Eu acho que é uma precaução. Usuários não privilegiados não têm permissão para aplicar confinamentos a programas como sudo
que são set-user-id (ou possuem recursos de arquivo definidos), caso isso os confunda em ações que eles não pretendiam permitir.
Em alguns casos, isso é imposto impedindo a elevação por set-uid etc. Essa é a abordagem adotada ao filtrar as chamadas do sistema com o seccomp.
No entanto, para namespaces, a intenção era permitir o uso de namespaces em ids de usuários. Os namespaces foram mesclados no mainline Linux em um processo incremental, começando com o mais simples e culminando em namespaces de usuário. Eu suspeito que houve pouco interesse em adicionar o caso especial, para impingir no-new-privs ao entrar em um namespace PID, quando você ainda não tem privilégio completo.
A interação desses espaços de nomes torna-se bastante complicada, por isso é bom não proliferar muitos casos diferentes, se esses casos não estiverem em alta demanda.