เตรียมพร้อมรับกฎหมาย “e” ก่อนที่คุณจะกลายเป็นผู้กระทำผิด
พระราชบัญญัติว่าด้วยการกระทำผิดทางคอมพิวเตอร์ พ.ศ.2550 มีผลบังคับใช้แล้วตั้งแต่วันนี้เป็นต้นไป (18 กรกฎาคม 2550 ) รู้ให้ทันและเข้าใจเพื่อปกป้องสิทธิของตนเองอย่างถูกต้อง กับบทความจากeWEEK ได้เคยนำเสนอข้อมูลและตีพิมพ์ตั้งแต่ต้นเดือนมิถุนายน ที่ผ่านมา
9 พฤษภาคม ที่ผ่านมา นับเป็นวันแห่งการเปิดศักราชด้านการป้องกันการกระทำความผิดทางคอมพิวเตอร์ เมื่อสภานิติบัญญัติแห่งชาติ (สนช.) เห็นชอบ “ร่างพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์” หลังจากที่รอคอยกันมานานถึง 9 ปีนับแต่คณะรัฐมนตรีเห็นชอบให้จัดทำร่างกฎหมายด้านอิเล็กทรอนิกส์เมื่อปี 2541
พรบ.ดังกล่าวเป็นกฎหมายอิเล็กทรอนิกส์ฉบับที่สองของประเทศไทย โดยก่อนหน้านี้ได้ออก พระราชบัญญัติว่าด้วยธุรกรรมอิเล็กทรอนิกส์ไปแล้วเมื่อปี 2544 และมีผลบังคับใช้เมื่อ วันที่ 3 เมษายน 2545 ซึ่งได้รวมเอาลายเซ็นอิเล็กทรอนิกส์ไว้ในฉบับดังกล่าวด้วย
ขณะนี้ร่างพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ อยู่ระหว่างรอลงพระปรมาภิไธย ก่อนที่จะประกาศในราชกิจจานุเบกษา ซึ่งจะมีผลบังคับใช้หลังจากนั้น 30 วัน
สุรางคณา วายุภาพ ผู้อำนวยการ สำนักงานเลขานุการคณะกรรมการธุรกรรมอิเล็กทรอนิกส์ ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ(เนคเทค) ผู้อยู่ในคณะทำงานด้านกฎหมายอิเล็กทรอนิกส์มาตลอด กล่าวกับ eWEEK เมื่อช่วงปลายเดือนพฤษภาคมว่า “คาดว่าจะใช้เวลาราวๆ 90 วันนับจากนี้ที่จะได้ใช้กฎหมายดังกล่าวโดยกฎหมายมีเจตนารมณ์เพื่อกำหนดฐานความผิดและบทลงโทษ รวมทั้งการกำหนดเกี่ยวกับพนักงานเจ้าหน้าที่ รวมถึงหน้าที่ของผู้ให้บริการ”
“นับว่าเป็นร่างพรบ.ฉบับที่มีความสมบูรณ์มาก เพราะมีร่างประกาศออกมาพร้อมกันด้วย ซึ่งร่างประกาศจะเป็นส่วนสนับสนุนพรบ. เช่น จัดทำประกาศเกี่ยวกับผู้ให้บริการและข้อมูลจราจรทางคอมพิวเตอร์ จัดทำประกาศเกี่ยวกับการกำหนดคุณสมบัติพนักงานเจ้าหน้าที่ และจัดทำประกาศเกี่ยวกับบัตรประจำตัวพนักงานเจ้าหน้าที่ เป็นต้น นอกจากนี้ยังเตรียมแผนสร้างความรับรู้ต่อสาธารณชนด้วย”
ซึ่งกฎหมายฉบับนี้จะสร้างความเชื่อมั่นให้กับองค์กรทั้งในและต่างประเทศ รวมทั้งยกระดับความมั่นคงของประเทศไทย ที่ให้เห็นถึงความพร้อมรับกับปัญหาหากเกิดภัยคุกคาม โดยประเด็นที่เป็นข้อห่วงใยของสังคมปรักอบด้วย 4 เรื่องหลักดังนี้
ประการแรก การทำความเข้าใจเกี่ยวกับประเด็นทางเทคนิคทั้งในลักษณะของการกระทำความผิดและลักษณะของการสืบสวนสอบสวนของพนักงานเจ้าหน้าที่ ประการที่สองการสร้างความสมดุลระหว่างการคุ้มครองสังคมและคุ้มครองสิทธิความเป็นส่วนตัวของประชาชน ประการที่สามการควบคุมการใช้อำนาจของพนักงานเจ้าหน้าที่ให้อยู่ในระดับที่เหมาะสม ทั้งนี้ เพื่อให้กฎหมายนั้นสามารถใช้บังคับได้อย่างมีประสิทธิภาพ โดยไม่ก่อให้เกิดภาระกับผู้ให้บริการ/ผู้ประกอบการมากเกินไป โดยมีจุดยืนสำคัญในการให้ความคุ้มครองความเป็นส่วนตัวของประชาชน
ประการสุดท้าย ผลกระทบหรือความเสียหายจากการกระทำความผิดทางคอมพิวเตอร์ที่กระทบต่อความมั่นคงของประเทศ (เช่น การก่อการร้ายรูปแบบใหม่ๆ หรือ Cyber Terrosism) หรือเสถียรภาพทางการเงิน (ซึ่งในปัจจุบันมีมูลค่านับล้านล้านบาท หรือมีมูลค่าสูงขึ้นทุกขณะ) หรือกระทบต่อบริการสาธารณะ
ด้าน ปริญญา หอมเอนก ผู้คล่ำหวอดในวงการไอทีที่เชี่ยวชาญด้านระบบรักษาความปลอดภัย ให้ความเห็นว่า การผ่านร่างพ.ร.บ.ว่าด้วยการกระทำผิดกี่ยวกับคอมพิวเตอร์ของสนช. ถือเป็นจุดเริ่มต้นที่ดีของสังคมไทยและประเทศชาติ ที่เราได้มีกฏหมายที่เกี่ยวข้องกับการปราบปรามอาชญากรคอมพิวเตอร์หรือแฮกเกอร์โดยตรง มีบทลงโทษที่ชัดเจน ทำให้สามารถมีข้อกฏหมายที่จะเอาผิดกับแฮกเกอร์ได้ ไม่ยากลำบากเหมือนตอนที่ยังไม่มีกฏหมาย ดังนั้น กฏหมายฉบับนี้จึงมีประโยชน์อย่างมากมายกับสังคม ซึ่งอาจมีผลกระทบกับองค์กรบ้าง แต่สรุปได้ว่า “ได้มากกว่าเสีย”
มองอย่างผู้เชี่ยวชาญ
ปริญญา กล่าวว่า เมื่อกฏหมายมีผลบังคับใช้ ย่อมมีผลกระทบในวงกว้างต่อวงการไอทีบ้านเรา ไม่ว่าจะเป็นผู้ใช้อินเทอร์เน็ตทั่วไป, องค์กร, สถาบันศึกษา ผู้ให้บริการทั่วไป เช่น ISP หรืออินเทอร์เน็ตคาเฟ่ ตลอดจนผู้ผลิตคอนเทนต์ เช่น SANOOK, KAPOOK, PANTIP เป็นต้น เราจึงควรทำความเข้าใจในตัวบทกฎหมายเพื่อที่จะได้ปฏิบัติให้ถูกต้องตามที่กฎหมายได้บัญญัติไว้
ด้านผู้ใช้อินเทอร์เน็ตต้องระวังการใช้งานอินเทอร์เน็ต เช่นการ Forward email ที่สร้างความเสียหายให้แก่ผู้อื่นหรือประชาชน ในกฎหมายระบุโทษจำคุกไม่เกินห้าปี หรือปรับไม่เกินหนึ่งแสนบาท หรือทั้งจำทั้งปรับ หรือสำหรับผู้ที่ชอบเจาะระบบผู้อื่นก็จะเข้าข่ายความผิดตามมาตรา 5 ถึง มาตรา 10 โดยตรง
ส่วนผลกระทบต่อผู้ให้บริการในมาตรา 26 ผู้ให้บริการต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้นั้น หมายความว่าผู้ให้บริการจะต้องเก็บรักษาข้อมูลของผู้ใช้บริการเท่าที่จำเป็นเพื่อให้สามารถระบุตัวผู้ใช้บริการนับตั้งแต่เริ่มใช้บริการและต้องเก็บรักษาไว้เป็นเวลาไม่น้อยกว่าเก้าสิบวันนับตั้งแต่การใช้บริการสิ้นสุดลง ผู้ให้บริการผู้ใดไม่ปฏิบัติตามมาตรานี้ ต้องระวางโทษปรับไม่เกินห้าแสนบาท
ดังนั้นผู้ให้บริการจึงจำเป็นต้องมีความรับผิดชอบต่อสังคมสารสนเทศยุคใหม่ที่แนวคิดเรื่อง “IT Governance” กำลังได้รับความนิยมอย่างสูงสอดคล้องกับกฎหมายว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ในมาตรา 26 เนื่องจากเมื่อเกิดเหตุการณ์การกระทำผิดเกี่ยวกับคอมพิวเตอร์ ผู้รักษากฏหมายหรือพนักงานเจ้าหน้าที่จำเป็นต้องสืบสวน และ สอบสวนค้นหาหลักฐานซึ่งอยู่ในรูปแบบของไฟล์ที่เป็นดิจิตอลฟอร์แมต มีลักษณะการจัดเก็บปูมระบบ หรือ “Log file” ที่ได้จากกิจกรรมต่างๆในระบบที่กฏหมายเรียกว่า “ข้อมูลจราจร” หรือ “Traffic Data” ซึ่งกฏหมายกำหนดให้เก็บเฉพาะ “เท่าที่จำเป็น” แปลว่า ไม่ต้องเก็บข้อมูลจราจรทั้งหมดที่เกิดขึ้นในระบบ (เพราะเป็นไปไม่ได้ในทางปฎับัติ) เช่น ควรจัดเก็บเฉพาะ Source IP address, Destination IP address, Date, Time และ User Name (ถ้ามี) เพื่อที่จะให้พนักงานเจ้าหน้าที่สามารถพิสูจน์หลักฐานด้วยวิธี “Computer Forensic” ได้ และสามารถสืบค้นย้อนหลังได้สูงสุดถึงหนึ่งปี ในกรณีที่เหตุการณ์ที่เกิดขึ้นมีระยะเวลามากกว่า 90 วัน จึงเป็นที่มาของความจำเป็นซึ่งกลายเป็นความรับผิดชอบที่ทุกองค์กร โดยเฉพาะผู้ให้บริการต้องร่วมด้วยช่วยกัน เพื่อให้บรรลุวัตถุประสงค์ที่แท้จริงของกฏหมายฉบับนี้
พระราชบัญญัติว่าด้วยการกระทำผิดทางคอมพิวเตอร์ พ.ศ.2550
นอกจากนี้ยังมีผลกระทบในเชิงการลงทุน ซึ่งหากวิเคราะห์ในมุมมองของการลงทุนในอุปกรณ์ฮาร์ดแวร์และซอฟท์แวร์ที่จำเป็นต้องใช้ในการเก็บข้อมูลจราจร ในลักษณะ “Centralized Log” แล้ว องค์กรหรือผู้ให้บริการควรจัดสรรงบประมาณแตรียมไว้จำนวนหนึ่งเพื่อจัดซื้ออุปกรณ์ดังกล่าว
“ดังที่ได้กล่าวไปแล้วว่า องค์กรต้องเตรียมจัดสรรงบประมาณเพื่อนำมาลงทุนในการซื้ออุปกรณ์ในการจัดเก็บข้อมูลจราจร หรือ “Log” ของระบบต่างๆได้อย่างเป็นระเบียบ เพื่อง่ายต่อการค้นหาโดยพนักงานเจ้าหน้าที่ อุปกรณ์เก็บ Log ควรแยกต่างหากจากอุปกรณ์อื่นๆ เพื่อไม่ให้แฮกเกอร์สามารถลอบเข้ามาแก้ไข Log File ได้ การเก็บ Log ไว้ที่เครื่องที่มีกิจกรรมที่ทำให้เกิด Log นั้นเป็นหลักการที่ผิด เพราะแฮกเกอร์สามารถเข้ามาแก้ไขได้ ตลอดจน System Admin ถ้าคิดไม่ซื่อ เราก็ยากที่จะตรวจสอบ”
ปริญญา ทิ้งท้ายว่า ที่น่ากังวลคือความไม่เข้าใจในตัวบทกฎหมายอย่างถ่องแท้ และไม่เข้าใจเจตนารมย์ที่แท้จริง ในการร่างกฎหมายนี้มากว่า 3 ปีกว่าจะสามารถบังคับใช้ได้ ดังนั้นหัวใจหลักของการแก้ปัญหาดังกล่าวก็คือ การจัดฝึกอบรมสัมมนาให้ผู้ใช้อินเทอร์เน็ตทั่วไป ตลอดจนผู้ให้บริการ องค์กรทั้งภาครัฐและเอกชนให้เกิดความเข้าใจกฎหมายได้ในระดับหนึ่ง เพื่อให้เกิดความเข้าใจในทิศทางเดียวกัน ไม่ก่อให้เกิดปัญหาความขัดแย้งระหว่างประชาชนคนไทยด้วยกันในที่สุด
ไขแนวคิด “ณัฐศักดิ์”
ณัฐศักดิ์ โรจนพิเชฐ กรรมการผู้จัดการประจำภูมิภาคอาเซี่ยน ออราเคิล คอร์ปอเรชั่น เอเชียแปซิฟิก และกรรมการผู้จัดการ บริษัท ออราเคิล คอร์ปอเรชั่น (ประเทศไทย) จำกัด ไขความเห็นผ่าน eWEEK ในความเบื้องล่าง
แนวความคิดของกฎหมายฉบับนี้ถือว่าดีในด้านของการควบคุมการใช้สื่อให้อยู่ในวิถีทางที่ถูกต้อง โดยต้องมีหน่วยงานหรือองค์กรที่เป็นกลางทำหน้าที่วินิจฉัยหรือพิจารณาประเด็นต่างๆ อย่างสร้างสรรค์ โดยภาคเอกชน อาทิ บริษัทไอทีต่างๆ อาจให้ความช่วยเหลือด้านข้อมูลหรือตัวอย่างสถานการณ์ต่างๆ ที่เคยมี หรือให้คำปรึกษาด้านเทคนิคแก่หน่วยงานนั้น
ในอีกมุมมองหนึ่งด้านการลงทุน พรบ. นี้อาจช่วยให้ผู้ประกอบการต่างๆ มีแนวทางปฏิบัติให้รัดกุมและมีความรับผิดชอบต่อธุรกิจและสังคมมากขึ้น
องค์กรต่างๆ หรือแม้แต่ผู้ใช้อินเทอร์เน็ตเองก็ตามต้องมีการศึกษาและทำความเข้าใจกับพรบ. ฉบับนี้อย่างจริงจัง โดยอาจใช้แนวทางปฏิบัติเดียวกับ corporate governance หรือหลักธรรมาภิบาลเข้ามาช่วย สำหรับส่วนบุคคลอาจต้องใช้วิจารณญาณในรูปแบบเดียวกับ “การหมิ่นประมาทหรือละเมิดสิทธิส่วนบุคคล” ซึ่งเมื่อทั้งผู้ใช้ องค์กรและผู้ควบคุมกฎมีภาพของพรบ. นี้ชัดเจนจะทำให้ข้อขัดแย้งต่างๆ หมดไป
ทั้งนี้ทั้งนั้นผู้ควบคุมกฎจำเป็นต้องเป็นกลาง ไม่ขึ้นอยู่กับฝ่ายใด อยู่ภายใต้อาณัติของใคร ไม่เช่นนั้นอาจทำให้เกิดข้อขัดแย้งในความโปร่งใสหรือในการพิจารณาต่างๆ ได้
“บนพื้นฐานแนวคิดของพรบ. ฉบับนี้เกิดจากการให้ทุกคนได้ใช้สื่ออินเทอร์เน็ตอย่างมีเสรีภาพ ภายใต้การเคารพในสิทธิของผู้อื่นโดยมีกฎหมายควบคุม ข้อควรระวังสำหรับผู้ใช้, องค์กร, ผู้ให้บริการไปจนถึงผู้ควบคุมกฎก็คือการใช้วิจารณญาณที่อยู่บนพื้นฐานของความเป็นกลาง โปร่งใส” ณัฐศักดิ์ กล่าว
โดยสิ่งที่องค์กรจะได้จากพรบ. ฉบับนี้ก็คือแนวทางที่ชัดเจนขึ้นในการใช้งานอินเทอร์เน็ต ซึ่งอาจมีความยุ่งยากบ้างในระยะแรกที่ทุกคนต้องทำความเข้าใจกับกฎหมายนี้ แต่เมื่อผ่านไประยะหนึ่งทุกอย่างเข้ารูปเข้ารอย จะทำให้สังคมเกิดสำนึกและเคารพในสิทธิและหน้าที่ของตนและผู้อื่นอย่างชัดเจนในที่สุด
ISP ฉายความคิด
ด้าน ปรีธยุตม์ นิวาศะบุตร กรรมการผู้จัดการ บริษัท แปซิฟิค อินเทอร์เน็ต (ประเทศไทย) จำกัด แสดงความเห็นในฐานะผู้ให้บริการ หรือไอเอสพีซึ่งมองในหลายๆมุมไว้ดังนี้
ในแง่ของผู้ใช้งาน พรบ. นี้จะช่วยสร้างกรอบและเป็นเหมือนข้อบังคับที่ทำให้ผู้ใช้งานมีวินัย และมีความรับผิดชอบต่อการใช้งานคอมพิวเตอร์มาก แต่ก็มีข้อควรระวังสำหรับการใช้งาน เพื่อหลีกเลี่ยง ผลกระทบที่อาจจะเกิดขึ้น คือการเผยแพร่ข้อมูลคอมพิวเตอร์ และควรระมัดระวังและดูแลคอมพิวเตอร์ของตนเอง เพื่อไม่ให้ไปเป็นเครื่องมือของผู้อื่นในการกระทำผิด
ส่วนในแง่ของผู้ให้บริการ ปรีธยุตม์ บอกว่า ได้รับผลกระทบจากการออก พรบ ฉบับนี้อย่างเต็มที่ โดยเฉพาะในเรื่องของการเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ ซึ่งจากข้อกำหนดดังกล่าว ยังผลเกิดผลกระทบในแง่การลงทุนอุปกรณ์ บุคลากร เพื่อให้รองรับการปฏิบัติงานตามที่กฎหมายระบุไว้ รวมถึงการรับผิดของไอเอสพี ในส่วนที่ผู้เช่าช่วงบริการของบริษัท แล้วนำเอา บริการดังกล่าวไปให้บริการต่อ แล้วมีการใช้งานในทางที่ผิ
ด้านร้านอินเทอร์เน็ตคาเฟ่ ก็ต้องเตรียมรับมือเช่นกัน ในฐานะที่เป็นผู้ให้บริการต่อบุคคลที่สาม ก็มีหน้าที่ต้อง ดำเนินการให้มีวิธีการระบุและยืนยันตัวบุคคลของผู้ใช้บริการผ่านบริการของตนเองด้วย อาจจะเป็นในลักษณะวงจรปิด หรือทำสมุดลงทะเบียน เป็นต้น
ตลอดจนผลกระทบเชิงการลงทุน เมื่อมองในภาพรวมแล้ว ผู้ให้บริการทั้งหมด ไม่ว่าจะเป็น operator, content/service provider หรือผู้ที่นำบริการมาให้บริการต่อ อย่างเช่น ร้านอินเทอร์เน็ตคาเฟ่ โรงเรียน มหาวิทยาลัย หรืออื่นๆ จะต้องมีการลงทุนเพิ่มทั้งในส่วนของอุปกรณ์ที่จะมารองรับการตรวจสอบการส่งข้อมูล ขั้นตอนการทำงาน และ/หรือจำนวนพนักงานที่ดูแลงานในส่วนนี้
“สำหรับแปซิฟิค อินเทอร์เน็ต ปัจจุบัน log ต่างๆ มีการเก็บไว้เป็นปกติอยู่แล้ว แต่ว่า จาก พรบ ดังกล่าว ข้อมูลที่ต้องทำการเก็บ ระยะเวลาที่เก็บ ตลอดจน ปริมาณในการเก็บ ที่เพิ่มขึ้น ทำให้เราต้องจัดเตรียมความพร้อมในหลายด้านด้วยกัน” ปรีธยุตม์ พร้อมเสริมว่า
แปซิฟิค อินเทอร์เน็ต เตรียมปรับปรุงและอาจต้องลงทุนเพิ่มในส่วนของอุปกรณ์ ที่นำมาให้บริการกับลูกค้า ต้องจัดสรรพนักงานที่จะมาดูแลงานตรงส่วนนี้เพิ่มขึ้น และต้องดำเนินการปรับเปลี่ยนข้อสัญญา หรือเงื่อนไขในการดำเนินงานที่จะได้รับผลกระทบจากส่วนนี้ นอกจากนี้งานภายในก็ยังต้องปรับปรุงนโยบายการใช้งานคอมพิวเตอร์ในองค์กรมากขึ้น เข้มงวดกับการใช้งานให้มากขึ้น
ปรีธยุตม์ ย้ำว่า อย่างไรก็ตาม ภาครัฐควรต้องมีวิธีการดำเนินการในการควบคุมให้ทุกหน่วยงานต้องปฏิบัติตามกฎอย่างเคร่งครัด และที่สำคัญ หน่วยงานที่มีหน้าที่รับผิดชอบในการสั่งการ ได้มีการตรวจสอบข้อมูลต่างๆ อย่างครอบคลุมถี่ถ้วน ก่อนที่จะออกคำสั่งใดๆ ให้ไอเอสพีหรือ ผู้ประกอบการประเภทอื่นๆ ปฏิบัติตาม เนื่องจาก ที่ผ่านมาการสั่งการดังกล่าวยังไม่ชัดเจน และก่อให้เกิดผลกระทบในวงกว้างพอสมควร
มรกต กุลธรรมโยธิน รองกรรมการผู้จัดการบริษัท อินเทอร์เน็ตประเทศไทย จำกัด (มหาชน) หรือไอเน็ตได้แสดงความคิดเห็นเกี่ยวกับผลกระทบของ พรบ. จากการที่ได้มีส่วนร่วมเป็นที่ปรึกษาของคณะกรรมาธิการ พรบ.ฉบับนี้ มองว่า การบังคับใช้จะเป็นเสมือนการจัดระเบียบการใช้งานอินเทอร์เน็ตทั้งหมดที่มีอยู่ เพื่อเตรียมพร้อมรองรับการจัดการการกระทำความผิดบนโลกไซเบอร์ที่เกิดขึ้น
ความเปลี่ยนแปลงที่จะเห็นอย่างชัดเจนคือ การเปลี่ยนกติกาการทำงานและการใช้งาน เพราะว่า พรบ.นี้จะชี้แจงว่าผู้ให้บริการเป็นใครและต้องมีภาระหน้าที่อย่างไร ซึ่งรายละเอียดในส่วนนี้จะต้องรอประกาศจากรัฐมนตรีกระทรวงไอซีทีถึงการแบ่งประเภทของผู้ให้บริการ และภารกิจหน้าที่ในรายละเอียด
ในส่วนของผู้ให้บริการนั้น ผู้บริหารจากไอเน็ตมองว่า จะต้องมีการวางแผนเพื่อการจัดเก็บข้อมูล ซึ่งคงมีการจัดเก็บอยู่แล้วบางส่วน ก็ต้องดูว่าที่เก็บอยู่แล้วกับกฎตรงกันหรือไม่ซึ่งต้องเก็บให้ตรง
“ที่กังวลมากคือ ผู้ให้บริการที่เป็นหน่วยงานหรือองค์กรต่างๆ โรงเรียน หน่วยงานราชการ เป็นต้น ทั้งหมดเลยที่เป็นองค์กรและมีบริการอินเทอร์เน็ตสำหรับบุคคลกร ซึ่งข้อมูลเหล่านี้จะเป็นข้อมูลที่ไม่เคยต้องเก็บมาก่อน ก็จะมีผลกระทบมาก ต้องปรับตัวมาก รวมทั้งอาจจะต้องมีการลงทุนในเรื่องอุปกรณ์ด้วย” มรกต กล่าว
จากกระบวนการเก็บข้อมูลตามข้อบังคับนี้ จะส่งผลให้ ผู้ใช้งานทุกคนอาจต้องเปิดเผยข้อมูลส่วนตัวบางอย่างแก่ผู้ให้บริการ เพื่อแลกกับมาตรการรักษาความปลอดภัย ฟรีอินเทอร์เน็ตตามสถานที่ต่างๆ จะมีระบบที่ยุ่งยากมากขึ้น หรืออินเทอร์เน็ตแบบพรีเพด อาจต้องนำระบบลงทะเบียนมาใช้
ดังนั้นจึงควรมีการเตรียมความพร้อมก่อนการประกาศใช้ โดยแยกเป็นกลุ่มๆ ไป เพื่อทำความเข้าใจ สร้างความตระหนักในบทบาทต่าง ๆกัน รวมไปถึงการประชาสัมพันธ์เพื่อสร้างความรู้แก่ประชาชน ซึ่งปัจจัยสำคัญอย่างหนึ่งของการบังคับใช้ ก็คือ เจ้าหน้าที่ที่จะเข้ามากำกับดูแล เรื่องนี้ยังมีจำนวนน้อยคงต้องรอดูว่ารัฐจะต้องเตรียมตัวอย่างไรบ้างในเรื่องดังกล่าว เพราะ การมีข้อมูลเป็นเพียงเส้นทางในการตามจับผู้กระทำความผิดได้ง่ายขึ้น แต่ไม่ได้หมายถึงว่าจะจับได้ เป็นเพียงการเพิ่มโอกาสและหลักฐานในการสืบสวนสอบสวนเท่านั้น
แน่นอนว่าองค์กรจะได้รับผลกระทบเรื่องการลงทุนอย่างแน่นอน เพราะการเก็บข้อมูลเหล่านี้ ก็จะต้องมีอาศัยอุปกรณ์ และซอฟต์แวร์การบริหารจัดการ แต่ไม่ได้หมายถึง ว่าองค์กรจะต้องลงทุนเรื่องนี้เองทั้งหมด ซึ่งรูปแบบของการเก็บข้อมูลอาจเป็นการเช่าหรือ รับฝาก ก็ได้ เหมือนการฝากเก็บเอกสาร ถ้าองค์กรใหญ่มีบริการที่หลากหลายก็ มีข้อมูลต้องเก็บเยอะมาก ธุรกิจแบบนี้อาจมีให้เห็นได้ในอนาคต