②信赖方对证书的信任超出了证书的使用目的范围或可靠性限制。

　　认证机构一般都会在自己的认证业务声明中明确规定，信赖方应认真检查作废证书表以确保证书有效并在证书的可信赖范围内行事，否则认证机构对信赖方的损失不负赔偿责任。此声明并不违反有关法律的强制性规定，其内容在实践中也应是每个信赖方在准备依据证书确认相对方身份时所应具备的基本常识，因此，上述认证机构的负责声明应是合法有效的。

　　三、认证机构的法定免责-避风港问题

　　美国犹他州《数字签名法》第308条2（1）规定：除非许可之认证机构放弃本款的使用，许可之认证机构就与虚假或伪造的数字签名有关的事宜已遵守本法所有重要规定的，该许可之认证机构对依赖虚假或伪造的数字签名所导致的任何损失没有责任。

　　马来西亚《1997年数字签名法案》第61条（a）规定：除非特许认证机构放弃使用本条规定，否则在出现假冒或错误的数字签名的情形下，如果特许认证机构是根据本法案的要求行事的，则对因信赖假冒用户人的或错误的数字签名所造成的任何损失，认证机构不承担任何赔偿责任。

　　新加坡《电子交易法》第45条（a）规定：除非授权认证机构放弃适用本条规定，否则如果授权认证机构遵守本法规定，该机构对于依赖一项虚假陈述或伪造的数字签名而造成的损失不承担责任 .

　　我国香港特别行政区《电子交易条例》第42条（1）规定：除非认可核证机关免除本款对其适用，否则该机关如已就其发出的认可证书遵守本条例的规定及遵守业务守则，即无需就因依据该证书证明的虚假或伪造的登记人数码签署所导致的任何损失负有法律责任 .

　　前述四部法律有关认证机构免责问题的规定基本一样，即都规定如果认证机构遵守了该法律的规定则不用对错误的或虚假的数字签名负责。下面试分析此规定的原因：

　　首先，数字认证是一个新兴的产业，没有经验可循；而认证机构要面对人数众多的用户，虽然目前的加密技术已经成熟到完全能满足认证机构需要的程度，但计算机系统并不是绝对地可靠的，同时由于机器是由人来操作的，因而还存在一个人的失误的可能性，而一旦出现错误或虚假的认证需要赔偿的数额却可能很大，从这方面讲，认证业属于一个风险较大的行业，似不应对其规定过于严格的责任。

　　其次，上述几部法律都属于非常详细的立法，有关认证机构的系统设备、人员、规章制度等的要求都比较完备，而且比较严格，在这个前提下来规定这样一个免责条款也属无可厚非的。此一条款好象给了认证机构一个避风港，使认证机构能够清楚地意识到其只需遵守法律的明确规定即可，而不用为众多未知的风险而惶惶不可终日。此种规定必能增强认证机构的信心，促进认证业的健康发展。

　　第四节 电子认证活动中的侵权赔偿范围

　　一、认证机构之侵权赔偿对象

　　假设某人假冒他人名义向认证机构申请证书，认证机构未尽到法定的义务而颁发了证书，假冒者利用该证书以被假冒者名义进行欺诈性的交易而致被假冒者财产损失，那么受害的被假冒者就会成为认证机构的侵权赔偿对象；在认证机构的作废证书表失灵的情况下，信赖方可能因此遭受财产损失而成为侵权赔偿对象；如果签署者因私密钥遗失而向认证机构申请撤销证书，而认证机构由于失误而发生了迟延并由此给签署者造成了现有财产的损失，那么签署者也会成为认证机构之侵权赔偿对象；因此，认证机构之侵权赔偿对象包括三类人：签署者、信赖方及被假冒者。

　　二、认证机构之侵权赔偿范围

　　对认证机构之侵权赔偿范围的确定，也应坚持完全赔偿的原则。既要赔偿现有财产的损失，又要赔偿可得利益的损失。

　　判断是否为“可得利益”，应看其是否具备以下条件：（1）利益必须是当事人已经预见或者能够预见的利益。不能预见到的利益，不能算作可得利益；（2）必须是可以期待、必然能够得到的利益。如果不可期待、非必然能够得到的利益，也不能算作可得利益；（3）作为计入赔偿范围的“可得利益”，还必须是直接因违法行为所丧失的“可得利益”，也就是说如果不发生这种违法行为，即不致失去此利益。 具体到电子认证活动中，可得利益应包括利润、利息和机会利益等。美国犹他州《数字签名法》排除对利润、利息及机会利益的赔偿的做法曾受到多方面的批评，后来的立法如华盛顿州的《电子认证法》修正了这一做法。但是在实践中也不可能对所有的利润、利息及机会利益等都给予赔偿，我认为可以划定一个如下的具体标准：对现有财产的损失，认证机构都应给予赔偿；而对可得利益的损失，只有认证机构在进行电子认证活动时能明确知道其所提供的数字证书、认证服务是给某人用于某具体交易的，才应对其错误认证所致的受害方（可以是签署者，也可以是信赖方）在该交易中所受的可得利益损失予以赔偿。反之，如果认证机构不清楚自己的认证服务将用于哪些具体交易，对该交易中的可得利益也就不能预见，因而也就不对可得利益负赔偿责任。如果认证机构不是故意地造成错误认证，那么认证机构所赔偿的现有财产的损失和可得利益的损失之和不应超过证书中列明的可靠性限制；如果认证机构属故意地造成错误认证，那么它所赔偿的现有财产的损失和可得利益的损失之和可以超过证书中列明的可靠性限制。