วันนี้ (26 ต.ค.) ที่สมาคมนักข่าวนักหนังสือพิมพ์แห่งประเทศไทย นางสุรางคณา วายุภาพ ผู้อำนวยการสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ.) หรือ เอ็ตด้า (ETDA) กล่าวในงานราชดำเนินเสวนาหัวข้อ “อันตรายกฎหมายไซเบอร์...?” จัดโดยสมาคมนักข่าวนักหนังสือพิมพ์แห่งประเทศไทย สมาคมนักข่าววิทยุและโทรทัศน์ไทย สมาคมผู้ผลิตข่าวออนไลน์ และ ชมรมนักข่าวสายเทคโนโลยีสารสนเทศ (ITPC) ว่า ข้อกังวลเกี่ยวกับร่าง พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ...หลักๆ คือ
1. กรณีไม่ให้อุทธรณ์ แม้ (ร่าง) พ.ร.บ.ดังกล่าวจะไม่ระบุการอุทธรณ์ไว้อย่างกฎหมายอื่น แต่การทำงานของ กปช. ยังอยู่ภายใต้กฎหมายอย่างน้อย 2 ฉบับ คือ พ.ร.บ.วิธีปฏิบัติราชการทางปกครอง พ.ศ.2539 กรณีเลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กปช.) ใช้อำนาจแล้วมีผู้ไม่เห็นด้วยจึงสามารถร้องเรียนได้ กับประมวลกฎหมายอาญามาตรา 157 กรณี กปช. ใช้อำนาจโดยมิชอบ ซึ่งส่วนตัวอยากให้เขียนไว้ดีกว่าเรื่องการอุทธรณ์เพื่อให้ประชาชนเกิดความสบายใจ แต่ก็ขึ้นกับในชั้นกฤษฎีกาว่าจะแก้ไขหรือไม่
2. กรณีไม่ผ่านศาล ปัจจุบันภันคุกคามทางไซเบอร์เกิดขึ้นอย่างรวดเร็ว อาจสร้างความเสียหายได้เป็นวงกว้าง การขอศาลอาจไม่ทันการ ซึ่งส่วนตัวก็กังวลในการใช้กฎหมายเช่นกัน
3.การเรียกข้อมูลกรณีภัยร้ายแรง (มาตรา 56) ที่มีคำว่า “ความมั่นคงของรัฐ” กับ “ความสงบเรียบร้อยของประชาชน” เรื่องนี้ก็น่ากังวลหลังมีบทเรียนจาก พ.ร.บ.คอมฯ ที่แม้เจตนาดีแต่การบังคับใช้ในประเด็นความมั่นคงถูกตีความก้าวล่วงไปถึงเรื่องเนื้อหาด้วย ก็ต้องฝากให้ทางกฤษฎีกานำไปปรับแก้
และ 4. การเข้าถึงข้อมูลส่วนบุคคล ในเจตนารมณ์ของกฎหมาย ข้อมูลที่ กปช. เข้าถึงและจัดเก็บได้ต้องเป็นข้อมูลที่เกี่ยวข้องกับภัยคุกคามไซเบอร์เท่านั้น อย่างไรก็ตาม หากอ่านตามตัวอักษรก็อาจตีความตามที่หลายฝ่ายกังวลถึงการเก็บข้อมูลอย่างกว้างขวางของประชาชนได้ ดังนั้น ต้องปรับแก้ให้ชัดเจนกว่าที่เป็นอยู่ โดยคาดว่าการปรับแก้จะแล้วเสร็จในเดือนหน้า เพื่อนำเสนอคณะรัฐมนตรี (ครม.) ในเดือน ธ.ค.2561
นายไพบูลย์ อมรภิญโญเกียรติ ผู้ทรงคุณวุฒิคณะกรรมการเตรียมการไซเบอร์แห่งชาติ กล่าวว่า (ร่าง) พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ... มีต้นแบบมาจากกฎหมาย Cyber Security Act 2018 ของสิงคโปร์ แต่เมื่อถูกนำมาปรับใช้ในการเขียนกฎหมายของไทยกลับมีการปรับเปลี่ยนเนื้อหากว่า 80% ยกตัวอย่างมาตรา 56 (2) ที่มีคำว่า “ความมั่นคงของรัฐ” กับ “ความสงบเรียบร้อยของประชาชน” ซึ่งจุดนี้สามารถถูกตีความได้อย่างกว้างขวาง ผู้ถืออำนาจรัฐอาจสั่งการให้เลขา กปช. ดำเนินการบางอย่างกับเนื้อหาที่ตนเห็นว่าไม่เหมาะสมได้ จึงควรเพิ่มคำว่า “ระบบคอมพิวเตอร์” เข้าไปด้วย
นอกจากนี้ ยังให้อำนาจเลขาฯกปช.ยิ่งใหญ่มาก คือการที่มีคำสั่งใดๆ ออกมาแล้วผู้ได้รับผลกระทบไม่สามารถอุทธรณ์ได้ ในขณะที่กฎหมายแบบเดียวกันของสิงคโปร์ไม่ปิดช่องทางดังกล่าว โดยกฎหมายของสิงคโปร์กำหนดให้ผู้รับผิดชอบมีอำนาจ 2 ส่วน ส่วนแรกคือ การสั่งผู้ให้บริการปรับปรุงหลักเกณฑ์การรักษาความปลอดภัยไซเบอร์ รวมถึงเรียกข้อมูลการให้บริการมาตรวจสอบได้ กับส่วนที่ 2 คือ หากข้อมูลนั้นเป็นข้อมูลส่วนบุคคล และทำสัญญารักษาความลับของลูกค้า ผู้ให้บริการสามารถปฏิเสธไม่ให้ข้อมูลได้ แต่เมื่อมาดูร่างพ.ร.บ.ดังกล่าวของไทยมาตรา 46 ที่ให้อำนาจเลขาฯ กปช.เรียกดูข้อมูลได้ ซึ่งสิงคโปร์นั้น การขอข้อมูลในรอบแรกผู้ให้บริการสามารถปฏิเสธได้ แต่ถ้าฝ่ายรัฐมีข้อมูลที่เชื่อได้ว่าบุคคลดังกล่าวเกี่ยวข้องกับการทำอันตรายต่อความปลอดภัยไซเบอร์ก็จะมีมาตรการขั้นถัดไป ที่สำคัญคือฝ่ายเอกชนผู้ให้บริการในสิงคโปร์สามารถอุทธรณ์คำสั่งของเลขากปช.ของสิงคโปร์ได้
นอกจากนี้ ร่างพ.ร.บ.ของไทย มีบทลงโทษกรณีขัดคำสั่งเลขากปช. ในทุกกรณี ต่างจากกฎหมายของสิงคโปร์ที่ระบุว่าต้อง “ไม่ปฏิบัติตามโดยไม่มีเหตุผลอันสมควร” ทั้งที่เป็นหลักการสำคัญในการออกกฎหมาย อีกทั้งในมาตรา 58 ที่ให้อำนาจเลขาฯ กปช. เข้าถึงระบบหรืออุปกรณ์ที่เกี่ยวข้องกับไซเบอร์ซึ่งหน่วยงานหรือบุคคลใดครอบครองอยู่และดำเนินการได้หลายอย่าง เช่นในข้อ (2) ทำสำเนา สกัดคัดกรอง โดยยังใช้คำว่า “มีเหตุอันควรสงสัยว่า” เช่นเดียวกับมาตรา 57 โดยที่ไม่ต้องขอหมายศาล ส่วนในข้อ (4) ที่ให้อำนาจยึดอุปกรณ์ที่เกี่ยวข้องกับไซเบอร์ แม้ข้อนี้จะใช้คำว่า “มีเหตุอันเชื่อได้ว่า” แต่ก็ยังน่ากังวลเพราะเป็นคำสั่งที่ไม่สามารถอุทธรณ์ได้ และเรื่องนี้จริงๆ แล้วควรจะมีศาลเข้ามาเกี่ยวข้องด้วย ต่อให้เป็นเรื่องเร่งด่วนอย่างน้อยก็ต้องรายงานให้ศาลรับทราบ
นายเจษฎา ศิวรักษ์ หัวหน้ากลุ่มวิชาการ คณะทำงานความมั่นคงปลอดภัยไซเบอร์ฯ สมาคมโทรคมนาคมแห่งประเทศไทยในพระบรมราชูปถัมภ์ กล่าวว่า หากเทียบกับหลักการของกลุ่มประเทศที่อยู่ในองค์การเพื่อความร่วมมือและการพัฒนาทางเศรษฐกิจ (OECD) ซึ่งในปี 2555 OECD มีรายงานแนะนำให้ ในการออกกฎหมายในเรื่อง Cyber Security ต้องคำนึงถึงไม่เพียงแต่ความมั่นคงของชาติอย่างเดียว แต่ต้องคำนึงถึงภาคประชาชน ภาคสังคมและภาคเศรษฐกิจด้วย แต่ร่างกฎหมายไทยเปิดมาก็เจอหลักการความมั่นคงของชาติกับความสงบเรียบร้อยเสียแล้ว ทั้งนี้ ในการออกกฎหมายความมั่นคงปลอดภัยไซเบอร์ของ OECD นั้น เน้นความร่วมมือของหลายหน่วยงาน เพราะภัยคุกคามไซเบอร์มีทั้งมุมกว้างและมุมลึก เช่น อินเตอร์เน็ตถือเป็นไซเบอร์ แต่การที่ระบบอินเตอร์เน็ตล่มอาจเกิดจากการลอบวางระเบิดโครงข่ายสัญญาณโทรคมนาคมซึ่งเป็นโครงสร้างที่ไม่ใช่ไซเบอร์ก็ได้ จึงไม่สร้างหน่วยงานใหม่แต่พยายามประสานการทำงานของหน่วยงานต่างๆ ทั้งรัฐและเอกชนที่เกี่ยวข้องเข้าด้วยกัน
“ภาคเอกชนของโทรคมนาคมโดนโจมตีทางไซเบอร์อยู่ทุกวันอยู่แล้ว แต่เขาก็มีมาตรการรับมืออยู่เพราะถ้าเน็ตเวิร์คเขาล่มชื่อเสียงเขาก็ไปก่อน สิ่งที่เขากลัวคือพอหน่วยงานรัฐตั้งมาใหม่แต่ประสบการณ์ไม่มี ไม่ออกกฎอะไรก็ไม่รู้ เขาจะทำอย่างไร หลายปีที่ผ่านมาโอเปอเรเตอร์มือถือ 3 เจ้าถูกโจมตีไหม ก็โดนอยู่ทุกวันโดนเป็นปกติ แต่เขาก็รู้วิธีการรับมือ เรื่องนี้เป็นส่วนหนึ่งที่เขาเน้น”
ทั้งนี้ งานความมั่นคงปลอดภัยไซเบอร์เป็นงานที่มีต้องอาศัยความร่วมมือกันระหว่างประเทศ จึงต้องสร้างกลไกที่เอื้อต่อความร่วมมือนี้ด้วย รวมถึงต้องระวังเรื่อง เสรีภาพบนอินเตอร์เน็ต เพราะหากออกกฎหมายเพื่อลดทอนเสรีภาพนี้โดยไม่สมเหตุสมผล จะส่งผลกระทบต่อการขยายตัวของภาคธุรกิจบนอินเตอร์เน็ตได้
รศ.คณาธิป ทองรวีวงศ์ ผู้อำนวยการสถาบันกฎหมายสื่อดิจิทัล มหาวิทยาลัยเกษมบัณฑิต กล่าวว่า ในทางสากลแม้สิทธิ 2 ประเภทคือสิทธิในการแสดงความคิดเห็นและสิทธิความเป็นส่วนตัวจะสามารถถูกจำกัดโดยกฎหมายได้ แต่การออกกฎหมายมาจำกัดสิทธิดังกล่าวต้องมีขอบเขตไม่กว้างเกินไปและมีการตรวจสอบถ่วงดุล ซึ่งเมื่อมาดูร่าง พ.ร.บ.ดังกล่าว พบการออกกฎหมายที่สามารถตีความได้กว้างขวางมาก เช่น มาตรา 43 ว่าด้วยอำนาจของ กปช. ในการกำหนดว่าหน่วยงานผู้ให้บริการใดจะถือเป็นโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ในข้อ (8) ระบุว่า “ด้านอื่นตามที่ กปช. ประกาศกำหนดเพิ่มเติม” จะกระทบต่อผู้ประกอบการอย่างกว้างขวางหรือไม่ อาทิ เมื่อมีเหตุมัลแวร์ระบาดในคอมฯ ตั้งแต่เจ้าของธุรกิจขนาดใหญ่จนถึงพ่อค้าแม่ค้าออนไลน์รายย่อยๆ สามารถถูกกำหนดให้เป็นโครงสร้างพื้นฐานสำคัญทางสารสนเทศตามกฎหมายนี้ได้ทั้งสิ้น ทำให้อาจเป็นภาระเกินสมควรได้
อย่างไรก็ตาม แม้ร่างกฎหมายล่าสุดจะเขียนนิยามความมั่นคงไซเบอร์ไว้ที่ระบบสารสนเทศจึงไม่น่าจะครอบคลุมถึงเนื้อหา เช่น การโพสต์ข้อความโจมตีรัฐบาล แต่สุดท้ายก็ต้องขึ้นอยู่กับการตีความ อย่างไรก็ตามที่น่ากังวลมากไม่แพ้กันคือแม้กฎหมายจะไม่มีโทษโดยตรงกับเรื่องดังกล่าว แต่อาจเข้าข่ายปรากฏการณ์ “Chilling Effect” ที่ประชาชนกลัวได้รับผลกระทบจากกฎหมายในทางอ้อม จนไม่กล้าแสดงความคิดเห็นเลยก็ได้ เช่น การเข้ามาสอดส่องพฤติกรรมบนโลกออนไลน์ของประชาชน แล้วเก็บข้อมูลไปเอาผิดในเรื่องอื่นๆ ได้
JJNY : วงเสวนาร่างพ.ร.บ.ไซเบอร์ หวั่นละเมิดสิทธิประชาชน
1. กรณีไม่ให้อุทธรณ์ แม้ (ร่าง) พ.ร.บ.ดังกล่าวจะไม่ระบุการอุทธรณ์ไว้อย่างกฎหมายอื่น แต่การทำงานของ กปช. ยังอยู่ภายใต้กฎหมายอย่างน้อย 2 ฉบับ คือ พ.ร.บ.วิธีปฏิบัติราชการทางปกครอง พ.ศ.2539 กรณีเลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กปช.) ใช้อำนาจแล้วมีผู้ไม่เห็นด้วยจึงสามารถร้องเรียนได้ กับประมวลกฎหมายอาญามาตรา 157 กรณี กปช. ใช้อำนาจโดยมิชอบ ซึ่งส่วนตัวอยากให้เขียนไว้ดีกว่าเรื่องการอุทธรณ์เพื่อให้ประชาชนเกิดความสบายใจ แต่ก็ขึ้นกับในชั้นกฤษฎีกาว่าจะแก้ไขหรือไม่
2. กรณีไม่ผ่านศาล ปัจจุบันภันคุกคามทางไซเบอร์เกิดขึ้นอย่างรวดเร็ว อาจสร้างความเสียหายได้เป็นวงกว้าง การขอศาลอาจไม่ทันการ ซึ่งส่วนตัวก็กังวลในการใช้กฎหมายเช่นกัน
3.การเรียกข้อมูลกรณีภัยร้ายแรง (มาตรา 56) ที่มีคำว่า “ความมั่นคงของรัฐ” กับ “ความสงบเรียบร้อยของประชาชน” เรื่องนี้ก็น่ากังวลหลังมีบทเรียนจาก พ.ร.บ.คอมฯ ที่แม้เจตนาดีแต่การบังคับใช้ในประเด็นความมั่นคงถูกตีความก้าวล่วงไปถึงเรื่องเนื้อหาด้วย ก็ต้องฝากให้ทางกฤษฎีกานำไปปรับแก้
และ 4. การเข้าถึงข้อมูลส่วนบุคคล ในเจตนารมณ์ของกฎหมาย ข้อมูลที่ กปช. เข้าถึงและจัดเก็บได้ต้องเป็นข้อมูลที่เกี่ยวข้องกับภัยคุกคามไซเบอร์เท่านั้น อย่างไรก็ตาม หากอ่านตามตัวอักษรก็อาจตีความตามที่หลายฝ่ายกังวลถึงการเก็บข้อมูลอย่างกว้างขวางของประชาชนได้ ดังนั้น ต้องปรับแก้ให้ชัดเจนกว่าที่เป็นอยู่ โดยคาดว่าการปรับแก้จะแล้วเสร็จในเดือนหน้า เพื่อนำเสนอคณะรัฐมนตรี (ครม.) ในเดือน ธ.ค.2561
นายไพบูลย์ อมรภิญโญเกียรติ ผู้ทรงคุณวุฒิคณะกรรมการเตรียมการไซเบอร์แห่งชาติ กล่าวว่า (ร่าง) พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ... มีต้นแบบมาจากกฎหมาย Cyber Security Act 2018 ของสิงคโปร์ แต่เมื่อถูกนำมาปรับใช้ในการเขียนกฎหมายของไทยกลับมีการปรับเปลี่ยนเนื้อหากว่า 80% ยกตัวอย่างมาตรา 56 (2) ที่มีคำว่า “ความมั่นคงของรัฐ” กับ “ความสงบเรียบร้อยของประชาชน” ซึ่งจุดนี้สามารถถูกตีความได้อย่างกว้างขวาง ผู้ถืออำนาจรัฐอาจสั่งการให้เลขา กปช. ดำเนินการบางอย่างกับเนื้อหาที่ตนเห็นว่าไม่เหมาะสมได้ จึงควรเพิ่มคำว่า “ระบบคอมพิวเตอร์” เข้าไปด้วย
นอกจากนี้ ยังให้อำนาจเลขาฯกปช.ยิ่งใหญ่มาก คือการที่มีคำสั่งใดๆ ออกมาแล้วผู้ได้รับผลกระทบไม่สามารถอุทธรณ์ได้ ในขณะที่กฎหมายแบบเดียวกันของสิงคโปร์ไม่ปิดช่องทางดังกล่าว โดยกฎหมายของสิงคโปร์กำหนดให้ผู้รับผิดชอบมีอำนาจ 2 ส่วน ส่วนแรกคือ การสั่งผู้ให้บริการปรับปรุงหลักเกณฑ์การรักษาความปลอดภัยไซเบอร์ รวมถึงเรียกข้อมูลการให้บริการมาตรวจสอบได้ กับส่วนที่ 2 คือ หากข้อมูลนั้นเป็นข้อมูลส่วนบุคคล และทำสัญญารักษาความลับของลูกค้า ผู้ให้บริการสามารถปฏิเสธไม่ให้ข้อมูลได้ แต่เมื่อมาดูร่างพ.ร.บ.ดังกล่าวของไทยมาตรา 46 ที่ให้อำนาจเลขาฯ กปช.เรียกดูข้อมูลได้ ซึ่งสิงคโปร์นั้น การขอข้อมูลในรอบแรกผู้ให้บริการสามารถปฏิเสธได้ แต่ถ้าฝ่ายรัฐมีข้อมูลที่เชื่อได้ว่าบุคคลดังกล่าวเกี่ยวข้องกับการทำอันตรายต่อความปลอดภัยไซเบอร์ก็จะมีมาตรการขั้นถัดไป ที่สำคัญคือฝ่ายเอกชนผู้ให้บริการในสิงคโปร์สามารถอุทธรณ์คำสั่งของเลขากปช.ของสิงคโปร์ได้
นอกจากนี้ ร่างพ.ร.บ.ของไทย มีบทลงโทษกรณีขัดคำสั่งเลขากปช. ในทุกกรณี ต่างจากกฎหมายของสิงคโปร์ที่ระบุว่าต้อง “ไม่ปฏิบัติตามโดยไม่มีเหตุผลอันสมควร” ทั้งที่เป็นหลักการสำคัญในการออกกฎหมาย อีกทั้งในมาตรา 58 ที่ให้อำนาจเลขาฯ กปช. เข้าถึงระบบหรืออุปกรณ์ที่เกี่ยวข้องกับไซเบอร์ซึ่งหน่วยงานหรือบุคคลใดครอบครองอยู่และดำเนินการได้หลายอย่าง เช่นในข้อ (2) ทำสำเนา สกัดคัดกรอง โดยยังใช้คำว่า “มีเหตุอันควรสงสัยว่า” เช่นเดียวกับมาตรา 57 โดยที่ไม่ต้องขอหมายศาล ส่วนในข้อ (4) ที่ให้อำนาจยึดอุปกรณ์ที่เกี่ยวข้องกับไซเบอร์ แม้ข้อนี้จะใช้คำว่า “มีเหตุอันเชื่อได้ว่า” แต่ก็ยังน่ากังวลเพราะเป็นคำสั่งที่ไม่สามารถอุทธรณ์ได้ และเรื่องนี้จริงๆ แล้วควรจะมีศาลเข้ามาเกี่ยวข้องด้วย ต่อให้เป็นเรื่องเร่งด่วนอย่างน้อยก็ต้องรายงานให้ศาลรับทราบ
นายเจษฎา ศิวรักษ์ หัวหน้ากลุ่มวิชาการ คณะทำงานความมั่นคงปลอดภัยไซเบอร์ฯ สมาคมโทรคมนาคมแห่งประเทศไทยในพระบรมราชูปถัมภ์ กล่าวว่า หากเทียบกับหลักการของกลุ่มประเทศที่อยู่ในองค์การเพื่อความร่วมมือและการพัฒนาทางเศรษฐกิจ (OECD) ซึ่งในปี 2555 OECD มีรายงานแนะนำให้ ในการออกกฎหมายในเรื่อง Cyber Security ต้องคำนึงถึงไม่เพียงแต่ความมั่นคงของชาติอย่างเดียว แต่ต้องคำนึงถึงภาคประชาชน ภาคสังคมและภาคเศรษฐกิจด้วย แต่ร่างกฎหมายไทยเปิดมาก็เจอหลักการความมั่นคงของชาติกับความสงบเรียบร้อยเสียแล้ว ทั้งนี้ ในการออกกฎหมายความมั่นคงปลอดภัยไซเบอร์ของ OECD นั้น เน้นความร่วมมือของหลายหน่วยงาน เพราะภัยคุกคามไซเบอร์มีทั้งมุมกว้างและมุมลึก เช่น อินเตอร์เน็ตถือเป็นไซเบอร์ แต่การที่ระบบอินเตอร์เน็ตล่มอาจเกิดจากการลอบวางระเบิดโครงข่ายสัญญาณโทรคมนาคมซึ่งเป็นโครงสร้างที่ไม่ใช่ไซเบอร์ก็ได้ จึงไม่สร้างหน่วยงานใหม่แต่พยายามประสานการทำงานของหน่วยงานต่างๆ ทั้งรัฐและเอกชนที่เกี่ยวข้องเข้าด้วยกัน
“ภาคเอกชนของโทรคมนาคมโดนโจมตีทางไซเบอร์อยู่ทุกวันอยู่แล้ว แต่เขาก็มีมาตรการรับมืออยู่เพราะถ้าเน็ตเวิร์คเขาล่มชื่อเสียงเขาก็ไปก่อน สิ่งที่เขากลัวคือพอหน่วยงานรัฐตั้งมาใหม่แต่ประสบการณ์ไม่มี ไม่ออกกฎอะไรก็ไม่รู้ เขาจะทำอย่างไร หลายปีที่ผ่านมาโอเปอเรเตอร์มือถือ 3 เจ้าถูกโจมตีไหม ก็โดนอยู่ทุกวันโดนเป็นปกติ แต่เขาก็รู้วิธีการรับมือ เรื่องนี้เป็นส่วนหนึ่งที่เขาเน้น”
ทั้งนี้ งานความมั่นคงปลอดภัยไซเบอร์เป็นงานที่มีต้องอาศัยความร่วมมือกันระหว่างประเทศ จึงต้องสร้างกลไกที่เอื้อต่อความร่วมมือนี้ด้วย รวมถึงต้องระวังเรื่อง เสรีภาพบนอินเตอร์เน็ต เพราะหากออกกฎหมายเพื่อลดทอนเสรีภาพนี้โดยไม่สมเหตุสมผล จะส่งผลกระทบต่อการขยายตัวของภาคธุรกิจบนอินเตอร์เน็ตได้
รศ.คณาธิป ทองรวีวงศ์ ผู้อำนวยการสถาบันกฎหมายสื่อดิจิทัล มหาวิทยาลัยเกษมบัณฑิต กล่าวว่า ในทางสากลแม้สิทธิ 2 ประเภทคือสิทธิในการแสดงความคิดเห็นและสิทธิความเป็นส่วนตัวจะสามารถถูกจำกัดโดยกฎหมายได้ แต่การออกกฎหมายมาจำกัดสิทธิดังกล่าวต้องมีขอบเขตไม่กว้างเกินไปและมีการตรวจสอบถ่วงดุล ซึ่งเมื่อมาดูร่าง พ.ร.บ.ดังกล่าว พบการออกกฎหมายที่สามารถตีความได้กว้างขวางมาก เช่น มาตรา 43 ว่าด้วยอำนาจของ กปช. ในการกำหนดว่าหน่วยงานผู้ให้บริการใดจะถือเป็นโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ในข้อ (8) ระบุว่า “ด้านอื่นตามที่ กปช. ประกาศกำหนดเพิ่มเติม” จะกระทบต่อผู้ประกอบการอย่างกว้างขวางหรือไม่ อาทิ เมื่อมีเหตุมัลแวร์ระบาดในคอมฯ ตั้งแต่เจ้าของธุรกิจขนาดใหญ่จนถึงพ่อค้าแม่ค้าออนไลน์รายย่อยๆ สามารถถูกกำหนดให้เป็นโครงสร้างพื้นฐานสำคัญทางสารสนเทศตามกฎหมายนี้ได้ทั้งสิ้น ทำให้อาจเป็นภาระเกินสมควรได้
อย่างไรก็ตาม แม้ร่างกฎหมายล่าสุดจะเขียนนิยามความมั่นคงไซเบอร์ไว้ที่ระบบสารสนเทศจึงไม่น่าจะครอบคลุมถึงเนื้อหา เช่น การโพสต์ข้อความโจมตีรัฐบาล แต่สุดท้ายก็ต้องขึ้นอยู่กับการตีความ อย่างไรก็ตามที่น่ากังวลมากไม่แพ้กันคือแม้กฎหมายจะไม่มีโทษโดยตรงกับเรื่องดังกล่าว แต่อาจเข้าข่ายปรากฏการณ์ “Chilling Effect” ที่ประชาชนกลัวได้รับผลกระทบจากกฎหมายในทางอ้อม จนไม่กล้าแสดงความคิดเห็นเลยก็ได้ เช่น การเข้ามาสอดส่องพฤติกรรมบนโลกออนไลน์ของประชาชน แล้วเก็บข้อมูลไปเอาผิดในเรื่องอื่นๆ ได้