【摘要】《个人信息保护法》第28条明确金融账户为典型的个人敏感信息,但不加区分的过错推定的主观归责原则做法,没有体现对个人金融信息等敏感个人信息的特殊保护。基于危险源的开启与控制理论,敏感个人信息的处理者应承担更为严格的无过错责任。鉴于危险理论只是无过错责任的必要条件而非充分条件,结合法经济学的分析角度,可以认为个人信息侵权行为作为典型的单方性事故,采用无过错责任原则能够激励潜在侵权人降低事故发生率、节约交易成本,是更符合效率的选择。因此,应当区分个人信息的不同类型而规定不同的归责原则,对于敏感个人信息采取无过错责任,非敏感个人信息采取过错推定责任。