中国证券登记结算有限责任公司数字证书认证业务指南（试行）.pdf

中国证券登记结算有限责任公司数字证书认证业务指南（试行）中国证券登记结算有限责任公司二○一三年八月中国证券登记结算有限责任公司第 2 页共 66 页目 1 2 3 4 录概括性描述．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．． 5 1.1 概述 ...................................................... 5 1.2 术语定义和缩写 ............................................ 5 1.2.1 中国结算 CA 系统 ................................... 5 1.2.2 市场参与者 ........................................ 5 1.2.3 私钥 .............................................. 6 1.2.4 公钥 .............................................. 6 1.2.5 数字证书 .......................................... 6 1.2.6 证书持有者 ........................................ 6 1.2.7 证书主体 .......................................... 6 1.2.8 USB KEY ........................................... 6 1.2.9 证书甄别名 ........................................ 6 1.2.10 电子签名 .......................................... 7 1.2.11 数字签名 .......................................... 7 1.2.12 CRL ............................................... 7 1.2.13 LDAP .............................................. 7 1.3 数字证书业务参与者 ........................................ 7 1.3.1 中国结算 CA 系统 ................................... 7 1.3.2 注册机构 .......................................... 7 1.3.3 证书服务代理机构 .................................. 8 1.3.4 证书申请者 ........................................ 8 1.3.5 订户 .............................................. 9 1.3.6 依赖方 ............................................ 9 1.3.7 其它参与者 ........................................ 9 1.4 证书应用 .................................................. 9 1.4.1 证书类型 .......................................... 9 1.4.2 限制的证书应用 ................................... 10 证书注册机构管理．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．． 12 2.1 证书服务代理机构管理 ..................................... 12 2.2 证书服务代理网点管理 ..................................... 17 证书业务办理．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．． 20 3.1 证书业务申请实体 ......................................... 20 3.2 证书申请者身份的鉴别 ..................................... 20 3.3 证明证书申请者拥有私钥的方法 ............................. 21 3.4 证书申请者的责任 ......................................... 21 3.5 依赖方的责任 ............................................. 22 3.6 证书服务代理机构及其代理网点的责任 ....................... 23 3.7 密钥对的产生与要求 ....................................... 23 3.8 密钥对和证书的使用 ....................................... 23 3.9 订购结束 ................................................. 24 证书签发．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．． 26 4.1 申请证书签发的情形 ....................................... 26 中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司 5 6 7 8 9 第 3 页共 66 页 4.2 受理范围 ................................................. 26 4.3 需审核的申请资料 ......................................... 27 4.4 证书签发请求的处理 ....................................... 29 4.5 证书签发的注意事项 ....................................... 31 4.6 签发证书 ................................................. 32 4.7 证书接受 ................................................. 32 证书更新．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．． 34 5.1 申请证书更新的情形 ....................................... 34 5.2 受理范围 ................................................. 34 5.3 证书更新请求的处理 ....................................... 35 5.4 证书更新的注意事项 ....................................... 36 5.5 构成接受更新证书的行为 ................................... 37 证书补办．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．． 38 6.1 申请证书补办的情形 ....................................... 38 6.2 受理范围 ................................................. 38 6.3 证书补办请求的处理 ....................................... 39 6.4 证书补办的注意事项 ....................................... 39 6.5 构成接受补办证书的行为 ................................... 39 证书冻结和解冻．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．． 41 7.1 申请证书冻结/解冻的情形 .................................. 41 7.2 受理范围 ................................................. 41 7.3 证书冻结请求的处理 ....................................... 42 7.4 证书解冻请求的处理 ....................................... 42 7.5 证书冻结/解冻的注意事项 .................................. 43 7.6 证书作废列表发布频率 ..................................... 43 证书作废．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．． 44 8.1 申请证书作废的情形 ....................................... 44 8.2 受理范围 ................................................. 45 8.3 证书作废请求的处理 ....................................... 45 8.4 证书作废的注意事项 ....................................... 46 8.5 证书作废列表发布频率 ..................................... 46 法律责任和其它条款．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．． 47 9.1 财务责任 ................................................. 47 9.2 业务信息保密 ............................................. 47 9.2.1 保密信息范围 ..................................... 47 9.2.2 不属于保密的信息 ................................. 47 9.3 个人隐私保密 ............................................. 48 9.3.1 隐私保密方案 ..................................... 48 9.3.2 作为隐私处理的信息 ............................... 48 9.3.3 不被视作隐私的信息 ............................... 48 9.3.4 保护隐私的责任 ................................... 48 9.3.5 使用隐私信息的告知与同意 ......................... 49 9.3.6 依法律或行政程序的信息披露 ....................... 49 中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 4 页共 66 页 9.3.7 其它信息披露情形 ................................. 49 9.4 知识产权 ................................................. 49 9.5 陈述与担保 ............................................... 50 9.5.1 中国结算的陈述与担保 ............................. 50 9.5.2 证书服务代理机构的陈述与担保 ..................... 50 9.5.3 订户的陈述与担保 ................................. 52 9.5.4 依赖方的陈述与担保 ............................... 53 9.6 担保免责 ................................................. 53 9.7 中国结算承担赔偿责任的限制 ............................... 54 9.8 有效期限与终止 ........................................... 55 9.8.1 生效日期 ......................................... 55 9.8.2 终止 ............................................. 55 9.8.3 效力的终止与保留 ................................. 55 9.9 修订 ..................................................... 55 9.9.1 通知机制 ......................................... 55 9.9.2 必须修改业务指南的情形 ........................... 56 9.10 争议处理 ................................................. 56 9.11 与适用法律的符合性 ....................................... 56 9.12 不可抗力 ................................................. 56 中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 5 页共 66 页 1 概括性描述 1.1 概述中国证券登记结算有限责任公司（以下简称“中国结算或我公司” ）通过 CA 系统提供数字证书服务。《中国证券登记结算有限责任公司数字证书业务指南（试行）》（以下简称“本指南” ）是中国结算 CA 系统对数字证书服务生命周期中的业务实践（如证书申请、签发、补办、更新、冻结、解冻、作废）所遵循规范的详细描述和声明，是证书管理、证书服务、证书应用、证书责任等规则的集合。本文档的编写遵从《中华人民共和国电子签名法》、《电子认证服务管理办法》、《电子认证服务密码管理办法》和《中国证券登记结算有限责任公司数字证书认证业务指引（试行）》（以下简称“数字证书业务指引” ）。证书申请者、证书订户、证书服务代理机构及其代理网点、依赖方及其它参与者，必须完整地理解和执行本指南所规定的条款，承担相应的责任和义务。 1.2 术语定义和缩写 1.2.1 中国结算 CA 系统中国证券登记结算有限责任公司 CA 系统，简称中国结算 CA 系统。 1.2.2 市场参与者市场参与者，是指自然人投资者，普通法人机构投资者、合伙企业及非法人创投企业等非法人机构投资者，证券公司、基金管理公司、期货公司、商业银行、保险公司、信托公司、合格境外机构投资者、人民币合格境外投资者等特殊法人机构投资者及其产品，以及上市公司等数字证书使用者，承担证券期货市场公共职能的机构、承担证券中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 6 页共 66 页期货行业信息技术公共基础设施运营的机构等证券期货市场核心机构及其下属机构，证券期货行业协会等自律性社会团体，其他证券期货经营机构等证书服务代理及使用机构，以及中国结算认可的其他主体。 1.2.3 私钥在公钥密码体系中，用户的密钥对中只有用户本身才能持有的密钥。 1.2.4 公钥在公钥密码体系中，用户的密钥对中可以被其它用户所持有的密钥。 1.2.5 数字证书由证书认证机构签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及一些扩展信息的数字文件。 1.2.6 证书持有者拥有中国结算 CA 系统签发的证书的个人、机构或其它实体。 1.2.7 证书主体证书主体是证书公钥对应的实体，它可以是个人、机构、域名等。 1.2.8 USB KEY 一种 USB 接口的硬件设备，它内臵单片机或智能卡芯片，有一定的存储空间，可以存储客户的私钥以及数字证书。 1.2.9 证书甄别名证书甄别名（Distinguished Name，简称证书 DN），是用来在数字证书的主体名称域中唯一标识证书用户的名称，体现用户的唯一性。中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司 1.2.10 第 7 页共 66 页电子签名具有识别签名人身份和表明签名人认可签名数据的功能的技术手段。 1.2.11 数字签名通过使用非对称密码加密系统对电子数据进行加密、解密变换来实现的一种电子签名。本指南中提及的签名为数字签名。 1.2.12 CRL 证书作废列表（Certificate Revocation List）的简称，又称证书撤销列表，是证书作废状态的公布形式，CRL 就像信用卡的黑名单，它通知其他证书用户某些证书不再有效。 1.2.13 LDAP 轻量级目录访问协议，用于查询、下载以及发布证书作废列表（CRL）。 1.3 数字证书业务参与者 1.3.1 中国结算 CA 系统中国结算 CA 系统实现证书签发、补办、更新、冻结、解冻、作废、证书查询、以及证书作废列表发布等功能。中国结算 CA 系统是一个树状结构，由根 CA、运营 CA 组成，根 CA 是运营 CA 的根结点。通常，根 CA 只签发运营 CA 证书，运营 CA 则根据本指南的要求，向证书申请者签发证书。 1.3.2 注册机构注册机构（RA），又称证书业务受理机构，包括 RA 服务器和证书服务代理机构及其代理网点，负责受理有关证书业务申请。其中，证书服务代理机构及其代理网点是面向最终证书申请者的注册机构，其中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 8 页共 66 页主要功能是对申请者提交的资料进行审核，鉴别申请者的身份标识，以决定是否同意为该申请者发放证书以及进行证书管理。注册机构有责任妥善保存客户的数据，不允许将客户的数据透露给与证书申请无关的任何单位或个人，不允许用作商业利益方面的用途。 1.3.3 证书服务代理机构证书服务代理机构，是指经中国结算事先授权，并与中国结算签订数字证书业务代理协议后，代理中国结算开展数字证书有关业务的证券公司、商业银行及中国结算境外 B 股结算会员。基金管理公司、期货公司、保险公司、证券期货行业协会等其他机构也可以申请成为证书服务代理机构，经中国结算同意，并与中国结算签订相关协议后，代理中国结算开展相关证书服务业务。证书服务代理机构作为中国结算授权开展数字证书服务的机构，负责证书用户信息的审核、整理汇总、统计分析、与中国结算 CA 系统进行数据交换，并负责管理和服务其下属的证书服务代理网点。每个证书服务代理机构可以将其分支机构申请成为证书服务代理网点，也可以直接向证书申请者提供服务。证书申请者申请证书时，证书服务代理机构及其代理网点有责任验证申请者提供信息的准确性、可靠性和完整性，在确保符合实名制要求的前提下，为申请者提供证书服务。证书服务代理机构及其代理网点的管理参照中国结算开户代理机构管理有关规定执行，并遵循《数字证书业务指引》等有关规定。 1.3.4 证书申请者又称证书申请实体、证书申请人，指向中国结算或中国结算授权中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 9 页共 66 页的证书服务代理机构及其代理网点提出证书签发申请的市场参与者。证书申请一旦获得批准，证书申请者无论是否已经接受证书，申请者自动成为证书订户。 1.3.5 订户又称证书订户，即证书持有者，是指从中国结算 CA 系统接受证书的市场参与者，包括已经申请并拥有中国结算 CA 系统签发的证书的个人、机构或其它实体。在电子签名应用中，即为电子签名人。 1.3.6 依赖方依赖于中国结算 CA 系统签发的数字证书真实性的实体。在电子签名应用中，即为电子签名依赖方。依赖方可以是、也可以不是一个中国结算 CA 系统的订户。 1.3.7 其它参与者在数字证书认证活动中除了中国结算 CA 系统、注册机构、证书服务代理机构及其代理网点、申请者、订户和依赖方以外的参与者称为其它参与者。 1.4 证书应用 1.4.1 证书类型中国结算 CA 系统签发的数字证书为中国结算的证券登记结算业务提供身份认证服务。目前，中国结算 CA 系统签发的数字证书类型主要有个人证书和企业证书。个人证书—用于确认个人的网上身份，面向境内、外自然人投资者及其它自然人申请者，在网上信息传递过程中提供身份验证、数字签名等功能。企业证书—用于确认企业的网上身份，面向境内、外法人投资者中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 10 页共 66 页及其它企业申请者，在网上信息传递过程中提供身份验证、数字签名等功能。为保证签名私钥（以下简称“私钥”）的安全性和唯一性，证书申请者的签名/验签密钥对由申请者在申请者端生成。中国结算 CA 系统签发的证书分为硬证书和软证书。其中，硬证书一般需使用 USB Key、加密机等密码类硬件设备生成密钥对，密钥对中的私钥不出硬件设备，并需证书申请者设臵 USB Key 的 PIN 码保护私钥，中国结算 CA 系统签发的证书由证书申请者下载到 USB Key 中；软证书一般使用浏览器、微软 CSP 程序等软件生成密钥对，密钥对中的私钥存储在计算机硬盘中，并需证书申请者设臵一定复杂度和长度的口令对私钥进行防护，采取一定的安全防护措施对该计算机进行保护，中国结算 CA 系统签发的证书由证书申请者下载到计算机中或其它存储介质中。硬证书和软证书的使用范围依据《数字证书业务指引》等有关规定执行。证书申请者可以根据实际需要和安全风险，自主判断和决定采用相应类型的证书。中国结算提醒您：为了保护您的个人信息安全，建议您选择和使用硬证书。除非在本指南中特别声明，中国结算及其授权的证书服务代理机构没有义务承担因任何使用证书而产生的额外经济赔偿责任。 1.4.2 限制的证书应用中国结算 CA 系统签发的证书禁止在任何违反国家及地方法律、法规或破坏国家安全的应用系统使用，否则由此造成的法律后果由订中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 11 页共 66 页户自己承担。中国结算 CA 系统签发的软证书禁止在中国结算证券登记结算业务中涉及证券划转等资产权属变更以及涉及证券抵押、冻结等权利受限的业务系统中使用，否则由此造成的法律后果由订户自己承担。中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 12 页共 66 页 2 证书注册机构管理 2.1 证书服务代理机构管理对于授权加入的证书服务代理机构，中国结算 CA 系统为其签发一张接入证书，作为该证书服务代理机构在证书系统内的唯一身份标识，证书服务代理机构接入证书需为硬证书。中国结算 CA 系统根据证书服务代理机构的签名，对其进行身份鉴别，以判断该证书服务代理机构是否为中国结算认可的机构，具有何种权限，是否接受其提交的各类服务请求和服务信息。（一）证书服务代理资格申请 1.申请对象及条件（1）凡符合《数字证书业务指引》中有关规定的证券公司、商业银行及中国结算境外 B 股结算会员，可向中国结算申请取得证书服务代理资格。基金管理公司、期货公司、保险公司等其他机构也可以申请成为证书服务代理机构。（2）有开展业务所具备的人员、场地、技术系统、设备。（3）管理规范、制度健全。 2. 申请材料（1）《证书服务代理申请书》；（2）《证书服务代理资格申请表》；（3）法人有效证明文件复印件（加盖申请单位公章）；（4）组织机构代码证复印件（加盖申请单位公章）；（5）法人代表证明书；（6）《中国结算 CA 系统准入测试情况报告表》（加盖申请单位公中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 13 页共 66 页章）；（7）《中国证券登记结算有限责任公司数字证书认证业务代理及使用协议》（以下简称“证书服务代理协议” ）四份；（8）根据《数字证书业务指引》及本指南等有关规定制定的数字证书认证业务管理细则等业务制度，技术方案及相关准备情况。内容应包括但不限于：数字证书认证业务相关人员管理（含见证人员、复核人员、客服人员及其他业务受理人员的岗位职责、行为约束和人员安排）、采用临柜、见证及《数字证书业务指引》规定方式以外的其他方式办理证书业务的流程（含证书签发、更新、补办、冻结、解冻、作废等操作）、设备配臵及维护、空白证书存储介质 USBKEY 及证书业务注册申请资料保管、印章管理、技术支持及风险控制措施等内容，见证人员管理、见证方式及其他方式办理证书业务的流程可参照中国结算《证券账户非现场开户实施暂行办法》中见证开户、网上开户有关规定制定。对于申请采用《数字证书业务指引》规定方式以外的其他方式代理发放数字证书的申请机构（包括新申请机构或已取得证书服务代理资格但仅采用临柜或见证方式开展证书业务的证书服务代理机构），在向中国结算报备其他方式的情况说明、业务流程、技术方案及风险控制措施等申请材料后，还需经中国结算同意后方可实施。但向中国结算进行报备，并不能免除证书服务代理机构依法合规地开展数字证书业务的法律责任；（9）提供《证书服务代理机构内部网络适用性说明》，主要描述证书服务代理机构证书接入系统与中国结算 CA 系统之间证书业务数据的传递方式（专线、互联网或其他方式）、网络管理、安全措施; 证书服务代理机构与其所授权的分支机构间证书业务数据的传递方中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 14 页共 66 页式（modem 拨号联网、DDN 或其他方式）、安全措施;以及证书服务代理机构总部汇总数据处理、传递方式、网络管理、安全措施等与证书业务相关的情况；（10）对于所采用的密码类硬件设备产品需提供由国家密码管理局等部门出具的有关资质证明文件复印件（加盖申请单位公章）；（11）由密码类硬件设备生成的符合 PKCS#10 标准格式的证书服务代理机构接入证书请求文件（算法：RSA，位数：2048 位，中国结算 CA 系统基于该证书请求文件为证书服务代理机构签发用于生产环境的接入证书）。 3.受理流程及要求中国结算审核申请机构提交的证书服务代理业务申请材料。审核通过的，中国结算与申请机构签订证书服务代理协议，并签发证书服务代理机构接入证书。同时将签订的证书服务代理协议（两份）寄还申请机构。对于申请采用《数字证书业务指引》规定方式以外的其他方式代理发放数字证书的申请机构（包括新申请机构或已取得证书服务代理资格但仅采用临柜或见证方式开展证书业务的证书服务代理机构），应获中国结算同意后，方可实施。申请机构在申请证书服务代理资格前还须完成证书接入系统建设，并通过中国结算 CA 系统准入测试（证书接入系统具体要求和测试参见我公司《中国结算 CA 系统准入测试方案》、《中国结算 CA 系统对外服务接口规范》和《中国结算 CA 系统准入测试测试用例》等相关技术文档），做好系统连通调试工作及其它相关技术准备，以保证证书代理服务业务可正常开展。中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 15 页共 66 页（二）证书服务代理机构信息变更已获得证书服务代理资格的证书服务代理机构，若机构名称、机构营业执照注册号、机构组织机构代码号等发生变更的，须及时向中国结算申请更新证书服务代理机构备案资料。 1. 申请材料证书服务代理机构名称变更的，需提交以下材料：（1）上述证书服务代理资格申请所需材料；（2）营业部网点证书业务专用章报备表；（3）证书服务代理机构营业执照发证机关出具的变更证明复印件；（4）证监会的更名批复复印件（如有）。证书服务代理机构营业执照注册号和组织机构代码号发生变更的，需提交以下材料：（1）《证书服务代理机构信息登记表》；（2）法人有效证明文件复印件（加盖申请单位公章）；（3）证书服务代理机构营业执照注册号变更的，需提供发证机关出具的变更证明复印件；证书服务代理机构组织机构代码号发生变更的，需提供变更后的组织机构代码证复印件。 2.受理流程及要求证书服务代理机构信息变更可通过邮寄方式申报，具体方式为：（1）根据要求填写相关信息，将《证书服务代理机构信息登记表》、证书服务代理机构营业执照、证书服务代理机构组织机构代码证、证书服务代理机构经营业务许可证、证书服务代理机构营业执照发证机关出具的变更证明、证监会的更名批复（如有）等证件的复印中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 16 页共 66 页件（需加盖单位公章）通过邮寄的方式一并提交中国结算。（2）中国结算审核申请机构提交的证书服务代理业务申请材料。审核通过后办理证书服务代理机构信息变更，对于需重新签订证书认证业务代理及使用协议的，中国结算将签订的证书认证业务代理及使用协议（两份）寄还申请机构。（三）证书服务代理机构资格撤销证书服务代理机构被行政撤销或注销时，需向中国结算申请证书服务代理机构资格撤销。（1）至少提前 90 天以书面形式告知中国结算；（2）提供证书服务代理业务切换方案；（3）向证书服务代理业务承接方提供认证相关信息，包括但不限于：证书办理资料、证书信息库、最新的证书状态资料等。中国结算对申请机构提交的申请材料进行审核，审核通过后，关闭申请机构证书服务代理业务权限，证书服务代理资格终止。（四）注意事项（1）文档的具体格式暂不限，但内容必须详实、清晰，落款必须注明机构全称、日期，并加盖申请单位公章；（2）本业务指南相关业务表单的格式，可参见本公司网站“技术专区-CA认证-下载专区”或新版网站“服务支持-业务表格-CA认证” 栏目下公布的业务表单。中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 17 页共 66 页 2.2 证书服务代理网点管理（一）证书服务代理网点新增 1.申请机构对象及条件取得证书服务代理资格的证券公司下属营业网点和商业银行的分支机构经申请可以成为证书服务代理网点。 2.申请材料（1）按规定刻制的证书业务专用章样章（具体要求见《证书业务专用章报备表》和附件《证书业务专用章样式及说明》）；（2）新增证书服务代理网点的营业执照复印件；（3）新增证书服务代理网点的《证券经营机构营业许可证》复印件；（4）证监会同意设立营业部的批复复印件（如有）。 3.受理流程证书服务代理网点新增申请通过邮寄方式直接申报，具体方式为：（1）根据要求填写相关信息，并将申请材料及《证书业务专用章报备表》一并邮寄中国结算；（2）中国结算审核申请机构提交的申请材料，审核通过后新增证书服务代理网点。（二）证书服务代理网点撤销已获准证书代理服务资格的证书服务代理机构不再具备证书代理服务资格时，其所属的证书服务代理网点或已获准证书代理服务资格的证书服务代理网点不再具备证书代理服务资格时，需向中国结算申请证书服务代理网点撤销。 1. 申请材料中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 18 页共 66 页（1）证监会同意撤销的批复复印件（如有）；（2）证书服务代理网点证书服务代理业务资料移交情况说明。 2. 受理流程证书服务代理网点撤销通过邮寄方式直接申报，具体方式为：（1）根据要求填写相关信息，并将申请材料一并邮寄中国结算；（2）中国结算审核申请机构提交的申请材料，审核通过后撤销证书服务代理网点。（三）证书服务代理网点信息变更已获准证书服务代理资格的证书服务代理网点，代理网点名称、代理网点营业执照注册号发生变更，须向中国结算申请证书服务代理网点变更。 2.申请材料（1）按规定刻制的证书业务专用章样章（证书服务代理网点名称变更提供）；（2）证书服务代理网点的营业执照复印件（证书服务代理网点名称变更和营业执照变更提供）；（3）提供证书服务代理网点的《证券经营机构营业许可证》复印件（证书服务代理网点名称变更提供）；（4）证监会同意变更的批复或关于营业场所变更备案的回执等其他材料复印件（如有，证书服务代理网点名称变更提供）。 2.受理流程证书服务代理网点信息变更通过邮寄直接申报，具体方式为：（1）根据要求填写相关信息，并将申请材料及《证书业务专用章报备表》一并邮寄中国结算；中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 19 页共 66 页（2）中国结算审核申请机构提交的申请材料，审核通过后变更证书服务代理网点信息；（四）注意事项 1．证书服务代理机构及其代理网点的地址、联系人、联系电话等信息变更，无须提交纸质材料。 2．通过邮寄方式申请办理业务的，证书服务代理机构应确保邮寄的复印件与原件一致，应在复印件上注明“已审核，与原件一致” 字样并加盖公司公章。中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 20 页共 66 页 3 证书业务办理中国结算 CA 系统根据本指南办理数字证书签发、更新、补办、冻结、解冻、作废等证书业务，并明确在业务流程中各个参与方的责任与义务。 3.1 证书业务申请实体自然人投资者，普通法人机构投资者、合伙企业及非法人创投企业等非法人机构投资者，证券公司、基金管理公司、期货公司、商业银行、保险公司、信托公司、合格境外机构投资者、人民币合格境外投资者等特殊法人机构投资者及其产品，以及上市公司等数字证书使用者，承担证券期货市场公共职能的机构、承担证券期货行业信息技术公共基础设施运营的机构等证券期货市场核心机构及其下属机构，证券期货行业协会等自律性社会团体，其他证券期货经营机构等证书服务代理及使用机构，以及中国结算认可的其他主体，需要在办理相关证券登记结算业务中进行基于数字证书的身份鉴别、数字签名时，可向中国结算或中国结算授权的证书服务代理机构及其代理网点提出证书业务申请。其中，暂不支持境外法人证书签发申请等业务。 3.2 证书申请者身份的鉴别中国结算或中国结算授权的证书服务代理机构及其代理网点需按照《数字证书业务指引》有关要求对证书申请者的身份进行鉴别，在严格贯彻落实名制原则的基础上，认真审核证书申请者身份真实性，确保其提交的有效身份证明文件等资料真实、准确、完整。严禁为申请资料不全或者提交无效身份证明文件的证书申请者办理证书相关业务。中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 21 页共 66 页如果申请者拒绝中国结算或中国结算授权的证书服务代理机构及其代理网点的身份鉴别要求，则被视作放弃对证书有关业务的申请。 3.3 证明证书申请者拥有私钥的方法中国结算或中国结算授权的证书服务代理机构及其代理网点需验证证书申请者拥有私钥的合法性和正确性。证明申请者拥有私钥是通过 pkcs#10 的数字签名来完成的。为了保证私钥的安全性和唯一性，中国结算要求私钥由证书申请者生成，并妥善保管其拥有的私钥，在私钥遗失、泄漏、被篡改或存在安全隐患时及时申请作废证书。 3.4 证书申请者的责任证书申请者申请证书前，须明确表示其愿意接受《数字证书业务指引》及本指南所规定的相关责任与义务，并提供真实有效的身份证明文件等材料。证书申请者的证书申请一经中国结算或中国结算授权的证书服务代理机构及其代理网点接受，证书申请者就应承担如下责任：始终保持对其私钥的控制，使用可信的安全系统和采取必要合理的安全措施来防止私钥的遗失、泄露、被篡改或被未经授权使用。中国结算 CA 系统一旦通过证书申请者的申请并为其签发证书，无论申请者是否已经接受证书，证书申请者自动成为证书订户，并同意中国结算或中国结算授权的证书服务代理机构及其代理网点对于由下列原因直接或间接造成的任何责任和损失不承担法律责任： 1）证书申请者（或其授权的代理人）虚假地或错误地陈述了事实。 2）证书申请者未能披露重要事实，而证书申请者的这种有意或中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 22 页共 66 页无意的错误陈述或失职造成了对中国结算 CA 系统、中国结算、证书服务代理机构及其代理网点、依赖方的欺骗。 3）证书申请者没有使用可信的安全系统或没有采用必要的合理安全措施防止其私钥被损害、丢失、泄露、被篡改或被未经授权使用。证书申请者对中国结算或中国结算授权的证书服务代理机构及其代理网点造成的责任和损失包括：由于上述原因直接或间接造成的责任、损失、任何诉讼、仲裁及一切相关费用，包括但不限于诉讼费用、仲裁费用以及律师费等。对此责任和损失，证书申请者应予以经济赔偿。 3.5 依赖方的责任依赖方在信赖中国结算 CA 系统签发的证书时，必须保证遵守和实施以下条款： 1）依赖方熟悉《数字证书业务指引》等有关规定及本指南的条款，以及和证书相关的政策、法律，了解证书的使用目的和使用限制。 2）依赖方在信赖中国结算 CA 系统签发的证书前，必须对其进行合理的审查，包括但不限于：查看证书是否在有效期；检查证书信任链中所有证书的可靠性；检查中国结算 CA 系统公布的有效证书作废列表，以获得该证书的状态。一旦依赖方因为疏忽或者其他原因违背了此条款而给中国结算带来损失时，中国结算保留将其诉诸法律的权利。 3）所有依赖方必须承认，他们对证书的信赖行为就表明他们承认了解《数字证书业务指引》等有关规定及本指南的有关条例,包括有关免责、拒绝和限制义务的条款。中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 23 页共 66 页 3.6 证书服务代理机构及其代理网点的责任中国结算授权的证书服务代理机构及其代理网点在为市场参与者提供证书业务时，所应承担的责任和义务详见《数字证书业务指引》等有关规定及与中国结算签订的相关协议。 3.7 密钥对的产生与要求签名密钥对（以下简称“密钥对”）由证书申请者提供。对于申请硬证书的申请者，应使用国家密码管理局认可的、中国结算 CA 系统支持的 USBKEY 等硬件生成密钥对，并设臵 USBKEY 的 PIN 码。对于申请软证书的申请者，在使用浏览器、微软 CSP 等软件生成密钥对时，应设臵一定复杂度和长度的口令对私钥进行防护，并采取一定的安全防护措施对存储私钥及软证书的计算机进行保护。证书服务代理机构接入证书对应的密钥对，应采用硬件加密设备产生，保证其安全性。私钥在存储介质中应采取安全的访问控制机制，防止泄漏、被非法复制或被盗用。中国结算 CA 系统用于签名的密钥对算法为 RSA，长度为 2048 位；证书服务代理机构接入证书的密钥对算法为 RSA，长度为 2048 位；证书申请者产生的密钥对算法为 RSA，长度为 2048 位。 3.8 密钥对和证书的使用订户在使用私钥和证书时须遵循以下约定： 1）订户私钥由自己妥善保管，避免遗失、泄露、被篡改或被盗用。 2）证书只能根据《数字证书业务指引》等有关规定及本指南被使用。中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 24 页共 66 页 3）证书到期或被作废后，订户应当及时停止使用该证书。如果证书持有人将该证书用于其他用途，中国结算或中国结算授权的证书服务代理机构及其代理网点将不承担任何由此产生的责任和义务。依赖方在接收数字签名信息后需要： 1）获得数字签名对应的证书及信任链； 2）确认该签名对应的证书是依赖方信任的证书； 3）证书的用途适用于对应的签名； 4）确认数字签名对应的证书状态正常，没有进入 CRL 列表。如果订户证书或者其证书链内的任何证书已经被作废，依赖方需独立的去了解该订户证书所对应的私钥做出的签名是否在作废前做出的； 5）使用证书上的公钥验证签名。依赖方需要采用合适的软硬件进行数字签名的验证工作，包括验证证书链及链中所有证书的数字签名。如果证书中的某些字段或其关联的信息库明确了证书的形态（即是硬证书还是软证书），那么该证书将只被允许在相应的业务范围内进行使用。依赖方必须对此做出合理的判断，任何对超出证书适用范围行为的信赖，都将由依赖方独立承担责任，中国结算或中国结算授权的证书服务代理机构及其代理网点对此不承担任何责任和义务。 3.9 订购结束下列情况，视为证书用户终止使用中国结算 CA 系统提供的证书服务： 1）订户证书对应的私钥泄漏或被盗用； 2）证书有效期内订户终止使用证书； 3）订户证书过期；中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 25 页共 66 页 4）其它（如：订户申请证书作废）。中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 26 页共 66 页 4 证书签发本节适用于已取得证书服务代理资格的机构为市场参与者办理证书申请签发业务。在证书申请处理过程中，中国结算或中国结算授权的证书服务代理机构及其代理网点有权利和义务鉴别证书申请者的身份，对证书申请者提交的相关材料进行审核。中国结算 CA 系统签发证书后，除非被通知该证书发生了安全损害情况，中国结算或中国结算授权的证书服务代理机构及其代理网点将不再负有继续监控和调查证书中信息准确性的责任。 4.1 申请证书签发的情形市场参与者办理中国结算证券登记结算业务或中国结算认可的其它业务，需要使用数字证书进行身份认证时，可向中国结算或中国结算授权的证书服务代理机构及其代理网点提交证书签发申请。 4.2 受理范围证书服务代理机构及其代理网点受理的证书业务包括自然人投资者，普通法人机构投资者、合伙企业及非法人创投企业等非法人机构投资者的证书签发申请。除中国结算另有规定外，自然人投资者，普通法人机构投资者、合伙企业及非法人创投企业等非法人机构投资者可在任意一家证书服务代理机构申请数字证书，可在任意一家具有委托交易关系的证书服务代理及使用机构使用及管理数字证书。证券公司、基金管理公司、期货公司、商业银行、保险公司、信托公司、合格境外机构投资者、人民币合格境外投资者等特殊法人机构投资者及其产品，以及上市公司等数字证书使用者，承担证券期货中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 27 页共 66 页市场公共职能的机构、承担证券期货行业信息技术公共基础设施运营的机构等证券期货市场核心机构及其下属机构，证券期货行业协会等自律性社会团体，其他证券期货经营机构等证书服务代理及使用机构的证书签发申请由中国结算直接受理，所需提交的有效身份证明文件类型与证券账户开户有效身份证明文件类型一致，参照中国结算《证券账户管理规则》等有关规定执行。 4.3 需审核的申请资料证书服务代理机构及其代理网点在受理市场参与者证书签发业务申请时，应根据不同情况要求申请者提交相关申请材料并审核： 1．境内自然人申请签发个人证书时，需审核：（1）《个人数字证书业务申请表》；（2）申请者居民身份证（暂不支持临时居民身份证及一代居民身份证）及复印件。 2．在境内工作生活的港、澳、台居民申请签发个人证书时，需审核：（1）《个人数字证书业务申请表》；（2）港澳居民来往内地通行证或台湾居民来往大陆通行证及复印件；（3）香港、澳门、台湾居民身份证及复印件；（4）公安机关出具的临时住宿登记证明表及复印件。 3．获得中国永久居留资格的境外自然人申请签发个人证书时，需审核：（1）《个人数字证书业务申请表》；（2）申请者《外国人永久居留证》及复印件。中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 28 页共 66 页 4．境外自然人申请签发个人证书时，需审核：（1）《个人数字证书业务申请表》；（2）申请者有效身份证明文件（境外其他国家或地区护照或者身份证明，有境外其他国家或地区永久居留签证的中国护照，香港、澳门特区居民身份证，台湾居民来往大陆通行证）及复印件； 5．境内法人申请签发企业证书时，需审核：（1）《企业数字证书业务申请表》；（2）组织机构代码证及复印件；（3）机构法人有效身份证明文件（工商营业执照、社团法人注册登记证书、事业单位法人证书、机关法人成立批文）及复印件或加盖发证机关确认章的复印件；（4）经办人有效身份证明文件及复印件；（5）企业证书持有人有效身份证明文件复印件；（6）法定代表人证明书、法定代表人授权委托书和法定代表人的有效身份证明文件复印件。 6．合伙企业、非法人创业投资企业申请签发企业证书时，需审核：（1）《企业数字证书业务申请表》；（2）组织机构代码证及复印件；（3）工商管理部门颁发的营业执照（或其他国家有权机关颁发的合伙组织成立证书）及复印件；（4）合伙协议或投资各方签署的创业投资企业合同及章程（须加盖企业公章）；（5）全体合伙人或投资者名单、有效身份证明文件及复印件；中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 29 页共 66 页（6）经办人有效身份证明文件及复印件，执行事务合伙人或负责人证明书（须加盖企业公章），执行事务合伙人或负责人有效身份证明文件及复印件，加盖企业公章的执行事务合伙人或负责人对经办人的授权委托书（合伙企业执行事务合伙人，以合伙企业营业执照上的记载为准，有多名合伙企业执行事务合伙人的，由其中一名在授权书上签字；执行事务合伙人是法人或者其他组织的，由其委派代表在授权书上签字）；（7）企业证书持有人有效身份证明文件复印件；（8）非法人创业投资企业还须提交国家商务部颁发的《外商投资企业批准证书》或省级（含副省级城市）以上创业投资管理部门出具的创投企业备案文件。 7．暂不支持境外法人申请签发企业证书。申请者有义务保证申请材料的真实有效，并承担与此相关的法律责任。 4.4 证书签发请求的处理 1）证书服务代理机构及其代理网点按《数字证书业务指引》等有关规定对申请者申报材料进行审核与鉴别，申报材料确认合格后，由证书服务代理机构及其代理网点的经办人在证书业务申请表上注明“已审核”字样并签名，同时加盖数字证书业务专用章，留存除有效身份证明文件原件以外的所有证书申请资料。审核确认不合格的，在申请表上注明不合格，并将有关申请材料退还申请者。对于采用中国结算认可的其他方式的，可采用电子形式要求自然人证书申请者在线填写《个人数字证书业务申请表》包含的有关申请信息，并要求其在线阅读《个人数字证书申请责任书》等有关内容，中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 30 页共 66 页在自然人证书申请者同意接受《个人数字证书申请责任书》并进行电子留痕后，进入申报材料和申请意愿的验证环节。在验证过程中，应对自然人证书申请者正面头像、出示身份证正反面、确认自然人证书申请者为本人自愿申请数字证书、确认自然人证书申请者所提交的材料真实有效、确认自然人证书申请者已阅读有关数字证书申请责任书及风险揭示文件并理解和同意接受相关条款、提醒自然人证书申请者自行设臵数字证书保护口令并妥善保管、证书服务代理机构工作人员核实自然人证书申请者身份信息等关键步骤进行影像及语音资料采集，并妥善保存所采集的影像及语音资料。无论是拒绝还是批准申请者的证书申请，证书服务代理机构及其代理网点有义务告知申请者证书签发申请结果。通告方式可以采用当面告知、网上在线查询、电话通知及其它安全方式进行。 2）如果审核通过，证书服务代理机构及其代理网点将申请者信息录入系统，按照本指南、中国结算相关的授权协议及中国结算 CA 系统接口规范将申请信息和用户资料提交给中国结算 CA 系统。 3）中国结算 CA 系统收到申请信息后，验证申请信息的有效性，正确无误后，为申请者签发证书，并根据需要向证书服务代理机构及其代理网点返回证书或下载证书所需的凭证。 4）证书服务代理机构及其代理网点需通过安全的方式（如申请者临柜或见证申请者的方式、密码信封的方式、加密数据流的方式、其它安全方式）将证书或下载证书所需的凭证递送给申请者，并有义务告知申请者在中国结算 CA 系统规定的时间内（即 14 个自然日内）下载证书。如果申请者在 14 个自然日内没有下载数字证书，或下载证书的凭证丢失，申请者需要到中国结算或中国结算授权的证书服务中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 31 页共 66 页代理机构及其代理网点重新办理证书申请。 5）证书服务代理机构及其代理网点对证书签发的申请材料按《数字证书业务指引》等有关规定的要求及时归档，妥善保存，以备查验。 4.5 证书签发的注意事项 1）个人证书的签发申请需由证书持有者本人提出申请。 2）暂不允许采用其他方式为证书申请者发放硬证书。 3）对于境内自然人、在大陆工作生活的港澳台居民、获得中国永久居留资格的外国人、境外自然人等证书申请者在申请个人证书时，可通过《数字证书业务指引》规定方式以外的其他方式为其发放数字证书，其它的证书申请者不允许采用《数字证书业务指引》规定方式以外的其他方式为其发放数字证书。 4）对于通过《数字证书业务指引》规定方式以外的其他方式为使用台湾居民来往大陆通行证、港澳居民来往内地通行证、外国人永久居留证等其他有效身份证明文件的证书申请者发放数字证书的，在验证身份真实性的过程中，应通过其他适当方式核查身份证明文件的真实性，并进行留痕。 5）发放软证书时，应提醒证书申请者设臵一定复杂度和长度的口令对证书对应的私钥进行防护，并采取一定的安全防护措施对存储私钥及软证书的计算机等进行保护。 6）申请证书时注册的证书持有人名称必须与有效身份证明文件中记载的名称一致且为同一人。 7）中国结算 CA 系统不对任何匿名的个人或法人提供证书签发服务。使用伪名或伪造材料申请的证书无效，一经证实中国结算 CA 系统立即予以作废。中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 32 页共 66 页 8）中国结算 CA 系统签发证书时，保证 DN 命名的唯一性。证书申请者申请证书时，中国结算 CA 系统会自动对其唯一性进行审核。如果不能通过唯一性审核，中国结算 CA 系统将拒绝签发证书。 9）中国结算或中国结算授权的证书服务代理机构及其代理网点在确认证书申请者提供的申请材料真实有效的基础上，给予批准证书申请，如果有误则给予拒绝。对于未通过审核的原因，中国结算或中国结算授权的证书服务代理机构及其代理网点可以不予解释。中国结算还可以根据其独立判断，拒绝为某一申请者签发证书，不需要为此做出解释，并且不对因此而导致的任何损失或费用承担责任和义务。 10）证书申请者应向中国结算或中国结算授权的证书服务代理机构及其代理网点保证，申请证书时所提供的信息未以任何方式侵犯或者违反第三方的注册商标权、服务商标权、商用名称权、公司名称权或其他知识产权。中国结算或中国结算授权的证书服务代理机构及其代理网点不对商标或知识产权提供鉴定或认证服务，且不承担相关的任何责任。 4.6 签发证书证书申请者一旦提交了证书申请，尽管事实上还没有接受证书，但仍被视为该申请者已经同意中国结算 CA 系统为其签发证书。证书申请者的申请一旦获得批准，无论是否已经接受证书，证书申请者自动成为证书订户。 4.7 证书接受完成申请程序后，中国结算授权的证书服务代理机构及其代理网点将证书本身、或者证书获得的方式、或者下载证书所需的凭证递送给申请者，就意味着申请者已经接受了证书。订户接受数字证书后，中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 33 页共 66 页应妥善保存与其证书对应的私钥。下列行为被认为订户已经接受了证书：  订户接受了包含有证书的介质；  订户通过网络将证书下载或安装到本地存储介质，如本地计算机、USBKey、移动硬盘或其他移动存储介质；  订户接受了下载证书所需的凭证；  订户接受了获得证书的方式，并且没有提出反对证书或证书中的内容。如果订户在下载证书时发生错误，没有得到证书，而系统记录显示订户下载成功，也同样视为订户已经接受了证书（证书服务代理机构及其代理网点技术支持人员有义务协助客户正确地获取证书）。中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 34 页共 66 页 5 证书更新本节适用于已取得证书服务代理资格的机构为市场参与者办理证书更新业务。为保证证书及其密钥对的安全有效，中国结算 CA 系统为签发的证书设臵有效期，一般为三年，有效期从证书签发之日计算。订户须在证书到期前，申请更新证书。当订户进行证书更新时，需要生成新的密钥对并申请为新公钥签发一个新证书，在更新证书的同时更新密钥。证书更新时订户提交能够识别原证书的足够信息，例如证书甄别名、原证书对应的私钥对证书密钥更新请求签名等，并提交新的公钥申请签发新证书。证书服务代理机构及其代理网点有责任在证书有效期满之前一个月向证书订户发送证书更新提示。合理的努力包括但不限于网站提示、系统提示、书面提示、E-mail 通知或者其他方式，但中国结算或中国结算的授权证书服务代理机构及其代理网点采取了上述任意一项提示或者通知方式，均可被视作进行了合理的努力。 5.1 申请证书更新的情形 1）证书到期或即将到期； 2）证书对应的私钥泄露、被篡改或者其它原因导致私钥的安全性无法得到保证。 5.2 受理范围证书服务代理机构及其代理网点受理的证书业务包括自然人投资者，普通法人机构投资者、合伙企业及非法人创投企业等非法人机构投资者的证书更新申请。中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 35 页共 66 页除中国结算另有规定外，自然人投资者，普通法人机构投资者、合伙企业及非法人创投企业等非法人机构投资者可在任意一家具有委托交易关系的证书服务代理机构办理证书更新业务。证券公司、基金管理公司、期货公司、商业银行、保险公司、信托公司、合格境外机构投资者、人民币合格境外投资者等特殊法人机构投资者及其产品，以及上市公司等数字证书使用者，承担证券期货市场公共职能的机构、承担证券期货行业信息技术公共基础设施运营的机构等证券期货市场核心机构及其下属机构，证券期货行业协会等自律性社会团体，其他证券期货经营机构等证书服务代理及使用机构的证书更新申请由中国结算直接受理，所需提交的有效身份证明文件类型与证券账户开户有效身份证明文件类型一致，参照中国结算《证券账户管理规则》等有关规定执行。 5.3 证书更新请求的处理中国结算授权的证书服务代理机构及其代理网点提供在线证书更新和离线证书更新两种方式，订户可以自行选择合适的更新方式。其中，离线证书更新可采取临柜、见证或中国结算认可的其他方式进行。对于在线证书更新，订户需在线填写更新请求，并按照证书服务代理机构的要求，提交能够识别原证书的足够信息，如证书甄别名等，并使用原证书的私钥对包括新生成的公钥在内的更新请求信息进行签名。中国结算授权的证书服务代理机构及其代理网点接收到订户的证书更新请求后，对订户提交的证书更新请求内包含的用户信息进行正确性、准确性、真实性的验证和鉴别。包括：  订户使用原证书对应的私钥对包括新生成的公钥在内的证书中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 36 页共 66 页更新请求信息进行签名，中国结算授权的证书服务代理机构及其代理网点用其原证书对应的公钥对其签名进行验证；  中国结算授权的证书服务代理机构及其代理网点基于其原有注册信息对其签发新的证书。在对订户的身份和请求信息进行鉴别确认后，为其签发新证书。该证书的公钥为订户递交的新公钥。对于离线证书更新，订户按照初始申请签发证书相同的流程，持与初始申请签发证书时提交的有效身份证明文件相一致的有效身份证明文件，提出证书更新请求，并递交新生成的公钥。其中，对于采用临柜或见证方式申领证书的订户，在申请更新证书时，不支持采用其他方式提出更新请求。中国结算授权的证书服务代理机构及其代理网点按照证书签发申请流程对订户提交的材料进行身份鉴别和审核，确认订户的身份和请求信息后，为其签发新的证书，该证书的公钥为订户递交的新公钥。 5.4 证书更新的注意事项 1）进行证书更新时，订户原注册的证书持有人名称、国籍、有效身份证明文件类型及号码等要素信息不能发生变化。如需变更证书持有人有关信息，则需重新申请新的证书。 2）证书冻结后，必须先进行证书解冻操作，然后才能进行证书更新。 3）中国结算授权的证书服务代理机构及其代理网点不提供证书被作废后的证书更新。 4）订户在选择证书更新时，应将待更新证书加密过的信息和数据进行妥善处理（例如用现有证书加密的文件进行解密，或订户认为中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 37 页共 66 页合理的处理方式），然后再进行证书更新。如果订户未进行妥善处理而直接进行证书更新，可能导致原加密信息和数据无法解密，由此造成的可能损失，中国结算或中国结算授权的证书服务代理机构及其代理网点将不承担任何责任。 5）订户在进行证书更新前，应确保即将到期证书的密钥对的安全可靠。一旦无法确认这种可靠性，那么中国结算或中国结算授权的证书服务代理机构及其代理网点建议订户重新申请签发证书。 5.5 构成接受更新证书的行为在订户在线递交证书更新请求或者现场递交证书更新请求获得批准后，中国结算或中国结算授权的证书服务代理机构及其代理网点将证书本身、或者证书获得的方式、或者与证书相关的密码递送给订户，就意味着订户已经接受了证书。订户接受数字证书后，应妥善保存与其证书对应的私钥。下列行为被认为订户已经接受了证书：  订户接受了包含有证书的介质；  订户通过网络将证书下载或安装到本地存储介质，如本地计算机、USBKey、移动硬盘或其他移动存储介质；  订户接受了下载证书所需的凭证；  订户接受了获得证书的方式，并且没有提出反对证书或证书中的内容。如果订户在下载证书时发生错误，没有得到证书，而系统记录显示订户下载成功，也同样视为订户已经接受证书（证书服务代理机构及其代理网点技术支持人员有义务协助订户正确地获取证书）。中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 38 页共 66 页 6 证书补办本节适用于已取得证书服务代理资格的机构为市场参与者办理证书补办业务。 6.1 申请证书补办的情形 1）订户遗失或损毁证书； 2）订户证书存储介质 USBKey 的保护口令（即 PIN 码）锁死或忘记。 6.2 受理范围证书服务代理机构及其代理网点受理的证书业务包括自然人投资者，普通法人机构投资者、合伙企业及非法人创投企业等非法人机构投资者的证书补办申请。除中国结算另有规定外，自然人投资者，普通法人机构投资者、合伙企业及非法人创投企业等非法人机构投资者可在任意一家具有委托交易关系的证书服务代理机构办理数字证书补办业务。证券公司、基金管理公司、期货公司、商业银行、保险公司、信托公司、合格境外机构投资者、人民币合格境外投资者等特殊法人机构投资者及其产品，以及上市公司等数字证书使用者，承担证券期货市场公共职能的机构、承担证券期货行业信息技术公共基础设施运营的机构等证券期货市场核心机构及其下属机构，证券期货行业协会等自律性社会团体，其他证券期货经营机构等证书服务代理及使用机构的证书补办申请由中国结算直接受理，所需提交的有效身份证明文件类型与证券账户开户有效身份证明文件类型一致，参照中国结算《证券账户管理规则》等有关规定执行。中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 39 页共 66 页 6.3 证书补办请求的处理订户申请补办证书时，需按照初始申请证书签发相同的流程，持与初始申请证书签发时提交的有效身份证明文件相一致的有效身份证明文件，提出补办请求。其中，对于采用临柜或见证方式申领证书的订户，在申请补办证书时，不支持采用其他方式提出补办请求。中国结算授权的证书服务代理机构及其代理网点按照初始证书签发请求的处理流程对证书补办申请进行身份鉴别和审核，并为其补办证书。 6.4 证书补办的注意事项 1）进行证书补办时，订户原注册的证书持有人名称、国籍、有效身份证明文件类型及号码等要素信息不能发生变化。如需变更证书持有人有关信息，则需重新申请新的证书。 2）个人证书的补办申请需由证书所有者本人提出申请。 3）证书补办后，证书的有效期并没有改变，仍然为原证书有效期。 4）订户在补办证书前，应确保该证书密钥对的安全可靠。一旦无法确认这种可靠性，那么中国结算或中国结算授权的证书服务代理机构及其代理网点建议订户作废该证书，并重新申请签发新的证书。 6.5 构成接受补办证书的行为在订户证书补办请求获得批准后，中国结算 CA 系统中国结算或中国结算授权的证书服务代理机构及其代理网点将证书本身、或者证书获得的方式、或者下载证书所需的凭证递送给订户，就意味着订户已经接受了证书。订户接受数字证书后，应妥善保存与其证书对应的私钥。中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 40 页共 66 页下列行为被认为订户已经接受了证书：  订户接受了包含有证书的介质；  订户通过网络将证书下载或安装到本地存储介质，如本地计算机、USBKey、移动硬盘或其他移动存储介质；  订户接受了下载证书所需的凭证；  订户接受了获得证书的方式，并且没有提出反对证书或证书中的内容。如果订户在下载证书时发生错误，没有得到证书，而系统记录显示订户下载成功，也同样视为订户已经接受证书（证书服务代理机构及其代理网点技术支持人员有义务协助订户正确地获取证书）。中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 41 页共 66 页 7 证书冻结和解冻本节适用于已取得证书服务代理资格的机构为投资者办理证书冻结和解冻业务。证书冻结，是指将订户的证书标记为中国结算 CA 系统暂时不信任的状态。证书解冻，是指将已经冻结的证书标记为中国结算 CA 系统重新信任的状态。 7.1 申请证书冻结/解冻的情形订户暂时遗失或暂停使用证书，应对证书实施冻结。上述情形消失时，应对证书实施解冻。如果是司法机关依法提出证书冻结请求，中国结算或中国结算授权的证书服务代理机构及其代理网点将直接以司法机关书面的冻结文件作为依据，不再进行其他方式的审核。 7.2 受理范围证书服务代理机构及其代理网点受理的证书业务包括自然人投资者，普通法人机构投资者、合伙企业及非法人创投企业等非法人机构投资者的证书冻结/解冻申请。除中国结算另有规定外，自然人投资者，普通法人机构投资者、合伙企业及非法人创投企业等非法人机构投资者可在任意一家具有委托交易关系的证书服务代理机构办理证书冻结、解冻等业务。证券公司、基金管理公司、期货公司、商业银行、保险公司、信托公司、合格境外机构投资者、人民币合格境外投资者等特殊法人机构投资者及其产品，以及上市公司等数字证书使用者，承担证券期货市场公共职能的机构、承担证券期货行业信息技术公共基础设施运营的机构等证券期货市场核心机构及其下属机构，证券期货行业协会等中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 42 页共 66 页自律性社会团体，其他证券期货经营机构等证书服务代理及使用机构的证书冻结/解冻申请由中国结算直接受理，所需提交的有效身份证明文件类型与证券账户开户有效身份证明文件类型一致，参照中国结算《证券账户管理规则》等有关规定执行。 7.3 证书冻结请求的处理订户申请冻结证书时，中国结算授权的证书服务代理机构及其代理网点提供在线证书冻结和离线证书冻结两种方式，订户可以自行选择合适的冻结方式。其中，离线证书冻结可采取临柜、见证或中国结算认可的其他方式进行。对于在线证书冻结，订户提交能够识别原证书的足够信息，如证书甄别名等，并使用原证书的私钥对证书冻结请求信息签名。中国结算授权的证书服务代理机构及其代理网点接收到冻结请求信息后，应对签名和冻结请求内包含的用户信息的正确性、有效性进行验证，确认申请者的身份和请求信息后，为其冻结证书。对于离线证书冻结，订户需按照初始申请证书签发相同的流程，持与初始申请签发证书时提交的有效身份证明文件相一致的有效身份证明文件，提出冻结请求。其中，对于采用临柜或见证方式申领证书的订户，在申请冻结证书时，不支持采用其他方式提出冻结请求。中国结算授权的证书服务代理机构及其代理网点按照初始证书签发请求的处理流程对证书冻结申请进行身份鉴别和审核，并为其冻结证书。 7.4 证书解冻请求的处理订户申请解冻证书时，需按照初始申请证书签发相同的流程，持与初始申请证书签发时提交的有效身份证明文件相一致的有效身份中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 43 页共 66 页证明文件，提出解冻请求。其中，对于采用临柜或见证方式申领证书的订户，在申请解冻证书时，不支持采用其他方式提出解冻请求。中国结算授权的证书服务代理机构及其代理网点按照初始证书签发请求的处理流程对证书解冻申请进行身份鉴别和审核，并为其解冻证书。 7.5 证书冻结/解冻的注意事项 1）证书冻结后，未在有效期内进行解冻的，冻结的证书将被作废，无法解冻。 2）个人证书的解冻申请需由证书所有者本人提出申请。 3）中国结算或中国结算授权的证书服务代理机构及其代理网点收到证书冻结请求并审核完成后，会立即将证书冻结。特别说明：订户在正式提出证书冻结申请后不得在交易中继续使用此证书，否则由此产生的后果，由订户自行承担。 4）证书在冻结成功后，中国结算 CA 系统通过 CRL 发布证书冻结信息，依赖方可通过查询中国结算 CA 系统发布的 CRL 来完成检查或依据中国结算 CA 系统对外服务接口规范向中国结算 CA 系统提交证书查询请求来确认证书状态。 7.6 证书作废列表发布频率证书冻结后，需将其添加到 CRL（证书作废列表），并由中国结算 CA 系统对外进行更新和发布。证书解冻后，需将其从 CRL 中撤销，并由中国结算 CA 系统对外进行更新和发布。中国结算 CA 系统通常在 4 小时内自动更新和发布最新的 CRL，也可人工发布最新的 CRL。中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 44 页共 66 页 8 证书作废本节适用于已取得证书服务代理资格的机构为投资者办理证书作废业务。证书作废是指将订户的证书标记为中国结算 CA 系统永远不再信任的状态，并放臵于证书撤销列表中供依赖方查询。 8.1 申请证书作废的情形如有下列情况中的任何一种情况发生，则订户的证书将被作废： 1）新的密钥对替代旧的密钥对； 2）密钥失密：与证书对应的私钥被泄密或用户怀疑自己的密钥泄密； 3）订户书面申请作废数字证书； 4）订户不能履行《数字证书业务指引》及本指南或其他协议、法律及法规所规定的责任和义务； 5）订户申请初始注册时，提供不真实材料； 6）证书已被盗用、冒用、伪造或者篡改； 7）CA 失密：中国结算 CA 系统因运营问题，导致 CA 内部重要数据或 CA 根密钥失密等原因； 8）其他情况。这些情况可以是因法律或政策的要求中国结算或中国结算授权的证书服务代理机构及其代理网点采取的临时作废措施，也可以是用户申请作废证书时填写的其他原因。如果是司法机关依法提出证书作废请求，中国结算或中国结算授权的证书服务代理机构及其代理网点将直接以司法机关书面的作废文件作为依据，不再进行其他方式的审核。中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 45 页共 66 页 8.2 受理范围证书服务代理机构及其代理网点受理的证书业务包括自然人投资者，普通法人机构投资者、合伙企业及非法人创投企业等非法人机构投资者的证书作废申请。除中国结算另有规定外，自然人投资者，普通法人机构投资者、合伙企业及非法人创投企业等非法人机构投资者可在任意一家具有委托交易关系的证书服务代理机构办理证书作废业务。证券公司、基金管理公司、期货公司、商业银行、保险公司、信托公司、合格境外机构投资者、人民币合格境外投资者等特殊法人机构投资者及其产品，以及上市公司等数字证书使用者，承担证券期货市场公共职能的机构、承担证券期货行业信息技术公共基础设施运营的机构等证券期货市场核心机构及其下属机构，证券期货行业协会等自律性社会团体，其他证券期货经营机构等证书服务代理及使用机构的证书作废申请由中国结算直接受理，所需提交的有效身份证明文件类型与证券账户开户有效身份证明文件类型一致，参照中国结算《证券账户管理规则》等有关规定执行。 8.3 证书作废请求的处理订户申请作废证书时，需按照初始申请证书签发相同的流程，持与初始申请证书签发时提交的有效身份证明文件相一致的有效身份证明文件，提出作废请求。其中，对于采用临柜或见证方式申领证书的订户，在申请作废证书时，不支持采用其他方式提出作废请求。中国结算授权的证书服务代理机构及其代理网点按照初始证书签发请求的处理流程对证书作废申请进行身份鉴别和审核，并为其作废证书。中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 46 页共 66 页 8.4 证书作废的注意事项 1）个人证书的作废申请需由证书所有者本人提出申请。 2）订户一旦发现需要作废证书，应及时向中国结算或具有委托交易关系的中国结算授权的证书服务代理机构及其代理网点提出作废请求。 3）中国结算或中国结算授权的证书服务代理机构及其代理网点收到作废请求并审核完成后，会立即将证书作废。特别说明：订户在正式提出证书作废申请后不得在交易中继续使用此证书，否则由此产生的后果，由订户自行承担。 4）证书在作废成功后，中国结算 CA 系统通过 CRL 发布证书作废信息，依赖方可通过查询中国结算 CA 系统发布的 CRL 来完成检查或依据中国结算 CA 系统对外服务接口规范向中国结算 CA 系统提交证书查询请求来确认证书状态。 5）证书对应的私钥一旦损坏、或有充足的理由发现其密钥遭受安全威胁时，应及时地提出证书作废请求。当中国结算发现、或有充足的理由相信中国结算 CA 系统根私钥泄漏时，中国结算将会主动、及时地作废证书，并通知订户。 8.5 证书作废列表发布频率中国结算 CA 系统通常在 4 小时内自动更新和发布最新的 CRL（证书作废列表），也可人工发布最新的 CRL。中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 47 页共 66 页 9 法律责任和其它条款 9.1 财务责任中国结算授权的证书服务代理机构应具有维持其运作和履行其责任的经济实力，并保证相应业务的履行，承担对订户及对依赖方的相关责任。 9.2 业务信息保密 9.2.1 保密信息范围保密信息包括但不限于以下内容： 1、中国结算与其授权的证书服务代理机构、订户、依赖方之间的协议、资料中未公开的内容等。 2、订户私钥属于保密信息，订户应该根据本指南的规定妥善保管，如因订户自己泄露私钥造成的损失，订户应自行承担。 3、对中国结算 CA 系统或其相关机构的审计报告、审计结果等。 4、有关认证系统的运营信息、技术手册等资料。除非法律明文规定或政府、执法机关、中国结算业务规则等要求，中国结算及其授权的证书服务代理机构承诺不对外公布或透漏上述保密信息。 9.2.2 不属于保密的信息 1、中国结算 CA 系统签发的证书和 CRL 中的信息。 2、在提供方披露数据和信息之前，已被接受方所持有的数据和信息。 3、在提供方披露数据和信息时或在披露数据和信息之后，非由于接受方的原因而被披露的信息。 4、经公开或通过其他途径成为公众领域的一部分数据和信息。中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 48 页共 66 页 5、有权披露的第三方披露给接受方的数据和信息。 6、其他可以通过公共、公开渠道获得的信息。 9.3 个人隐私保密 9.3.1 隐私保密方案中国结算尊重所有订户和他们的隐私，隐私信息保密方案遵守现行法律和政策。任何人选择使用中国结算 CA 系统的任何服务，就表明已经同意接受中国结算的隐私保护制度。 9.3.2 作为隐私处理的信息中国结算 CA 系统在管理和使用订户提供的相关信息时，除了证书中已经包括的信息以及证书状态信息外，该订户的基本信息将被视为隐私处理，非经订户同意或有关法律法规、公共权力部门根据合法的程序要求，不会任意公开。证书服务代理机构、依赖方需核对订户信息的，获取的订户信息仅可用于身份核对，不能另作他用。证书服务代理机构、依赖方违反此使用范围，对订户造成损失的，应承担相应责任。 9.3.3 不被视作隐私的信息订户持有的证书信息，以及证书状态等信息不被视为隐私信息。 9.3.4 保护隐私的责任中国结算 CA 系统、订户、证书服务代理机构、依赖方等机构或个人都有义务按照中国结算相关业务规则、相关法律法规的规定，承担相应的隐私保护责任。在法律法规或公共权力部门通过合法程序要求下，中国结算 CA 系统可以向特定的对象公布隐私信息，中国结算无需承担由此造成的任何责任。中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 49 页共 66 页 9.3.5 使用隐私信息的告知与同意 1、订户同意，中国结算 CA 系统在业务范围内并按照本指南规定的隐私保护政策使用所获得的任何订户信息，无论是否涉及到隐私，中国结算均可以不用告知订户。 2、订户同意，在任何法律法规或公共权力部门要求下，中国结算 CA 系统向特定对象披露隐私信息时，中国结算均可以不用告知订户。 9.3.6 依法律或行政程序的信息披露除非符合下列条件，中国结算 CA 系统不会将订户的隐私信息提供给其他个人或第三方机构： 1、司法、行政部门或其他法律法规授权的部门依据政府法律法规、规章、决定、命令等的规定通过合法授权提出的申请。 2、订户采用书面形式的信息披露授权。 3、中国结算规定的其他可以披露的情形。 9.3.7 其它信息披露情形中国结算 CA 系统、订户、证书服务代理机构、依赖方等机构或个人都有义务按照规定，承担相应的保护隐私责任。在法律法规或公共权力部门通过合法程序或订户书面申请授权要求下，中国结算 CA 系统可以向特定的对象公布隐私信息，中国结算无需承担由此造成的任何责任。 9.4 知识产权中国结算享有并保留对证书以及中国结算 CA 系统提供的全部软件、资料、数据等的著作权、专利申请权等知识产权。中国结算 CA 系统制订并发布的业务指引、业务指南以及相关政策、发布的证书和 CRL 均为中国结算的财产，中国结算对其拥有知识产权；在中国结算 CA 系统中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 50 页共 66 页目录中使用的代表单位的甄别名称(DN),以及发给最终实体证书中的甄别名称都会包含一个相关的代表中国结算 CA 系统的名称，中国结算对此拥有知识产权。 9.5 陈述与担保 9.5.1 中国结算的陈述与担保中国结算 CA 系统的运营遵守本指南并随着业务的调整对本指南进行修订。中国结算或中国结算授权的任何证书服务代理机构并非证书订户的代理人、受托人或其它代表。证书订户无权以合约或其他方式约束中国结算或中国结算授权的证书服务代理机构承担订户的代理人、受托人或其它代表之职责。在订户通过数字证书对信息进行签名时，中国结算 CA 系统保证在现有技术条件下签发的数字证书不会被伪造、篡改。保证信息的完整性、抗抵赖性。如果发生纠纷，中国结算 CA 系统承担下述义务： 1）提供签发该张订户数字证书的 CA 证书。 2）提供该张数字证书在签名发生时，在或不在中国结算 CA 系统发布的 CRL 内的证明。 3）对数字证书、数字签名、时间戳的真实性、有效性进行技术确认。 9.5.2 证书服务代理机构的陈述与担保证书服务代理机构负责审核申请者的身份并决定接受或拒绝申请者申请、负责录入订户信息，并将证书申请、更新、冻结、解冻、补办等信息安全地传送到中国结算 CA 系统。证书服务代理机构声明和承诺：中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 51 页共 66 页 1、根据中国结算制订的《数字证书业务指引》等有关规定，对订户的证书申请材料进行审核，确保证书申请材料中信息的真实性、完整性和准确性，并有权决定接受或拒绝证书申请。 2、如订户的证书申请未通过审查，证书服务代理机构有告知订户的义务，如证书申请被批准，证书服务代理机构有义务通知订户并且指导订户得到证书。 3、证书服务代理机构应在合理的时间内完成证书申请处理。 4、有义务通知订户阅读中国结算发布的数字证书业务指引、指南和其它相关规定，在订户完全知晓并同意数字证书业务指引、指南和其它相关规定内容的前提下，为订户办理数字证书。 5、证书服务代理机构应使订户明确地知道关于使用数字证书的意义、数字证书的功能、使用范围、使用方式、密钥管理以及丢失数字证书的后果和处理措施、法律责任限制。 6、证书签发及被作废时及时通知订户。 7、证书服务代理机构有义务在订户数字证书有效期前提醒订户及时更新证书。 8、在接到证书申请者或订户关于证书的有效请求时，进行相应证书操作，并保留全部请求、操作记录和日志。 9、证书服务代理机构应当通过电子介质保存相关市场参与者业务申请材料，并将纸质材料按申请日期顺序装订，妥善保管不少于 20 年且自数字证书作废后起算不少于 5 年。 10、基于中国结算 CA 系统规定的信息传输协议和标准与中国结算 CA 系统交换数据。中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 52 页共 66 页 9.5.3 订户的陈述与担保订户声明和承诺： 1、订户确认已经阅读和理解了本指南及有关规定的全部内容，并同意受此指南文件规定的约束。 2、订户应遵循诚实、信用原则，在申请数字证书时，应当提供真实、完整和准确的信息和资料，并在这些信息、资料发生改变时及时通知委托交易关系的注册机构。如因订户故意或过失提供的资料不真实或资料改变后未及时通知注册机构，造成的损失由订户自己承担。 3、订户可委托注册机构代其下载数字证书，也可获得数字证书的下载凭证，并亲自用凭证信息从中国结算或中国结算授权的证书服务代理机构及其代理网点提供的渠道下载数字证书。订户获得的下载凭证为一次性使用，有效期为 14 个自然日。下载凭证过期或丢失的，订户需重新办理证书申请签发。 4、订户应将证书用于合法目的并符合《数字证书业务指引》等有关规定和本指南有关要求。 5、订户应对使用证书的行为承担责任。 6、订户应使用可信的安全系统产生密钥对，防止密钥遭受攻击丢失、泄漏和误用；订户应当妥善保管中国结算 CA 系统签发的证书对应的私钥和密码，不得泄漏或交付他人。如因故意或过失导致他人知道、盗用、冒用数字证书对应的私钥和密码时，订户应承担由此产生的责任。 7、如订户使用的证书对应的私钥和密码泄漏、丢失，或者订户不希望继续使用证书时，或者订户主体不存在或变更，订户或法定权利人应当立即到注册机构申请作废该数字证书。中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 53 页共 66 页 8、由于以下情况订户损害中国结算利益的，订户须向中国结算赔偿全部损失。这些情况是： 1) 订户在申请数字证书时没有提供真实、完整、准确的信息，在这些信息变更时未及时通知中国结算 CA 系统； 2) 订户知道自己的私钥已经失密或者可能已经失密未及时告知有关各方、并终止使用； 3) 订户有其他过错或未履行双方约定。 9、随着技术的进步，中国结算有权要求订户更换数字证书。订户在收到数字证书更换通知后，应在规定的期限内到中国结算或中国结算授权的证书服务代理机构及其代理网点更换。因订户逾期没有更换数字证书而引起的后果，中国结算不承担责任。 9.5.4 依赖方的陈述与担保依赖方声明和承诺： 1、使用适当的软件和硬件进行数字签名的验证或其它操作； 2、确信订户信息前检查 CRL 获知证书状态并验证签名； 3、只在符合相关策略和本指南规定的证书应用范围内信任该证书； 4、确认证书链的合法性； 5、同意本指南中关于中国结算责任限制的规定。 9.6 担保免责 1、证书申请者或订户故意提供或未按照要求提供不准确或不真实或不完整的信息而获得中国结算 CA 系统签发的数字证书，订户在使用该证书时引起的责任，中国结算及其授权的证书服务代理机构不予承担任何责任。 2、订户故意、过失导致数字证书私钥泄密或被盗用、冒用、伪造中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 54 页共 66 页或者篡改的，订户在使用该证书时引起的责任，中国结算及其授权的证书服务代理机构不予承担任何责任。 3、订户知悉数字证书私钥已经失密或者可能已经失密而未及时告知中国结算及各相关方，订户在继续使用该证书时引起的责任，中国结算及其授权的证书服务代理机构不予承担任何责任。 4、订户在不可信赖或不安全的系统上使用其拥有的数字证书私钥，或使用已泄密或可能泄密、已过期、已冻结、已作废的数字证书时引起的责任，中国结算及其授权的证书服务代理机构不予承担任何责任。 5、由于非中国结算 CA 系统原因造成的设备故障、网络中断导致证书报错、交易中断或其他事故造成的损失，中国结算不向任何方承担赔偿和/或补偿责任。 6、中国结算对各类证书的适用范围作了规定，若证书被超范围使用或被用于其他不被中国结算允许的用途，中国结算及其授权的证书服务代理机构不承担任何法律责任。 7、对于由于中国结算授权的证书服务代理机构的越权行为或其他过错行为所引发的违反约定义务而对订户造成的损失，中国结算不承担赔偿和/或补偿责任。 8、由于不可抗力因素导致中国结算 CA 系统暂停、终止部分或全部数字证书服务，中国结算不承担赔偿和/或补偿责任。 9.7 中国结算承担赔偿责任的限制 1、除非有另外的规定或约定,对于非因本指南项下的认证服务而导致的任何损失，中国结算不向订户或依赖方承担任何赔偿或补偿责任。 2、订户或依赖方进行的民事活动因中国结算 CA 系统提供的认证服务而遭受的损失，中国结算将依据本指南的相关条款给予赔偿。但如中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 55 页共 66 页果中国结算能够证明其提供的服务是按照《电子签名法》、《数字证书业务指引》等有关规定及本指南实施的，则不视为中国结算具有任何过错，也不对订户或依赖方承担任何赔偿或补偿责任。 3、无论本指南是否有相反或不同规定，就以下损失或损害，中国结算不承担任何赔偿或补偿责任：（1）订户或依赖方的任何间接损失、直接或间接的利润或收入损失、信誉或商誉损害、任何商机或契机损失、失去项目、失去或无法使用任何数据、设备或软件；（2）由上述损失相应生成或附带引起的损失或损害； 9.8 有效期限与终止 9.8.1 生效日期本指南自正式发布之日起生效。 9.8.2 终止中国结算有权终止本指南（包括其修订版本）。 9.8.3 效力的终止与保留本指南中涉及的审计、保密信息、隐私保护、知识产权等方面，以及涉及赔偿的有限责任条款，在本指南终止后继续有效。 9.9 修订中国结算有权修订本指南。 9.9.1 通知机制中国结算有权修订本指南中的任何术语、条款，事前无需通知任何一方，但在修订后会及时公布在中国结算网站上。中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 56 页共 66 页 9.9.2 必须修改业务指南的情形当本指南描述的规则、流程和相关技术已经不能满足中国结算数字证书认证业务指引要求或本指南依据的法律法规和部门规章变更时，中国结算将依照有关规定修改本指南的相关内容。 9.10 争议处理订户或依赖方在发现或怀疑由中国结算 CA 系统提供的认证服务造成订户信息的泄漏或篡改时，应及时通知中国结算及各依赖方。中国结算将组织人员收集相关事实，并向当事人提供相关解释说明，以及必要的解决方法。 9.11 与适用法律的符合性若本指南的某一条款被主管部门宣布为非法、不可执行或无效时，中国结算将对该不符合性条款进行修改，直至该条款合法和可执行为止。本指南某一个条款的不可执行性不会导致其它条款的不可执行性。 9.12 不可抗力不可抗力是指不能预见、不能避免并不能克服的的客观情况。构成不可抗力的事件包括但不限于：（1）自然现象或者自然灾害，包括地震、火山爆发、滑坡、泥石流、雪崩、洪水、海啸、台风等自然现象；（2）社会现象、社会异常事件或者政府行为，包括政府颁发新的政策、法律和行政法规，或战争、罢工、骚乱、恐怖行动、传染性疾病等社会异常事件；（3）关联单位如电力、电信、通讯部门服务中断，互联网或其它基础设施无法使用等。但各方都有义务建立灾难恢复和业务连续性机制。中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 57 页共 66 页附件 1：证书服务代理资格申请表证书服务代理资格申请表申请人名称申请人简称法定代表人营业执照注册号组织机构代码号机构注册地址注册地区业务联系地址邮政编码机构类型 □综合类证券公司 □经纪类证券公司 □其他证券公司 □其他 □境内银行 □境外托管银行 □基金公司 □期货公司 □保险公司部门名称证书业务管理部门负责人业务联系人电话姓名电话手机传真 E-mail 本公司承诺遵守《证券法》、《电子签名法》、《中国证券登记结算有限责任公司数字证书认证业务指引(试行)》、《中国证券登记结算有限责任公司数字证书认证业务指南（试行）》等法律法规及业务规则的有关要求进行代理证书业务。申请人盖章：法定代表人签字：申请时间：年中国结算数字证书认证业务指南（试行）月日中国证券登记结算有限责任公司第 58 页共 66 页附件 2：证书服务代理网点申请表证书服务代理网点申请表（法人）代理机构名称：联系人：联系电话：传真：联系地址：序号证书服务营业部名称邮编：地址负责人联系电话证书服务代理机构盖章：负责人：年月日中国结算数字证书认证业务指南（试行）传真中国证券登记结算有限责任公司第 59 页共 66 页附件 3：证书业务专用章报备表证书业务专用章报备表证书服务代理机构全称：证书服务代理网点全称：证书业务专用章名称：证书业务专用章样章启用日期证书服务代理机构公章：制表日期：法人代表签字：制表人：填写须知： 1、证书服务代理机构全称必须与法人营业执照上全称一致； 2、证书服务代理机构全称、证书服务代理网点全称、证书业务专用章名称及启用日期必须为打印稿，不可手写修改； 3、证书业务专用章样章、证书服务代理机构公章及法人签字须清晰可辨。中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 60 页共 66 页附件 4：证书业务专用章样式及说明样章尺寸：50mm*20mm ；证书服务代理机构名称指：**证券公司 **营业部名称、**银行**证书服务代理网点名称等形式。证书服务代理机构名称数字证书业务专用章 1．证书业务专用章的式样说明如下：（1）必须为长 50 毫米、宽 20 毫米（50mmΧ20mm）的矩形章；（2）以阳文刻有“某某证书服务代理机构某某证书服务代理网点数字证书业务专用章”字样，其中证书服务代理机构名称必须与报备材料中全称一致，其证书服务代理网点名称可使用简称或经证书服务代理机构核准的编号等。；（3）对于“证书服务代理机构名称”难以在一行刻写完整的，可以换行刻写；（4）专用章的材质、字体均不限，但必须确保整个专用章的清晰可辨。 2．境外证书服务代理机构证书业务专用章可以使用英文字样。 3．境内证书服务代理机构证书业务专用章的刻制应按公章刻制有关规定自行向当地公安部门办理申请登记和审批手续，在公安部门指定的印章雕刻公司刻制。 4．在启用前，证书服务代理机构应将填写完整的证书业务专用章报备表印模送中国结算备案。 5．证书服务代理机构必须按照《证书业务专用章报备表》中注明的启用日期启用证书业务专用章。若需更换或注销证书业务专用章，证书服务代理机构必须事先向中国结算提供“情况说明”，其中应加盖中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 61 页共 66 页拟更换或注销的专用章样式，以便中国结算核对，“情况说明”落款必须盖有证书服务代理机构公章。拟更换专用章的还需提供填写完整的新《证书业务专用章报备表》。 6．证书服务代理机构必须建立印章登记制度，对印章的制发、交接使用、回收、注销等进行严格管理。证书服务代理机构可自行对印章进行编号，以便于管理。 7．证书业务专用章只可在《数字证书业务指引》规定的证书代理业务范围内使用。中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 62 页共 66 页附件 5：个人数字证书业务申请表个人数字证书业务申请表姓名有效身份证明文件类别国籍或地区 □身份证 □护照 □其他有效身份证明申请人文件号码移动电话固定电话联系地址邮政编码电子邮件地址填服务类型 □证书申请 □证书更新 □证书冻结 □证书解冻 □证书补办 □证书作废写证书类型 □硬证书 □软证书申请方式 □临柜 □见证郑重声明 1、承诺以上所填信息及相关证明材料完全真实有效，并愿意承担由于提供的资料虚假失实而导致的一切后果。2、已认真阅读、理解并同意接受《个人数字证书申请责任书》中的各项规定。申请人签名：证书服务代理机构填写备注 □其它日期：年月日审核资料： □已审核有效身份证明文件及复印件 □已核对受理表上填写的信息及相关证明材料 □已提请申请人对《个人数字证书申请责任书》进行全面、准确的理解，并应申请人的要求对相应内容作了说明 □申请人是否已签名经办人：证书服务代理机构盖章：复核人：填表日期：说明：1、在填写申请表之前，请仔细阅读申请表背面的《个人数字证书申请责任书》。2、用户申请时，须携带身份证等其他有效证件的原件和复印件。3、证书有效期从签发之日计算，证书有效期将签发在该证书中。4、填写内容必须真实、准确、完整，字迹要清楚、整洁。中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 63 页共 66 页个人数字证书申请责任书为确保数字证书能正确标识申请人身份，明确电子认证各方的义务和责任，申请人在申请和使用中国结算 CA 系统签发的数字证书时，须认真阅读《个人数字证书申请责任书》（以下简称“本责任书” ）。申请人在纸质的《个人数字证书业务申请表》上签字后或在线阅读电子版的本责任书并选择接受后，则表示申请人已经认真阅读和理解本责任书，并同意接受本责任书的各项规定。若您不同意本责任书的全部或部分规定，请勿申请和使用中国结算 CA 系统签发的数字证书。 (一) 个人数字证书是经中国结算 CA 系统签发的包含个人信息的数字证书，它用于标志自然人在进行信息交换、电子签名、电子商务等网络活动中的身份。 (二) 在申请和使用证书及其相关服务前，申请人还须了解并遵守《中国结算数字证书认证业务指引（试行）》、《中国结算数字证书认证业务业务指南（试行）》的相关内容及其他与证书相关的义务及法律责任。《中国结算数字证书认证业务指引（试行）》和《中国结算数字证书认证业务指南（试行）》公布在中国结算网站上（www.chinaclear.cn）。 (三) 申请人应承诺在申请表中所填信息及提供的相关证明材料完全真实有效，并愿意承担由此带来的法律责任。 (四) 申请人的申请一旦获得批准，无论是否已经接受证书，申请人自动成为证书持有人。 (五) 证书持有人必须确保其持有的证书用于申请时预定的目的。中国结算 CA 系统签发的各类证书，仅用于表明证书持有人在申请证书时所要标识的身份，以及验证其使用该证书内包含的公钥所对应的私钥制作的签名。如果证书持有人将该证书用于其他用途，中国结算及其授权的证书服务代理机构将不承担任何由此产生的责任和义务。 (六) 证书持有人必须保证数字证书对应的私钥及数字证书下载凭证的安全，不得泄露或交付他人。如因故意、过失导致他人知道或盗用、冒用、伪造或篡改时，所造成的后果责任自负。 (七) 证书持有人在使用自己的私钥或数字证书时，应当使用可依赖、安全的系统。一旦发生私钥泄密或任何可能导致证书持有人私钥安全性危机的情况，证书持有人应立刻告知中国结算及其授权的证书服务代理机构。如果证书持有人明知私钥安全性出现问题而未及时告知中国结算以及其授权的证书服务代理机构，而给中国结算以及其授权的证书服务代理机构、其他证书持有人、证书依赖方或者其它相关方造成损失的，该证书持有人应承担相应的赔偿责任。 (八) 随着技术进步，中国结算及其授权的证书服务代理机构有权要求证书持有人及时更换数字证书。证书持有人在收到技术更新通知时，应在规定的期限内更新数字证书。若证书持有人没有按时更新数字证书所导致的后果，中国结算及其授权的证书服务代理机构不承担任何责任。 (九) 因自然人死亡或单位解散等原因导致证书持有人主体不存在时，法定责任人应当携带相关证明文件及原数字证书，向中国结算或其授权的证书服务代理机构请求作废数字证书。相关责任人应当承担数字证书在注销前产生的一切责任。 (十) 中国结算及其授权的证书服务代理机构仅对申请人所提供的申请资料进行审核，核查申请人身份证明文件是否有效，申请表所填写内容与身份证明文件相关内容是否一致。但是，这并不表明对申请人所提供的申请资料作出真实性判断或者保证。对下列情况之一所引起的法律纠纷，中国结算及其授权的证书服务代理机构不承担责任：（1）申请人使用虚假资料申请数字证书服务；（2）违规使用他人合法证件申请数字证书服务；（3）其它违规申请数字证书服务的情况。 (十一) 中国结算在已谨慎地遵循了国家法律、法规有关规定的情况下，但由于中国结算 CA 系统的软硬件设备或网络故障等无法预见的因素而导致数字证书服务延迟、中断或无法签发，而有损失产生的，中国结算 CA 系统将重新签发证书，但中国结算及其授权的证书服务代理机构不承担任何责任。 (十二) 因不可抗力原因而暂停或终止全部或部分证书服务的，中国结算及其授权的证书服务代理机构不承担任何责任。 (十三) 根据《中华人民共和国公司法》、《电子认证服务管理办法》、《中国结算数字证书认证业务指引（试行）》和其他法律法规的规定，中国结算在承担任何责任和义务时，只承担法规范围内的有限责任。中国结算的担保免责和赔偿责任详见《中国结算数字证书认证业务指南（试行）》。 (十四) 中国结算修订业务指引、指南等业务规则及本责任书时，应当公告提示，不须知会每个申请人和证书持有人。申请人和证书持有人应当按照修订后的业务指引、指南等业务规则及《个人数字证书申请责任书》执行。中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 64 页共 66 页附件 6：企业数字证书业务申请表企业数字证书业务申请表单位全称组织机构代码注册地址国籍或地区联系地址邮政编码有效身份证明文件类别 □工商营业执照 □社团法人注册登记证书 □机关法人成立批文 □事业单位法人证书 □境外有效商业登记证明文件 □其他______________ 有效身份证明发证机关文件号码法人性质申（可选多项）打 “√” 请 □境内法人 □企业法人 □事业法人 □社团法人 □机关法人 □境外法人 □境外基金 □境外证券公司 □境外代理人 □境外一般机构 □特殊机构 □综合类证券公司 □经纪类证券公司 □银行 □其他证券投资基金 □封闭式证券投资基金 □开放式证券投资基金 □信托投资公司 □基金管理公司 □ 社保基金 □保险公司 □其他 □其它 □证券期货市场核心机构 □证券期货行业协会 □上市公司人法定代表人填有效身份证明写文件类别国籍或地区 □身份证 □护照 □其他有效身份证明文件号码持证人姓名有效身份证明文件类别国籍或地区 □身份证 □护照 □其他有效身份证明文件号码经办人姓名有效身份证明文件类别国籍或地区 □身份证 □护照 □其他有效身份证明文件号码经办人联系地址邮政编码经办人移动电话固定电话服务类型 □证书申请 □证书更新 □证书冻结 □证书解冻 □证书补办 □证书作废证书类型 □硬证书 □软证书申请方式中国结算数字证书认证业务指南（试行） □临柜 □见证中国证券登记结算有限责任公司郑重声明第 65 页共 66 页 1、本单位全权委托上述经办人处理数字证书服务申请的相关事宜。2、承诺以上所填信息及相关证明材料完全真实有效，并愿意承担由于提供的资料虚假失实而导致的一切后果。3、已认真阅读、理解并同意接受《企业数字证书申请责任书》中的各项规定。经办人签名：日期：年月日审核资料：证书服务代理机构填写 □组织机构代码证文件及复印件或加盖发证机关确认章的复印件 □法人有效身份证明文件及复印件或加盖发证机关确认章的复印件 □经办人有效身份证明文件及复印件 □证书持有人有效身份证明文件复印件 □法定代表人证明书、法定代表人授权委托书（境内法人提供） □法定代表人有效身份证明文件复印件（境内法人提供） □境外法人董事会、董事或主要股东授权委托书及授权人的有效身份证明文件复印件 □已核对受理表上填写的信息及相关证明材料 □已提请申请人对《企业数字证书申请责任书》进行全面、准确的理解，并应申请人的要求对相应内容作了说明 □申请人是否已签名 □本表内容是否填写全面、正确经办人：证书服务代理机构盖章：复核人：填表日期：备注说明：1、在填写申请表之前，请仔细阅读申请表背面的《企业数字证书申请责任书》。2、用户申请时，须携带有效证件的原件和复印件（复印件需加盖申请单位公章）。3、证书有效期从签发之日计算，证书有效期将签发在该证书中。4、填写内容必须真实、准确、完整，字迹要清楚、整洁。中国结算数字证书认证业务指南（试行）中国证券登记结算有限责任公司第 66 页共 66 页企业数字证书申请责任书为确保数字证书能正确标识申请人身份，明确电子认证各方的义务和责任，申请人在申请和使用中国结算 CA 系统签发的数字证书时，须认真阅读《企业数字证书申请责任书》（以下简称“本责任书” ）。申请人在《企业数字证书业务申请表》上签字后，表示已经认真阅读和理解本责任书，并同意接受本责任书的各项规定。若您不同意本责任书的全部或部分规定，请勿申请和使用中国结算 CA 系统签发的数字证书。 (一) 企业数字证书是经中国结算 CA 系统签发的包含企业信息的数字证书，它用于标志企事业单位在进行信息交换、电子签名、电子商务等网络活动中的身份。 (二) 在申请和使用证书及其相关服务前，申请人还须了解并遵守《中国结算数字证书认证业务指引（试行）》、《中国结算数字证书认证业务业务指南（试行）》的相关内容及其他与证书相关的义务及法律责任。《中国结算数字证书认证业务指引（试行）》和《中国结算数字证书认证业务指南（试行）》公布在中国结算网站上（www.chinaclear.cn）。 (三) 申请人应承诺在申请表中所填信息及提供的相关证明材料完全真实有效，并愿意承担由此带来的法律责任。 (四) 申请人的申请一旦获得批准，无论是否已经接受证书，申请人自动成为证书持有人。 (五) 证书持有人必须确保其持有的证书用于申请时预定的目的。中国结算 CA 系统签发的各类证书，仅用于表明证书持有人在申请证书时所要标识的身份，以及验证其使用该证书内包含的公钥所对应的私钥制作的签名。如果证书持有人将该证书用于其他用途，中国结算及其授权的证书服务代理机构将不承担任何由此产生的责任和义务。 (六) 证书持有人必须保证数字证书对应的私钥及数字证书下载凭证的安全，不得泄露或交付他人。如因故意、过失导致他人知道或盗用、冒用、伪造或篡改时，所造成的后果责任自负。 (七) 证书持有人在使用自己的私钥或数字证书时，应当使用可依赖、安全的系统。一旦发生私钥泄密或任何可能导致证书持有人私钥安全性危机的情况，证书持有人应立刻告知中国结算及其授权的证书服务代理机构。如果证书持有人明知私钥安全性出现问题而未及时告知中国结算以及其授权的证书服务代理机构，而给中国结算以及其授权的证书服务代理机构、其他证书持有人、证书依赖方或者其它相关方造成损失的，该证书持有人应承担相应的赔偿责任。 (八) 随着技术进步，中国结算及其授权的证书服务代理机构有权要求证书持有人及时更换数字证书。证书持有人在收到技术更新通知时，应在规定的期限内更新数字证书。若证书持有人没有按时更新数字证书所导致的后果，中国结算及其授权的证书服务代理机构不承担任何责任。 (九) 因自然人死亡或单位解散等原因导致证书持有人主体不存在时，法定责任人应当携带相关证明文件及原数字证书，向中国结算或其授权的证书服务代理机构请求作废数字证书。相关责任人应当承担数字证书在注销前产生的一切责任。 (十) 中国结算及其授权的证书服务代理机构仅对申请人所提供的申请资料进行审核，核查申请人身份证明文件是否有效，申请表所填写内容与身份证明文件相关内容是否一致。但是，这并不表明对申请人所提供的申请资料作出真实性判断或者保证。对下列情况之一所引起的法律纠纷，中国结算及其授权的证书服务代理机构不承担责任：（1）申请人使用虚假资料申请数字证书服务；（2）违规使用他人合法证件申请数字证书服务；（3）其它违规申请数字证书服务的情况。 (十一) 中国结算在已谨慎地遵循了国家法律、法规有关规定的情况下，但由于中国结算 CA 系统的软硬件设备或网络故障等无法预见的因素而导致数字证书服务延迟、中断或无法签发，而有损失产生的，中国结算 CA 系统将重新签发证书，但中国结算及其授权的证书服务代理机构不承担任何责任。 (十二) 因不可抗力原因而暂停或终止全部或部分证书服务的，中国结算及其授权的证书服务代理机构不承担任何责任。 (十三) 根据《中华人民共和国公司法》、《电子认证服务管理办法》、《中国结算数字证书认证业务指引（试行）》和其他法律法规的规定，中国结算在承担任何责任和义务时，只承担法规范围内的有限责任。中国结算的担保免责和赔偿责任详见《中国结算数字证书认证业务指南（试行）》。 (十四) 中国结算修订业务指引、指南等业务规则及本责任书时，应当公告提示，不须知会每个申请人和证书持有人。申请人和证书持有人应当按照修订后的业务指引、指南等业务规则及《企业数字证书申请责任书》执行。中国结算数字证书认证业务指南（试行）