就傳統手寫簽名(章)而言，公證無疑是防止虛假簽名及其爭議的有效手段。同樣，如能在電子商務中引入第三方公證服務，則其真實性將得到更有效的保障。此即為前述比較法上的安全認證機構(CertificateAuthority)，其主要職能在于對公開密鑰行使辨別及認證。認證機構法律制度在各國電子簽名法中都占有重要地位。我國《電子簽名法》在16～26條也集中規定了與認證機構相關的法律制度。

(一)認證機構的設置

安全認證機構的設置主要有兩種途徑：一種是由政府組建或者由政府授權的機構擔任，以政府信用作為擔保;另一種則是通過市場的方式建立，在市場競爭中建立信用。前者有利于維護認證機構的權威性，而后者則有利于技術發展和市場競爭。《電子簽名法》第16條采用了后一種做法：“電子簽名需要第三方認證的，由依法設立的電子認證服務提供者提供認證服務。”為確保認證機構的權威性與公正性，《電子簽名法》第18條對于認證結構的市場準入采用了行政許可方式：“從事電子認證服務，應當向國務院信息產業主管部門提出申請，并提交符合本法第十七條規定條件的相關材料。國務院信息產業主管部門接到申請后經依法審查，征求國務院商務主管部門等有關部門的意見后，自接到申請之日起四十五日內作出許可或者不予許可的決定。予以許可的，頒發電子認證許可證書;不予許可的，應當書面通知申請人并告知理由。”基于此，截至2010年5月31日，共有30家認證機構獲得了工業和信息化部頒發的服務許可證，市場上有效電子認證證書持有量達到11,423,482張，并且每年還在以50%以上的速度增長。

(二)認證機構的義務與責任

認證機構作為電子簽名真實性的確認機構，對交易的順利進行起著重要作用，因此《電子簽名法》對認證機構的義務和責任作了嚴格規定。其具體包括保證信息真實義務(第21、22條)、及時通知義務(第23條)和保存義務(第24條);違反法律規定時可能承擔的責任包括民事責任(第28、32條)、行政責任(第29、30、31條)和刑事責任(第32、33條)。現就其中部分重要問題予以分析。

1、違反個人信息保密義務的民事責任

認證機構因業務需要，掌握著證書持有人的個人信息，如果這些個人信息被惡意利用，無疑會對證書持有人的合法權益造成巨大威脅。對此，許多國家在電子簽名立法中都對認證機構的保密義務進行了規定。如新加坡《電子商務指令》第48條規定：“除非為本法下的其他目的，或符合成文法規定的某項指控，或者為執行法院判令，否則，任何在本法規定下有權進入電子記錄、書籍、商標、通信、信息、文件或其他材料的人(主要指各認證機構)，都不得將其內容泄露給他人。”我國《電子簽名法》并未對認證機構的保密義務進行規定，但證書持有人可選擇如下兩種方式維護自身權益：

一是請求認證機構承擔違約責任。《合同法》第60條第2款規定：“當事人應當遵循誠實信用原則，根據合同的性質、目的和交易習慣履行通知、協助、保密等義務。”認證機構作為電子認證服務合同的一方當事人，當然負有對證書持有人的個人信息進行保護的義務。如果其不當使用證書持有人的個人信息，給證書持有人造成了損失，證書持有人可以追究其違約責任。

二是請求認證機構承擔侵權責任。《侵權責任法》第2條確認了民事主體廣泛民事權益，包括姓名權、名譽權、榮譽權、肖像權、隱私權……等人身、財產權益。如果認證機構對證書持有人個人信息的利用侵犯了證書持有人的上述權利，證書持有人可以依據《侵權責任法》第6條第1款請求認證機構承擔過錯責任。不過，從訴訟中證明負擔和證明標準上看，只要受害人能證明認證機構泄露個人信息的事實，就應當推動認證機構有過錯，除非認證機構能夠反駁。

2、因認證信息不真實的民事責任

《電子簽名法》第28條規定了認證機構的特殊侵權責任：“電子簽名人或者電子簽名依賴方因依據電子認證服務提供者提供的電子簽名認證服務從事民事活動遭受損失，電子認證服務提供者不能證明自己無過錯的，承擔賠償責任。”該條使用“過錯推定”的歸責原則，屬于《侵權責任法》第6條第2款規定的過錯推定責任之一。如果出現認證信息不實之情形，認證機構只有在證明自己沒有過錯時，才能免責。這就加強了對電子簽名人和電子簽名依賴方的保護，起到了促進電子商務交易的作用。比較法上，韓國電子簽名法第26條也有類似規定：認證機關因與認證行為有關的活動造成證書持有人及信賴人損失的，應當承擔賠償責任;但是該損害是因不可抗力產生的，可以減輕責任，認證機關能夠證明自己無過錯的，可以免除責任。

3、責任限制

認證機構對電子簽名人或信賴方造成的損失(第28條)，不僅包括固有利益的損失，還包括預期利益的損失，而對于預期利益的損失，認證機構往往是難以預料的——一個普通電子簽名可能肩負著數額過億的交易任務，再加上過錯推定原則的適用，認證機構可能承擔的賠償數額與其收入完全不成比例。此時如果不對認證機構的賠償責任進行限制，可能會影響人們設立認證機構的積極性，阻礙認證行業的發展。因此，有國家在電子簽名立法中明確對認證機構的責任進行了限制，如新加坡《電子商務指令》第44條、第45條規定，在一定條件下認證機構不承擔高于賠償限額的責任。我們認為，此種模式值得參考。

《電子簽名法》對此并沒有做出規定，但認證機構仍可通過合同安排限制責任大小。對于電子簽名人，認證機構可以在合同中與其約定賠償限額，也可以根據《合同法》第113條的規定在損失發生時要求縮小賠償范圍：“當事人一方不履行合同義務或者履行合同義務不符合約定，給對方造成損失的，損失賠償額應當相當于因違約所造成的損失，包括合同履行后可以獲得的利益，但不得超過違反合同一方訂立合同時預見到或者應當預見到的因違反合同可能造成的損失。”

但是，對于電子簽名的信賴方，由于其與認證機構之間并沒有合同關系，因此認證機構不能用上述方式限制自己的責任。《電子簽名法》中損害賠償限額規定的缺失，不僅給認證機構帶來了巨大經營風險，而且使電子簽名人與電子簽名的信賴方之間，在所能獲得的賠償數額上出現了巨大的利益失衡，而這種失衡顯然缺乏正當性。對此，《電子簽名法》有待進一步完善，尤其是應當與《侵權責任法》中其它適用過錯推定責任、嚴格責任情形的責任限制規則相協調。