1)认证机构的职能

认证机构的主要任务是受理数字凭证的申请及签发、管理数字凭证,与此相联系的是保管公共密钥,国外法律一般对此有比较细致的规定。例如,公共密钥必须有一定的有效期,有的国家规定不超过3年,有的国家规定不超过4年或者更长的时间;在法律规定或双方约定的某些情况下,当事人可以撤销或终止使用自己的公共密钥。

2)认证机构的法律责任

这是认证机构法律地位中最重要的一环。在建构认证机构的法律责任框架时,可借鉴美国各州的《数字签名法》与新加坡《电子交易法》中的相关规定。

(1)认证机构有责任使用可信赖的系统(即计算机硬件、软件)以行使其职责,并披露相关信息(如认证业务声明、证书撤销或暂停通知,以及其他一些影响其行使职责的重要事项),确保认证机构的权威性和公正性。

(2)认证机构应依照认证业务声明颁发证书,否则就意味着已确认:证书中的签名者承认该证书并拥有与证书中所列的公钥相一致的私钥且构成功能密钥对,而且如果认证机构没有在认证书中声明某些指定信息的正确性未经确认,则证书中的所有信息都被认为是正确的。

(3)认证机构有责任在收到申请人或代表人的申请后,暂停证书,同时有责任在证书中存在重要虚假陈述,或有证据证明签名者死亡、消失或不复存在等情况下撤销证书,并且在暂停或撤销证书时,必须在指定地点发布相关通知。

(4)给予认证机构在民事赔偿方面以必要的责任限制。例如,一方面,如认证机构对证书的签发有过错(如证书中存在某些错误陈述)且给当事人造成了损失,则认证机构的损失赔偿额将以证书中载明的金额为限;另一方面,在认证机构签发给当事人的证书被盗并被他人用以欺诈的情况下,如欺诈是在当事人将证书被盗的情形通知认证机构之前发生的,则认证机构对当事人因欺诈而导致的损失不负责任。

(本文内容根据网络资料整理,出于传递更多信息之目的,不代表连连国际赞同其观点和立场)