大数据时代个人信息的侵权法救济路径
——以复数信息控制者情形下加害人不明为切入点

□张春龙，梁三利

（1.南京大学 法学院，江苏 南京 210093；2.江苏行政学院 法学部，江苏 南京 210093）

一、问题的提出

大数据时代，个人信息的收集、加工及存储已成为一种常态，然而，这一发展趋势却给个人信息的保护带来了巨大挑战。鉴于此，《民法典》与《个人信息保护法》均对个人信息的保护作出明确、具体的规定。然而，在有多个信息控制者的情形下，由于各信息控制者之间存在数据共享现象，信息权人往往难以知悉是哪些机构或平台实际参与了信息的收集与处理，更难以知悉是谁实施了信息泄露行为，此类案件往往具有以下特点：仅有一位或几位信息控制者（并非全部）实施了信息泄露行为，但不能确定具体是谁实施了该行为。该情形下信息权人若要维权，则其通常面临以下两个问题：一是，加害人不明。信息权人难以举证证明是哪位信息控制者实施了信息泄露行为。二是，因果关系难以证明。如果有数个信息控制者实施了信息泄露行为，哪个信息泄露行为与损害之间具有因果关系。

如在庞某某与中国东方航空股份有限公司（以下简称“东航公司”）、北京趣拿信息技术有限公司（以下简称“趣拿公司”）个人信息泄露案中，庞某某委托鲁某通过趣拿公司在东航公司订购了一张机票，之后庞某某收到来源不明号码发来的短信，称由于机械故障，其所预定的航班已取消。鲁某拨打东航公司客服电话进行核实，客服人员确认该次航班正常，并提示庞某某收到的短信应属诈骗短信。庞某某以个人隐私遭到泄露为由，将东航公司与趣拿公司诉至法院，要求二者承担连带责任。本案的特点在于存在东航与趣拿两位信息控制者，庞某某难以举证证明是谁具体实施了泄露其个人信息的行为，且信息泄露行为与损害之间是否具有因果关系亦不确定。一审法院即以东航公司与趣拿公司并非掌握庞某某个人信息的唯一主体，且并无证据证明是谁具体实施了信息泄露行为为由，驳回了庞某某的诉讼请求。

对此，有学者认为，如果因为不能确定具体侵权人就对受害人拒绝提供救济，则不符合侵权责任法以救济受害人为中心的目标，法律不能为了满足法技术上的要求，而使无辜的受害人投诉无门。相同观点亦认为，这种场合下，受害人无论从技术上还是财力上，都无法查证到底是哪一个或者哪几个数据处理者实施了侵权行为，不应对信息权人提出与其证明能力不匹配的要求，应为其提供必要的救济。也有不少学者认为应从其他角度为受害人寻找救济途径。前述各观点表明学界所达成的价值共识是应当对信息权人进行救济。笔者亦认为，此类案型并不能严格遵循法律的内在逻辑进行推演，应对信息权人提供必要的救济，关键问题是如何救济。

那么，复数信息控制者情形下，个人信息侵权加害人不明时，应如何在教义学的框架内为信息权人提供有效的救济途径呢？本文拟从解释论的角度对该问题展开论证。

二、个人信息侵权加害人不明的理论现状及评述

为了应对个人信息侵权加害人不明的问题，学界提出了举证责任倒置说、共同危险行为说以及类推适用共同危险行为说等观点。

（一）举证责任倒置说及其评述

举证责任倒置说认为，在个人信息泄露案件中，个人在信息处理上面临很多困难且受信息成本的制约，无法适用证明责任的要求，而相较于个人，信息控制者在技术、资源等方面具有显著优势，因此，应由信息控制者对个人信息的泄露承担证明责任。就前述案件而言，二审法院认为，相较于其他人，东航、趣拿公司存在泄漏庞某某个人信息的高度可能性，且东航、趣拿公司也并未举证证明庞某某个人信息的泄漏可归责于其他原因，因此，东航、趣拿公司应承担侵权责任。二审法院以东航、趣拿公司存在泄漏庞某某个人信息的高度可能性为由，推定东航、趣拿公司的行为与庞某某所受损害之间具有因果关系，由其就二者之间不存在因果关系举出反证，其所采用的观点亦属举证责任倒置。对于个人信息侵权，我国实证法并未规定采用举证责任倒置的模式。上述采用举证责任倒置的观点其依据往往为法官的自由裁量权。然而，笔者认为，举证责任倒置不应由法官裁量适用，理由如下：

一方面，由法官裁量适用举证责任倒置的观点缺乏实证法依据。2001年颁布的《最高人民法院关于民事诉讼证据的若干规定》第7条赋予了法官依据公平原则和诚实信用原则，综合当事人的举证能力等因素，分配举证责任的权利，然而，该条在2019年已被最高人民法院废除。至此，作为法官自由裁量举证责任分配依据的实证法不复存在。

另一方面，由法官裁量适用举证责任倒置严重影响法的安定性。在证明责任的分配上，学界通说认为，我国采用法律要件事实分类说，即应由主张法律关系存在的当事人对产生法律关系的基本事实承担举证证明责任。对此，《民诉法解释》第91条也作出明确规定。而举证责任倒置是指依照法律要件事实分类说本来应当由主张权利的一方当事人负举证责任的法律要件事实，改由否定权利的另一方当事人就该事实的不存在负证明责任。由此，举证责任倒置是在法律要件事实分类说的基础上建立起来的，法律要件事实分类说为证明责任分配的一般情形，而举证责任倒置则为证明责任分配的例外情形。作为一种例外，举证责任倒置的适用是否需要有法律的明确规定呢？

举证责任的分配主要是为了解决事实真伪不明时，应由何人承担败诉风险的问题。作为一种裁判规则，其适用会直接左右裁判结果，为了保证法律的安定性和裁判结果的可预测性，举证责任的分配应由法律预先确定下来，而不应当等到事实真伪不明时交由法官裁量决定。反之，若举证责任倒置适用与否可由法官自由裁量，则由于每个法官受教育程度等个体的差异，裁量的结果亦可能不同，从而导致裁判结果亦具有不确定性，进而影响法的安定性。因此，从法的安定性角度而言，法官不能根据个案衡量，适用举证责任倒置，其适用应由法律明确规定。

此外，举证责任倒置说并未解决实际侵权人不明的问题。该观点仅就因果关系问题进行了论证，就加害人不明的问题却未置一词。前已述及，在有多位信息控制者情形下，信息权人往往只能证明是谁控制了其个人信息，至于是谁泄露了其个人信息，信息权人往往难以举证。如本案中，庞某某只能证明是谁掌握了其个人信息，并不能证明具体是谁泄露了其个人信息，而该观点并未触及加害人不明的问题。

综上，举证责任倒置说不仅缺乏实体法依据，严重影响法的安定性，而且也未解决加害人不明的问题，因此，不应采纳该观点。

（二）共同危险行为说及其评述

共同危险行为说认为，当存在多个信息控制者参与同一个人信息的处理活动而发生信息泄露时，受害人往往无法证明谁是具体加害人，应当采用共同危险行为制度加以解决。共同危险行为中，实际造成的损害是由哪个行为引起的，往往无法查证，即加害人不明。该说虽然认识到了个人信息侵权加害人不明正好符合共同危险行为制度对行为人不确定的要求，但却忽略了以下两点：

共同危险行为的构成要件之一为每个行为人均自主参与或实施了危险行为。如十岁的G被其玩伴S与T抛掷的石头砸中右眼，几乎失明。S与T每个人的行为均可导致损害发生，但难以确定是S还是T的行为所致。本例中，S与T均实施了抛掷石头的行为且二者缺乏共同故意，因此，构成共同危险行为。反之，若S或T有一人未实施抛掷石头的行为，则不构成共同危险行为。而本文所研究的案型，仅有一位或几位信息控制者实施了危险行为，并非每个行为人均实施了危险行为，如前述案件，仅有东航或趣拿一个公司实施了信息泄露行为，因此，该情形若严格按照法教义学的阐释并不构成共同危险行为。

此外，共同危险行为属于一般侵权行为，即过错责任。按照该说，个人信息侵权加害人不明时，若适用共同危险行为，则其在归责原则上适用的是过错责任。而《个人信息保护法》第69条明确规定个人信息侵权在归责原则上适用过错推定原则。由此，从归责原则上看，共同危险行为说与实证法上的规定也存在明显冲突。因此，共同危险行为说亦有欠妥当。

（三）类推适用共同危险行为说及其评述

共同危险行为之所以采取举证责任倒置的模式，是因为各行为人所实施的行为相互关联，对受害人的举证造成了极大不利，而这种举证上的不利不应由受害人承担，而应由行为人承担。因此，法律推定各行为与损害之间具有因果关系。据此，类推适用共同危险行为说认为，若在一些特殊情况下，即使行为人没有实施一些具体的作为或者不作为，但是行为人所从事的活动本身造成证据减损，给受害人举证造成不利的，可类推适用共同危险行为。在个人信息侵权中，当数个信息控制者参与同一个人信息的收集与处理时，这一经营活动本身就隐含着证据损害现象，与其他典型的共同危险行为在证据减损现象上具有实质上的相似性，因此，该情形应类推适用共同危险制度。类推适用共同危险行为虽既可解决因果关系不明的问题，亦可解决加害人不明的问题，但该说在理论上仍存在以下问题：

第一，该说不符合实证法的相关规定。前已述及，共同危险行为属于过错责任，因此，类推适用共同危险行为说亦是在过错责任原则下讨论信息控制者的权责问题的，而该归责原则与实证法所规定的过错推定原则相悖。

第二，该说理论上难以自洽。在传统共同危险行为理论中，成立共同危险行为的前提之一是危险行为的存在。那么，何为此处的危险行为呢？甲、乙、丙某日下午使用丁的图书馆，确知当日下午有某珍本书失窃，但不知何人所为。在此情形下，甲、乙、丙不成立共同危险行为，因为使用图书馆的行为本身并不构成侵害该珍本书所有权的侵权行为。因此，不具有危险性的行为不属于此处的危险行为，此处的危险行为应是危及他人民事权益的行为。那么，具有何种程度危险性的行为才属于此处的危险行为呢？在餐厅中因故发生混乱，其中三人持有长十厘米之刀，二人持有长五厘米之刀，其余六人无任何武器，伤者身上有九厘米深之刀伤，则只有三人负侵权行为责任，如其刀伤深仅四厘米，则有五人应负责任，其余六人在此二情形下均不负责，因其行为不会导致结果的发生。在伤九厘米时，仅持十厘米刀者才有造成损害的可能；在伤四厘米时，持十厘米及五厘米刀者均有造成损害的可能性。由此，只有每个人的行为均足以导致全部损害，才有可能构成危险行为。因此，在危险程度上，该行为必须达到造成损害的高度可能性的境地才属于此处的危险行为。综上，共同危险行为中的危险行为应是指“造成损害的高度可能性的行为”。

而类推适用共同危险行为说以某一行为是否造成证据减损为标准，判断该行为是否属于危险行为，若该行为本身造成了证据减损，则就属于此处的危险行为，如此必将一些本不属于危险行为的行为变成了危险行为。如就本文所研究的案型而言，正是因为各信息控制者收集、处理个人信息的行为才导致信息权人难以举证具体侵权人的，该行为造成了证据减损。因此，按照该说，各信息控制者收集、处理个人信息的行为即应被视为危险行为。具体到前述案件，东航、趣拿公司收集、处理庞某某个人信息的行为即应被视为危险行为。由此，相较于对传统危险行为的理解，该说实际上对危险行为做了扩张解释。但将收集、处理个人信息的行为视为此处的危险行为合理吗？

在订票时，购票者主动将其个人信息输入相关程序时，应意识到信息控制者会对个人信息进行必要的收集、处理，以便完成购票。在此情况下，信息权人仍主动将个人信息输入相关程序，其行为应认为是对信息控制者收集、处理个人信息行为的默许。也即信息控制者收集、处理个人信息的行为是得到信息权人的默许的，既然得到了默许，为何仍属于危险行为？相反，得到了默许的收集、处理个人信息的行为应属合法行为。如前述图书失窃案，各行为人使用图书馆的行为本身也加重了丁的举证难度，按照该说，也造成了证据减损，但并不能认为使用图书馆的行为本身属于危险行为，相反，使用图书馆的行为应属合法行为。合法行为怎么会引起侵权责任呢？因此，若对此处的危险行为进行扩张解释，又会引起新的矛盾。

第三，该说动摇了共同危险行为的理论基础。在传统共同危险行为理论中，因果关系推定的另一个原因是各行为人从事了这种高度危险性的行为，行为本身具有造成损害的高度可能性。而按照该观点，对此处的危险行为进行扩张解释，则扩张后的危险行为必然包含一些并未达到高度危险性的行为，如前述收集、处理个人信息以及使用图书馆的行为。若某一行为并未达到高度危险的程度，则理论上该行为并不具有造成损害的高度可能性，自然也就不能推定其与损害之间具有因果关系。因此，若对此处的危险行为进行扩张解释，则势必动摇共同危险行为中因果关系推定的基础。

第四，该说容易导致共同危险行为制度的滥用。共同危险行为中，往往只有一人或数人的行为实际造成了损害，其他人的行为并未造成实际损害，但由于法律规定各危险行为人均须承担连带责任，因此，未造成实际损害的人也承担了责任，实质上这些行为人也是无辜的。为避免共同危险行为的滥用，牵连更多无辜者，不应无限制地扩张共同危险行为的适用范围。类推适用共同危险说对危险行为进行扩张解释，扩大了共同危险行为的适用范围，容易导致共同危险行为的滥用，牵连更多无辜者。

三、类推适用高空抛物规则

对于这类特殊的侵权行为类型问题，比较法上有较为成熟的做法。如德国在欧洲率先以社会保险制度弥补甚至替代侵权法，欧洲一些国家甚至建立全面公共基金赔偿制度，用以赔偿受害人。国内亦有不少学者主张应效仿比较法的模式，对此类特殊侵权的情形由国家设立专项救济基金、通过社会保险或其他社会救济等制度为受害人提供救济。然而，目前我国并没有发达的社会救济制度，该观点虽属良策，短时间内却难以实现。笔者认为，在解释论上，个人信息侵权加害人不明的情形可类推适用高空抛物规则。

（一）类推适用高空抛物规则的正当性证成

所谓类推适用是指将法律明文之规定，适用到该法律规定所未直接加以规定，但其规范上之重要特征与该规定所明文者相同之案型。重要特征相同，是指案件事实之间的相似性，即有关的案件事实既不能相同，也不能完全不同，它们必须恰好在与法评价有关的重要观点上相互一致。因此，类推适用的基础在于案件事实彼此具有相似性。那么，个人信息侵权加害人不明的情形与高空抛物之间是否具有相似性呢？笔者拟从形式与实质两个角度对该问题进行考察。

1.形式上的考察。所谓的高空抛物是指从建筑物中抛掷物品或者从建筑物上坠落的物品造成他人损害，难以确定具体侵权人的侵权行为。高空抛物具有以下特点：第一，具体侵权人不明。若仅有一个主体实施高空抛物行为且行为人特定，则该情形应属一般过错侵权，并不属于此处的高空抛物。若所有人均实施了高空抛物行为，且各行为均有造成损害的可能性，则该情形亦不属于高空抛物，而应构成共同危险行为。司法实务中，典型的高空抛物均仅有一个主体实施了高空抛物行为，如“济南菜板案”“深圳好来居案”等，但不能确定是谁实施了该行为。因此，高空抛物最显著的特征在于侵权人难以确定。第二，可能的加害人范围特定。高空抛物虽然难以确定具体侵权人是谁，但侵权人的范围相对确定，即可能的建筑物使用人，对此，《民法典》第1254条亦作出明确规定。

在复数信息控制者情形下，个人信息侵权虽仅有一位或几位信息控制者实施了信息泄露行为，但各信息控制者均参与了信息的收集、处理及加工等活动，信息权人往往并不能举证证明实际侵权人是谁，因此，该情形的典型特征亦是加害人不明。但由于个人信息的控制者相对明确，因此，可能的加害人范围亦相对确定，即所有信息控制者。

高空抛物与个人信息侵权均具有加害人不明，但可能的加害人范围相对特定的特点，因此，二者在形式上具有相似性。

2.实质上的考察。二者形式上具有相似性，实质上是否具有相似性呢？高空抛物之所以采用可能的建筑物使用人予以补偿的方式，主要基于以下政策的考量：

一方面，对于双方当事人损失分担能力的考量。现代侵权行为法所关注的基本问题，不是加害人之行为在道德上应否非难，其所重视的是加害人是否具有较佳之能力，分散损害。因此，对于此类案型，损害发生后，不应当过多地关注是否满足侵权责任的构成，而应当考虑的是损害在当事人之间应如何分配才公平、合理。高空抛物致害最大的特点在于，这种损害一旦发生以后，其对受害人所造成的损害往往非常巨大，有时甚至是致命的。受害人得不到任何救济，还要支付医药费，受害人还可能会因此而失去劳动能力，从而可能造成自己与家庭生活陷入困顿。此种情形若不为受害人提供救济，则极为不公。与之相反，可能的建筑物使用人往往均是业主，具有较强的经济实力。由可能的建筑物使用人承担损失，可能的建筑物使用人作为一个集体，其往往具有更强的损害分担能力，由可能的建筑物使用人承担责任也并不至于严重影响其生活。另一方面，对于双方当事人风险控制成本的考量。侵权责任法很多情形下解决的是风险在当事人之间如何合理分配的问题。从法经济学的角度而言，该种风险分配应当遵循成本与效益的均衡，即将风险分配给预防和控制风险成本最小的一方当事人。高空抛物中，建筑物的使用人最接近风险源，由其承担风险控制如采取安全教育宣传或安装监控等，预防风险的成本相对较低。反之，若将风险分配给受害人，则受害人每到一处均要进行安全教育宣传，其预防成本可想而知。因此，从双方当事人损失分担能力与风险控制成本的角度考量，高空抛物应由可能的建筑物使用人承担补偿责任。

个人信息侵权加害人不明的情形，当事人之间损失分担能力与风险控制成本是否亦如同高空抛物的情形呢？

一方面，对于双方当事人损失分担能力的考量。就造成损害的程度而言，个人信息的泄露亦可能给信息权人造成严重损害。个人信息泄露往往与电信诈骗、敲诈勒索等形成合流，社会危害性极大。如大学生徐玉玉因个人信息泄露遭遇电信诈骗，被骗走9900元学费，伤心欲绝，郁结于心，导致心脏骤停，经抢救无效死亡。此情形若不对受害人进行救济，亦可能导致严重的不公。相比之下，信息控制者往往属于大型企业，甚至可能是多个大型企业，其经济实力远超信息权人，损失分担能力亦远远超出信息权人，由这些信息控制者承担损失，不仅不会影响其经济状况，反而会督促各信息控制者积极采取预防措施，防止信息的泄露。另一方面，对于双方当事人风险控制成本的考量。从经济学的角度出发，个人信息由相关信息控制者直接控制，信息控制者最接近风险源，由信息控制者承担信息泄露的预防责任，其预防成本亦相对较低。从技术角度考虑，信息控制者往往掌握着前沿科技，由其承担预防责任，亦具有可能性。反之，信息权人往往均属于普通公民，由其承担预防责任不但成本过高，而且技术上也不具有可能性。前述表明就损失分担能力与风险控制成本而言，个人信息侵权加害人不明的情形亦如同高空抛物的情形。因此，个人信息侵权加害人不明的情形与高空抛物具有实质上的相似性。

综上，个人信息侵权加害人不明的情形与高空抛物无论在形式上还是实质上均具有相似性。因此，前者可类推适用后者的规定。

那么，此种类推适用高空抛物的模式在理论上具有何种优势呢？适用高空抛物规则时，受害人仅需举证证明可能的建筑物使用人即可，并不需要举证证明实际侵权人是谁。由此，个人信息侵权加害人不明的情形类推适用高空抛物规则时，信息权人也应免于证明具体加害人是谁，其仅需证明信息控制者是谁即可。该思路巧妙地回避了信息权人所面对的加害人不明的问题。同时，高空抛物规则采取的是因果关系倒置的模式，据此，个人信息侵权加害人不明的情形也应适用举证责任倒置的模式，即各信息控制者若要免责，须举证证明其并未实施侵权行为。由此，信息权人因果关系证明难的问题也就顺利解决了。

有疑问的是，高空抛物本就属于特殊侵权，个人信息侵权能否类推适用这类特殊侵权？如有观点认为，高空抛物规则主要针对人身损害导致利益严重失衡的情形，在一般性的侵权案件特别是财产损害案件中，不能随意扩张适用，对于该规则应该严格限制其适用范围。笔者持反对意见，理由如下：一是，个人信息侵权加害人不明的情形与高空抛物具有本质上的相似性，基于“类似案件，相同处理”的法理，前者具有类推后者的基础。二是，就高空抛物致人损害的构成要件而言，《民法典》第1254条沿用《侵权责任法》第87条的规定，采用造成他人损害的表述，从文义解释的角度而言，此处的“损害”概念应当包含人身损害与财产损害。因此，高空抛物的适用不应当仅限于人身损害的情形。退一步而言，即使认为高空抛物仅适用人身损害的情形，如前所述，个人信息侵权亦有造成严重人身损害的情形。因此，个人信息侵权加害人不明的情形可以类推适用高空抛物规则。

那么，就法效果而言，类推适用高空抛物规则是否妥当呢？

（二）类推适用高空抛物规则效果妥当性证成

高空抛物情形下，即使加害人不明确，但损害是由特定范围内的被告所引发，若由相应范围内的多个“可能加害人”分担责任，则能避免令无辜的受害人独自承担所有不利的后果。基于这样的逻辑，衡量利益后，实证法亦是在权益保护与行为自由之间选择了前者，即由可能加害的建筑物使用人给予补偿。前已论证，个人信息侵权加害人不明时应类推适用高空抛物规则，因此，该情形的法效果亦应类推高空抛物的法效果，由各信息控制者对信息权人所遭受的损失予以补偿。那么，此结论是否妥当呢？笔者认为，就法效果而言，此种类推具有以下合理性：

1.符合侵权责任法的价值理念。在19世纪的近代法中，如果损害的发生被认为是由于个人的过错造成的，那么，个人应当对其行为负责，反之，无论受害人的损失多么严重，只要行为人无过错，则其无须承担任何责任。实行过错主义的原因是要保障一般的行动自由，使尽交易上必要之注意者免负损害赔偿责任。然而，进入20世纪后，大工业和现代科学技术的发展使社会充满着各种风险，同时，也给人类造成各种各样的威胁。在行为人无过错，受害人也无过错的情况下，若仍坚持过错责任，由受害人承担损失，可能会导致严重的不公。因此，损害赔偿的观念发生了变化，由强调对过错行为的制裁转向对受害人权益的保护，如过错推定原则与无过错责任等的出现。就个人信息侵权加害人不明的案型而言，相对于信息权人，各信息控制者具有更强的损失分担能力，由信息控制者分担损失不仅更公平，而且也反映了侵权责任法对权益保护的重视，符合侵权责任法在价值理念上的变迁。

2.有利于发现真正的侵权人。高空抛物情形，各可能的加害人可通过举证证明自己并未实施侵权行为的方式免责。个人信息侵权加害人不明的情形，若各可能的加害人举证证明自己并未实施信息泄露行为时，也应免除其相应责任。若各无辜的可能加害人均举证证明了自己并未实施信息泄露行为，则各无辜的可能加害人也均应免责。此时，理论上应仅剩实际侵权人，则由其承担侵权责任，恰好符合客观事实。由此，由各信息控制者对信息权人的损失予以补偿，同时，辅以相应免责事由的方式，有利于发现真正的侵权人。

3.有利于实现侵权责任法的预防功能。在复数信息控制者情形下，实际加害人往往隐匿于各信息控制者之中，若仅因信息权人不能确定具体侵权人是谁，而由其个人承担全部损失，则此势必会给实际加害人造成这样一种假象，即其不必为自己侵害他人权益的行为付出相应的代价，如此，侵权人仍可能借助可能的加害人“外壳”的保护，继续实施侵权行为。那么，侵权责任法预防侵权的功能必将落空。反之，若由可能的加害人对信息权人所遭受的损害予以补偿，则可能的加害人或许会因顾及其须为其行为付出相应的代价，从而放弃继续实施侵权行为的想法。因此，复数信息控制者情形下，在实际加害人难以确定的情形，由各信息控制者对信息权人所受损失予以补偿，有利于倒逼各信息控制者积极采取安全预防措施，避免侵权行为的发生，以实现侵权责任法预防侵权行为的功能。

综上，就前述案件而言，在庞某某难以确定是趣拿公司还是东航公司实施侵权行为时，应类推适用高空抛物规则，由趣拿公司与东航公司等可能的加害人对庞某某所遭受的损失予以补偿。若趣拿公司或东航公司举证证明自己并未实施侵权行为，则其亦可免责。

四、结语

对于加害人不明的侵权行为类型，有学者甚至建议，应在高空抛物的基础上，对此种类型进行一般化的规定，由立法者在高空抛物的基础上作进一步的抽象化，使其成为一种特殊的侵权行为类型。然而，加害人不明的侵权行为不仅对传统的侵权责任构成理论造成了一定的冲击，也违反了侵权责任法为自己行为负责的理念，因此，不应对此类加害人不明的案型进行抽象化，使其成为一种特殊的侵权行为类型。

复数信息控制者情形下，个人信息侵权加害人不明时，类推适用高空抛物规则实属权宜之计。从长远角度而言，对于这类加害人不明的案型，应借鉴比较法上的做法，制定完善的社会救济法或设立受害人救济基金，作为侵权责任法的配套体系，专门对加害人不明但受害人又遭受严重损害的情形进行救济。