อมูลในอุปกรณ์อิเล็กทรอนิกส์ของเป้าหมาย
ประเด็นข้อพิพาท มี 3 ประเด็น คือ
- จำเลยกระทำละเมิดต่อโจทก์หรือไม่
- ค่าเสียหายมีเพียงใด
- ฟ้องโจทก์ขาดอายุความหรือไม่ ซึ่งโจทก์เป็นฝ่ายมีภาระในการพิสูจน์
ศาลมีปัญหาที่ต้องวินิจฉัย คือ จำเลยกระทำละเมิดหรือไม่ โจทก์มีผศ.ดร.ปริยกร ปุสวิโร เบิกความว่า จำเลยเป็นผู้ผลิตสปายแวร์ที่มีความสามารถในการเจาะระบบ ดัก และส่งข้อมูลไปยังเซิร์ฟเวอร์ของสปายแวร์ โดยใช้ช่องโหว่ที่เป้าหมายไม่ทราบจากระยะไกล เพียงแค่ทราบหมายเลขโทรศัพท์ก็สามารถโจมตีได้ เพราะไม่สามารถป้องกันได้ สปายแวร์จะดักรับ และทำสำเนาข้อมูลส่งให้ผู้ใช้ สามารถตรวจสอบร่องรอยได้จาก log file และข้อมูลการติดต่อกับเซิร์ฟเวอร์ที่ผิดปกติ
โจทก์ตรวจสอบพบ threat notifications จากแอปเปิลจากนั้น ยิ่งชีพ อัชฌานนท์ ผู้อำนวยการไอลอว์ได้ติดต่อสอบถามและประสานงานกับโจทก์เพื่อตรวจสอบการโจมตีโดยสปายแวร์เพกาซัส ต่อมาซิติเซ่นแล็บทำรายงาน สรุปได้ว่า โจทก์ถูกโจมตีโดยสปายแวร์เพกาซัส และยืนยันผลการตรวจสอบคู่ขนานกับแอมเนสตี้ อินเตอร์เนชั่นแนล (Amnesty International) ได้ผลตรงกัน จึงส่งผลการตรวจสอบให้โจทก์ทราบ
ศาลเห็นว่า แม้โจทก์จะอ้างว่า ตรวจสอบว่ามี threat notifications แต่อีเมลที่ปรากฏในเอกสารของโจทก์ไม่ใช่อีเมลของโจทก์ ส่อแสดงให้เห็นถึงเจตนาไม่สุจริต น่าเชื่อว่ามีการแก้ไขข้อมูล ศาลไม่เชื่อว่าโจทก์ได้รับข้อความแจ้งเตือน
แม้โจทก์จะนำสืบว่า ซิติเซ่นแล็บยืนยันว่าโทรศัพท์มือถือของโจทก์ถูกโจมตีเมื่อวันที่ 23, 28 มิถุนายน 2564 และ 9 กรกฎาคม 2564 แต่รายงาน Forcedentry พูดถึงกรณีทั่วไป ไม่เกี่ยวกับจำเลย ส่วนรายงาน Hide and Seek พูดถึงกรณีในปี 2561 มีเพียงรายงาน GeckoSpy ที่จัดทำเมื่อ 17 กรกฎาคม 2565 ย่อหน้าสุดท้ายระบุชื่อผู้ถูกโจมตีด้วยสปายแวร์เพกาซัส โดยใช้ log file ที่เชื่อมโยงกับสปายแวร์เพกาซัสที่ได้มาจากบางกรณีก่อนหน้า และมี time stamp ทำให้จำแนกวันที่ติดสปายแวร์ได้ ซิติเซ่นแล็บนำข้อมูลโทรศัพท์ของโจทก์ไปให้แอมเนสตี้ อินเตอร์เนชั่นแนล ยืนยันผลตรวจ ได้ผลตรงกัน
โจทก์มี ผศ.ดร.ปริยกร เบิกความว่า การตรวจสอบต้องดู log file ที่เก็บไว้ในเซิร์ฟเวอร์ ซึ่งเมื่อตรวจแล้วจะพบ IP Address ที่ผิดปกติซึ่งเป็นโครงสร้างของสปายแวร์เพกาซัส แต่ในเอกสารของซิติเซ่นแล็บ พบเพียงว่า โจทก์ติดสปายแวร์เพกาซัส แต่ไม่พบหลักฐานทางนิติวิทยาศาสตร์อย่างไร ตัวอย่างรหัส ตัวชี้วัดใน log file ที่เก็บหรือไม่ มี IP Address ที่ผิดปกติหรือไม่อย่างไร
โจทก์มีเพียงพยานที่อ้างถึงการเก็บข้อมูลการตรวจ แต่ไม่มีประจักษ์พยานที่เป็นผู้ตรวจมาเบิกความ ซึ่ง ผศ.ดร.ปริยกร เบิกความว่า การตรวจสอบต้องดู content ว่ามีแพทเทิร์นหรือ log file ที่ผิดปกติอย่างไร ข้อมูลถูกปรับแต่งอย่างไร โจทก์ไม่ได้นำผู้เชี่ยวชาญจากซิติเซ่นแล็บมาเบิกความว่า ชุดข้อมูลของโจทก์ถูกทำให้เปลี่ยนแปลงไปอย่างไร มีการตรวจวิเคราะห์ข้อมูลอย่างไร และไม่ปรากฏเหตุจำเป็นที่นำพยานมาเบิกความไม่ได้ ผลการตรวจจากซิติเซ่นแล็บจึงต้องห้ามรับฟัง ตามประมวลกฎหมายวิธีพิจารณาความแพ่ง มาตรา 95/1
พิเคราะห์แล้วเห็นว่า จำเลยไม่ได้กระทำละเมิดต่อโจทก์ จึงไม่ต้องพิจารณาประเด็นอื่น พิพากษายกฟ้อง
คดีนี้ ไผ่-จตุภัทร์ บุญภัทรรักษา ฟ้องคดีเมื่อ 13 กรกฎาคม 2566 คดีนี้นับเป็นคดีแรกของโลกที่ NSO ตกเป็นจำเลยและต่อสู้คดีจนกระทั่งสืบพยานฝ่ายโจทก์และจำเลยจนเสร็จสิ้น เมื่อวันที่ 3-6 และ 10 กันยายน 2567