ศาลแพ่งพิพากษายกฟ้อง คดีไผ่ดาวดิน ฟ้อง บ.เอ็นเอสโอ กรุ๊ป ใช้เพกาซัสสปายแวร์สอดแนมโทรศัพท์มือถือ ละเมิดสิทธิส่วนตัวและสิทธิเสรีภาพ
วันนี้ (21 พ.ย.67) ศาลแพ่งนัดฟังคำพิพากษาคดีหมายเลขดำที่ พ. 3370/2566 ระหว่างนายจตุภัทร์ บุญภัทรรักษา หรือไผ่ ดาวดิน เป็นโจทก์ ฟ้องบริษัท เอ็นเอสโอ กรุ๊ป เทคโนโลยี จำกัด เป็นจำเลย โดยโจทก์ฟ้องขอให้จำเลยระงับการใช้เพกาซัสสปายแวร์เพื่อสอดแนม เจาะระบบ และเข้าถึงข้อมูลส่วนบุคลของโจทก์ รวมถึงต้องส่งมอบข้อมูลที่ได้จาการควบคุมหรือใช้เพกาซัสสปายแวร์คืนแก่โจทก์ โดยจะต้องลบข้อมูลดังกล่าวออกจากฐานข้อมูลของจำเลยด้วย รวมทั้งให้จำเลยส่งมอบข้อมูลที่ได้จากการควบคุมหรือใช้เพกาซัสสปายแวร์ ที่ได้ส่งมอบให้กับหน่วยงานรัฐของไทยคืนแก่โจทก์ทั้งหมด และให้จำเลยเยียวยาชดใช้ความเสียหายอันเกิดจาการกระทำละเมิดสิทธิในความเป็นอยู่ส่วนตัวและสิทธิเสรีภาพอื่น ๆ ที่เกี่ยวข้อง เป็นเงิน 2 ล้านบาท พร้อมดอกเบี้ยในอัตราร้อยละ 5 ต่อปี และให้จำเลยชดใช้ค่าเสียหายแก่จิตใจของโจทก์ เป็นเงิน 5 แสนบาท พร้อมดอกเบี้ยในอัตราร้อยละ 5 ต่อปี
คดีนี้จำเลยให้การว่า เป็นเพียงบริษัทผู้ผลิตซอฟต์แวร์ แต่ไม่มีส่วนเกี่ยวข้องในการกระทำละเมิดต่อโจทก์ตามฟ้อง และฟ้องโจทก์ขาดอายุความ ศาลกำหนดประเด็นข้อพิพาทว่า จำเลยกระทำละเมิดต่อโจทก์หรือไม่ จำเลยต้องชดใช้ค่าเสียหายให้แก่โจทก์ เพียงใดและฟ้องโจทก์ขาดอายุความหรือไม่
ศาลพิเคราะห์พยานหลักฐานของโจทก์และจำเลยแล้ว วินิจฉัยโดยสรุปได้ว่า โจทก์ไม่สามารถแสดงพยานหลักฐานที่เพียงพอและน่าเชื่อถือในการพิสูจน์ว่า โทรศัพท์ของตนถูกโจมตีด้วยสปายแวร์ Pegasus ของจำเลย และหลักฐานที่นำมาสืบมีความคลาดเคลื่อนในข้อมูล รวมถึงขาดการสนับสนุนทางเทคนิคจากผู้เชี่ยวชาญโดยตรง โดยทางนำสืบของโจทก์ยังมีข้อขัดแย้งและความไม่สมบูรณ์ของพยานหลักฐานหลายประการ ดังนี้
เอกสารที่โจทก์อ้างว่าเป็นการเตือนภัยการถูกเจาะข้อมูลที่เจ้าของบริษัทผู้ผลิตโทรศัพท์เคลื่อนที่ส่งมายังโจทก์มีการระบุวันที่แจ้งเตือนภัยคุกคามเมื่อวันที่ 22 เม.ย 65 ซึ่งเป็นเวลาหลังจากเหตุการณ์โจมตีที่โจทก์อ้างในเดือน มิ.ย. และ ก.ค. 64 เกือบ 1 ปี
ข้อมูลอีเมลในเอกสารภาษาอังกฤษระบุอีเมลของบุคคลอื่น เช่น นายยิ่งชีพ อัชฌานนท์ (yingcheep.a@gmail.com) แต่ในคำแปลเอกสารกลับแปลเป็นอีเมลของโจทก์ (paijatupat@icloud.com) ซึ่งเป็นความคลาดเคลื่อนที่ไม่สมเหตุสมผล อีกทั้งเอกสารอาจแสดงถึงการแก้ไขหรือปรับเปลี่ยนข้อมูล
นอกจากนี้ยังมีความไม่สมบูรณ์ของพยานหลักฐานอื่น ๆ เช่น รายงานจากหน่วยงานซิติเซ็นแล็บ (Citizen Lab) และพยานผู้เชี่ยวชาญโดยโจทก์มีรายงานจากซิติเซ็นแล็บระบุเพียงว่าโทรศัพท์ของโจทก์ติดสปายแวร์ Pegasus แต่ไม่มีการระบุลักษณะของข้อมูลที่ถูกดึงออกไป หรือกระบวนการตรวจสอบเชิงเทคนิคที่ชัดเจน
พยานผู้เชี่ยวชาญของโจทก์ไม่ได้แสดงรายละเอียดเกี่ยวกับ “ล็อคไฟล์” (Log File) หรือข้อมูลอื่นที่สามารถพิสูจน์ได้ว่า Pegasus เจาะระบบปฏิบัติการของโทรศัพท์โจทก์ และไม่มีข้อมูลที่ยืนยันว่ามีไบนารีของสปายแวร์ Pegasus ในอุปกรณ์ของโจทก์ หรือข้อมูลที่แสดงถึงการเปลี่ยนแปลงในอุปกรณ์ที่เกิดจากสปายแวร์
อีกทั้งโจทก์มีการอ้างอิงรายงานและกรณีศึกษาที่ไม่เกี่ยวข้องกับการกระทำของจำเลยที่โจทก์บรรยายฟ้องโดยตรง เช่น รายงาน “FORCEDENTRY” และ “HIDE AND SEEK”เป็นกรณีศึกษาที่เกี่ยวข้องกับบุคคลอื่น เช่น นักเคลื่อนไหวในซาอุดิอาระเบีย และไม่สามารถเชื่อมโยงกับกรณีของโจทก์ได้โดยตรง
รายงาน “GeckoSpy” แม้จะกล่าวถึงการใช้ Pegasus ในประเทศไทย แต่เป็นเพียงการวิเคราะห์ทางนิติวิทยาศาสตร์ในเชิงทั่วไป ไม่มีข้อมูลที่เฉพาะเจาะจงถึงโจทก์ ประกอบกับโจทก์ไม่ได้เรียกประจักษ์พยานที่มีส่วนเกี่ยวข้องโดยตรง เช่น ผู้วิเคราะห์ข้อมูลของซิติเซ็นแล็บ หรือบุคคลที่ทำการดึงข้อมูลจากโทรศัพท์มาเบิกความในชั้นศาล พยานบุคคลที่โจทก์นำมาเบิกความเป็นเพียงผู้ดึงข้อมูลจากโทรศัพท์ของโจทก์ไปยังซิติเซ็นแล็บ ไม่ใช่ผู้วิเคราะห์ข้อมูลโดยตรง พยานหลักฐานของโจทก์เป็นเพียงพยานบอกเล่า ซึ่งไม่ได้รับฟังตามประมวลกฎหมายวิธีพิจารณาความแพ่ง มาตรา 95/1 เนื่องจากไม่มีการนำพยานบุคคลที่มีความเกี่ยวข้องโดยตรงมาเบิกความ
ข้อเท็จจริงที่โจทก์นำสืบมานั้นจึงยังไม่อาจฟังได้ว่าโทรศัพท์เคลื่อนที่ของโจทก์ถูกโจมตีโดยสปายแวร์เพกาซัสของจำเลย ดังนั้นจำเลยไม่ได้กระทำละเมิดต่อโจทก์ กรณีไม่จำต้องพิจารณาพยานหลักฐานของจำเลยและไม่จำต้องวินิจฉัยประเด็นอื่นอีก เพราะไม่ทำให้ผลของคดีเปลี่ยนแปลงไป พิพากษายกฟ้อง
