นายอนุสรณ์ ธรรมใจ คณบดีคณะเศรษฐศาสตร์ มหาวิทยาลัยรังสิต ได้ประเมินผลกระทบของพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ต่อเศรษฐกิจและประชาชนว่า พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์จะเป็นอุปสรรคสำคัญต่อการพัฒนาเศรษฐกิจดิจิทัลและมีเนื้อหาหลายส่วนอาจขัดขวางต่อการพัฒนาเศรษฐกิจฐานนวัตกรรม เพิ่มต้นทุนในการประกอบการ นอกจากนี้ยังส่งผลกระทบต่อสิทธิเสรีภาพของประชาชนและการดำเนินการของภาคธุรกิจอีกด้วย โดยประเมินว่าผลกระทบอย่างน้อย 9 ด้านหากไม่แก้ไขเนื้อหาที่จะมีปัญหา กฎหมายนี้แม้นจะมีความจำเป็นในการสร้างระบบความมั่นคงทางด้านไซเบอร์แต่กระบวนการในการร่างกฎหมายต้องให้เกิดการมีส่วนร่วมและต้องอยู่บนพื้นฐานของหลักการประชาธิปไตยรวมทั้งต้องสอดคล้องพลวัตของระบบสังคมและเศรษฐกิจในอนาคตที่ระบบเศรษฐกิจมีการเคลื่อนตัวสู่การเป็นเศรษฐกิจดิจิทัลมากขึ้นตามลำดับ การมีกฎหมายที่กำลังบังคับใช้ใหม่แต่อยู่บนฐานคิดที่ล้าหลัง อยู่ภายใต้กรอบคิดความมั่นคงแบบเก่าๆและไม่เป็นประชาธิปไตยเป็นเรื่องอ่อนไหวต่อสังคม ต่อระบบการดำเนินธุรกิจและระบบเศรษฐกิจ กฎหมายอาจจะนำมาสู่ความขัดแย้งอย่างกว้างขวางและไม่สอดคล้องกับโลกในปัจจุบันและอนาคต การมีกฎหมายหรือผู้ออกกฎหมายที่มุ่งไปที่มิติความมั่นคงมากเกินไปโดยไม่สนมิติทางเศรษฐกิจ มิติทางสังคม มิติทางด้านสิทธิมนุษยชนและสิทธิส่วนบุคคลเป็นเรื่องที่น่าห่วงใยอย่างยิ่งต่อสังคมไทยในอนาคต
ผลกระทบของกฎหมายมั่นคงด้านไซเบอร์ว่า กฎหมายฉบับนี้จะก่อให้เกิดอุปสรรคต่อความคิดสร้างสรรค์ การพัฒนาเศรษฐกิจดิจิทัลและเนื้อหาบางส่วนอาจขัดขวางต่อการขยายตัวเติบโตของเศรษฐกิจฐานนวัตกรรม นอกจากนี้ยังเปิดโอกาสและช่องทางในการละเมิดสิทธิเสรีภาพของประชาชนได้โดยไม่มีการกำกับตรวจสอบถ่วงดุลที่ดีพอ อำนาจของเลขาธิการสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ หรือ กปช ใน มาตรา 46, 47, 48, 54, 55, 56, 57 มีความอ่อนไหวสูงต่อ
การใช้อำนาจรัฐละเมิดสิทธิประชาชนหรือองค์กรหรือกิจการธุรกิจต่างๆ และอำนาจบางอย่างที่ระบุไว้ในกฎหมายต้องผ่านคำสั่งศาลเพื่อป้องกันการละเมิดสิทธิพื้นฐานของประชาชนและองค์กรต่างๆรวมทั้งเกิดช่องทางหาผลประโยชน์ในทางที่มิชอบโดยอาศัยอำนาจตามกฎหมายและเกิดการทับซ้อนทางผลประโยชน์ได้ ควรมีการใช้อำนาจดุลยพินิจของเลขาธิการสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ หรือ กปช และ เจ้าหน้าที่ให้น้อยที่สุด
ด้านโครงสร้างการบริหารขาดการมีส่วนร่วมและยังไม่เป็นไปตามหลักธรรมาภิบาลที่ดี เนื่องจากผู้ทรงคุณวุฒิในคณะกรรมการ กปช มาจากการแต่งตั้งโดยรัฐมนตรีทั้งหมด จึงขาดกรรมการมืออาชีพที่เป็นอิสระในการถ่วงดุลการใช้อำนาจของรัฐ,
ทรัพย์สินสารสนเทศในมาตราสาม ครอบคลุมอุปกรณ์และทรัพย์สินส่วนบุคคลของประชาชนและองค์กรต่างๆ เช่น มือถือ อุปกรณ์สื่อสารส่วนบุคคล Internet of Thing ด้วยจึงอาจก่อให้เกิดการจำกัดเสรีภาพและละเมิดสิทธิอย่างกว้างขวางได้หากผู้ใช้อำนาจไม่คำนึงถึงหลักการประชาธิปไตยและหลักสิทธิมนุษยชน
ในมาตรา 64 การรับผิดชอบควรเกิดขึ้นเมื่อมีการฝ่าฝืนกฎหมายโดยไม่มีเหตุอันควร และ ต้องให้สิทธิผู้ถูกกล่าวหาอุทธรณ์เพื่อให้เกิดความเป็นธรรม ลดโอกาสในการกลั่นแกล้งกัน เพื่อให้กฎหมายเป็นไปตามหลักนิติธรรม
อีกทั้งมีปัญหาเรื่องความขัดแย้งทางผลประโยชน์ สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ หรือ CSA มีอำนาจถือหุ้น ร่วมทุน จึงมีสถานะทั้งเป็น operator และ regulator ทำให้เกิดความขัดแย้งทางผลประโยชน์ หรือ Conflict of Interest ได้, มีการรวบอำนาจไว้ที่หน่วยงานเดียว จึงขาดการตรวจสอบถ่วงดุล
การกำหนดหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศไม่ครอบคลุมเพียงพอ ไม่ครอบคลุม Critical Infrastructure สำคัญ ควรมีการระบุผลกระทบและเกณฑ์ขนาดของหน่วยงานเพื่อไม่ไปสร้างภาระทางการลงทุนทางด้าน ITให้กับหน่วยงานขนาดเล็กที่ไม่มีความพร้อมหรือไม่มีศักยภาพเพียงพอ, การที่ไม่ระบุอย่างชัดเจนว่าอะไรคือภัยคุกคามต่อความมั่นคงปลอดภัยไซเบอร์ ขณะนี้จึงยังไม่สามารถพูดได้ว่า การส่งข้อมูลในอีเมล์ การส่งข้อมูลหรือเนื้อหาวิดีโอต่างๆทางสื่อสังคมออนไลน์ที่เห็นต่างจากผู้มีอำนาจรัฐหรือวิพากษ์วิจารณ์ผู้มีอำนาจอาจถูกเหมารวมเป็นภัยคุกคามต่อความมั่นคงปลอดภัยไซเบอร์ก็ได้ ทั้งที่ไม่ได้เป็นภัยคุกคามทางไซเบอร์เป็นเพียงการเสนอความคิดเห็นอันเป็นเสรีภาพขั้นพื้นฐาน
นายอนุสรณ์ ธรรมใจ ได้กล่าวเสนอแนะเพิ่มเติมว่า รัฐบาลและสภานิติบัญญัติควรชะลอการผ่านกฎหมายฉบับนี้มาบังคับใช้และควรรอให้มีการพิจารณากฎหมายนี้ในรัฐบาลและรัฐสภาที่มาจากการเลือกตั้ง รวมทั้งต้องเปิดให้เกิดการมีส่วนร่วมในการแสดงความเห็นอย่างกว้างขวางจากผู้ที่มีส่วนเกี่ยวข้องทั้งหมด ต้องมีการเขียนนิยาม ภัยคุมคามทางด้านไซเบอร์และความมั่นคงปลอดภัยทางด้านไซเบอร์ให้มีความชัดเจน การวิพากษ์วิจารณ์รัฐบาลหรือผู้อำนาจผ่านโซเชียลมีเดียหรือการสื่อสารออนไลน์ถือว่าเป็นภัยไซเบอร์หรือไม่
การให้อำนาจในการค้นสถานที่ ยึดเครื่องมือสื่อสาร โทรศัพท์มือถือ คอมพิวเตอร์โดยไม่ต้องขออำนาจศาลเป็นการให้อำนาจกับหน่วยงานทางด้านความมั่นคงไซเบอร์มากเกินไปอาจก่อให้เกิดการละเมิดสิทธิอย่างกว้างขวาง ต้องทบทวนอำนาจดังกล่าว หน่วยงานทางด้านความมั่นคงไซเบอร์สามารถบุกเข้าไปในบ้านยึดคอมพิวเตอร์ ยึดมือถือ ขอรหัสผ่านส่วนตัว สามารถทำได้ด้วยเหตุผลอะไรและจะมีมาตรการอย่างไรที่จะไม่มีการใช้อำนาจเกินขอบเขตกลั่นแกล้งกันหรือยัดข้อหากับผู้ที่เจ้าหน้าที่ของรัฐไม่พอใจหรือกลุ่มคนที่เห็นต่างจากอำนาจรัฐ เรื่องเหล่านี้หากไม่มีความชัดเจนและเป็นมาตรฐานสากลจะก่อผลกระทบต่อเศรษฐกิจดิจิทัลและเศรษฐกิจฐานนวัตกรรม การดำเนินชีวิตของประชาชน ไม่ก่อให้เกิดความปลอดภัยสาธารณะ ความมั่นคงปลอดภัยของรัฐ ความมั่นคงทางเศรษฐกิจตามเป้าหมายของกฎหมาย โดยที่รัฐต้องมีการวางโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (Critical Inflormation Infrastructure – CII) อย่างเหมาะสมและคำนึงถึงข้อเท็จจริงในทางปฏิบัติเพื่อให้มีการดำเนินการอย่างมีประสิทธิภาพ
เนื้อหาของกฎหมายต้องสอดคล้องและตอบสนองต่อพลวัตของเทคโนโลยีใหม่ๆ ผู้เชี่ยวชาญทางด้าน Cyber security ต้องมีคุณสมบัติตามมาตรฐานสากล หลักการประเมินความเสี่ยงเรื่อง Cyber security ต้องเป็นไปตามหลักมาตรฐานสากล ไม่ก่อให้เกิดอุปสรรคต่อการดำเนินชีวิตและการดำเนินธุรกิจ การใช้อำนาจตามมาตรา 57 และ มาตรา 58 อาจเข้าข่ายในการละเมิดสิทธิประชาชนจำเป็นต้องมีการทบทวน และต้องพิจารณาทบทวนอำนาจในการเข้าถึงทรัพย์สินสารสนเทศ ทำสำเนาหรือสกัดคัดกรองข้อมูลสารสนเทศหรือโปรแกรมคอมพิวเตอร์ และให้สำนักงาน กปช ต้องรับผิดชอบความเสียหายหากมีข้อมูลรั่วไหลและนำไปใช้อย่างไม่ถูกต้อง