摘要
- 全球认可将区域号码注册机构转变为更像负责地域唯一性的特许经营运营商:在其区域内具有排他性,对用户不可或缺,受到连续性担忧的保护,并倾向于将中立协调功能转化为许可权力。
- 该问题最初出现在一个看似与互联网治理无关的房间里。
路由前缀背后的尽职调查问题
该问题最初出现在一个看似与互联网治理无关的房间里。一家云提供商正在非洲市场购买容量。一家银行正在审查由网络合同担保的融资设施的安全性。一个迁移委员会正在决定受监管的工作负载能否从一个托管平台迁移到另一个,而无需重新编号、破坏允许列表、使客户审计文件失效或干扰反向 DNS。工程师们已经检查了显而易见的事实。前缀已路由。源 AS 可见。可以找到滥用投诉联系方式。客户可以出示发票、信件、路由记录,或许还有 ROA 和下游合同。
然后,律师提出了一个对资产负债表风险至关重要的问题:在全球层面,谁被认可有权宣布这些号码资源仍处于可用状态?
这与数据包今天能否传输的问题不同。即使路由背后的注册状态存在争议,BGP 也能承载路由。贷款人、收购方、保险公司或云客户询问的是更持久的问题:其他系统在评估唯一性、注册状态、反向委派、转移资格以及持续行政合法性时,应当尊重哪个机构作为记录来源。风险不是简单的服务中断,而是即使资源在运营上正常工作,也可能因为管理区域账本的机构本身受到争议而在法律或制度上遭受损害。
AFRINIC 使这个问题无法回避。这个非洲注册机构负责管理非洲和印度洋部分地区的 IP 地址和自治系统号码。其政策手册描述了一种层级结构:IANA 将号码资源块分配给 AFRINIC,然后 AFRINIC 将它们重新分配给成员,并根据区域政策委派分配权限。这种层级结构很容易被描述为技术管理。但从经济角度看,它更为重大。面向 IANA 的全球认可赋予了一个区域机构在地域唯一性功能上的独家经营地位。该机构不制造地址,也不创造使用这些地址的网络的产值。但它处于被认可的记录点,通过该记录点,全球得知哪些使用是有效、唯一且行政合规的。
这就是为什么最佳类比不是贸易协会或数据库供应商,而是特许经营授权,但仅限于经济意义上。这个词不应被解读为法律上主张 ICANN、IANA、NRO 或其他任何机构是商业特许人,或者 AFRINIC 是合同特许经营人。重点是功能性的。在传统的商业特许经营中,一个中心系统在一个共同品牌和运营承诺下授予独占或半独占区域。当地运营商服务客户、应用标准、处理当地情况,并享有一个普通竞争对手无法轻易侵入的受保护地位。客户可能认为他们购买的是本地服务,但其价值部分依赖于更大系统的认可。如果当地运营商失败,中心层面就面临两难:通过支持或替换运营商来保护连续性,或者如此激进地保护现有运营商,以至于系统被糟糕的当地办公室所劫持。
这就是 AFRINIC 的特许经营风险。网络依赖 AFRINIC 并不是因为它们欣赏其公司形式,而是依赖被认可的账本功能。然而,只要全球认可依附于作为机构的 AFRINIC,而非可审计的连续性义务,该办公室就可能获得超出维护唯一性这一中立任务之外的权力。因此,风险委员会的问题就成了整个系统的治理问题:认可是服务于账本的用户,还是在维护那个像特许经营一样的运营商?
没有法律外衣的特许经营
特许经营的类比之所以有用,是因为它将经济实质与制度词汇分开。RIR 通常用社区、政策、管理、自下而上的治理和技术协调等语言来描述。这些词汇描述了部分过程,但没有描述依赖的经济学。网络并未将 RIR 视为众多协会之一,而是将其视为进入全球号码秩序的区域网关。
存在多个类似特许经营的元素。
第一,独占区域。AFRINIC 的服务区域不是竞争市场中的一个街区。它覆盖非洲及相关的印度洋经济体。位于该区域的运营商通常无法像在五个供应商之间选择那样,在五个注册机构之间做出选择。地理范围是划定的。该特许经营具有地域性。
第二,共同的品牌承诺。RIR 体系承诺,唯一的号码资源将在各区域之间以协调的方式进行管理。使用 AFRINIC 管理资源的用户不仅依赖 AFRINIC 的本地数据库,还依赖其他注册机构、IANA、ICANN 相关流程、运营商、路由安全工具和交易对手将区域记录视为一个全球协调系统的一部分。这就是品牌价值:唯一性在领土之外得到认可。
第三,运营义务。类似特许经营的运营商应保持服务开放,正确使用共享声明,遵循标准,服务客户,并不危及更广泛的系统。RIR 应维护注册服务,发布可靠记录,管理反向 DNS 及相关服务,实施政策,保护数据,保持成员服务可用,并参与全球协调。NRO 在 2023 年关于 AFRINIC 破产管理的声明从连续性角度阐述了问题:注册服务必须继续,ICP-2 以及 RIR 间和 ICANN 安排下的承诺必须遵守,官方接管人应帮助恢复有效的治理。该声明是官方连续性立场的证据,而非证明连续性与现有运营商保护是同一回事。
第四,地方自主权。类似特许经营的当地运营商不是机器人。它雇佣员工、管理运营、处理纠纷、应用标准并解释边缘情况。RIR 同样解释政策、评估文件、管理成员状态、在政策允许的情况下处理转移、运行选举和治理机制,并决定如何积极地执行合同和政策主张。稀缺性使这种自主权更有价值。当 IPv4 充足时,地址块看起来更像一种行政投入。当 IPv4 变得稀缺、可转移、可租赁、可融资并在运营中嵌入时,注册机构的自主选择开始影响财富、市场准入、连续性和市场结构。
第五,客户锁定。快餐顾客可以过马路。网络不能随意将其地址迁移到另一个 RIR。卢恒关于便携性的论述认为,如果没有保证的可移植性,网络实际上被锁定在其资源所在的注册机构中,并必须承受该注册机构治理失败或运营故障的影响。这是一个有利益关系的批评,但它指出了一个真正的经济机制。即使存在转移,它们也受政策约束、受区域限制、延迟、需记录在案,有时甚至不可用。退出并非普通的退出。
最后,中心认可者的两难困境。如果当地运营商失败,更广泛的系统不能忽视当地客户。但拯救当地运营商也可能奖励管理不善、维持糟糕的治理并压制更好的替代方案。在 RIR 系统中,认可层面面临同样的困境,却不承认特许经营结构。它必须保护全球唯一性和服务连续性。但如果它过于强烈地保护现有机构,就会将连续性转变为现有运营商保险。
结果是一种奇特的政治经济学。RIR 享有类似公共特许经营的好处:排他性、尊重、认可和连续性压力。但它往往保留着私人服务组织的责任姿态。当需要保护时,该机构被视为具有系统重要性;当用户寻求补救时,却被视为仅仅是合同关系。这种不匹配正是特许经营风险的核心。
产品是地域唯一性,而非地址
互联网号码资源之所以有价值,并非因为注册机构将其键入数据库。前缀之所以有价值,是因为网络可以使用它、路由它、将其嵌入客户系统、在其上支持服务,并依赖全球参与者不会将同一号码的另一用户视为同样有效。因此,注册功能并非创造价值,而是管理唯一性。
唯一性是一个奇特的产品。它不像带宽那样被消费,也不像服务器那样被制造。它是一种社会和技术状态,其中许多独立参与者同意某个特定号码不应在公共互联网上重复。这种同意需要记录、层级、程序和争议处理。但记录管理者越是被视为价值的来源,系统就越从协调滑向许可。
AFRINIC 的政策手册使这些机制可见。IANA 将号码资源块分配给 AFRINIC。AFRINIC 将它们重新分配给成员,并在适当时委派分配和子分配权限。公共 IPv4 地址被描述为全球唯一。反向 DNS 委派依赖于 AFRINIC 数据库中注册的分配或子分配。ASN 必须在 AFRINIC 的 whois 数据库中注册,手册指出 ASN 的分配或注册不授予所有权;用户被描述为保管人而非所有者。这些是注册机制,而非公司神话。它们展示了为什么账本至关重要:其他功能依赖于它。
然而,同样的机制也显示了为什么特许经营是危险的。如果注册记录被视为获得可用状态的唯一认可途径,记录管理者就获得了超越文员角色的权力。它可以影响一个地址块是否被视为可转移、可支持、可反向委派、可认证或行政良好。它可以影响买家是否对该块打折,银行是否接受其背后的现金流,云客户是否接受迁移风险,以及运营商是否被迫在多年的法律不确定中度过。
因此,所特许的经济价值不是作为自有物的地址,而是附加于领土的被认可的唯一性功能。这就是关于 AFRINIC 的清算辩论为何重要。据 The Register 报道,ICANN 在 2026 年的干预强调,通过 AFRINIC 分配的号码资源不是 AFRINIC 的资产,不应被视为可用作公司清算分配的资产。这一立场保护了一个重要事实:注册机构不应像对待办公家具一样出售号码。但它也暴露了一个更难的问题。如果资源不是公司的资产,并且用户通常被告知他们并非完整财产意义上的所有者,那么关键资产就是认可关系本身。谁拥有它?谁可以转移它?当它被滥用时谁负责?当被认可的办公室成为风险时,谁保护用户?
这正是特许经营类比发挥作用的地方。一个失败的特许经营式当地运营商可能不拥有品牌,但它拥有客户、租赁、设备、员工和当地义务。中心品牌体系可能坚持品牌不能被当地运营商清算。这是事实,但还不够。客户仍然需要服务,员工仍然需要合法的雇主,供应商仍然需要付款,领土仍然需要运营商。品牌不是当地运营商资产的法律主张本身并不能回答连续性问题。
AFRINIC 也是如此。说号码资源不是 AFRINIC 的公司资产,对于防止清算逻辑吞噬公共协调功能是必要的。但这并不是一个完整的用户保护理论。持久的公共关切是权利、注册、委派和运营依赖的账本。认可应保护该账本,而不应成为现有机构每一个自由裁量主张的挡箭牌。
认可在用户察觉之前就制造了锁定
特许经营风险通常在正常运营期间隐藏。客户只有在出现问题时才会注意到品牌。酒店客人直到预订消失才会研究特许经营协议。借款人直到贷款人询问抵押品或现金流是否依赖于一个有争议的权威时才会检查注册依赖。云客户直到迁移计划需要跨越合同、审计、地理定位表、反向 DNS、滥用处理和路由安全预期的连续性时,才会关心最初是哪个注册机构管理了某个前缀。
号码中的锁定比普通的供应商锁定更深。一家公司可以付出成本和麻烦来更换薪资供应商或防火墙供应商。更换生产 IP 空间可能意味着重新编号服务器、客户隧道、防火墙规则、VPN 端点、允许列表、邮件信誉系统、地理定位假设、监控系统、证书、合作伙伴集成以及合同服务描述。地址嵌入在远超路由器的社会、运营和商业系统中。
这就是为什么注册关系不仅仅是一个成员账户。它处于运营商对他人所做许多承诺的上游。如果注册行动或注册争议影响状态,损害会辐射到从未提及 RIR 的合同中。一家为托管业务融资的银行可能会发现,现金流依赖于受标准格式注册关系管理的资源的持续可用性。一个收购网络的买家可能会发现,部分价值受制于未解决的注册诉讼。使用当地提供商的公共机构可能会发现,其连续性计划假设了一家私人外国法律实体的稳定性。
这就是 IANA/ 全球认可的经济内涵。认可将全球信任压缩到一个区域点。这种压缩是有用的。没有认可的层级,唯一性就变得更难协调,争议倍增,本地记录可能冲突。但同样的压缩也制造了瓶颈。被认可的注册机构可能成为许多其他权利、服务和期望必须经过的狭窄关口。
卢恒关于最低初始规范和自愿采纳的论述提供了一个普遍的设计教训:协调产物不应成为常设权威,其认可是运营现实得以存在的唯一途径。关键不在于当前的 RIR 体系可以一夜之间被本地验证规则取代。它不能。关键在于危险是可辨识的。一个最初作为共同参考点的记录管理者,当未来的状态依赖于其持续的认可决定时,就可能变成一个守门人。
AFRINIC 显示了过晚发现锁定的代价。即使在其治理受到争议时,网络仍然依赖 AFRINIC 管理的记录。即使在选举被推迟、废除、质疑或后来重建时,该区域的用户仍然需要注册服务。即使在各方就破产管理、成员状态、委托书、清算和外部干预争论不休时,路由和客户服务也无法等待一个完美的宪法解决方案。这就是系统规模的锁定:类似特许经营的运营商可能受到争议,但特许经营功能仍然不可或缺。
AFRINIC 作为压力测试案例
AFRINIC 的重要性不在于关于它的每个事实都是独特的,而在于它揭示了认可交易在压力下的表现。
公开记录现已十分广泛。互联网治理项目描述 AFRINIC 自 2022 年起在没有董事会的情况下运作,并将动荡与长期的法律冲突和内部治理问题联系起来。NRO 在 2023 年 9 月的声明对毛里求斯最高法院程序任命官方接管人表示欢迎,称接管人的职责包括维持 AFRINIC 资产的现状、保全企业价值、监督选举、促进组建合适的董事会以及任命 CEO。NRO 将破产管理描绘成一条通往持续注册服务和恢复治理的道路。
这就是连续性叙事。它有真实基础。注册机构不能因为董事会缺席就简单地停止服务。成员们仍然需要 whois、反向 DNS、注册更新、资源请求、计费流程和支持。接管人的任命可以被理解为一种法律机制,以在当地运营商的治理得到修复期间保持特许经营功能运转。
但随后的事件显示了为什么这一叙事是不完整的。2025 年 6 月,AFRINIC 的选举进程成为进一步争议的中心。The Register 报道称,ICANN 对透明度和公平性提出关切,寻求改变提名过程,并要求毛里求斯法院考虑其请求。法院允许选举继续进行,同时命令发布一份公报,澄清 Cloud Innovation 被列为注册成员是错误的,源于注册服务商的处理,而非 AFRINIC 或接管人。同一报道指出,ICANN 缺乏提出申请的资格,但仍然对选举的整体完整性保持关切。
几天后,选举在关于委托书和投票文件的关切后被暂停,随后被废除。The Register 报道称,有人指控委托书可能在未经资源持有者同意的情况下被使用,且 ICANN 警告可能启动合规审查。它还报道称,如果 AFRINIC 未能通过此类审查,另一个 RIR 可能充当非洲的紧急注册机构。到 2025 年 7 月,ICANN 批评缺乏对废除的透明解释,并保留与紧急替换流程相关的权利,而 Cloud Innovation 则呼吁清算 AFRINIC,并将职责转移到不同的框架。这些是报道的立场和程序步骤,而非对潜在指控的裁决性结论。
到 2026 年 2 月,AFRINIC 代表告诉运营商社区,该组织已重回正轨,有了董事会、临时管理任命、预算和行动计划以及战略流程。The Register 报道称,AFRINIC 拥有 773,376 个未分配的 IPv4 地址,并且修订后的 ICP-2 工作旨在定义 RIR 的完整生命周期,包括取消认可条款和危机援助。这听起来像是复苏。
然后在 2026 年 5 月,The Register 报道称 ICANN 再次干预,这次成功申请成为 Cloud Innovation 试图清算 AFRINIC 的一方。ICANN 声称的目的是确保法院理解 AFRINIC 的独特角色及其管理资源的性质。它还辩称,通过 AFRINIC 分配的号码资源不是 AFRINIC 的资产,因此不能在清算中分配。
这一连串事件主要不是关于好人和坏人的道德剧。它是一个制度经济学案例。当地运营商受损。当地法院系统成为中心。全球认可层反复干预。现有机构被认为对连续性至关重要。紧急注册机构的语言出现了。清算申请迫使人们回答资源是否为公司资产的问题。网络自始至终保持依赖状态。
这就是运营形式的特许经营风险:地域唯一性功能的当地运营商受到争议,但更大的系统不能轻易让该区域陷入黑暗,不能随意转移特许经营权而不威胁自主权,也不能承认认可只保护现有运营商而损害自身合法性。
认可层有其合法职责
我们很容易得出结论,认为全球认可就是问题所在。那太简单了。认可层的存在是因为唯一性是一个全球公共协调问题。如果两个不兼容的账本声称拥有相同的地址空间,网络和交易对手需要一种方式来了解依赖哪条记录。如果一个本地注册机构进入清算,号码系统不能允许清算人将前缀作为公司库存拍卖。如果一个区域办公室在运营上无法执行基本服务,用户需要连续性。如果一个新实体声称是某个区域的注册机构,世界其他地区需要有标准才接受该主张。
这些并非凭空想象的担忧。AFRINIC 自己的政策手册显示了多少服务依赖于被认可的注册机构:分配和指派记录、whois 条目、ASN 注册、反向 DNS、滥用投诉信息发布、资源认证以及路由注册功能。即使路由本身是去中心化的,许多行政和安全功能也依赖于一致的记录。保护该记录一致性的认可层,是在做必要的工作。
合法功能有四重。
第一,保护唯一性。全球号码系统在任何给定时间都需要一个被认可的分配层级真实来源。这并不意味着一个办公室应拥有无限的自主裁量权。它意味着必须避免重复声明。
第二,保护连续性。如果被认可的注册机构处于破产管理、诉讼、董事会失灵或财务困境中,用户不应因为公司外壳不稳定而失去基本服务。NRO 2023 年的声明在聚焦持续运营和服务时最为有力。这是正确的直觉。
第三,防止机会主义转化。法院、债权人、股东索赔人、接管人或公司高管不应将号码资源视为可用于分配的普通资产。ICANN 在 2026 年清算事件中的论点在这一点上在经济上是合理的。号码资源不是椅子、银行账户或应收账款。账本绝不能因公司破产逻辑而破碎。
第四,协调紧急替代。在极端情况下,必须有人能够在现有运营商不能时维持记录、反向 DNS、支持和相关功能的运转。紧急替代的目的不是创造一个超级监管者,而是在最小化政策裁量权的同时,防止特许经营服务失灵。
这些功能不是可选的。问题在于它们依附于什么。如果认可依附于制度神话,那么现有机构就成了神圣不可侵犯的。如果认可依附于账本连续性和服务义务,用户就成了中心。两者的区别是决定性的。
困难在于,RIR 体系是在一种常常模糊这些类别的文化中发展起来的。它表现得好像区域、社区、政策、办公室和账本是一回事。在稳定时期,这种模糊是可容忍的。在危机中,它就变得危险。特许经营授权可以因为服务必须继续而得到辩护。当当地运营商利用这种连续性依赖来抵制纪律、外部审查、责任或替代时,它就变成了滥权。
危险是以连续性为伪装的现有运营商保护
连续性是这个系统中最有力量的词,因为它是最不可否认的。没有任何负责任的人希望号码服务碎片化。没有人希望法院斗争破坏反向 DNS 或 whois。没有人希望一个区域的网络失去注册支持。因为连续性论点是真实的,它也可能被滥用。
当认可层保护现有机构,就好像该机构与账本等同,滥用就发生了。于是,该机构从一种人质逻辑中获益:如果你对我们惩罚过重,用户就会受苦;如果你过快地替换我们,唯一性就会受到威胁;如果你让债权人或法院正常行事,全球系统就面临风险。其中一些警告在狭义上可能是真实的。但如果结论是该机构无论如何都必须被保留,那么特许经营就变得过于受保护了。
AFRINIC 的动荡显示了这种情况如何可能在没有公开承认的情况下发生。接管人被任命来维持现状并恢复治理。这可能是合理的。根据公开报道及其所声明的立场,ICANN 的干预旨在保护选举完整性、澄清成员状态、防止资源动荡,并抵制将号码资源视为公司资产。这些也可以是合理的目标。然而,每一次干预也改变了权力分配。它可以影响哪些行为者被视为合法,哪些法庭论点获得全球支持,哪条路径被认为具有稳定性,以及哪些替代方案被塑造成威胁。
这并不是说 ICANN 或 NRO 本应被动。而是说认可层需要一个关于自身角色的更严格的理论。它应该保护账本和用户免受碎片化。它不应仅仅因为现有运营商带有被认可的标签就保护其每一项主张。它应该澄清服务连续性与办公室连续性之间的区别。
当现有运营商的实际责任相对于用户损害较低时,这个问题尤为严峻。卢恒关于注册机构权力和责任的论述强调了这种不匹配:RIR 可以行使后果重大的把关职能,而标准格式协议和制度结构可能留给用户的补救措施远小于严重注册端决策造成的运营损害。确切的合同细节在各 RIR 之间有所不同,但经济结构是共通的。注册机构的自主裁量权可以影响连续性、可转移性、状态和商业价值。注册机构的下行风险可能是有限的、分散的或延迟的。
在这样的结构中,认可保护可能变成一种补贴。类似特许经营的运营商知道更大的系统害怕碎片化。它知道法院和运营商会受到警告,不要破坏注册机构的稳定。它知道紧急替代是困难的且在政治上代价高昂。它知道公共叙事往往将对办公室的攻击视为对互联网的攻击。结果是道德风险:该办公室可能低估其所带来的伤害,因为系统被设计为将其从失败的完整后果中拯救出来。
这不需要恶意。道德风险常常通过普通激励发挥作用。有存款保险的银行可能因为储户受保护而承担更多风险。一家被认为大而不倒的公司可能借入廉价资金并推迟改革。一个其区域过于敏感而不能关闭的当地特许经营运营商,可能更激烈地与中心品牌体系和客户讨价还价。一个其认可被视为不可或缺的 RIR,可能抵制问责,因为其他人都害怕真正纪律的后果。
这就是为什么连续性必须被解绑。用户的连续性不可谈判。办公室的连续性是有条件的。
取消认可既太弱又太强
特许经营体系需要一个终止权。没有它,当地运营商无法被约束。但终止权也可能被中心认可者滥用。RIR 体系中取消认可的经济学具有同样的双刃性。
如果取消认可的杠杆太弱,一个失败的注册机构就成了不可触碰的。它可以运营不善、延迟改革、混乱处理选举、对服务投资不足、过度解读政策或施加高额交易成本,而用户仍然被锁定,因为世界其他地区继续认可该特许经营。结果是一个糟糕的均衡:用户受苦,市场对资源打折,法院在部分补救措施中挣扎,认可层发表声明却避免采取果断行动。
如果取消认可的杠杆太强,中心层就变得危险。一个区域外的机构可以威胁区域自主权、成员权利、地方法律程序和自下而上的合法性。即使一个善意的中心行为者,如果能够决定哪个区域办公室被认可、它何时失败、谁可以替代它以及用户必须接受什么条件,也可能变成一个许可权威。卢恒关于 ICP-2 失败标准的注释正是警告了这个问题:失败机制是必要的,但果断行动必须始终以成员和自下而上的同意为基础,而不是变成一种自上而下的集权力量。
这种紧张关系无法通过假装一方是虚构的来解决。AFRINIC 表明,一个注册机构可以受损到需要外部关注的程度。它也表明,外部关注本身能够成为政治冲突的源头。ICANN 在 2025 年和 2026 年的干预可以被辩护为连续性保护。批评者也可以将其视为全球层试图塑造地方结果。这两种看法可以共存,因为制度设计是模糊的。
真正的问题是,取消认可被要求承担太多。它被当作失败的最终补救措施、合规背后的威胁、连续性的紧急路径以及全球合法性的信号。这使得它过于钝化。一个可信的体系会将功能分开:服务义务审计、注册数据托管、连续性触发、有限紧急运营、用户权利保护、透明披露、成员咨询,以及在必要时最终的认可转移。但这些是认可行为原则,而非一个完整的替代计划。眼前的要点更窄:撤销认可的权力必须足够强大以约束失败,又必须足够狭窄而不至于成为新的主权者。
用特许经营的术语来说,中心品牌体系不应容忍一个危及客户的当地运营商。但它也不应利用终止威胁来支配每一项地方商业选择。终止权应绑定于服务失败、欺诈、破产风险、对共享声明的滥用,或无法满足运营标准。它不应成为凌驾于当地利益相关者之上的一般许可。应用于 RIR,认可应依附于可衡量的连续性和完整性义务,而不是意识形态忠诚。
这就是为什么紧急注册机构的言论如此敏感。一个维持 whois、反向 DNS、支持和数据完整性的临时运营商是一个连续性工具。一个开始重塑政策、重新分配经济权利、改变成员地位或在争议中选择赢家的临时运营商,就成了一个政治行为者。紧急功能越窄,就越合法。越宽,就越像中心机构利用危机来占领领土。
RIR 体系需要在两端受到约束。它绝不能允许一个现有运营商实际上说:“你们不能碰我们,因为互联网依赖我们。”它绝不能允许一个中心认可者实际上说:“互联网依赖我们,所以你们的区域权利以我们的批准为条件。”特许经营的问题在于,这两种诱惑源于同一个源头:全球认可之所以有价值,是因为它协调唯一性。无论谁控制了它,都能将协调转化为许可。
不可替代特许经营中的道德风险
“大而不倒”这个说法通常用于银行。在某些方面,它不太适用,在其他方面则很贴切。RIR 不在银行意义上创造信用。它们不从中央银行借款。它们不是支付系统。但它们与大而不倒机构有一个共同特征:它们的失败会给没有选择该风险的第三方带来成本。
如果 AFRINIC 未能履行职能,受害方不仅包括 AFRINIC 的管理人员或诉讼当事人,还包括 ISP、托管公司、公共机构、内容平台、企业客户、银行、云客户以及下游用户,他们的服务依赖于稳定的号码记录。这种外部性正是认可层不愿让特许经营失败的原因。但一旦类似特许经营的运营商理解了这种不情愿,激励结构就会改变。
道德风险有多种形式。
一是自主裁量权被低估。如果一个注册机构可以采取激进立场,同时知道全球行为者之后会为该机构的连续性辩护,那么它可能不会完全内化其自身裁量权的风险。AFRINIC 关于注销、成员状态、选举有效性和清算的公开争议,展示了赌注能有多高。即使注册机构相信它在保护政策,错误的代价也沉重地落在成员和网络身上。
二是修复延迟。一个受保护的当地运营商可能行动缓慢,因为外部世界担心迫使问题。AFRINIC 在治理受损的情况下运营了多年,才重新出现稳定的董事会叙事。破产管理、法院监督、选举安排、废除以及后来的重建都耗费了时间。在那段时间里,用户承担了不确定性。延迟并非中性的。它是对交易、融资、规划和信任的税。
三是低责任权威。如果注册机构的实际风险敞口相对于用户损害较小,办公室就可以在不匹配资本的情况下行使权力。卢恒的责任分析将此框定为后果重大的权威与后果轻微的责任之间的结构性不匹配。特许经营的类比使这一点更加尖锐。一个拥有排他区域、受保护品牌地位和被锁定客户的当地运营商,不应被允许以仅适合低风险服务供应商的义务来运营。排他性应增加责任,而非减少。
四是叙事保险。办公室可以把自己包裹在区域、社区、管理和连续性等语言中。这些词语可能有合法用途。它们也可能掩盖一个简单事实:一个私人法律实体正行使对他人所依赖记录的认可控制。卢恒将狭窄协调角色膨胀为更广泛权威的现象称为“授权洗白”。用特许经营的术语来说,这就是当地运营商表现得好像它就是领土本身。
最后一种形式是退出扭曲。如果用户不能在失去认可的情况下将其资源或地位从一个失败的注册机构转移到其他地方,当地运营商就面临较少的市场约束。便携性将像一个安全阀。它不会解决所有问题,而且可能难以实施,但经济原则很明确:当用户可以离开时,服务质量和问责制就更加重要。当用户无法离开时,政治和法律补救措施的份量就更重。
因此,AFRINIC 的案例不仅关乎 AFRINIC。它是对 RIR 体系能否承认认可保护会制造激励的一次测试。如果对每一次危机的回应都是保留现有运营商,因为碎片化更糟,那么每一个现有运营商都学到了同样的教训:更大的系统将承受声誉和政治痛苦,以保持特许经营存活。这是未来约束不足的配方。
一个更好的契约会更严格。特许经营越排他、越不可或缺,责任就越强。认可应带来强制性披露、服务水平报告、数据托管、独立审计、冲突控制、财务透明度、用户影响评估、责任对齐以及狭窄的紧急替代协议。这些不是官僚装饰。它们是作为地域唯一性功能的被认可运营商的代价。
资本市场先于治理机构看到特许经营
金融行为者通常比治理机构更早理解制度风险。一个 IPv4 容量买家不需要互联网协调的哲学就能注意到,两个相似的地址块可能承担不同的尽职负担。一个拥有干净的注册记录、稳定的转移路径、可预测的反向 DNS、无活跃诉讼,以及一个治理不受质疑的被认可办公室。另一个位于一个注册机构处于破产管理、选举被废除、ICANN 已讨论过合规审查,且清算程序已提出管理实体将如何的问题的区域。第二个块今天可能路由得同样好。但它仍然承载着更高的制度风险溢价。
这种溢价出现在交易文件中。买方可能要求对注册状态做出更强有力的陈述。贷款人可能将某些与地址相关的价值排除在借贷基础计算之外。云客户可能要求迁移回退方案。收购方可能要求托管、保留款或赔偿。保险公司可能对业务中断风险进行不同定价。董事会可能拒绝一个在有争议资源上集中过多依赖的迁移计划。市场不是在等待一个关于 RIR 特许经营风险的正式理论。它已经在为其定价。
风险不仅仅在于 AFRINIC 可能做出一个糟糕的决定。而且,没有任何一方能够完全向买方保证,被认可的体系在压力下会做什么。注册机构可能说一套,接管人说另一套,法院说另一套,ICANN 说另一套,其他 RIR 说另一套,受影响的成员说另一套。全球认可的价值在于,它通常将这些疑问压缩成一个单一可靠的状态。当认可环境本身受到争议时,这种压缩就失败了。尽职向外扩散。
这就是为什么“地址可路由”这句话是不够的。金融家不仅仅是根据今天的路由表放贷,而是根据预期的收入连续性放贷。云平台不只是迁移到今天的可达性,而是迁移到未来的可支持性。政府机构不仅仅依赖当前的数据包流动,它还依赖可审计性、事件响应、服务连续性和法律清晰度。注册认可触及所有这些。
AFRINIC 自己的政策机制强化了这一点。反向委派可能依赖已注册的分配。ASN 必须公开注册。滥用投诉联系取决于数据库条目。临时分配、任播分配、IXP 预留和转移,都受到政策和注册行动的调节。这些是普通功能,但当管理它们的机构不稳定时,普通功能就变得与信用相关。
资本市场也注意到了不对称性。运营商建立了数据中心、客户关系、软件依赖和收入合同。注册机构拥有被认可的账本角色。如果注册行动造成不确定性,运营商承担了大部分运营损害。如果运营商起诉,过程可能持续数年。如果认可层介入,它可能优先考虑特许经营的连续性,而非特定用户。这种不对称性削弱了资源作为一种可融资资产的价值,即使避免了正式的财产语言。
人们可以理解为什么会出现一个为连续性服务、租赁结构和上游风险吸收的市场。Larus 的公开材料是利己的,不应被视为对有争议法律主张的独立证据。但它作为市场证据是有用的:注册认可风险已经变得足够可辨认,可以被包装成一个业务连续性产品。
清算问题暴露了资产虚构
AFRINIC 近期历史中最具揭示性的部分或许是清算争议。它迫使体系回答一个它宁愿回避的问题:当保留一个注册机构时,究竟在保留什么?
据 2026 年 5 月的报道,ICANN 的立场是,通过 AFRINIC 分配的号码资源不是 AFRINIC 的资产,不能在清算中分配。这一立场很重要。如果注册机构的债权人可以像对待公司财产一样扣押和分配号码资源,全球唯一性体系将面临风险。注册机构的资产负债表不应成为互联网的所有权地图。
但相反的命题还不够。如果号码资源不是公司资产,这并不意味着现有公司必须不惜一切代价被保留。这意味着账本功能必须从公司外壳中分析性地分离出来。外壳拥有员工、合同、银行账户、章程、依据当地法律的成员或注册成员、职务人员和负债。账本拥有分配、指派、委派、状态、联系方式及相关服务的记录。用户存在运营依赖。认可层有协调利益。这些都是不同的利益。
公司破产法不太适合这种混合体,因为它寻找的是资产、债权人、股东或成员以及法定义务。RIR 体系增加了一个被认可的公共协调功能,却没有使注册机构成为国家机构或条约组织。这正是特许经营问题。当地公司承载着超越普通公司类别的全球服务角色,但它仍然是一个受当地法院管辖的当地法人。
互联网治理项目 2023 年的文章为破产管理辩护,称其为私人治理韧性的证据:法院任命的接管人可以在更换领导层的同时保持组织稳定,政府则作为服务连续性的保障。这是一种合理的解读。后来的记录使其复杂化。破产管理并未终结政治经济问题。它将问题移入了一个法律过程,其中选举、成员分类、委托书、资格、废除和清算成为核心。法院参与可以保护连续性,也可能揭示注册特许经营已经超出了其法律容器的承载。
因此,“非资产”这个说法需要一个配套原则:不是注册机构的资产,但也不是注册机构的自由裁量武器。号码资源不应分配给债权人。它们也不应被视为由占据被认可办公室的任何人控制的自由裁量奖赏。正确的受保护利益是有效用户记录和服务的连续性。
这种区别在清算和普通治理中都很重要。如果资源不是资产,那么注册机构就不能主张资产所有者的自由。如果用户不是完全所有者,那么他们就需要强有力的连续性权利。如果认可层不是主权者,那么它就需要狭窄的权威和透明的义务。每个行为者都失去了简单的绝对主义主张。这是健康的。体系应该建立在责任之上,而非所有权的隐喻。
AFRINIC 暴露了将这一点悬而未决的危险。在平时,每个人都可以重复熟悉的公式:资源是公共的,注册机构是管理者,成员参与,政策自下而上,认可保护唯一性。在危机中,这些公式发生碰撞。债权人问什么可以被清算。成员问他们拥有什么权利。法院问谁根据当地法律注册。ICANN 问如何保持全球协调。网络问它们的资源是否仍然安全。一个让会议满意的公式,可能无法让融资委员会满意。
特许经营方法给出了一个更清晰的答案。当地运营商不拥有品牌,但它因为在该品牌下运营而负有责任。中心认可者不拥有客户,但它因为可以影响领土而负有克制。用户不拥有整个体系,但他们的连续性是特许经营存在的理由。当这些责任发生冲突时,用户的连续性应优先于办公室的连续性。
为什么路由不能解决认可问题
工程师们抵制法律过度陈述是正确的。互联网之所以能路由,是因为网络运行路由器并交换可达性。注册机构不推动数据包。法院命令不会自动移除 BGP 通告。一个有争议的 whois 条目本身不会停止流量。任何将注册状态视为电源开关的分析,在技术上都是粗糙的。
但相反的错误同样危险。因为路由是去中心化的,一些观察者推断注册认可是次要的。这不是风险运作的方式。关键基础设施往往依赖于不直接操作机器的记录。土地注册机构不建造房屋,但它影响抵押、销售、保险和诉讼。证券存管机构不运营公司,但它影响结算和所有权证据。航空器注册机构不让飞机飞行,但它影响融资、保险和运营许可。号码注册机构不转发数据包,但它影响围绕数据包的被认可唯一性环境。
区别在于运营事实与制度状态。路由通告是运营事实。注册地位是制度状态。两者相互作用。如果一个资源失去地位,一些网络可能仍然路由它,但交易对手可能犹豫,反向 DNS 可能受损,RPKI 或相关的信任信号可能变得有争议,转移可能被阻止,滥用和联系记录可能被质疑,客户可能要求补救。损害可能是渐进的,而非即时的。但这并不使它变小。
这就是为什么卢恒的授权洗白笔记中讨论的 ICANN 在 2025 年 3 月被报道的语言,在经济上意义重大。将 AFRINIC 描述为有权在其区域分配地址的实体,并证明接收者是世界上唯一被授权使用它们的网络,将词汇从文书记录转变为被认可的权威。人们可以辩护称,这种语言是唯一性的简写。但它也显示了唯一性如何轻易变成许可。如果注册机构被说成是证明谁被授权,那么注册机构的本地决策就获得了全球排他性意义。
危险不在于认可的存在。危险在于认可与决定运营合法性的一般权威相混淆。注册机构应该能够说:“根据这个账本,该资源在这类记录下注册给了这个持有者。”在它能够说“世界应将此网络视为未授权”之前,应受到更多约束。前者保护唯一性。后者接近许可权力。
AFRINIC 的争议之所以重要,正是因为它们恰好发生在这个边界上。注销主张、资源状态争议、破产管理、选举合法性、紧急注册语言和清算论点,都引发了一种可能性,即注册机构或认可层可能影响活跃资源周围的状态环境。数据包可能继续传输,但围绕这些数据包的制度认可的包装发生了变化。
对于一个融资委员会来说,那个包装不是装饰性的。它是资产风险的一部分。对于一个云迁移委员会,它是连续性的一部分。对于一个公共部门买家,它是供应链保证的一部分。对于一个小型 ISP,它可能意味着可融资与被认为过度暴露于治理风险之间的差别。因此,注册机构的产品不是路由,而是随时间推移的被认可唯一性。
认可应约束特许经营,而非讨好它
一个成熟的认可体系会使特许经营契约明确化。它不会假装 RIR 是普通供应商,也不会假装它们是主权者。它会将它们视为被认可的地域唯一性功能的私人或非营利运营商,并承担与其地位相称的责任。
首要责任是账本连续性。核心记录必须得到保存、可审计、托管、可复制,并且即使在办公室失灵时也能提供服务。这包括分配和指派记录、联系方式、反向委派信息、转移相关记录、资源认证依赖(如适用),以及保持基本功能运转所需的成员服务数据。认可应以在狭窄紧急条件下保存和移交这些记录的能力为条件。
第二项责任是服务连续性。用户应能够访问普通注册服务,而不被用作治理冲突中的杠杆。计费、支持、记录更新、反向 DNS、滥用投诉联系发布以及常规请求,应尽可能与董事会争议、选举争议和精英间的诉讼隔离开来。接管人或紧急运营商应根据这些服务是否继续来衡量,而非根据现有运营商的叙事是否得到保护。
第三项责任是披露。拥有排他区域的当地运营商应披露重大风险:可能影响服务的诉讼、财务困境、治理失能、数据完整性问题、选举违规、利益冲突、关键流程的延迟,以及任何可能影响用户连续性的事件。当用户无法轻易离开时,沉默并非中立。The Register 2025 年 7 月关于 ICANN 对 AFRINIC 被废除选举缺乏解释感到沮丧的报道是一个警示信号。当选举在被指控的投票文件问题后被废除时,用户需要事实说明,而非制度的不透明。
第四项责任是可审计性。被认可的注册机构应能显示记录完好、决策可追溯,且紧急流程有边界。这不同于给予中心机构无限的审查权。审计应保护用户和账本,而非成为一种政治武器。
第五项责任是责任对齐。管理高后果记录的当地运营商,不应在将大部分损害外部化的同时享受排他性。责任不必意味着对每个错误承担无限风险。但它确实意味着,体系应停止将灾难性的用户损害仅视为服务不便。保险、储备金、赔偿结构、争议基金、独立审查和更清晰的补救措施都可能发挥作用。原则很简单:对连续性的权力,应承担可预见连续性损害的责任。
第六项责任是紧急情况下用户优先。如果办公室失灵,首要问题应是如何保护现有用户和账本,而不是如何维护现有运营商的声望、董事会或神话。紧急替代应是狭窄的、临时的,并与服务义务挂钩。它不应被用来重写区域政策、解决商业纠纷或强加中心偏好。
与一个完整的后 RIR 架构相比,这些原则并不激进。它们不设计一个替代体系,不决定每一个便携性问题,也不对认可争议赋予最终权威。它们只是坚持,类似特许经营的地位必须以类似特许经营的责任来定价。没有责任的排他性是垄断。没有审计的认可是神话。没有替代的连续性是劫持人质。没有克制的取消认可是集权。
AFRINIC 的教训不是全球认可应消失,而是认可必须在广泛的制度意义上变得更少情感化、更具契约性。被认可的机构仅应在它保护被认可功能的范围内受到保护。
许可权力的经济学
中立的唯一性和许可权力从远处看很相似。两者都涉及说一种使用是有效的,而相冲突的使用是无效的。区别在于决策的来源和范围。
中立的唯一性问的是一个狭窄的问题:在约定的规则下,哪条记录保持了不重复?许可权力问的是一个更广的问题:根据该机构的判断,哪个行为者值得被认可的状态?前者是技术行政性的,后者是政治经济性的。前者应该是狭窄且可审计的,后者则是自由裁量、意识形态和俘获进入的地方。
稀缺性将体系推向许可权力。当地址充足时,注册机构分配一个新块的决定具有有限的分配后果。当地址稀缺时,同样的决定可以影响市场准入、租赁收入、收购价值和战略优势。当转移或租赁变得具有经济意义时,注册政策和解释开始影响谁能将连续性货币化,谁不能。当一个注册机构是唯一被认可的区域来源时,其中立性就变得更难且更重要。
AFRINIC 的政策手册仍然带着需求、保管、公共资源、公平性和区域管理的语言。这种语言继承自一个注册机构的主要问题是技术公共资源分配的世界。经济环境现在不同了。IPv4 的稀缺意味着,即使注册机构否认出售资源,其决策也贴近市场。注册机构无需拥有资源就能影响市场。它只需要控制被认可的状态。
这就是为什么特许经营经济学是比治理程序更好的透镜。一个拥有排他区域的当地运营商可能不拥有品牌,也不拥有客户的业务,但它控制着一个瓶颈。它可以延迟批准、解释标准、报告不合规或触发终止。它的权力不在于所有权,而在于被认可的关系。RIR 的权力类似。它可能说资源不是财产,政策是社区制定的。然而,该办公室仍然可以影响真实企业所使用的稀缺投入的被认可状态。
当许可权力与道德语言结合时尤其危险。“管理”可以是一种克制的责任,也可以成为一种优越判断的主张。“社区”可以描述参与,也可以掩盖谁的利益实际上被代表。“政策”可以是一条规则,也可以成为自由裁量执行的挡箭牌。“连续性”可以保护用户,也可以保护现有运营商。
应有的约束是,迫使每一次认可行动回归到那个狭窄的问题:为了维护唯一性和用户连续性,什么是必要的?如果行动超出了这一范围,它就需要独立的理由、成员同意、法律授权和补救措施。注册机构不应能够通过唯一性这一狭窄功能来洗白广泛的经济控制。
这是 AFRINIC 的核心经济教训。通过非洲网络路由的地址不仅仅是管理表中的条目。它们是商业、公共服务和资本计划的投入。一个通过 IANA/ 全球层级被认可的区域注册机构,因此不仅仅是一个文员。它是一个对稀缺性敏感的特许经营的运营商。资源越稀缺、越嵌入,让当地运营商自行定义其自由裁量权范围就越危险。
一个更安全的认可契约会是什么样
结论应该狭窄,因为问题已经足够广泛。AFRINIC 不需要一个为完全建成的后 RIR 世界准备宣言来传授其教训。它需要一个更好的认可契约。
该契约将从一句简单的话开始:认可追随账本功能和服务义务,而非制度神话。一个注册机构之所以被认可,是因为它为其区域内的用户维护了一个唯一、准确、可审计且可服务的记录。它被认可,不是因为办公室体现了一个大洲,不是因为董事会代表一个区域发言,也不是因为制度连续性本身有价值。办公室是手段。
第二,紧急替代应是可能的,但范围狭窄。它应保存数据、普通服务、反向 DNS、支持和用户地位。它不应成为重新设计区域治理、解决商业争斗、改变政策偏好或不经受影响用户选择永久继任者的授权。紧急工具越窄,它对自主权的威胁就越小。
第三,类似特许经营的地位必须附带责任、披露和审计义务。如果一个注册机构想要排他性和全球尊重的好处,就必须接受普通私人协会不承担的义务。这包括风险报告、与服务连续性相关的财务透明度、重大事件的独立审查、数据托管、明确的冲突规则,以及与可预见损害相称的补救措施。该体系不能永远保持类似公共的权威和类似私人的下行风险。
第四,认可层必须区分保护注册机构与保护用户。在危机中,其首要忠诚应是对有效用户记录和服务的连续性。现有机构仅在其仍然是实现该连续性的最佳载体时才值得支持。如果保留办公室损害了用户,办公室就失去了争论的基础。
第五,退出应随着时间推移变得更加可信。这不需要一个关于完全便携性或后 RIR 架构的即时蓝图。它确实需要承认,无法退出是道德风险的一部分。一个知道用户无法离开的当地运营商,将与一个知道用户有可行安全阀的运营商表现不同。任何改善便携性、镜像、托管或用户导向连续性的未来改革,都将改善纪律。
最后,法院和政府需要更清晰的词汇。审理清算申请的当地法院不应被迫在普通公司清算与盲目遵从互联网治理仪式之间做出选择。政府不应被告知,一个私人注册机构要么只是一家公司,要么是一个准主权的大洲权威。更好的词汇是私人法律形式下的类似特许经营的公共依赖功能。这个词汇允许法院保护账本而不将注册机构视为所有者,并在不危及用户的情况下审查办公室。
AFRINIC 是一个棘手的案例,因为它将每一个元素压缩进一个文件:排他区域、稀缺资源、破产管理、选举危机、ICANN 干预、紧急注册语言、清算斗争,以及关于号码资源是资产、用户权利还是认可记录的未解决问题。即使当地运营商受到争议,其网络也依赖该特许经营。这是结构性的现实。
教训不是认可不合法。认可之所以有价值,是因为唯一性必须被协调。教训是,认可一直被低估。它赋予了区域运营商一个类似特许经营的地位,而附加于该地位的责任仍然太软、太隐晦,且太容易与制度自我保存相混淆。
答案是颠倒优先顺序。账本比看门人更重要。用户比办公室更重要。连续性比现有运营商更重要。全球认可应使注册机构更加负责,而非更加神圣。如果诚实地对待 IANA 认可的经济学,RIR 不是一个神职人员,不是一个主权者,也不是一个普通供应商。它是地域唯一性的特许经营运营商。该特许经营可以是有用的,也可能失败。该体系的成熟度,将以其能否在不保护失败的情况下保护功能来衡量。

