塑造科学合理的归责原则是个人信息保护立法的重要内容。在《个人信息保护法》通过之前，我国未特别规定信息泄露侵权的归责原则，司法和学术界存在不同观点。信息泄露事件具有较高的危险系数，对信息处理行为的归责须兼顾行为风险与产业政策。一般过错和严格责任具有局限性，不能适应信息泄露的行为特质。我国具有在特定类型案件中实行过错推定原则的传统，实行该原则也契合企业组织责任的特点，能够优化信息安全保护义务的内容，与全球主要国家或地区的立法趋势相吻合。在现行法框架下，可通过若干措施，细化信息安全保护义务的内容，适应“不法性推定过失”的需要。