近日，广东男子周建平因为向诈骗团伙出卖14位领导的电话信息，被广东珠海市香洲区法院判处有期徒刑1年6个月，成为被以“侵犯个人信息安全”追究刑事责任的第一人。

客观地说，这个“第一人”当得有点“冤”。

首先，判决似有违“罪刑法定”原则。2009年2月全国人大常委会通过的《刑法修正案（七）》规定了“侵犯公民信息安全罪”。而据广州日报报道，周的“罪行”是，2008年11月，“违反规定非法获取他人电话清单、手机清单和人员资料”，12月向诈骗团伙提供14位领导的电话号码及通话清单，从中获利1.6万元。

如果报道没有问题，那么2009年2月出台的刑法修正案怎么能够管到前一年底的“罪行”上呢？刑法是没有溯及力的，是不能追究既往的。

第二，以“侵犯公民信息安全罪”被追责的第一人居然是一个普通的信息贩子，而不是那些泄露公民个人信息的“罪魁祸首”，似有违“立法本意”。

《刑法修正案（七）》规定:（1）国家机关或者金融、电信、交通、教育、医疗等单位及其工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，可构成犯罪；（2）通过窃取或者其他非法手段获得此类信息的，也可构成犯罪。