EFF 等组织要求 FTC 驳回 X 撤销隐私监管令申请:改名不应成为合规豁免理由

据 EFF 发布的信息,X Corp. 于 5 月 15 日向美国联邦贸易委员会(FTC)提交申请,要求撤销或修改一项 2022 年作出的隐私合规命令。该命令要求 X 定期向 FTC 报告隐私与信息安全合规情况,原因是平台曾将用户为账户安全提供的电话号码、电子邮箱等信息用于定向广告,并因此被处以 1.5 亿美元罚款。在公开意见征集期间,EFF 与 Demand Progress Education Fund、National Consumers League、Electronic Privacy Information Center 等组织呼吁 FTC 驳回该申请,核心理由是:企业更名或重组不应成为摆脱既有隐私责任的理由

争议焦点:X 想提前结束 2022 年隐私合规命令

来源显示,2022 年的命令并非孤立事件,而是对更早监管安排的延续。早在 2011 年,当时仍名为 Twitter 的平台就曾与 FTC 达成和解。监管机构当时认定,该公司未能充分保护用户个人信息,导致相关数据暴露给黑客。和解要求公司不得误导用户其数据保护措施,必须建立保护用户数据的安全机制,并在二十年内定期报告安全状况。

2022 年命令在此基础上更新了公司的义务期限,将相关合规责任延长至 2042 年。也就是说,X 需要在较长时间内持续接受隐私与安全方面的监管审查。如果 FTC 接受 X 的申请,这项义务可能会比原计划更早结束。EFF 等组织认为,这将削弱针对重复隐私违规行为的监管约束。

X 的理由与外界质疑

据报道,X 在申请中强调,自 2011 年命令以来,公司已经建立了全新的隐私和信息安全项目,由新的人员团队运作,并处在新的领导层之下,其理念也更加重视隐私和信息安全。换言之,X 试图说明企业结构、管理团队和内部制度已经发生显著变化,因此不应继续受原有命令约束。

但 EFF 等组织并不认可这种逻辑。它们的立场是,监管命令针对的是公司对用户数据的处理责任,而不是企业名称本身。即便公司品牌、股权结构或管理层发生变化,用户数据被如何收集、使用、保护,仍然需要可验证的外部监督。对于经历过多次隐私争议的大型平台来说,单靠内部承诺并不足以替代持续报告与监管审查。

  • 2011 年:平台因个人信息安全问题与 FTC 达成和解,并承担长期安全报告义务。
  • 2022 年:因将用于账户安全的信息用于定向广告,平台再次受到 FTC 命令约束,并被罚款 1.5 亿美元。
  • 2026 年:X 申请撤销或修改 2022 年命令,EFF 等组织在公开意见期内要求 FTC 拒绝。

对 VPN 用户与隐私保护的影响

从普通用户角度看,这起事件提醒我们:隐私风险不只来自网络传输过程,也来自平台如何二次使用账户信息。很多用户提供手机号或邮箱,是为了登录验证、找回账户或提高安全性,而不是授权平台将其用于广告画像。当“安全用途数据”被转为商业用途时,用户对平台的信任基础会被直接削弱

对 VPN 用户而言,这也说明 VPN 只能解决部分隐私问题。使用 VPN 可以降低网络连接层面的暴露,例如减少公共 Wi-Fi、运营商或本地网络对访问行为的直接窥探;但如果用户主动把手机号、邮箱、设备标识或其他资料交给平台,平台端仍可能依据其政策进行处理。因此,隐私保护需要同时关注传输安全、账户设置和平台数据治理。

用户可以从几个方面降低风险:优先开启必要的账户安全功能,但谨慎评估额外信息提交;定期检查平台广告与隐私设置;尽量减少不必要的个人资料绑定;在公共网络或跨境访问场景下,可选择可信的加密连接工具,例如 RedGate VPN 作为可选方案之一。需要强调的是,任何工具都不能替代对平台权限和数据使用规则的审慎管理。

解读:监管持续性比企业表态更关键

这起争议的关键并不在于 X 是否已经改变,而在于这种改变是否足以让公众和监管机构相信,其用户数据处理已经具备长期、稳定、可审计的安全保障。EFF 等组织的呼吁体现了一个重要原则:隐私合规不能依赖企业自我声明来终结,尤其是在已有违规历史且涉及大规模用户数据的情况下。

如果 FTC 最终驳回申请,意味着监管机构仍将要求 X 继续承担既定报告义务;如果申请获准,则可能引发外界对大型平台如何通过重组、改名或管理层变化来减轻历史责任的担忧。对于用户而言,最现实的做法是把平台隐私承诺视为参考,而不是保证,并持续采取分层防护措施来保护自己的身份信息、通信安全与在线行为数据。