摘要

  • 撤销并非分配的事务性逆转。根据注册机构和合同的不同,它可以终止注册权利、变更公共记录、中断反向 DNS 或 RPKI 服务,并使运营方暴露于路由和客户后果之下。
  • 五大 RIR 公布的撤销理由和程序存在实质性差异。APNIC 提供执行委员会上诉;ARIN 将终止与撤销及仲裁挂钩;RIPE NCC 通过引入的关闭程序区分暂停、终止和注销;AFRINIC 提供说明理由期;LACNIC 采用分阶段的公开回收流程,并设有例外延期。
  • 目前没有任何一份文件能单独证明,每一项严厉权力何时首次出现、哪些成员批准了它、审批机构是否理解其运营范围,或者哪一上位文件授权了此后通过手册进行的扩展。
  • 一个经得起检验的撤销制度,应公布条款级别的沿革,界定证据和相称性,保留有意义的中期救济,披露匿名处理结果,界定错误责任,并说明如何恢复或转移注册服务。

运营台上的一纸通知

想象一下,周五傍晚,一纸通知送达网络运营商。它上面并没有说运营商的的路由器将在午夜被关闭。区域互联网注册机构并不控制互联网上的每一台路由器。它传达了一些更狭窄但在协同系统中可能更具破坏性的内容:指定的注册权利被撤销,服务将停止,记录可能被删除,该组织必须停止将所列的号码资源视为已分配给其。

运营商可以继续宣告路由。其他网络可能在一段时间内继续接受它。然而,围绕着该路由的制度支持可能发生变化。注册数据或许不再将运营商标识为持有者。反向 DNS 服务可能受到影响。资源公钥基础设施材料可能不再支持与资源相关的授权。转让请求可能无法进行。客户、传输提供商、保险公司、贷款机构和审计师,可能在路由过滤发生之前,就对失去公认的注册地位作出反应。

正因如此,撤销不能被视为日常管理。它是一项高影响的决策,涉及的依赖关系横跨合同、共享记录和网络协调。这项决策不必像警察的扣押令那样,才需要对权力来源有清晰的说明。实际后果,而非形式,设定了标准。

核心问题十分初级。谁授予了这项权力?对哪一法人?对哪类持有者和哪些服务?基于何种理由?通过何种文件?谁可以修改这些理由?需要何种证据?在记录变更之前,持有者能否获得中止令?错误决策的代价由谁承担?如果注册机构自身失灵,谁能恢复或替换服务?

现行 RIR 文本部分回答了这些问题。它们尚未形成一份易于审计的历史。弱点不在于没有人接受过合同或投票通过政策,而在于从初始权限到当前后果的链条,往往散落在组织章程、标准协议、可更动的手册、员工规程和机构惯例之中。一项权力在变得习以为常之后很久,其权威来源可能依然模糊。

分配在逻辑上并不包含撤销

常见的辩护始于对称性:一个机构既然能分配资源,当条件不满足时,就必须能够将其回收。没有回收,废弃的记录便不断累积,虚假申请便获得永久效力,未付款服务便无限延续,有限资源池便无法得到负责任的管理。这一论点有其说服力。一个毫无纠错或回收机制的注册机构,将无法维护准确的记录。

但功能需要并不等同于法律授权。房东需要收回房屋的途径,却不能在签完租约之后再发明驱逐程序。银行需要关闭账户的途径,但这项权力取决于合同、法律、通知和审查。专业团体可能需要纪律处分,但开除会员需要由适格机构制定的规则,并得到公正适用。运营必要性解释了一项权力为何可能是合理的,却没有说明是谁创立了它,或它的边界在哪里。

分配与撤销也并非镜像对称。分配决定通常只回答申请者在某个时间点是否符合标准;撤销却可以推翻积累多年的信赖。持有者或许已围绕该注册建立了寻址方案、客户合同、安全控制和融资假设。下游用户可能与 RIR 没有直接关系,但仍然依赖该号码空间。拒绝一个新申请的代价,与移除一个已确立地位的代价,未必相称。

返还、回收、注销、终止、暂停和撤销这些词汇,进一步打破了对称性。这些行为可以截然不同。终止会员资格未必自动回答每一项资源如何处置。暂停门户服务不同于删除注册条目。注销不同于阻断数据包流通。自愿返还不同于强制征收。依法强制终止不同于对一项所谓违约的酌情回应。

一个合法的制度应该保留这些区分。如果合同规定终止触发撤销,这一后果应当明确。如果政策允许移除而合同依旧,这项权限应当被单独指明。如果一个机构仅仅声称有权更改自己的记录,它就不应该把这种行为描述得好像能够实际控制每一处的使用。精确性既限制机构的过度主张,也避免运营商的误解。

缺失的沿革

最能说明问题的记录不是另一本现行手册,而是一份沿革表格。对每一个撤销理由,表格应该显示其首次发布的出处、之前的措辞、修改建议、解释性备忘录、审批机构、会议日期、投票情况、投票人数、法律依据、受影响的合同类别、过渡规则、救济措施以及后续修订。它应该能够区分成员投票与理事会批准、公开政策共识、员工实施和合同的单方面修改。

在整个 RIR 体系中,这样的表格很难找到。现行文本通常可以获得。历史副本或许也存在于档案中。所缺失的是将一项严厉权力从起源追溯至当前形式的连贯证据,以便读者能够追索。一项条款可能从合同迁移到程序,在手册中新增例子,在帮助页面上被重申,最终显得不可避免。重复于是替代了授权。

这种区别之所以重要,是因为每一份文件有不同的机构作者。组织章程可以授权董事或成员管理法人。成员协议约束其当事方。政策流程可以设定资源标准。运营团队可以发布实施有效决定的步骤。网页可以解释结果。所有这些都由同一 RIR 发布或与之关联这一事实,并不会将它们的权威合并在一个来源中。

会议档案、法律意见和合同历史中或许有很好的答案。当前批评的重点更为集中:成员或受影响的持有者不应需要重建三十年的机构发展史,才能弄清是谁批准了威胁自身地位的权力。注册机构是自己宪制记录的保管者。它完全可以公布沿革。

沿革的缺失并不证明一项条款无效。它制造的是证据上的缺陷。权力越具后果性,用“既定实践”、“社区期望”或“必要角色”等说法来填补这一缺陷,就越不可接受。这些说法或许能解释信赖,却无法识别委托人、批准行为,或当时所接受的限制。

APNIC:清晰的后果和内部上诉

标准 APNIC 成员协议对后果的呈现异常直接。其文件标识显示,当前公布的版本为 APNIC-079 版本 002,日期为 2012 年 2 月 9 日,初始公布日期为 2001 年 12 月 1 日。它还说明该页面仅供参考,正式文件由 APNIC 提供。仅这一提醒就说明了版本和执行证据为何重要。

该协议允许在成员未在规定期限内续费的情况下,通过书面通知撤销资源。破产事件可支持立即撤销和终止。对于被指控的违约,第 4.1 条要求发出书面通知,说明违约事实、纠正措施、合理的回应期限以及拟采取的行动。成员可以否认违约、证明已纠正或指出特殊情况。公司在考虑回应后,可以再发通知,或立即撤销根据 APNIC 文件授予的部分或全部权利,包括所分配的资源,并可终止协议。

第 4.4 条接着允许向执行委员会提出上诉,成员可主张相关情况未被充分考虑,或公司的行为不合理。委员会必须在 30 天内审议上诉,并可要求撤回撤销通知。第 4.5 条规定,成员必须立即停止使用根据所列条款发出的通知中指定的资源,若不停止则可能面临禁令救济。

这不是一项隐藏的权力。生效的合同指明的通知、回应、后果和上诉。它也暴露出治理问题。公司做出初步决定;上诉交给嵌入 APNIC 架构中的执行委员会;成员可能需要立即停止使用,而委员会有多达 30 天时间考虑案件。文本未在同处说明,提起上诉是否中止后果,哪些证据记录会提交给委员会,或者如何处理冲突。

该协议还纳入了不时有效的 APNIC 文件,并规定修订对成员具有约束力。这一结构使文件的沿革变得格外重要。如果一份后来的 APNIC 文件改变了何为违约或修改了资源义务,实际的风险暴露可能在不变动“撤销”二字的情况下扩大。因此,适当的审计不仅要问谁批准了第 4.3 条,还要问谁可以修改能够激活它的每一项纳入规则。

ARIN:终止、撤销和合同修订途径

ARIN 注册服务协议,版本 14.0,日期为 2025 年 8 月 15 日,采用了不同的架构。它从注册权利的角度定义所包含的号码资源,并列举了诸如注册条目、反向名称服务、RPKI 和记录管理等服务。这种起草有助于区分合同地位与“持有者拥有整数”或“ARIN 控制每条路由”之类的说法。

第 13 部分授予 ARIN 因特定原因终止的权利。某些理由允许立即终止;其他违约行为在收到书面通知后给予 60 天的纠正期,但须经 ARIN 合理认定。协议指引持有者根据第 14(k) 条对终止或暂停提出争议。第 13(e) 条说明了核心后果:除特定情况外,终止导致 ARIN 立即撤销所包含的号码资源并停止服务。其中对涵盖的遗留资源在一种由持有者终止的情况下的处理方式明显不同,表明终止和撤销并不对所有的持有者类别产生统一效力。

该协议还包含一条修改协议本身的显著规则。第 1(e) 条描述了一种基于直接且紧迫需要的途径,该需要与法规或判例法的明确变更挂钩,或者基于董事会建议并经成员投票批准。它规定了通知和延迟的生效日期。政策的处理方式不同:文本保留修改政策的广泛权力,并通过通知或公布使变更具有约束力,同时为不一致情况提供优先顺序。

这更接近一条可见的宪制链条,而不是一本包含自由裁量严厉权力的手册。但重要问题依然存在。哪些政策变更能实质性地扩大使持有者面临终止的行为范围?历史版本的 RSA 是否依同一条途径批准?哪些遗留持有者签署了哪种表格?争议中的暂停或终止多久提交仲裁一次?服务在此期间是否得以维持?

ARIN 的文本也表明,如果不与合同版本挂钩,“撤销权力”这一说法便过于宽泛。协议区分了权利、服务、政策、遗产地位和终止途径。一份公开声明说“ARIN 可以撤销资源”,是不完整的。可辩护的陈述应当指明持有者类别、所包含的资源、理由、管辖协议、通知、审查途径和后果。

RIPE NCC:通过纳入而结合的三个独立行为

RIPE NCC 标准服务协议,RIPE-812,日期为 2023 年 11 月,使得权力的分层性质格外显见。第 6.3 条规定,不遵守 RIPE 政策和 RIPE NCC 程序,可能导致暂停服务以及根据指定的关闭文件注销号码资源。第 9 条规定了终止权利和理由,包括在程序性纠正期后未履行义务、特定的立即终止理由以及法定要求的终止。

因此,暂停、合同终止和注销是相关但不同的行为。协议提供合同权力。政策和程序提供标准和步骤。当前的关闭文件提供了警告、截止日期、服务后果和记录变更发生的顺序。在后台,组织章程分配公司权限,但它们不能替代这一面向成员的链条。

当每一层都保持在其指定职能内时,这种分离是一种优势。如果一项操作程序可以在无需获得修改协议所需的批准的情况下,扩大实质性理由,它就变成了一个弱点。程序可以合理地指定地址格式、通知渠道、截止日期和恢复步骤。它不应仅仅因为合同以引用的方式纳入了程序,就变相获得新的权力。

RIPE NCC 还为特定争议提供了内部冲突仲裁途径。审查的存在很重要。其充分性取决于范围、及时性、独立性、证据访问和效力。如果一项救济只能在运营伤害发生之后宣布错误,其价值可能不如能够在争议事实得到审查期间保持现有地位的救济。如果一项救济超出其规定的管辖范围,它不能仅因为被称为仲裁而被当作一般上诉对待。

沿革问题仍然是历史性的。此前的哪些服务协议首先将不合规与注销联系起来?关闭程序是何时开始区分终止与资源记录移除的?哪些变更由成员批准,哪些经由 RIPE 政策社区产生,哪些是管理层实施?当前的文件可以连贯一致,而其起源却难以看清。公布这一沿革将加强而非削弱它们的合法性。

AFRINIC:说明理由、裁量权和立即生效

AFRINIC 注册服务协议,日期为 2017 年 11 月 27 日,说明了区区几个字如何决定了一项保护措施的质量。协议规定,AFRINIC 可以发出拟终止的书面通知,邀请申请者说明理由或纠正所指控的违约,并给予 30 天时间回应。如果 AFRINIC 认为理由或纠正措施满意,终止程序即停止。

下一步是严厉的。如果协议终止或届满,AFRINIC 将立即撤销号码资源并停止服务,并附有广泛的免责语言。因此,文本将回答的机会与对回答是否满意的机构裁量权相结合,并在终止后立即产生后果。

说明理由期是有意义的。它可以纠正错误的身份、过时的联系数据、付款错误、继受混同或基于第三方行为的指控。其价值取决于决策记录。申请者能否收到证据?拒绝回应的理由是否书面告知?是否存在能够中止后果的独立途径?决策者是否区分可纠正的行政失误与欺诈或蓄意滥用?注册机构在出错后是否恢复所有受影响的服务?

免责措辞加剧了回答这些问题的必要性。一个保留高影响权力的体系,若同时控制证据、决定回应是否满意并免除责任,便将风险集中在了持有者身上。适用法律或许会限制免责声明的效力,但合同不应依赖诉讼来提供全部的相称性。

AFRINIC 的制度困难也使连续性无法被忽视。撤销理论通常假定一个稳定的注册机构在评判一个不稳定的成员。治理还必须检验反向情况。如果注册机构自身的公司能力、系统或领导层受到质疑,谁可以行使严厉权力?哪些记录被保存?谁可以维护服务?一个完整的权力来源说明必须包括继任,而不仅仅是执行。

LACNIC:一个分阶段的公开流程,带有一项罕见例外

LACNIC 的资源撤销与返还政策使用了五个例子中最明显的分阶段流程。英文文本列出了若干理由,包括未使用或未按规定宣告的资源、陈旧的反向解析或注册数据、未经授权的转让、重复违反政策、合同性违约(包括未付款或文件欺诈),以及已消失或不回应的组织。它同时提出,当违规由第三方在接收者不知情的情况下造成,且不存在共谋或疏忽时,不应启动流程。

政策要求联系和纠正。如果问题未得到规范,资源可以被公示最多三个月。两个月后,指定的 NS 记录可以被移除。三个月后若仍未纠正,资源被回收,持有者记录被删除。理事会可以为关键战略性基础设施或自然灾害、政治不稳定等特殊条件而延长时限。

这些细节显示出对纠正和运营后果的关注。第三方保护阻止了自动惩罚。战略性基础设施的例外承认,一个在形式上有理由的决定,可能在社会上不成比例。分阶段期限给了对手方和持有者做出回应的时间。

同样的文本也引出了宪制问题。英文页面警告说,西语版本为准。读者需要权威版本和修订历史。哪项政策提案引入了各个理由?什么选民群体批准了它,参与程度如何?公示前需要什么证据?公示本身是否是一种可能造成商业损害的负面行为?移除 NS 记录前存在何种审查?理事会的例外权力如何受限和报告?

LACNIC 还表明,撤销不是一个片刻,而是一个序列:检测、确认、联系、公开标识、服务变更、记录移除以及后续的重新利用。正当程序应当在伤害开始的阶段便介入,而不只是在最终的数据库变更时。如果公示或 NS 移除即刻造成损害,三个月后才可提出的挑战并非完整的救济。

ICANN 的认可并非缺失的授权

当区域合同的历史变得难以厘清时,制度论述往往向上移动。RIR 获得了认可;它履行全球协调系统中的一部分职能;因此它必须拥有管理资源所需的权力。这种推理将身份转化为了未明确的授权。

ICP-2,新 RIR 的设立标准,是一项重要证据。它涉及社区支持、自下而上的自治、中立性、技术能力、资金和连续性。依据这些标准获得认可,可以解释为何一个机构被接受为一个区域的 RIR。它并未罗列该机构可以终止成员协议、移除反向 DNS 数据或撤销注册权利的每一项理由。

认可可以支撑信赖。其他机构可以与获得认可的 RIR 进行协调,不必在相互冲突的记录之间做选择。这一实际效果是重大的。但一项认可文书不应被赋予成员合同的功能。它不指明受影响的持有者、违约行为、通知、上诉、责任或个案层面的救济。

同样的限制也适用于2019 年 ASO 谅解备忘录。该谅解备忘录架构了地址支持组织的关系和全球号码政策角色。它与 ICANN 和 RIR 体系如何协调相关。它并不是一份区域执行权力的清单。ICANN 参与全球政策结构,并不证明它批准了每一家 RIR 使用的每一项撤销条款。

这种区分保护了所有各方。ICANN 不应继承文件并未分配的责任或权力。RIR 的合同权力不应被错误描述为来自 ICANN 的指令。成员应当知道是哪个机构制定了他们所面对的规则。明晰的归属是问责的条件。

技术层级不是空白支票

RFC 7020将互联网号码注册体系描述为以 IANA 地址分配职能为根基的层级体系,RIR 服务区域社群,本地注册机构服务客户。它明确的管理目标包括唯一性、注册、聚合和节俭。它还叙述了区域责任的发展过程。

这些目标解释了为何不准确或被遗弃的记录事关重大。如果同一地址空间被视作可供冲突的持有者使用,唯一性就会受损。注册质量可因虚假数据而受损。节俭可以支持依据授权规则回收真正未使用的资源。聚合可能受到碎片化和运营变更的影响。

然而,一份信息性的 RFC 并不是一份通用的终止条款。它描述的是架构和目标。它并不指明双边协议的管辖法律、建立损害赔偿救济或指派裁决者。技术层级确立了功能发生的位置;它并不回答执行这些功能的机构所面临的每一个法律问题。

IANA 号码资源页面同样描述了全球地址池的协调以及根据全球政策对 RIR 的分配。它有助于识别顶层服务。它并不说 RIR 认为有用的每一项权力都由 IANA 授予。这样的主张也不能解决成员的同意问题,因为成员未必是管辖 IANA 服务的文书的当事方。

当每一层只声称自己的权力时,制度的合法性才最为牢固。IANA 可以描述全球地址池管理。ICANN 和 ASO 可以描述全球政策角色。RIR 可以描述其公司权限、合同和区域政策程序。成员可以接受界定的义务。法院和仲裁机构可以适用管辖法律。把整个安排称为“管理责任”或许方便,却不应模糊这些分开的桥梁。

成员投票支持了一些事,但支持了哪些事?

本文的标题是刻意挑衅的。RIR 的成员确实在投票。他们选举董事或理事会成员,批准宪制事项,在某些体制中还会批准协议或费用。公开政策社群也进行讨论,并就资源规则达成共识。说所有严厉权力都是在没有参与的情况下出现的,是错误的。

更难的问题是,投票实际涵盖了什么。选举一个理事会未必等于批准日后的每一项执行理由。批准一部章程未必等于同意每一项员工规程。参与政策论坛不等于签署一份合同,而签署一份合同又不等于代表下游客户。就广泛的管理目标进行投票,并不自动授权任何被认为是服务于那些目标的手段。

一份批准记录应当指明所表决的命题。成员是否投票通过了确切的协议文本?理事会是否依据一项明确的授权权力通过了规程?公开政策流程是否批准了实质性的理由,而管理层仅是实施了通知机制?修订是否具有预期性?既有持有者是否获得了退出或过渡的机会?有多少符合条件的成员参与了?是否披露了利益冲突?解释性文件是否说明了某一变更可能导致注册权利的终止?

这些不是要求全体一致同意。公司制度和协会制度通常通过有效多数或指定机关来运作。要求的是可追溯性。理事会可能有权做决定。如果是这样,注册机构应援引授予该权力的条款,并公布该决定。社区流程可能对区域政策具有权威性。如果是这样,政策应链接到提案和共识记录。合同可能允许修订。如果是这样,修订的途径和通知应当是可见的。

“无人投票创造”这个说法,描述的是文本积累的风险:一项严厉后果可能从多个各自为较窄目的而批准的条款的相互作用中浮现。解药不是假装参与从未发生过,而是确切表明,如今行使中的整个权力,是在哪里获得了批准。

纳入的文件可以移动扳机

标准协议通常会纳入政策和程序。这是实用做法。号码管理会随时间变化,注册机构无法为每一次技术更新都与每一位持有者协商一份新的签署合同。纳入使得共同规则可以演进,同时保持稳定的服务关系。

这也形成了一个宪制枢纽。撤销条款或许保持不变,而被纳入的文件却可能扩大其违约即可触发的义务。一项新的报告义务、审计要求、转让限制、安全要求或数据标准,可以通过现有的遵守承诺,变为终止的扳机。严厉权力在扳机处而非救济条款处增长。

当文本冲突时,优先级条款有所帮助,但不会回答扩张的问题。一项广泛遵守政策的义务与一项新政策之间可能并不存在矛盾。问题在于,采纳该政策的机构是否被授权就该事项使持有者面临终止的风险,以及持有者是否收到了充分的通知和审查。

一个可辩护的纳入模型,将实质性变更与操作性变更分离开来。暂停、终止或记录移除的实质性理由,应当要求与严厉权力本身相同级别的批准,或要求批准机构的明确且有边界的授权。操作性细节在不改变风险暴露的情况下,可以通过更快的程序进行。每一项变更都应说明它属于哪一类以及为什么。

版本管理必须不仅仅是在当前 PDF 上放置一个日期。持有者应当能够检索到所指控的违约日期时生效的准确协议和纳入的文件。注册机构应提供红线对比、生效日期、批准链接和过渡规则。否则,双方就可能根据今日的文本争辩昨日的行为。

相称性始于分离后果

即使一项权力已获完全授权,也可能被行使得不成比例。五个体系包含了警告、纠正、暂停、终止、注销、记录移除、停止服务和重新利用的不同组合。将它们视为单一惩罚,便妨碍了有校准的决策。

逾期费用或许更适合限制成员权益,而不是移除长期信赖的注册数据。虚假身份文件可能比一个过时的联系方式字段,引发更快和更严厉的反应。有争议的转让可能需要维持现状,而非立即返回地址池。一个不相关的下游客户的行为,不应自动归咎于持有者。关键基础设施即使持有者违约,也可能需要连续性安排。

相称性需要一个公开的阶梯。决策者应明确目标、证据、可用的较轻措施、预期的运营影响、第三方影响、纠正机会以及选择所选后果是必要的理由。该阶梯应区分可逆的服务限制和不可逆的再分配。它应说明何时紧急情况允许加速,并要求事后审查。

LACNIC 对关键战略性基础设施的例外,是承认这一问题的一个表现。它不应在概念上保持孤立。每一家 RIR 都应当知道如何处理医院、公共安全网络、关键交换基础设施、政府服务和大型客户依赖,同时不给重要运营商以豁免权。重要性并非违约的辩护理由,但与过渡有关。

相称性也约束公开言论。在裁决前将一项指控称为欺诈,可能对运营商造成的损害超出注册机构行为本身。公开的回收名单在运营上可能有用,但应准确地表明状态,并提供纠正。记录管理者的信誉取决于对资源和人的精准。

没有中止的上诉可能到来得太迟

每一项现有的保护措施,都应当对照时间来评估。APNIC 提供执行委员会上诉。ARIN 为争议指定仲裁。RIPE NCC 有既定的冲突程序。AFRINIC 提供说明理由期。LACNIC 提供分阶段的纠正期。这些都是实质性的保障。

但一项救济可能在形式上可得而在实质上无效。如果持有者必须立即停止使用,记录在审查前就发生变更,RPKI 材料失效,或对手方终止了合同,后来的胜诉也可能无法恢复原有地位。网络的信任可能比裁判庭发布一份有理据的裁决消失得更快。

关键的保障是中期救济。提出每一项投诉,不应自动冻结一项正当的应急响应。然而,当事方应当能够根据一项公布的检验标准,向独立的决策者申请中止:问题的严重性、不可挽回损害的风险、效果的平衡、公共利益、证据保存和安全风险。审查者应当能够在施加条件(例如托管费用、限制转让或更新联系人)的同时,保留核心注册地位。

独立性同样重要。一个内部理事会可以了解机构并快速行动,却可能监督其决策受到审查的员工团队。仲裁可以提供距离,但费用和程序复杂性可能吓退小型运营商。法院提供公共权威,却可能缓慢或地理位置遥远。一个分层的体系,可以将快速的独立中期审查与后来的仲裁或诉讼结合起来。

在隐私允许的情况下,决定理由应以匿名或编辑后的形式公布。没有结果,成员便无从知道上诉究竟是纠正了错误,还是仅仅确认了初步决定。注册机构也无法展示一致的对待。一项不留任何判例的救济,也允许同样的模糊情形再度发生。

责任是权力的一部分

权力与责任经常被分开讨论。它们本属一体。一个声称有权施加严厉后果的机构,应当说明当它出错时会发生什么。广泛的免责对于大规模执行的技术协调或许可以理解,但将风险完全转移,会减损认真调查和迅速恢复的激励。

错误导致的损失可以是多种多样的:工程时间、紧急重新编号、客户赔偿、丢失的交易、安全修复、专业费用、声誉损害和重建注册关系的成本。并非每一项损失都应当自动获得赔偿。因果关系可能复杂,对手方做出独立选择,无限制的风险暴露可能威胁注册机构的存续。

这并不能为沉默辩护。一个平衡的制度可以区分一般过失、重大过失、恶意和依法强制行动。它可以为特定的金钱赔偿设定上限,同时保留不设上限的恢复义务。它可以要求迅速纠正记录、重新发行服务、通知对手方并保存历史证据。它可以维持保险或连续性储备金。

责任也约束条文的起草。如果一个注册机构认为,自己即使做出不受支持的撤销也无需承担责任,那么宽泛的语言就更容易被采纳。如果董事和成员必须考虑恢复成本和独立审查,他们就更有可能界定证据和范围。

关键不是要把每一个注册纠纷都转化为损害赔偿诉讼。有效的非金钱救济或许更为重要。关键在于,持有者不应承担所有的运营风险,而注册机构却保留所有的解释裁量权。管理责任是关于负责任的主张,而不仅仅是控制。

替换是撤销中被忽视的一半

撤销讨论聚焦于替换持有者。制度合法性同样需要一个替换服务提供者的计划。ICP-2 将连续性视为区域注册机构的一个重要特征。然而,当前的公开解释,往往在 RIR 如何移除一个成员上远为清晰,而在更广泛的体系如何替换一个不再能履职的 RIR 上,却语焉不详。

一条完整的替换路径,应当指明决策者、门槛、证据、通知、临时代理运营商、数据保管、加密连续性、反向 DNS、账户迁移、合同继承、争议处理和对继受者的承认。它应当在保护记录唯一性的同时,保护成员免受相互冲突的主张。它应将临时技术援助与永久制度替换区别开来。

这对撤销权力的来源很重要。如果一个 RIR 的权力是由认可和运营必要性所正当化的,那么失去该角色的条件,就揭示了这一正当化的边界。一个永远不能被转移的角色,开始类似所有权。一个拥有既定继受程序的角色,看起来更像管理责任。

成员在这一讨论中应当有发言权,因为他们承受着过渡风险。ICANN、IANA、NRO 和其他 RIR 可能有协调角色,但这些角色应当在已经签署的文书中陈述,而不是在危机中推断。政府可能承担公共利益的责任,却不必成为注册运营商。技术连续性应当在制度失败之前就已设计好,而不是事后临时拼凑。

同样的原则也适用于持有者层面。当资源被回收时,注册机构应说明它们是否以及何时可以被重新发放,如何处理冲突的路由宣告,哪些历史数据保持公开,以及如何通知下游用户。没有替换计划的撤销,可能将一个问责措施变为协调冲击。

对现行体系的最有力辩护

为 RIR 辩护的公平论点相当有力。它们通过私法机构管理全球唯一的资源,这些机构在数十年的增长中一直保持运营。它们公布协议和政策,维护成员结构,在许多情况下提供通知和纠正,并且比许多基础设施提供商公开更多的规则。撤销权力解决真实的问题:遗弃、欺诈、未付款、记录不准确、未经授权的转让以及持续的政策违反。

没有一个全球立法机构能够轻易裁决每一个区域注册争议。条约体系可能更慢、更政治化,且技术上更不内行。合同和社区政策可以适应新的安全和运营风险。成员选举和公开流程提供的同意形式是真实的,即便它们并非普选。法院在管辖地法律下仍然是可用的。

不存在单一的创立投票,未必是致命的。制度通常逐步发展。公司机关接受广泛的权限,并随条件变化而采纳更详细的规则。持有者在收到通知后重新续约。信赖和反复的接受可以强化既定的期待。

但这一辩护支持文档化,而非不透明。如果这些权力是合法的,沿革记录便会显示这一点。如果修订途径是有效的,公布投票和红线对比便能证明它们。如果救济是有效的,匿名的数据将增强信心。如果广泛的裁量权很少使用且通常被纠正,足够的分母便能防止例外案例扭曲辩论。

目前的体系不需要一个原始公共委托的神话来为有益的协调正名。它需要一个诚实的私人权力说明:公司权限、合同、成员批准、政策参与、运营依赖和管辖地法律审查。这份说明在保持有边界的同时,可以是强有力的。

一份撤销授权记录

每一家 RIR 应当在现有协议旁边公布一份撤销授权记录。该记录应当被设计为让成员、法院、网络运营商和政策参与者能够阅读,而无需重建该机构的整个档案。

首先,它应指明行使权力的法人,以及分配权限的公司条款。其次,它应列明每一类受影响的持有者:成员、非成员、遗留持有者、经由 NIR 的接收者、继受实体、政府机构和破产实体。第三,它应罗列每一个实质性理由及其首次出现的文件。

第四,它应链接每一项修订至提案文本、红线对比、批准机构、会议、投票或共识记录、生效日期和过渡规则。第五,它应描绘从指控到通知、证据披露、回应、纠正、中间措施、最终决定、记录变更、服务影响、上诉和恢复的整个序列。第六,它应说明上诉是否中止任何步骤,以及谁可以授予中期救济。

第七,它应区分合同后果与技术及第三方影响。第八,它应指明管辖法律、法院地、责任限额、保险和恢复承诺。第九,它应提供按理由和结果分类的匿名年度统计。第十,它应说明机构的替换和数据连续性计划。

这一切都不需要披露保密的成员数据或安全敏感的方法。聚合和编辑可以在保护这两者的同时做到。那些不能在不牺牲合法性的情况下保留的东西,是权力本身的宪制架构。

该记录应当版本化并进行加密存档,提供稳定链接。仅是当前的摘要并不足够,因为争议关乎过去。历史的准确性是正当程序的一部分。

证据仍然无法告诉我们什么

官方文本支持对正式结构进行自信的比较。它们并未提供一个可靠的经验分母。我们无法从一套共同数据集中得知,每家 RIR 每年发起了多少次警告、暂停、终止、注销或撤销;多少次被纠正;多少次被上诉;多少次申请了中期救济;多少次决定被推翻;或者哪些理由产生了最多的争议。

我们还缺少一份完整的合同类别公开图谱。一份标准协议或许不会以相同的条款管辖每一位遗留持有者、NIR 参与者、非成员接收者、继受者或公共机构。历史版本至关重要。2025 年的一条条款,不能解释由多年前签署的表格管辖的争议,除非修订途径有效地将其推至前台。

运营影响也很难衡量。一次注册记录变更并不机械地决定路由,但对手方可以根据注册数据、路由起源授权、反向 DNS 和尽调信号采取行动。案例研究需要跨越通知、记录、RPKI、路由宣告、客户影响和恢复的时间戳。公开文件很少提供那样连在一起的时间线。

最后,法律有效性不能仅从公布的事实中推断。管辖法律可能限制裁量权、免责声明或程序。法院或裁判庭或许会对某一条款做狭义解释。成员可能放弃或和解某项诉求。在缺乏判决的情况下,人们不应宣称每一则条款都是可执行或无效的。

这些不确定性应当缩窄结论,而不是终止探究。文件证明了严厉权力以实质上不同的形式存在。缺失的证据证明了它们的历史和表现,对一个自信的、全体系的声称而言,还不够透明。

权力应当留下踪迹

互联网号码注册机构需要纠正权力。它们必须处理虚假记录、被遗弃的组织、未履行的义务、未经授权的转让和严重的政策违反。问题不在于每一项注册是否必须永远存续,而在于一项具后果性的机构权力,是否可以从起源到救济得到检验。

答案不应取决于对技术必要性的尊崇。它应当可见于文件之中:一个有资格的主体、一项受约束的授权、一个指明的接收者、精确的理由、有效的修订途径、证据标准、相称的后果、独立的审查、对错误的责任和一项替换计划。每一步都应当向后指向批准,向前指向恢复。

APNIC、ARIN、RIPE NCC、AFRINIC 和 LACNIC 已经公布了这一架构的重要部分。它们之间的差异是有信息量的。它们表明撤销是被设计的,而非必然的。上诉可以是内部的或仲裁的。纠正期可以是立即的、30 天、60 天或分阶段的。遗留资源可以接受不同的对待。关键基础设施可以证明延期是合理的。纳入的政策可以被赋予更多或更少的权重。

正因为存在设计选择,责任便也存在。一本手册不能因为仅仅存在于网站上而获得宪制效力。一份合同不能仅仅因为续约方便便声称具有合法性。认可不能替代面向成员的授权。运营依赖不能因重复而变成所有权。

最可信的注册机构不会坚称其权力是不证自明的。它会公布那条踪迹。这条踪迹使成员看到自己接受了什么,使董事看到他们可以改变什么,使审查者看到他们可以救济什么,使更广泛的互联网得以区分管理责任与无边际的控制。