摘要

  • ICP-2 将技术专长列为十项基本认可标准之一。它要求具备生产级连接性、反向 DNS 功能、合适的基础设施以及足够的熟练员工,同时另外要求自下而上的治理、广泛支持、公正性、独立运营、公共政策、可审计记录和保密性。
  • 可靠的服务回答的是一个性能问题:注册机构能否执行既定的技术职能?它不能回答权威问题:谁可以决定,依据什么规则,代表谁,遵循什么理由、冲突、上诉和补救措施?
  • 认可应采用双重评估。技术能力必须通过不可协商的服务和安全测试,而制度约束必须通过另外的测试,包括权力范围、成员控制、平等对待、合理决策、独立审查、应急限制和恢复。一个方面的优势不得弥补另一个方面的失败。

绿色的状态页面只能回答一个问题

设想一家区域互联网注册管理机构(RIR)在治理争议期间。其目录服务响应正常。反向 DNS 委派继续工作。路由安全系统生成最新材料。工程师监控事件,资源持有者仍可验证身份登录成员门户。从运营商的直接视角看,这很有价值。网络不应仅仅因为董事、成员、诉讼当事人或法院对机构的控制权存在分歧就失去基本服务。

现在提出另一组问题。谁授权了一项有争议的资源决策?哪一项政策文本具有约束力?决策者是否存在利益冲突?受影响的持有者能否检查证据、作出回应并获得临时救济?小成员和大成员是否在已知规则下得到代表?治理机构能否推翻行政决定?如果董事会未达法定人数,什么有限权限允许服务继续运行,该权限何时到期?

无论正常运行时间多久,都无法回答这些问题。状态页面衡量的是可用性。它不能衡量合法权威、公平程序或代表性控制。工程师可能很出色,但机构却未为成员提供有效补救。一个技术精确的系统可能比运行不良的系统更可靠地执行机构专断的指令。能力可以减少意外错误,但无法限制有意识的或授权的权力。

这种区别很重要,因为 RIR 不是普通的软件供应商。它们维护权威性记录并执行行政行为,这些行为影响互联网号码资源的实际使用、转移、路由、反向解析和安全。它们的服务区域不重叠。感到不满的资源持有者通常无法仅仅通过更换供应商就转向竞争性的注册机构。因此,技术上的成功创造了依赖,而依赖则增加了对约束的需求。

认可的问题不在于技术能力是否重要——它不可或缺。一个无法保持准确记录或保障其服务安全的注册机构不应被赋予一个区域的责任。问题在于,仅有技术上的成功是否足够。ICP-2 本身的结构给出了否定答案。RIR 体系后来的历史以更大的声音说“不”。正确的标准必须在保护服务不中断的同时,让该服务背后的权力保持可见、受限制且可审查。

ICP-2 将能力置于十项一揽子条件之内

2001 年 ICP-2 文本描述了认可新 RIR 的十项标准,并声明其编号并不重要,因为所有标准都是必不可少的。技术专长作为第五项标准出现。候选机构必须证明具备生产级全球互联网连接、能够支持反向 DNS 委派的服务器、合适的内部基础设施以及足够数量、具备技术能力的员工,以提供适当的服务水平。

这些要求具体是有充分理由的。一个新的区域机构即使拥有热情的政治支持,但如果它无法交换注册信息、维护权威性服务或留住称职的运营人员,仍然可能是危险的。区域认同并不能替代可靠的工程。认可意味着从现有 RIR 转移实际的服务责任,因此候选机构必须证明这种过渡不会降低注册系统的性能。

但技术专长被其他条件所环绕。候选机构需要获得 LIR 和 ISP 的广泛支持。它需要开放、透明、自下而上的政策制定、公平代表、中立性、平等对待、非营利的独立性、与全球目标一致的政策、一项社区支持的活动计划、可行的资助模式、妥当的记录和保密性。技术运营只是一项制度安排中的一部分。

这种分离在分析上很重要。如果技术能力被认为足以证明合法性,那么其他标准就是多余的。相反,ICP-2 向同一个候选机构提出了不同的问题。它能运行服务吗?受影响的社区支持它吗?参与者能塑造政策吗?请求者会被公正对待吗?该机构是独立的吗?其行为可被审计吗?敏感信息会受到保护吗?一个候选机构可能技术能力合格,但若在其他方面的答案不充分,仍可能无法通过认可。

该文件声明每项标准都是必不可少的,这也就排除了补偿性评分。卓越的工程不能挣得可以在不平等对待上花费的分数。一个高度代表性的协会不能弥补不安全的运营。强劲的资产负债表不能成为记录缺失的借口。认可是由一组最低条件构成的,而不是一个平均值。

这种设计应该在现代化进程中延续。自 2001 年以来,具体技术已经改变,成熟的 RIR 面临着这份入门文件未能完全预见的问题。但其核心洞见仍然正确:能力和合法性是截然不同的。更新服务测试不应将周围的约束条件消解于其中。

AFRINIC 2005 年的评估展示了这种区分

支持 AFRINIC 获得认可的 IANA 评估逐项遵循了 ICP-2 标准。其技术部分语气坚定。它认为在生产级连接、反向 DNS 服务、内部基础设施和人员配备方面具备完全能力。它描述 AFRINIC 的运营“令人印象深刻,设计精良、执行到位,并由高素质的技术和运营人员组成”。

这种赞扬并未终结审查。在各自独立的章节中,IANA 评估了区域支持、政策制定、中立性、公正性、资助、记录和保密性。在自治方面,它审查了开放的政策程序、公共参与和年度会议。在中立性方面,它考虑了非营利的开放会员结构以及公开承诺的平等对待。在资助方面,它考虑了费用、孵化支持和走向独立的路径。在记录方面,它考虑了运营的可审计性以及英语可用性。

因此,该审查提供了一个有用的对照实例。同一评估者,在同一份文件中审查同一候选机构,将技术卓越视为技术准备就绪的证据,仅此而已。它并没有从名称服务器的高质量推断出广泛的社区支持。它并没有从准确的发票推断出公正性。它并没有从熟练的工程师推断出成员控制。每项主张都要求其自身的证据。

该文件还显示了技术援助与机构授权之间的区别。现有 RIR 在过渡期间培训了 AFRINIC 的员工,并交流了工程专业知识。它们的支持帮助新的注册机构达到了所需的服务水平。这种援助并未使这些 RIR 成为非洲资源持有者的政治主人。运营合作可以增强能力,但并不提供代表性。

这种区别在认可之后变得更加重要。在进入时,可以要求候选机构在责任转移之前进行改进。一旦一个注册机构服务于一个区域,运营者依赖于它的持续服务。如果治理失败,技术人员可能成为防止更广泛损害的人。把持续的服务当作不存在治理问题的证据是荒谬的,同样仅仅为了凸显治理问题而中断服务也是荒谬的。

认可标准反而应保留 2005 年所使用的区分。保护保持连续性所需的工程师和系统。依据其自身的证据来评估权威、代表权和补救措施。技术上的持续运行可以成为将服务与冲突隔离的理由,而不是证明该冲突合法的理由。

AFRINIC 后来成为现实世界中的区分测试案例

AFRINIC 后来的历史表明,技术服务与功能性治理可以长期偏离。NRO 2023 年 9 月的声明对指定一名官方接管人表示欢迎,并将恢复董事会和首席执行官描述为功能性治理所必需。在同一份声明中,NRO 感谢 AFRINIC 员工在困难情况下维持了持续运营和服务。

NRO 2024 年 10 月的公告再次表示,尽管通往选举和恢复治理的路径仍在继续,但员工已维持了运营。ICANN 的2025 年 3 月更新明确提及了一场持续的治理危机、一位法院指定的接管人,以及恢复功能性治理和运营的任务。这些官方声明均未声称所有技术服务都已崩溃。它们的关切存在于服务连续性之侧。

这种组合应该约束我们的分析。从治理危机推断每一名 AFRINIC 工程师或系统都失败了,是不准确的。同样,从持续运营推断治理结构是健康的,也是不准确的。官方行为者本身就将员工的专业精神和可靠服务与悬而未决的制度状况区分开来。

这并非 AFRINIC 独有。许多关键机构在领导层空缺、诉讼或宪法争议期间仍能保持产出。核心专长、自动化、职业规范和重复程序提供了惯性。这种惯性在短期内是一种公共福祉。然而,随着时间的推移,它可能掩盖被推迟的决策、精疲力竭的员工、未经审查的紧急权力和弱化的问责制。

对于 RIR 而言,持续运行尤其可能,因为其日常任务大部分是专门且可重复的。当董事会席位空缺时,现有注册并不会消失。已发布的数据可以保持可用。一个熟练的团队可以遵循既定政策。供应商在现有合同下继续工作。收费关系持续存在。该机构可能从外部看是稳定的,因为最可见的产出变化缓慢。

治理风险出现在例外情况中:一项有争议的撤销,一次涉及冲突主张的转移,对敏感成员记录的访问,一次使用机构联系数据的选举,一项紧急安全变更,一份约束未来成员的协议,或者一项重新分配裁量权的政策解释。这些行为需要合法的权威和审查,而不仅仅是操作技能。

因此,AFRINIC 提供了一个有价值的反面证据。一个运行中的服务不能被用作机构合规的万能指标,因为当 NRO 和 ICANN 公开确认治理恢复尚未完成时,服务仍然在继续。这两个变量可以独立变动。认可必须同时衡量两者。

技术能力能证明什么

一项严格的技术评估能够证明很多东西。它可以显示注册机构是否维护了全球可达且适度冗余的服务。它可以测试注册记录的准确性、完整性和可恢复性。它可以检查反向 DNS 运营、路由安全系统、访问控制、事件响应、变更管理、监控、容量和员工覆盖。它可以衡量服务水平,并审查该 RIR 是否使用可互操作的标准。

评估还可以测试直接支持工程的组织实践。特权操作是否隔离并记录?备份是否可以恢复?在注册机构自有网络之外是否存在独立监控?关键系统是否有文档记录?另一支合格的团队能否在受控条件下操作它们?供应商依赖是否已知?该组织是否保留了足够的人员以避免单点人为故障?安全事件是否被调查和报告?

这些发现不是装饰性的。它们直接关系到资源持有者能否依赖该注册机构。一个章程完美但记录毁损的机构在实践中是不合法的。一个代表性极其良好的政策论坛无法弥补一个不安全的签名系统。技术失败可能造成武断的结果,因为不准确的数据和不稳定的工具使平等对待成为不可能。

技术证据还可以证伪某些治理主张。如果一位主管说一项有争议的行动是系统设计所迫使的,日志和配置或许能显示是否存在其他选择。如果注册机构说一次中断不可避免,外部监控可以检验其时间线。如果一项资源决策据称遵循政策,实施记录可以显示系统应用的是哪条规则和哪个版本。运营证据使权威变得可审计。

其局限在于推断。可靠的系统证明,在观察期内,人员和管控产生了可靠的系统。它们不能证明进入这些系统的每一项指令都是合法的、公平的或具有代表性的。日志能显示谁更改了记录;但它本身不能表明该人是否拥有合法权力。一份服务水平报告能显示快速完成;但它不能表明受影响方是否收到了通知或上诉渠道。一次渗透测试能显示抵抗入侵的能力;但它不能显示抵抗制度俘获的能力。

因此,认可档案应将技术证据用于它所能支持的命题。它不应将合法性的光环附加到工程成功上。精确始于拒绝用某种形式的证据去回答另一个不同的问题。

能力不能确立什么

技术能力不能确立权力的边界。一个 RIR 需要权力来分配资源、维护记录并应用政策,但该权力的范围必须来自公共规则、协议、公司文件以及相关社区的合法决定。工程师可以在边界被定义之后予以实施。其实施能力并不能创造边界。

能力不能确立平等对待。一个系统或许能一致处理相同的输入,但是机构却决定接受哪些证据、哪些案件获得加急处理、运用何种政策解释,或者哪位成员获得例外。对带有偏见的规则的一致执行依然是带有偏见的。审查者需要案件筛选、理由、对照数据和上诉结果,而不仅仅是服务平均值。

能力不能确立补救措施。一个服务台可以纠正打字错误或恢复一个账户。制度补救则询问受影响者能否在一个独立机构面前,对底层决定提出质疑,该独立机构有权暂停、撤销或赔偿该决定。快速的工单关闭不等于正当程序。一项技术精巧的回滚功能并不构成上诉,如果同一位官员决定是否可以使用它的话。

能力不能确立代表性。熟练的员工可能比大多数成员更了解路由、资源政策和区域运营。专业知识赋予他们意见分量;这并没有赋予他们成员的投票权。ICANN 员工、同级 RIR 高管、顾问和应急运营者同样如此。知道如何运行服务,并不等于被授权决定该区域的制度未来。

能力不能确立紧急情况下的约束。移动记录、变更凭证或重定向服务的能力,正是为何紧急权力需要范围、期限、日志和审查的原因。一个能干的运营者可以更快地做更多好事,但也可以做出更广泛的不可逆变更。行事的技术能力加强了对该行为进行法律控制的需求。

最后,能力不能仅通过结果确立合法性。资源持有者可能继续接受服务,因为无法转换,因为他们害怕中断,或者因为员工在薄弱的治理下仍保持专业。持续的支付和使用是依赖的证据。它们未必是对每一项制度安排的同意。

这些局限并非贬低工程师。它们保护工程师免于被用作其未授权的决定的宪法掩护。一个精心设计的机构让技术人员能够指向有效的授权,记录其实施,并将可疑指令上报给独立渠道。

技术系统也是权力的工具

不应将技术与治理之间的区分错认为一道墙。RIR 的权威是通过技术系统来行使的。一条注册记录可能影响交易对手如何评估对一个地址块的控制。路由安全材料能影响路由接受。反向 DNS 管理影响与地址空间关联的名称。身份验证系统决定谁可以提交请求或通过成员渠道投票。联系记录能够塑造通知和参与。

因为这些系统承载着机构决定,技术设计可以限制或集中权力。对敏感变更的双重授权减少了单边行动。不可篡改的日志支持事后审查。策略版本标记显示哪条规则驱动了一项决定。案件调查、批准和实施之间的分离限制了利益冲突。时间有限的凭证约束了紧急访问。外部监控使悄悄的服务变更更加困难。

然而,如果没有制度规则,这些控制依然是不完整的。两名员工可以共同执行一项未授权的指令。一份不可篡改的日志可以保存一项不公平行为的证据,却不提供补救措施。策略版本标记只有在策略被有效采用且解释可审查时才有帮助。管理层内部的职责分离不能取代治理机构和成员的监督。

最危险的认可捷径,是将技术控制视为自我证成。如果注册机构保管记录且有能力运行服务,它似乎就持有做出决定的权力。这颠倒了关系。托管是因为权威已在别处确立。托管人的能力是信任的条件,而非权力的来源。

这在制度过渡期间至关重要。一个临时运营者可能接收保持基本功能所需的记录和凭证的副本。这些能力不应赋予该运营者永久控制权、对当地实体的所有权、更改区域政策的裁量权,或对继任者遴选的投票权。技术交接与制度继承是不同的决定。

一项现代标准应使这种区别体现在系统权限中。紧急角色应对应于所列举的服务。高影响行动应在运营者之外得到有文件记录的授权。数据访问应最小化并受审计。任命结束时,凭证和副本应在独立监督下进行核对。技术设计应体现该授权的临时性质。

因此,制度约束并非良好工程的替代品。它是一项要求,要求工程使权力可追溯、可限制,并在可能的情况下可逆转。

第一项约束是公开的权力地图

每一个获得认可的 RIR 都应维护一张公开的重大权力地图。地图应标明哪个机构采纳号码资源政策,哪个机构在个案中解释政策,哪些员工执行决定,哪个机构监督管理层,哪个机构处理利益冲突,哪个论坛审查不利决定,以及哪个行动者可以行使紧急权力。它还应标明每项权力的法律或合同依据。

该地图应区分日常服务与例外行动。依据既定政策处理一项完整的请求,不同于暂停访问、撤销注册、披露受保护的信息、更改选举记录或将服务移交给另一运营者。例外权力需要更高的授权门槛、理由和审查。

权力地图减少了分布式互联网机构中反复出现的模糊性。ICANN 协调唯一标识符并认可 RIR;RIR 通过 NRO 合作;每个 RIR 根据国内法设立;成员依据区域规则选举治理机构;技术人员运营共享系统。若干行为者可能拥有合法利益,但利益并非权力。一份地图能防止一种协调关系被悄然转化为命令。

该地图必须包括“负面空间”。它应说明 ICANN 不能决定什么、NRO 不能决定什么、RIR 管理层不能单独决定什么、临时运营者不能变更什么,以及哪些事项仍留给国内法院或成员。当行为者不仅能指向授权,还能指向排除时,制度约束才变得真实。

对地图的变更,应要求与被变更的权力同样层级的合法性。一份内部手册不应扩张一份公共政策中狭窄定义的权力。一份服务协议不应在没有有效修正路径的情况下取代成员权利。紧急通信不应仅仅因为是在压力下发出的,就成为一项永久的权威来源。

然后应根据该地图对技术系统进行审查。能按下按钮的人是否具备所述授权?系统是否要求审批证据?日志对审查者是否可用?一名特权管理员能否绕过一项制度保障措施?这正是技术审计与治理审计富有成效地汇合之处。权力地图提供规则;系统提供实施证据。

认可应要求提供这张地图,因为关于谁可以行事的模糊性本身就是一项连续性风险。在危机期间,每耗费一分钟来争论基本权力,就既延迟了补救,也延迟了服务保护。

理由与对照使一致性转化为公正性

一个 RIR 可以报告它在目标时长内完成了请求,却依然让外部人士无法判断公正性。速度平均值掩盖了哪些案件被接受、拒绝、升级或和解。为测试制度约束,重大决策需要附上依据一项公共规则的理由,以及足够的对照信息,以识别不一致的对待。

给出理由应适度相称。日常批准不需要司法论文。一项限制资源持有者、拒绝重要证据、偏离先前解释或更改注册记录的决定,应指明规则、重大事实、结论、决策者、冲突和审查路径。可以在不将公开解释缩减为一个结论的前提下,保护机密信息。

对照因素同等重要。中立的软件可以应用它所接收到的任何分类。审查者需要知道,处境相似的持有者是否得到了相似的程序和结果。这要求决策依据的结构化记录,而不是暴露每位客户的敏感数据。一位独立审计员可以测试样本并发布关于差异、例外和撤销的汇总结果。

这是技术能力可以服务于约束的一个地方。良好的案件系统可以要求一项政策引用、记录每一个批准步骤、标记例外、保存在效版本,并生成保护隐私的对照报告。糟糕的系统将决策遗留于电子邮件之中,模糊谁更改了记录,并使平等对待的验证成本高昂。

机构仍必须决定,当不一致出现时该怎么办。一项技术发现应导致纠正、通知受影响方、审查类似案件,并在必要时予以赔偿或恢复。没有补救,审计就变成了历史描述。

通过 ICANN 获取的2024 年 12 月 ICP-2 实施与评估程序将中立性转化为平等服务和公正对待,同时将技术能力作为单独的要求。它们还将记录保存保留为运营审计的基础。即便更广泛合规模型的细节仍存争议,这种分离也是有用的:平等必须通过决策和记录来证明,而不能从服务的可用性推断得出。

一个公布理由和对照证据的 RIR 并不会削弱运营权威。它表明,权威是作为一种托管职能而非个人裁量权来行使的。

补救是一项运营要求

机构通常将争议解决置于运营质量之外。工程师运行服务;律师处理投诉。对于 RIR 而言,这种划分是误导性的。一项未纠正的制度错误可能如技术故障一样后果严重。因此,补救应以与事件响应同等的严肃性来设计。

一个可信的补救拥有接收路径、确认时间、证据标准、独立的决策者、维持现状的权力、经过推理的结果、纠正机制和发布规则。它区分紧急的服务恢复与最终解决。它在允许受影响方答辩案情的同时,保护机密材料。它记录撤销决定,以免相同的错误重复出现。

独立性必须具有功能性。一个由其所审查决定的主管随意挑选和罢免的审查小组,可能只是名义上独立。该程序需要冲突检查、受保护的任期或个案指定的任命规则、透明的遴选,以及约束运营团队的权力。成员应知晓审查是内部的、仲裁的、公司的、司法的,还是某种组合。

临时救济尤其重要,因为技术上胜任的执行可能使损害立即发生。如果注册机构在审查前更改了记录或凭证,后来的上诉可能形同虚设。补救系统应识别哪些行动自动暂停、哪些需要表明可能造成损害、哪些由于全球安全面临风险而不能暂停。紧急例外应及时接受事后审查。

补救指标应伴随着服务指标。该组织可以公布投诉量、决策时间、维持或修改的比例、重复错误的类别以及纠正行动的完成情况,而不披露受保护细节。若成员缺少可用渠道,一项零投诉的主张应引起审查。

技术团队需要在此设计内部得到保护。如果一项指令看起来与政策或授权不一致,员工应有一条上报路径。上报不应要求他们成为公开举报人或独自裁定法律问题。当一项不紧急的重大行为在授权被核查期间,机构应能够予以暂停。

当一家注册机构能够行动却无法自我纠正时,它并非完全运营。认可应将审查和纠正视为可靠服务的一部分,而非可选的治理装饰。

代表性不能从使用中推断

RIR 常自称为社区驱动。这个短语可能掩盖数个不同的群体:投票成员、资源持有者、网络运营商、政策参与者、政府、民间社会、技术专家和互联网用户。技术能力并不解决哪个群体授权哪个决定的问题。

服务使用是一个特别薄弱的代理指标。资源持有者可能继续使用一家 RIR,因为区域注册是围绕着一家机构构建的。他们的付款表明他们需要服务并遵守费用安排。这未必表明他们认可某项选举设计、某项主管层的解释或某种外部干预。退出受到太多限制,以至于无法承载它在普通竞争市场中所具有的含义。

会议参与也是不完整的。能够参加区域会议或关注专家邮件列表的人,可能关联度异常高、资金充足或精通工作语言。他们的专业知识是有价值的,但可见的参与不应悄然取代更广泛的合格群体的权利。分母与授权至关重要。

代表性应在每一层级得到检验。政策制定需要开放的参与、有记录的共识评估以及为未解决异议提供的路径。法人治理需要准确的选民名册、公平的提名、中立的管理、冲突控制和填补空缺的合法方法。例外服务决定需要通知和个别补救。全系统的变更需要证据,证明区域和全球利益均被听取,却又不允许同级机构自命为受影响的社区。

技术平台可以通过安全的身份验证、可审计的投票、平等的信息获取和参与记录的保存,来支持这种合法性。它无法决定选举权是否公平、附属投票是否均衡,或者治理机构是否反映该区域。这些都是需要公共规则的制度判断。

因此,认可应当拒绝“持续使用即表明同意”的论证。它应询问谁有权参与、权力如何验证、成员能影响哪些决定、存在哪些参与障碍,以及异议如何被记录。一个技术卓越但代表性结构封闭或被俘获的注册机构,仍然是制度上存在缺陷的。

紧急能力需要更强而非更弱的约束

危机奖掖速度。一起安全事件、一个无法运作的董事会、一个受限制的账户或一个受损的数据集,可能要求在常规会议能够召开之前采取行动。拥有所需技能的运营者应能够保护服务。然而,紧急能力正是权威最可能在未经明确同意的情况下扩张的节点。

一项有效的紧急授权应明确规定触发条件、决策者、覆盖的服务、被禁止的行为、报告义务、最长持续时间以及续期或终止的路径。它应区分维持与转型。保持目录和反向 DNS 服务可用属于维持。重划服务区域、改变实质性分配政策或决定永久性继承,则属于转型。

该授权应遵循最小权力原则。给予临时行动者足以防止已识别损害的最小权限集合。凭证应自动过期。重大更改应被记录并独立审查。当紧急行动者是另一家 RIR 时,应披露采购和战略冲突;技术团结不应成为通往制度整合的未经审查的路径。

退出是设计的一部分。临时运营者必须能够归还记录、核对变更、关闭特权访问,并解释未决案件。恢复后的机构或合法继任者应收到一个经过验证的状态,而非一项在例外控制下演化出的不透明服务。成员应知晓由谁决定紧急状态已结束。

NRO 的RIR 治理文件第二版草案将性能和连续性与法人治理、成员选举控制、透明度、公正性以及针对不成比例影响力的控制分开。它还描述了紧急运营者和转移就绪。该结构正确地否定了认为运行服务的能力即赋予其他每一项制度品质的观念。

该文件仍是一份草案。NRO 的审查概览将第二版记录为当前草案,并显示 2026 年的进一步工作。它在此处的价值是概念性的:现代的连续性需要明确的权力和限制,因为仅凭技术能力无法提供它们。

对紧急安排的评价应采用一条悖论标准。它们必须在技术上足够强大以立即行动,同时在制度上足够脆弱以避免成为一位永久的主权者。

认可需要两本不可相互补偿的账簿

一个成熟的认可评估应保持两本账簿。技术账簿衡量服务能力。制度账簿衡量约束。两者都必须通过。两者都不应被简化为一个可以抵消另一方失败的单一分数。

技术账簿应涵盖服务可用性、安全性、数据准确性、可逆性、冗余、事件响应、员工深度、外部依赖性、连续性演练和受控转移能力。证据应包括测试结果和观察到的现象,而不仅仅是政策。评估者应知晓备份恢复、权限分离和临时运营在实践中是否有效。

制度账簿应涵盖权力地图、成员控制、政策合法性、中立性、理由、冲突、记录可审计性、投诉处理、独立审查、临时救济、紧急限制和常规治理的恢复。证据应包括章程、决定、选举记录、审查结果、案件处理的样本和纠正行动已完成的证明。

某些失败应是取消资格的,直至被纠正。一个无法维护准确权威性记录的候选机构,不能凭包容性的会议而获得认可。一个其治理机构受未披露的私人赞助者控制的候选机构,不能因其系统优秀而获得认可。一个存有临时缺陷的成熟 RIR 可能获得一个补救期,但连续性支持不应被呈现为该缺陷不重要的证据。

双账簿模型还改善了诊断。如果服务失败而治理保持有效,应对措施可以聚焦于技术援助、人员配备和基础设施。如果治理失败而服务保持可靠,应对措施可以隔离运营并修复权力,而不干扰资源持有者。如果两者均失败,紧急连续性就变得更加紧迫,但运营者的有限授权必须保持清晰。

审查频率应反映证据。外部服务监控可以是连续的。安全和恢复测试可以定期进行。选举和政策程序可以在发生时接受审查。制度控制可以按照时间表和在重大变更后进行重新认证。目标不是永久的外部管理;而是及时获取认可条件依然存在的证据。

发布应保持这种区分。一份公开报告不应仅说某个 RIR 是“合规的”,因为这种声明掩盖了依据。它应说明测试了哪些技术和制度领域、证据期间、重大限制、发现、纠正措施和审查路径。读者应能够同时看到卓越的服务和不足的治理,而不强制用一份标签抹去另一份。

评估者也需要约束

如果 ICANN 或同级的 RIR 将每一项分歧都定义为不合规,一个制度约束测试就可能成为越权的源头。认可并不授权评估者用自身的偏好取代区域政策选择。评估限制的权力本身就必须受到限制。

2024 年 12 月的评估程序指出,ICANN 启动的审查应关注对唯一标识符系统安全运行的风险,应在范围上受限,且不应成为一项宽泛的普遍合规角色。它们考虑到了通知、支持信息、记录访问、在常规情况下的草案发现以及纠正重大事实错误的机会。这些都是有用的约束,尽管任何生命周期制度的权威性和最终形式仍需明确的定论。

一部现代的规则应增加明确定义的诉讼资格、证据门槛、冲突披露、独立专业知识和上诉。同级的 RIR 可能拥有宝贵的运营知识,但它们也可能在维护现有模式或影响继任者方面有着制度利益。它们的证据应受到检验,而非因身份而被推定为中立。ICANN 可以协调,但其使命并不会消解一个 RIR 的国内法律人格或成员权利。

技术测试也应抵制使命扩张。评估者可以要求安全、可互操作且可靠的服务,而无须指定一个偏好的软件栈。它可以测试一项转移是否有效,而无需决定该转移必须发生。它可以识别一项严重漏洞,而无需对系统实施永久控制。结果、控制和风险边界比管理品位更重要。

制度测试应聚焦于可识别的损害:未经授权的权力、不平等的对待、被俘获的治理、缺失的审查、不可靠的记录、恢复代表性控制的无能,或对服务的重大危险。它不应仅仅因为某 RIR 的成员选择了与另一区域不同的费用结构、会议形式或政策结果而惩罚它。

纠正措施应保持相称。一个缺失理由的政策可以得到纠正。一次受操纵的选举可能需要独立管理。一起安全故障可能需要紧急技术支持。撤销认可应要求一项更强的发现和一项服务保护计划。评估者不应将资源持有者的依赖性用作迫使制度一致性的杠杆。

约束是对等的。RIR 的权力需要边界,评判 RIR 的权力也需要边界。

一个更好的认可问题

那个熟悉的问题——“服务在运行吗?”——应被四个相互关联的问题所取代。

第一,该机构能否准确、安全且连续地履行服务?这是核心能力测试。它要求可观测的技术证据和熟练的员工。

第二,每一项重大权力是否植根于一项公开且有效的权威?这是授权测试。它防止托管和能力变为自我授权。

第三,受影响的成员和资源持有者能否理解、质疑一项不利行为并获得纠正?这是补救测试。它将客户支持与可问责的行政区分开来。

第四,能否在有争议的权威被修复期间,维持基本服务,而又不允许临时运营者获得永久权力?这是压力下的约束测试。它将连续性与制度限制结合在一起。

只有当这些答案相互契合时,一个 RIR 才配得认可。技术能力使其决策有效。权威使其合法。补救使其可纠。代表性将该机构与维系它的社区联结。紧急限制在常规治理最脆弱时维护了这些品质。

这一模型并不要求工程师成为法官,也不要求每一项服务请求变成一场听证会。它将每项职能分配给恰当的机构并要求清晰的接口。运营者接收有效的指令并产生可审计的实施。决策者给出理由。审查者能够暂停或纠正重大错误。成员能够恢复治理权威。临时行动者能够维护服务,而不继承宪法。

实际的好处并非理论上的纯净。清晰的边界减少了运营上的不确定性。员工知道谁可以授权例外行动。资源持有者知道在哪质疑它。法院能够将核心连续性与有争议的公司控制区分开来。ICANN 和同级的 RIR 能够提供技术援助,而不悄然声称拥有区域授权。继任者或恢复后的董事会能够重建发生了什么。

该模型也改变了传达失败的方式。一个技术稳定的机构应能够在承认治理缺陷的同时,不暗示网络即将崩溃。相反,一个机构不应将稳定的服务引用为对一个有记录的权力或补救问题的圆满答复。分开的发现使得相称的行动成为可能:可以保护连续性,可以暂停一项有争议的权力,可以修复一次选举,可以安装一个上诉机制,而无需制造一个在制度问责和运营稳定之间的虚假选择。

这种清晰性也对内部行动者有益。一家考虑紧急救济的法院能够看清,哪些行为是维护服务,哪些行为是对有争议权利的决定。一家提供援助的同级 RIR 能够界定它将执行的准确技术功能和它将停止的时点。ICANN 能够识别正在审查的标准,而不将每一个弱点都当作全系统的紧急事件。成员能够支持连续性,同时继续质疑治理。修复该机构变得更容易,因为服务、权威和补救的问题不再被强制塞进一个二元标签。

RIR 体系长期以来重视技术专业精神,这完全正确。下一个认可标准应通过拒绝让它负担其无法证明的主张,来保护这种文化。一个运行中的服务是能力的证据。它不是一场全民公决、一项判决、一次上诉或一部宪法。

证据与分析限制

最初的 ICP-2 文件支持了技术专长与其他基本认可标准之间的区分。其技术要求是具体的,而支持、自下而上的治理、中立性、资助、记录和保密性则被单独评估。本文并未将 2001 年的清单视为一份完备的现代问责准则。

2005 年 IANA 报告支持了对 AFRINIC 技术评估的叙述以及逐项逐条的认可方法。其肯定性结论涉及在进入时可获得的证据,并不决定关于该机构的每一项后续问题。

NRO 自 2023 年 9 月2024 年 10 月的声明,结合ICANN 2025 年 3 月的更新,支持了有限的观察,即员工维持了服务,而官方行为者将功能性治理描述为需要恢复。它们并未被用于裁决有争议的诉讼、选举指控或任何单独资源争议的实质。

2024 年 12 月的实施与评估程序支持了对单独的技术、中立性、记录和审查概念的讨论,以及所声明的针对宽泛的 ICANN 合规角色的限制。本分析并未假定每个程序细节都是最终或无可争议的权威来源。

NRO 第二版草案支持了对性能、连续性、治理、成员控制、透明度、公正性和反俘获控制的现代分离。NRO 审查页面公布的时间表显示,进一步的起草和正式通过工作仍在 2026 年悬而未决。此处提议的双账簿评估是一项分析性建议,而非声称一项最终的全球规则已经采纳了它。