(1)违约责任归责原则。电子认证机构根据证书申请人的申请向其签发认证证书,那么,证书申请人就与认证机构基于要约和承诺形成了法律上的合同关系。如果认证机构与证书申请人之间发生纠纷,双方均可根据合同条款提起法律诉讼。学者们多数认为应采取过错责任原则,理由是认证机构正处于发展之中,不宜让其承担过大的风险。但笔者认为采取过错推定原则为宜。首先,虽然认证机构是新兴的服务机构,法律制度的设置给予一定的保护是合理的,但这只能够限定在一定的范围之内。相对人的利益也应该纳入我们的考虑范围之内。如果我们只考虑问题的一个方面,忽视或者轻视了另一个方面,也许都不利于扶持电子认证机构的发展。这是因为,如果对认证机构的保护是以对证书用户的损害为代价,那么这种保护只能是形式上的,实际上并不真正有利于这些电子认证机构,因为它必然会导致人们对电子认证并不安全的认识,从而影响电子认证市场的发展。其次,从法律经济学的角度上看,认证机构与证书申请人之间的信息是不对称的。认证机构拥有比申请人更加多的信息(资源),因此认证机构更具有优势,把资源分配给最有优势的人是有效率的。
但是基于公平原则的考虑,法律必须对这种天然的不平等加以矫正。最后,归责原则和法律责任是紧密相连的,法律上对认证机构给予责任限制的保护,因此再在归责原则上给予倾斜是没有必要的。
(2)侵权责任的归责原则。各国法律几乎都有明确规定,经批准合法成立的电子认证机构,在对证书上所记载的申请人签发电子认证证书时必须保证:该认证证书无认证机构所知的虚假信息;该证书合乎法律规定的所有实质要件;该认证机构于签发此证书时无逾越其许可的限制。由此,如果认证机构违反上述法定的保证义务,致申请人受到损害,即使申请人与认证机构之间所签订的合同并无如此约定,申请人仍然可以依法向认证机构请求损害赔偿。笔者认证机构的侵权行为的性质与一般的侵权行为没有太大的区别,因此认为适用过错原则是比较合理的。