近日，山西汾阳一起公安人员倒卖公民银行卡信息案一审宣判。汾阳市公安局工作人员王某与外部人员董某合谋，两个月内以办案名义使用民警数字证书，非法查询并提供银行卡信息141条，获利14.1万元，其中王某个人获利11.28万元。汾阳市人民法院以侵犯公民个人信息罪判处董某有期徒刑3年、罚金3万元，判处王某有期徒刑2年6个月、罚金12万元。

　　判决公布后，网上有一些关于量刑是否偏轻的讨论。其实，对比同类案件，结合该案的特定情节，法院并非从轻发落。比如此前福建李某甲案，民警出售570条住宿信息获利5万元，因自首退赃获刑1年8个月；河北辅警盗用数字证书获利11.7万元，主犯获刑2年8个月。本案王某获利11万余元，数额与河北案接近。王某有自首情节，刑期比河北案主犯少了两个月，但多了罚金12万元，整体量刑并不畸轻。

　　也有人不理解，为何外部人员董某判得比王某重。刑法对公职人员将履职中获取的个人信息出售或提供给他人的，有从重处罚的规定。但王某自首并退赃，属于法定从宽情节。董某没有自首，又在整个链条中负责联系上家和传递信息，作用不亚于王某。两人刑期的差距，主要是这些情节不同造成的。

　　不过，比量刑更值得追问的，是案件暴露的制度漏洞。王某每次查询都打着办案的幌子，数字证书也并非他本人所有。这说明，涉案单位在证书使用审批、异常操作监测等环节，存在可以被钻的空子。同类案件也显示，一些地方的内部监控缺乏“异常行为识别”——非工作时间查询、短时间内大量同类查询，系统发现不了，也拦不住。防“内鬼”如果只能依赖个人操守，漏洞始终补不上。

　　还有一点值得关注。本案中，王某和董某有明确的“上线”接收信息，但这些信息最终是否流向了诈骗团伙，有没有被用于洗钱或敲诈勒索，公开信息中未见进一步追查。如果买方一侧不斩断，需求还在，卖信息的事情就还会发生。

　　公安内部系统的查询权限，是法律赋予执法人员依法办案的工具，不应成为任何人牟利的私器。比起事后惩罚，更迫切的是把事前防线筑得更牢。全面升级技术监管、全流程留痕的“技防”体系，织密公民个人信息安全防护网。