“私人侦探”罗某向两男子出售他人个人信息，导致多名受害人被敲诈47万元。据罗某交代，他通过从移动通信、金融单位、医院等部门工作人员手中购买、收集，大肆获取公民个人信息。前日从江汉区检察院获悉，罗某因涉嫌非法获取公民个人信息罪被批捕。据悉，这是刑法增设该罪名后，我市首次适用。（见本报昨日3版）

罗某得到法律的严肃处罚并不让人意外，但罗某的“上线”——那些出售公民个人信息的单位究竟该承担怎样的责任，遗憾的是目前尚未进入公众视野，对其最终处理结果也无法预判。

关于对个人信息保护单独立法的问题，几乎每年的全国“两会”都要照例过堂，但始终不见踪影。目前，法律能对个人信息所能起到的最大保护作用，就只有2009年2月28日全国人大常委会通过的《刑法修正案（七）》规定的“非法获取个人信息罪”，该款其实总共不到两百字。而美国和德国早在上世纪七十年代便有了相关法律。即便是立法动作相对较慢的近邻日本，《个人信息保护法》也在2005年4月正式付诸实施。从法律层面来看，立法滞后，导致个人信息难以得到有效保护的根源。

毫无疑问，个人信息的保护不是哪一个人、哪一个单位的事，需要社会形成普遍共识的强大合力，这也是法律的责任所在。《刑法》中的“非法获取个人信息罪”不仅对个人责任进行了明确，同时也对单位责任作了规定。然而，在实际法律实践过程中，对个人的法律问责远高于对单位的法律追究。单位一次次侥幸脱身，很难说全是因为法律的漏缺。

实际上，当下掌握个人信息资源的主要单位以强势企事业单位居多，如果再往深究又不难发现，这些单位又大都戴着某些“公家”色彩。法律一次次回避同样涉嫌侵害公民个人信息权益的单位，不知是否避重就轻的习惯使然。

从整个犯罪链条来看，单位是公民个人信息的主要采集者，于法于情理应更加注重保护公民的个人信息。相较单位，罗某只不过是公民个人信息泄露链条中较小的一环。法律如果只对罗某这样的“小虾”施以惩戒，而对掌握个人信息资源的单位不能严加整肃，这又何异于割了一茬韭菜？