摘要
- ICANN 于 2025 年 6 月和 7 月致 AFRINIC 指定接管人的信件警告称可能需要进行合规审查,将选举违规和记录问题与 ICP-2 义务挂钩,并要求提供经证实的答复。这是一个认可警告,而非完整的替换计划。
- 缺失的规则不仅在于谁可以成为紧急运营商。它涉及到注册服务、成员权限、记录、RPKI 资料、反向 DNS、转让、计费、机密数据、争议和法院约束在紧急情况下如何转移而不损害普通资源持有者。
- 替换规则应要求在认可威胁可转化为服务过渡之前,有明确的触发条件、运营商同意、服务范围、数据托管、可移植性测试、公开通知、社区意见、时间限制、交还、独立审查和事后报告。
缺少接收台的威胁
注册机构失败后最重要的陈述不是“该注册机构正在接受审查”,而是“这是明天服务将运行的地方”。如果注册数据、帮助台、反向 DNS、RPKI、公共查询记录、转让、计费和成员沟通保持稳定,一个区域可以经受住董事会争议、诉讼、选举延迟甚至临时接管人的考验。当提及认可审查却没有为公共职能设置可见的接收台时,它就变得脆弱。
AFRINIC 使得这一区别变得不可避免。到 2025 年 6 月,非洲区域注册机构已深陷法律和治理危机多年。毛里求斯的法院已任命了一名接管人。该注册机构缺乏常规的董事会治理。旨在恢复董事会的一次选举被暂停,随后因涉及投票权限和授权委托书的指控而被取消。随后,ICANN 致函数指定接管人,并通知 AFRINIC 可能需要进行合规审查。
这一警告并非随意。在2025 年 6 月 25 日的信函中,ICANN 将这些指控与 ICP-2 规定的义务联系起来,提出了十三个详细问题,要求一天内做出有根据的答复,命令保存记录,并表示这种情况可能引发对 AFRINIC 是否有能力继续作为一个能够负责任地管理号码资源的实体运作的严重质疑。在2025 年 7 月 3 日的信函中,ICANN 表示选举的取消并未回应其许多问题,并再次保留启动审查的所有权利。
这一通信具有合法的连续性动机。区域注册机构不是普通的私人协会。它维护着地址和自治系统记录的公共依赖面。如果选举过程被破坏或记录没有得到保存,损害可能远远超出在法庭上争执的人。ICANN 询问成员支持、平等对待、公正、独立性和记录备份是正确的。
但这一警告也暴露了缺失的替换规则。如果 ICANN 从警告走向正式审查,而审查发现实质性不合规,接下来究竟会发生什么?AFRINIC 会立即失去认可吗?其他 RIR 只运营技术服务吗?接管人会留任吗?成员会继续向 AFRINIC 付款吗?转让会继续吗?RPKI 证书会保持有效吗?反向 DNS 变更会被处理吗?机密记录会被复制给临时运营商吗?国内法院的命令会约束该运营商吗?资源持有者是否有办法质疑其文件的不正确转移?
公开的答案不够清晰。当时的媒体报道捕捉到了这一风险。《The Register》于 2025 年 6 月 26 日报道称,ICANN 的信函警告可能进行合规审查,如果 AFRINIC 未能通过审查,ICANN 可要求另一家 RIR 作为非洲的紧急注册机构介入。这句话是一个强有力的构想。但它不是一套程序。一个可信的替换规则不能只是对可能紧急支援的新闻式解释。它必须是一份运营商可以执行、成员可以测试的文件。
问题不在于紧急替换应该是不可能的。问题在于它应该困难、范围狭窄且预先设计好。如果现任法律实体无法做到,临时运营商可以保持服务。但如果选择、同意、数据传输、范围、时限和交还都不明确,同一个临时运营商就可能制造合法性危机。在一个已经对外部力量心存疑虑的地区,“另一家 RIR 将介入”听起来可能不像连续性,而更像取代,除非规则是明确的。
因此,在威胁被使用之前,必须确定接收台。不一定要提前指定一个永久继任者,而是要定义哪种实体可以服务、谁必须同意、它可以运营哪些服务、可以接收哪些数据、它不能决定什么、它可以行动多久,以及如何听取受影响社群的意见。没有替换规则的认可审查,就像一座架在深河上的半截桥梁。
选举危机将连续性问题变成了实际问题
AFRINIC 的董事会选举危机不仅仅是一个内部社团事务。区域注册机构的董事会控制着预算、高管任命、监督、法律立场、成员问责制以及围绕技术服务的信任环境。因此,即使数据库服务器继续响应,有争议的选举也可能成为注册服务问题。
2025 年 6 月的选举问题有多层。ICANN 描述了关于成员面临注册困难的报告。它描述了普通代理限制与亲自投票授权委托书之间的区别。它转述了关于某些授权委托书被欺诈性获得或未经授权提交的报告。它询问了经授权的投票资源成员名单是否被外部共享,以及第三方是否被授权在候选人背书通信中使用 AFRINIC 的标志。它还询问了注册数据和资源成员记录的记录保存与备份状况。
这些问题说明了为什么选举诚信与服务连续性相互关联。伪造的投票权限与腐败的资源转让不同,但两者都取决于该机构识别谁可以约束成员的能力。泄露的成员名单与数据库损坏不同,但它表明在机密或敏感成员信息周围存在控制弱点。不明确的调查与服务中断不同,但它削弱了人们对未来决策将公正且有据可查的信心。
与此同时,这种联系也有其限度。一次糟糕的选举并不自动意味着每一条地址记录都不可靠。一次被取消的投票并不自动需要一个新注册机构。接管人糟糕的沟通并不必然意味着帮助台无法处理常规工单。暂时的董事会真空并不必然证明将机密记录转移到另一组织是合理的。替换规则必须尊重这些区别。
这正是许多危机论点失败的地方。一方说,连续性要求不去打扰现任者,因为任何外部干预都有让服务失稳的风险。另一方说,治理失败证明现任者应该被替换。两者都不够精确。连续性需要一张服务地图。哪些服务在运行?哪些服务面临风险?哪些决策被治理缺陷所污染?哪些记录需要独立保存?哪些成员权利需要核实?哪些变更可以安全地继续?哪些变更应暂停?
对 AFRINIC 来说,一份服务地图将包括公开注册数据、非公开账户和成员文件、反向 DNS 授权、资源认证状态、待处理的转让、计费、成员沟通、公司授权文件、政策记录、帮助台队列、法院命令、与供应商的合同、银行访问权限和凭证。它还将包括其他参与者依赖 AFRINIC 记录所使用的依赖关系:云上线、路由过滤器、尽职调查、公共采购和地址交易中的法律意见。
NRO 早在接管人被任命时就认识到了连续性。其2023 年 9 月 14 日的声明欢迎接管人作为通往功能性治理的途径,并表示这一任命将有助于确保成员继续获得注册服务。这是正确的框架:在恢复治理的同时保持服务。但一场旷日持久的危机会将临时保存变成一个更棘手的问题。如果保存本身失败,谁来接管那些必须继续的部分?
这一规则必须能够在回答时不会将每一个缺陷都戏剧化为替换。它应该从服务分类开始,而不是机构谴责。
紧急服务并非继任治理
紧急运营商并不是一个新的地区政府。它应该是一个权限严格受限的临时服务提供商。它可以运营帮助台、维护记录、处理规定的常规变更、保持反向 DNS 和 RPKI 的连续性、安全保存数据并报告服务指标。它不应重写地区政策、重组成员权利、解决私人资源纠纷、在选举中站队或默认成为永久性服务机构。
NRO 草案《RIR 治理文件第 2 版》正朝着这一区别迈进。它将紧急运营商定义为被选定暂时提供 RIR 服务的合格实体。它规定,当一个 RIR 无法充分提供全部或部分服务时,可以启动紧急连续性措施。它要求所有其他 RIR 和 ICANN 的一致同意,在合理可行的情况下与受影响的 RIR 及其社群进行讨论,及时公布理由和范围,社群参与,在移交中合作,受影响的 RIR 在能力恢复并得到验证后恢复服务的权利,以及九十天的初始期限,除非根据同一条款续期。
这一框架是有用的,因为它驳斥了替换仅仅是机构接管的想法。它将紧急服务视为临时性、有范围和可审查的。它还要求进行事后审查,包括一份关于情况、所提供的服务、持续时间、返还过程、运营商表现、反馈和改进的公开报告。
细节仍然是决定性的。临时运营仍然需要凭证、记录、员工知识、程序、数据保护边界、答复请求的权限、服务级别期望和冲突规则。如果这些没有准备好,紧急运营商可能在技术上有意愿但实际上是盲目的。它可能没有最新的成员授权文件副本,没有经验证的待处理转让状态,没有安全的方式来签署或更改资源认证材料,不了解法院限制的账户,也没有途径核实谁可以指示它。
紧急运营商还需要一个非治理的授权。如果成员的权限得到核实,它应该能够处理常规的联系信息更新。它不应裁决一个有争议的董事会候选人是否被合法排除。它应该能够保存待处理的转让状态。如果现任注册机构尚未做出决定,它不应裁决转让的商业价值。它应该能够保持反向 DNS 授权处于活跃状态。它不应强加新的地区反向 DNS 政策。它应该能够发布状态页面。它不应为某个治理派别造势。
AFRINIC 的危机正是这一边界将变得非常重要的情形。如果另一家 RIR 被要求提供紧急服务,非洲的成员们会合理地询问,那家 RIR 是仅仅在持有公用事业功能,还是在吸收地区权力。毛里求斯的法院会询问临时运营商是否尊重本地命令。其他 RIR 会询问它们是否对存在争议的记录承担责任。资源持有者会询问他们的机密记录是否已被转移,以及依据什么法律基础。
规则应明确说明紧急服务并非继任治理。如果撤销认可发生,继任治理问题可能稍后出现,但它不应被偷偷塞进一个九十天的服务桥梁中。这座桥梁应保持灯火通明,保存证据,防止不可逆转的损害,并为合法恢复或单独论证的过渡争取时间。
运营商同意不能假设
“另一家 RIR 可以介入”这句话掩盖了一个棘手的同意问题。一个区域注册机构不是一个备用的云实例。它是一个拥有自己的董事会、成员、法律、风险偏好、员工能力、预算、保险、数据保护义务和地区责任的法律实体。在危机期间要求它为另一个地区运营服务会带来运营和政治风险。
运营商必须在知情的情况下同意。它必须理解服务范围、将要接收的记录、法律约束、资金、赔偿、保密义务、技术任务、语言需求、时限、报告义务和退出条件。它必须知道它是否只需提供技术连续性,还是需要处理面向成员的决策。它必须知道它自己的成员是否会承担成本。它必须知道受影响地区是否可以质疑其行动。
其他 RIR 的同意也集体性地重要。NRO 草案要求所有其他 RIR 和 ICANN 一致同意紧急连续性。这是一个强有力的保障。它降低了一个外部行为者可以安插一个偏好运营商的风险。它也迫使系统在行动之前面对能力和合法性问题。
但一致同意是有代价的。在快速发展的服务中断中,获得一致同意可能会很慢。在一个充满政治色彩的案件中,一个 RIR 可能因为责任或声誉而犹豫不决。因此,规则应区分准备状态和启动状态。准备可以提前进行:服务清单、托管预期、标准保密条款、临时运营商资质、资金计算公式、通信模板、法律清单和测试。然后,启动范围可以更窄、速度更快,因为参与者不是在压力下临时制定条款。
受影响注册机构的同意更为复杂。如果该机构能够充分配合,应与它及其社群讨论紧急支持。如果该机构因治理瘫痪、法院限制或恶意而无法配合,规则可能需要一条无需现任者完全同意的路径。但这条路径应是例外性的并加以解释。它应说明为何合理合作不可行,何种法律依据允许有限移交,以及受影响注册机构在能力恢复后如何恢复服务。
成员的同意也不是铁板一块。受影响地区的成员并不是单一声音。有些可能害怕现任者,有些可能害怕外部控制,有些可能想要快速恢复服务,有些可能是诉讼当事人,而许多可能只是需要常规的稳定性。要求完全区域共识的规则将使紧急行动不可能。忽视成员意见的规则将缺乏合法性。更好的答案是结构化的意见输入:通知、在可行的情况下设置短期反馈窗口、受保护的证据渠道、公布关切摘要以及事后审查。
在 AFRINIC,运营商同意和成员合法性将尤为敏感,因为危机已经牵涉到关于投票权限、授权委托书和成员名单的主张。任何紧急运营商都需要避免在未经核实的情况下依赖相同的争议授权文件。它还需要一个通信计划,通过保存的联系记录直接联系成员,同时保护机密性。
因此,同意不是一个仪式性的签字。它是服务连续性与争议性占领之间的区别。替换规则应将其视为基础设施。
记录可移植性是核心资产
在注册机构紧急情况中,移动的最重要东西不是品牌、办公室或董事会会议纪要。它是记录的当前状态。如果记录不完整、过时、有争议、不可移植或在法律上无法访问,任何紧急运营商都无法提供可靠的服务。它将继承一团迷雾。
记录可移植性有多个层面。公共层包括通过目录服务可见的注册条目、资源分配和指派、联系人角色、路由相关引用和反向 DNS 授权。受保护层包括账户凭证、授权证据、成员文件、计费记录、法律文件、身份核查、非公开联系人、待处理工单、转让证据、争议文件和法院约束。技术信任层包括资源认证材料、存储库状态、签名安排、反向区域细节和运营凭证。治理层包括成员状态、投票权限、董事会和委员会记录、政策文件以及决策历史。
每个层面都有不同的可移植性问题。公共数据可以被复制,但可能不显示谁可以指示变更。受保护数据可能是必要的,但必须根据机密性和数据保护规则来处理。技术信任材料可能需要谨慎的密钥和存储库管理;粗心的移动可能破坏验证或创建重复权限。治理记录可能存在争议;不加标注地移动它们可能将有争议的权限变成被接受的事实。
2001 年的 ICP-2 文本已经认识到记录保存至关重要。它要求对注册活动进行适当记录,并归档从 LIR 收集的、在地址空间分配中产生的信息,称这些数据是未来评估和审计负责的中立运营所需的。该要求并非作为一套完整的可移植性规则而写,但它指出了核心真相:注册机构的连续性取决于可审计的记录。
2025 年 ICANN 致 AFRINIC 的信函要求接管人确认注册数据和资源成员记录的记录保存与备份状况。这个问题应处于任何替换规则的中心。如果记录仅在有问题的机构内部备份,紧急连续性可能无法实现。如果备份存在但不能合法使用,连续性就只是理论上的。如果备份是最新的但缺乏授权证据,常规查询可能继续,但成员操作变得不安全。
可移植性应在危机前进行测试。一个注册机构应能够生成服务清单和一套在明确控制下的当前加密托管集。托管集不应是公开数据的倾倒。它应有足够的结构,使紧急运营商能够识别当前的公共记录、待处理的变更、授权文件、机密类别、技术信任材料、反向 DNS 状态、服务工单和争议。应在受控环境中测试其恢复能力。
测试不同于使用。紧急运营商在正常情况下无需访问机密记录。但独立审计师可以验证托管集存在、是最新的、访问控制可行,并且如果触发器发生,恢复是可能的。报告可以公布通过、失败和例外类别,而不会泄露成员秘密。
AFRINIC 表明了为什么这不是抽象的。一场涉及投票权限、可能的名单访问和记录备份的危机,立即提出了记录状态是否足够可信以进行转移的问题。替换规则必须说明争议记录如何转移:带有标注、冻结、独立验证或排除在常规操作之外直到解决。它必须防止移交将不确定的权限洗白为清洁的运营状态。
因此,记录可移植性是替换的核心资产。没有它,紧急运营商只是一个名字。有了它,替换就成为一种有纪律的保存行为,而非政治行为。
数据状态必须在权限转移之前迁移
权限应随数据状态而动,而非先于它。在注册机构紧急情况中,系统应首先定义要保存的服务状态,然后决定哪个运营商可以合法且技术上地保存它。如果权限先被转移,新运营商可能被迫在不了解自己控制着什么的情况下做出决策。
一份迁移文件应包含当前的服务地图。它应列出公开注册服务、非公开成员和资源持有者文件、技术信任服务、反向 DNS 责任、待处理请求、未决争议、法院命令、员工和供应商依赖关系、凭证、监控、备份状态和通信渠道。对于每个类别,它应说明服务是未受影响、面临风险、已冻结、受限、有争议还是不可用。
该文件还应标识事务状态。待处理的转让尤其敏感。一笔转让可能处于已请求、审查中、等待证据、已批准但未完成、有争议、被法院命令冻结或因费用延迟等状态。如果这些状态丢失,买方和卖方可能面临重复提交、相互矛盾的承诺或优先权丧失。临时运营商不应被迫从邮件片段中推断状态。
RPKI 和反向 DNS 需要各自的过渡文件。对于资源认证,运营商必须了解证书颁发机构关系、发布点、存储库状态、ROA、验证预期和紧急撤销限制。对于反向 DNS,运营商必须了解父区域授权、相关的 DS 记录、名称服务器状态和待定更改。这些服务可能影响路由安全、邮件信誉、网络诊断和云上线。它们不能仅靠通用的企业语言来移动。
计费和成员资格也很重要。如果成员必须继续付款才能保持服务,他们需要知道向谁付款以及付款如何记账。如果因银行账户被冻结或发票延迟而导致成员的正常地位受到争议,临时运营商不应在未经审查的情况下将这种不确定性转化为投票权或服务权的丧失。
迁移文件应保留法律背景。国内法院命令可能限制资产、治理决策、通信或资源行动。紧急运营商必须知道存在哪些命令以及它们如何影响服务。它不应假定 ICANN 或 NRO 的决定会抹去本地法律。也不应将对本地命令的解读定为摧毁全球服务连续性,当存在更狭义的合规方式时。
规则应定义一个冻结点。在紧急连续性启动的那一刻,普通变更可能需要短暂的可控暂停,以便协调状态。暂停时间应短并予以公布。防止服务丢失的紧急变更应保持可能。一旦状态得到确认,常规的低风险服务应在临时运营商的有限授权下恢复。
这就是为什么替换规则不能只是法律性的。它是操作性的。它是一个在移动一个活记录系统的同时不丢失现在时的程序。该规则应像紧急演习一样进行测试。如果参与者在测试中无法重建当前状态,他们就无法在危机中承诺连续性。
成员需要的是迁移程序,而非口号
对成员和资源持有者来说,替换体验为一系列实际问题。我在哪里登录?谁可以签名?我的发票算数吗?我可以更新滥用联系人吗?我可以更改反向 DNS 授权吗?我的 RPKI 状态有效吗?待处理的转让可以完成吗?我的机密文件会移动吗?哪部法律保护我的数据?如果旧注册机构和临时运营商给出不同答案怎么办?
替换规则应提前回答这些问题。公开通知应说明紧急运营商、启动时间、服务范围、未受影响的服务、暂停的服务、紧急联系人、成员认证方法、数据保护概要、争议标注、计费处理、预计持续时间和审查途径。它应避免宽泛的机构救援主张,而应专注于服务连续性。
认证需要特别关注。如果危机涉及有争议的成员权限,临时运营商不能盲目依赖现有的门户用户或授权委托书。它应使用分层验证方法:当前注册记录、先前验证的联系人、需要时的公司授权证据、对高风险变更的多点确认,以及在权限存在争议的地方设置争议标记。低风险的公开更正可以使用较轻的证据。高风险的转让或技术信任变更需要更强的证明。
程序应保存现有权利而不扩大它们。资源持有者不应仅仅因为紧急连续性启动就获得转让权。也不应仅仅因为治理正在接受审查就失去已获认可的服务。除非允许明确、经过验证的变更,否则临时运营商应维持记录现状。该现状应包括在有争议记录上标注争议。
通信应直接,并且在区域需要时使用多种语言。AFRINIC 地区的危机涉及许多国家、法律体系和运营商社群。英语可能仍是核心审查的官方注册系统语言,但面向成员的连续性需要清晰易懂的通知。规则应定义最低限度的沟通渠道:网站通知、向已验证联系人发送直接电子邮件、公开状态页面、帮助台说明和定期报告。
成员还需要提交证据的途径。如果成员的联系文件有误,如果待处理请求缺失,如果授权委托书是伪造的,如果转让状态被错误记录,或者如果法院命令影响其资源,临时运营商需要一条分诊路径。该路径应快速、有记录且限于连续性事实。它不应成为政治争论的公开论坛。
程序还应保护员工。在许多注册机构危机中,当董事会、法院和公众派系在争斗时,员工们保持着服务的运行。临时运营商可能需要现任员工的合作,但员工可能面临相互冲突的指示。规则应说明员工如何提供连续性信息、保存记录并避免个人风险。它不应强迫个别员工在法律不明朗的情况下,在国内命令和全球连续性期望之间做出抉择。
一个口号说“另一家 RIR 可以介入”。一个迁移程序则说明每位成员如何度过星期一早上。后者才是连续性所需要的。
ICANN 可以合法要求什么
在 AFRINIC 类型的危机中,ICANN 的合法要求是服务能力、中立性和连续性的证据。它可以询问记录是否被保存,成员是否受到平等对待,治理是否可以恢复,不当影响是否被遏制,核心服务是否运行,备份是否最新,员工是否有权限采取行动,以及该区域的社群是否接收到真实的信息。这些要求与 ICANN 在协调已获认可的 RIR 体系中所履行的职能是一致的。
ICANN 不应要求政治忠诚、偏好的选举结果、特定诉讼当事人的失败或在洛杉矶选定的政策立场。它不应利用认可来惩罚一个与全球行为者意见不合的地区。它不应将对某一成员影响力的关切转化为批准每项章程修订的权力。界限在于服务风险和已获认可的职责。
2025 年 6 月的信函在指出具体职责时最为有力:社群支持、平等对待、公正、独立、开放成员资格、记录保存和备份。当它提出关于可能使 AFRINIC 政策转向与全球协调相悖的立场的影响力的关切时,则更为脆弱。如果影响力损害了公正服务或号码系统,这或许是一个合理的关切。为了避免听起来像是政策监管,它需要一份精确的证据陈述。
替换规则有助于 ICANN 提出更好的要求。ICANN 可以将每项请求映射到一个已知的触发条件和服务后果,而不是在压力下提出宽泛的问题。“提供记录备份状态,因为紧急连续性需要经过验证的记录可移植性。”“提供成员权限调查结果,因为常规治理和高风险成员行动依赖于经过验证的权限。”“提供服务指标,因为正式审查需要运营能力的证据。”这使得要求更少政治性,更多问责性。
ICANN 还可以要求保存。选举文件、资源记录、授权证据、备份、工单日志或技术信任材料的销毁或修改将威胁审查和连续性。当出现可信的危机证据时,发布保存通知是合理的。通知应说明类别、保管人、保留方法和机密性。
ICANN 可以要求接管人或管理机构保持透明,因为公信力是 RIR 服务合法性的一部分。但透明度必须加以校准。某些调查细节、个人数据、凭证和机密成员文件不能公布。要求应是对公开状态的说明,而非不计后果的曝光。
最后,ICANN 可以要求一份纠正计划。如果受影响注册机构能够恢复治理、核实成员权限、保存记录、修复服务并接受审计,那么替换就应保持不必要。规则应使纠正成为首选结果。替换不是一场胜利。它是一种受控制的故障响应。
替换规则应包含什么
替换规则应从触发条件开始。只有当 RIR 无法充分提供全部或部分明确界定的服务,或者继续提供会对记录、中立性或服务完整性造成无法通过更狭义的举措解决的实质性风险时,才应启用紧急连续性。正式撤销认可应要求单独、更高的门槛。
它应定义合格的运营商。运营商应是一个合格的 RIR 或其他获批准的实体,具备技术能力、法律能力、数据保护控制、财务能力、与争议无利害关系、冲突披露、服务经验以及对临时授权的同意。运营商自己的治理机构应根据其自身规则批准这一角色。
它应定义同意和批准。紧急运营应要求 ICANN 和其他 RIR 的同意,在合理可行的情况下与受影响的 RIR 及其社群进行讨论,如果无法充分讨论,则应公布理由。永久继任或撤销认可应要求单独的提案路径和公布的建议。
它应定义服务范围。通知应列出运营商将提供哪些服务:公开查询、帮助台、联系人更新、转让处理、反向 DNS、资源认证、计费、通信、记录保存、政策支持或仅一个子集。任何未列出的内容仍处于临时授权之外。
它应定义数据移动。受影响的注册机构应定期在独立控制下托管一套当前、可恢复的必要记录集。访问应为事件触发、记录在案、受机密性限制,并在使用后进行审查。争议记录应带标注移动,而不是悄然正常化。
它应定义成员认证。常规低风险请求、高风险资源变更、转让指令、计费争议和投票权限各自需要不同的证明。一场涉及授权委托书的危机不应在未经核实的情况下将授权委托书作为唯一的权限路径。
它应定义技术信任的连续性。RPKI、反向 DNS 和目录服务需要具体的移交步骤,包括冻结点、验证检查、存储库状态、授权状态、紧急联系信息、旧服务保留和返还标准。
它应定义时间限制和续期。NRO 草案的九十天初始期限是一个有用的基准,但续期应要求更新理由、性能证据、社群反馈以及交还或升级计划。
它应定义审查。受影响的注册机构、受影响的资源持有者和临时运营商应拥有质疑范围、错误、越权或不安全指令的途径。审查必须足够快,以便在紧急情况下发挥作用。
它应定义交还。一旦运营能力恢复并得到验证,受影响的 RIR 应恢复服务。交还应包括状态核对、审计、成员通知、技术检查、事件报告和下次紧急情况的经验教训。
该规则应足够详细以便运行,但又足够克制而不将普通注册机构的自主权集中化。这正是 AFRINIC 所暴露的平衡。
普通依赖关系需要自身保护
在认可危机中,最不显眼的群体往往是最重要的:未引发争议的普通资源持有者。一个小型接入提供商、大学网络、区域交换参与者、内容主机、银行、医院、研究网络或公共机构可能在董事会斗争中没有任何角色,也没有兴趣参与全球机构争论。但它仍依赖注册机构来维护准确的记录、可联系到的联系人信息、反向 DNS 变更、资源认证状态、滥用联系人数据、账户正常状态以及其号码资源仍被合法持有的证据。
正是这种普通依赖关系,使得替换不能只为董事会、接管人、法院和全球协调机构而设计。规则必须保护那些将注册机构故障体验为中断、不确定性和交易风险的人们。如果唯一的公开信息是 ICANN 可能审查认可、另一家运营商可能介入,那么成员们就只能猜测他们的日常服务是否会中断,现有凭证是否仍然有效,已在审查中的转让是否会得到履行,机密文件是否会被复制,以及常规变更是否会在政治冲突中成为证据。
依赖问题是实际的。网络运营商在过滤路由、评估客户、调查滥用、向供应商证明资源权利、回答采购问题、向银行和保险公司证明连续性以及通过交易中的尽职调查时,会使用注册机构记录。即使数据包持续流动,注册机构合法性危机也会让第三方犹豫。云提供商可能要求更清晰的资源证据。买家可能延迟转让。贷款方可能折价地址资产。政府采购方可能质疑供应商是否控制其资源。安全团队可能将陈旧的注册记录视为风险信号。这些后果并非戏剧性的服务中断,但却是真实成本。
因此,替换规则应定义一个依赖关系盾牌。在紧急运营期间,任何资源持有者都不应仅仅因为认可正在审查而丧失已获认可的服务、账户正常状态或常规权利。临时运营商应保存最后验证过的资源状态,在必要时标记争议记录,并在短暂的核对暂停完成后尽快维持常规低风险服务。高风险变更可要求更强的证据,但普通依赖不应因为一份选举文件存在争议而被无限期冻结。
该盾牌还应说明哪些内容保持有效。现有的公开注册记录应保持可公开访问,除非已知某条特定记录不安全。现有的资源认证状态应在进行转换检查时得到保存。现有的反向 DNS 授权应保持活跃,除非有安全或法律原因需要更改。现有的工单应保持在队列中的位置,并显示可见状态。现有的发票和付款应进行核对,而非丢弃。现有的机密提交资料在临时运营商的职责下应保持机密。
这种方法保护了合法性论证的双方。它阻止一个衰败的现任者通过声称任何外部支持都会摧毁服务来挟持成员。它也阻止外部行为者利用服务连续性作为重新安排成员权利的借口。基准是保存。变更需要明确的理由、明确的权限路径以及可被审查的记录。
依赖关系盾牌应包括对惩罚性行动的冻结。在初始紧急期间,临时运营商不应因为受危机影响的记录而暂停资源、取消成员资格、拒绝续期、结束转让或改变成员地位,除非即时安全、法院合规或明确的欺诈行为要求采取行动。费用仍可收取,常规义务仍可维持,但运营商不应将行政混乱转化为权利的丧失。
争议标注优于悄然正常化。如果两方声称对同一成员账户拥有权限,临时运营商应将该账户标记为存在争议,在安全的情况下允许低风险连续性服务,并要求对高风险变更有更强的证明。如果一份转让文件因法院命令或员工访问问题而中断审查致其不完整,应保存该文件并描述其状态。如果一份授权委托书受到质疑,不应仅因其存在于记录集中就默认接受或拒绝。应依据紧急认证规则对其进行审查。
同样的保护应适用于数据。成员应知晓他们的哪些信息类别可能被紧急运营商访问,为什么访问是必要的,适用哪些保密义务,数据将存储在哪里,访问如何被记录,数据何时会返还或删除,以及成员如何报告错误。这不是可有可无的法律卫生。在一个多国服务区域,对数据处理的信心是对替换本身信心的组成部分。
普通依赖也需要公开指标。临时运营商应报告工单量、服务可用性、常规请求的周转时间、暂停的服务类别、争议数量、技术信任状态和预期交还里程碑。报告无需暴露敏感的成员文件。它应向成员提供足够的信息,以判断桥梁是否在正常工作。沉默滋生谣言,谣言增加交易成本。
AFRINIC 的危机表明了为什么这种保护至关重要。该地区的资源持有者不需要一场关于认可权限的理论辩论。他们需要注册机构运作,记录保持可信,任何外部连续性计划尊重地区权利。一项未考虑普通依赖的替换规则,将不是以其机构理论被评判,而是以成员在周一早上是否仍能运营他们的网络来评判。
不作为的风险
风险不仅在于一个衰败的注册机构可能损害该地区。风险在于,一个未定义的救援力量在试图帮助时反而损害了该地区。一个模糊的威胁可能增加交易成本、加深派系、惊动法院、冻结投资、鼓励投机性诉讼,并使每位普通成员怀疑其服务是否即将转移。一个模糊的紧急运营商可能制造比危机更持久的数据、责任和合法性问题。
不作为也过多地保护了现任者。如果不存在替换规则,处于危机中的注册机构可以辩称任何行动都过于危险。它可以利用计划的缺失作为抵挡审查的盾牌。这制造了道德风险。连续性计划越糟糕,现任者就显得越不可或缺。一个关键机构不应因为替换困难而变得不可触及。
正确的答案不是激进的干预,而是准备。系统应使替换不那么有吸引力,但更可行。不那么有吸引力,是因为纠正、审计和狭义的保障措施应在过渡前解决大多数问题。更可行,是因为如果公共职能确实无法继续,记录、服务地图和运营商规则应该存在。
AFRINIC 的危机已经显示出设计滞后的代价。信函、法院文件、媒体报道、成员指控和紧急概念纷至沓来,而服务仍须运行。这是决定谁可以持有记录、谁可以认证成员、谁为运营商买单、谁回复转让工单或如何向现任者恢复服务的最糟糕时刻。
ICANN 和 RIR 应将 AFRINIC 警告视为一个设计期限。认可审查现在有了一个可见的先例。下一步应是一套成员可在需要之前阅读的替换规则。该规则应对工程师足够可操作,对法院足够合法,对地区自主权足够有边界,对市场足够公开。
目标不是让撤销认可变得容易。而是让连续性变得可信。如果一个注册机构可以恢复,就以证据为基础将其恢复。如果需要临时运营商,就限制它。如果记录必须移动,就带标注和保密性地移动它们。如果权限必须改变,就公布理由和审查权利。如果现任者回归,就干净地交还。如果它不能,就使用单独的、经论证的继任路径。
因此,ICANN 的 AFRINIC 威胁是对整个系统的警告,而不仅仅是对一个接管人。认可层现在需要其下方缺失的规则。在此规则存在之前,每一个审查威胁都将携带一个不必要的第二重威胁:不仅是现任者可能失败,而且是尚未有人写下在不取代地区权利的情况下安全替换服务的方法。

