網絡時代下金融信息的法律保護
——對歸責原則的審視

■李西泠

一、引言

金融賬戶信息，又稱為個人金融信息，在2021年11月施行的《個人信息保護法》中被劃入典型的敏感個人信息范疇。2020年，《中國人民銀行金融消費者權益保護實施辦法》對消費者金融信息做出了詳細的界定，即指“銀行、支付機構通過開展業務或者其他合法渠道處理的消費者信息，包括個人身份信息、財產信息、賬戶信息、信用信息、金融交易信息及其他與特定消費者購買、使用金融產品或者服務相關的信息”。網絡時代，信息的頻繁流通推動了數據的流通和發展，但也使得個人信息的泄露以及非法處理行為越來越泛濫。金融賬戶信息作為典型的個人敏感信息，一旦被非法處理，不僅會造成個人財產損失，還可能導致人身傷亡。對此，如何在保護信息主體權益的同時，不對數據的流通造成阻礙，成為立法者需要平衡的問題。

在《個人信息保護法》頒布之前，侵害個人信息的侵權責任適用的是《民法典》第1165條第1款所規定的過錯責任原則。按照一般侵權行為的構成，損害賠償請求權包含侵權行為、損害后果、因果關系和過錯。然而在實踐中，如果適用過錯責任，那受害人就必須證明加害人存在過錯，但個人信息侵權行為的隱蔽性和技術性使得原告舉證困難重重。《個人信息保護法（草案）》第65 條規定“個人信息處理者能夠證明自己沒有過錯的，可以減輕或者免除責任”。由于表述含糊不清，在《個人信息保護法（草案二次審議稿）》中調整為“個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償等侵權責任”。最后施行的《個人信息保護法》第69條沿用了這一表述，明確了侵害個人信息權益的損害賠償責任的歸責原則是過錯推定責任。這無疑是一個進步，但不區分敏感個人信息與非敏感個人信息，統一適用過錯推定責任是否合適？遭遇個人信息侵權的受害者是否就此能夠獲得充分救濟？針對上述問題，本文從危險理論和法經濟學的角度，對個人信息，尤其是金融賬戶等敏感個人信息應適用的歸責原則進行探討，試圖在信息的流通和信息主體的權益中尋求平衡。

二、個人信息侵權歸責原則的立法現狀與相關爭議

（一）歸責原則的本質

默認被害人自擔損害，是損害賠償法中最基本的一條原則。一方面，已經產生的損害是無法恢復的。加害人對遭受損害的人予以補償，從后者的單方視角來看，其減少的利益確實以另一種方式得到了一定程度的彌補，但法律提供救濟的本身將再次耗費資源并產生額外的交易成本。因此，從避免增加損失的角度出發，良好的政策應讓損失停留在其所發生之處。另一方面，風險難以被完全規避，有些后果是不能轉嫁給他人的。在各種社會生產活動中，行為人原則上都要考慮代價，自擔風險。

而所謂“歸責”，就是確認和追究侵權行為人的民事責任[1，2]。歸責原則，就是在默認被害人需要自己承擔所受損害的前提下，卻要求損害應該由加害人承擔的特殊理由[3]。無論以什么作為歸責原則，侵權賠償責任都是建立在“使得受害人更容易獲得侵權損害賠償或者鼓勵企業提高其活動安全性的愿望基礎之上的”[4]。在侵權法的歸責原則中，無過錯責任、危險責任、嚴格責任這幾個概念經常混用。對于其含義，有學者認為只是說法不同，內涵是一樣的。本文無意對這些概念進行辯駁與區分，統一以無過錯責任指代。

（二）比較法視域下的立法例分析

從比較法來看，不同國家地區對于個人信息或者數據保護的規定存在較大差異。主要的立法模式有以下幾種：

1.以歐盟為代表的無過錯歸責原則

1995年通過的意圖規范歐盟境內個人數據處理行為的《數據保護指令》第23 條規定，“成員國應做出規定，對于任何因非法處理或違反依照本指令制定的國內規定的行為而遭受損害的人，有權從數據控制者處獲得損害賠償。如果控制者證明自己對導致損害的事件不承擔責任，則可以全部或部分地免責”。再結合序言部分第55 條“鑒于個人因非法處理而可能遭受的任何損害必須由控制者賠償，如果控制者證明其對損害不負責任，特別是在他能夠證明數據主體存在過錯或者有不可抗力的情形，則可以免除責任。”

由此可見，根據1995年的《數據保護指令》，數據控制者承擔的為無過錯責任，成員國實施免責條款僅限于被告無法控制的事件，例如不可抗力或被侵權人故意。由于歐盟指令是針對其成員國的，原則上對個人沒有法律約束力，成員國必須將該指令轉化為國內法。于2016年4月通過的《通用數據保護條例》（GDPR）取代了《數據保護指令》，第82條可被視為《數據保護指令》第23條的延續，第1款規定了獲得賠償的權利，“任何因違反本條例而遭受物質或非物質損失的人，都有權從控制者或處理者那里獲得所受損失的賠償”。僅根據GDPR 第82 條第1款的字面含義，責任的法律性質并不明晰：究竟是無過錯責任，即在構成要件中完全脫離過錯的責任；還是僅導致舉證責任倒置，即過錯推定責任[7]？目前的通用說法是將該條解釋為無過錯責任，即侵權行為人不能因為沒有過錯而免責[8]。但數據控制者和數據處理者的責任承擔有所不同，根據第82 條第2款，控制者應當為違反條例的處理行為所導致的損害負責，而處理者只有在未遵守條例對處理者特別規定的義務或者超出了控制者指示的情況下，才對損害負有責任。

2.以德國為代表的二元歸責原則

二元歸責原則這一立法模式以德國為典型代表。最初，為了執行1995年的歐盟《數據保護指令》，德國于2002年制定了《聯邦數據保護法》（BDSG）。立法者將侵權主體區分為一般的數據控制者和采用自動化技術處理數據的公共機關，前者適用過錯推定責任，后者使用無過錯責任。即如果一般的數據控制者違法或者使用了不正當方式處理個人數據并給數據主體造成了傷害，除非能夠證明自己已經盡到了應盡的注意義務，否則就應當對損失進行賠償。對于采取自動化方式收集、處理或使用個人數據的公共機關，即使沒有過錯，只要給數據主體造成了損害就應當承擔賠償責任。GDPR通過后，德國于2017年6月30日更新了本國的《聯邦數據保護法》。該法第83條第1款規定，“當責任人違反本法或違反其他數據處理相關規定處理個人數據，導致數據主體受到損害時，責任人應向數據主體承擔賠償責任。在非自動化處理的情況下，如果損害不是由責任人的過錯造成的，則賠償義務不適用”。從該條規定可以看出，德國在區分自動化和非自動化處理數據的情況下，要求以自動化方式處理數據的責任人承擔無過錯責任，對非自動化方式處理所造成的損害，如果數據控制者沒有過錯，則無須承擔責任[9]。

與此相似的是，我國臺灣地區將處理者以是否為公務機關為界分，規定不同的歸責原則。根據臺灣地區《個人資料保護法》第28 條，“如果公務機關違反規定，導致個人資料遭不法搜集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但損害因天災、事變或其他不可抗力所致者，不在此限”。第29條規定，“非公務機關違反本法規定，致個人資料遭不法搜集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限”。從公務機關的免責事由只有不可抗力，非公務機關可以通過證明自身沒有故意或過失而免責可以看出，在我國臺灣地區的個人信息侵權責任中，對公務機關適用無過錯責任，非公務機關適用過錯推定責任。

3.美國自律模式下的歸責原則

美國目前沒有聯邦性數據保護法典，其數據保護散見于醫療、金融、就業、兒童保護等不同行業，呈現出以領域為界的分散性立法特征。鑒于傳統理念及實用主義的影響，美國多數行業憑借行業自律即可達成自我管控。在個人信息保護中起到主要作用的是市場本身，立法偏向于對可能出現的信息不對稱或不公平現象進行調整。在此意義上可以認為，美國大多數個人信息保護立法的本質仍然屬于市場監管法或市場調節法的范疇[10]。且從嚴格程度而言，美國立法對個人信息侵權責任所采取的歸責原則較松，主要對公務機關進行規制。

（三）我國理論界的爭議

不管是在立法征求意見的過程中，還是在《個人信息保護法》頒布后，我國學界對于個人信息侵權損害賠償應當適用的歸責原則一直未達成共識，歸納起來有以下幾類。

1.一分法

在《個人信息保護法》出臺前，統一適用過錯責任原則為主流觀點，即堅持只有侵權人具有主觀上的故意或者過失才需承擔個人信息侵權責任。持有此種觀點的學者將侵害個人信息的侵權責任劃為一般侵權責任的范疇，認為這種侵權行為的本質是對隱私權的侵害，與侵害名譽權、肖像權等人格權屬于同一種性質[11]。在《個人信息保護法》出臺確立了過錯推定的主觀歸責原則后，有學者指出證明責任倒置方式仍然救濟乏力，難以扭轉受害人的弱勢地位，采用無過錯責任原則符合成本收益原則和社會公益原則，能更好地維持當事人之間的利益平衡[12]。

2.二分法

個人信息侵權損害賠償責任原則二分法通常基于某種特定的分類標準。如果將侵權主體作為分類標準，則普遍認為公務機關應適用無過錯責任，非公務機關適用過錯推定原則[13]。理由為國家機關對于信息的收集和使用占據絕對優勢，也應承擔更加嚴格的責任，才能更好地保護信息主體的安全。如果以處理行為進行區分，則堅持對以自動化方式處理個人信息而導致的侵權行為采過錯推定責任，非自動化采過錯責任[14]。還有學者早期認為個人信息的侵權責任不應該區分數據處理者，應統一適用無過錯責任原則[15]，在《個人信息保護法》出臺后轉為敏感個人信息適用無過錯歸責原則，非敏感個人信息則適用過錯推定原則的立場[16]。理由在于敏感個人信息的處理行為屬于法律上的高度危險行為，基于危險開啟理論與危險控制理論的要求，處理者承擔危險責任無可厚非。

3.三分法

三分法的劃分標準角度有兩類：一類區分損害賠償和非損害賠償，認為事前事中的行為防控類責任適用無過錯原則，非賠償損失責任中的事后行為補償責任適用過錯推定原則，賠償損失類責任適用過錯責任原則[17]。另一類認為應當在區分公、私處理者的情況下，針對不同類型的個人信息處理行為分別確定相應的歸責原則。對于既是公務機關，又采取了自動化處理技術的侵權行為人，應適用無過錯責任。采用自動化處理技術的非公務機關適用過錯推定責任。既未采用自動化處理技術，又是非公務機關的侵權行為人則適用過錯責任原則[18]。

從以上學術觀點能夠看出，除了存在主觀歸責原則總體分類形態的不同，具體的劃分標準也存在差異。

三、以敏感與非敏感信息為歸責原則的分類標準

由上文可以看出，個人信息領域存在多重分類方法，如是否自動化處理，處理者是公務機關還是非公務機關。但在個人信息保護法中，最重要且最無可替代的當屬敏感信息與非敏感信息的區分。

（一）區分敏感與非敏感信息的意義

作為“特殊的個人信息”，敏感個人信息在比較法中有著不同的界定，但不管范圍如何細分，總體來看核心都不超過一旦被非法處理就容易危及或損害個人的基本權利和自由、人格尊嚴的范圍。在《個人信息保護法》頒布之前，我國《民法典》《網絡安全法》等法律、行政法規對個人信息已經進行了界定，但并未劃分出特殊的個人信息。《個人信息保護法》第28條首次在法律上以概括加列舉的方式對敏感個人信息進行了界定，并對處理敏感信息提出了特別要求。在該條第一款中，敏感個人信息的定義為“一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害”。由此可見，“敏感”指的是造成侵害或者危害后果上的容易性。具體而言：一是人格尊嚴受到侵害，如病史、政治觀點等被泄露而受到不公正的對待。二是自然人的人身、財產安全受到危害，如銀行用戶的金融賬戶信息被盜用，某app 搜集自然人的行蹤軌跡信息后出售給廣告商等。

鑒于金融數據、生物識別等敏感個人信息與自然人的人格尊嚴、人格自由等基本權利以及人身、財產安全都有密切的聯系，對于這類個人信息的處理，無論是否基于合法的理由，都會給自然人的基本權利以及人身財產安全帶來風險，因此對之應當比一般個人信息予以更強的保護力度，以此區分作為侵害個人信息權益的侵權賠償責任的標準，進而輔以不同的歸責原則，才能體現對敏感個人信息的特殊保護。

（二）危險源的開啟與控制

過錯責任作為侵權法的基本歸責原則，要求只有在行為人存在過錯的情況下才需承擔責任。隨著社會日新月異的變化，新設施和新技術大量涌現，催生了侵權法上無過錯責任的發展，其中1868年英國“Rylands v.Flechter”案具有重要地位。該案判決指出“一個人如果為他自己的目的將某物帶入自己的土地，并收集與管理它們，但這些物件很可能在逸出時會造成傷害，則該人必須自己承擔保管好這些物件的責任。如果該人沒能這樣做，應當對其逸出造成的自然后果即損害承擔責任”[19]。可以看出，裁判者將關注點從行為背后的主觀意圖轉移到行為本身的性質之上。依據這一理論，從事危險活動的人需要承擔無過錯責任的原因之一是其創造出了本來不存在的危險。Rylands案中，原告索賠成功的重要原因是有危險物品“從被告占有或控制的領域逃到其占有或控制之外的地方”[20]。再進一步分析可知，涉案物并不一定是具有危險性的，危險還體現在其“逃匿”行為帶來的附加傷害。例如在Rylands 案中，該物品是水，其他類似案例還有天然氣、煙霧以及電力等。除了物品的類型，數量也可以被考慮在內。

雖說“能力越強，責任越大”，但具有控制事物的能力并不是要求控制者承擔責任的原因。“當某人是具有很大危險性的土地或動產的控制者時（當他排他性的使用時），如果他未能照料好這些財產而使得他人受到傷害，那么侵權責任便產生了”[21]。危險控制理論的觀點在于，既然選擇持有危險物品以及從事危險活動，那么該持有人或行為人就應該對危險具有控制責任。

在大數據時代之前，無過錯責任的適用范圍往往集中在產品的制造與流通等具有潛在高度危險性的行為或活動。就個人信息而言，典型的敏感個人信息，如自然人的基因、指紋、臉部圖像等，通常來說是不可更改的，一旦被收集、處理，對信息本體會造成的影響難以預測和把控。因此從原則上說，敏感個人信息屬于潛在高風險物，應該是禁止被處理的，除非有更高位階的權益值得被保護。鑒于此，處理者應該承擔更為嚴格的責任。與此同時，敏感個人信息本身雖然并不屬于危險物品，但自然生長或產生的東西與人工積累的東西是有區別的。由于處理者大量收集、存儲、使用個人信息的行為，使得敏感個人信息被聚集，某種程度上由量變引起了質變，成為危險源。可以預見的是，如果它們脫離了處理者的掌控，存在極大的給信息主體造成損害的可能。在這種情形下，“事故損失是命運或厄運所致，這種較為陳舊的觀念，逐漸被將因果責任歸于個人行為的觀念取代，其中也包括為損害的發生制造條件的商業性企業的行為”[22]。

例如《個人信息保護法》第58 條專門規定了作為大型互聯網平臺經營者的個人信息處理者的特別義務。之所以在《個人信息保護法》第5章規定的其他義務外，這類特殊的個人信息處理者還負有特別義務，一個重要原因就是基于危險控制理論。個人信息的處理，尤其是數量巨大、種類繁多的活動，對個人權益產生的潛在威脅和風險也是非常巨大且難以預測的。從事此類活動的處理者對于利用其網絡服務的用戶具有強技術性及信息等方面的強控制力，應該對自己所從事的活動及危險性有著最直接的認識，也最有能力去降低風險具象化的可能性。在這種情況下，如果只讓他們承擔過錯責任，不僅對受害者而言不公平，還會使得行為人缺乏足夠的控制危險、使危險免于具象化的動力。以《民法典》第1202條為例，產品的制造缺陷往往是由于生產者的原因導致的，除非有明顯的外觀表現，消費者往往難以知曉產品存在問題，但生產者知道內情并可以通過提高技術或工藝流程來消除這一缺陷。因此《民法典》第1202條規定生產者就缺陷產品給他人造成的損害負無過錯責任。這也可以讓達不到要求的人考量自身承擔責任的可能性，從而為這些具有潛在高風險活動的行業提高準入門檻，這在一定程度上避免了讓沒有資質的人隨意入行，從而給他人權益造成風險。

需要注意的是，盡管危險理論在世界范圍內已經成為決定無過錯責任適用范圍最主要的依據，但符合危險理論只是無過錯責任的必要條件，并非充分條件。一種行為是否具有危險性并不能成為支持或否定無過錯責任的唯一依據。對某類侵權責任課以無過錯責任，還應從該行為的風險、成本、效益和社會價值等諸多因素來權衡考量。而這種“風險-效用”的權衡與比較正是法經濟學的研究方法。因此，本文接下來試圖借助法經濟學的分析范式，為無過錯責任在個人信息侵權中的適用提供更強的支柱。

四、法經濟學視角下無過錯歸責原則的偏向

法經濟學分析侵權法歸責原則的基本思路是：第一步，判斷事故最佳避免方避免事故發生所需要的成本和預計效益；第二步，分析事故最佳避免方的行為水平與法律所規定的行為水平是否符合；第三步，選擇事故發生成本更低的一方承擔損失。就此以效益作為價值取向，通過對過錯責任原則和嚴格責任各自的效益進行分析，探尋兩者的適用范圍。

（一）對歸責原則的法經濟學分析

無論何種侵權行為，都會對經濟引致一定程度的影響，要么是受害人效用的減損要么是預期收益的降低。傳統法學的立法目標側重于侵權法的補償功能，也就是在侵權行為發生后對受害人損失進行填補，力圖使其回到損害尚未發生時的狀態。法經濟學分析通常從事故的預防出發，即避免潛在事故的發生應成為侵權法更優先的目標，也就是將重點偏向于避免事故的發生。預防，指的是試圖對將來可能會出現的風險進行規避，力圖降低其發生概率的行為。如果行為人是理性人，就會采取各種措施縮減行為成本、擴大效益。由于損害他人利益也會增加自身成本，因此也會盡量避免侵權行為的產生。

1.對過錯責任原則的法經濟學分析

由于在侵權行為中，主體有侵權人和被侵權人兩方，因此可以先將侵權事故分為單方性事故和雙方性事故。前者指的是僅僅侵權人的行為能夠對事故的發生概率產生影響的事故[23]。與此相對應的是，預防也可分為單方預防和雙方預防。

在過錯責任中，損害責任由具有過錯的一方承擔，可以借助漢德公式從經濟學的角度進行分析。假設預防事故的發生所要支出的成本為B，事故發生的概率為P，事故造成的損失為L。若B＞PL，則說明行為人為預防事故的發生所支出的成本大于預期的損失，因此對于事故的發生已經沒有過錯。若B＜PL，則意味著行為人的預防措施不夠到位，存在主觀上的過錯，需要承擔責任。簡單來說，如果預防成本低于預防收益，說明行為人未盡到應盡的注意義務，需要承擔預防成本和受害人損失。為了避免因為自身的過錯而承擔事故成本，任何一方行為人都會選擇成本較低的預防措施。而在預防成本超過收益時，出于經濟利益的考慮，行為人會偏向選擇承擔事故的損失而不是花更高代價去采取預防措施。

2.對無過錯責任原則的法經濟學分析

在無過錯責任下，侵權人需要對其行為造成的全部損害承擔責任。在這種制度下，潛在的侵權人必然會加大安全措施的投入或降低事故的發生概率，以減少自己的社會成本。此時侵權人在嚴格責任下的總成本等于社會總成本。

與過錯責任不同的是，預防成本在無過錯責任中不被考慮，因為侵權人無論在何種情況下，都要承擔損害成本，所以預防成本也是由侵權人承擔，但行為人在一定程度上可提出抗辯。此時可以分為兩種情形：一種是無抗辯事由的責任，指侵權人對受害人進行完全的賠償，不能以受害人的過錯進行抗辯。在沒有激勵機制的情況下，受害人通常難以增加自己的成本來采取預防措施。受害人的單方行為會讓侵權人的預防成本起不到應有效果，因此在雙方性事故中無過錯責任不是最佳的選擇。能達到社會最優預防效果的理想情形應是單邊預防的侵權方作為最佳預防者、互補單邊預防的侵權方是成本最低的預防者[24]。另一種則是可以以嚴重過錯作為抗辯理由的無過錯責任，即如果受害人對損害結果的發生存在嚴重的過錯，侵權方可以免除或減輕責任。由于受害人具有過錯無法證明的情況下侵權人仍然需要承擔責任，因此并不會減損其采取預防措施的動力。同時，受害人也會采取積極措施去降低事故發生的概率和減輕損害程度，避免侵權人提出抗辯事由來減免責任。

由以上分析可知，適合無過錯責任的侵權行為范圍較窄，有如下幾個特點：一是在該領域中，不是靠受害方投入預防成本來降低侵權事故的發生概率。要求受害方提高預防成本沒有意義，還會使侵權方屬于防范，反而提高了事故的發生概率。在這種情況下采取無過錯責任，不僅可以加強對受害方的保護力度，還能對侵權方投入合理的預防成本起到促進作用，雙管齊下以達到帕累托最優。二是在該領域中，侵權方單方投入預防成本的情況下就能有效降低事故發生概率。從宏觀角度考慮，適用無過錯責任可以對侵權方提高預防成本產生激勵作用，從而達到降低整體社會成本的目的。

（二）無過錯責任的優勢

1.激勵潛在侵權人降低事故發生率

從前文的分析可知，過錯責任原則在雙方性事故中是最佳選擇，而無過錯責任更適合侵權方提高單方預防成本就能降低事故發生概率的單方性事故。換言之，如果在某類侵權事故中，雙方行為人都可以采取有效的預防措施，那么過錯責任原則對雙方都能起到激勵作用，較無過錯責任更行之有效。因為在過錯責任原則下，如果侵權方在預防事故的發生上所付出的成本低于最優注意水平，就要承擔事前預防和事故責任的雙重成本。如果其投入的成本達到了最優注意水平，則可以免去事故成本，因此侵權人會受到過錯責任原則的激勵作用。對受害人而言，但凡侵權人達到了最優注意水平，事故成本就會向受害人轉移，也會變相激勵受害人投入預防成本。兩兩相加，自然會降低事故的發生率。綜上可得，過錯原則可以為事故雙方都提供適當的激勵。但如果該事故是單方性事故，即受害方無論支出什么成本都難以避免事故的發生，侵權人卻可以通過投入預防成本采取有效的措施來避免事故的發生，那么無過錯責任既能引導侵權人施加最優水平的注意，又能使其按照社會最優水平行事[25]。因為侵權人會內部化其邊際成本和邊際收益，將自己的行為水平控制在有效行為水平的區間內，以實現社會成本的最小化。

2.節約交易成本

在單方性事故中，選擇交易成本較低的無過錯責任更符合效率目標。根據波斯納的觀點，執行成本可分為信息成本和請求成本[26]。信息成本是在過錯責任原則下，用來確定最優注意水平和當事人的實際注意水平的成本。請求成本則是處理及搜集一項法定請求權的成本。在無過錯歸責原則下，可以節約交易成本。交易成本包含兩類：一是信息成本。無論是法院還是受害者，都難以對事故損害的信息有所掌握，更是不清楚侵權人的預防成本或收益情況。由于這些信息的缺失或者收集成本的代價高昂，對侵權人承擔的賠償責任很有可能產生一定程度的偏差。而在成本—收益的分析模式下，由于侵權人在無過錯責任原則中，一旦發生損害不僅要承擔賠償責任，還需要為自己的侵權行為承擔舉證責任。這些都會促進潛在侵權人積極提供有效信息，對易造成風險的行為提高注意義務。二是節約請求成本。由于既不需要對侵權人的行為是否具有過錯開展討論，也不需要對受害人是否存在一般過失進行論證，明確侵權行為和損害結果之間有著因果聯系即可，不僅能夠在一定程度上降低訴訟的成本，還有助于法院結案效率的提升。

五、結論與建議

《個人信息保護法》第69 條規定了過錯推定原則，即推定被告具有過錯，原告對此不負擔舉證責任，但如果被告能提供自己沒有過錯的證據，就無須承擔責任。因此究其實質，過錯推定沒有離開過錯責任原則的范疇，只是在證據方面舉證責任倒置。

鑒于侵害個人信息權益的行為通常有非法收集個人信息、非法使用個人信息、非法提供個人信息和泄露個人信息等，由前文的分析可知，作為典型的單方性侵權，由于信息主體采取預防措施難以起到避免損害的效果，如果要求其去增加預防成本，不僅對降低事故發生率的效果不佳，還提高了總體成本。而潛在的侵權方，即個人信息處理者，相對于信息主體而言在個人信息處理活動中占據著絕對的主動地位，尤其是處理行為往往技術性較強，不易被行業之外的人所知悉。在這種背景之下，由個人信息處理者投入預防成本來降低事故的發生率更加合理。

值得強調的是，由個人信息處理者承擔無過錯責任，并不是為了剝削其從事危險活動獲得的利益，而是通過由其承擔損害成本，從而實現包含所有成本在內的“成本—收益—分析”模式，從而形成擴大或改進安全措施的投入，或者是降低其行為水平以實現凈利潤的路徑。

同時，雖然避免產生危險事故行為的最好方式是實行“一刀切”的無過錯責任，但這一方式將導致個人信息處理行為的減少甚至消失。在大數據不斷促進商業模式創新、個人信息價值與日俱增的當下，要想與信息的分享和使用相脫離，幾乎不可能。在合理的限度對個人信息進行處理，無論是對于個人、社會還是國家而言都是有利的。況且同域外發達國家相比，我國信息行業萌芽發展相對落后，如果不區分主體對無過錯責任原則加以適用，會從某種程度上對個人信息流通造成制約，同時也不利于我國信息行業的進一步發展。在這種情況下全面適用無過錯歸責原則并不現實。

《個人信息保護法》第28 條對敏感信息與非敏感信息進行了劃分。在法律上，對于更高價值位階的法益應當予以強度更高的保護。與此相應的，對于與自然人的基本權利及人身財產安全密切相關的敏感個人信息，法律的天平也應當向其傾斜。敏感個人信息的處理對自然人而言意味著極高的風險，但同時也可能帶來益處。因此，無論什么階段的任何一國立法，都沒有完全禁止處理敏感個人信息的規定。但為了強化對敏感個人信息的保護，處理規則應該有別與非敏感個人信息，以體現其特殊性和重要性。結合危險理論并輔以法經濟學視角的分析，以敏感、非敏感個人信息作為分類基礎，對于前者適用無過錯責任，后者延續已有規定適用過錯推定責任的歸責原則構建具有較強的實用性，不僅能夠規避一刀切歸責原則所具有的不合理性，同時也能有效防范歸責原則過于嚴苛帶來的負面影響。■