จากที่ปรากฏเป็นกระแสข่าวว่าหน่วยงานรัฐ ได้ซื้อสปายแวร์เพกาซัส จากบริษัทต่างประเทศ โดยสปายแวร์เป็นโปรแกรมคอมพิวเตอร์ ที่ใช้ล้วงข้อมูลในอุปกรณ์สื่อสารอิเล็กทรอนิกส์ เพื่อจะเอาข้อมูลไปใช้ประโยชน์ในด้านต่างๆ ซึ่งจุดประสงค์ของสปายแวร์ชนิดนี้มีเพื่อใช้ในการเฝ้าติดตามเครือข่ายก่อการร้าย ทลายการค้ามนุษย์ เครือข่ายยาเสพติด และเครือข่ายอาชญากรรมต่างๆ ที่เป็นภัยต่อรัฐ ทั้งยังมีเงื่อนไขการจำหน่าย คือ จะจำหน่ายให้กับรัฐบาล หรือหน่วยงานของรัฐบาลเท่านั้น จะไม่ขายให้เอกชนเด็ดขาด และการจะจำหน่ายต้องได้รับการอนุมัติจากกระทรวงกลาโหมของประเทศนั้นด้วย จากกรณีดังกล่าว จึงทำให้เกิดข้อสงสัยตามมาว่า หน่วยงานรัฐมีอำนาจที่จะทำแบบนั้น หรือไม่
กรณีดังกล่าวมีประเด็นข้อกฎหมายที่น่าพิจารณา ดังนี้
สิทธิในความเป็นส่วนตัว หรือ สิทธิส่วนบุคคล หมายถึง สิทธิของบุคคลที่จะใช้ชีวิตอย่างปกติสุข ปราศจากการรบกวนจากผู้อื่น รวมถึงสิทธิของบุคคลที่จะคาดหมายได้ว่าข้อมูลส่วนบุคคลของตนจะไม่ถูกเปิดเผยต่อสาธารณชนโดยที่เจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอม
จากหลักการดังกล่าว รัฐธรรมนูญแห่งราชอาณาจักรไทย ก็ได้ได้วางหลักคุ้มครองสิทธิในความเป็นอยู่ส่วนตัว เกียรติยศ ชื่อเสียง และครอบครัวของประชาชนเอาไว้ อย่างไรก็ตามก็มีข้อยกเว้นให้บุคคลอื่นสามารถกระทำการอันเป็นการละเมิดสิทธิส่วนบุคคลได้ แต่เพียงเท่าทีจำเป็นและเพื่อประโยชน์สาธารณะภายใต้บทบัญญัติของกฎหมายที่ได้ให้อำนาจเท่านั้น ยกตัวอย่างเช่น
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2560 มีวัตถุประสงค์คุ้มครองข้อมูลส่วนบุคคลให้มีประสิทธิภาพ มีมาตรการเยียวยาบุคคลที่ถูกละเมิดสิทธิในข้อมูลส่วนบุคคล มีหลักการสำคัญคือ ห้ามบุคคลอื่นเก็บ รวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล แต่ทั้งนี้ก็มีข้อยกเว้นว่าไม่นำหลักดังกล่าวมาใช้บังคับกับการดำเนินงานของหน่วยงานรัฐที่มีหน้าที่รักษาความมั่นคงของรัฐ รวมถึงการรักษาความปลอดภัยของประชาชน และการดำเนินกระบวนการทางศาล
จากการพิจารณาหลักการของกฎหมายคุ้มครองข้อมูลส่วนบุคคล ประกอบกับกรณีที่หน่วยงานรัฐได้ใช้สปายแวร์ล้วงข้อมูลในอุปกรณ์สื่อสารอิเล็กทรอนิกส์เพื่อจะเอาข้อมูลไปใช้ประโยชน์ในการเฝ้าติดตามอาชญากรรมต่างๆ ที่เป็นภัยต่อรัฐ โดยที่เจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอม จึงเป็นการกระทำอันเป็นการละเมิดสิทธิในข้อมูลส่วนบุคคล อย่างไรก็ตามเมื่อการกระทำดังกล่าวเป็นการดำเนินงานของหน่วยงานรัฐที่มีหน้าที่รักษาความปลอดภัยของประชาชนและรักษาความมั่นคงของรัฐ จึงได้รับการยกเว้นให้สามารถกระทำได้เพียงเท่าที่จำเป็นและเพื่อประโยชน์สาธารณะ
อย่างไรก็ตามหากปรากฏข้อเท็จจริงว่า มีการนำสปายแวร์ชนิดนี้ไปใช้ในการล้วงข้อมูลในอุปกรณ์สื่อสารอิเล็กทรอนิกส์ เพื่อใช้ติดตามตัว สอดแนมประชาชนผู้ที่มีความเห็นต่างทางการเมือง และติดตามสืบความเคลื่อนไหวของบุคคลเหล่านั้น จึงเป็นการใช้สปายแวร์ผิดวัตถุประสงค์ เป็นการใช้อำนาจเกินขอบเขตที่กฎหมายได้ให้อำนาจไว้ อันเป็นการละเมิดสิทธิส่วนบุคคล และหากปรากฏว่าเจ้าพนักงานนั้นมีเจตนาพิเศษเพื่อให้เกิดความเสียหายแก่บุคคลที่ถูกสอดแนม ก็เข้าข่ายมีความผิดฐานเป็นเป็นเจ้าพนักงาน ปฏิบัติหน้าที่โดยมิชอบเพื่อให้เกิดความเสียหายแก่ ผู้หนึ่งผู้ใด หรือปฏิบัติหรือละเว้นการปฏิบัติหน้าที่โดยทุจริต ตามมาตรา 157 แห่งประมวลกฎหมายอาญา ทั้งยังเข้าข่ายเป็นการทำละเมิดต่อบุคคลอื่น ต้องชดใช้ค่าสินไหมทดแทน ตามมาตรา 420 แห่งประมวลกฎหมายแพ่งและพาณิชย์
ดังนั้น การที่หน่วยงานรัฐใช้สปายแวร์ล้วงข้อมูลในอุปกรณ์สื่อสารอิเล็กทรอนิกส์ เพื่อจะเอาข้อมูลไปใช้ประโยชน์ในการเฝ้าติดตามอาชญากรรมต่างๆ ที่เป็นภัยต่อรัฐ หากกระทำการเท่าที่จำเป็นและเพื่อประโยชน์สาธารณะ ก็ได้รับการยกเว้นไม่ให้เป็นการละเมิดสิทธิส่วนบุคคล แต่หากได้ปรากฏข้อเท็จจริงว่าได้นำไปล้วงข้อมูล สอดแนมประชาชนคนทั่วไป ก็เรียกได้ว่าเป็นการกระทำโดยที่กฎหมายไม่ได้ให้อำนาจ เป็นการละเมิดสิทธิส่วนบุคคล เข้าข่ายมีความผิดตามประมวลกฎหมายอาญาและอาจต้องชดใช้ค่าสินไหมทดแทนตามประมวลกฎหมายแพ่งและพาณิชย์
ท่านที่สนใจสามารถศึกษาหลักกฎหมายที่เกี่ยวข้องได้ดังนี้
รัฐธรรมนูญแห่งราชอาณาจักรไทย
มาตรา 32 บุคคลย่อมมีสิทธิในความเป็นอยู่ส่วนตัว เกียรติยศ ชื่อเสียง และครอบครัว
การกระทําอันเป็นการละเมิดหรือกระทบต่อสิทธิของบุคคลตามวรรคหนึ่ง หรือการนําข้อมูลส่วนบุคคลไปใช้ประโยชน์ไม่ว่าในทางใดๆ จะกระทํามิได้ เว้นแต่โดยอาศัยอํานาจตามบทบัญญัติแห่งกฎหมาที่ตราขึ้นเพียงเท่าที่จําเป็นเพื่อประโยชน์สาธารณะ
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562
มาตรา 4 (2) พระราชบัญญัตินี้ไม่ใช้บังคับแก่ การดำเนินการของหน่วยงานของรัฐที่มีหน้าที่ในการรักษาความมั่นคงของรัฐ ซึ่งรวมถึงความมั่นคงทางการคลังของรัฐ หรือการรักษาความปลอดภัยของประชาชน รวมทั้งหน้าที่เกี่ยวกับการป้องกันและปราบปรามการฟอกเงิน นิติวิทยาศาสตร์ หรือการรักษาความมั่นคงปลอดภัยไซเบอร์ ประมวลกฎหมายอาญา
มาตรา 157 ผู้ใดเป็นเจ้าพนักงาน ปฏิบัติหรือละเว้นการปฏิบัติหน้าที่โดยมิชอบเพื่อให้เกิดความเสียหายแก่ ผู้หนึ่งผู้ใด หรือปฏิบัติหรือละเว้นการปฏิบัติหน้าที่โดยทุจริต ต้องระวางโทษจาคุกตั้งแต่ 1 ปี ถึง 10 ปีหรือปรับตั้งแต่ 2,000 บาทถึง 20,000 บาท หรือทั้งจำทั้งปรับ
ประมวลกฎหมายแพ่งและพาณิชย์
มาตรา 420 ผู้ใดจงใจหรือประมาทเลินเล่อ ทำต่อบุคคลอื่นโดยผิดกฎหมายให้เขาเสียหายถึงแก่ชีวิตก็ดี แก่ร่างกายก็ดี อนามัยก็ดี เสรีภาพก็ดี ทรัพย์สินหรือสิทธิอย่างหนึ่งอย่างใดก็ดี ท่านว่าผู้นั้นทำละเมิดจำต้องใช้ค่าสินไหมทดแทนเพื่อการนั้น
คำพิพากษาศาลฎีกาที่ 4436/2562 จำเลยเป็นผู้บังคับบัญชามีอำนาจจะอนุญาตให้โจทก์ลาหรือไม่ก็ได้ แต่การใช้ดุลยพินิจต้องอยู่บนรากฐานของความสมเหตุสมผลที่วิญญูชนทั่วไปยอมรับได้ว่ามิใช่เป็นการใช้ดุลยพินิจตามอำเภอใจ เมื่อปรากฏว่าจำเลยเคยมีปัญหาไม่พอใจกับโจทก์มาก่อน และเมื่อโจทก์ยื่นใบลากิจล่วงหน้าตามระเบียบ และภายหลังโจทก์ก็ได้ยื่นใบลาป่วยแทนใบลากิจที่จำเลยมีคำสั่งไม่อนุญาตไปก่อนแล้ว จำเลยจึงเกษียณคำสั่งคาดโทษโจทก์ว่า เป็นการลาเท็จ เพื่อหาเหตุตั้งคณะกรรมการสอบสวนการลาของโจทก์อันเป็นการหาเหตุลงโทษทางวินัยโจทก์ แม้ภายหลัง อ.ก.ค.ศ. เขตพื้นที่การศึกษา เขต 8 จะพิจารณายกเลิกคำสั่งดังกล่าว แต่โจทก์ก็ยังมิได้รับการเลื่อนขั้นเงินเดือนปกติ การกระทำของจำเลยจึงเป็นการก่อความเสียหายแก่โจทก์และเป็นการใช้ดุลยพินิจที่ไม่อยู่บนรากฐานของความสมเหตุสมผล เป็นการใช้ดุลยพินิจตามอำเภอใจ ถือได้ว่าจำเลยปฏิบัติหรือละเว้นการปฏิบัติหน้าที่โดยมิชอบเพื่อให้เกิดความเสียหายแก่โจทก์ อันเป็นความผิดตาม ป.อ. มาตรา 157