就傳統(tǒng)手寫簽名(章)而言，公證無疑是防止虛假簽名及其爭議的有效手段。同樣，如能在電子商務(wù)中引入第三方公證服務(wù)，則其真實性將得到更有效的保障。此即為前述比較法上的安全認證機構(gòu)(CertificateAuthority)，其主要職能在于對公開密鑰行使辨別及認證。認證機構(gòu)法律制度在各國電子簽名法中都占有重要地位。我國《電子簽名法》在16～26條也集中規(guī)定了與認證機構(gòu)相關(guān)的法律制度。

(一)認證機構(gòu)的設(shè)置

安全認證機構(gòu)的設(shè)置主要有兩種途徑：一種是由政府組建或者由政府授權(quán)的機構(gòu)擔任，以政府信用作為擔保;另一種則是通過市場的方式建立，在市場競爭中建立信用。前者有利于維護認證機構(gòu)的權(quán)威性，而后者則有利于技術(shù)發(fā)展和市場競爭。《電子簽名法》第16條采用了后一種做法：“電子簽名需要第三方認證的，由依法設(shè)立的電子認證服務(wù)提供者提供認證服務(wù)。”為確保認證機構(gòu)的權(quán)威性與公正性，《電子簽名法》第18條對于認證結(jié)構(gòu)的市場準入采用了行政許可方式：“從事電子認證服務(wù)，應(yīng)當向國務(wù)院信息產(chǎn)業(yè)主管部門提出申請，并提交符合本法第十七條規(guī)定條件的相關(guān)材料。國務(wù)院信息產(chǎn)業(yè)主管部門接到申請后經(jīng)依法審查，征求國務(wù)院商務(wù)主管部門等有關(guān)部門的意見后，自接到申請之日起四十五日內(nèi)作出許可或者不予許可的決定。予以許可的，頒發(fā)電子認證許可證書;不予許可的，應(yīng)當書面通知申請人并告知理由。”基于此，截至2010年5月31日，共有30家認證機構(gòu)獲得了工業(yè)和信息化部頒發(fā)的服務(wù)許可證，市場上有效電子認證證書持有量達到11,423,482張，并且每年還在以50%以上的速度增長。

(二)認證機構(gòu)的義務(wù)與責任

認證機構(gòu)作為電子簽名真實性的確認機構(gòu)，對交易的順利進行起著重要作用，因此《電子簽名法》對認證機構(gòu)的義務(wù)和責任作了嚴格規(guī)定。其具體包括保證信息真實義務(wù)(第21、22條)、及時通知義務(wù)(第23條)和保存義務(wù)(第24條);違反法律規(guī)定時可能承擔的責任包括民事責任(第28、32條)、行政責任(第29、30、31條)和刑事責任(第32、33條)。現(xiàn)就其中部分重要問題予以分析。

1、違反個人信息保密義務(wù)的民事責任

認證機構(gòu)因業(yè)務(wù)需要，掌握著證書持有人的個人信息，如果這些個人信息被惡意利用，無疑會對證書持有人的合法權(quán)益造成巨大威脅。對此，許多國家在電子簽名立法中都對認證機構(gòu)的保密義務(wù)進行了規(guī)定。如新加坡《電子商務(wù)指令》第48條規(guī)定：“除非為本法下的其他目的，或符合成文法規(guī)定的某項指控，或者為執(zhí)行法院判令，否則，任何在本法規(guī)定下有權(quán)進入電子記錄、書籍、商標、通信、信息、文件或其他材料的人(主要指各認證機構(gòu))，都不得將其內(nèi)容泄露給他人。”我國《電子簽名法》并未對認證機構(gòu)的保密義務(wù)進行規(guī)定，但證書持有人可選擇如下兩種方式維護自身權(quán)益：

一是請求認證機構(gòu)承擔違約責任。《合同法》第60條第2款規(guī)定：“當事人應(yīng)當遵循誠實信用原則，根據(jù)合同的性質(zhì)、目的和交易習慣履行通知、協(xié)助、保密等義務(wù)。”認證機構(gòu)作為電子認證服務(wù)合同的一方當事人，當然負有對證書持有人的個人信息進行保護的義務(wù)。如果其不當使用證書持有人的個人信息，給證書持有人造成了損失，證書持有人可以追究其違約責任。

二是請求認證機構(gòu)承擔侵權(quán)責任。《侵權(quán)責任法》第2條確認了民事主體廣泛民事權(quán)益，包括姓名權(quán)、名譽權(quán)、榮譽權(quán)、肖像權(quán)、隱私權(quán)……等人身、財產(chǎn)權(quán)益。如果認證機構(gòu)對證書持有人個人信息的利用侵犯了證書持有人的上述權(quán)利，證書持有人可以依據(jù)《侵權(quán)責任法》第6條第1款請求認證機構(gòu)承擔過錯責任。不過，從訴訟中證明負擔和證明標準上看，只要受害人能證明認證機構(gòu)泄露個人信息的事實，就應(yīng)當推動認證機構(gòu)有過錯，除非認證機構(gòu)能夠反駁。

2、因認證信息不真實的民事責任

《電子簽名法》第28條規(guī)定了認證機構(gòu)的特殊侵權(quán)責任：“電子簽名人或者電子簽名依賴方因依據(jù)電子認證服務(wù)提供者提供的電子簽名認證服務(wù)從事民事活動遭受損失，電子認證服務(wù)提供者不能證明自己無過錯的，承擔賠償責任。”該條使用“過錯推定”的歸責原則，屬于《侵權(quán)責任法》第6條第2款規(guī)定的過錯推定責任之一。如果出現(xiàn)認證信息不實之情形，認證機構(gòu)只有在證明自己沒有過錯時，才能免責。這就加強了對電子簽名人和電子簽名依賴方的保護，起到了促進電子商務(wù)交易的作用。比較法上，韓國電子簽名法第26條也有類似規(guī)定：認證機關(guān)因與認證行為有關(guān)的活動造成證書持有人及信賴人損失的，應(yīng)當承擔賠償責任;但是該損害是因不可抗力產(chǎn)生的，可以減輕責任，認證機關(guān)能夠證明自己無過錯的，可以免除責任。

3、責任限制

認證機構(gòu)對電子簽名人或信賴方造成的損失(第28條)，不僅包括固有利益的損失，還包括預期利益的損失，而對于預期利益的損失，認證機構(gòu)往往是難以預料的——一個普通電子簽名可能肩負著數(shù)額過億的交易任務(wù)，再加上過錯推定原則的適用，認證機構(gòu)可能承擔的賠償數(shù)額與其收入完全不成比例。此時如果不對認證機構(gòu)的賠償責任進行限制，可能會影響人們設(shè)立認證機構(gòu)的積極性，阻礙認證行業(yè)的發(fā)展。因此，有國家在電子簽名立法中明確對認證機構(gòu)的責任進行了限制，如新加坡《電子商務(wù)指令》第44條、第45條規(guī)定，在一定條件下認證機構(gòu)不承擔高于賠償限額的責任。我們認為，此種模式值得參考。

《電子簽名法》對此并沒有做出規(guī)定，但認證機構(gòu)仍可通過合同安排限制責任大小。對于電子簽名人，認證機構(gòu)可以在合同中與其約定賠償限額，也可以根據(jù)《合同法》第113條的規(guī)定在損失發(fā)生時要求縮小賠償范圍：“當事人一方不履行合同義務(wù)或者履行合同義務(wù)不符合約定，給對方造成損失的，損失賠償額應(yīng)當相當于因違約所造成的損失，包括合同履行后可以獲得的利益，但不得超過違反合同一方訂立合同時預見到或者應(yīng)當預見到的因違反合同可能造成的損失。”

但是，對于電子簽名的信賴方，由于其與認證機構(gòu)之間并沒有合同關(guān)系，因此認證機構(gòu)不能用上述方式限制自己的責任。《電子簽名法》中損害賠償限額規(guī)定的缺失，不僅給認證機構(gòu)帶來了巨大經(jīng)營風險，而且使電子簽名人與電子簽名的信賴方之間，在所能獲得的賠償數(shù)額上出現(xiàn)了巨大的利益失衡，而這種失衡顯然缺乏正當性。對此，《電子簽名法》有待進一步完善，尤其是應(yīng)當與《侵權(quán)責任法》中其它適用過錯推定責任、嚴格責任情形的責任限制規(guī)則相協(xié)調(diào)。