■李西泠

一、引言

金融賬戶信息，又稱為個人金融信息，在2021年11月施行的《個人信息保護法》中被劃入典型的敏感個人信息范疇。2020年，《中國人民銀行金融消費者權(quán)益保護實施辦法》對消費者金融信息做出了詳細的界定，即指“銀行、支付機構(gòu)通過開展業(yè)務(wù)或者其他合法渠道處理的消費者信息，包括個人身份信息、財產(chǎn)信息、賬戶信息、信用信息、金融交易信息及其他與特定消費者購買、使用金融產(chǎn)品或者服務(wù)相關(guān)的信息”。網(wǎng)絡(luò)時代，信息的頻繁流通推動了數(shù)據(jù)的流通和發(fā)展，但也使得個人信息的泄露以及非法處理行為越來越泛濫。金融賬戶信息作為典型的個人敏感信息，一旦被非法處理，不僅會造成個人財產(chǎn)損失，還可能導(dǎo)致人身傷亡。對此，如何在保護信息主體權(quán)益的同時，不對數(shù)據(jù)的流通造成阻礙，成為立法者需要平衡的問題。

在《個人信息保護法》頒布之前，侵害個人信息的侵權(quán)責(zé)任適用的是《民法典》第1165條第1款所規(guī)定的過錯責(zé)任原則。按照一般侵權(quán)行為的構(gòu)成，損害賠償請求權(quán)包含侵權(quán)行為、損害后果、因果關(guān)系和過錯。然而在實踐中，如果適用過錯責(zé)任，那受害人就必須證明加害人存在過錯，但個人信息侵權(quán)行為的隱蔽性和技術(shù)性使得原告舉證困難重重。《個人信息保護法（草案）》第65 條規(guī)定“個人信息處理者能夠證明自己沒有過錯的，可以減輕或者免除責(zé)任”。由于表述含糊不清，在《個人信息保護法（草案二次審議稿）》中調(diào)整為“個人信息處理者不能證明自己沒有過錯的，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任”。最后施行的《個人信息保護法》第69條沿用了這一表述，明確了侵害個人信息權(quán)益的損害賠償責(zé)任的歸責(zé)原則是過錯推定責(zé)任。這無疑是一個進步，但不區(qū)分敏感個人信息與非敏感個人信息，統(tǒng)一適用過錯推定責(zé)任是否合適？遭遇個人信息侵權(quán)的受害者是否就此能夠獲得充分救濟？針對上述問題，本文從危險理論和法經(jīng)濟學(xué)的角度，對個人信息，尤其是金融賬戶等敏感個人信息應(yīng)適用的歸責(zé)原則進行探討，試圖在信息的流通和信息主體的權(quán)益中尋求平衡。

二、個人信息侵權(quán)歸責(zé)原則的立法現(xiàn)狀與相關(guān)爭議

（一）歸責(zé)原則的本質(zhì)

默認被害人自擔(dān)損害，是損害賠償法中最基本的一條原則。一方面，已經(jīng)產(chǎn)生的損害是無法恢復(fù)的。加害人對遭受損害的人予以補償，從后者的單方視角來看，其減少的利益確實以另一種方式得到了一定程度的彌補，但法律提供救濟的本身將再次耗費資源并產(chǎn)生額外的交易成本。因此，從避免增加損失的角度出發(fā)，良好的政策應(yīng)讓損失停留在其所發(fā)生之處。另一方面，風(fēng)險難以被完全規(guī)避，有些后果是不能轉(zhuǎn)嫁給他人的。在各種社會生產(chǎn)活動中，行為人原則上都要考慮代價，自擔(dān)風(fēng)險。

而所謂“歸責(zé)”，就是確認和追究侵權(quán)行為人的民事責(zé)任[1，2]。歸責(zé)原則，就是在默認被害人需要自己承擔(dān)所受損害的前提下，卻要求損害應(yīng)該由加害人承擔(dān)的特殊理由[3]。無論以什么作為歸責(zé)原則，侵權(quán)賠償責(zé)任都是建立在“使得受害人更容易獲得侵權(quán)損害賠償或者鼓勵企業(yè)提高其活動安全性的愿望基礎(chǔ)之上的”[4]。在侵權(quán)法的歸責(zé)原則中，無過錯責(zé)任、危險責(zé)任、嚴格責(zé)任這幾個概念經(jīng)?；煊谩τ谄浜x，有學(xué)者認為只是說法不同，內(nèi)涵是一樣的。本文無意對這些概念進行辯駁與區(qū)分，統(tǒng)一以無過錯責(zé)任指代。

（二）比較法視域下的立法例分析

從比較法來看，不同國家地區(qū)對于個人信息或者數(shù)據(jù)保護的規(guī)定存在較大差異。主要的立法模式有以下幾種：

1.以歐盟為代表的無過錯歸責(zé)原則

1995年通過的意圖規(guī)范歐盟境內(nèi)個人數(shù)據(jù)處理行為的《數(shù)據(jù)保護指令》第23 條規(guī)定，“成員國應(yīng)做出規(guī)定，對于任何因非法處理或違反依照本指令制定的國內(nèi)規(guī)定的行為而遭受損害的人，有權(quán)從數(shù)據(jù)控制者處獲得損害賠償。如果控制者證明自己對導(dǎo)致?lián)p害的事件不承擔(dān)責(zé)任，則可以全部或部分地免責(zé)”。再結(jié)合序言部分第55 條“鑒于個人因非法處理而可能遭受的任何損害必須由控制者賠償，如果控制者證明其對損害不負責(zé)任，特別是在他能夠證明數(shù)據(jù)主體存在過錯或者有不可抗力的情形，則可以免除責(zé)任?！?/p>

由此可見，根據(jù)1995年的《數(shù)據(jù)保護指令》，數(shù)據(jù)控制者承擔(dān)的為無過錯責(zé)任，成員國實施免責(zé)條款僅限于被告無法控制的事件，例如不可抗力或被侵權(quán)人故意。由于歐盟指令是針對其成員國的，原則上對個人沒有法律約束力，成員國必須將該指令轉(zhuǎn)化為國內(nèi)法。于2016年4月通過的《通用數(shù)據(jù)保護條例》（GDPR）取代了《數(shù)據(jù)保護指令》，第82條可被視為《數(shù)據(jù)保護指令》第23條的延續(xù)，第1款規(guī)定了獲得賠償?shù)臋?quán)利，“任何因違反本條例而遭受物質(zhì)或非物質(zhì)損失的人，都有權(quán)從控制者或處理者那里獲得所受損失的賠償”。僅根據(jù)GDPR 第82 條第1款的字面含義，責(zé)任的法律性質(zhì)并不明晰：究竟是無過錯責(zé)任，即在構(gòu)成要件中完全脫離過錯的責(zé)任；還是僅導(dǎo)致舉證責(zé)任倒置，即過錯推定責(zé)任[7]？目前的通用說法是將該條解釋為無過錯責(zé)任，即侵權(quán)行為人不能因為沒有過錯而免責(zé)[8]。但數(shù)據(jù)控制者和數(shù)據(jù)處理者的責(zé)任承擔(dān)有所不同，根據(jù)第82 條第2款，控制者應(yīng)當(dāng)為違反條例的處理行為所導(dǎo)致的損害負責(zé)，而處理者只有在未遵守條例對處理者特別規(guī)定的義務(wù)或者超出了控制者指示的情況下，才對損害負有責(zé)任。

2.以德國為代表的二元歸責(zé)原則

二元歸責(zé)原則這一立法模式以德國為典型代表。最初，為了執(zhí)行1995年的歐盟《數(shù)據(jù)保護指令》，德國于2002年制定了《聯(lián)邦數(shù)據(jù)保護法》（BDSG）。立法者將侵權(quán)主體區(qū)分為一般的數(shù)據(jù)控制者和采用自動化技術(shù)處理數(shù)據(jù)的公共機關(guān)，前者適用過錯推定責(zé)任，后者使用無過錯責(zé)任。即如果一般的數(shù)據(jù)控制者違法或者使用了不正當(dāng)方式處理個人數(shù)據(jù)并給數(shù)據(jù)主體造成了傷害，除非能夠證明自己已經(jīng)盡到了應(yīng)盡的注意義務(wù)，否則就應(yīng)當(dāng)對損失進行賠償。對于采取自動化方式收集、處理或使用個人數(shù)據(jù)的公共機關(guān)，即使沒有過錯，只要給數(shù)據(jù)主體造成了損害就應(yīng)當(dāng)承擔(dān)賠償責(zé)任。GDPR通過后，德國于2017年6月30日更新了本國的《聯(lián)邦數(shù)據(jù)保護法》。該法第83條第1款規(guī)定，“當(dāng)責(zé)任人違反本法或違反其他數(shù)據(jù)處理相關(guān)規(guī)定處理個人數(shù)據(jù)，導(dǎo)致數(shù)據(jù)主體受到損害時，責(zé)任人應(yīng)向數(shù)據(jù)主體承擔(dān)賠償責(zé)任。在非自動化處理的情況下，如果損害不是由責(zé)任人的過錯造成的，則賠償義務(wù)不適用”。從該條規(guī)定可以看出，德國在區(qū)分自動化和非自動化處理數(shù)據(jù)的情況下，要求以自動化方式處理數(shù)據(jù)的責(zé)任人承擔(dān)無過錯責(zé)任，對非自動化方式處理所造成的損害，如果數(shù)據(jù)控制者沒有過錯，則無須承擔(dān)責(zé)任[9]。

與此相似的是，我國臺灣地區(qū)將處理者以是否為公務(wù)機關(guān)為界分，規(guī)定不同的歸責(zé)原則。根據(jù)臺灣地區(qū)《個人資料保護法》第28 條，“如果公務(wù)機關(guān)違反規(guī)定，導(dǎo)致個人資料遭不法搜集、處理、利用或其他侵害當(dāng)事人權(quán)利者，負損害賠償責(zé)任。但損害因天災(zāi)、事變或其他不可抗力所致者，不在此限”。第29條規(guī)定，“非公務(wù)機關(guān)違反本法規(guī)定，致個人資料遭不法搜集、處理、利用或其他侵害當(dāng)事人權(quán)利者，負損害賠償責(zé)任。但能證明其無故意或過失者，不在此限”。從公務(wù)機關(guān)的免責(zé)事由只有不可抗力，非公務(wù)機關(guān)可以通過證明自身沒有故意或過失而免責(zé)可以看出，在我國臺灣地區(qū)的個人信息侵權(quán)責(zé)任中，對公務(wù)機關(guān)適用無過錯責(zé)任，非公務(wù)機關(guān)適用過錯推定責(zé)任。

3.美國自律模式下的歸責(zé)原則

美國目前沒有聯(lián)邦性數(shù)據(jù)保護法典，其數(shù)據(jù)保護散見于醫(yī)療、金融、就業(yè)、兒童保護等不同行業(yè)，呈現(xiàn)出以領(lǐng)域為界的分散性立法特征。鑒于傳統(tǒng)理念及實用主義的影響，美國多數(shù)行業(yè)憑借行業(yè)自律即可達成自我管控。在個人信息保護中起到主要作用的是市場本身，立法偏向于對可能出現(xiàn)的信息不對稱或不公平現(xiàn)象進行調(diào)整。在此意義上可以認為，美國大多數(shù)個人信息保護立法的本質(zhì)仍然屬于市場監(jiān)管法或市場調(diào)節(jié)法的范疇[10]。且從嚴格程度而言，美國立法對個人信息侵權(quán)責(zé)任所采取的歸責(zé)原則較松，主要對公務(wù)機關(guān)進行規(guī)制。

（三）我國理論界的爭議

不管是在立法征求意見的過程中，還是在《個人信息保護法》頒布后，我國學(xué)界對于個人信息侵權(quán)損害賠償應(yīng)當(dāng)適用的歸責(zé)原則一直未達成共識，歸納起來有以下幾類。

1.一分法

在《個人信息保護法》出臺前，統(tǒng)一適用過錯責(zé)任原則為主流觀點，即堅持只有侵權(quán)人具有主觀上的故意或者過失才需承擔(dān)個人信息侵權(quán)責(zé)任。持有此種觀點的學(xué)者將侵害個人信息的侵權(quán)責(zé)任劃為一般侵權(quán)責(zé)任的范疇，認為這種侵權(quán)行為的本質(zhì)是對隱私權(quán)的侵害，與侵害名譽權(quán)、肖像權(quán)等人格權(quán)屬于同一種性質(zhì)[11]。在《個人信息保護法》出臺確立了過錯推定的主觀歸責(zé)原則后，有學(xué)者指出證明責(zé)任倒置方式仍然救濟乏力，難以扭轉(zhuǎn)受害人的弱勢地位，采用無過錯責(zé)任原則符合成本收益原則和社會公益原則，能更好地維持當(dāng)事人之間的利益平衡[12]。

2.二分法

個人信息侵權(quán)損害賠償責(zé)任原則二分法通?；谀撤N特定的分類標(biāo)準(zhǔn)。如果將侵權(quán)主體作為分類標(biāo)準(zhǔn)，則普遍認為公務(wù)機關(guān)應(yīng)適用無過錯責(zé)任，非公務(wù)機關(guān)適用過錯推定原則[13]。理由為國家機關(guān)對于信息的收集和使用占據(jù)絕對優(yōu)勢，也應(yīng)承擔(dān)更加嚴格的責(zé)任，才能更好地保護信息主體的安全。如果以處理行為進行區(qū)分，則堅持對以自動化方式處理個人信息而導(dǎo)致的侵權(quán)行為采過錯推定責(zé)任，非自動化采過錯責(zé)任[14]。還有學(xué)者早期認為個人信息的侵權(quán)責(zé)任不應(yīng)該區(qū)分數(shù)據(jù)處理者，應(yīng)統(tǒng)一適用無過錯責(zé)任原則[15]，在《個人信息保護法》出臺后轉(zhuǎn)為敏感個人信息適用無過錯歸責(zé)原則，非敏感個人信息則適用過錯推定原則的立場[16]。理由在于敏感個人信息的處理行為屬于法律上的高度危險行為，基于危險開啟理論與危險控制理論的要求，處理者承擔(dān)危險責(zé)任無可厚非。

3.三分法

三分法的劃分標(biāo)準(zhǔn)角度有兩類：一類區(qū)分損害賠償和非損害賠償，認為事前事中的行為防控類責(zé)任適用無過錯原則，非賠償損失責(zé)任中的事后行為補償責(zé)任適用過錯推定原則，賠償損失類責(zé)任適用過錯責(zé)任原則[17]。另一類認為應(yīng)當(dāng)在區(qū)分公、私處理者的情況下，針對不同類型的個人信息處理行為分別確定相應(yīng)的歸責(zé)原則。對于既是公務(wù)機關(guān)，又采取了自動化處理技術(shù)的侵權(quán)行為人，應(yīng)適用無過錯責(zé)任。采用自動化處理技術(shù)的非公務(wù)機關(guān)適用過錯推定責(zé)任。既未采用自動化處理技術(shù)，又是非公務(wù)機關(guān)的侵權(quán)行為人則適用過錯責(zé)任原則[18]。

從以上學(xué)術(shù)觀點能夠看出，除了存在主觀歸責(zé)原則總體分類形態(tài)的不同，具體的劃分標(biāo)準(zhǔn)也存在差異。

三、以敏感與非敏感信息為歸責(zé)原則的分類標(biāo)準(zhǔn)

由上文可以看出，個人信息領(lǐng)域存在多重分類方法，如是否自動化處理，處理者是公務(wù)機關(guān)還是非公務(wù)機關(guān)。但在個人信息保護法中，最重要且最無可替代的當(dāng)屬敏感信息與非敏感信息的區(qū)分。

（一）區(qū)分敏感與非敏感信息的意義

作為“特殊的個人信息”，敏感個人信息在比較法中有著不同的界定，但不管范圍如何細分，總體來看核心都不超過一旦被非法處理就容易危及或損害個人的基本權(quán)利和自由、人格尊嚴的范圍。在《個人信息保護法》頒布之前，我國《民法典》《網(wǎng)絡(luò)安全法》等法律、行政法規(guī)對個人信息已經(jīng)進行了界定，但并未劃分出特殊的個人信息。《個人信息保護法》第28條首次在法律上以概括加列舉的方式對敏感個人信息進行了界定，并對處理敏感信息提出了特別要求。在該條第一款中，敏感個人信息的定義為“一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害”。由此可見，“敏感”指的是造成侵害或者危害后果上的容易性。具體而言：一是人格尊嚴受到侵害，如病史、政治觀點等被泄露而受到不公正的對待。二是自然人的人身、財產(chǎn)安全受到危害，如銀行用戶的金融賬戶信息被盜用，某app 搜集自然人的行蹤軌跡信息后出售給廣告商等。

鑒于金融數(shù)據(jù)、生物識別等敏感個人信息與自然人的人格尊嚴、人格自由等基本權(quán)利以及人身、財產(chǎn)安全都有密切的聯(lián)系，對于這類個人信息的處理，無論是否基于合法的理由，都會給自然人的基本權(quán)利以及人身財產(chǎn)安全帶來風(fēng)險，因此對之應(yīng)當(dāng)比一般個人信息予以更強的保護力度，以此區(qū)分作為侵害個人信息權(quán)益的侵權(quán)賠償責(zé)任的標(biāo)準(zhǔn)，進而輔以不同的歸責(zé)原則，才能體現(xiàn)對敏感個人信息的特殊保護。

（二）危險源的開啟與控制

過錯責(zé)任作為侵權(quán)法的基本歸責(zé)原則，要求只有在行為人存在過錯的情況下才需承擔(dān)責(zé)任。隨著社會日新月異的變化，新設(shè)施和新技術(shù)大量涌現(xiàn)，催生了侵權(quán)法上無過錯責(zé)任的發(fā)展，其中1868年英國“Rylands v.Flechter”案具有重要地位。該案判決指出“一個人如果為他自己的目的將某物帶入自己的土地，并收集與管理它們，但這些物件很可能在逸出時會造成傷害，則該人必須自己承擔(dān)保管好這些物件的責(zé)任。如果該人沒能這樣做，應(yīng)當(dāng)對其逸出造成的自然后果即損害承擔(dān)責(zé)任”[19]?？梢钥闯觯门姓邔㈥P(guān)注點從行為背后的主觀意圖轉(zhuǎn)移到行為本身的性質(zhì)之上。依據(jù)這一理論，從事危險活動的人需要承擔(dān)無過錯責(zé)任的原因之一是其創(chuàng)造出了本來不存在的危險。Rylands案中，原告索賠成功的重要原因是有危險物品“從被告占有或控制的領(lǐng)域逃到其占有或控制之外的地方”[20]。再進一步分析可知，涉案物并不一定是具有危險性的，危險還體現(xiàn)在其“逃匿”行為帶來的附加傷害。例如在Rylands 案中，該物品是水，其他類似案例還有天然氣、煙霧以及電力等。除了物品的類型，數(shù)量也可以被考慮在內(nèi)。

雖說“能力越強，責(zé)任越大”，但具有控制事物的能力并不是要求控制者承擔(dān)責(zé)任的原因。“當(dāng)某人是具有很大危險性的土地或動產(chǎn)的控制者時（當(dāng)他排他性的使用時），如果他未能照料好這些財產(chǎn)而使得他人受到傷害，那么侵權(quán)責(zé)任便產(chǎn)生了”[21]。危險控制理論的觀點在于，既然選擇持有危險物品以及從事危險活動，那么該持有人或行為人就應(yīng)該對危險具有控制責(zé)任。

在大數(shù)據(jù)時代之前，無過錯責(zé)任的適用范圍往往集中在產(chǎn)品的制造與流通等具有潛在高度危險性的行為或活動。就個人信息而言，典型的敏感個人信息，如自然人的基因、指紋、臉部圖像等，通常來說是不可更改的，一旦被收集、處理，對信息本體會造成的影響難以預(yù)測和把控。因此從原則上說，敏感個人信息屬于潛在高風(fēng)險物，應(yīng)該是禁止被處理的，除非有更高位階的權(quán)益值得被保護。鑒于此，處理者應(yīng)該承擔(dān)更為嚴格的責(zé)任。與此同時，敏感個人信息本身雖然并不屬于危險物品，但自然生長或產(chǎn)生的東西與人工積累的東西是有區(qū)別的。由于處理者大量收集、存儲、使用個人信息的行為，使得敏感個人信息被聚集，某種程度上由量變引起了質(zhì)變，成為危險源?？梢灶A(yù)見的是，如果它們脫離了處理者的掌控，存在極大的給信息主體造成損害的可能。在這種情形下，“事故損失是命運或厄運所致，這種較為陳舊的觀念，逐漸被將因果責(zé)任歸于個人行為的觀念取代，其中也包括為損害的發(fā)生制造條件的商業(yè)性企業(yè)的行為”[22]。

例如《個人信息保護法》第58 條專門規(guī)定了作為大型互聯(lián)網(wǎng)平臺經(jīng)營者的個人信息處理者的特別義務(wù)。之所以在《個人信息保護法》第5章規(guī)定的其他義務(wù)外，這類特殊的個人信息處理者還負有特別義務(wù)，一個重要原因就是基于危險控制理論。個人信息的處理，尤其是數(shù)量巨大、種類繁多的活動，對個人權(quán)益產(chǎn)生的潛在威脅和風(fēng)險也是非常巨大且難以預(yù)測的。從事此類活動的處理者對于利用其網(wǎng)絡(luò)服務(wù)的用戶具有強技術(shù)性及信息等方面的強控制力，應(yīng)該對自己所從事的活動及危險性有著最直接的認識，也最有能力去降低風(fēng)險具象化的可能性。在這種情況下，如果只讓他們承擔(dān)過錯責(zé)任，不僅對受害者而言不公平，還會使得行為人缺乏足夠的控制危險、使危險免于具象化的動力。以《民法典》第1202條為例，產(chǎn)品的制造缺陷往往是由于生產(chǎn)者的原因?qū)е碌?，除非有明顯的外觀表現(xiàn)，消費者往往難以知曉產(chǎn)品存在問題，但生產(chǎn)者知道內(nèi)情并可以通過提高技術(shù)或工藝流程來消除這一缺陷。因此《民法典》第1202條規(guī)定生產(chǎn)者就缺陷產(chǎn)品給他人造成的損害負無過錯責(zé)任。這也可以讓達不到要求的人考量自身承擔(dān)責(zé)任的可能性，從而為這些具有潛在高風(fēng)險活動的行業(yè)提高準(zhǔn)入門檻，這在一定程度上避免了讓沒有資質(zhì)的人隨意入行，從而給他人權(quán)益造成風(fēng)險。

需要注意的是，盡管危險理論在世界范圍內(nèi)已經(jīng)成為決定無過錯責(zé)任適用范圍最主要的依據(jù)，但符合危險理論只是無過錯責(zé)任的必要條件，并非充分條件。一種行為是否具有危險性并不能成為支持或否定無過錯責(zé)任的唯一依據(jù)。對某類侵權(quán)責(zé)任課以無過錯責(zé)任，還應(yīng)從該行為的風(fēng)險、成本、效益和社會價值等諸多因素來權(quán)衡考量。而這種“風(fēng)險-效用”的權(quán)衡與比較正是法經(jīng)濟學(xué)的研究方法。因此，本文接下來試圖借助法經(jīng)濟學(xué)的分析范式，為無過錯責(zé)任在個人信息侵權(quán)中的適用提供更強的支柱。

四、法經(jīng)濟學(xué)視角下無過錯歸責(zé)原則的偏向

法經(jīng)濟學(xué)分析侵權(quán)法歸責(zé)原則的基本思路是：第一步，判斷事故最佳避免方避免事故發(fā)生所需要的成本和預(yù)計效益；第二步，分析事故最佳避免方的行為水平與法律所規(guī)定的行為水平是否符合；第三步，選擇事故發(fā)生成本更低的一方承擔(dān)損失。就此以效益作為價值取向，通過對過錯責(zé)任原則和嚴格責(zé)任各自的效益進行分析，探尋兩者的適用范圍。

（一）對歸責(zé)原則的法經(jīng)濟學(xué)分析

無論何種侵權(quán)行為，都會對經(jīng)濟引致一定程度的影響，要么是受害人效用的減損要么是預(yù)期收益的降低。傳統(tǒng)法學(xué)的立法目標(biāo)側(cè)重于侵權(quán)法的補償功能，也就是在侵權(quán)行為發(fā)生后對受害人損失進行填補，力圖使其回到損害尚未發(fā)生時的狀態(tài)。法經(jīng)濟學(xué)分析通常從事故的預(yù)防出發(fā)，即避免潛在事故的發(fā)生應(yīng)成為侵權(quán)法更優(yōu)先的目標(biāo)，也就是將重點偏向于避免事故的發(fā)生。預(yù)防，指的是試圖對將來可能會出現(xiàn)的風(fēng)險進行規(guī)避，力圖降低其發(fā)生概率的行為。如果行為人是理性人，就會采取各種措施縮減行為成本、擴大效益。由于損害他人利益也會增加自身成本，因此也會盡量避免侵權(quán)行為的產(chǎn)生。

1.對過錯責(zé)任原則的法經(jīng)濟學(xué)分析

由于在侵權(quán)行為中，主體有侵權(quán)人和被侵權(quán)人兩方，因此可以先將侵權(quán)事故分為單方性事故和雙方性事故。前者指的是僅僅侵權(quán)人的行為能夠?qū)κ鹿实陌l(fā)生概率產(chǎn)生影響的事故[23]。與此相對應(yīng)的是，預(yù)防也可分為單方預(yù)防和雙方預(yù)防。

在過錯責(zé)任中，損害責(zé)任由具有過錯的一方承擔(dān)，可以借助漢德公式從經(jīng)濟學(xué)的角度進行分析。假設(shè)預(yù)防事故的發(fā)生所要支出的成本為B，事故發(fā)生的概率為P，事故造成的損失為L。若B＞PL，則說明行為人為預(yù)防事故的發(fā)生所支出的成本大于預(yù)期的損失，因此對于事故的發(fā)生已經(jīng)沒有過錯。若B＜PL，則意味著行為人的預(yù)防措施不夠到位，存在主觀上的過錯，需要承擔(dān)責(zé)任。簡單來說，如果預(yù)防成本低于預(yù)防收益，說明行為人未盡到應(yīng)盡的注意義務(wù)，需要承擔(dān)預(yù)防成本和受害人損失。為了避免因為自身的過錯而承擔(dān)事故成本，任何一方行為人都會選擇成本較低的預(yù)防措施。而在預(yù)防成本超過收益時，出于經(jīng)濟利益的考慮，行為人會偏向選擇承擔(dān)事故的損失而不是花更高代價去采取預(yù)防措施。

2.對無過錯責(zé)任原則的法經(jīng)濟學(xué)分析

在無過錯責(zé)任下，侵權(quán)人需要對其行為造成的全部損害承擔(dān)責(zé)任。在這種制度下，潛在的侵權(quán)人必然會加大安全措施的投入或降低事故的發(fā)生概率，以減少自己的社會成本。此時侵權(quán)人在嚴格責(zé)任下的總成本等于社會總成本。

與過錯責(zé)任不同的是，預(yù)防成本在無過錯責(zé)任中不被考慮，因為侵權(quán)人無論在何種情況下，都要承擔(dān)損害成本，所以預(yù)防成本也是由侵權(quán)人承擔(dān)，但行為人在一定程度上可提出抗辯。此時可以分為兩種情形：一種是無抗辯事由的責(zé)任，指侵權(quán)人對受害人進行完全的賠償，不能以受害人的過錯進行抗辯。在沒有激勵機制的情況下，受害人通常難以增加自己的成本來采取預(yù)防措施。受害人的單方行為會讓侵權(quán)人的預(yù)防成本起不到應(yīng)有效果，因此在雙方性事故中無過錯責(zé)任不是最佳的選擇。能達到社會最優(yōu)預(yù)防效果的理想情形應(yīng)是單邊預(yù)防的侵權(quán)方作為最佳預(yù)防者、互補單邊預(yù)防的侵權(quán)方是成本最低的預(yù)防者[24]。另一種則是可以以嚴重過錯作為抗辯理由的無過錯責(zé)任，即如果受害人對損害結(jié)果的發(fā)生存在嚴重的過錯，侵權(quán)方可以免除或減輕責(zé)任。由于受害人具有過錯無法證明的情況下侵權(quán)人仍然需要承擔(dān)責(zé)任，因此并不會減損其采取預(yù)防措施的動力。同時，受害人也會采取積極措施去降低事故發(fā)生的概率和減輕損害程度，避免侵權(quán)人提出抗辯事由來減免責(zé)任。

由以上分析可知，適合無過錯責(zé)任的侵權(quán)行為范圍較窄，有如下幾個特點：一是在該領(lǐng)域中，不是靠受害方投入預(yù)防成本來降低侵權(quán)事故的發(fā)生概率。要求受害方提高預(yù)防成本沒有意義，還會使侵權(quán)方屬于防范，反而提高了事故的發(fā)生概率。在這種情況下采取無過錯責(zé)任，不僅可以加強對受害方的保護力度，還能對侵權(quán)方投入合理的預(yù)防成本起到促進作用，雙管齊下以達到帕累托最優(yōu)。二是在該領(lǐng)域中，侵權(quán)方單方投入預(yù)防成本的情況下就能有效降低事故發(fā)生概率。從宏觀角度考慮，適用無過錯責(zé)任可以對侵權(quán)方提高預(yù)防成本產(chǎn)生激勵作用，從而達到降低整體社會成本的目的。

（二）無過錯責(zé)任的優(yōu)勢

1.激勵潛在侵權(quán)人降低事故發(fā)生率

從前文的分析可知，過錯責(zé)任原則在雙方性事故中是最佳選擇，而無過錯責(zé)任更適合侵權(quán)方提高單方預(yù)防成本就能降低事故發(fā)生概率的單方性事故。換言之，如果在某類侵權(quán)事故中，雙方行為人都可以采取有效的預(yù)防措施，那么過錯責(zé)任原則對雙方都能起到激勵作用，較無過錯責(zé)任更行之有效。因為在過錯責(zé)任原則下，如果侵權(quán)方在預(yù)防事故的發(fā)生上所付出的成本低于最優(yōu)注意水平，就要承擔(dān)事前預(yù)防和事故責(zé)任的雙重成本。如果其投入的成本達到了最優(yōu)注意水平，則可以免去事故成本，因此侵權(quán)人會受到過錯責(zé)任原則的激勵作用。對受害人而言，但凡侵權(quán)人達到了最優(yōu)注意水平，事故成本就會向受害人轉(zhuǎn)移，也會變相激勵受害人投入預(yù)防成本。兩兩相加，自然會降低事故的發(fā)生率。綜上可得，過錯原則可以為事故雙方都提供適當(dāng)?shù)募?。但如果該事故是單方性事故，即受害方無論支出什么成本都難以避免事故的發(fā)生，侵權(quán)人卻可以通過投入預(yù)防成本采取有效的措施來避免事故的發(fā)生，那么無過錯責(zé)任既能引導(dǎo)侵權(quán)人施加最優(yōu)水平的注意，又能使其按照社會最優(yōu)水平行事[25]。因為侵權(quán)人會內(nèi)部化其邊際成本和邊際收益，將自己的行為水平控制在有效行為水平的區(qū)間內(nèi)，以實現(xiàn)社會成本的最小化。

2.節(jié)約交易成本

在單方性事故中，選擇交易成本較低的無過錯責(zé)任更符合效率目標(biāo)。根據(jù)波斯納的觀點，執(zhí)行成本可分為信息成本和請求成本[26]。信息成本是在過錯責(zé)任原則下，用來確定最優(yōu)注意水平和當(dāng)事人的實際注意水平的成本。請求成本則是處理及搜集一項法定請求權(quán)的成本。在無過錯歸責(zé)原則下，可以節(jié)約交易成本。交易成本包含兩類：一是信息成本。無論是法院還是受害者，都難以對事故損害的信息有所掌握，更是不清楚侵權(quán)人的預(yù)防成本或收益情況。由于這些信息的缺失或者收集成本的代價高昂，對侵權(quán)人承擔(dān)的賠償責(zé)任很有可能產(chǎn)生一定程度的偏差。而在成本—收益的分析模式下，由于侵權(quán)人在無過錯責(zé)任原則中，一旦發(fā)生損害不僅要承擔(dān)賠償責(zé)任，還需要為自己的侵權(quán)行為承擔(dān)舉證責(zé)任。這些都會促進潛在侵權(quán)人積極提供有效信息，對易造成風(fēng)險的行為提高注意義務(wù)。二是節(jié)約請求成本。由于既不需要對侵權(quán)人的行為是否具有過錯開展討論，也不需要對受害人是否存在一般過失進行論證，明確侵權(quán)行為和損害結(jié)果之間有著因果聯(lián)系即可，不僅能夠在一定程度上降低訴訟的成本，還有助于法院結(jié)案效率的提升。

五、結(jié)論與建議

《個人信息保護法》第69 條規(guī)定了過錯推定原則，即推定被告具有過錯，原告對此不負擔(dān)舉證責(zé)任，但如果被告能提供自己沒有過錯的證據(jù)，就無須承擔(dān)責(zé)任。因此究其實質(zhì)，過錯推定沒有離開過錯責(zé)任原則的范疇，只是在證據(jù)方面舉證責(zé)任倒置。

鑒于侵害個人信息權(quán)益的行為通常有非法收集個人信息、非法使用個人信息、非法提供個人信息和泄露個人信息等，由前文的分析可知，作為典型的單方性侵權(quán)，由于信息主體采取預(yù)防措施難以起到避免損害的效果，如果要求其去增加預(yù)防成本，不僅對降低事故發(fā)生率的效果不佳，還提高了總體成本。而潛在的侵權(quán)方，即個人信息處理者，相對于信息主體而言在個人信息處理活動中占據(jù)著絕對的主動地位，尤其是處理行為往往技術(shù)性較強，不易被行業(yè)之外的人所知悉。在這種背景之下，由個人信息處理者投入預(yù)防成本來降低事故的發(fā)生率更加合理。

值得強調(diào)的是，由個人信息處理者承擔(dān)無過錯責(zé)任，并不是為了剝削其從事危險活動獲得的利益，而是通過由其承擔(dān)損害成本，從而實現(xiàn)包含所有成本在內(nèi)的“成本—收益—分析”模式，從而形成擴大或改進安全措施的投入，或者是降低其行為水平以實現(xiàn)凈利潤的路徑。

同時，雖然避免產(chǎn)生危險事故行為的最好方式是實行“一刀切”的無過錯責(zé)任，但這一方式將導(dǎo)致個人信息處理行為的減少甚至消失。在大數(shù)據(jù)不斷促進商業(yè)模式創(chuàng)新、個人信息價值與日俱增的當(dāng)下，要想與信息的分享和使用相脫離，幾乎不可能。在合理的限度對個人信息進行處理，無論是對于個人、社會還是國家而言都是有利的。況且同域外發(fā)達國家相比，我國信息行業(yè)萌芽發(fā)展相對落后，如果不區(qū)分主體對無過錯責(zé)任原則加以適用，會從某種程度上對個人信息流通造成制約，同時也不利于我國信息行業(yè)的進一步發(fā)展。在這種情況下全面適用無過錯歸責(zé)原則并不現(xiàn)實。

《個人信息保護法》第28 條對敏感信息與非敏感信息進行了劃分。在法律上，對于更高價值位階的法益應(yīng)當(dāng)予以強度更高的保護。與此相應(yīng)的，對于與自然人的基本權(quán)利及人身財產(chǎn)安全密切相關(guān)的敏感個人信息，法律的天平也應(yīng)當(dāng)向其傾斜。敏感個人信息的處理對自然人而言意味著極高的風(fēng)險，但同時也可能帶來益處。因此，無論什么階段的任何一國立法，都沒有完全禁止處理敏感個人信息的規(guī)定。但為了強化對敏感個人信息的保護，處理規(guī)則應(yīng)該有別與非敏感個人信息，以體現(xiàn)其特殊性和重要性。結(jié)合危險理論并輔以法經(jīng)濟學(xué)視角的分析，以敏感、非敏感個人信息作為分類基礎(chǔ)，對于前者適用無過錯責(zé)任，后者延續(xù)已有規(guī)定適用過錯推定責(zé)任的歸責(zé)原則構(gòu)建具有較強的實用性，不僅能夠規(guī)避一刀切歸責(zé)原則所具有的不合理性，同時也能有效防范歸責(zé)原則過于嚴苛帶來的負面影響?！?/p>