摘要

  • 能够更改权威注册、转移状态或证书颁发机构的机构拥有可造成可预见成本的控制权。即使该机构不拥有资源、不运营索赔人的路由器或不保证每次商业使用,也应承担相应的赔偿义务。
  • NRS 应将三种救济分开:错过服务承诺的自动信用、合理纠正费用的报销,以及更广泛可证明损失的赔偿。只有第三种需要全面审查义务、违约、因果关系、可预见性、减轻损失和金额。
  • 预设的隔离基金使承诺在严重事件发生前具有可信度。合格提供商和公共服务应根据控制权、服务量、风险和理赔记录进行贡献,而受保护的基础层可防止一次重大事件使普通赔偿无法获得。
  • 可获赔损失应有证据、净额,并与定义的 NRS 失败有因果关系。直接恢复费用、重复服务成本、文件化的交易费用和有界限的中断损失可以符合条件;投机性增值、惩罚性赔偿、无根据的声誉损失和号码资源的声称销售价值不应符合条件。
  • 上限仅当预先公布、与控制成比例,并与同样情况的索赔人公平对待的总体事件规则结合时才合法。先到先得的竞赛和允许机构保留控制权而不接受重大后果的免责声明均不符合对称性测试。
  • 独立审查员应裁决争议索赔,发布有理由且匿名的先例,将紧急纠正与金钱分开,并根据保管情况分配举证责任。创建争议记录的服务不应是其所造成损害的最终裁判。
  • 赔偿必须注重连续性。基金资产应受保护免受运营破产影响,索赔不应冻结基本注册服务,保险和供应商追偿应补充而非取代基金,法院命令应在金钱纠纷审理期间保留权威记录。

错误的行可能造成实际损失,而不需控制整个互联网

注册机构不直接指挥每个路由器。注册条目不强迫网络发起或接受路由。路由源授权不强制路由决策。这些限制很重要,因为赔偿不应建立在单一行政机构控制所有连接性的夸大主张之上。

相反的夸大同样危险。它认为,由于注册机构不运行网络,不准确的记录不会造成可赔偿的损害。实际上,权威注册状态被买家、贷款方、托管提供商、安全团队、保险公司、调查员和其他注册机构使用。错误的持有者名称可能阻碍交易。未经授权的提供商变更可能产生紧急法律和工程费用。延迟更正可能需要重复服务和反复尽职调查。处理不当的 RPKI 过渡可能导致无效路由宣告或防御性撤回。

RFC 7020将唯一性和注册准确性确定为互联网号码注册系统的核心目标,同时保持注册与路由之间的界限。这些主张应同时成立。注册机构的义务不是保证每个网络或业务结果。它是对其实际行使的注册权以及未能以承诺的谨慎行使该权所导致的可预见后果的责任。

因此,赔偿应从控制图开始。哪个机构接受了指令?哪个服务验证了代表?哪个组件提交了权威状态?谁发布了 RDAP?谁控制了托管的证书颁发机构?谁能够遏制错误,以及它在何时收到足够信息以采取行动?损失应归因于这些杠杆之一的明确失败,而非抽象上的机构重要性。

控制与后果目前很容易分离

号码资源持有者通常选择有限。当权威服务出错时,他们无法简单地创建另一个全球认可的当前条目。即使在可移植的 NRS 设计中,公共验证者必须保持一个连贯状态。这种权力集中可以通过唯一性来证明,但它创造了相应的问责问题。

服务协议通常限制保证和损害赔偿。限制可以保护技术机构免受毁灭性或投机性风险。它们也可能变得不对称,如果机构在合规要求时保留对注册和安全状态的广泛裁量权,而在声称损害时几乎排除所有后果。客户被告知,当要求合规时记录是权威的,而当声称损害时记录仅是信息性的。

NRS 应拒绝这两种极端。无限责任可能使共享服务无法投保,招致远程商业索赔并威胁连续性。近乎完全的豁免可能导致控制薄弱,迫使客户为纠正付费,并降低机构从尾部失败中学习的动力。对称性意味着风险与行使的权力、失败的可预防性和证据质量成比例。

该原则也约束客户。持有者负责保护其凭证、维护授权联系人、检查通知、提供其保管的证据以及减轻已知损害。NRS 不是普遍担保人。基金支付的情况是 NRS 定义的义务被违反,且违反造成了已证明的损失。共同责任可以减少赔偿金额;在双方都有责任的情况下,不应完全抹去机构责任。

赔偿不会将号码资源变成财产

针对有缺陷服务的救济不是判断 IP 前缀或自治系统编号像土地或库存一样被拥有。索赔人因注册权的错误行使而遭受的损失可以追偿,但不会获得资源本身的市场价值。赔偿的法律和经济对象是服务失败及其后果。

这一区别在稀缺条件下很重要。IPv4 块可能与转让价格、租赁、交易和融资相关。如果基金在记录有争议时自动支付声称的块价值,NRS 将鼓励投机性索赔,并悄悄地将行政认可转变为产权保险产品。这不是创建问责所必需的。

假设错误持有延迟了允许的转让。索赔人可能证明额外的托管成本、重复的法律审查、重复的提供商费用以及由延迟引起的文件化合同费用。这些都是可衡量的后果。声称该块在另一交易中“可能值得”更高金额的索赔更遥远且易受假设影响。第一类可以在公布规则下考虑;第二类通常应排除,除非有例外具体的约束性交易和强有力的因果关系证明。

相同的分离保护连续性。纠正权威记录仍然是主要救济。金钱不能验证路由、恢复证书或识别当前持有者。NRS 绝不应在纠正可能的情况下提供现金代替纠正。赔偿处理的是遏制和恢复后的剩余损失;它不是购买机构让分类账保持错误的许可。

三个救济层防止每次失误变成诉讼

NRS 应建立三个层次。第一层是自动服务信用。如果定义的纠正、转让或恢复承诺因提供商控制的原因未达到,相关费用根据公布的表格减少或返还。客户无需证明更广泛的损失。时间戳失误就足够了。

第二层是合理直接纠正费用的报销。这包括在提供商丢失后获取替代身份证明、在可避免的转让延迟期间支付第二注册商、聘请紧急技术支持以恢复预期证书状态,或重复因 NRS 引起的矛盾而必须进行的尽职调查。索赔人提供收据并说明费用为何合理。审查应快速,并在实际水平设定上限。

第三层是后果性可证明损失的赔偿。适用于索赔人声称更大的经济影响,例如文件化的服务中断、丢失的约束性交易、因失败而支付的客户退款或大量响应费用。此路径需要更充分的因果调查和独立决策。不应延迟前两种救济。

层次保持比例性。两天的常规延迟不需要复杂的听证会。严重的未经授权记录变更不会通过小额发票信用处理。客户知道需要哪些证据,NRS 接收差异化信号。频繁信用表示服务薄弱;高纠正报销可识别证据保管不善;大额赔偿索赔识别严重的控制失败。

接受较低层次不应默示放弃较高层次。客户可以在保留及时索赔的同时获得自动信用。任何较大索赔的和解应明确说明放弃的内容。NRS 还应通过从重叠的损失类别中扣除较低层次的付款来防止双重追偿,而不是在事实清楚前迫使客户选择。

基金必须在错误发生前存在

从普通年度预算中支付的承诺很薄弱。在重大事件后,同一机构可能面临恢复成本、收入损失、诉讼和紧急连续性支出。客户随后与服务恢复竞争同一现金。批准有争议控制的董事会可能决定赔偿索赔人是否负担得起。承诺在最需要时最不可靠。

NRS 应创建法律上保护的基金,资产与普通运营账户分离。基金应有声明的目标范围、贡献公式、允许的投资、流动性要求和补充规则。其治理文件应限制提款用于赔偿、索赔管理、批准的保险费和与覆盖失败密切相关的连续性支持。

预设资金创造信息。贡献成为权威的可见成本。控制高风险变更的提供商不能声称错误是无成本的,仅仅因为客户吸收了它们。理赔历史可以影响未来贡献,而共享基础确保新失败的提供商不会使其客户没有救济。基金还允许 NRS 费用表显示问责的价格与普通服务分开。

基金不应大到成为无关活动的自由裁量储备。为索赔人保护筹集的资金不应资助会议、政策扩张或常规运营赤字。审计账目应显示期初资产、贡献、已付理赔、预留理赔、追偿、投资结果、费用和期末覆盖率。如果资产超过目标范围,超额部分应减少未来贡献或加强明确批准的覆盖,而不是消失于一般支出。

贡献应遵循受控风险

统一征费简单但可能错误分配成本。处理低风险联系更新的注册商与能够提交持有者和提供商变更的公共验证者行使不同的权力。托管的 RPKI 运营商可以创建不同于仅提供客户支持的提供商的后果类别。NRS 应将共享基础与风险敏感贡献相结合。

共享基础支付系统范围的合法性,并在小型提供商失败时保护客户。可变部分可以反映服务的活跃资源、权威变更的数量和类型、托管的安全权、之前的服务失误、经验证的索赔和连续性控制质量。公式应避免单独使用原始投诉量,因为欢迎纠正的提供商可能收到比阻碍投诉的提供商更多的报告。

风险调整需要限制。如果一项严重索赔立即使提供商的贡献变得负担不起,该公式可能加速失败并减少竞争。经历应跨多个时期平均,并强力侧重控制改进。早期披露事件、补偿客户并修复弱点的提供商不应面对与隐瞒重复错误的提供商相同的长期处理。

公共服务应直接贡献。仅向零售注册商收费是不公平的,如果验证者、RDAP 发布者或共享证书服务造成了损失。当 NRS 自己运营关键层时,其预算应包括透明贡献。机构中心性不能成为贡献豁免。

客户可能最终通过费用支付部分成本。但这不使基金无意义。保险、资本和质量控制通常由服务用户资助。治理收益在于在失败前定价风险,汇集严重但罕见的损失,区分提供商,并防止全部后果不可预测地落在一个受害持有者身上。

覆盖的失败必须由行为和权威定义

基金应覆盖特定失败,而不是涉及号码资源的每个不利事件。第一类是 NRS 作者记录错误:未经授权或错误实施的对持有者、资源、提供商、状态或公共注册数据的更改。第二类是在充分通知后不合理地未能遏制或纠正已证实的错误。

第三类是提供商控制内的转让失败:错误拒绝、经验证证据丢失、矛盾当前状态、未能撤销先前权或可避免的延迟超出公布承诺。第四类是安全权威失败,包括未经授权的 RPKI 操作、有缺陷交接、丢失商定的连续性材料或未能按要求撤销先前提供商控制。

第五类是恢复失败:NRS 或合格提供商无法执行承诺的恢复路径,因为它没有保存所需证据、测试继任者访问或维护独立渠道。第六类是严重披露失败,其中受保护的客户证据因违反定义的保管义务而被暴露,并造成已证明的响应成本。

排除的事件应同样明确。NRS 不应仅仅因为合法法院命令限制变更、网络根据其自身策略拒绝路由、客户通过其单独管理的控制发布错误的 ROA、市场价格变动或索赔人在反复通知后未能维护所需联系人而支付。排除取决于因果关系,而非标签。如果 NRS 错误执行法院命令或在命令到期后留下过时限制,机构错误仍可被覆盖。

规则应处理复合原因。如果被盗客户凭证和提供商未能应用所需的二次验证都导致了失败,审查员可以分配责任。索赔人的共同失败可能减少支付。不应产生全有全无的豁免,如果提供商的控件正是为了防止那种凭证滥用。

可证明损失需要严格的测试

索赔人应建立六个要素。第一,NRS 义务适用:服务承诺、保管义务、授权控制或纠正义务。第二,负责的服务违反了该义务。第三,索赔人经历了可衡量的损失。第四,违规是损失的事实原因。第五,损失类型从义务角度相当可预见。第六,索赔人在了解问题后采取了合理措施限制可避免的损害。

事实因果询问如果没有失败的情况可能会发生什么。调查必须使用证据,而不是事后不可能确定。签名的转让协议、同时期的尽职调查问题、时间戳、发票、路由观察、客户信用和员工记录可以支持反事实。后来声称可能发生交易的说法较弱。

可预见性限制远程链条。错误的权威持有者记录可能导致验证和纠正费用是可预见的。未经授权的证书变更可能需要紧急工程。远处的投资者对仅与记录松散关联的谣言做出反应则不那么可预见。公布的覆盖损失类别可以在索赔发生前使此边界更清晰。

减轻损失必须合理而非英勇。客户应使用可用紧急渠道、保存证据并避免有意识地增加损失。不应要求接受不安全的变通解决方案、公开披露受保护材料或构建替代全球注册机构。NRS 的延迟可以扩大合理响应:通常过度的紧急咨询或重复服务在权威控制不确定时可能是合理的。

赔偿金额应为净额。相同损失的保险支付、合同报销和自动信用将被扣除,但保留追偿权。因事件发生而避免的成本也考虑在内。目的是在公布的限制内恢复索赔人的证明情况,而非创造收益。

损失类别应区分证据强度

直接响应成本是最强的类别。包括合理的技术调查、凭证更换、紧急纠正、额外验证和覆盖失败所需的客户通知。发票、时间记录和事件时间表可以确定金额和必要性。NRS 可以发布内部工作的标准每小时上限,同时允许专门响应的合理例外。

重复和交易成本也是可衡量的。延迟转让可能需要重叠的注册商费用、延长的托管、重复的法律意见或更新的公司文件。索赔人应显示该费用否则不会产生,且金额合理。计划交易的普通成本仍为索赔人责任。

中断损失更难但不应自动排除。如果覆盖的 RPKI 或注册失败导致可证明的服务降级,同时期的流量、监控、客户退款和收入证据可以支持有界限的赔偿。审查员必须区分 NRS 贡献与独立网络配置、上游策略或客户错误。

丢失交易索赔需要特别强的证明:约束性或接近最终的协议、定义的条件、可信的交易对手证词、清晰的时间联系以及注册失败是决定性因素的证据。即便如此,赔偿可能仅覆盖浪费的交易成本,而非全部预期收益,当市场和完成风险仍然很大时。

投机性资源增值、普遍信心丧失、惩罚性赔偿和无根据的声誉损失应排除。非经济损失在个人数据制度中可能适当,但 NRS 商业赔偿基金不应随意复制该类别。如果涉及受保护的个人信息,适用法律可能提供基金外的权利;基金规则应保留而非模糊这些权利。

举证责任应遵循保管

索赔人承担识别覆盖失败和损失的责任。但这并不意味着索赔人必须证明 NRS 独家持有的事实。服务控制认证日志、变更批准、发布时间戳、副本差异、员工访问和连续性测试。一旦索赔人识别出合理的覆盖事件,NRS 应保存并向独立审查员披露相关证据。

不利推断应适用于提供商未能履行要求的保留义务。如果机构有义务保存批准证据且无法提供,缺失记录不应自动击败客户。同样,客户在通知后销毁交易记录可能削弱其金额索赔。证据对称性与金钱对称同样重要。

安全敏感证据需要受保护的审查。索赔人和审查员可能需要知道多方批准是否发生,而无需接收可重复使用的凭证或暴露其他客户的细节。摘要、受控检查和专家验证可以在限制披露的同时确定事实。保密必须保护安全,而非隐藏机构错误。

权威事件历史应是 NRS 所发布内容的推定证据,但不应是不可推翻的。如果挑战的分类账证明自己的正确性,则赔偿系统将是循环的。独立观察、签名通知和依赖方记录可以显示公共状态与机构后来说法不同。

当索赔人提出超出普通审查范围的可信技术问题时,NRS 应支付独立专家费用。小客户不应因只有机构能负担 RPKI 专家而失败。成本控制可以使用审查员批准的范围和共享中立专家,而非不受限制的对立报告。

上限需要公平,而非争夺基金

没有可信的共享服务可以承诺无限支付。NRS 应设置每个索赔人上限、每个事件总量和年度基金保护层。金额应反映服务的真实风险、客户依赖和可用资本,并应根据索赔证据进行审查,而非选择为小额年费的标称倍数。

仅与支付费用挂钩的上限可能过低。注册费相对于紧急纠正成本可能适中,许多受影响的网络或客户可能不直接向 NRS 付费。然而,与声称的下游损失无限制关系也是不可持续的。分层上限可以提供直至某个门槛的全额直接成本报销,更广泛的后果性损失直至更高门槛,以及针对严重的机构创作事件的特别审查。

总体事件需要公平规则。如果一个验证者错误影响数百个持有者,第一个索赔人不应在较慢索赔人了解其损失之前耗尽基金。NRS 应声明事件窗口、预留预期索赔、设定申请期,并在批准金额超过事件层时按比例分配。紧急困难支付可以在不决定最终份额的情况下进行。

年度保护层不应抹去已接受的索赔。超过可用流动资产的金额可以成为有计划的债务,由未来贡献、保险追偿或单独批准的连续性征费支持。基金工具应在失败前说明优先级。索赔人不应仅在事件后发现普通供应商或自由裁量项目优先于他们。

上限不得保护故意不当行为、欺诈或提供商明知隐瞒,适用法律允许更广泛追偿的情况。基金可以在其规则内及时支付客户,并向责任人或保险公司追索。有界限的赔偿承诺是机构责任的最低门槛,而非绕开强制法的许可。

独立审查是机构的关键

做出有争议变更的服务不能对赔偿有最终权力。工作人员应能快速接受明确索赔,但受争议的义务、因果关系和金额需要具有结构独立性的审查员。任命、任期、冲突、资金和罢免规则与技术专业知识同样重要。

NRS 可以维持一个常设小组,结合号码注册知识、网络安全、会计和商业损失评估。案件分配无需提供商选择。审查员应披露冲突,不能裁决涉及近期雇主或客户的索赔。其报酬不应取决于拒绝或减少赔偿金额。

索赔路径应有定义阶段:通知和证据保存、初步覆盖决定、相关材料交换、必要时的中立技术评估、有理由的决定和有限上诉。截止日期应保护索赔人,而不强迫不安全的匆忙。小型直接成本索赔应使用简化路径;严重或新颖索赔需要更全面的审查。

决定应识别义务、事实、因果发现、允许和拒绝的损失、减轻、抵消、上限和支付时间。匿名先例应发布,以便类似索赔人获得类似处理。个人、安全和商业敏感事实可被删除,而不将决定简化为结论。

审查员还应能够将系统控制发现提交给提供商资格和治理机构。赔偿不是唯一后果。如果多个索赔揭示相同的认证弱点,机构必须纠正控制。相反,赔偿决定本身不应改变权威号码记录;纠正权和金钱审查保持协调但分开。

法院和连续性不应被强迫做出虚假选择

索赔人可能根据合同、侵权、数据保护、破产或其他适用法律享有权利。参与 NRS 基金不应要求放弃强制权利。治理条款可以要求披露并行程序,防止双重追偿,并允许法院考虑已支付金额。

法院应清楚了解连续性风险。冻结运营账户或禁用权威服务以保全损害赔偿请求可能损害无关持有者。隔离基金为索赔人提供了与其救济相关的资产,同时减少了对基本运营的压力。它不使 NRS 免于合法命令;它给予法院更成比例的选择。

基金工具应指定管辖权、通知送达、决定的承认和集体事件处理。由于客户是全球性的,一个独家偏远论坛可能使小额索赔变得虚幻。远程审查、多种申请语言和可执行的书面决定可以提供访问,同时保持基金法律锚定。

紧急记录更正不应等待金钱案件。NRS 必须在其服务承诺下遏制和纠正权威失败,同时审查员检查损失。同样,支付赔偿不应被呈现为证明有争议的持有者索赔正确,如果支付涉及延迟或保管失败。救济回答不同问题。

连续性也限制索赔人的杠杆。索赔人不应能够通过寻求不分青红皂白的破坏来威胁共享服务支付无根据的金额。独立审查、受保护的资产和公布的上限使谈判少依赖于谁能够制造最大的运营恐惧。

破产保护使承诺可信

最可能造成严重连续性失败的机构也可能财务困难。如果赔偿资产留在其普通账户中,破产可以将受害客户转变为未担保债权人,排在其未选择的费用之后。NRS 应在适用法律允许的范围内分离基金的受益目的、保管和控制。

基金可以使用独立受托人或等效保护车辆,采用多样化保管和支付双重授权。资产应保守持有,流动性足够以应对事件索赔。投资回报是次要的。保管人不得因保护金钱而对权威号码状态拥有任何权力。

提供商贡献应在服务仍活跃的期间继续。继任者应承担客户服务和相关索赔合作,但不承担未披露的历史负债,除非有约定分配。NRS 可以在允许提供商分配剩余资产或退出资格前,为已知事件预留资金。

破产保护必须扩展到记录。如果事件日志、客户通知和授权证据随提供商消失,则无法裁决索赔。合格服务应在受保护的连续性保管中保存所需证据。访问应在定义条件下激活、审计并限于纠正、继任和索赔审查。

目标不是创建并行金融机构。它是确保基本行政服务做出的承诺能够正好渡过使普通公司支付最不可靠的事件。如果法律分离在选定司法管辖区很弱,NRS 应披露该弱点并维持额外保险或抵押品,而不是在基金实际上未隔离时称其为隔离。

保险和追偿应补充而非替代

保险可以扩大应对罕见严重事件的能力。网络安全、专业责任和忠诚保险可能应对不同的失败。NRS 应公布覆盖类别、主要排除、免赔额、限额、保险人信用质量以及保单支付给基金还是运营实体。没有这些信息的保险证书不是有用的保护。

客户应向 NRS 索赔,而非在保险人之间谈判。基金可以支付批准金额并寻求保险追偿。覆盖争议不应暂停基金层内的普通支付。如果保险人后来支付了相同损失,收益在成本和索赔人短缺后补充基金。

NRS 还应有对造成失败的供应商或提供商的追偿权。代位求偿必须受控。追偿不应暴露索赔人的机密证据超出必要范围,并且如果诉讼可能影响其利益,应咨询索赔人。追偿金额首先恢复基金支付和成本;任何未补偿的索赔人损失应获得事先声明的优先权。

保险不得削弱预防。控制薄弱的提供商应面临更高贡献、资格后果和保单定价。免赔额和共同保险可以保持激励,前提是不损害客户支付。NRS 应检查重复事件是否变得不可投保,并在续约失败创建覆盖悬崖前做出反应。

公开报告应区分已资助索赔、保险追偿、提供商追偿和仍预留金额。否则,大额基金余额可能看起来令人放心,而大多数保护取决于有争议的覆盖。赔偿承诺应从已控制的资产中可理解,而非对未来诉讼的乐观假设。

透明度应揭示问责而不公布索赔人

公众需要知道基金是否有效。NRS 应报告收到、接受、拒绝、和解、撤回和待处理的索赔;决策时间;赔偿范围;失败类别;负责的提供商和公共服务;信用和直接成本报销;上诉结果;以及追偿。严重事件应在安全风险遏制后提供叙述性说明。

索赔人需要隐私。少量资源持有者、交易日期或技术事实可能使组织可识别,即使没有名称。NRS 应谨慎汇总,在合理时延迟敏感发布,并在使用案例作为详细示例前获得同意。受保护的证据绝不应成为宣传材料。

提供商问责不应消失在隐私背后。在样本量允许的情况下,提供商级别的索赔率和严重性应公开,并附带服务量分母。对于罕见事件,NRS 可以识别负责的控制层和纠正行动,即使提供商名称临时保密以保护积极调查。保密应有审查日期。

基金自身费用需要审查。法律和行政成本可能消耗索赔人价值。报告应显示每项索赔费用、审查员成本、保险人成本和支付时间。对普通客户过于昂贵的复杂救济不是有效的。

年度独立精算和治理审查应测试贡献假设、上限、事件相关性和法律保护是否仍然充分。审查应将接近失误和服务信用作为领先指标,而不仅仅是已支付索赔。低支出可能意味着卓越控制、狭窄覆盖或不可访问的索赔;证据必须区分它们。

欺诈控制不得重建机构豁免

赔偿基金将吸引薄弱或夸大的索赔。NRS 应验证资格,保存同时期证据,将声称损失与会计记录比较,要求披露相关付款,并惩罚故意虚假陈述。集体事件需要重复检测,以便关联方不通过多个实体追回相同损失。

这些控制应成比例。要求每个小额索赔人披露其整个业务或证明不可能的事情会将欺诈预防变成拒绝。简化路径可以使用收据、声明和目标检查。大额索赔在保密下证明更深入的财务审查。

提供商也可能操纵系统。他们可能将失败错误分类为客户引起,避免创建事件记录,私下和解以保持低索赔率,或施压客户接受带有广泛免责的信用。NRS 应要求提供商报告覆盖事件,无论是否提出索赔,审计和解,并禁止对索赔人的报复。

索赔审查员应认识道德风险而不夸大。赔偿可能减少客户保护凭证的动机,如果每次损失自动支付。贡献减免、减轻规则和客户控制错误排除保留责任。然而,二次验证等控件正因单一凭证可能失败而存在。提供商不应通过指向其控件旨在捕获的事件来逃避其承诺的保障。

虚假索赔和隐藏的服务失败是对称风险。赔偿章程应将两者视为对共享池的威胁。机构合法性取决于拒绝无支持索赔,并以同样纪律支付有支持的索赔。

五个场景测试边界

错误持有者阻止签名转让。NRS 在数据协调后错误恢复原公司名称。买家暂停交割,因为权威 RDAP 不再匹配卖家。持有者凭接受的合并证据通知 NRS,但更正用了十二天。索赔人证明额外托管、重复法律审查和合同延期费。如果 NRS 创作的错误和延迟造成了这些直接成本,它们符合基金条件。同一时期块市场价值的声称增加通常过于投机。

受攻击账户通过薄弱验证。攻击者使用被盗凭证更改服务提供商。NRS 规则要求通过建立渠道进行二次确认,但注册商省略了,验证者接受了变更。持有者支付紧急调查和恢复费用;一些客户服务中断。被盗凭证可能证明共同责任,如果持有者忽视明确的安全义务,但不抹去失败的二次控制。直接响应成本和已证明的中断损失可根据贡献分配。

法院命令实施过广。法院在诉讼期间限制转让一个前缀。NRS 冻结公司持有的所有资源,并在命令到期后保留限制。合法的狭窄限制被排除;过宽实施和过期持有是机构行为。当记录更正单独进行时,赔偿可以覆盖由过度行为引起的已证明的重复服务和交易费用。

托管的 RPKI 交接创建可避免的无效状态。持有者遵循公布转移计划,但离开的提供商在新服务运营前撤销权。独立观察和变更记录显示间隙。持有者承担应急工程和客户信用,期间可衡量的降级。基金检查间隙是否违反了交接义务,是否造成了损失,以及网络配置是否也起作用。它不假设每个路由变更都由 RPKI 引起。

公共验证者错误影响许多持有者。软件缺陷为几百条记录发布矛盾的提供商状态。大多数客户仅发生验证工作;较小群体面临交易延迟。NRS 声明一个总体事件,支付自动信用,使用简化路径处理标准更正费用,并为更大已证明索赔保留事件层。批准索赔不按申请顺序支付。公共服务为补充做贡献,失败影响资格和控制审查。

这些场景使赔偿边界接近证据。基金不是奖励任何涉及地址的困难。它是结构化响应,其中 NRS 权威失败,索赔人遭受可衡量后果,因果联系经得起独立审查。

最强反对支持更好的设计,而非零责任

第一个反对是存在性风险。号码资源支持重要业务,因此声称损失可能超过任何注册预算。这正是基金需要覆盖定义、因果关系、上限、聚合、保险和连续性保护的原因。无限责任不是豁免的唯一替代。

第二个反对是赔偿会使员工害怕更正记录。设计不当的个人责备可以导致那样。NRS 应将普通赔偿放在机构和共享基金上,保留个人追索于欺诈或严重不当行为,并奖励早期披露。快速报告的纠正错误应比隐瞒成本更低。激励变为谨慎行动和快速遏制,而非瘫痪。

第三个反对是用户不支付反映商业价值的费用。赔偿不需要保险每个依赖业务的全部价值。它可以覆盖定义直接和有界限的后果损失。相关比较不仅仅是费用与客户收入;它是权威、可预防性和社会可持续的保护层。

第四个反对是法律多样性。客户、提供商和损害跨越司法管辖区。NRS 不能替代每个国家救济。它可以创建一个合同最低标准,一个清晰申请路径,保留强制权利,并说明并行追偿如何处理。公共基金减少而非消除跨境复杂性。

第五个反对是公开索赔会损害信任。隐藏的未补偿错误更深地损害信任。当机构能够区分无支持指控与已证明失败,支付后者,发布教训并继续服务时,它展示合法性。基于可见索赔缺失的信任是脆弱的。

分阶段宪法可以使承诺可信

NRS 应首先定义覆盖义务并保存测试它们所需的证据。服务承诺、变更批准、权威观察和客户通知需要一致保留。没有证据的赔偿权是仪式性的;没有独立救济的证据使机构自我裁判。

接下来,NRS 应建立保护车辆、初始资本和贡献公式。过渡期可以使用保守上限,同时检查历史服务数据和接近失误。基金不应宣传广泛保护,直到法律分离、支付权和连续性保管经过测试。

第三阶段引入自动信用和直接成本报销。这些高频、低价值救济暴露定义弱点和管理负担。公布结果可以细化标准证据和贡献风险因素,然后大额后果索赔到来。

第四阶段激活完整独立审查、事件聚合和保险。NRS 应进行涉及提供商破产、公共验证者错误、RPKI 交接失败和法院限制的演习。测试不仅是否可计算赔偿,而且更正是否继续、证据是否仍然可用,以及支付是否可以在没有失败提供商合作的情况下进行。

最后,NRS 应将赔偿数据纳入治理。索赔、信用、恢复时间和重复原因应影响资格、预算、控制投资和领导审查。成员不应仅被要求批准年度基金余额。他们应看到哪些权力产生了损失,以及这些权力是否仍适当放置。

责任是权威控制的代价

权威分类账在要求合规时不能似是而非地不可或缺,在犯错时偶然。机构不需要承诺每个商业结果来接受这一点。它只需要识别它控制的杠杆,定义附带的谨慎,并在违反导致已证明损失时承担有界限的后果。

责任基金在危机前赋予承诺实质。可证明损失规则使其与证据挂钩。上限保护连续性。独立审查防止自我裁判。贡献设计将成本置于受控风险附近。公共决定创建先例。保险和追偿扩大能力而不让索赔人等待。受保护的保管让救济在提供商失败后幸存。

该模型也澄清赔偿不能做什么。它不能使不准确记录可接受,不能将 IP 前缀转换为财产,不能保证路由,不能移除合法司法权威,不能抹去客户安全义务。更正、连续性和减轻保持首要。金钱解决定义机构失败的剩余后果。

对于 NRS,这不仅仅是客户服务。它是合法性测试。分配控制但将后果集中在客户的机构,以新名称保留了旧不对称。将权威与证据支持的责任配对的机构,可以声称更坚实的信任基础:不是永远不会错,而是提前安排更正分类账、补偿已证明损害并自费学习。

来源