Gisteren las ik op Programmableweb.com een artikel met de titel “Can an API Steal Data”. Een Flickr gebruiker is erachter gekomen dat zijn foto’s in een Mashup (Adactio Elsewhere) verschenen, terwijl hij de rechten voor al z’n foto’s op ‘All Rights Reserved’ (ARR) heeft staan. De discussie die hierna onstaan is gaat vooral over wie nu verantwoordelijk voor het probleem is, Flickr of the Mashup ontwikkelaar. Maar wat is nu precies het probleem, wie is er verantwoordelijk en welke gevolgen heeft deze discussie?
Analyse
Als je als gebruiker foto’s op Flickr plaatst heb je een aantal mogelijkheden om jezelf te beschermen tegen ongeautoriseerd gebruik van je foto’s.
Je kan kiezen uit verschillende licentie vormen voor de foto’s, uiteenlopend van All Rights Reserved tot Creative Commons Naamsvermelding. Hiermee geef je aan wat anderen met je foto’s mogen doen.
Daarnaast heb je een aantal configuratie mogelijkheden, zoals wie je foto’s mogen downloaden, printen, bloggen, etc. Belangrijke optie is de “Hide your photos from public searches” optie. Hiermee geef je aan of jouw foto’s in de resultaten mogen verschijnen van zoekopdrachten via de API.
Wat is het probleem waarover de discussie nu gevoerd wordt? Een Flickr gebruiker heeft zijn foto’s als “All Rights Reserved” staan en de “Hide your photos from public searches” optie aan staan. Toch kwam hij foto’s van zichzelf tegen op een andere site dan Flickr, namelijk op elsewhere.adactio.com. Deze site beeldt de foto’s af van Jeremy Keith en zijn contacten bij Flickr. Als je op een contact klikt, zie je ook de foto’s van diens contacten, etc.
De site maakt gebruik van de mogelijkheid om m.b.v. de Flickr API rechtstreeks de foto’s van een gebruiker op te kunnen halen. Deze mogelijkheid werkt voor iedere gebruiker, ook al zijn diens foto’s ARR en beschermd tegen zoeken via de API. Overigens worden de foto’s op elsewhere.adactio.com afgebeeld onder vermelding van de eigenaar van de foto’s.
Austen Haines, die de discussie op Flickr gestart is, heeft een aantal bezwaren tegen het gebruik van zijn foto’s. De eerste is dat er geen toestemming gevraagd is voor het gebruik van zijn foto’s en de tweede is als er geen toestemming is, dan zou er nog sprake kunnen zijn van Fair Use, maar de foto’s worden niet alleen in thumbnail formaat afgebeeld.
Wie is de schuldige?
Een belangrijke vraag in de hele discussie is: wie is de schuldige? Is dat Flickr voor het feit dat ARR foto’s toch in de API verschijnen? Of is dat de ontwikkelaar van de mashup omdat deze geen toestemming heeft gevraagd aan de eigenaren van de foto’s?
In veel reacties in deze discussie wordt de verantwoordelijkheid bij de ontwikkelaar gelegd. Hij had eerst toestemming moeten vragen voordat hij foto’s gebruikte. Jeremy geeft aan dat er veel meer applicaties zijn, waarbij je zonder dat je hoeft in te loggen foto’s van een specifieke Flickr gebruiker kan opvragen. Daarnaast laat de mashup de foto’s zien, met vermelding van de eigenaar en worden er geen foto’s opgeslagen.
Er is ook nog een tweede discussie ontstaan, waarbij de verantwoordelijkheid meer bij Flickr gelegd wordt. Flickr zou niet moeten toestaan dat zo maar alle foto’s via de API opgevraagd kunnen worden. Bij ARR foto’s zouden bijvoorbeeld alleen thumbnails opgevraagd moeten kunnen worden. Voor grotere afbeeldingen zou de eigenaar van de foto’s moeten inloggen, zodat diensten als Moo nog wel mogelijk blijven, maar dan alleen voor de eigenaar van de ARR foto’s.
Austen Haines zou al minder problemen met elsewhere.adactio.com als deze alleen maar gebruik zou maken van thumbnails, omdat dat eventueel onder ‘Fair Use’ zou vallen.
Er zijn mensen in de hele discussie die aangeven dat het gevolg van foto’s op Flickr plaatsen (of überhaupt foto’s op internet plaatsen) nu eenmaal is dat mensen met je foto’s aan de haal kunnen gaan. Natuurlijk is dat waar, maar daarom hoef je er nog niet mee akkoord te gaan. Je hebt bij Flickr de mogelijkheid om foto’s ARR aan te bieden en dan moet dat ook geaccepteerd worden.
Aan de andere kant, Flickr biedt de mogelijkheid aan om rechtstreeks foto’s op te vragen van een gebruiker, moet je dan als Mashup developer deze gebruiker ook nog om toestemming gaan vragen?
Er zijn ook mensen die, zolang hun naam bij de foto’s staat, het prima vinden om op deze manier extra aandacht te krijgen. Deze mensen zouden eigenlijk geen gebruik moeten maken van de ARR optie, maar zouden de “Naamsvermelding-Niet-commercieel-Geen Afgeleide werken” licentie moeten gebruiken. Deze licentie staat het alleen toe dat je de foto mag gebruiken, zolang je de bron vermeldt. Je mag de foto’s niet commercieel gebruiken en je mag ze ook niet bewerken.
Ik ben wel benieuwd naar jullie meningen. Is het de verantwoordelijkheid van Flickr of van de Mashup developer om te checken of een foto wel of niet gebruikt mag worden? En zou jij het een probleem vinden als je foto’s op een site als elsewhere.adactio.com zouden verschijnen?
Oplossing
Flickr is volgens een reactie van Paul Hammond aan het nadenken over een oplossing. Ze vinden het nog niet zo eenvoudig aangezien er veel applicaties en Mashups zijn die gebruik maken van de Flickr API. Ze willen voorkomen dat deze applicaties niet meer werken door een aanpassing in de API.
Ik denk dat Flickr de gebruikers een extra optie moet gaan geven waarmee ze of hun foto’s helemaal kunnen uit sluiten van ongeauthoriseerd gebruik via de API of toestemming kunnen geven om thumbnails te gebruiken.
Daarnaast zou de standaard licentie de Naamsvermelding-Niet-commercieel-Geen Afgeleide werken moeten worden. Gebruikers die dit absoluut niet willen kunnen dit wijzigen, maar ik denk dat veel mensen er helemaal geen probleem mee hebben om foto’s onder deze licentie aan te bieden. Hierdoor kunnen Mashups toch gebruik blijven maken van de mooie bron die Flickr natuurlijk is.
Een aanpassing van de API is overigens geen garantie dat je foto’s niet alsnog ergens opduiken door bijvoorbeeld rss feeds of rechtstreeks linken naar een afbeelding.
Toekomst
In een reactie op de hele discussie heeft Jeremy nog een post geschreven met als titel Lock up your data. Hij schrijft hierin oa:
As sites like Flickr and Last.fm move from a user base of early adopters into the mainstream, this issue becomes more important. What isn’t clear is how the moral responsibility should be distributed. Should Flickr provide clearer rules for API use? Should Google index less? Should the people publishing photos take more care in choosing when to mark photos as public and when to mark photos as private? Should developers (like myself) be more cautious in what we allow our applications to do with the API?
Ik hoop dat we hier met z’n allen in alle redelijkheid een goede oplossing voor kunnen verzinnen. Het is absoluut niet wenselijk dat je als gebruiker of als Mashup ontwikkelaar te maken krijgt met allerlei ingewikkelde voorwaarden of overeenkomsten, voordat je je informatie ergens mag plaatsen of voordat je de informatie via een API mag gebruiken.
Ik hoop dat steeds meer mensen gaan inzien dat er met delen en gebruiken hele mooie toepassingen kunnen ontstaan, die waardevol zijn voor de ontwikkeling van onze cultuur.
Er zijn meer mogelijkheden dan gevaren!
Een interessante discussie. Ik vind dat Flickr het qua rechten en privacy goed geregeld heeft. Standaard publiceer je onder ARR en je kan duidelijk aangeven of je foto’s prive, gedeeld met vrienden of publiekelijk wilt publiceren.
Als je er voor kiest om je foto’s publiekelijk te publiceren dan loop je natuurlijk altijd het risico dat iemand hier misbruik van maakt. Mensen kunnen via de website van Flickr de foto spideren en kopiëren, alsmede via de api. Dit is het risico van publiceren.
Door de licentie te vermelden kan je hier deels tegen beschermen, als iemand de licentie schend is diegene in overtreding. Hier kan je (gerechtelijke) stappen tegen ondernemen. Het medium heeft in dit geval naar mijn mening geen verantwoordelijkheid, zolang het medium maar duidelijk de licentie aangeeft.
Mijn stelling: elsewhere.adactio.com schend de rechten, en de rechthebbende zal bij hem aan moeten kloppen…
Het zou zonde zijn beschermde foto’s uit de API te halen. Hiermee maak ja van de API een half poortje in plaats van een goede toegang. Misschien moet het ook mogelijk zijn om via de API de CC licentie op te halen van een foto (ik weet niet of dat nu al kan). In dat geval is de derde partij schuldig als ze die foto’s toch laten zien. Flickr moet ze in zo’n geval waarschuwen of toegang ontzeggen tot de API aangezien Flickr de host van de foto’s en API is.
Ik wil gelijk even een discussie op mijn eigen blog pluggen die hier wel wat mee van doen heeft. Die gaat over dat databases belangrijker worden dan interfaces. Problemen moet je daarom volgens mij al in de database oplossen. Hoe meer data je API ontsluit van je database hoe beter. Het liefst wil je dat een API volledige toegang heeft.
http://www.hypernarrative.com/wordpress/2007/10/10/information-wants-to-be-free-the-database-as-the-media-of-tomorrow/
komt de licentie in de api/rss mee? zo ja, dan moet de mashupper een check doen. zo nee, flickr moet de licentie meesturen.
Nog een (beetje verlate) reactie:
De licentie zit niet in de rss feeds, maar het is wel mogelijk om de licentie op te vagen mbv de API.