近年來,以色列軟體公司 NSO Group 旗下的「Pegasus」曾多次被指控遭世界各地執法或情報單位濫用,用於監控人權人士、記者及異議人士。美國加州北區聯邦法院法官於近期的裁定,再度引爆全球資訊安全圈的討論。該判決明確認定 NSO Group 違法駭入 Meta 所屬的 WhatsApp,並將進一步進行賠償金額的審理。
WhatsApp 與 NSO Group 之間的法律糾紛始末
WhatsApp 在 2019 年發現約有 1,400 名用戶(包含記者、人權工作者、異議人士與外交官等)疑似成為 Pegasus 間諜軟體的受害者後,對 NSO Group 提起訴訟。該駭客攻擊疑似利用 WhatsApp 伺服器的一個漏洞安裝 Pegasus,導致目標用戶的手機通訊被監控、資料外洩。
NSO Group 先前曾主張,其提供的 Pegasus 僅用於協助政府打擊恐怖主義與犯罪組織,並一度試圖以「行為豁免權」進行抗辯,主張自己僅是提供技術與授權,實際操作是各國政府的責任。然而,美國法院認定 NSO Group 必須為其軟體被非法使用及實際執行駭入行為負責。
2024 年 12 月,法官裁定 NSO Group 違反美國《電腦詐欺與濫用法》(Computer Fraud and Abuse Act)及 WhatsApp 的使用條款。此案接下來將進入賠償金額的審理階段;預計 2025 年 3 月會進一步決定 NSO Group 必須付出的損害賠償額度。
法官裁定對科技軟體業的警示
在本次判決中,法院針對「誰該為間諜工具的濫用負責」給出了明確答案:提供技術與維護的間諜軟體公司若參與實際操作或刻意協助,將難以推卸違法侵入他人系統的責任。這項裁定為其他同類型公司敲響警鐘,顯示「只授權、不負責」的作法不再能免除法律風險。
加拿大 Citizen Lab 資深研究員 John Scott-Railton 將這次裁定形容為「具有重大影響的里程碑式判決」。他指出,整個軟體產業過去多半假借「政府客戶使用行為不受廠商控制」的說法,躲避法律究責。本案結果說明,法院已認定軟體廠商在此類監控行為中扮演關鍵角色,不能任意撇清。
WhatsApp 與隱私權
WhatsApp 執行長 Will Cathcart 在社群媒體上強調,經過長達五年的奮戰,這次判決證明「間諜軟體公司無法再躲在法律或豁免權後方」。WhatsApp 也感謝多個組織的聲援,表示未來將持續為用戶隱私與安全把關,不會放鬆對非法監控行為的防堵。
除了 Meta(WhatsApp 的母公司),蘋果(Apple)也曾就類似議題提起訴訟,但後續選擇和 NSO Group 達成部分和解。儘管如此,美國政府對商業間諜軟體的態度日趨嚴格;2021 年起更把 NSO Group 列入出口管制實體清單,禁止美國政府機構購買該公司的產品或服務。