2017年4月6日，W3C正式回应了联合国教科文组织（UNESCO）对W3C开展媒体加密扩展（Encrypted Media Extension，EME）标准化的关切。此前，联合国教科文组织通过撰文及正式信函向W3C表达了对EME标准化的担忧。
 

在这封正式函件中，联合国教科文组织表达了他们关于互联网普适性（Internet Universality）的概念及价值观。W3C认同这种互联网普适性的概念，我们认为任何试图禁止电影等媒体内容在互联网和Web上传播的努力，本质上都违背了互联网的普适性。 
 

我们希望说明：EME并未比其他替代技术方案进一步改善隐私、安全和对内容的无障碍访问，但是：

－需要借助Web浏览器插件访问受版权保护内容的替代技术已经逐步被弃用。如果没有嵌入浏览器内部的解密能力，内容提供商将会自行开发集成了解密功能的本地应用（native applications）来支持加密内容的远程访问，这一方案将使内容提供商有更多的机会窥探用户隐私，甚至危害用户使用的计算设备的安全性。

－采用标准化的EME，浏览器可以将 DRM的行为限制在一个安全沙箱中，仅允许受控的访问网络、用户数据及用户所使用的计算设备，从而最大限度保护用户免受 DRM系统的副作用影响，并保护免受 root kit 攻击，避免隐私泄漏。

－分析测试表明，EME规范对字幕、转码（transcripts）及音频描述（audio description）并不会影响用户对信息的无障碍访问。而且，EME建议所有无障碍访问相关的信息都不应进行任何加密操作，这使基于EME的方案适合内容的无障碍访问和公平使用（见EME与无障碍），这些也适用于对视频流的无障碍访问。
 

联合国教科文组织认为类似美国数字千年法案（DMCA）的立法违反了联合国原则，但其在世界知识产权组织（WIPO）中的参与正是成员国产生此类立法的主要推动力。我们敦促联合国教科文组织用自己的力量坚持会员国在互联网法律上保持合理、适度及对人权的尊重。W3C是一个技术标准化组织，此类涉及到一个或多个国家主体的立法及诉讼（如WIPO条约）不应是W3C的职责，而更适合由 EFF或联合国教科文组织 来承担。
 

EFF作为W3C的会员，曾经发起过一项会员提案，建议参与开发EME标准工作组的W3C会员达成一项协议，确保这些会员机构不会依据美国的DMCA法案对EME标准的技术贡献者发起诉讼，但这一会员提案最终被W3C会员否决。为此，W3C考虑通过维护一个关于W3C安全披露与隐私的最佳实践文档（W3C Security Disclosures and Privacy Best Practices）来保护相关安全技术的研究者。我们邀请对此感兴趣的公众、技术专家、W3C会员及其他利益相关方就如何更好的保护和支持安全及隐私领域的研究人员对这一最佳实践提出意见和改进建议。
 

更多内容，请参阅本文英文原文，W3C媒体加密扩展标准进展，及 Tim Berners Lee 关于HTML5中的媒体加密扩展的博客文章。

2017年3月30日，W3C的Web认证工作组（Web Authentication Working Group）专利咨询组（Patent Advisory Group）发布了一份报告，建议W3C急需开展Web认证标准的制定工作。
 

2016年2月，在一份基于FIDO 2.0的会员提案基础上，W3C设立了Web认证工作组（W3C Web Authentication Working Group，详见工作组章程），致力于为Web应用定义基于非对称密码体系的API、数字签名及相关的数据格式。2016年5月31日，W3C发布了Web认证的首份工作草案。2016年8月，Visa Europe（W3C会员，但没有参与Web认证工作组）依据W3C专利政策提出了专利披露与豁免（disclosed and excluded）请求，10月，W3C设立专利咨询组，针对披露请求涉及的8项专利进行了分析和审查。所发布的审查报告认定这些披露的专利不对Web认证标准（Web Authentication Specification）的制定构成影响。
 

通常，在W3C中，如果某个技术标准中涉及的某项专利技术，相关专利已由持有者公开披露，是该技术标准实现中必须采用的技术（essntial），但根据W3C的 免费许可条款（Royalty-Free licensing terms）无法从专利持有人处获得免费授权时，W3C将设立专利咨询组（PAG, Patent Advisory Group），解决标准中的专利问题。
 

更多信息，请参阅英文原文，及该专利咨询组主页。

2017年3月22日，W3C的XML查询工作组和XSLT工作组发布了6份有关XML的W3C正式推荐标准（W3C Recommendation），进一步通过maps、arrays及新的功能，加强JSON和Web平台。这6份推荐标准是：
 

－XQuery 3.1：一个XML查询语言（XQuery 3.1：A XML Query Language）：XML是一种灵活可扩展的标记语言，广泛用于各类结构化和半结构化信息存储、关系数据库及对象存储系统中对信息的表达。基于XML的查询语义采用XML语法定义对这些存储在XML文档或各类数据存储系统的查询需求，并在相关中间件的支持下，以XML的格式返回查询结果。该规范定义了一种称为XQuery的XML查询语言，用于在各类XML数据源之上查询信息。

－XQueryX 3.1：XQueryX是一个XQuery的XML表示。它是通过将XQuery语法作品映射到XML作品来创建的，其最终结果并不见得是方便人类阅读或书写，但更易于程序解析。因为XQueryX是以XML格式表示，那么就可以利用标准的XML工具来创建、解释或修改查询。

－XML路径查询语言 3.1（XML Path Language： XPath 3.1）：XPath3.1是一种认可处理值符合XQuery和XPath数据模型（XDM)3.1中所定义数据模型的表达式语言。该数据模型不但提供了一个XML文档的树型结构表示，同时还提供了例如整数、字符串、布尔值（booleans）以及可能包含对XML文档与原子值中节点进行引用的序列的原子值。

－XQuery与XPath数据模型 3.1（XQuery and XPath Data Model 3.1）：该规范定义的XQuery与XPath数据模型3.1，是XML路径语言（XPath）3.1，XSL转换（XSLT）3.0版本，以及XML查询语言XQuery 3.1的数据模型。XQuery与XPath数据模型3.1（在此简称“数据模型”）有两个用途：一是定义输入XSLT或者XQuery处理器所包含的信息；二是定义XSLT,XQuery以及XPath语言中所有表达式的容许值。

－XPath及XQuery函数和操作符 3.1 （XPath and XQuery Functions and Operators 3.1）：该文档旨在编录XPath 3.1, XQuery 3.1以及XSLT 3.0所需的函数与操作符。其定义了数据类型的构造器函数、操作符以及函数。

－XSLT与XQuery序列化 3.1（XSLT and XQuery Serialization 3.1）：该规范定义了如何将XPath和XQuery（或XQueryX）查询表达式的处理结果以HTML、XHTML、JSON、XML或纯文本等格式输出，即，该文档将一个数据模型实例序列定义为一个八位字节序列。
 

更多工作，请参阅W3C的XML查询工作组、XSLT工作组。

2017年3月2日，W3C发布了W3C安全披露最佳实践（W3C Security Disclosures Best Practices）的团队提案（Team Submission），该文档是W3C在2017年1月下旬关于HTML媒体扩展（HME）声明的延续，给出了一个关于安全和隐私的披露程序，并将作为安全和隐私保护领域开展进一步工作的基础。
 

任何一个组织都有保护其用户及应用免受欺诈、恶意软件及计算机病毒等的威胁，并应确保符合W3C推荐标准中有关安全及隐私保护的技术要求。本文给出了一个模版来指导这些组织。同时，也为支持来自安全技术社区的广泛参与、测试及审计提供支持，帮助提供更加安全的Web安全模型。
 

未来几天，W3C理事长（Director）会将加密媒体扩展（Encrypted Media Extensions）提案推荐标准提交给W3C会员，同时，也希望寻求会员对 W3C安全披露最佳实践 这份团队提案的意见和建议。更多信息，请参阅2017年1月 W3C关于漏洞披露程序的说明（January 2017 Information about W3C Guidelines for Vulnerability Disclosure Program），以及W3C理事长 Tim Berners Lee 关于HTML5中的EME支持的博客文章：HTML5中的加密媒体扩展（W3C Blog: EME in HTML5）。
 

更多内容，请参阅英文原文。

2017年2月28日，W3C理事长 Tim Berners-Lee 发表了W3C博客文章，阐述对HTML5标准中加密媒体扩展（EME）标准工作的观点。文章主要内容翻译如下。英文原文，请参阅博客英文原文。
 

业界广泛讨论的话题焦点在于W3C是否应该开发允许Web页面通过连接现有的底层数字版权管理（Digital Rights Management，以下简称DRM）系统来包含加密内容的加密媒体扩展标准（Encrypted Media Extensions，以下简称EME）。有些声音表示反对，但是我认为实际上合乎逻辑的回答是“是的，W3C应该这样做。”鉴于针对EME的反对浪潮中有很多言辞激烈的抗议，我觉得有必要向公众解释一下开发EME的逻辑所在。这世界上有太多需要去抗议、去深入调查、去跟进的事情，我希望那些用来抗议EME的资源和精力可以另寻渠道去解决真正需要解决的问题。关于EME的争论当中，出现的很多观点我是认同的。要了解为什么会产生分歧，需要直面的首要问题是W3C到底应该不应该开发EME推荐标准。
 

我认为W3C应该开发EME的原因是，通过制定EME标准，我们可以带领从一开始就参与此项标准工作的工业界形成一个简单易用的方法来实现Web页面对加密内容的支持，从而保证浏览器之间的互操作性。这将为广大开发者以及用户带来很多便利。举个例子，很多人喜欢看Netflix提供的内容。他们在每天的工作和生活中有大量的时间用在Web上，他们喜欢把Netflix的内容方便的嵌入到他们的Web页面里面去，他们喜欢就所看见的内容进行在线互动讨论，并将讨论和内容互相链接。
 

那么，大家能不能把内容放到Web上而不用DRM呢？答案是可以的。其实现在Web上大量的视频内容并没有DRM。那些未经加密的付费电影实在太容易被拷贝，并且在现实的乌托邦世界中自愿全价购买一些并没什么用处的内容的人也大有人在。也有人认为整个著作权系统就应该被废止，他们可以通过影响立法活动去尝试修改相关条约，这当然会是一个漫长的斗争历程。无论如何，在当前的现实中，法律是保护著作权的。

既然DRM存在争议...

当一家公司决定分发他们想要保护的内容时，他们有很多选择。记住这一点很重要。
 

如果W3C最初没有开发EME推荐标准，那么浏览器厂商们一定会在W3C之外的某个地方做出类似的东西；如果EME不存在，厂商们一定会开发出新的基于JavaScript的多种版本；如果不使用Web页面来浏览，更多用户就会通过私有应用去看视频内容；如果这些封闭平台禁止应用里的DRM，那么那些大型内容提供商干脆就会去分发自己的机顶盒和游戏机产品作为唯一可以获取他们内容的渠道。
 

即使W3C理事长（W3C Director）决定不做DRM相关的标准，事实上什么也不会改变，因为W3C没有权利去禁止任何事情。W3C不是美国国会，不是国际知识产权组织（WIPO），也不是一个法庭。如果EME反对者意识到这一点，那么关于W3C做EME标准的争议可能就会大大缩短。既然如此，现在我们是不是应该重新将思考和行动回归到真正重要的事情上来呢。
 

那么，W3C可不可以就EME的争论亮明观点呢？可不可以因为DRM对用户来说算不上一件好事情而拒绝那些加入W3C希望从事DRM相关工作的人呢？即便真的如此，再说一次，也不会对现状带来什么改变，因为W3C不是一个法庭，也并非一个执法机构。W3C是什么？W3C是一个Web业界通过沟通和协作打造创新卓越的Web技术的地方。W3C和广大公众要理解在对抗DRM的时候W3C的力量是非常受限的。
 

然而，更为重要一点是，脱离Web做DRM是一个糟糕的想法。对于用户而言，通过Web的加密媒体扩展来实现DRM与其他方式相比是个更好的选择。

1. 如果内容是一个Web页面，那么它就是Web的一部分；

2. EME系统可以将DRM代码沙箱化，从而限制其可能对用户系统带来的安全威胁；

3. EME系统可以将DRM代码沙箱化，从而限制其可能对用户隐私带来的安全威胁；
 

如上所述，当一个内容提供商分发一部电影时，他们有很多选择，这些选择各有优缺点。重要的问题是，内容分发商到底有多了解他们的用户。

• 如果内容分发商选择卖DVD光盘或蓝光光盘来分发内容，他们就永远不会知道用户是不是看了光盘内容，或者有多喜欢看光盘内容；用户则可以尽情观赏内容，不必担心自己的观赏行为是否会被监视；

• 如果内容分发商选择Web作为分发媒介，他们就可以在用户解锁电影内容时第一时间知道这个信息。浏览器通过EME系统，可以根据DRM代码限制电影内容的访问次数，并阻止回传更多细节信息（Web页面也可以监控并报告用户的相关访问行为，但是浏览器的这种行为也可以被监控并报告）；

• 如果内容分发商选择例如IPhone这样的择封闭系统里的应用作为分发媒介，那么他们可以自主制定自己的DRM。他们也可以观察用户对电影观看的方方面面的细节内容。如果他们能够得到用户许可获取更多访问权限，例如获取用户的日程安排，他们就可以对用户做一个完全的侧写，并将其与用户的电影观看习惯进行关联；

• 如果内容分发商选择例如Android或者Mac OS X这样的开放系统总的应用作为分发媒介，他们可以得到与iPhone应用一样的用户信息反馈。但是，鉴于这个系统并不锁定，应用是可以进一步侵犯用户权益的，例如盗取用户机密信息，或者像Sony Rootkit 案件那样在系统上安装间谍软件；

• 如果内容分发商选择使用自己开发的封闭系统，例如游戏机或者机顶盒，用户就可以避免自己的电脑被安装间谍软件。内容发行商对于回传的用户玩游戏或观看行为等信息有绝对的控制权。但是用户却没有办法将这些内容和行为纳入他们互联Web生活的一部分，因为没有链入或链出的方法。
 

总之，实现Web对EME的支持是十分重要的，因为这将提供一个相对安全的在线环境使用户可以获取Web音视频等内容，并便捷的就此进行在线互动。
 

需要提出的是，尽管目前EME在Firefox浏览器Chrome浏览器中的实现中DRM代码已经沙箱化，但是保护用户的DM代码沙箱化程度并不是由EME标准本身定义的。

致媒体朋友

既然电影已经加入了Web内容的阵营，那么接下来我们是否需要担心内容提供商把音乐及图书等其他媒体内容放到Web上面去呢？对于音乐来说，我觉得不需要担心。因为我们看到业界已经有意识的逐渐从基于DRM的模式向一种非加密模式转变了，比如有时买家的邮件地址带有水印，没有DRM。
 

对于图书来说，也许会存在一定的问题，因为现在人们依然在使用大量的不支持Web浏览的封闭阅读设备，图书内容分发商通过这些封闭设备做DRM。并且，这些封闭设备正在逐渐被手机或电脑等通用设备上那些各式具有阅读工程的应用所代替。对于自发向Web模式发展的行业是否会自行放弃DRM，我们可以寄予希望，但前景并不明朗。
 

我们已经讨论了以分发电影为例，各式DRM使用方法的优点。现在，让我们来谈谈大多数DRM系统都存在的问题。

DRM存在的问题

这篇博客大部分的内容是我以W3C理事长的身份从W3C的技术角度去探讨的，但是接下来关于DRM以及DMCA的内容，我表达的是我个人的观点。
 

用户面临的问题

从用户的角度看，DRM的问题还真不少。关于这些问题的记载已经很充分，我在这里列举如下：

•  内容的合理性使用不能保证，例如免除评论、教育目的等

•  阻碍衍生作品的再生成

•  用户不能得到一份备份副本

•  DRM可能对用户的电脑产生安全威胁，攻击用户电脑
 

DRM系统通常会给用户带来的体验并不美好，例如用户只能在某些特定地区使用针对该地区的区域性许可，“购买”和“租赁”概念的不清晰描述，内容提供商消失，以及那些已购买的东西不能够访问等造成的问题。
 

即使有这诸多不便，用户们还是继续购买受DRM保护的内容。
 

开发者面临的问题

DRM阻止独立开发者开发与视频流互动的不同回放系统，例如，增加一个无障碍的特性，加速或减慢回访等。
 

将来可能面临的问题

几十年之后，也许因为当时的加密技术，或者因为没有及时拷贝，我们也许就没有当年那些电影的可用记录资源了。对此，我强力推荐，任何一个获得了一部电影版权并把它以任何加密形式分发的人务必将一份不加密的版本保存在例如大英博物馆、美国国会图书馆以及互联网档案馆等版权库里面。

法律问题

针对EME的大部分反对意见都与DRM有关，其中有些是关于某些法律的具体问题。
 

讨论最多的相关法律是《美国数字千年著作权法案》（Digital Millennium Copyright Act，DMCA）。其他国家的相关法律大多与DMCA内容或多或少的近似。有些其他法律也在讨论范围之列，不过我们并没有一份详尽的清单，也没有做过相关分析。值得一提的是，美国投入了很多精力，通过使用多变或双边协定来劝说其他国家采用《美国数字千年著作权法案》这样的法律。在这里我对其他国家的相关法律不做探讨，但是我想指出的是，并不应该认为这仅是在美国才存在的问题。下面，我们来仔细看一看《美国数字千年著作权法案》。
 

当你想要大刀阔斧的在其他方面从整体上改革现有的著作权系统时，请留意《美国数字千年著作权法案》里面的一些特定部分，例如1201节，会将那些无辜的想弄清楚DRM系统的安全领域研究者置入被惩罚的险境。
 

在W3C的推荐标准开发流程当中，有一段时间我们曾经尝试在所有的EME工作组成员都同意署名保护这个规范技术里面的安全技术研究人员免受相关法律制裁之前，拒绝把EME规范向前推进。长话短说，这个尝试失败了。历史学家可能会指出失败的原因包括EME标准的开发过程不应该如此、EME工作组里面参与该标准的公司和根据《美国数字千年著作权法案》来打官司的公司不是同一伙人等。

安全技术研究人员面临的问题

2017年2月，W3C在鼓励Web业界启动一个“bug bounty”的项目。在这个项目保证参与该项目的发现并报告了系统中所含Bug的安全技术研究人员会被免于起诉。W3C可以鼓励这样的尝试，提供相关指南，但是W3C不能修改法律。我鼓励那些认为这种尝试很重要的人们帮助开发一份业界认同的通用最佳实践指南。一份通用最佳实践指南的初稿以及实施指南已经发布。这份指南的落地、实现以及产业的广泛应用需要大家的支持。
 

修改现行的法律显然是一个更符合逻辑的做法，但是由于技术社区似乎觉得他们对改善问题重重的美国司法体系很难起到积极作用，因为显得积极性不高。
 

这里公众的影响就十分必要了。他们可以促使公司们同意保护那些无辜的从事安全领域研究的人，以及从根本上改变《美国数字千年著作权法案》。W3C非常关注在现行司法体系下遇到麻烦的安全领域研究人员，并愿意跟踪他们的相关进展，寻求解决之道。

Web的未来

只有普世的Web才能发挥其全部作用。Web不仅应该能够可以承载现存的各种疯狂想法，也须要能够保存本世纪那些人类思想成果的精华。Web必须能够符合各种语言和文化的需求，能够包容各类信息及各类媒体。Web的普世性还应该包括对免费事物和收费事物的支持，因为这是当前世界的客观现实。这就意味着，Web能够支持电影等内容是一件好事，那么HTML5包含EME总比不包含要好。

更多内容，请参阅英文原文 W3C Blog: On EME in HTML5。更多W3C博客文章，请参阅W3C官方博客。

2017年2月23日，W3C的Web注释工作组（Web Annotation Working Group）发布了三份Web注释的W3C正式推荐标准（W3C Recomendation）：Web注释数据模型、Web注释词汇表、Web注释协议。同时发布的，还有两份说明性文档，以工作组备忘的形式发布。

－Web注释数据模型（Web Annotation Data Model）：该规范描述了一个结构化模型和格式，采用JASON格式，支持在不同的硬件及软件平台分享并重复使用注释，可以以一种简便的方式效仿常见用例，同时支持更复杂的需求，包括将任意内容链接到某一特定的数据点，或是链接到时序媒体资源的（如视频、音频）的特定片段等。

－Web注释词汇表（Web Annotation Vocabulary）：该规范用于Web注释数据模型的RDF类、谓词（predicates）及命名实体（named entities），同时列出了一组可能在模型中用到的其他本体，并提供了在互联数据上下文中使用Web注释JSON序列化所需要的JSON-LD Context及profile定义。

－Web注释协议（Web Annotation Protocol）：该文档表述了创建和管理注释的传输层协议和机制，它符合Web体系结构中REST接口的最佳实践。
 

此外，工作组还发布了两份说明性的工作组备忘（Group Notes）：

－在HTML中嵌入Web注释（Embedding Web Annotations in HTML）：本文描述了如何向HTML文档中嵌入Web注释。文档通过实例如何在HTML文档中通过Selector来识别注释及对应的HTML片段。

－选择器和状态（Selectors and States）：在Web资源中选择所需的部分是Web注释经常用到的一个独特操作。本文档基于Web注释数据模型（Web Annotation Data Model）给出的模型和语义，重点抽取了选择器（Selectors）和状态（States），帮助开发者理解和使用。
 

更多内容，请参阅英文原文，及W3C的Web注释工作组。还可以关注W3C博客文章，W3C Blog: Making it easier to share annotations on the Web。