2017年2月28日,W3C理事长 Tim Berners-Lee 发表了W3C博客文章,阐述对HTML5标准中加密媒体扩展(EME)标准工作的观点。文章主要内容翻译如下。英文原文,请参阅博客英文原文。
业界广泛讨论的话题焦点在于W3C是否应该开发允许Web页面通过连接现有的底层数字版权管理(Digital Rights Management,以下简称DRM)系统来包含加密内容的加密媒体扩展标准(Encrypted Media Extensions,以下简称EME)。有些声音表示反对,但是我认为实际上合乎逻辑的回答是“是的,W3C应该这样做。”鉴于针对EME的反对浪潮中有很多言辞激烈的抗议,我觉得有必要向公众解释一下开发EME的逻辑所在。这世界上有太多需要去抗议、去深入调查、去跟进的事情,我希望那些用来抗议EME的资源和精力可以另寻渠道去解决真正需要解决的问题。关于EME的争论当中,出现的很多观点我是认同的。要了解为什么会产生分歧,需要直面的首要问题是W3C到底应该不应该开发EME推荐标准。
我认为W3C应该开发EME的原因是,通过制定EME标准,我们可以带领从一开始就参与此项标准工作的工业界形成一个简单易用的方法来实现Web页面对加密内容的支持,从而保证浏览器之间的互操作性。这将为广大开发者以及用户带来很多便利。举个例子,很多人喜欢看Netflix提供的内容。他们在每天的工作和生活中有大量的时间用在Web上,他们喜欢把Netflix的内容方便的嵌入到他们的Web页面里面去,他们喜欢就所看见的内容进行在线互动讨论,并将讨论和内容互相链接。
那么,大家能不能把内容放到Web上而不用DRM呢?答案是可以的。其实现在Web上大量的视频内容并没有DRM。那些未经加密的付费电影实在太容易被拷贝,并且在现实的乌托邦世界中自愿全价购买一些并没什么用处的内容的人也大有人在。也有人认为整个著作权系统就应该被废止,他们可以通过影响立法活动去尝试修改相关条约,这当然会是一个漫长的斗争历程。无论如何,在当前的现实中,法律是保护著作权的。
既然DRM存在争议...
当一家公司决定分发他们想要保护的内容时,他们有很多选择。记住这一点很重要。
如果W3C最初没有开发EME推荐标准,那么浏览器厂商们一定会在W3C之外的某个地方做出类似的东西;如果EME不存在,厂商们一定会开发出新的基于JavaScript的多种版本;如果不使用Web页面来浏览,更多用户就会通过私有应用去看视频内容;如果这些封闭平台禁止应用里的DRM,那么那些大型内容提供商干脆就会去分发自己的机顶盒和游戏机产品作为唯一可以获取他们内容的渠道。
即使W3C理事长(W3C Director)决定不做DRM相关的标准,事实上什么也不会改变,因为W3C没有权利去禁止任何事情。W3C不是美国国会,不是国际知识产权组织(WIPO),也不是一个法庭。如果EME反对者意识到这一点,那么关于W3C做EME标准的争议可能就会大大缩短。既然如此,现在我们是不是应该重新将思考和行动回归到真正重要的事情上来呢。
那么,W3C可不可以就EME的争论亮明观点呢?可不可以因为DRM对用户来说算不上一件好事情而拒绝那些加入W3C希望从事DRM相关工作的人呢?即便真的如此,再说一次,也不会对现状带来什么改变,因为W3C不是一个法庭,也并非一个执法机构。W3C是什么?W3C是一个Web业界通过沟通和协作打造创新卓越的Web技术的地方。W3C和广大公众要理解在对抗DRM的时候W3C的力量是非常受限的。
然而,更为重要一点是,脱离Web做DRM是一个糟糕的想法。对于用户而言,通过Web的加密媒体扩展来实现DRM与其他方式相比是个更好的选择。
1. 如果内容是一个Web页面,那么它就是Web的一部分;
2. EME系统可以将DRM代码沙箱化,从而限制其可能对用户系统带来的安全威胁;
3. EME系统可以将DRM代码沙箱化,从而限制其可能对用户隐私带来的安全威胁;
如上所述,当一个内容提供商分发一部电影时,他们有很多选择,这些选择各有优缺点。重要的问题是,内容分发商到底有多了解他们的用户。
• 如果内容分发商选择卖DVD光盘或蓝光光盘来分发内容,他们就永远不会知道用户是不是看了光盘内容,或者有多喜欢看光盘内容;用户则可以尽情观赏内容,不必担心自己的观赏行为是否会被监视;
• 如果内容分发商选择Web作为分发媒介,他们就可以在用户解锁电影内容时第一时间知道这个信息。浏览器通过EME系统,可以根据DRM代码限制电影内容的访问次数,并阻止回传更多细节信息(Web页面也可以监控并报告用户的相关访问行为,但是浏览器的这种行为也可以被监控并报告);
• 如果内容分发商选择例如IPhone这样的择封闭系统里的应用作为分发媒介,那么他们可以自主制定自己的DRM。他们也可以观察用户对电影观看的方方面面的细节内容。如果他们能够得到用户许可获取更多访问权限,例如获取用户的日程安排,他们就可以对用户做一个完全的侧写,并将其与用户的电影观看习惯进行关联;
• 如果内容分发商选择例如Android或者Mac OS X这样的开放系统总的应用作为分发媒介,他们可以得到与iPhone应用一样的用户信息反馈。但是,鉴于这个系统并不锁定,应用是可以进一步侵犯用户权益的,例如盗取用户机密信息,或者像Sony Rootkit 案件那样在系统上安装间谍软件;
• 如果内容分发商选择使用自己开发的封闭系统,例如游戏机或者机顶盒,用户就可以避免自己的电脑被安装间谍软件。内容发行商对于回传的用户玩游戏或观看行为等信息有绝对的控制权。但是用户却没有办法将这些内容和行为纳入他们互联Web生活的一部分,因为没有链入或链出的方法。
总之,实现Web对EME的支持是十分重要的,因为这将提供一个相对安全的在线环境使用户可以获取Web音视频等内容,并便捷的就此进行在线互动。
需要提出的是,尽管目前EME在Firefox浏览器Chrome浏览器中的实现中DRM代码已经沙箱化,但是保护用户的DM代码沙箱化程度并不是由EME标准本身定义的。
致媒体朋友
既然电影已经加入了Web内容的阵营,那么接下来我们是否需要担心内容提供商把音乐及图书等其他媒体内容放到Web上面去呢?对于音乐来说,我觉得不需要担心。因为我们看到业界已经有意识的逐渐从基于DRM的模式向一种非加密模式转变了,比如有时买家的邮件地址带有水印,没有DRM。
对于图书来说,也许会存在一定的问题,因为现在人们依然在使用大量的不支持Web浏览的封闭阅读设备,图书内容分发商通过这些封闭设备做DRM。并且,这些封闭设备正在逐渐被手机或电脑等通用设备上那些各式具有阅读工程的应用所代替。对于自发向Web模式发展的行业是否会自行放弃DRM,我们可以寄予希望,但前景并不明朗。
我们已经讨论了以分发电影为例,各式DRM使用方法的优点。现在,让我们来谈谈大多数DRM系统都存在的问题。
DRM存在的问题
这篇博客大部分的内容是我以W3C理事长的身份从W3C的技术角度去探讨的,但是接下来关于DRM以及DMCA的内容,我表达的是我个人的观点。
用户面临的问题
从用户的角度看,DRM的问题还真不少。关于这些问题的记载已经很充分,我在这里列举如下:
• 内容的合理性使用不能保证,例如免除评论、教育目的等
• 阻碍衍生作品的再生成
• 用户不能得到一份备份副本
• DRM可能对用户的电脑产生安全威胁,攻击用户电脑
DRM系统通常会给用户带来的体验并不美好,例如用户只能在某些特定地区使用针对该地区的区域性许可,“购买”和“租赁”概念的不清晰描述,内容提供商消失,以及那些已购买的东西不能够访问等造成的问题。
即使有这诸多不便,用户们还是继续购买受DRM保护的内容。
开发者面临的问题
DRM阻止独立开发者开发与视频流互动的不同回放系统,例如,增加一个无障碍的特性,加速或减慢回访等。
将来可能面临的问题
几十年之后,也许因为当时的加密技术,或者因为没有及时拷贝,我们也许就没有当年那些电影的可用记录资源了。对此,我强力推荐,任何一个获得了一部电影版权并把它以任何加密形式分发的人务必将一份不加密的版本保存在例如大英博物馆、美国国会图书馆以及互联网档案馆等版权库里面。
法律问题
针对EME的大部分反对意见都与DRM有关,其中有些是关于某些法律的具体问题。
讨论最多的相关法律是《美国数字千年著作权法案》(Digital Millennium Copyright Act,DMCA)。其他国家的相关法律大多与DMCA内容或多或少的近似。有些其他法律也在讨论范围之列,不过我们并没有一份详尽的清单,也没有做过相关分析。值得一提的是,美国投入了很多精力,通过使用多变或双边协定来劝说其他国家采用《美国数字千年著作权法案》这样的法律。在这里我对其他国家的相关法律不做探讨,但是我想指出的是,并不应该认为这仅是在美国才存在的问题。下面,我们来仔细看一看《美国数字千年著作权法案》。
当你想要大刀阔斧的在其他方面从整体上改革现有的著作权系统时,请留意《美国数字千年著作权法案》里面的一些特定部分,例如1201节,会将那些无辜的想弄清楚DRM系统的安全领域研究者置入被惩罚的险境。
在W3C的推荐标准开发流程当中,有一段时间我们曾经尝试在所有的EME工作组成员都同意署名保护这个规范技术里面的安全技术研究人员免受相关法律制裁之前,拒绝把EME规范向前推进。长话短说,这个尝试失败了。历史学家可能会指出失败的原因包括EME标准的开发过程不应该如此、EME工作组里面参与该标准的公司和根据《美国数字千年著作权法案》来打官司的公司不是同一伙人等。
安全技术研究人员面临的问题
2017年2月,W3C在鼓励Web业界启动一个“bug bounty”的项目。在这个项目保证参与该项目的发现并报告了系统中所含Bug的安全技术研究人员会被免于起诉。W3C可以鼓励这样的尝试,提供相关指南,但是W3C不能修改法律。我鼓励那些认为这种尝试很重要的人们帮助开发一份业界认同的通用最佳实践指南。一份通用最佳实践指南的初稿以及实施指南已经发布。这份指南的落地、实现以及产业的广泛应用需要大家的支持。
修改现行的法律显然是一个更符合逻辑的做法,但是由于技术社区似乎觉得他们对改善问题重重的美国司法体系很难起到积极作用,因为显得积极性不高。
这里公众的影响就十分必要了。他们可以促使公司们同意保护那些无辜的从事安全领域研究的人,以及从根本上改变《美国数字千年著作权法案》。W3C非常关注在现行司法体系下遇到麻烦的安全领域研究人员,并愿意跟踪他们的相关进展,寻求解决之道。
Web的未来
只有普世的Web才能发挥其全部作用。Web不仅应该能够可以承载现存的各种疯狂想法,也须要能够保存本世纪那些人类思想成果的精华。Web必须能够符合各种语言和文化的需求,能够包容各类信息及各类媒体。Web的普世性还应该包括对免费事物和收费事物的支持,因为这是当前世界的客观现实。这就意味着,Web能够支持电影等内容是一件好事,那么HTML5包含EME总比不包含要好。
更多内容,请参阅英文原文 W3C Blog: On EME in HTML5。更多W3C博客文章,请参阅W3C官方博客。