■李西泠

一、引言

金融賬戶信息，又稱為個(gè)人金融信息，在2021年11月施行的《個(gè)人信息保護(hù)法》中被劃入典型的敏感個(gè)人信息范疇。2020年，《中國(guó)人民銀行金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法》對(duì)消費(fèi)者金融信息做出了詳細(xì)的界定，即指“銀行、支付機(jī)構(gòu)通過開展業(yè)務(wù)或者其他合法渠道處理的消費(fèi)者信息，包括個(gè)人身份信息、財(cái)產(chǎn)信息、賬戶信息、信用信息、金融交易信息及其他與特定消費(fèi)者購(gòu)買、使用金融產(chǎn)品或者服務(wù)相關(guān)的信息”。網(wǎng)絡(luò)時(shí)代，信息的頻繁流通推動(dòng)了數(shù)據(jù)的流通和發(fā)展，但也使得個(gè)人信息的泄露以及非法處理行為越來越泛濫。金融賬戶信息作為典型的個(gè)人敏感信息，一旦被非法處理，不僅會(huì)造成個(gè)人財(cái)產(chǎn)損失，還可能導(dǎo)致人身傷亡。對(duì)此，如何在保護(hù)信息主體權(quán)益的同時(shí)，不對(duì)數(shù)據(jù)的流通造成阻礙，成為立法者需要平衡的問題。

在《個(gè)人信息保護(hù)法》頒布之前，侵害個(gè)人信息的侵權(quán)責(zé)任適用的是《民法典》第1165條第1款所規(guī)定的過錯(cuò)責(zé)任原則。按照一般侵權(quán)行為的構(gòu)成，損害賠償請(qǐng)求權(quán)包含侵權(quán)行為、損害后果、因果關(guān)系和過錯(cuò)。然而在實(shí)踐中，如果適用過錯(cuò)責(zé)任，那受害人就必須證明加害人存在過錯(cuò)，但個(gè)人信息侵權(quán)行為的隱蔽性和技術(shù)性使得原告舉證困難重重?！秱€(gè)人信息保護(hù)法（草案）》第65 條規(guī)定“個(gè)人信息處理者能夠證明自己沒有過錯(cuò)的，可以減輕或者免除責(zé)任”。由于表述含糊不清，在《個(gè)人信息保護(hù)法（草案二次審議稿）》中調(diào)整為“個(gè)人信息處理者不能證明自己沒有過錯(cuò)的，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任”。最后施行的《個(gè)人信息保護(hù)法》第69條沿用了這一表述，明確了侵害個(gè)人信息權(quán)益的損害賠償責(zé)任的歸責(zé)原則是過錯(cuò)推定責(zé)任。這無疑是一個(gè)進(jìn)步，但不區(qū)分敏感個(gè)人信息與非敏感個(gè)人信息，統(tǒng)一適用過錯(cuò)推定責(zé)任是否合適？遭遇個(gè)人信息侵權(quán)的受害者是否就此能夠獲得充分救濟(jì)？針對(duì)上述問題，本文從危險(xiǎn)理論和法經(jīng)濟(jì)學(xué)的角度，對(duì)個(gè)人信息，尤其是金融賬戶等敏感個(gè)人信息應(yīng)適用的歸責(zé)原則進(jìn)行探討，試圖在信息的流通和信息主體的權(quán)益中尋求平衡。

二、個(gè)人信息侵權(quán)歸責(zé)原則的立法現(xiàn)狀與相關(guān)爭(zhēng)議

（一）歸責(zé)原則的本質(zhì)

默認(rèn)被害人自擔(dān)損害，是損害賠償法中最基本的一條原則。一方面，已經(jīng)產(chǎn)生的損害是無法恢復(fù)的。加害人對(duì)遭受損害的人予以補(bǔ)償，從后者的單方視角來看，其減少的利益確實(shí)以另一種方式得到了一定程度的彌補(bǔ)，但法律提供救濟(jì)的本身將再次耗費(fèi)資源并產(chǎn)生額外的交易成本。因此，從避免增加損失的角度出發(fā)，良好的政策應(yīng)讓損失停留在其所發(fā)生之處。另一方面，風(fēng)險(xiǎn)難以被完全規(guī)避，有些后果是不能轉(zhuǎn)嫁給他人的。在各種社會(huì)生產(chǎn)活動(dòng)中，行為人原則上都要考慮代價(jià)，自擔(dān)風(fēng)險(xiǎn)。

而所謂“歸責(zé)”，就是確認(rèn)和追究侵權(quán)行為人的民事責(zé)任[1，2]。歸責(zé)原則，就是在默認(rèn)被害人需要自己承擔(dān)所受損害的前提下，卻要求損害應(yīng)該由加害人承擔(dān)的特殊理由[3]。無論以什么作為歸責(zé)原則，侵權(quán)賠償責(zé)任都是建立在“使得受害人更容易獲得侵權(quán)損害賠償或者鼓勵(lì)企業(yè)提高其活動(dòng)安全性的愿望基礎(chǔ)之上的”[4]。在侵權(quán)法的歸責(zé)原則中，無過錯(cuò)責(zé)任、危險(xiǎn)責(zé)任、嚴(yán)格責(zé)任這幾個(gè)概念經(jīng)常混用。對(duì)于其含義，有學(xué)者認(rèn)為只是說法不同，內(nèi)涵是一樣的。本文無意對(duì)這些概念進(jìn)行辯駁與區(qū)分，統(tǒng)一以無過錯(cuò)責(zé)任指代。

（二）比較法視域下的立法例分析

從比較法來看，不同國(guó)家地區(qū)對(duì)于個(gè)人信息或者數(shù)據(jù)保護(hù)的規(guī)定存在較大差異。主要的立法模式有以下幾種：

1.以歐盟為代表的無過錯(cuò)歸責(zé)原則

1995年通過的意圖規(guī)范歐盟境內(nèi)個(gè)人數(shù)據(jù)處理行為的《數(shù)據(jù)保護(hù)指令》第23 條規(guī)定，“成員國(guó)應(yīng)做出規(guī)定，對(duì)于任何因非法處理或違反依照本指令制定的國(guó)內(nèi)規(guī)定的行為而遭受損害的人，有權(quán)從數(shù)據(jù)控制者處獲得損害賠償。如果控制者證明自己對(duì)導(dǎo)致?lián)p害的事件不承擔(dān)責(zé)任，則可以全部或部分地免責(zé)”。再結(jié)合序言部分第55 條“鑒于個(gè)人因非法處理而可能遭受的任何損害必須由控制者賠償，如果控制者證明其對(duì)損害不負(fù)責(zé)任，特別是在他能夠證明數(shù)據(jù)主體存在過錯(cuò)或者有不可抗力的情形，則可以免除責(zé)任。”

由此可見，根據(jù)1995年的《數(shù)據(jù)保護(hù)指令》，數(shù)據(jù)控制者承擔(dān)的為無過錯(cuò)責(zé)任，成員國(guó)實(shí)施免責(zé)條款僅限于被告無法控制的事件，例如不可抗力或被侵權(quán)人故意。由于歐盟指令是針對(duì)其成員國(guó)的，原則上對(duì)個(gè)人沒有法律約束力，成員國(guó)必須將該指令轉(zhuǎn)化為國(guó)內(nèi)法。于2016年4月通過的《通用數(shù)據(jù)保護(hù)條例》（GDPR）取代了《數(shù)據(jù)保護(hù)指令》，第82條可被視為《數(shù)據(jù)保護(hù)指令》第23條的延續(xù)，第1款規(guī)定了獲得賠償?shù)臋?quán)利，“任何因違反本條例而遭受物質(zhì)或非物質(zhì)損失的人，都有權(quán)從控制者或處理者那里獲得所受損失的賠償”。僅根據(jù)GDPR 第82 條第1款的字面含義，責(zé)任的法律性質(zhì)并不明晰：究竟是無過錯(cuò)責(zé)任，即在構(gòu)成要件中完全脫離過錯(cuò)的責(zé)任；還是僅導(dǎo)致舉證責(zé)任倒置，即過錯(cuò)推定責(zé)任[7]？目前的通用說法是將該條解釋為無過錯(cuò)責(zé)任，即侵權(quán)行為人不能因?yàn)闆]有過錯(cuò)而免責(zé)[8]。但數(shù)據(jù)控制者和數(shù)據(jù)處理者的責(zé)任承擔(dān)有所不同，根據(jù)第82 條第2款，控制者應(yīng)當(dāng)為違反條例的處理行為所導(dǎo)致的損害負(fù)責(zé)，而處理者只有在未遵守條例對(duì)處理者特別規(guī)定的義務(wù)或者超出了控制者指示的情況下，才對(duì)損害負(fù)有責(zé)任。

2.以德國(guó)為代表的二元?dú)w責(zé)原則

二元?dú)w責(zé)原則這一立法模式以德國(guó)為典型代表。最初，為了執(zhí)行1995年的歐盟《數(shù)據(jù)保護(hù)指令》，德國(guó)于2002年制定了《聯(lián)邦數(shù)據(jù)保護(hù)法》（BDSG）。立法者將侵權(quán)主體區(qū)分為一般的數(shù)據(jù)控制者和采用自動(dòng)化技術(shù)處理數(shù)據(jù)的公共機(jī)關(guān)，前者適用過錯(cuò)推定責(zé)任，后者使用無過錯(cuò)責(zé)任。即如果一般的數(shù)據(jù)控制者違法或者使用了不正當(dāng)方式處理個(gè)人數(shù)據(jù)并給數(shù)據(jù)主體造成了傷害，除非能夠證明自己已經(jīng)盡到了應(yīng)盡的注意義務(wù)，否則就應(yīng)當(dāng)對(duì)損失進(jìn)行賠償。對(duì)于采取自動(dòng)化方式收集、處理或使用個(gè)人數(shù)據(jù)的公共機(jī)關(guān)，即使沒有過錯(cuò)，只要給數(shù)據(jù)主體造成了損害就應(yīng)當(dāng)承擔(dān)賠償責(zé)任。GDPR通過后，德國(guó)于2017年6月30日更新了本國(guó)的《聯(lián)邦數(shù)據(jù)保護(hù)法》。該法第83條第1款規(guī)定，“當(dāng)責(zé)任人違反本法或違反其他數(shù)據(jù)處理相關(guān)規(guī)定處理個(gè)人數(shù)據(jù)，導(dǎo)致數(shù)據(jù)主體受到損害時(shí)，責(zé)任人應(yīng)向數(shù)據(jù)主體承擔(dān)賠償責(zé)任。在非自動(dòng)化處理的情況下，如果損害不是由責(zé)任人的過錯(cuò)造成的，則賠償義務(wù)不適用”。從該條規(guī)定可以看出，德國(guó)在區(qū)分自動(dòng)化和非自動(dòng)化處理數(shù)據(jù)的情況下，要求以自動(dòng)化方式處理數(shù)據(jù)的責(zé)任人承擔(dān)無過錯(cuò)責(zé)任，對(duì)非自動(dòng)化方式處理所造成的損害，如果數(shù)據(jù)控制者沒有過錯(cuò)，則無須承擔(dān)責(zé)任[9]。

與此相似的是，我國(guó)臺(tái)灣地區(qū)將處理者以是否為公務(wù)機(jī)關(guān)為界分，規(guī)定不同的歸責(zé)原則。根據(jù)臺(tái)灣地區(qū)《個(gè)人資料保護(hù)法》第28 條，“如果公務(wù)機(jī)關(guān)違反規(guī)定，導(dǎo)致個(gè)人資料遭不法搜集、處理、利用或其他侵害當(dāng)事人權(quán)利者，負(fù)損害賠償責(zé)任。但損害因天災(zāi)、事變或其他不可抗力所致者，不在此限”。第29條規(guī)定，“非公務(wù)機(jī)關(guān)違反本法規(guī)定，致個(gè)人資料遭不法搜集、處理、利用或其他侵害當(dāng)事人權(quán)利者，負(fù)損害賠償責(zé)任。但能證明其無故意或過失者，不在此限”。從公務(wù)機(jī)關(guān)的免責(zé)事由只有不可抗力，非公務(wù)機(jī)關(guān)可以通過證明自身沒有故意或過失而免責(zé)可以看出，在我國(guó)臺(tái)灣地區(qū)的個(gè)人信息侵權(quán)責(zé)任中，對(duì)公務(wù)機(jī)關(guān)適用無過錯(cuò)責(zé)任，非公務(wù)機(jī)關(guān)適用過錯(cuò)推定責(zé)任。

3.美國(guó)自律模式下的歸責(zé)原則

美國(guó)目前沒有聯(lián)邦性數(shù)據(jù)保護(hù)法典，其數(shù)據(jù)保護(hù)散見于醫(yī)療、金融、就業(yè)、兒童保護(hù)等不同行業(yè)，呈現(xiàn)出以領(lǐng)域?yàn)榻绲姆稚⑿粤⒎ㄌ卣?。鑒于傳統(tǒng)理念及實(shí)用主義的影響，美國(guó)多數(shù)行業(yè)憑借行業(yè)自律即可達(dá)成自我管控。在個(gè)人信息保護(hù)中起到主要作用的是市場(chǎng)本身，立法偏向于對(duì)可能出現(xiàn)的信息不對(duì)稱或不公平現(xiàn)象進(jìn)行調(diào)整。在此意義上可以認(rèn)為，美國(guó)大多數(shù)個(gè)人信息保護(hù)立法的本質(zhì)仍然屬于市場(chǎng)監(jiān)管法或市場(chǎng)調(diào)節(jié)法的范疇[10]。且從嚴(yán)格程度而言，美國(guó)立法對(duì)個(gè)人信息侵權(quán)責(zé)任所采取的歸責(zé)原則較松，主要對(duì)公務(wù)機(jī)關(guān)進(jìn)行規(guī)制。

（三）我國(guó)理論界的爭(zhēng)議

不管是在立法征求意見的過程中，還是在《個(gè)人信息保護(hù)法》頒布后，我國(guó)學(xué)界對(duì)于個(gè)人信息侵權(quán)損害賠償應(yīng)當(dāng)適用的歸責(zé)原則一直未達(dá)成共識(shí)，歸納起來有以下幾類。

1.一分法

在《個(gè)人信息保護(hù)法》出臺(tái)前，統(tǒng)一適用過錯(cuò)責(zé)任原則為主流觀點(diǎn)，即堅(jiān)持只有侵權(quán)人具有主觀上的故意或者過失才需承擔(dān)個(gè)人信息侵權(quán)責(zé)任。持有此種觀點(diǎn)的學(xué)者將侵害個(gè)人信息的侵權(quán)責(zé)任劃為一般侵權(quán)責(zé)任的范疇，認(rèn)為這種侵權(quán)行為的本質(zhì)是對(duì)隱私權(quán)的侵害，與侵害名譽(yù)權(quán)、肖像權(quán)等人格權(quán)屬于同一種性質(zhì)[11]。在《個(gè)人信息保護(hù)法》出臺(tái)確立了過錯(cuò)推定的主觀歸責(zé)原則后，有學(xué)者指出證明責(zé)任倒置方式仍然救濟(jì)乏力，難以扭轉(zhuǎn)受害人的弱勢(shì)地位，采用無過錯(cuò)責(zé)任原則符合成本收益原則和社會(huì)公益原則，能更好地維持當(dāng)事人之間的利益平衡[12]。

2.二分法

個(gè)人信息侵權(quán)損害賠償責(zé)任原則二分法通?；谀撤N特定的分類標(biāo)準(zhǔn)。如果將侵權(quán)主體作為分類標(biāo)準(zhǔn)，則普遍認(rèn)為公務(wù)機(jī)關(guān)應(yīng)適用無過錯(cuò)責(zé)任，非公務(wù)機(jī)關(guān)適用過錯(cuò)推定原則[13]。理由為國(guó)家機(jī)關(guān)對(duì)于信息的收集和使用占據(jù)絕對(duì)優(yōu)勢(shì)，也應(yīng)承擔(dān)更加嚴(yán)格的責(zé)任，才能更好地保護(hù)信息主體的安全。如果以處理行為進(jìn)行區(qū)分，則堅(jiān)持對(duì)以自動(dòng)化方式處理個(gè)人信息而導(dǎo)致的侵權(quán)行為采過錯(cuò)推定責(zé)任，非自動(dòng)化采過錯(cuò)責(zé)任[14]。還有學(xué)者早期認(rèn)為個(gè)人信息的侵權(quán)責(zé)任不應(yīng)該區(qū)分?jǐn)?shù)據(jù)處理者，應(yīng)統(tǒng)一適用無過錯(cuò)責(zé)任原則[15]，在《個(gè)人信息保護(hù)法》出臺(tái)后轉(zhuǎn)為敏感個(gè)人信息適用無過錯(cuò)歸責(zé)原則，非敏感個(gè)人信息則適用過錯(cuò)推定原則的立場(chǎng)[16]。理由在于敏感個(gè)人信息的處理行為屬于法律上的高度危險(xiǎn)行為，基于危險(xiǎn)開啟理論與危險(xiǎn)控制理論的要求，處理者承擔(dān)危險(xiǎn)責(zé)任無可厚非。

3.三分法

三分法的劃分標(biāo)準(zhǔn)角度有兩類：一類區(qū)分損害賠償和非損害賠償，認(rèn)為事前事中的行為防控類責(zé)任適用無過錯(cuò)原則，非賠償損失責(zé)任中的事后行為補(bǔ)償責(zé)任適用過錯(cuò)推定原則，賠償損失類責(zé)任適用過錯(cuò)責(zé)任原則[17]。另一類認(rèn)為應(yīng)當(dāng)在區(qū)分公、私處理者的情況下，針對(duì)不同類型的個(gè)人信息處理行為分別確定相應(yīng)的歸責(zé)原則。對(duì)于既是公務(wù)機(jī)關(guān)，又采取了自動(dòng)化處理技術(shù)的侵權(quán)行為人，應(yīng)適用無過錯(cuò)責(zé)任。采用自動(dòng)化處理技術(shù)的非公務(wù)機(jī)關(guān)適用過錯(cuò)推定責(zé)任。既未采用自動(dòng)化處理技術(shù)，又是非公務(wù)機(jī)關(guān)的侵權(quán)行為人則適用過錯(cuò)責(zé)任原則[18]。

從以上學(xué)術(shù)觀點(diǎn)能夠看出，除了存在主觀歸責(zé)原則總體分類形態(tài)的不同，具體的劃分標(biāo)準(zhǔn)也存在差異。

三、以敏感與非敏感信息為歸責(zé)原則的分類標(biāo)準(zhǔn)

由上文可以看出，個(gè)人信息領(lǐng)域存在多重分類方法，如是否自動(dòng)化處理，處理者是公務(wù)機(jī)關(guān)還是非公務(wù)機(jī)關(guān)。但在個(gè)人信息保護(hù)法中，最重要且最無可替代的當(dāng)屬敏感信息與非敏感信息的區(qū)分。

（一）區(qū)分敏感與非敏感信息的意義

作為“特殊的個(gè)人信息”，敏感個(gè)人信息在比較法中有著不同的界定，但不管范圍如何細(xì)分，總體來看核心都不超過一旦被非法處理就容易危及或損害個(gè)人的基本權(quán)利和自由、人格尊嚴(yán)的范圍。在《個(gè)人信息保護(hù)法》頒布之前，我國(guó)《民法典》《網(wǎng)絡(luò)安全法》等法律、行政法規(guī)對(duì)個(gè)人信息已經(jīng)進(jìn)行了界定，但并未劃分出特殊的個(gè)人信息?！秱€(gè)人信息保護(hù)法》第28條首次在法律上以概括加列舉的方式對(duì)敏感個(gè)人信息進(jìn)行了界定，并對(duì)處理敏感信息提出了特別要求。在該條第一款中，敏感個(gè)人信息的定義為“一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害”。由此可見，“敏感”指的是造成侵害或者危害后果上的容易性。具體而言：一是人格尊嚴(yán)受到侵害，如病史、政治觀點(diǎn)等被泄露而受到不公正的對(duì)待。二是自然人的人身、財(cái)產(chǎn)安全受到危害，如銀行用戶的金融賬戶信息被盜用，某app 搜集自然人的行蹤軌跡信息后出售給廣告商等。

鑒于金融數(shù)據(jù)、生物識(shí)別等敏感個(gè)人信息與自然人的人格尊嚴(yán)、人格自由等基本權(quán)利以及人身、財(cái)產(chǎn)安全都有密切的聯(lián)系，對(duì)于這類個(gè)人信息的處理，無論是否基于合法的理由，都會(huì)給自然人的基本權(quán)利以及人身財(cái)產(chǎn)安全帶來風(fēng)險(xiǎn)，因此對(duì)之應(yīng)當(dāng)比一般個(gè)人信息予以更強(qiáng)的保護(hù)力度，以此區(qū)分作為侵害個(gè)人信息權(quán)益的侵權(quán)賠償責(zé)任的標(biāo)準(zhǔn)，進(jìn)而輔以不同的歸責(zé)原則，才能體現(xiàn)對(duì)敏感個(gè)人信息的特殊保護(hù)。

（二）危險(xiǎn)源的開啟與控制

過錯(cuò)責(zé)任作為侵權(quán)法的基本歸責(zé)原則，要求只有在行為人存在過錯(cuò)的情況下才需承擔(dān)責(zé)任。隨著社會(huì)日新月異的變化，新設(shè)施和新技術(shù)大量涌現(xiàn)，催生了侵權(quán)法上無過錯(cuò)責(zé)任的發(fā)展，其中1868年英國(guó)“Rylands v.Flechter”案具有重要地位。該案判決指出“一個(gè)人如果為他自己的目的將某物帶入自己的土地，并收集與管理它們，但這些物件很可能在逸出時(shí)會(huì)造成傷害，則該人必須自己承擔(dān)保管好這些物件的責(zé)任。如果該人沒能這樣做，應(yīng)當(dāng)對(duì)其逸出造成的自然后果即損害承擔(dān)責(zé)任”[19]。可以看出，裁判者將關(guān)注點(diǎn)從行為背后的主觀意圖轉(zhuǎn)移到行為本身的性質(zhì)之上。依據(jù)這一理論，從事危險(xiǎn)活動(dòng)的人需要承擔(dān)無過錯(cuò)責(zé)任的原因之一是其創(chuàng)造出了本來不存在的危險(xiǎn)。Rylands案中，原告索賠成功的重要原因是有危險(xiǎn)物品“從被告占有或控制的領(lǐng)域逃到其占有或控制之外的地方”[20]。再進(jìn)一步分析可知，涉案物并不一定是具有危險(xiǎn)性的，危險(xiǎn)還體現(xiàn)在其“逃匿”行為帶來的附加傷害。例如在Rylands 案中，該物品是水，其他類似案例還有天然氣、煙霧以及電力等。除了物品的類型，數(shù)量也可以被考慮在內(nèi)。

雖說“能力越強(qiáng)，責(zé)任越大”，但具有控制事物的能力并不是要求控制者承擔(dān)責(zé)任的原因?！爱?dāng)某人是具有很大危險(xiǎn)性的土地或動(dòng)產(chǎn)的控制者時(shí)（當(dāng)他排他性的使用時(shí)），如果他未能照料好這些財(cái)產(chǎn)而使得他人受到傷害，那么侵權(quán)責(zé)任便產(chǎn)生了”[21]。危險(xiǎn)控制理論的觀點(diǎn)在于，既然選擇持有危險(xiǎn)物品以及從事危險(xiǎn)活動(dòng)，那么該持有人或行為人就應(yīng)該對(duì)危險(xiǎn)具有控制責(zé)任。

在大數(shù)據(jù)時(shí)代之前，無過錯(cuò)責(zé)任的適用范圍往往集中在產(chǎn)品的制造與流通等具有潛在高度危險(xiǎn)性的行為或活動(dòng)。就個(gè)人信息而言，典型的敏感個(gè)人信息，如自然人的基因、指紋、臉部圖像等，通常來說是不可更改的，一旦被收集、處理，對(duì)信息本體會(huì)造成的影響難以預(yù)測(cè)和把控。因此從原則上說，敏感個(gè)人信息屬于潛在高風(fēng)險(xiǎn)物，應(yīng)該是禁止被處理的，除非有更高位階的權(quán)益值得被保護(hù)。鑒于此，處理者應(yīng)該承擔(dān)更為嚴(yán)格的責(zé)任。與此同時(shí)，敏感個(gè)人信息本身雖然并不屬于危險(xiǎn)物品，但自然生長(zhǎng)或產(chǎn)生的東西與人工積累的東西是有區(qū)別的。由于處理者大量收集、存儲(chǔ)、使用個(gè)人信息的行為，使得敏感個(gè)人信息被聚集，某種程度上由量變引起了質(zhì)變，成為危險(xiǎn)源?？梢灶A(yù)見的是，如果它們脫離了處理者的掌控，存在極大的給信息主體造成損害的可能。在這種情形下，“事故損失是命運(yùn)或厄運(yùn)所致，這種較為陳舊的觀念，逐漸被將因果責(zé)任歸于個(gè)人行為的觀念取代，其中也包括為損害的發(fā)生制造條件的商業(yè)性企業(yè)的行為”[22]。

例如《個(gè)人信息保護(hù)法》第58 條專門規(guī)定了作為大型互聯(lián)網(wǎng)平臺(tái)經(jīng)營(yíng)者的個(gè)人信息處理者的特別義務(wù)。之所以在《個(gè)人信息保護(hù)法》第5章規(guī)定的其他義務(wù)外，這類特殊的個(gè)人信息處理者還負(fù)有特別義務(wù)，一個(gè)重要原因就是基于危險(xiǎn)控制理論。個(gè)人信息的處理，尤其是數(shù)量巨大、種類繁多的活動(dòng)，對(duì)個(gè)人權(quán)益產(chǎn)生的潛在威脅和風(fēng)險(xiǎn)也是非常巨大且難以預(yù)測(cè)的。從事此類活動(dòng)的處理者對(duì)于利用其網(wǎng)絡(luò)服務(wù)的用戶具有強(qiáng)技術(shù)性及信息等方面的強(qiáng)控制力，應(yīng)該對(duì)自己所從事的活動(dòng)及危險(xiǎn)性有著最直接的認(rèn)識(shí)，也最有能力去降低風(fēng)險(xiǎn)具象化的可能性。在這種情況下，如果只讓他們承擔(dān)過錯(cuò)責(zé)任，不僅對(duì)受害者而言不公平，還會(huì)使得行為人缺乏足夠的控制危險(xiǎn)、使危險(xiǎn)免于具象化的動(dòng)力。以《民法典》第1202條為例，產(chǎn)品的制造缺陷往往是由于生產(chǎn)者的原因?qū)е碌?，除非有明顯的外觀表現(xiàn)，消費(fèi)者往往難以知曉產(chǎn)品存在問題，但生產(chǎn)者知道內(nèi)情并可以通過提高技術(shù)或工藝流程來消除這一缺陷。因此《民法典》第1202條規(guī)定生產(chǎn)者就缺陷產(chǎn)品給他人造成的損害負(fù)無過錯(cuò)責(zé)任。這也可以讓達(dá)不到要求的人考量自身承擔(dān)責(zé)任的可能性，從而為這些具有潛在高風(fēng)險(xiǎn)活動(dòng)的行業(yè)提高準(zhǔn)入門檻，這在一定程度上避免了讓沒有資質(zhì)的人隨意入行，從而給他人權(quán)益造成風(fēng)險(xiǎn)。

需要注意的是，盡管危險(xiǎn)理論在世界范圍內(nèi)已經(jīng)成為決定無過錯(cuò)責(zé)任適用范圍最主要的依據(jù)，但符合危險(xiǎn)理論只是無過錯(cuò)責(zé)任的必要條件，并非充分條件。一種行為是否具有危險(xiǎn)性并不能成為支持或否定無過錯(cuò)責(zé)任的唯一依據(jù)。對(duì)某類侵權(quán)責(zé)任課以無過錯(cuò)責(zé)任，還應(yīng)從該行為的風(fēng)險(xiǎn)、成本、效益和社會(huì)價(jià)值等諸多因素來權(quán)衡考量。而這種“風(fēng)險(xiǎn)-效用”的權(quán)衡與比較正是法經(jīng)濟(jì)學(xué)的研究方法。因此，本文接下來試圖借助法經(jīng)濟(jì)學(xué)的分析范式，為無過錯(cuò)責(zé)任在個(gè)人信息侵權(quán)中的適用提供更強(qiáng)的支柱。

四、法經(jīng)濟(jì)學(xué)視角下無過錯(cuò)歸責(zé)原則的偏向

法經(jīng)濟(jì)學(xué)分析侵權(quán)法歸責(zé)原則的基本思路是：第一步，判斷事故最佳避免方避免事故發(fā)生所需要的成本和預(yù)計(jì)效益；第二步，分析事故最佳避免方的行為水平與法律所規(guī)定的行為水平是否符合；第三步，選擇事故發(fā)生成本更低的一方承擔(dān)損失。就此以效益作為價(jià)值取向，通過對(duì)過錯(cuò)責(zé)任原則和嚴(yán)格責(zé)任各自的效益進(jìn)行分析，探尋兩者的適用范圍。

（一）對(duì)歸責(zé)原則的法經(jīng)濟(jì)學(xué)分析

無論何種侵權(quán)行為，都會(huì)對(duì)經(jīng)濟(jì)引致一定程度的影響，要么是受害人效用的減損要么是預(yù)期收益的降低。傳統(tǒng)法學(xué)的立法目標(biāo)側(cè)重于侵權(quán)法的補(bǔ)償功能，也就是在侵權(quán)行為發(fā)生后對(duì)受害人損失進(jìn)行填補(bǔ)，力圖使其回到損害尚未發(fā)生時(shí)的狀態(tài)。法經(jīng)濟(jì)學(xué)分析通常從事故的預(yù)防出發(fā)，即避免潛在事故的發(fā)生應(yīng)成為侵權(quán)法更優(yōu)先的目標(biāo)，也就是將重點(diǎn)偏向于避免事故的發(fā)生。預(yù)防，指的是試圖對(duì)將來可能會(huì)出現(xiàn)的風(fēng)險(xiǎn)進(jìn)行規(guī)避，力圖降低其發(fā)生概率的行為。如果行為人是理性人，就會(huì)采取各種措施縮減行為成本、擴(kuò)大效益。由于損害他人利益也會(huì)增加自身成本，因此也會(huì)盡量避免侵權(quán)行為的產(chǎn)生。

1.對(duì)過錯(cuò)責(zé)任原則的法經(jīng)濟(jì)學(xué)分析

由于在侵權(quán)行為中，主體有侵權(quán)人和被侵權(quán)人兩方，因此可以先將侵權(quán)事故分為單方性事故和雙方性事故。前者指的是僅僅侵權(quán)人的行為能夠?qū)κ鹿实陌l(fā)生概率產(chǎn)生影響的事故[23]。與此相對(duì)應(yīng)的是，預(yù)防也可分為單方預(yù)防和雙方預(yù)防。

在過錯(cuò)責(zé)任中，損害責(zé)任由具有過錯(cuò)的一方承擔(dān)，可以借助漢德公式從經(jīng)濟(jì)學(xué)的角度進(jìn)行分析。假設(shè)預(yù)防事故的發(fā)生所要支出的成本為B，事故發(fā)生的概率為P，事故造成的損失為L(zhǎng)。若B＞PL，則說明行為人為預(yù)防事故的發(fā)生所支出的成本大于預(yù)期的損失，因此對(duì)于事故的發(fā)生已經(jīng)沒有過錯(cuò)。若B＜PL，則意味著行為人的預(yù)防措施不夠到位，存在主觀上的過錯(cuò)，需要承擔(dān)責(zé)任。簡(jiǎn)單來說，如果預(yù)防成本低于預(yù)防收益，說明行為人未盡到應(yīng)盡的注意義務(wù)，需要承擔(dān)預(yù)防成本和受害人損失。為了避免因?yàn)樽陨淼倪^錯(cuò)而承擔(dān)事故成本，任何一方行為人都會(huì)選擇成本較低的預(yù)防措施。而在預(yù)防成本超過收益時(shí)，出于經(jīng)濟(jì)利益的考慮，行為人會(huì)偏向選擇承擔(dān)事故的損失而不是花更高代價(jià)去采取預(yù)防措施。

2.對(duì)無過錯(cuò)責(zé)任原則的法經(jīng)濟(jì)學(xué)分析

在無過錯(cuò)責(zé)任下，侵權(quán)人需要對(duì)其行為造成的全部損害承擔(dān)責(zé)任。在這種制度下，潛在的侵權(quán)人必然會(huì)加大安全措施的投入或降低事故的發(fā)生概率，以減少自己的社會(huì)成本。此時(shí)侵權(quán)人在嚴(yán)格責(zé)任下的總成本等于社會(huì)總成本。

與過錯(cuò)責(zé)任不同的是，預(yù)防成本在無過錯(cuò)責(zé)任中不被考慮，因?yàn)榍謾?quán)人無論在何種情況下，都要承擔(dān)損害成本，所以預(yù)防成本也是由侵權(quán)人承擔(dān)，但行為人在一定程度上可提出抗辯。此時(shí)可以分為兩種情形：一種是無抗辯事由的責(zé)任，指侵權(quán)人對(duì)受害人進(jìn)行完全的賠償，不能以受害人的過錯(cuò)進(jìn)行抗辯。在沒有激勵(lì)機(jī)制的情況下，受害人通常難以增加自己的成本來采取預(yù)防措施。受害人的單方行為會(huì)讓侵權(quán)人的預(yù)防成本起不到應(yīng)有效果，因此在雙方性事故中無過錯(cuò)責(zé)任不是最佳的選擇。能達(dá)到社會(huì)最優(yōu)預(yù)防效果的理想情形應(yīng)是單邊預(yù)防的侵權(quán)方作為最佳預(yù)防者、互補(bǔ)單邊預(yù)防的侵權(quán)方是成本最低的預(yù)防者[24]。另一種則是可以以嚴(yán)重過錯(cuò)作為抗辯理由的無過錯(cuò)責(zé)任，即如果受害人對(duì)損害結(jié)果的發(fā)生存在嚴(yán)重的過錯(cuò)，侵權(quán)方可以免除或減輕責(zé)任。由于受害人具有過錯(cuò)無法證明的情況下侵權(quán)人仍然需要承擔(dān)責(zé)任，因此并不會(huì)減損其采取預(yù)防措施的動(dòng)力。同時(shí)，受害人也會(huì)采取積極措施去降低事故發(fā)生的概率和減輕損害程度，避免侵權(quán)人提出抗辯事由來減免責(zé)任。

由以上分析可知，適合無過錯(cuò)責(zé)任的侵權(quán)行為范圍較窄，有如下幾個(gè)特點(diǎn)：一是在該領(lǐng)域中，不是靠受害方投入預(yù)防成本來降低侵權(quán)事故的發(fā)生概率。要求受害方提高預(yù)防成本沒有意義，還會(huì)使侵權(quán)方屬于防范，反而提高了事故的發(fā)生概率。在這種情況下采取無過錯(cuò)責(zé)任，不僅可以加強(qiáng)對(duì)受害方的保護(hù)力度，還能對(duì)侵權(quán)方投入合理的預(yù)防成本起到促進(jìn)作用，雙管齊下以達(dá)到帕累托最優(yōu)。二是在該領(lǐng)域中，侵權(quán)方單方投入預(yù)防成本的情況下就能有效降低事故發(fā)生概率。從宏觀角度考慮，適用無過錯(cuò)責(zé)任可以對(duì)侵權(quán)方提高預(yù)防成本產(chǎn)生激勵(lì)作用，從而達(dá)到降低整體社會(huì)成本的目的。

（二）無過錯(cuò)責(zé)任的優(yōu)勢(shì)

1.激勵(lì)潛在侵權(quán)人降低事故發(fā)生率

從前文的分析可知，過錯(cuò)責(zé)任原則在雙方性事故中是最佳選擇，而無過錯(cuò)責(zé)任更適合侵權(quán)方提高單方預(yù)防成本就能降低事故發(fā)生概率的單方性事故。換言之，如果在某類侵權(quán)事故中，雙方行為人都可以采取有效的預(yù)防措施，那么過錯(cuò)責(zé)任原則對(duì)雙方都能起到激勵(lì)作用，較無過錯(cuò)責(zé)任更行之有效。因?yàn)樵谶^錯(cuò)責(zé)任原則下，如果侵權(quán)方在預(yù)防事故的發(fā)生上所付出的成本低于最優(yōu)注意水平，就要承擔(dān)事前預(yù)防和事故責(zé)任的雙重成本。如果其投入的成本達(dá)到了最優(yōu)注意水平，則可以免去事故成本，因此侵權(quán)人會(huì)受到過錯(cuò)責(zé)任原則的激勵(lì)作用。對(duì)受害人而言，但凡侵權(quán)人達(dá)到了最優(yōu)注意水平，事故成本就會(huì)向受害人轉(zhuǎn)移，也會(huì)變相激勵(lì)受害人投入預(yù)防成本。兩兩相加，自然會(huì)降低事故的發(fā)生率。綜上可得，過錯(cuò)原則可以為事故雙方都提供適當(dāng)?shù)募?lì)。但如果該事故是單方性事故，即受害方無論支出什么成本都難以避免事故的發(fā)生，侵權(quán)人卻可以通過投入預(yù)防成本采取有效的措施來避免事故的發(fā)生，那么無過錯(cuò)責(zé)任既能引導(dǎo)侵權(quán)人施加最優(yōu)水平的注意，又能使其按照社會(huì)最優(yōu)水平行事[25]。因?yàn)榍謾?quán)人會(huì)內(nèi)部化其邊際成本和邊際收益，將自己的行為水平控制在有效行為水平的區(qū)間內(nèi)，以實(shí)現(xiàn)社會(huì)成本的最小化。

2.節(jié)約交易成本

在單方性事故中，選擇交易成本較低的無過錯(cuò)責(zé)任更符合效率目標(biāo)。根據(jù)波斯納的觀點(diǎn)，執(zhí)行成本可分為信息成本和請(qǐng)求成本[26]。信息成本是在過錯(cuò)責(zé)任原則下，用來確定最優(yōu)注意水平和當(dāng)事人的實(shí)際注意水平的成本。請(qǐng)求成本則是處理及搜集一項(xiàng)法定請(qǐng)求權(quán)的成本。在無過錯(cuò)歸責(zé)原則下，可以節(jié)約交易成本。交易成本包含兩類：一是信息成本。無論是法院還是受害者，都難以對(duì)事故損害的信息有所掌握，更是不清楚侵權(quán)人的預(yù)防成本或收益情況。由于這些信息的缺失或者收集成本的代價(jià)高昂，對(duì)侵權(quán)人承擔(dān)的賠償責(zé)任很有可能產(chǎn)生一定程度的偏差。而在成本—收益的分析模式下，由于侵權(quán)人在無過錯(cuò)責(zé)任原則中，一旦發(fā)生損害不僅要承擔(dān)賠償責(zé)任，還需要為自己的侵權(quán)行為承擔(dān)舉證責(zé)任。這些都會(huì)促進(jìn)潛在侵權(quán)人積極提供有效信息，對(duì)易造成風(fēng)險(xiǎn)的行為提高注意義務(wù)。二是節(jié)約請(qǐng)求成本。由于既不需要對(duì)侵權(quán)人的行為是否具有過錯(cuò)開展討論，也不需要對(duì)受害人是否存在一般過失進(jìn)行論證，明確侵權(quán)行為和損害結(jié)果之間有著因果聯(lián)系即可，不僅能夠在一定程度上降低訴訟的成本，還有助于法院結(jié)案效率的提升。

五、結(jié)論與建議

《個(gè)人信息保護(hù)法》第69 條規(guī)定了過錯(cuò)推定原則，即推定被告具有過錯(cuò)，原告對(duì)此不負(fù)擔(dān)舉證責(zé)任，但如果被告能提供自己沒有過錯(cuò)的證據(jù)，就無須承擔(dān)責(zé)任。因此究其實(shí)質(zhì)，過錯(cuò)推定沒有離開過錯(cuò)責(zé)任原則的范疇，只是在證據(jù)方面舉證責(zé)任倒置。

鑒于侵害個(gè)人信息權(quán)益的行為通常有非法收集個(gè)人信息、非法使用個(gè)人信息、非法提供個(gè)人信息和泄露個(gè)人信息等，由前文的分析可知，作為典型的單方性侵權(quán)，由于信息主體采取預(yù)防措施難以起到避免損害的效果，如果要求其去增加預(yù)防成本，不僅對(duì)降低事故發(fā)生率的效果不佳，還提高了總體成本。而潛在的侵權(quán)方，即個(gè)人信息處理者，相對(duì)于信息主體而言在個(gè)人信息處理活動(dòng)中占據(jù)著絕對(duì)的主動(dòng)地位，尤其是處理行為往往技術(shù)性較強(qiáng)，不易被行業(yè)之外的人所知悉。在這種背景之下，由個(gè)人信息處理者投入預(yù)防成本來降低事故的發(fā)生率更加合理。

值得強(qiáng)調(diào)的是，由個(gè)人信息處理者承擔(dān)無過錯(cuò)責(zé)任，并不是為了剝削其從事危險(xiǎn)活動(dòng)獲得的利益，而是通過由其承擔(dān)損害成本，從而實(shí)現(xiàn)包含所有成本在內(nèi)的“成本—收益—分析”模式，從而形成擴(kuò)大或改進(jìn)安全措施的投入，或者是降低其行為水平以實(shí)現(xiàn)凈利潤(rùn)的路徑。

同時(shí)，雖然避免產(chǎn)生危險(xiǎn)事故行為的最好方式是實(shí)行“一刀切”的無過錯(cuò)責(zé)任，但這一方式將導(dǎo)致個(gè)人信息處理行為的減少甚至消失。在大數(shù)據(jù)不斷促進(jìn)商業(yè)模式創(chuàng)新、個(gè)人信息價(jià)值與日俱增的當(dāng)下，要想與信息的分享和使用相脫離，幾乎不可能。在合理的限度對(duì)個(gè)人信息進(jìn)行處理，無論是對(duì)于個(gè)人、社會(huì)還是國(guó)家而言都是有利的。況且同域外發(fā)達(dá)國(guó)家相比，我國(guó)信息行業(yè)萌芽發(fā)展相對(duì)落后，如果不區(qū)分主體對(duì)無過錯(cuò)責(zé)任原則加以適用，會(huì)從某種程度上對(duì)個(gè)人信息流通造成制約，同時(shí)也不利于我國(guó)信息行業(yè)的進(jìn)一步發(fā)展。在這種情況下全面適用無過錯(cuò)歸責(zé)原則并不現(xiàn)實(shí)。

《個(gè)人信息保護(hù)法》第28 條對(duì)敏感信息與非敏感信息進(jìn)行了劃分。在法律上，對(duì)于更高價(jià)值位階的法益應(yīng)當(dāng)予以強(qiáng)度更高的保護(hù)。與此相應(yīng)的，對(duì)于與自然人的基本權(quán)利及人身財(cái)產(chǎn)安全密切相關(guān)的敏感個(gè)人信息，法律的天平也應(yīng)當(dāng)向其傾斜。敏感個(gè)人信息的處理對(duì)自然人而言意味著極高的風(fēng)險(xiǎn)，但同時(shí)也可能帶來益處。因此，無論什么階段的任何一國(guó)立法，都沒有完全禁止處理敏感個(gè)人信息的規(guī)定。但為了強(qiáng)化對(duì)敏感個(gè)人信息的保護(hù)，處理規(guī)則應(yīng)該有別與非敏感個(gè)人信息，以體現(xiàn)其特殊性和重要性。結(jié)合危險(xiǎn)理論并輔以法經(jīng)濟(jì)學(xué)視角的分析，以敏感、非敏感個(gè)人信息作為分類基礎(chǔ)，對(duì)于前者適用無過錯(cuò)責(zé)任，后者延續(xù)已有規(guī)定適用過錯(cuò)推定責(zé)任的歸責(zé)原則構(gòu)建具有較強(qiáng)的實(shí)用性，不僅能夠規(guī)避一刀切歸責(zé)原則所具有的不合理性，同時(shí)也能有效防范歸責(zé)原則過于嚴(yán)苛帶來的負(fù)面影響。■