යෝජිත දත්ත ආරක්ෂණ පනතෙන් පුද්ගලයන්ට, ව්‍යාපාරවලට සහ නවෝත්පාදනයට ඇතිවන විපාක

■ රොහාන් සමරජීව

දත්ත ආරක්ෂණය යනු දුෂ්කර විෂයකි. එහෙත්, මතුවෙමින් තිබෙන ඩිජිටල් ආර්ථිකය තුළ එහි වැදගත්කම අතිවිශාලය. බොහෝ ක්‍රියාවලදී දත්ත ගබඩා සහ විකසනයන් සිදුවේ. ඩිජිටල්කරණය ව්‍යාප්තවීමත් සමග සෑම ක්‍රියාවලියකදීම පාහේ එසේ සිදුවන බව කිව හැකිය. දත්ත භාවිතය හා දත්ත මගින් උකහා ගනු ලබන දැක්ම භාවිත කිරීම පරිගණක යුගයට පෙර සිටම සිදුවිය. වත්මන් වෙනස වන්නේ, පරිගණක භාවිතය හේතුවෙන් දත්ත මගින් බොහෝ දේ පහසුවෙන් කළ හැකි වීමයි.

රෝගීන් සම්බන්ධයෙන් දිගුකලක් තිස්සේ පවත්වාගෙන යන වෛද්‍ය වාර්තා රෝහල් හා ඖෂධශාලාවල තිබේ. එහෙත්, කඩදාසි ගොනුවල පවත්වාගෙන යන වාර්තා සහ දත්ත ගබඩා අතර විශාල වෙනසක් තිබේ. දත්ත ගබඩාවලින් පහසුවෙන් පිටපත් ලබාගත හැකිය. රටාවන් හා සම්බන්ධතා හඳුනාගැනීම සඳහා ඉක්මන් විශ්ලේෂණ සිදුකළ හැකිය. වඩා ගැඹුරු විශ්ලේෂණ ප්‍රතිඵල ලබාගැනීම සඳහා වෛද්‍ය වාර්තා වෙනත් මූලාශ්‍රවලින් ලබාගන්නා දත්ත සමග සම්බන්ධ කළ හැකිය. රෝගී සත්කාරයෙහි දැවැන්ත පරිවර්තනයක් සිදුකිරීමේ හැකියාවක් මෙහි තිබේ. එහෙත්, වෙනත් පාර්ශ්ව විසින් අනවසරයෙන් මෙම දත්ත අවභාවිත කිරීමේ අවදානමක් ද එහි තිබේ. දේශපාලන නායකයන්ගේ වෛද්‍ය වාර්තා හෙළිදරව් වුවහොත් සිදුවිය හැකි හානි හේතුවෙන් ඔවුහු එම දත්ත පරිස්සම් සහගතව ආරක්ෂා කරති. දත්ත හේතුවෙන් ඇතිවිය හැකි අවදානම පිළිබඳ එය සාක්ෂියකි.

දත්ත ආරක්ෂණ නීති මගින් අපේක්ෂා කරනුයේ පරිගණකවල විවිධ ස්වරූපයෙන් ගබඩා කර තිබෙන දත්ත අවභාවිත වීම අවම කිරීමයි. යුරෝපා සංගමය මගින් පොදු දත්ත ආරක්ෂණ රෙගුලාසිය (GDPR) හඳුන්වාදීමේ පටන් දත්ත ආරක්ෂණය පිළිබඳ අවධානය ලොව පුරාම වැඩි විය. GDPR යනු, භූමි සීමාවන්ගෙන් පරිබාහිරව පවා බලපෑම් සහිත යුරෝපා නීති මෙවලමකි. එය ක්‍රියාත්මක වූයේ 2018 මැයි මාසයේ සිටයි. ව්‍යාපාර ක්‍රියාවලි බාහිරකරණයේ (BPO) නියැලි පුද්ගලයෝ තම ව්‍යාපාර සංවර්ධනය උදෙසා GDPR වැනි නීති සම්පාදනය කිරීම වෙනුවෙන් පෙනී සිටියහ. එමගින් රටවල් විසින් දත්ත ආරක්ෂණයේ ප්‍රමාණවත්භාවය පිළිබඳ පරීක්ෂණ සමත් විය හැකි වේ යන්න ඔවුන්ගේ බලාපොරොත්තුවයි. යුරෝපා සංගමයේ ප්‍රභවයක් ඇති දත්ත සමග කටයුතු කිරීමට යුරෝපා සංගමයේ නීතිමය බලාධිකාරයෙන් බාහිර රටක ව්‍යවසායකට අවසර ලබාගැනීම සඳහා මෙම සහතිකය ලබාගත යුතුය.

දත්ත ආරක්ෂණය සම්බන්ධ ශ්‍රී ලාංකික නීති කෙටුම්පත් කිරීම 2019 ජනවාරි මාසයේදී ආරම්භ විය. ඒ සඳහා උපදෙස් විමසීම් වට ගණනාවක් පැවැත්විණි. එම පනත් කෙටුම්පත දැන් ගැසට් මගින් ප්‍රසිද්ධ කර තිබේ.

පුද්ගලයන් කෙරෙහි තිබෙන බලපෑම

දැන් දැන් පුද්ගලයන් විසින් පරිගණකගත කරන ලද දත්ත ගබඩා පවත්වාගෙන යාම වැඩි වී තිබේ. විවාහ මංගල්‍යයකට ආරාධනා කරනු ලබන පුද්ගලයන්ගේ නම් ලැයිස්තුව මේ සඳහා උදාහරණයකි. පනත් කෙටුම්පතෙහි 2(3) කොටසෙහි මෙසේ දැක්වේ: “හුදෙක්ම පෞද්ගලික, ගෘහස්ථ හෝ පවුල්වල අවශ්‍යතාවන් වෙනුවෙන් පුද්ගලයකු විසින් විකසනය කරනු ලබන පෞද්ගලික දත්ත.” එහෙත්, මෙම ආරාධිතයන්ගේ ලැයිස්තුව උත්සව සංවිධානය කරන සමාගමක් විසින් පවත්වාගෙන යන්නේ නම් එය පනත් කෙටුම්පතෙහි විධිවිධානවලට යටත් වේ. ගෘහස්ථය මගින්ම කෙරෙන්නේ නම් පනත බලපාන්නේ නැත. දත්ත පාලකවරුන් සම්බන්ධයෙන් පනවා තිබෙන නෛතික වගකීම්වලට පුරවැසියන්හට කෙලින්ම අදාළ වන්නේ නැත.

දත්ත සපයන්නන් වශයෙන් පුද්ගලයන් රඟපාන භූමිකාවන්ට මෙම නීතිය බලපායි. උදාහරණයක් ලෙස, රජයේ හෝ සමාගමක දත්ත ගබඩාවක තිබෙන ක්‍රෙඩිට් කාඩ් තොරතුරු සහ මුරපද සම්බන්ධ දත්ත අවභාවිතාවක් හේතුවෙන් පුද්ගලයකුට බරපතළ ප්‍රතිවිපාකවලට මුහුණදීමට සිදුවිය හැකිය. මෙම දත්ත තුන්වන පාර්ශ්වයක් විසින් නීති විරෝධී අන්දමින් ලබාගෙන ඩාක් වෙබ් හෙවත් වෙබ් පාතාලයක විකිණීම හෝ කප්පම් ලබාගැනීම සඳහා යොදාගැනීමට ඉඩ තිබේ. මෙවැනි අවභාවිතාවන් අහඹු අත්වැරදි නිසා ද සිදුවිය හැකිය.

කීර්තියට සිදුවන හානිය හෝ හානි වෙනුවෙන් වන්දි ගෙවීම වළක්වාගැනීමේ උවමනාව හේතුවෙන් සමාගම් විසින් උල්ලංඝනයන් සිදුවීම නිසි කලට වාර්තා නොකිරීමට ඉඩ තිබේ. එමගින් හානි තවත් වැඩිවේ. පනත් කෙටුම්පතෙහි 23 වගන්තිය මගින් උල්ලංඝනයන් වාර්තා කිරීම වගකීමක් බවට පත්කරයි. එහෙත්, පනත යටතේ සම්පාදනය කළ යුතුව තිබෙන නීති පිළිබඳ විස්තර එහි දැක්වෙන්නේ නැත.

සේවා ලබාගැනීමේදී (උදා: ණය ලබාගැනීම) හෝ නීතිමය හේතු මත පුරවැසියන් විසින් තම පෞද්ගලික දත්ත රජය හා සමාගම් වෙත ලබාදෙයි. වර්තමානයේදී ගනුදෙනුවල අතුරු ඵලයක් ලෙස දත්ත එක්රැස් කිරීම වැඩිවී තිබේ. උදාහරණයක් ලෙස, ජංගම සන්නිවේදන සේවා සැපයීමේදී හා ඒවා වෙනුවෙන් බිල් සැකසීමේදී පුද්ගලයකු සිටින ස්ථානය හා යන එන තැන් පිළිබඳ දත්ත වාර්තාගත වේ. ආර්ථික සහයෝගිතාව හා සංවර්ධනය සඳහා වන සංවිධානය (OECD) විසින් 1980දී සකස්කරන ලද මාර්ගෝපදේශ මගින් පවා දත්ත ආරක්ෂණයේ වැදගත්කම සැලකිල්ලට ගන්නා ලදී. එම වකවානුව වන විට ගනුදෙනුවලදී දෙපාර්ශ්වයේ සක්‍රියව සහභාගිත්වයෙන් තොරව දත්ත නිර්මාණය වීම පිළිබඳ කිසිවෙකු සිතා තිබුණේ හෝ නැත. OECD මාර්ගෝපදේශවල මූලික කාරණයක් වන දැනුවත් කැමැත්ත හා අරමුණ නිශ්චිතව දැක්වීම හා සම්බන්ධ මූලධර්ම පෞද්ගලික දත්ත සම්බන්ධයෙන් යෙදවීම මෙම පනත් කෙටුම්පත මගින් කටයුතු කරනු ලැබේ.

ගුණාත්මක වශයෙන් වෙනස් සංදර්භයක් පවතින වර්තමානයේදී කැමැත්තෙහි අඛණ්ඩ අදාළභාවය පිළිබඳ සජීවී බුද්ධිමය සංවාදයක් තිබේ. ඒකාබද්ධ ගනුදෙනුවලදී නිර්මාණය වන දත්ත සම්බන්ධයෙන් කැමැත්ත විශේෂ ප්‍රශ්නයකි. එහිදී දැනුවත්ව කැමැත්ත ලබාදීම තරමක් දුෂ්කරය. කැමැත්ත විමසීමේදී ලබාදෙන තොරතුරු බොහෝදෙනෙකු කියවන්නේ නැත. එසේ කියවීමට යාම කාලය ගතවන කාර්යයක් වීම එයට හේතුවයි. ගනුදෙනුකාර ගිවිසුම්වලට ඇතුළත් කර තිබෙන පුළුල් අරුත් සහිත වචන මගින් නීතිමය අවශ්‍යතාවන් සම්පූර්ණ විය හැකිය. එහෙත්, එසේ ලබාදෙන කැමැත්තෙහි දැනුවත්භාවය අවම විය හැකිය.

ඕනෑම ලිඛිත නීතියක් අනුව දත්ත හා සම්බන්ධ පුද්ගලයාගේ අයිතිවාසිකම් හා නිදහසට අඛණ්ඩව බලපාන සහ ආපසු හැරවිය නොහැකි තීරණයක් සම්බන්ධයෙන් සමාලෝචනයක් කිරීමට දත්ත පාලකවරයාගෙන් ඉල්ලාසිටීමේ අවස්ථාව පනත් කෙටුම්පතෙහි 18 වගන්තිය මගින් දත්ත හා සම්බන්ධ පුද්ගලයාට ලබාදෙයි. එම තීරණයට හේතු වන දත්ත ස්වයංක්‍රිය ක්‍රියාවලියක් ඔස්සේ නිර්මාණය කර තිබිය හැකිය. නැතිනම් නිර්මාණය කිරීමට ඉඩ තිබිය හැකිය.

රැකියා අයදුම්පත් විකසනය කරන පටිපාටිය මගින් මෙය පැහැදිලි කළ හැකිය. කිසියම් තනතුරක් සඳහා අයදුම්පත් 300ක් ලැබුණේ යයි සිතන්න. සම්මුඛ පරීක්ෂණ සඳහා තෝරාගන්නා අයගේ කෙටි ලැයිස්තුවක් සකස්කිරීමේදී යම් ආකාරයක තෝරාගැනීමක් අවශ්‍ය වේ. එය කනිෂ්ඨ කාර්ය මණ්ඩලයක් විසින් හෝ මානව සහභාගිත්වයක් සහිත ස්වයංක්‍රිය පටිපාටියක් මගින් සිදුකරනු ලැබුවහොත්, අයදුම්කරුවකුට සමාලෝචනයක් ඉල්ලාසිටීමේ අවස්ථාව ලැබෙන්නේ නැත. තෝරාගැනීම කරනු ලබන්නේ සම්පූර්ණයෙන්ම මෘදුකාංගයක් මගින් හෝ කෘත්‍රිම බුද්ධිය මත පදනම් වූ ක්‍රියාවලියක් ඔස්සේ නම් (එය වඩා වාස්තවික වුවද), ඉල්ලීම මත සමාලෝචනයක් සැපයීමට ආයතනය සූදානමින් සිටිය යුතුය.

27 වගන්තියෙහි තිබෙන අනාරාධිත පණිවුඩ පිළිබඳ විධිවිධාන තරමක් ජනප්‍රිය විය හැකිය. වෙළඳ අරමුණු වෙනුවෙන්, විද්‍යුත් මාධ්‍ය ඔස්සේ සමූහ වශයෙන් (ස්පෑම්) පණිවුඩ යවන පුද්ගලයන්හට ලිපින හිමියන් වෙතින් පූර්ව කැමැත්ත ලබාගැනීමට සිදුවනු ඇත. එසේම, එය මගහැර යාමේ පහසුකමක් සැපයීමට ද සිදුවනු ඇත. සමූහ කෙටි පණිවුඩ ලෙස හෝ තැපෑලෙන් යවනු ලබන දේශපාලනික පණිවුඩවලට ද මෙම විධිවිධාන අදාළ වේ. එම නිසා, පාර්ලිමේන්තුවේ සම්මත වීමට පෙර මෙම වගන්තිය සංශෝධනය වීමට ඉඩ තිබේ.

ව්‍යාපාරවලට බලපෑම

යුරෝපා සංගමයේ පොදු දත්ත ආරක්ෂණ රෙගුලාසි (GDPR) අනුව සකසන ලද දත්ත ආරක්ෂණ නීති මගින් දත්ත පාලකවරුන්ට සැලකියයුතු බරක් පටවනු ලැබේ. මෙහිදී දත්ත පාලකවරුන් යනු පෞද්ගලික දත්ත විකසනය කිරීමේ අරමුණු හා ක්‍රමවේද නිගමනය කරන්නන්ය. දැනුවත් කැමැත්ත ලබාගත් බව ඔවුන් සහතික කළ යුතුය. පාලකවරුන් විසින් රඳවාගනු ලබන පෞද්ගලික දත්ත පිළිබඳ එම දත්ත සමග සම්බන්ධ පුද්ගලයන්ට තොරතුරු සැපයිය යුතුය. ඉල්ලීම් අනුව දත්ත නිවැරදි කළ යුතුය; සම්පූර්ණ කළ යුතුය. දත්ත සමග සම්බන්ධ පුද්ගලයන්ට තම කැමැත්ත ඉවත් කරගැනීමට ද අවසර ලබාදිය යුතුය. ඒ අනුව, එම දත්ත මැකීම සිදුවිය හැකිය. එසේම, නීති මගින් දක්වා තිබෙන අධ්‍යාපනික හා වෘත්තීය සුදුසුකම් සහිත දත්ත ආරක්ෂණ නිලධාරීන් පත්කිරීම ද ඔවුන් විසින් සිදුකළ යුතුව තිබේ.

විශාල සංවිධානවලට මෙම වියදම් දරාගත හැකිය. නීති සමග අනුගත වීමේ වියදම් පෞද්ගලික දත්ත විකසනයේ යෙදී සිටින කුඩා ව්‍යාපාරවලට දරාගැනීම දුෂ්කරය. උදාහරණයක් ලෙස, ස්ථාවර ගනුදෙනුකරුවන්ගේ උපන්දින, ලිපින හා රුචිකත්වයන් පිළිබඳ විස්තර ස්ප්‍රෙඩ්ෂීට් එකක එක්රැස් කර තබාගන්නා කේක් සැපයුම්කරුවෙකුට සුදුසුකම් සහිත දත්ත ආරක්ෂණ නිලධාරීවරයකු පත්කිරීමට සිදුවේ. නීති සමග සම්පූර්ණයෙන් අනුගත වීම සඳහා එය අවශ්‍යය.

නීතියට යටත් වන සියලු ලොකු කුඩා ආයතනයන් ලියාපදිංචි කිරීමට හා ඔවුන්ගේ ලියාපදිංචිය යම් කාලාවර්තයකට වරක් අලුත් කිරීමට යුරෝපා සංගමයේ ආකෘතිය අනුගමනය කරන නීති අධිකාරීන්ට සිදුවේ. ඒ අනුව, තම නීති අධිකාරි බලයට අනුකූලව සියලු ආයතනයන්ගේ වාර්තාවක් තබාගැනීමට දත්ත ආරක්ෂණ නියාමකවරුන්ට අවස්ථාව ලැබේ. එසේම, පරීක්ෂා කිරීම් සිදුකිරීමටත් ලිඛිත දැනුම්දීම් කිරීමටත් අවස්ථාව ලැබේ.
ලියාපදිංචිය සඳහා සාමාන්‍යයෙන් ගාස්තුවක් අයකරනු ලැබේ. බොහෝ රටවල මෙම ගාස්තුව නියාමකවරුන් සඳහා ආදායම් මූලාශ්‍රයකි. ලියාපදිංචි විය යුතු අයගේ පරාසය අතිශය පුළුල්ය. ඒ සඳහා වියදම ඉහළ නිසා බොහෝ කුඩා ව්‍යාපාර හා සංවිධාන ලියාපදිංචි වන්නේ නැත. ලියාපදිංචිය දිරිගැන්වීම හා නීති සමග අනුගත කරවීම සඳහා ප්‍රමාණවත් තරම් නිලධාරීන් යුරෝපා සංගමයේ පවා නැත. එමගින් අවදානම් දෙකක් ඇතිවේ. නොතකා හරිනු ලබන නීති හේතුවෙන් නීති කෙරෙහි ගෞරවය නැතිවෙයි. ලියාපදිංචි නොවූ ආයතනයක් අතින් දත්ත අපහරණයක් සිදුවුවහොත්, නියාමක ව්‍යුහය විසින් එම ආයතනයට එරෙහිව බහුවිධ චෝදනා ගොනුකළ හැකිය.

අසාමාන්‍ය තත්වය වන්නේ, ලංකාවේ පනත් කෙටුම්ත අනුව ලියාපදිංචි වීමේ අවශ්‍යතාවක් නොමැති වීමයි. ලියාපදිංචි නොවීම වරදක් නොවේ. ලියාපදිංචි ගාස්තුවක් අය කරන්නේ නැත. දත්ත ආරක්ෂණ අධිකාරිය නඩත්තු වන්නේ අයවැය මගින් සපයනු ලබන අරමුදල් මතය.

කෙසේ වෙතත්, නීතිය යටතට ගැනෙන ලොකු කුඩා සංවිධාන කොයිකත්, පනතෙහි දැක්වෙන ආකාරයට තම දත්ත විකසනය හා අදාළ කටයුතු සිදුකළ යුතුය. ඇතැම් අවස්ථාවලදී, ඔවුන්ට ලිඛිත දැනුම්දීම් සිදුකිරීම නියාමකවරයාට අපහසු වන්නට පුළුවන. මෙය විශේෂයෙන්ම සුළු පරිමාණ දත්ත පාලකවරුන්ට අදාළ වන අතර, එබැවින් ඒවා නියාමනය කිරීම ද දුෂ්කර වේ. එහෙත්, රාජ්‍ය හා පෞද්ගලික අංශවල විශාල දත්ත පාලකවරුන් පාලනය කිරීම දුෂ්කර විය නොහැක.

පැමිණිල්ලක් ලැබුණු විට අදාළ ආයතනය සම්බන්ධයෙන් කටයුතු කිරීමට යන වියදම අනුව, දහස් සංඛ්‍යාත වන ක්ෂුද්‍ර, කුඩා හා මධ්‍ය පරිමාණ ව්‍යවසායන් වෙනුවෙන් නීතිවලට අනුගත වීමේ වියදම අඩුකිරීම වටිනා ක්‍රියාවකි. පැමිණිලි කිරීම සඳහා යෝග්‍ය ආකෘති පත්‍ර සැකසීම මගින් වැරදි සිදුකරන දත්ත පාලකවරයාගේ ස්ථානය හා සම්බන්ධතා විස්තර ඇතුළත් කිරීම අනිවාර්ය කිරීමේ අවශ්‍යතාව මගහරවාගත හැකිය.

භෞමික සීමා ඉක්මවා යන ගැටලු

ගූගල් සිතියම් මගින් අතිශය වැදගත් සේවයක් සපයනු ලැබේ. ජංගම දූරකථනවල අදාළ ඇප් විශේෂය ස්ථාපනය කරගන්නා ලද පුද්ගලයන් මිලියන ගණනකගේ සංචරණ රටා හා වේගයන් විකසනය කිරීම හරහා ගූගල් විසින් සජීවී ගමන් මාර්ග විස්තර හා විවිධ ආකාර මගින් ගමන් කිරීමේදී වැයවන කාලය පිළිබඳ තක්සේරු ලබාදෙයි. මෙම ක්‍රියාමාර්ග පනත් කෙටුම්පතෙහි 2(1)(v) කොටසෙහි පරාසය තුළට අයත් වේ: “ශ්‍රී ලංකාවේ දත්ත සම්බන්ධ පුද්ගලයන්ගේ චර්යාවන් විශේෂ වශයෙන් අධීක්ෂණය කරන (දත්ත පාලකවරුන්). දත්ත සම්බන්ධ එවැනි පුද්ගලයන්ගේ චර්යාවන් සම්බන්ධයෙන් තීරණ ගැනීමේ අරමුණින් එම දත්ත ලබාගැනීම එයට ඇතුළත් වේ. එම චර්යාවන් ශ්‍රී ලංකාව තුළ සිදුවිය යුතුය.” මේ අනුව, මිලියන සංඛ්‍යාත ශ්‍රී ලාංකිකයන්ගේ සංචරණ චර්යාවන් කෘත්‍රිම බුද්ධියේ ප්‍රභේදයක් වන යාන්ත්‍රික අධ්‍යයන (machine learning) පාදක ක්‍රියාවලි ඔස්සේ විකසනය කිරීමේ යෙදෙන ගූගල් සමාගම ද ශ්‍රී ලංකාවේ නීතිය අනුව දත්ත පාලකවරයකු බවට පත්වේ.

ලියාපදිංචි වීමේ අවශ්‍යතාව අනිවාර්ය කළ ද, ගූගල් වැනි ගෝලීය අන්තර්ජාල සේවා සමාගමක් ලියාපදිංචියට පෙළඹෙයිද යන්න සැක සහිතය. ශ්‍රී ලංකාව තුළ භෞතික වශයෙන් මෙහෙයුම් සිදුකිරීම පවා සිදුනොවීමට ඉඩ තිබේ. නේපාලය මේ සඳහා උත්සාහ කළමුත් සමාගම් විසින් එය නොතකා හරින ලදි. ලියාපදිංචි වීමේ අවශ්‍යතාව නොතකා හැරීම මෙම ප්‍රශ්නය සඳහා නිර්මාණාත්මක විසඳුමකි.

කෙටුම්පත් කර තිබෙන නීතිය මගින්, ශ්‍රී ලංකාවේ භෞතික වශයෙන් ක්‍රියාත්මක නොවන ගෝලීය ආයතනවල වගකීම් හා බැඳීම් දක්වා තිබේ. කිසියම් පුරවැසියකු වන්දි ලබාගැනීමට අපේක්ෂා කරන්නේ නම්, පුරවැසියාගේ හිමිකම් තහවුරු කරදීම සඳහා නීතිමය පටිපාටියට අනුව කටයුතු කිරීමේ බලය නියාමන ආයතනයට ලැබේ. උල්ලංඝනයන් සිදුකරන ආයතනවලට එරෙහිව නීතිය ක්‍රියාත්මක කරන ආකාරය අනාගතයේ විසඳාගත යුතු ප්‍රශ්නයකි.

පනතෙහි 26 වගන්තිය අනුව ශ්‍රී ලංකාවේ භූමි සීමාවෙන් පිටතදී දත්ත විකසනය කිරීම සීමාකර තිබේ. අමාත්‍යාංශ, දෙපාර්තමේන්තු, සංස්ථා හා රජය සතුව 50%කට වඩා කොටස් හිමි සමාගම් ඇතුළු රාජ්‍ය අධිකාරීන්ට අදාළව, දත්ත විකසනය රටින් බැහැරව සිදුකළ නොහැකිය. අමාත්‍යවරයා විසින් ‘යෝග්‍ය’ යයි වර්ග කරනු ලබන විශේෂිත වර්ගවල දත්ත සඳහා මෙය අදාළ වන්නේ නැත.

මේ අනුව, ශ්‍රීලංකන් ගුවන් සේවය, ලිට්රෝ ගෑස් මෙන්ම ඇතැම්විට ශ්‍රී ලංකා ක්‍රිකට් ආයතනය පවා AWS yd Google වැනි සමාගම් විසින් පිරිනමනු ලබන ක්ලවුඩ් පාදක කරගත් සේවා ලබාගැනීමෙන් වළක්වනු ඇත. ඒ හේතුවෙන් ඒවාට ශ්‍රී ලංකාවේ පිහිටුවා තිබෙන තුන්වන මට්ටමේ දත්ත මධ්‍යස්ථානවලින් පමණක් ක්ලවුඩ් සේවා සපයාගැනීමට සිදුවනු ඇත. ගාස්තුවලට සාපේක්ෂව එම සේවාවන්ගේ ගුණාත්මකභාවය ඉතා පහත්ය. විශාල ක්ලවුඩ් සේවායතනවලින් තරඟයක් නොමැති පරිසරය තුළ දේශීය දත්ත මධ්‍යස්ථාන මිල අවම කිරීමට හෝ ගුණාත්මකභාවය වර්ධනය කිරීමට දිරිගැන්වෙන්නේ නැත. දේශීය ව්‍යවසායන් දිරිගැන්වීමේ සුපුරුදු ආරක්ෂණවාදී සාධාරණීකරණය දත්ත මධ්‍යස්ථාන සම්බන්ධයෙන් ද ඉදිරිපත් වීමට ඉඩ තිබේ. එහෙත්, ඇතැම්විට ඔවුන් විසින් උපයනු ලබන අසාමාන්‍ය ලෙස අධික ලාභ පවා ඒවායේ විදේශ අයිතිකරුවන් විසින් පිටරට රැගෙන යාමට ඉඩ තිබේ.

තරමක් අසාමාන්‍ය අන්දමින්, ප්‍රාමාණිකබව පිළිබඳ විධිවිධාන රජයට අයත් නොවන පෞද්ගලික ආයතනවලට ද යොදා තිබේ. මෙහි තිබෙන වෙනස වන්නේ, යෝග්‍යතා පරීක්ෂණය සමත් රටවල පවා රාජ්‍ය අධිකාරීන් විසින් විකසනය කරනු ලබන්නේ නිශ්චිත දත්ත උප කට්ටල පමණි. ඒ අතර, පෞද්ගලික ආයතන විසින් රඳවා තබාගන්නා සමස්ත දත්ත පද්ධතියම ඒ අන්දමින් විකසනය කරනු ලැබේ. දත්ත දේශීයකරණ නීතිවලට අනුකූල වන පරිදි ගූගල් වැනි සමාගම්වල ක්ලවුඩ් පාදක කරගත් බලවත් විකසන හැකියාව කොටස් කරනු ඇතැයි සිතිය නොහැකිය.

සම්පත් සහිත යුරෝපයේ රටවලට පවා ප්‍රාමාණිකබව පිළිබඳ සහතිකය පිරිනැමීම සිදුවන්නේ සෙමින්ය. එහි දේශපාලන කාරණා ද තිබේ. ඒ සඳහා නිර්දේශිත පටිපාටිය ඉතා සංකීර්ණ වන අතර එහි පියවර සංඛ්‍යාව අවම කිරීම සාධාරණය. ඒ අනුව, ප්‍රාමාණිකබව පිළිබඳ නිර්ණායක සම්පාදනය නොකිරීමට ඉඩ තිබේ.

නැතිනම්, එවැනි තීරණ දේශපාලන හේතු මත ගන්නට ඉඩ තිබේ. එවැනි අවස්ථාවලදී නිර්දේශිත පටිපාටි මගහැර යනු ලැබේ. තවත් විය හැකි ප්‍රතිඵලයක් වන්නේ, ෆෙස්බුක් හා ගූගල් වැනි විශාල අන්තර්ජාල සේවා සමාගම් විසින් දත්ත දේශීයකරණ විධිවිධාන ගණන් නොගෙන කටයුතු කිරීමයි. එයට හේතුව ඔවුන්ට අනුගත වීමට නොහැකි වීමයි. රජය විසින් අනුගත වීම සඳහා බල කළහොත්, ඔවුන් සේවාවන් ලාංකිකයන්ට ලබා නොදීමට ඉඩ ඇත.

නවෝත්පාදනය කෙරහි බලපෑම

යන්ත්‍ර මගින් අධ්‍යාපනය (machine learning) හෝ ගැඹුරු අධ්‍යාපනය (deep learning) කරන මෘදුකාංග පොදුවේ හඳුන්වනු ලබන්නේ කෘත්‍රිම බුද්ධිය (artificial intelligence) ලෙසයි. එය වර්තමානයේ කුහුල දනවන නවෝත්පාදනයකි. අතීතයේදී, බහුවිධ විචල්‍යයන් සහිත ආකෘතියක් (model) නිර්මාණය කරන්නට නවෝත්පාදකයකුට සිදුවිය. යන්ත්‍ර මගින් ඉගෙනීමත් සමග විශාල දත්ත ප්‍රමාණයක් භාවිත කිරීම සම්බන්ධයෙන් පරිගණක මෘදුකාංග පුහුණු කර තිබේ. උදාහරණයක් ලෙස, නම සඳහන් රූප ප්‍රමාණවත් තරම් විශාල සංඛ්‍යාවක් හැදෑරීම මගින් බල්ලා හා බළලා දෘශ්‍යමය වශයෙන් වෙන්කර හඳුනාගැනීමට මෘදුකාංගයකට හැකියාව ලබාදිය හැකිය. ප්‍රතිඵල ලබාගන්නා නිවැරදිම ක්‍රමය පියවරෙන් පියවර විස්තර කළ හැකි රීති පද්ධතියකට ලඝු කළ නොහැකිය.

ගූගල්හි ප්‍රධාන ආර්ථික විද්‍යාඥ Hal Varian පනතෙහි 18වන වගන්තිය මගින් ශ්‍රී ලංකාව හඳුන්වාදෙනු ලබන පැහැදිලි කිරීමට හැකි වීමේ අවශ්‍යතාව ප්‍රශ්න කරයි. අප විසින් අපගෙන් ඉල්ලා සිටිනවට වඩා වැඩි විස්තරයක් කෘත්‍රිම බුද්ධි මෘදුකාංගවලින් ඉල්ලාසිටීමේ සාධාරණකම ඔහු ප්‍රශ්න කරයි. ඡායාරූප රැසක් අතරින් තම සහකරුගේ හෝ සහකාරියගේ රූපය හඳුනාගන්නා ආකාරය පියවරෙන් පියවර පැහැදිලි කිරීමට පුද්ගලයකුට හැකිද? 18වන වගන්තිය එම ඉල්ලීම යාන්ත්‍රික ක්‍රමවේදයන්ගෙන් ඉල්ලා සිටියි. මෙවැනි විධිවිධාන මගින් පෙන්නුම් කරනු ලබන්නේ නවෝත්පාදනයට ප්‍රමාණවත් වැදගත්කමක් ලබාදී නැති බවයි. ඇතැම් විට එය සිදුවන්නට ඇත්තේ යුරෝපා සංගමයෙන් ප්‍රාමාණිකබව පිළිබඳ සහතිකය ලබාගැනීමේ අධි උන්නතිකාමී බලාපොරොත්තු හේතුවෙනි.

අරමුණු පිරිවිතර (purpose limitation) සහ දැනුවත් කැමැත්ත (informed consent) මූලික මූලධර්මයන් ලෙස සලකා කටයුතු කිරීම ශ්‍රී ලංකාවේ කෘත්‍රිම බුද්ධිය සංවර්ධනය කිරීමේදී හා දත්ත විශ්ලේෂණයේදී අහිතකරය. පනත් කෙටුම්පතෙහි 6(2) කොටස සහ වැදගත් උපලේඛන වන I හා II මගින් පර්යේෂණ පිළිබඳ හා පුළුල් පොදු අභිලාෂයන් සඳහා වන ක්‍රියාමාර්ග පිළිබඳ යම් ඉඩක් සලසයි. එහෙත්, සැලසුම් මූලිකාංගයක් ලෙස අරමුණු පිරිවිතර මූලධර්ම ඇතුළත් කිරීමෙන් එම ව්‍යතිරේකයේ පරාසය පටු කරනු ලැබේ: “සෑම දත්ත පාලකවරයකු විසින්ම පෞද්ගලික දත්ත පහත දැක්වෙන අරමුණු වෙනුවෙන් විකසනය කරනු ලබන බව තහවුරු කළ යුතුය. (a) නියම වශයෙන් සඳහන් කරන ලද; (b) සවිස්තර; සහ (c) නීත්‍යනුකූල අරමුණු වෙනුවෙන්. පෞද්ගලික දත්ත එවැනි අරමුණු සමග අනුගත නොවන ආකාරයෙන් තවදුරටත් විකසනය නොකළ යුතුය.”

LIRNEasia විසින් දරිද්‍රතාවේ භූගෝලීය පැතිරී යාම පිළිබඳ පර්යේෂණයක් සිදුකර තිබේ. කලින් ජනාවාස ප්‍රදේහ වර්තමානයේදී ව්‍යාපාරික කලාප බවට පරිවර්තනය වන ආකාරය හා තවත් කරුණු ද අධ්‍යයනය කරන ලදි. මෙම ප්‍රතිපත්ති හා සම්බන්ධ දත්ත විශ්ලේෂණ පර්යේෂණ කටයුතු සිදුකරනු ලැබුවේ, රහස්‍යභාවය වෙනුවෙන් ව්‍යාජ නාමයන් යොදන ලද ඇමතුම් වාර්තා සහ ආශ්‍රිත දත්ත ඇසුරෙනි. එම දත්ත ලබාගත්තේ දැඩි සීමා යටතේ ජංගම සන්නිවේදන සේවා සම්පාදකයන් වෙතිනි. දැඩි දත්ත ආරක්ෂණ නීති ක්‍රියාත්මක කිරීමෙන් පසුව මෙම දත්ත තවදුරටත් පර්යේෂකයන්ට ලබාගත හැකි වේද? හේතුව, එම දත්ත සමග අරමුණු පිරිවිතර හා දැනුවත් කැමැත්ත සම්බන්ධ කර තිබීමයි.

පාරිභෝගිකයන් සමග එළැඹෙන ගිවිසුම්වලදී සේවා සංවර්ධනය කිරීම වැනි අරමුණු සම්බන්ධයෙන් පුළුල් ලෙස වචනගත කරන ලද ප්‍රකාශන ඇතුළත් කිරීම මගින් නීතිමය අවශ්‍යතාවන් සම්පූර්ණ කිරීමට සේවා සම්පාදකයන්ට හැකිය. එහෙත්, නිශ්චිත අරමුණු වෙනුවෙන් අවශ්‍ය වන නවෝත්පාදනයන් සඳහා අවශ්‍ය නව පර්යේෂණ වර්ග නම් කර දැක්වීම පහසු නැත. එහි ප්‍රතිඵලය වන්නේ, යන්ත්‍ර මගින් අධ්‍යාපනය පිළිබඳ පර්යේෂණ සඳහා අවශ්‍ය විශාල දත්ත ධාරාවන් සඳහා ප්‍රවේශය වැසීයාමයි. එම දත්ත ධාරා භාවිත කිරීමේ හැකියාව තිබෙන එකම පිරිස වන්නේ එම දත්ත එක්රැස් කරන විශාල සමාගම්වල ඍජුව සේවය කරන හෝ ඒවා සමග ගිවිසුම්ගතව සිටින පුද්ගලයන් පමණි. එමගින් එම සමාගම් තවදුරටත් ශක්තිමත් වේ. අලුත්, පොඩි සමාගම්වලට සහ ස්වාධීන පර්යේෂකයන්ට ඉඩ ඇහිරේ.

කෘත්‍රිම බුද්ධියේ බොහෝ ජයග්‍රහණයන් චීනය හා උතුරු ඇමරිකාව තුළ සිදුවීම අහඹුවක් නොවේ. ඉතා ඉහළ මට්ටමේ පුහුණුවක් සහිත දත්ත විද්‍යාඥයන් සිටිය ද යුරෝපය එහිදී පසුගාමීය. එයට හේතුව වන්නේ ඔවුන්ට දත්ත වෙත පිවිසීමට තිබෙන දුෂ්කරතාවයි. දත්ත ආරක්ෂණ නීති කෙටුම්පත් කරන්නන් විසින් ප්‍රතිචාරාත්මක වී තිබෙන්නේ අඩු තාක්ෂණික හා අඩු කුසලතා අවශ්‍ය ව්‍යාපාර ක්‍රියාවලි බැහැරකරණ ව්‍යාපාරවල ඉල්ලීම්වලට වීම කණගාටුදායක තත්වයකි. අනාගතයේ බිහිවන කෘත්‍රිම බුද්ධිය මත පදනම් වන සමාගම් වෙනුවෙන් පෙනී සිටීම සඳහා තවමත් ප්‍රබල කිසිවකු ඉදිරිපත් වී නැත. කළ ඉදිරිපත්වීම්වලට සවන් දී නැත.

දත්ත ආරක්ෂණ අධිකාරියේ ධාරිතාව

නියාමන යෝජනා ක්‍රමයේ සමස්ත ව්‍යුහය පනත මගින් ඉදිරිපත් කර, ඒ යටතේ අනාගතයේ සම්පාදනය කළ යුතුව තිබෙන රීති මගින් වැඩි විස්තර සහිත විධිවිධාන සකස් කිරීමේ කාර්යය ඉතිරි කර ඇත. ඒ සඳහා ක්‍රියාමාර්ග ගත යුත්තේ දත්ත ආරක්ෂණ අධිකාරිය ලෙස කටයුතු කිරීම පැවරෙන රාජ්‍ය නියෝජිතායතනයයි. ඉහතදී සඳහන් කරන ලද ආකාරයට, අධිකාරිය විසින් ඒකාබද්ධ අරමුදලේ අරමුදල් කෙරෙහි විශ්වාසය තැබිය යුතුය. එයට තමන්ගේම අරමුදල් නැත.

දත්ත ආරක්ෂණයේ හදබිම වන යුරෝපයේ පවා දත්ත ආරක්ෂණ අධිකාරිවලට සම්පත් හිඟයක් තිබේ. ඒවාට අවශ්‍ය තාක්ෂණික කුසලතා සහිත ප්‍රමාණවත් කාර්ය මණ්ඩලය නැත. පැමිණිලි සඳහා ප්‍රතිචාර දැක්වීමට අතිශය දීර්ඝකාලයක් ගනියි. පසුගිය වසරේදී නිව්යෝක් ටයිම්ස් විසින් වාර්තා කරන ලද පරිදි ජර්මනිය, ඉතාලිය හා බි්‍රතාන්‍යය හැර යුරෝපයේ සෙසු සියලු රටවල දත්ත ආරක්ෂණය සඳහා වන වාර්ෂික වැය ශීර්ෂ යුරෝ මිලියන 25ට අඩුය.

කාර්යක්ෂම දත්ත ආරක්ෂණ අධිකාරියක් පවත්වාගෙන යාම සඳහා මෙහෙයුම් අරමුදල ලෙස යුරෝ මිලියන 25ක් අවශ්‍යය යන අදහස මතුකිරීම සඳහා ද ඉහත දක්වන ලද සැසඳුම් නියාමනය අර්ථ නිරූපණය කළ හැකිය. එම වටිනාකම ශ්‍රී ලාංකික රුපියල්වලින් බිලියන පහක් වේ. මහා භාණ්ඩාගාරය විසින් එයින් සුළු කොටසක් හෝ දත්ත ආරක්ෂණ අධිකාරියට ලබාදෙන්නට තිබෙන ඉඩ අවමය.

ශ්‍රී ලංකාව සතුව මනාව කෙටුම්පත් කරන ලද නීති තිබේ. එහෙත්, ඒවා සතුටුදායක ලෙස ක්‍රියාත්මක වන්නේ ඉතා කලාතුරකිනි. නියාමන ආයතනයට සම්පත් හිඟ නම්, යුරෝපා සංගමයේ ප්‍රාමාණිකබව පිළිබඳ පරීක්ෂණය සමත්වීමට හැකියාව තිබෙන පසුබිමක් නමට පමණක් නිර්මාණය කරගත හැකිය. එහෙත්, එය පවා අත්පත් කරගැනීම අවිනිශ්චිතය. හොඳම නීතිය යනු තාක්ෂණික වශයෙන් ප්‍රශස්ථම නීතිය නොවේ. හොඳම නීතින් වන්නේ දේශීය තත්වයන්ට යෝග්‍ය වන නීති වේ.■