กสม.วินิจฉัยกรณีผู้ร้องรัฐบาลใช้สปายแวร์ ‘เพกาซัส’ สอดแนมข้อมูลส่วนตัว ละเมิดสิทธิ์ พบช่วงปี 63-64 มีผู้ชุมนุม-NGO ถูกสอดแนมโดยสปายแวร์นี้ 35 คน ชี้รัฐบาลควรสืบหาข้อเท็จจริง เร่งวางกฎระเบียบรองรับการใช้งานสปายแวร์เหล่านี้
สำนักข่าวอิศรา (www.isranews.org) รายงานว่า วันที่ 5 เมษายน 2567 นายวสันต์ ภัยหลีกลี้ กรรมการสิทธิมนุษยชนแห่งชาติ เปิดเผยว่า คณะกรรมการสิทธิมนุษยชนแห่งชาติ (กสม.) ได้รับเรื่องร้องเรียนจากผู้ร้องรายหนึ่ง ระบุว่า เมื่อเดือน พฤศจิกายน 2564 ผู้ร้องได้รับอีเมลแจ้งเตือนจากบริษัทผู้ผลิตโทรศัพท์เคลื่อนที่ยี่ห้อไอโฟน (iPhone) หรือ บริษัท แอปเปิล ว่า โทรศัพท์เคลื่อนที่ของผู้ร้องอาจถูกเจาะระบบเพื่อสอดแนมโดยผู้โจมตีที่ได้รับการสนับสนุนจากองค์กรของรัฐ
ผู้ร้องจึงติดต่อไปยังองค์กรที่มีความเชี่ยวชาญด้านเทคโนโลยีคอมพิวเตอร์ในต่างประเทศเพื่อขอให้ตรวจสอบ และพบว่าระบบโทรศัพท์เคลื่อนที่ของผู้ร้องถูกโจมตีโดยสปายแวร์ชื่อว่า “เพกาซัส (Pegasus)” ต่อเนื่องกัน 10 ครั้ง ตั้งแต่เดือนพฤศจิกายน 2563 ถึงเดือนพฤศจิกายน 2564 สปายแวร์ดังกล่าวผลิตขึ้นโดยบริษัท เอ็นเอสโอ กรุ๊ป เทคโนโลยี จำกัด ที่ตั้งอยู่ในประเทศอิสราเอล ซึ่งบริษัทผู้ผลิตกำหนดเงื่อนไขว่าจะขายผลิตภัณฑ์ให้เฉพาะหน่วยงานของรัฐเพื่อวัตถุประสงค์ในการป้องกันและปราบปรามอาชญากรรมร้ายแรงเท่านั้น
@พบนักกิจกรรมการเมือง 35 คน ถูกสอดแนม
ทั้งนี้ จากการตรวจสอบวิธีการทางเทคนิคคอมพิวเตอร์เพิ่มเติม พบว่ามีนักกิจกรรม นักการเมือง และนักวิชาการที่มีความคิดเห็นแตกต่างจากรัฐบาลอย่างน้อย 35 คน ถูกเจาะระบบโทรศัพท์เคลื่อนที่ด้วยสปายแวร์เพกาซัสเช่นเดียวกัน ทำให้ผู้ร้องเชื่อว่าเป็นการกระทำที่ได้รับการสนับสนุนจากหน่วยงานของรัฐในประเทศไทย อันเป็นการกระทำที่ไม่ชอบด้วยกฎหมาย และละเมิดต่อสิทธิในความเป็นอยู่ส่วนตัวของประชาชน จึงขอให้ตรวจสอบ
@สิทธิส่วนตัว ถุกคุ้มครองตามรัฐธรรมนูญ
กสม. ได้พิจารณาข้อเท็จจริงจากทุกฝ่าย ประกอบด้วย ผู้ร้อง ผู้เสียหาย หน่วยงานความมั่นคงที่เกี่ยวข้อง พยานผู้เชี่ยวชาญ เอกสารงานวิจัย รวมทั้งหลักกฎหมาย และหลักสิทธิมนุษยชนแล้ว เห็นว่า สิทธิในความเป็นอยู่ส่วนตัว เกียรติยศ ชื่อเสียง และครอบครัว และเสรีภาพในการติดต่อสื่อสารถึงกันไม่ว่าในทางใด ๆ ของประชาชน ได้รับการบัญญัติรับรองและคุ้มครองไว้ตามรัฐธรรมนูญแห่งราชอาณาจักรไทย พุทธศักราช 2560 และกติการะหว่างประเทศว่าด้วยสิทธิพลเมืองและสิทธิทางการเมือง (ICCPR) ในฐานะสิทธิมนุษยชนขั้นพื้นฐาน การจำกัดสิทธิและเสรีภาพดังกล่าวจะทำได้เฉพาะแต่กรณีที่มีกฎหมายให้อำนาจไว้เท่านั้น และต้องเป็นไปโดยสอดคล้องกับหลักความจำเป็นและหลักความได้สัดส่วน
@หลายหน่วยแจงมีการสอดแนมข้อมูล
ข้อเท็จจริงตามคำร้องปรากฏว่า รายงานวิจัยที่จัดทำโดยห้องปฏิบัติการ Citizen Lab สังกัดมหาวิทยาลัย Toronto ประเทศแคนาดา ได้ระบุข้อค้นพบจากการตรวจวิเคราะห์ด้วยวิธีการทางนิติวิทยาศาสตร์ว่า ในช่วงเดือนตุลาคม 2563 ถึงเดือนพฤศจิกายน 2564 มีผู้ถูกเจาะระบบโทรศัพท์เคลื่อนที่ด้วยสปายแวร์เพกาซัสในประเทศไทยอย่างน้อย 30 คน ประกอบด้วยนักกิจกรรม นักวิชาการ ผู้ที่ทำงานในองค์กรภาคประชาสังคม รวมถึงผู้ร้อง โดยข้อค้นพบที่ปรากฏนี้ได้รับการยืนยันผลการตรวจวิเคราะห์จากองค์กรที่มีความเชี่ยวชาญด้านการรักษาความปลอดภัยไซเบอร์อีกแห่งหนึ่งด้วย คือ ห้องปฏิบัติการด้านความปลอดภัยทางไซเบอร์ขององค์กรแอมเนสตี้ อินเตอร์เนชั่นแนลว่ามีการโจมตีด้วยสปายแวร์เพกาซัสต่อผู้ร้องและกลุ่มบุคคลดังกล่าว
สอดคล้องกับความเห็นของพยานผู้เชี่ยวชาญของ กสม. ที่ระบุว่าผลการตรวจวิเคราะห์ของห้องปฏิบัติการ Citizen Lab นั้น มีความน่าเชื่อถือ ประกอบกับเมื่อปี 2564 บริษัท แอปเปิล ได้ฟ้องบริษัท เอ็นเอสโอ กรุ๊ปฯ ในฐานะผู้พัฒนาสปายแวร์เพกาซัส โดยเรียกร้องให้มีการแสดงความรับผิดชอบต่อการใช้สปายแวร์เพกาซัสที่พุ่งเป้าการสอดแนมมายังผู้ใช้งานผลิตภัณฑ์ของบริษัท แอปเปิล ซึ่งเป็นช่วงเวลาเดียวกันกับที่บริษัท แอปเปิล ส่งอีเมลแจ้งเตือนผู้ร้องและผู้ใช้งานผลิตภัณฑ์ของบริษัทรายอื่น ๆ ให้ระมัดระวังการถูกเจาะระบบโทรศัพท์เคลื่อนที่จากผู้โจมตีที่ได้รับการสนับสนุนโดยรัฐ รวมทั้งยังปรากฏด้วยว่านับตั้งแต่ปี 2560 เป็นต้นมา มีการฟ้องร้องบริษัท เอ็นเอสโอ กรุ๊ปฯ เป็นคดีต่อศาลและมีการตั้งคณะกรรมการเฉพาะขึ้นมาสอบสวนการใช้งานสปายแวร์เพกาซัสโดยมิชอบในประเทศต่าง ๆ อีกหลายกรณี
นอกจากนี้ ในปี 2564 กระทรวงพาณิชย์ของสหรัฐอเมริกา ยังได้เพิ่มรายชื่อบริษัท เอ็นเอสโอ กรุ๊ป ฯ เข้าไปในบัญชีรายชื่อบริษัทที่มีส่วนร่วมในกิจกรรมที่ขัดต่อความมั่นคงของชาติและผลกระโยชน์ด้านนโยบายต่างประเทศของสหรัฐอเมริกา เนื่องจากมีหลักฐานว่ามีการจัดหาสปายแวร์ให้แก่รัฐบาลหลายประเทศ เพื่อใช้โจมตีไปยังเป้าหมายที่เป็นเจ้าหน้าที่ของรัฐ ผู้สื่อข่าว นักธุรกิจ นักกิจกรรม และนักวิชาการ ซึ่งส่งผลให้เกิดการปราบปรามผู้เห็นต่างโดยไม่จำกัดพรมแดน อันเป็นการกระทำที่ขัดกับกฎระเบียบในทางระหว่างประเทศ
วสันต์ ภัยหลีกลี้ กรรมการสิทธิมนุษยชนแห่งชาติ
@วินิจฉัยใช้เพกาซัสล้วงข้อมูล ละเมิดสิทธิ์
เมื่อพิจารณาถึงข้อเท็จจริงข้างต้น กสม. เห็นว่ากรณีตามคำร้องมีเหตุผลที่ทำให้เชื่อได้ว่ามีการใช้งานสปายแวร์เพกาซัสโจมตีระบบโทรศัพท์เคลื่อนที่เพื่อสอดแนมข้อมูลของผู้ร้อง รวมถึงนักกิจกรรม นักวิชาการ และผู้ที่ทำงานในองค์กรภาคประชาสังคมในประเทศไทย ทั้งที่กลุ่มคนข้างต้นไม่เคยปรากฏข่าวว่ามีประวัติเข้าไปเกี่ยวข้องกับการก่อการร้ายหรือการก่ออาชญากรรมที่มีความร้ายแรง เช่น การค้าอาวุธ การค้ามนุษย์ หรือการค้ายาเสพติด มีเพียงการถูกดำเนินคดีอันเนื่องมาจากการใช้เสรีภาพในการแสดงความคิดเห็นและเสรีภาพในการชุมนุมเพื่อคัดค้านหรือวิพากษ์วิจารณ์การดำเนินงานของรัฐบาลในช่วงที่ผ่านมา การเจาะระบบโทรศัพท์เคลื่อนที่เพื่อสอดแนมข้อมูลด้วยสปายแวร์เพกาซัส
จึงเข้าข่ายเป็นการใช้งานโดยมิชอบและผิดวัตถุประสงค์ของการผลิตหรือพัฒนาสปายแวร์เพกาซัสขึ้นมา อีกทั้งยังถือเป็นการกระทำที่ละเมิดต่อสิทธิในความเป็นอยู่ส่วนตัวของผู้ร้อง รวมถึงนักกิจกรรม นักวิชาการ และผู้ที่ทำงานในองค์กรภาคประชาสังคม และส่งผลให้เกิดความหวาดกลัวและความกังวลต่อการวิพากษ์วิจารณ์โดยสุจริตหรือการตรวจสอบการทำงานของรัฐบาลและหน่วยงานของรัฐ อันเป็นสิ่งที่พึงกระทำได้ตามปกติของการปกครองในระบอบประชาธิปไตย ซึ่งจะนำไปสู่การจำกัดเสรีภาพในการแสดงความคิดเห็น รวมทั้งสิทธิและเสรีภาพอื่น ๆ ของประชาชนที่จะเข้าไปมีส่วนร่วมทางการเมืองโดยตรงด้วย
แม้ข้อเท็จจริงตามคำร้องจะยังไม่มีพยานหลักฐานที่ระบุได้อย่างชัดเจนว่าหน่วยงานของรัฐในประเทศไทยหน่วยงานใดเป็นผู้ใช้งานสปายแวร์เพกาซัสเจาะระบบโทรศัพท์เคลื่อนที่เพื่อสอดแนมข้อมูลของผู้ร้อง รวมถึงนักกิจกรรม นักวิชาการ และผู้ที่ทำงานในองค์กรภาคประชาสังคมในประเทศไทย แต่เมื่อพิจารณาถึงข้อมูลบ่งชี้เกี่ยวกับบริบทแวดล้อม และความน่าจะเป็นต่าง ๆ ประกอบกัน เช่น นโยบายของบริษัท เอ็นเอสโอ กรุ๊ป ฯ ที่จะขายสปายแวร์เพกาซัสให้แก่เฉพาะหน่วยงานของรัฐในประเทศต่าง ๆ เท่านั้น หรือโดยเฉพาะอย่างยิ่งหากคำนึงถึงช่วงเวลาที่ผู้ร้องและผู้เสียหายอื่น ๆ ถูกโจมตีด้วยสปายแวร์ดังกล่าวว่ามักจะเกิดขึ้นในช่วงก่อนมีการจัดกิจกรรมหรือการชุมนุมวิพากษ์วิจารณ์การทำงานของรัฐบาล รวมทั้งเมื่อพิจารณาเอกสารประกอบการของบประมาณการจัดซื้อจัดจ้างในโครงการจัดหาระบบรวบรวมและประมวลผลข่าวกรองชั้นสูงของกองบัญชาการตำรวจปราบปรามยาเสพติด ซึ่งมีข้อมูลการจัดซื้อระบบเข้าถึงข้อมูลข่าวสารอิเล็กทรอนิกส์ในอดีต และระบบที่จะจัดหามาใช้งานใหม่มีคุณสมบัติในการส่ง Application Agent ไปติดตั้งบนโทรศัพท์เคลื่อนที่โดยที่เป้าหมายไม่รู้ตัว คล้ายกับรูปแบบการเจาะระบบปฏิบัติการของโทรศัพท์เคลื่อนที่เป้าหมายแบบไม่ต้องคลิก (Zero-click exploit) ที่เป็นคุณสมบัติเด่นของสปายแวร์เพกาซัส ด้วยเหตุที่กล่าวมานี้จึงไม่อาจปฏิเสธได้ว่าหน่วยงานของรัฐในประเทศไทยไม่ได้มีส่วนเกี่ยวข้องกับการใช้งานสปายแวร์เพกาซัสโจมตีเพื่อสอดแนมข้อมูลของนักกิจกรรม นักวิชาการ ผู้ที่ทำงานในองค์กรภาคประชาสังคม และผู้ร้อง
ด้วยเหตุผลข้างต้น กสม. ในคราวประชุมด้านการคุ้มครองและส่งเสริมสิทธิมนุษยชน เมื่อวันที่ 2 เมษายน 2567 เห็นว่า เพื่อให้เกิดความกระจ่างชัดในเรื่องการละเมิดสิทธิมนุษยชนอันเกิดจากการใช้สปายแวร์เพกาซัสมากยิ่งขึ้น และเพื่อให้เกิดการแสวงหามาตรการเยียวยาและการป้องกันไม่ให้เกิดการละเมิดสิทธิมนุษยชนในลักษณะนี้ขึ้นอีก
@สั่ง ครม. สืบหาข้อเท็จจริง - ร่างระเบียบกฎหมายรองรับการใช้สปายแวร์
จึงเห็นควรมีข้อเสนอแนะไปยังคณะรัฐมนตรี (ครม.) เพื่อให้สั่งการให้หน่วยงานของรัฐที่เกี่ยวข้องดำเนินการให้มีมาตรการหรือกลไกที่มีความเหมาะสม เป็นอิสระ และโปร่งใส ในการแสวงหาข้อเท็จจริงเกี่ยวกับการใช้งานสปายแวร์เพกาซัส สปายแวร์อื่น ๆ หรือเทคโนโลยีสอดแนมในลักษณะเดียวกันในทางที่อาจไม่เป็นไปตามกรอบของกฎหมายที่ให้อำนาจ หรือไม่สอดคล้องกับมาตรฐานระหว่างประเทศที่ประเทศไทยมีพันธกรณีต้องปฏิบัติตาม โดยผู้ดำเนินมาตรการหรือปฏิบัติหน้าที่ในกลไกข้างต้นต้องมีอำนาจในการเรียกเอกสาร พยานหลักฐาน หรือเข้าถึงข้อมูลที่เป็นความลับด้วย
นอกจากนี้ให้ ครม. สั่งการให้หน่วยงานที่เกี่ยวข้องเร่งศึกษาข้อมูล เพื่อให้มีกฎหมาย ระเบียบ แนวปฏิบัติ หรือกลไกในการกำกับ ควบคุม และตรวจสอบการใช้งานสปายแวร์หรือเทคโนโลยีสอดแนมของหน่วยงานของรัฐ เพื่อเป็นหลักประกันในการป้องกันไม่ให้มีการนำสปายแวร์หรือเทคโนโลยีดังกล่าวไปใช้งานในลักษณะที่ผิดวัตถุประสงค์ ไม่ชอบด้วยกฎหมาย หรือไม่สอดคล้องกับมาตรฐานระหว่างประเทศ ทั้งนี้ ในระหว่างที่ยังไม่มีกฎหมายหรือกลไกดังกล่าวให้กำชับหน่วยงานของรัฐที่มีอำนาจใช้เทคโนโลยีสอดแนมให้ใช้งานโดยถูกต้องตามกฎหมาย และสอดคล้องกับมาตรฐานระหว่างประเทศอย่างเคร่งครัดด้วย
ที่มาภาพปก: https://pixabay.com/th/