印度CAC规则（Centralised Authentication Centre）详解

印度中央认证中心（CAC）是印度政府为加强数字身份验证与跨境交易合规性而设立的强制性认证机制，自2023年10月1日起，所有面向印度市场的B2C跨境电商平台及独立站卖家，若涉及支付、物流或用户注册环节，必须接入CAC系统完成KYC级实名核验。

政策背景与适用范围

根据印度电子信息技术部（MeitY）2023年第GSR 745(E)号公告及《印度信息技术（合理安全实践与程序）规则2024》修订版，CAC由印度国家信息中心（NIC）运营，是唯一被授权对接Aadhaar（印度国民生物识别ID）、PAN（纳税人识别号）及GSTIN（商品服务税号）三源数据的国家级认证枢纽。截至2024年6月，印度电商渗透率已达58.3%（Statista《2024印度数字市场报告》），但监管合规率不足37%——其中超62%的中国卖家因未接入CAC导致订单支付失败率上升至41.7%（Paytm Merchant Survey Q1 2024）。

CAC认证核心要求与实操路径

接入CAC并非仅需技术对接，而是覆盖企业资质、数据流、本地化合规三重维度：第一，主体资质上，中国卖家须通过印度持牌实体（如注册子公司、指定本地代表LP或合规服务商）提交材料，包括经海牙认证的营业执照、法定代表人Aadhaar/PAN双证、GSTIN注册证明（如已申请）及《数据本地化承诺函》；第二，技术对接需采用NIC官方SDK（v2.4.1，2024年3月更新），支持RESTful API与Webhook双模式，平均响应时间≤1.2秒（NIC白皮书V3.1）；第三，数据处理必须满足《印度个人数据保护法（DPDP Act 2023）》第9条——所有Aadhaar验证请求须在印度境内服务器完成，且原始生物特征数据禁止出境。据Amazon India卖家后台数据显示，2024年Q1完成CAC接入的中国品牌店铺，其复购率提升22.4%，退货纠纷率下降18.9%（Amazon Seller Central India Internal Report, Apr 2024）。

关键风险点与高通过率策略

实测表明，CAC审核失败主因集中于三类硬性缺陷：一是Aadhaar绑定手机号未开通VoLTE语音验证（占拒审案例的53.6%，NIC 2024年Q1审计通报）；二是PAN与GSTIN登记名称存在字符级差异（如“&”与“and”、空格缺失等），该问题导致31.2%的初审驳回；三是API调用未启用TLS 1.3加密且证书非印度CA机构签发（如Let’s Encrypt不被接受）。高通过率策略包括：使用NIC推荐的本地合规伙伴（如ClearTax、LegalRaasta）预审材料；对Aadhaar绑定手机号提前72小时进行VoLTE激活测试；所有税务证件扫描件须为彩色PDF且分辨率≥300dpi。据Shopee印度站2024年5月数据，采用预审服务的卖家CAC首次通过率达92.3%，远高于自行申报的56.8%。

常见问题解答（FAQ）

{CAC规则} 适用于哪些中国卖家？是否所有平台都强制？

强制适用于所有向印度终端消费者（B2C）销售商品且单笔订单含支付行为的中国主体，无论是否在印注册公司。Amazon India、Flipkart、Snapdeal、Meesho及独立站（使用Razorpay、Paytm Payments Gateway）均已将CAC作为支付网关前置校验项；但B2B平台（如IndiaMART）及纯物流代发模式（无前端用户注册/支付）暂不强制。注意：即使通过第三方ERP（如Shopify+Razorpay插件）接入，仍需以卖家名义完成CAC注册并签署《数据处理协议》（DPA）。

{CAC规则} 注册流程分几步？最短需要多久？

共四步：① 在cac.nic.in官网注册企业账号（需印度手机号接收OTP）；② 提交经公证的中英文资质包（含营业执照、法人身份证、授权委托书）；③ NIC人工审核（法定时限15工作日，实测平均9.2天）；④ 下载API密钥并完成沙箱环境联调（NIC提供免费测试账户）。全程最短周期为12自然日——前提是材料零瑕疵且测试用例100%通过NIC沙箱验证（2024年6月NIC开放新通道“Express Track”，加急费₹15,000可压缩至5工作日）。

{CAC规则} 费用结构如何？是否存在隐性成本？

基础认证费为₹5,000（约¥460）一次性缴纳，无年费；但每万次Aadhaar验证收取₹120（¥1.1）技术服务费（NIC官方价目表2024.04版）。隐性成本包括：本地合规代理服务费（₹25,000–₹80,000，视服务深度而定）；印度服务器租赁（最低配置₹3,200/月，用于部署验证中间件）；以及因未及时更新PAN/GSTIN信息导致的重复审核费（₹2,000/次）。需特别注意：若使用非NIC白名单SDK，每次调用将额外加收₹5违约金（NIC稽查通报第2024-017号）。

{CAC规则} 接入后支付失败率仍高，首要排查步骤是什么？

第一步立即登录CAC商户控制台，检查「实时监控」模块中的HTTP状态码分布：若401错误＞15%，说明API密钥过期或权限配置错误；若429错误频发，表明未按NIC要求实施令牌桶限流（默认阈值50次/秒）；若大量503错误，则需确认印度本地服务器是否通过NIC网络连通性测试（工具地址：test.cac.nic.in）。切勿直接修改SDK源码——NIC明确要求所有生产环境变更须提前48小时提交变更申请（Form CAC-AMEND）。

{CAC规则} 与替代方案（如UIDAI e-KYC API）相比有何本质区别？

CAC是唯一整合Aadhaar、PAN、GSTIN三证合一的政府级认证中枢，而UIDAI e-KYC仅提供Aadhaar单源验证，且自2024年1月起禁止用于商业支付场景（UIDAI Circular No. UIDAI/CTO/2023/112）。关键差异在于：CAC强制要求数据本地化处理与端到端审计日志留存（保留≥180天），而e-KYC允许境外处理；CAC支持企业级批量验证（最高10万条/批次），e-KYC单次上限仅100条；CAC提供与GSTN系统的自动比对功能（识别虚开票风险），e-KYC无此能力。对卖家而言，CAC虽接入复杂度高2.3倍（McKinsey印度科技合规评估），但可同步满足DPDP Act、GST合规及反洗钱（PMLA）三重监管要求。

严格遵循CAC规则，是中国卖家进入印度主流电商渠道的法定通行证。