摘要
- ICP-2 改革通常被描述为 AFRINIC 长期危机后的治理清理。
- AFRINIC 危机中最具揭示性的场景并非法庭、政策会议,亦非来自互联网治理机构的公开声明。
隐藏在注册条目内的市场
AFRINIC 危机中最具揭示性的场景并非法庭、政策会议,亦非来自互联网治理机构的公开声明,而是一张存在于网络运营商、云服务提供商、托管公司、电信集团或地址持有方内部的财务决策表。表格的一边摆放着路由器、客户、服务水平承诺、滥用处理团队、地理定位工作、访问控制列表、企业合同以及重新编址的成本;另一边则是一条注册数据库中的记录。
这条记录看似属于行政管理范畴。它表明某个组织被关联至特定的 IPv4 地址块或自治系统号。然而,与该记录相伴的价值却并非行政性的。这一价值来源于:其他网络将路由该前缀,交易对手会将持有者视为合法,买家会认为该注册具备可用性,而客户则不必被迫承受重新编址的混乱。注册条目本身并非网络,但在稀缺地址市场之中,它构成了支撑网络运营的资本结构的一部分。
IPv4 的稀缺性令这一资本结构显现。2019 年,KrebsOnSecurity 报道了涉及非洲地址空间的指控,估计其市场价值超过 5000 万美元,当时单个 IPv4 地址在公开市场上大约为 15 至 25 美元。确切的市场价格随时间变动,且因地址块质量、路由历史、可转让性及商业环境而异。更重要的并非某个现货价格,而是曾被视为纯技术标识的号码资源,已变得具有资产负债表的份量。注册管理机构并未创造该价值。运营商通过围绕地址空间构建服务、客户、路由声誉和业务连续性而创造了它。但注册管理机构仍然处于认可的关键节点。
AFRINIC 自身的政策文档展示了正式机制。该注册机构在其服务区域内分发并注册互联网号码资源。公共 IPv4 地址必须全球唯一。分配和指派必须在 AFRINIC 数据库中注册,未注册资源在策略上被视为无效。政策手册界定了本地互联网注册机构、提供商可聚合空间、提供商独立空间、AFRINIC 区域内的转移、反向授权、ASN 注册以及其他日常注册机构管理的工具。理论上,这些是用于唯一性、地址节约、聚合及记录的机制。在构建于其上的经济中,它们同样影响流动性、运营风险与业务连续性。
这正是 ICP-2 改革不能仅被视作互联网治理的一次章程操演的原因。它是一个经济设计问题。认可决定了注册管理机构是否被当作可信的状态签发者来对待;撤销认可则决定了失败注册机构能否被替换;失败标准决定了注册管理机构的权力能否被约束;可携带性决定了成员能否在失败酿成灾难前离开;数据托管决定了登记账簿能否在机构更迭后幸存;外部审查则决定了注册机构能否被允许自行评定其绩效。这些理念听起来都像是程序性的,直到有人问:当程序失效时,损失该由谁承担。
多年来,RIR 体系能够回避这一问题,因为充裕性缓和了制度性失误。如果地址充足且转移微不足道,注册管理机构治理便可看似一个俱乐部问题。稀缺性改变了这一计算。转移处理中的延迟可能影响一笔交易;注册状态的争议可能影响融资、租赁、客户连续性以及诉讼策略。一个无法选举董事会、无法处理政策、无法维持投票信任、无法解释自身记录的注册机构,不再只是一个难堪的非营利组织;它变成了一个资本市场中的风险因素,而该资本市场至今仍拒绝被称为资本市场。
正是认可令这份拒绝变得不可能。若全球认可只是表明现任注册机构在其他现任机构作出相反决定前保持合法,那么认可便保护了现任者;但若认可转而规定该注册机构的职责是维护可验证的登记账簿、提供中立服务、满足客观的连续性标准并接受外部审查,则认可便约束了现任者。这一区别并非语义上的,它决定了 ICP-2 改革究竟是削弱注册机构权力,还是将其宪法化。
为何 AFRINIC 使认可具体化
AFRINIC 之所以重要,是因为它打破了那种令人安心的抽象,即认可标准只关乎新注册机构的未来申请者。原始的 ICP-2 逻辑针对的是一个主要问题在于如何建立区域性互联网注册机构的世界。而新的问题则不同:当现有注册机构在全球已围绕它构建了运营依赖之后变得功能失调时,会发生什么?
公开记录异常清晰。AFRINIC 是五大区域性互联网注册管理机构之一,服务于非洲及印度洋部分区域。AFRINIC 政策手册说明其服务区域涵盖非洲大陆以及塞舌尔、毛里求斯、马达加斯加、科摩罗和留尼汪。该注册机构处于号码资源分发的常规层级:IANA 向该 RIR 分配地址块,该 RIR 再向成员分发并授权在政策允许范围内进行指派和子分配。这并非装饰性角色。它是一个广袤区域接收并记录互联网号码资源所经由的被认可接口。
困难在于 AFRINIC 的制度生活并未保持正常。互联网治理项目(Internet Governance Project)将 AFRINIC 描述为在毛里求斯最高法院破产庭于 2023 年任命接管人后进入接管状态。号码资源组织(Number Resource Organization)的声明欢迎这一任命,视其为通过执行董事会和首席执行官恢复功能性治理的途径,同时指出接管人应维持 AFRINIC 资产的现状、保留商业价值、监督选举并加速董事会组建。该声明以积极的口吻描述这一进展的理由是成员将继续获得注册服务。
这种官方的框架是有用的证据,但并非因为它应被全盘接受。它展示了当注册机构失败时,体系看重什么:持续的服务、现状的维持、董事会的恢复以及回到普通的 RIR 参与状态。这些目标合情合理。它们也揭示了该体系保护制度外壳的本能。外壳可能既具运营之用,又在结构上危险。若认可标准仅用来修复外壳,则可能让底层的激励机制原封不动。
2025 年的选举进程使问题激化。互联网治理项目写道,AFRINIC 自 2022 年起便无董事会在任,而一场选举于 2025 年 6 月进行。ICANN 对提名流程的某些方面提出质疑,并寻求立即重组提名委员会。毛里求斯最高法院驳回了这些质疑,裁定 ICANN 缺乏诉讼主体资格,并允许选举程序继续进行,同时亦要求澄清 Cloud Innovation 在公司登记中列为注册成员一事有误,应归责于公司注册处而非 AFRINIC 或接管人。The Register 同样报道称,法院未重新审视提名委员会的组成,电子投票继续进行,而 ICANN 仍对选举的完整性表示关切。
数日之内,局面再度恶化。The Register 报道称,选举因对于授权书和投票文件的担忧被暂停,随后被宣告无效。ICANN 警告可能启动合规审查,并称若 AFRINIC 未能通过,将请求另一 RIR 担任非洲的紧急注册机构。2025 年 7 月的进一步报道描述了接管人持续的沉默、涉及伪造授权书的指控、ICANN 关于透明报告的要求,以及 Cloud Innovation 呼吁结束 AFRINIC 并将其职责过渡至一个更可信框架的主张。这些都是存在争议的主张,不应被视为对每一参与方的最终判定。对 ICP-2 经济学而言,决定性的要点更为聚焦:一个现任注册机构可能进入这样一种状态,其法律外壳、成员合法性、投票机制、与外部监督者的关系以及服务连续性保证同时变得具有经济相关性。
到 2026 年初,基调再次改变。The Register 从 APRICOT 的报道称 AFRINIC 已“重回正轨”,员工士气提升,董事会开始运作,中期管理职务已任命,预算与行动计划正在制定中,正式的 2027-2030 年战略也在准备。该报道同时指出 AFRINIC 仍有 773,376 个未分配的 IPv4 地址。同一篇文章提到,RIR 社区重新审视 ICP-2 是因为该政策描述了如何创建 RIR,但未就功能失调情形作出规定;修订后的政策预期将界定完整的 RIR 生命周期、危机期间的援助以及撤销认可的条款。
这正是 AFRINIC 的经济重要性所在。一个注册机构可以同时处于复苏中、脆弱、不可或缺、饱受争议而又权势在握。它可以拥有让服务保持运行的工作人员,而治理的合法性却备受质疑;它可以持有未分配的 IPv4 库存,而成员却怀疑该机构能否管理选举;它可以被辩称为私人治理韧性的实例,同时又揭示了为何私人治理需要外部的失败标准;它可能被官方机构描绘成连续性问题,被批评者描绘成授权问题,被成员描绘成投票问题,被诉讼方描绘成法律问题,而被运营商描绘成业务连续性问题。
ICP-2 改革必须经得起所有这些描述。若它选择一种制度叙事并围绕其构建认可,则终将失败。严肃的认可标准不能止步于询问现任者的故事是否令人安心,而必须问:该注册机构是否客观上能够维护登记账簿,提供中立服务,尊重成员流动性,披露重大风险,保持数据可用性,运行合法的治理机制,并在其无法做到这些时被替换而不损害运营连续性。
因此,AFRINIC 不仅是一场非洲危机。它是整个认可体系的一次价格发现事件。它揭示了 RIR 模式此前未曾定价的东西:当一个注册机构变得重要到无法忽视、麻烦到未经核实便无法信任时,却缺乏一个可信的、外部的、可审查的、自下而上的失败标准,由此带来的代价。
作为市场权力的认可
要理解 ICP-2 改革,不妨从一个简单的制度经济学问题入手:认可产出什么?官方的答案是协调。认可告诉互联网哪个注册机构服务于哪个区域,从而让号码资源记录应从何而来变得可知。它维护唯一性并避免重复主张。这一答案真实,但并不完整。
认可还产生附带价值。当市场相信注册状态稳定、可转让、可路由且不太可能受被认可注册机构攻击时,IPv4 地址块便更有价值。当一个网络的地址持有不会被困于一个无法自我治理的机构时,其风险便较低。转移买家会对不确定性加以定价;出借人会对不确定性加以定价;租赁客户会对不确定性加以定价;依赖地址连续性的云平台也会对不确定性加以定价。认可并不等同于财产,但它影响着市场的一种信念,即对稀缺资源的声称使用将得到他者的尊重。
因此,仅将其称为行政管理已变得具有误导性。AFRINIC 的政策手册描述了平常的注册机构目标:唯一性、注册、聚合、地址节约、记录和公平。这些目标在技术上依然重要。但稀缺性和可转让性已将注册机构的绩效变成了一项经济投入。注册机构的数据库不只是一个清单;它是一项协调资产。转移政策不仅仅是整理记录;它调节流动性。政策手册要求转移接收方必须证明需求、成为 AFRINIC 成员并签署《注册服务协议》,这并不仅仅是文书工作;它塑造了谁可以以及以何种条件获取稀缺资源。反向 DNS、RPKI、WHOIS 和 ASN 记录并非仅仅是辅助服务;它们有助于确定网络能否平稳可信地运行。
经济学家会将其描述为一个具有做市效应的制度层。它并不创造根本的稀缺性;IPv4 的固定 32 位空间和数十年的分配创造了这一点。它也不创造全部价值;运营商通过将资源高效部署创造了价值。但它可以创造或摧毁对主张、转移和连续性的信心。这赋予了注册机构对资产的影响力,而这些资产的价值远超注册机构自身的资产负债表。
一旦认可具有了做市效应,失败标准便具有了经济上的实质性。软弱的失败标准会使成员被锁定于一个注册机构,即便该机构已不再满足可靠行政管理的最低要求。模糊的失败标准赋予外部机构以不受可预测界限约束的自由裁量权,用以威胁或惩戒注册机构。由现任注册机构控制的失败标准可能变成卡特尔保护。由 ICANN 或其他全球机构在缺乏自下而上约束下控制的失败标准,则可能将旨在加强问责的改革转化为中央集权工具。设计的挑战在于创造约束,却不创造一个新的约束垄断者。
这就是为何将“稳定性”当作结论而非需要证据的主张来处理会成问题。现任者总是声称稳定意味着保护现任者。市场更明白。有时稳定意味着保护清算所;有时意味着在清算所失败并损害市场之前将活动移走;有时意味着让品牌保持完整;有时意味着在替换运营者的同时保留记录。对注册机构亦是如此。稳定的并不一定是董事会、员工层级、法人外壳、办公地点、标识或对区域代表权的历史主张;稳定的是合法号码资源记录的登记账簿,以及网络在不遭遇任意中断的情况下继续使用、路由、转移和记录资源的能力。
这一区分说来容易,施行却难。若认可仅追随历史延续性,一个失败的注册机构便能以连续性的语言为盾牌;若认可仅追随外部的不满,一个强大的外部机构便能以失败的语言为武器;若认可追随可验证的技术与行政事实,改革便开始呈现为一种可信的认证体制。认证并非意味对认证者的盲目信任,而是指有限范围内标准、公开证据、可重复测试、明确界定的救济措施,以及由并非试图继承被其评判权力的各方进行的审查。
在正常市场中,不良中介会受退出制约。客户切换银行、交易所、云供应商、审计师、经纪人或保险公司,尽管切换可能成本不菲。但在 RIR 体系中,退出在结构上是薄弱的。一个网络通常被绑定在服务于其区域的注册机构上。AFRINIC 的转移政策是区域内部的;跨 RIR 的可携带性并非一个无条件的减压阀。因此,对注册机构的依赖并非正常的供应商关系,而是一种以唯一性和历史协调为正当理由的锁定体制。
当被锁定的机构范围狭窄、可靠且受外部约束时,锁定可以是有效的;当该机构范围宽泛、可自由裁量且隔绝于退出时,锁定便变得危险。ICP-2 改革正是决定 RIR 体系希望成为何种模式的时刻。若认可标准仅向现任注册机构俱乐部提供更多自我保护的工具,改革将加剧锁定;若认可以可衡量的绩效、成员同意、外部问责以及连续性优先的过渡权为条件,则认可可以成为该体系目前所缺乏的市场约束的替代品。
AFRINIC 的例子说明了为何需要这种替代。当资产已具经济重要性,体系不能再依赖关于管理的道德语言;当选举本身成为争议,它不能再依赖非正式的社区纠正;它不能只依赖法院,因为法院可以维护法律权利,但并非为运营全球注册机构而设计;它不能只依赖 ICANN 或 NRO,因为它们的激励可能偏向于维护现任模型。它需要足够狭窄以防止中央集权、又足够强大以防止失败常态化的认可标准。
这便是隐藏于 ICP-2 内部的资本市场。改革将决定注册机构风险如何被定价、谁可以强制披露、退出何时变得可信,以及由运营商创造的经济价值是否仍被一个仍在用语言如同仅仅从事事务性协调的认可体系所挟持。
一个失败标准应衡量什么
一个失败标准不应始于惩罚,而应始于衡量。许多制度危机中的第一个错误,便是追问谁是好、谁是坏、谁属于哪个派别、哪种叙事应当得到证明。那是政治。认可标准需要的是一种更冷静的词汇。
相关的问题是:该注册机构是否正执行那些令认可具有正当理由的职能。这些职能可以在不对区域内每桩政治争议作出裁定的情况下加以衡量。登记账簿必须准确、可访问、可审计并受到保护免遭未经授权的修改;核心注册服务必须可用;WHOIS 或 RDAP 数据、反向 DNS 流程、RPKI 服务、ASN 记录、转移记录及成员状态记录必须在书面控制下得到维护;政策必须通过受影响的参与方能够理解和质疑的程序加以采纳和实施;治理机制必须能够产生合法的董事和负责任的行政管理;利益冲突必须得到披露和管理;财务状况必须足以运营,而不至于使服务连续性成为诉讼、派系捕获或紧急筹款的抵押品;重大争议不得隐藏在公共关系语言背后。
这些检验无一要求一个全球机构变成超级董事会。它们要求的是证据。该注册机构能否提供签署并加盖时间戳的注册数据快照?能否展示独立的安全审计?能否表明成员记录与法律和运营事实相符?能否表明转移请求是在稳定标准下处理的?能否显示服务正常运行时间?能否表明 RPKI 和反向 DNS 运营独立于董事会派系斗争?能否表明选举在防止代理欺诈、未披露的选票汇集以及任意宣告无效的规则下进行?能否表明员工拥有独立于试图控制资源政策的派系的运营自主性?能否表明负债、保险和准备金与可预见损害之间存在合理的关联?
AFRINIC 说明了为何这些问题至关重要。政策手册规定,注册数据必须始终保持正确,因为它支撑网络运营;文档应实际且合理;政策与实践应公平、公正地适用,无论地点、国籍、规模或其他因素。这些不仅仅是高尚的话语。它们正是令认可具有正当性的可衡量主张。一个无法保持注册数据可靠、无法公平对待处境相似的成员、或无法一致地执行书面程序的注册机构,并不仅仅是在经历一场治理分歧,而是正在侵蚀认可的经济基础。
非洲所爆出的涉嫌地址滥用历史同样支持以测量为基础的方法。KrebsOnSecurity 关于所谓“5000 万美元非洲 IP 地址劫案”的报道描述了这样的指控:一名 AFRINIC 政策协调员曾秘密运营与地址块出售相关的公司,且与遗留非洲地址空间相关的官方记录曾被篡改。当时新上任的 AFRINIC 首席执行官表示该组织正在调查。对 ICP-2 而言,关键不在于重审每一项历史指控,而在于:注册机构失败不仅可能涉及董事会选举,还可能涉及数据完整性、内部人员利益冲突、闲置资源利用和记录操纵。仅关注正式的治理瘫痪的认可标准将遗漏最重要的经济形式的失败。
该标准应区分四种失败类型。运营失败发生在注册机构无法可靠交付最低限度服务时;登记失败发生在登记记录无法被信任为准确、授权、完整或可恢复时;治理失败发生在机构无法产生合法的权威、管理冲突或运行可问责的流程时;市场连续性失败发生在成员无法充分依赖注册、转移、路由支持服务和争议解决流程以规划业务时。这些失败可能重叠,但并非相同。一个注册机构可能在服务器继续运行的同时治理已崩溃;它可能在数据完整性受损的同时拥有一个董事会;它可能在处理工单的同时转移信心已蒸发。认可标准需要看清全部四类。
阈值与分类同等重要。并非每个错误都是失败。注册机构应当能够纠正错误、承受诉讼、更换人员、推迟会议或输掉官司而不至于面临撤销认可。若阈值太低,认可便成为武器;若阈值太高,失败则成常态。阈值应取决于持续性、实质性、未补正以及对连续性的威胁。错过一个截止日期并不够;但影响成员权利且缺乏解释的反复错过截止日期也许就足够。一份存在争议的选举文件并不够;但无法验证授权、无法发现伪造文件、无法解释无效宣告并完成合法选举的投票系统也许就足够。一起法院争议并不够;但多年阻碍正常治理并使成员失去一个可问责董事会的法律状态也许就足够。
不受问责的认证者不在场时的认证
认可标准需要一位认证者,但该认证者绝不能成为新的问题。这便是 ICP-2 改革核心的悖论。一个失败的注册机构不能放任自证。然而,一个能够宣布失败、任命替代者、阻挡新进者并在无有效约束下界定何为可接受治理的全球机构,可能比它所惩戒的注册机构更加危险。
危险并非虚幻。卢恒(卢恒)就 ICP-2 发表的笔记主张,任何撤销或重新认证 RIR 的机制必须由成员驱动,而非由 NRO 或 ICANN 主导。其根本点在于制度,而非个人。RIR 体系依靠自愿共识而非通常的主权强制而存在。它没有军队、税基或条约管辖权。其权威之所以存续,是因为运营商、国家、软件、路由过滤器、合同与交易对手均接受该协调结构的有用性。若认可层开始显现为自上而下的命令,参与方未必会服从——他们可能绕行、提起诉讼、分叉运营实践或撤回同意。
这很重要,因为认证可能以两个方向被滥用。一个方向是注册机构捕获该流程,并利用认可作为免于成员、法院和市场约束的盾牌;另一个方向是外部机构捕获该流程,并利用认可强加其偏好的治理结果。两者皆属失败。前者保护了地方的现任者,后者则中央集权了全球权力。可信的 ICP-2 必须两者俱避。
制度设计应将证据收集、失败判定、补正监督与继任者选择分开。同一机构不应界定证据、追究失败、选择补救措施、继承权力而后又宣布体系稳定。这便是问责语言如何演变为权限扩张。IPv4 在经济上变得越具实质性,将认可标准转变为对可转让性、成员地位以及区域政策的控制的诱惑便越大。改革的设计必须围绕这一诱惑,而非围绕关于制度美德的理想化设想。
有用的模型并非一个部委,而是一个受约束的认证市场。标准是公开的,测试是可重复的,审计师是独立的。受影响的成员可在客观条件下触发审查。注册机构有权回应。救济措施是分阶段的。替换是在预定义的连续性规则下的最后手段。认证者的工作不是裁定区域的政治,而是判断被认可的注册机构是否仍满足认可所赋予的狭窄协调职能的最低条件。
由成员发起是关键。若仅由 ICANN、NRO 或现任 RIR 方能触发严肃审查,成员便仍依赖于那些其激励可能在于回避先例的制度阶层;若任何成员均可随需触发全面审查,体系将不堪运作。折衷之道在于结构化的阈值:一定比例的成员、资源持有者、受影响的运营商、或客观受影响的业务使用者应能强制启动初步审查;升级为正式的不合规程序则需更高的阈值;紧急审查应适用于威胁服务的登记或安全失败。细节可以辩论,原则是明确的。审查必须可自底层触发,并受上层限定。
认证者也需要经济约束。它不应被允许要求与最低注册机构适格无关的政策结果;不应利用合规审查来解决关于地址租赁、区域外使用、转移自由化、定价理念或区域发展战略的寻常争议,除非这些争议影响了客观的认可标准。否则,认证便成了全球机构将政策偏好洗白为认可条件的途径。标准应当刻意乏味:登记完整性、服务连续性、财务可行性、中立行政、治理能力、数据托管、冲突控制、成员权利、可携带保障以及透明的补正。
教训并非 ICANN 永不应行动,亦非现任者应被置之不理。教训在于,认可标准必须让行动较少依赖制度的即兴发挥。若规则是客观的、基于证据的、可由成员触发的、可受外部审计并限于注册机构适格性,干预便少像权力而更像纪律。若规则模糊、自由裁量并由其权力正被扩大的同一机构掌控,干预便像是卡特尔管理。
退出、可携带性与锁定的代价
市场中最强大的问责形式并非投诉,而是退出。知道客户可以离开的供应商与知道客户被俘虏的供应商行为迥异。RIR 体系在退出方面始终薄弱,因为区域唯一性是围绕排他性服务领地构建的。当号码资源充足且注册机构自由裁量权微薄时,该弱点尚可容忍;当资源稀缺且注册机构自由裁量权影响连续性时,它便危险了。
因此,可携带性并非 ICP-2 的意识形态附加项。它是经济意义上的安全阀;没有它,认可标准将被要求承担过多。若每一次严重失败都需要全球撤销认可,体系便只剩下核选项。因为核选项令人恐惧,它会被推迟;因为被推迟,成员便仍陷于困境;因为成员陷于困境,注册机构的激励机制恶化。一项可信的退出权通过对注册机构更早施以约束,减少了行使撤销认可的需要。
卢恒关于可携带性的笔记直接陈述了理由:网络应拥有将 IP 地址或 ASN 从一家 RIR 迁移至另一家的无条件权利,以使表现不佳的注册机构无法将成员作为人质。无需全盘接受该提议的每一细节便可看出其经济逻辑。可携带性降低转换成本;更低的转换成本创造绩效约束;绩效约束减少全球紧急干预的需要;当全球紧急干预仍属必要时,它将变得更为可信,因为体系已承认登记账簿与用户连续性比现任注册机构的地域排他性更为重要。
当前 AFRINIC 的机制展现了这一缺口。其政策手册包含一项关于 AFRINIC 区域内 IPv4 转移的政策。转移来源必须是现有的 AFRINIC 成员账户或区域内的遗留资源持有者;来源必须是 AFRINIC 所承认的权利持有人且未卷入关于资源的争议;接收方必须证明需求、成为 AFRINIC 成员并签署《注册服务协议》。这些机制作为区域内行政管理是合理的,但它们并未解决失败问题。若注册机构本身变成了风险来源,要求成员留在同一注册机构内并受同一协议约束,便并非退出,而只是同一剧场内的换座。
存在真实的反对理由。无条件可携带性可能造成挑选法院、政策负担不均、路由数据混淆、监管套利或对治理良好的注册机构造成压力。若最贫困区域因资源持有者关系流向资本更雄厚的注册机构,便可能损害区域发展目标。它还可能被寻求最宽松合规体制的大型持有者所利用。这些担忧是重要的。它们正是审慎设计可携带性的论据,而非断然拒绝的借口。
一个合理的可携带性体制应区分普通可携带性与失败情形下的可携带性。普通可携带性可以受限、分阶段或以协调的数据要求为条件。失败情形下的可携带性则应更强。若一个注册机构进入正式不合规状态、丧失最低服务能力、无法维持可信记录,或超过界定的阈值后仍处于未解决的治理瘫痪之下,成员应拥有一条被认可的路径,将其行政服务移至另一个合格的注册机构或临时运营者,而不失去资源连续性。迁移的成员并不会获得新的地址空间或规避全球适用的唯一性规则;它只是将行政关系从失败机构中移走。
设计也应当保护接收注册机构。一条失败可携带性路径不能简单地将未决争议、不良记录或政策冲突转嫁至另一机构。它应携带记录历史、争议标记、授权文件、转移状态和审计轨迹;应保留一个地址块可能存在争议的事实;应在连续性需要时维持反向授权与路由支持服务,同时防止迁移变成洗白事件。退出之所以有价值,是因为它约束现任者;它不应变成抹去义务的方法。
不破坏连续性的约束
对 ICP-2 改革持谨慎态度的最有力论据,同样也是改革的最有力论据。注册机构承担着实实在在的运营责任。轻率地打破它们会损害那些与治理失败并无牵连的网络。但以连续性为由无限期保护现任者则犯了相反的错误——它混淆了登记账簿的连续性与看门人的连续性。
登记账簿是核心资产。它记录了谁与哪些号码资源关联、哪些联系人为负责方、存在哪些反向授权、支持哪些路由来源授权、哪些转移历史重要以及哪些成员授权文件相关。登记账簿不仅是狭义技术意义上的数据库;它是路由、故障排查、滥用处理、合同签订以及转移所依赖的共享事实基座。连续性意味着保护该基座以及使其可用的服务。
现任的执掌者则不同。董事会、首席执行官、接管人、委员会、员工层级或法人外壳若保护登记账簿,便可有用。但它不应被视作与登记账簿等同。无法区分二者的认可标准将始终偏向现任者。每当注册机构失败,辩护者便会说触碰现任者危及连续性——有时这确实为真,有时现任者正是危及连续性之源。标准必须能够分辨差异。
AFRINIC 的接管状态展现了这一张力。NRO 在 2023 年的声明欢迎接管人,视其为保全资产、维持现状、监督选举和保持服务运转的途径。互联网治理项目将接管描述为私人互联网治理韧性的证据,认为法治与政府执法充当了维系组织稳定的检查。这一解读包含一个重要的事实:法院与接管人可以防止治理争议摧毁注册服务。但它也包含一种制度偏见:它将恢复现有注册机构当作理所当然的终点。ICP-2 应更为精确。接管是一种连续性工具,而非现任模式在经济上健全的证明。
不破坏连续性的约束需要一阶梯状的救济措施。第一级是披露:公开报告服务指标、选举状态、财务状况、法律限制和重大风险。第二级是独立审计:由适格方进行的技术、财务、治理与数据完整性审查。第三级是补正:一项有时限的计划,附带可衡量的里程碑及成员监督。第四级是受监督的援助:其他注册机构或中立技术运营者提供明确限定的支持而不获取政策控制权。第五级是有限的功能转移:激活数据托管、紧急服务运营或向受影响成员提供可携带性。最后一级是替换或撤销认可。
这一阶梯至关重要,因为它使替换可信却不轻率。注册机构不应因不受欢迎、好讼或政治不便而被撤销认可;它只应在客观失败持续、补正无效、连续性面临风险、且继任或临时安排能够比现任者更好地保护登记账簿时才面临替换。反之,注册机构不应仅凭援引稳定性却拒绝审计、披露或成员控制来回避替换。
数据托管是实践的基础。没有托管,每一场危机都变成人质局面。现任者控制着替换它所需的数据,于是替换看起来风险过高。有了定期、签署且可独立验证的托管,登记账簿便能在制度失败中幸存。托管范围不仅应包括原始的分配记录,还应涵盖转移历史、成员授权记录、争议标记、反向 DNS 授权、在可行情况下的 RPKI 材料、审计日志以及区分已结记录与存争议记录所需的文档。目标并非公开敏感数据,而是确保经授权的应急运营者能够在不猜测的情况下保持连续性。
因此,连续性优先的原则具有锋利的一面。当对注册机构的攻击会损害登记账簿时,它保护注册机构;当注册机构损害登记账簿时,它约束或替换注册机构;它拒绝将法人外壳与它所服务的公共需求划等号。这正是 ICP-2 若要获得经济可信度所必须达至的平衡。
作为可信但有限选项的替换
每一认证体制都需要一项终极制裁。若被认可的机构无论做什么都不会失去认可,那标准便是表演;若它太容易失去认可,标准便成了武器。因此,替换必须既可信又受限。
在 RIR 的世界里,可信度是更为困难的部分,因为现任者地位几乎被视作自然而然。存在五家 RIR,各有服务区域,通过 NRO 相互协调,并与 ICANN 互动。其存在已足够稳定,运营商在其基础上构建了一切。这种稳定性是宝贵的,但也是道德风险的来源。一个相信自己不可替代的机构,其行为方式与知晓认可有条件的机构截然不同。
AFRINIC 的危机使原本看似不可想象之事变得可以想象。The Register 报道称,修订 ICP-2 的工作之所以被触发,正是因为现有政策未界定当 RIR 功能失调时应如何行事;并称修订后的政策将定义 RIR 的完整生命周期并纳入撤销认可的条款。据 The Register 报道,ICANN 在 2025 年的通讯中提出了若 AFRINIC 未能通过合规审查,另一家 RIR 可被要求担任非洲应急注册机构的可能性。这一具体路径是否明智是另一个问题;重要的事实在于,体系已在概念上让步:外壳并非形而上地永久。
替换还必须受目的限定。目的不是惩罚注册机构、解决政治冲突、重新分配资产、强加外部政策偏好或为区域的集中管理开创先例。目的是在获得认可的注册机构不再满足最低条件时,维护号码唯一性的协调。这一狭窄的目的应被写入认可标准。若替换权能被用于更广泛的治理目标,它将沦为批评者所恐惧的中央集权工具。
替换选项应具备三种形式。侵入性最弱的是功能替代:另一合格的运营者在审计下临时履行特定服务,如数据托管、RPKI 运营、反向 DNS 支持或工单处理。其次是行政可携带性:在区域治理修复期间,受影响的成员将其注册服务关系迁移至一个合格的注册机构或临时运营者。侵入性最强的是完全撤销认可及继承:现任者失去认可,而一个继任者成为该区域被认可的注册机构。这些并非同一种救济,不应混为一谈。
在完全的继承中,成员同意必须发挥决定性作用。原因并非对社区流程的浪漫信仰,而是经济合法性。一个缺乏其所服务网络接纳的继任注册机构将难以维持自愿协调。但同意必须经过结构化。继任者投票或咨询必须使用经验证的成员名册、透明的授权文件、对代理集中的限制、利益冲突披露以及独立监督。AFRINIC 颇具争议的选举经历表明,“让成员决定”并不足够,除非决定机制本身值得信赖。
终极制裁应当是少见的,但不能是虚构的。在银行业、支付、审计、保险和公用事业中,缺乏处置权的监管往往失败,因为人人都知道监管者不会扣动扳机。失败的机构寄望于宽容;交易对手仍陷于困境;损失不断增长。注册机构的认可面临类似问题。若撤销认可无从实现,认可标准将沦为又一层官方辞令;若撤销认可只有通过不透明的全球自由裁量方能实现,它将惊吓成员和国家;若撤销认可能通过客观、分阶段、连续性优先的规则实现,它便成为一项可信的威胁。
卡特尔保护的危险
RIR 体系具有一种尴尬的结构。它是一个由排他性区域机构组成的小群体,彼此协调,在维护 RIR 模式方面具有共同利益,并参与制定 RIR 获得认可的标准。在许多情境下,经济学家会立即追问这一结构是否具有卡特尔行为的风险。互联网治理文化常常回避这个字眼,因为这些机构并非营利组织,辞令是公益导向的,且技术使命真实存在。然而,激励并不因参与者使用“管理”语言而消失。
在此语境下,卡特尔保护未必意味着价格操纵。它意味着保护现任者地位、限制进入、阻碍退出、控制认可并将对制度阶层的挑战视作对稳定的威胁。若一项认可标准使新注册机构的组建实际上不可能,使现有注册机构事实上无法替代,并通过现任注册机构主导的机构界定失败审查,那么它便很轻易沦为卡特尔保护。其结果将是一个问责语言反而强化了产生问责问题的垄断地位的体系。
卢恒对 ICP-2 修订案的评论以鲜明的措辞警示了这一风险:一项以保护和管理之名提出的草案,可能会封锁进入、限制退出、使新机构的建立成为不可能并将协调变为许可。这一论点不应被贬低为反制度的辞令。它指出了经典的政治经济学模式:当现任体系面临压力时,其常见反应是提高退出和进入的壁垒,并将这些壁垒称为“安全”。有时它们确实是安全,有时它们只是自我保存。
安全与自我保存的界限应由客观必要性划定。号码唯一性协调确实需要共同的规则,但并不要求每一个当前的法律外壳都必须永存。注册机构的连续性确实需要审慎的过渡,但并不要求成员被囚禁于一个失败的机构。全球互操作性确实需要避免冲突记录,但并不要求一个私人俱乐部在没有外部审查的情况下决定所有未来的认可问题。若 ICP-2 无法说明哪些限制是技术必需的,哪些仅用于保护现任者,它便不具备经济上的可信度。
AFRINIC 使卡特尔风险显而易见,因为外部机构具有彼此竞争的激励。一方面,它们具有担忧服务连续性、选举完整性及全球号码体系的正当理由;另一方面,它们出于制度考量,希望避免法院、成员运动、诉讼方或继任结构根本性重塑一家 RIR 的先例。因此,官方声明需被当作关于激励的证据来阅读。当 NRO 表示接管有助于恢复治理和维护服务时,这告诉我们连续性很重要,同时也告诉我们现任 RIR 阶层看重现有模式的恢复;当 ICANN 表示担忧选举完整性时,这可能反映了真实的风险,同时也告诉我们当 RIR 治理威胁到 ICANN 所理解的全球协调秩序时,ICANN 愿意进行干预。
卡特尔保护还能通过词汇出现。“社区”可被用来将狭窄的程序性阶层描述得仿佛代表整个区域;“稳定”可被用来将保护现任者描述得仿佛保护用户;“自下而上”可被用来为参与不均、记录存议或有组织利益支配的流程背书;“全球协调”可被用来压制地方问责;“认可”可被用来将一个记录保存职能变成一层许可。这些词汇并非毫无用处,但在未经界定时它们是危险的。
因此,一项可信的 ICP-2 应当包含反卡特尔保障。失败审查不应完全由现任 RIR 控制;继任或临时运营者的准入标准应是严格却可企及的;可携带性应防止地域锁定变为绝对;数据标准应让登记账簿变得可替代;紧急援助应是模块化且临时性的;认可决定应公布证据与推理;由成员触发的审查应防止现任俱乐部无视失败;对认证者的限制应防止全球中央集权。任何人都不应将碎片化的恐惧转化为权力的一张空白支票。
最佳的防御并非敌视协调,而是“薄协调”。界定那些必须共同的不变量:唯一性、准确记录、连续性、安全性、关键数据的可携带性、无重复、透明的争议标记以及最低服务水平。将其他一切拒于认可条件之外,除非存在可证明的技术或行政必要性。认可标准越厚,便越招致捕获;越薄、越可验证,便越能在不行使统治的情况下施加约束。
卡特尔保护的危险并非放弃 ICP-2 改革的理由,而是改革必须狭窄、外部化、可审查且植根于成员的理由。一个失败的注册机构是不好的,一个被全球认可卡特尔保护的失败注册机构则更糟。
运营商、法院和政府需要改革带来什么
承担注册机构失败成本的各方对 ICP-2 有着不同需求。若改革只面向互联网治理内部人士,它必将失败。
运营商需要可预测性。他们首要关心的并非制度哲学,而是能否保持网络运行、获取或租赁地址、维护路由信誉、更新记录、获得反向 DNS、管理滥用联络、使用 RPKI、满足客户并避免灾难性的重新编址。他们需要知道,注册机构的内部危机不会突如其来地变成自己的业务连续性危机。他们需要公开的服务水平、可导出的记录、转移时限、争议标记规则、紧急联系方式,以及在明确条件下行使可携带性的权利。他们还需要确信,注册机构的自由裁量权不会用来惩罚被制度内部人士嫌恶的商业模型,除非这些模型违反了清晰且已获采纳的规则。
运营商还需要价格信号。若一家注册机构正处于正式审查之下,市场应知晓这意味着什么:是服务风险、治理风险、财务风险、数据完整性风险还是政治争议?转移是否仍在处理?证书与反向 DNS 是否稳定?成员记录是否被冻结?可携带性是否可用?笼罩于认可之上的模糊阴影,其损害可能与正式制裁不相上下,因为它令交易对手陷入猜测。ICP-2 应要求公开的风险分类,以便市场对事实而非谣言进行定价。
法院需要的是另一回事:清晰区分注册机构的连续性与制度特权。法院已介入,因为 RIR 是国内法律实体,并非浮于法律之上的主权者。当注册机构进入破产相关程序、接管、禁令争议或公司记录冲突时,法官需要理解哪些注册职能具有运营上的关键性,哪些主张仅仅是机构性的。法院应当能够保护登记账簿,而不必被告知每一项注册机构的偏好都是关乎全球互联网稳定的事项。ICP-2 可以通过界定最低连续性职能、托管责任、应急服务协议以及注册机构中断的事实后果来提供帮助。
这并非意指法院应运营注册机构——它们不应如此。而是指注册机构体系在面对普通法律时,应该停止依赖神秘化的主张。若登记账簿至关重要,请说明原因;若某项服务必须继续,请明确指出;若某成员记录存在争议,请保存证据;若选举实属必要,请明确授权文件和验证规则。法院能够基于事实断案,却不太适合裁决互联网治理的神圣词汇。
政府需要的则是第三类保证。当号码连续性失效时,国家承受公共的下行风险。通信、应急服务、金融系统、云平台、电信网络及公共行政均依赖互联网的连续性。然而,上游的注册层往往是一家在某一辖区注册却服务于许多其他辖区的私人实体。AFRINIC 于毛里求斯注册成立,服务于广袤区域。APNIC、RIPE NCC、ARIN 和 LACNIC 同样通过特定法律形式运作,服务广泛地域。这一安排固然可能高效,但若国家承担下行风险,而私人注册机构在缺乏充分问责的情况下握有实际杠杆,便造成了主权倒置。
因此,政府需要 ICP-2 澄清认可并非对某一区域的政治所有权。注册机构的服务区域是行政性的覆盖范围,而非主权授权。认可不应赋予注册机构主张豁免于普通法律的权利,也不应允许其将整个区域的号码连续性视为自身机构财产。与此同时,政府不应以将号码资源管理国有化或政治化的方式回应。公共利益在于连续性、中立性与互操作性,而非国家捕获。
改革应赋予政府信心,使其相信存在一条非政治化的失败路径。若注册机构失败,应有预先界定的机制来维持服务、保护数据、验证成员权限、在必要时与国内监管机构沟通,并防止注册机构危机演变成地缘政治角逐。若此路径不存在,政府终将自行其是。那对全球协调而言,要比狭窄而可信的 ICP-2 失败体制更糟糕。
成员和资源持有者需要发声,但这声音须是可验证的。AFRINIC 的选举争议显示了当授权书、代理限制、公司分类和成员名册变得充满争议时,代表性是多么脆弱。ICP-2 不应仅仅因为一个流程在名义上号称“自下而上”便假定其具有合法性。它应要求注册机构维护经核实的成员授权记录、透明的代理规则、可审计的选举系统以及举报违规行为的独立渠道。一个成员身份无法验证的自下而上体系并非自下而上,而是一个程序性捕获的市场。
技术社群需要最后一重保证:改革不会将注册机构认可变为宽泛的政策命令。工程师和网络运营商接受协调,是因为它维护了唯一性和互操作性。他们不需要一个能够以注册机构适格性为掩护,强加厚重社会、经济或政治偏好的全球认可权威。因此,ICP-2 应界定最低限度的技术性和行政性认可不变量,而将寻常的政策辩论留给区域流程、成员选择及运营采纳。
这种自愿本质至关重要。互联网号码体系之所以运行,是因为网络接受这些记录为有用并据此行动。忽视同意经济学的认可标准可能在纸面上显得强大,在现实中则虚弱。改革的任务是使同意重新变得理性。
使 ICP-2 可信的狭窄交易
可信的交易是狭窄的。现任注册机构可以保留对各自区域的排他性认可,但前提是该认可是附条件、可衡量且可撤销的。全球机构可以在助力执行认可标准,但前提是其权威是受约束、基于证据且可审查的。成员可以触发问责机制,但只能通过经核实且结构化的机制。应急运营者可以保护连续性,但不得将临时援助转化为政治控制。每个人都放弃了一些东西,这正是该交易可能奏效的原因。
从登记账簿的优先地位开始。ICP-2 应在实质上声明,连续性保护的是登记账簿与用户,而非现任的执掌者。每一项救济措施都应以是否保留了准确记录、路由支持服务、成员访问、争议证据、可转让性和运营使用为评判标准。这一原则并不强求替换。通常,现任注册机构仍会是保持登记连续性的最佳载体,但它将防止连续性的语言在现任者变成风险时自动保护现任者。
认可便应取决于公开的标准:服务可用性、数据完整性、财务可行性、治理能力、冲突控制、成员权利保护、经审计的选举、托管合规、安全态势、转移管理和补正表现。这些标准应具体到足以检验,狭窄到足以避免构筑政策帝国。它们应衡量注册机构能否履行被认可的职能,而非衡量外人是否喜欢它的政治。
触发应当既来自下方也来自上方。成员和受影响的资源持有者应能在满足规定的阈值时强制启动初步审查。外部审查则应由独立的审计师和技术审核员执行,他们并不预备继承该注册机构的权限。ICANN、NRO 及其他 RIR 或可扮演角色,但不应是唯一的看门人。要义在于同时防止地方捕获与全球中央集权。
救济应在崩溃之前便可获得。成员不应必须等到完全撤销认可,才能从一个失败的注册机构获得帮助。若客观上的不合规持续存在或某些紧急触发条件被满足,行政可携带性应能通过预定义的机制启用。这并不意味产生冲突的号码主张或未经核实的转移,而是指服务关系可在维护唯一性与争议记录的同时移动。可携带性是令认可不那么脆弱的市场约束。
每一被认可的注册机构都应维护关键注册数据及运营元数据的独立可验证托管。托管应经过测试,而非仅止于承诺。一次无法恢复服务的消防演习并非连续性计划。托管削弱了现任者挟持体系的能力,也减轻了认证者对于干预会破坏互联网的恐惧。
救济措施应是分阶段的。披露、审计、补正、援助、有限功能替代、可携带性、应急运营以及撤销认可应是不同的阶段。跳过阶段需提交直接连续性风险的证据。这不仅保护注册机构免于投机性攻击,也保护成员免于无休止的宽容。
认可流程还应包含一条反卡特尔限制。它不应被允许阻碍所有新的制度形式,永久冻结当前的服务地域,或允许现任注册机构在没有独立监督的情况下评判可能的竞争者。进入之所以应当是困难的,是因为唯一性至关重要;但它不应因舒适而变得不可能。退出之所以应是受控的,是因为记录必须保持连贯;但它不应因注册机构偏爱被俘虏的成员而被禁止。
最后,ICP-2 应拒绝通过词汇进行权限扩张。诸如“管理”、“社区”、“稳定”、“认可”、“合规”和“全球协调”等词语,应与具体的运营含义挂钩。注册机构是号码资源记录与相关服务的协调者,而非一个区域的政治所有者;认证者是最低注册机构适格性的验证者,而非号码资源的世界政府;社区流程是一种政策制定方法,而非将狭窄的参与神奇地转化为普遍同意的手段。
若上述措辞听来谦逊,其用意正在于此。ICP-2 改革不应试图解决关于 IPv4 市场、租赁、区域外使用、转移哲学、区域发展或互联网协调长期未来的每场争论。其他篇章与其他流程可以辩论那些问题。眼前关于认可的问题更为狭窄:互联网如何识别、约束并在必要时替换一家失败的 RIR,而不致将这一权力转变为新的不受问责的等级体系?
AFRINIC 正是检验,因为它囊括了每一种诱惑。对现任者而言,诱惑在于宣称危机证明了现行体系需要更强保护;对中央机构而言,诱惑在于宣称危机证明了需要更强大的全球干预;对批评者而言,诱惑在于宣称危机证明了旧体系应立即扫除。经济学的答案不那么令人满足,却更为持久:保护登记账簿,约束制度,保留退出,限制认证者,并使替换在需要之前便成为可能。
互联网的号码体系建立于一种狭窄的信任之上。网络无需信任一个全球主权者,它们只需信任记录是唯一的、服务是可靠的、流程足够公平,且没有哪个单一中介能够任意摧毁它们的连续性。IPv4 的稀缺令这种信任变得更加昂贵。AFRINIC 已展示了若代价未提前支付会发生什么。
只有当认可变为以事实而非神话为前提时,ICP-2 改革才具有可信度。一个能够维护登记账簿、中立服务成员、接受外部审计并允许有限退出的注册机构应受保护;无法做到这些的注册机构应被约束;经补正后仍无法做到的注册机构应可被替换;而那些执行这些标准的机构本身,应受制于使整个体系具有正当性的同一原则:协调的存在是为服务于运营互联网的网络,而非把记录者变为统治者。

