不法获取个人信息行为的司法犯罪化现象频发，但随着个人信息保护领域的前置法规范供给补足，刑事手段已退居二线，刑法规制呈限缩转向。该行为的刑事评价关键有二：一是“不法”,即是否“违反国家有关规定”而属于不法行为；二是“情节”,即是否以“合法经营”为目的而适用特殊情节条款。其出罪机制亦应围绕上述两点展开。在罪与非罪的认定层面，“违反国家有关规定”系侵犯公民个人信息罪的构成要件要素而非违法阻却事由。在效力位阶上，其发挥形式入罪机能时仅包含法律及行政法规，发挥实质出罪机能时可涵盖部门规章及其他规范性文件；在援引内容上，对于适用普通法定刑的一般主体，空白规范依据必须与个人信息保护相关，对于适用升格法定刑的特殊主体，则在符合相关职责规定的情形下应当不予从重处罚。在罪轻罪重的判断层面，“为合法经营活动”指信息预期用于正常经营活动，在符合特殊情节条款的适用条件时，优先适用特殊定罪量刑标准。但该条关于行为方式与行为对象的限制条件，存在堵塞出罪路径之弊，对此应予修正，且需注意兜底条款的类型解释，确保三类不法情节危害性相当；在规范性质上，“为合法经营活动”属于量刑情节并能够减轻责任刑，在查证属实后即使不符合特殊情节条款的适用条件，仍可予以从宽处罚。