รัฐบาลและหน่วยงานที่เกี่ยวข้องกับ “ความมั่นคงไซเบอร์” ได้กล่าวอ้างว่า ในปัจจุบันมีภัยคุกคามทางไซเบอร์ที่ส่งผลกระทบหรืออาจก่อให้เกิดความเสี่ยงต่อการให้บริการหรือการประยุกต์ใช้เครือข่ายอินเทอร์เน็ต โครงข่ายโทรคมนาคม และมีความรุนแรงก่อให้เกิดความเสียหายต่อความมั่นคงของบุคคลและชาติ ซึ่งรวมถึงความมั่นคงทางการทหาร ความสงบเรียบร้อยภายในประเทศ และความมั่นคงทางเศรษฐกิจ
ด้วยเหตุนี้จึงเพิ่มความสามารถในการปกป้อง ป้องกัน หรือรับมือกับสถานการณ์ด้านภัยคุกคามทางไซเบอร์ให้ทันท่วงที โดยกำหนดให้มีหน่วยงานหลักเพื่อรับผิดชอบดำเนินการรักษาความมั่นคงปลอดภัยไซเบอร์ ซึ่งต้องอาศัยความรวดเร็วตลอดจนบูรณาการและประสานการปฏิบัติร่วมกันทุกหน่วยงานที่เกี่ยวข้องทั้งภาครัฐและเอกชน เพื่อป้องกันและรับมือได้ทันสถานการณ์
ยิ่งไปกว่านั้นยังพยายามวางแนวทางป้องกันภัยทางไซเบอร์ทั้งในสถานการณ์ปกติ สถานการณ์อันเป็นภัยต่อความมั่นคงอย่างร้ายแรง ตลอดจนกำหนดให้มีแผนปฏิบัติการและมาตรการตอบสนองด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ที่เป็นกลไกควบคุมการใช้อำนาจเป็นการเฉพาะตามระดับความรุนแรงของสถานการณ์ เพื่อให้สามารถแก้ไขสถานการณ์ได้อย่างมีประสิทธิภาพ และเป็นเอกภาพ รวมทั้งมีการดูแลรักษาความมั่นคงปลอดภัยไซเบอร์อย่างต่อเนื่อง
รัฐจึงจำเป็นต้องตราพระราชบัญญัติความมั่นคงปลอดภัยในโลกไซเบอร์
หากพิจารณาประเทศและภูมิภาคต่างๆจะพบระบอบที่ใช้กันอยู่ 4 แบบ
แบบแรก คือ แบบอิสรเสรี ไม่มีการออกกฎหมายมาควบคุมหรือกำกับดูแลโลกอินเทอร์เน็ตในฐานะสื่อใหม่ที่เพิ่งถูกประดิษฐ์ขึ้น อาศัยกลไกตลาดให้ผู้ประกอบธุรกิจแข่งขันกันปกป้องดูแลความปลอดภัยให้ลูกค้าเองเพราะเป็นผู้เชี่ยวชาญทางเทคนิค ซึ่งประเทศไทยก็เริ่มจากแบบนี้ก่อน
แบบที่สอง คือ ให้ผู้ประกอบธุรกิจในประเภทเดียวกันมาตกลงกันเองเพื่อหากฎกติกา หรือ การควบคุมกำกับดูแลกันเอง (Self-regulation) ของผู้ให้บริการ
แบบที่สาม คือ รัฐเริ่มเห็นความสำคัญ โดยมีบางหน่วยงาน เช่น หน่วยงานความมั่นคง เริ่มมองว่ากิจกรรมในโลกไซเบอร์ อาจจะกระทบต่อความมั่นคง จึงมีการออกกฎมาย เช่น พระราชบัญญัติเพื่อเป็นแนวทางกว้างๆ ในการกำกับดูแล และให้ภาคธุรกิจเข้ามามีบทบาทในการกำหนดรายละเอียดภายใต้กรอบใหญ่ของรัฐ (Co-regulation)
แบบที่สี่ คือ รัฐอยากจะเป็นผู้ควบคุมเอง (State-centralized regulation) หรือรัฐถืออำนาจสิทธิขาดในการตัดสินใจสั่งการ หรือกำหนดมาตรฐานในรายละเอียด แล้วให้คนอื่นทำ ระบบแบบนี้จะรัฐพยายามจะทำงานในทางเทคนิคโดยจัดตั้งหน่วยงานขึ้นมาลงมือทำด้วย ตัวอย่างที่ชัดเจน คือ ประเทศจีน หรือมีการพยายามสร้างพื้นที่หรือประเด็นเฉพาะที่รัฐสร้างให้เป็น เขตเข้มงวดหรือประเด็นอ่อนไหวพิเศษเพื่อควบคุมอย่างเคร่งครัด เช่น รัสเซีย และนี่เป็นอาจเป็นแนวทางที่รัฐไทยอยากจะเป็นหากดูจากเนื้อหาใน ร่าง พรบ.ความมั่นคงปลอดภัยไซเบอร์ฯ
เนื่องจากกลไกเชิงองค์กรที่ใช้ในการออกกฎและบังคับให้เป็นไปตามนโยบายของรัฐนั้นออกแบบให้
- นายกรัฐมนตรีเป็นประธานคณะกรรมการรักษาความมั่นคงปลอดภัยทางไซเบอร์แห่งชาติด้วยตัวเอง
- ยกให้กระทรวงกลาโหมและหน่วยงานความมั่นคงเป็นผู้ชี้นำนโยบายรักษาความมั่นคงไซเบอร์
- วางกระทรวงเศรษฐกิจดิจิทัลเป็น "ฝ่ายอำนวยการ" เพื่อผลักดันนโยบายนั้น (ผ่านคณะกรรมการบริหารสำนักงานฯ
การใช้อำนาจผ่านกฎหมายนี้ได้มอบอำนาจให้นายกรัฐมนตรีบังคับบัญชาและสั่งการได้ครอบคลุมเขตแดนราชอาณาจักรไทย (มาตรา 33) หากนายกรัฐมนตรีไม่อยู่ รัฐมนตรีกลาโหม (รองประธานคนที่หนึ่ง) สามารถทำหน้าที่แทน แต่ถ้ารัฐมนตรีกลาโหมไม่อยู่อีก จึงเป็นรัฐมนตรีเศรษฐกิจดิจิทัล (รองประธานคนที่สอง) (มาตรา 11) ซึ่งเป็นการเน้นเรื่อง “ความมั่นคงของชาติ” มากกว่า “ความเชี่ยวชาญด้านไซเบอร์”
การทำงานของคณะกรรมการความมั่นคงไซเบอร์ภายใต้ พรบ.นี้ จะอยู่ภายใต้แผนแม่บทของคณะกรรมการเศรษฐกิจดิจิทัลและแผนแม่บทของสภาความมั่นคง (มาตรา 5) โดยคณะกรรมการฯ มีอำนาจเสนอแนะไปยังคณะกรรมการเศรษฐกิจดิจิทัลได้ แต่กลับไม่มีอำนาจเสนอแนะต่อสภาความมั่นคง ย่อมแสดงให้เห็นว่าผู้มีอำนาจสูงสุด คือ ฝ่ายสภาความมั่นคงแห่งชาติ (มาตรา 7)
หากมองวิธีแต่งตั้งเจ้าพนักงานตามกฎหมายจะเห็นว่า นายกฯสามารถแต่งตั้งผู้เชี่ยวชาญ (มาตรา 49) หรือใช้วิธีแต่งตั้งทหารที่ได้รับมอบหมายให้เป็นเจ้าพนักงานตามพระราชบัญญัติโดยภารกิจทั่วไปที่ทหารเหล่านั้นดูแลความมั่นคงไซเบอร์อยู่แล้ว (มาตรา 50)
คณะกรรมการฯ สามารถเพิ่มศักยภาพได้ด้วยการขอข้อมูลต่างๆจากหน่วยงานเอกชนโดยขอคำสั่งศาล (มาตรา 43) แต่หากขอข้อมูลจากหน่วยงานรัฐก็ไม่ต้องใช้คำสั่งศาล โดยหน่วยงานรัฐตามมาตรา 3 นั้นให้รวมถึงนิติบุคคลและบุคคลที่ใช้อำนาจรัฐด้วย ดังนั้นอาจจะมากกว่าหน่วยงานราชการ เช่น รัฐวิสาหกิจ องค์กรอิสระ หรือผู้รับเหมาช่วงที่รัฐจัดจ้าง ฯล
หากเจ้าพนักงานต้องการดักข้อมูล (มาตรา 47) จะต้องขอหมายศาล เว้นแต่มีเหตุเร่งด่วนก็ให้ทำไปก่อนโดยขอความเห็นชอบจากคณะกรรมการฯได้ ซึ่งเงื่อนไขที่ให้ทำโดยไม่ขอศาลนั้นก็กว้างและคลุมเครือจนไม่อาจวางใจได้ ซึ่งก็ปรากฏในมาตรา 40 เช่นกันว่า สถานการณ์ฉุกเฉินที่คุกคามความมั่นคงไซเบอร์นั้นคืออะไร เพราะอนุญาตให้ใช้อำนาจบนพื้นฐานของการ "สันนิษฐาน" "คาดว่าจะ" "ซึ่งน่าเชื่อว่า" มีเหตุเสี่ยงภัย
หากหน่วยงานรัฐ/ผู้มีหน้าที่ ไม่ทำตามคำสั่งคณะกรรมการฯ ถือว่าขัดคำสั่งผู้บังคับบัญชา (มาตรา 32) มีความผิดวินัย (มาตรา 34) ยิ่งถ้าหน่วยงานเอกชนไม่ทำตามที่ขอความร่วมมือ ให้พิจารณาลงโทษโดยใช้อำนาจตามกฎหมาย ประกาศ ข้อบังคับอื่นใดที่มีอยู่ก็ได้ (มาตรา 47)
ทั้งนี้ในหมวด 6 ที่เกี่ยวกับการกำหนดโทษ ยังมิได้ระบุระยะเวลาจำคุกหรือโทษปรับเอาไว้
ต้นทุนของการประกอบธุรกิจดิจิตอลจึงวางอยู่บนอนาคตที่ ร่าง พรบ. ฉบับนี้เขียนขึ้น