7月2日是美国联邦贸易委员会(FTC)就X公司一项申请征求公众意见的截止日。X要求终止一份已经执行了四年的隐私监管令,理由是公司“已经彻底转型”——改名、并入SpaceX、还多了一层GDPR的约束。EFF、EPIC、Demand Progress等15家隐私维权组织联署信函反驳,核心判断很直接:X不仅没有变干净,反而因为Grok的出现制造了新的风险

这份分歧的另一面很少被提及:就在X向美国监管机构讲“我们已经合规”的故事时,爱尔兰数据保护委员会(DPC)早已叫停了X用欧盟用户帖子训练Grok的行为。同一件事,大西洋两岸给出了完全相反的监管姿态。

一张四年前的罚单,为什么现在成了争议焦点

2022年那份令X如芒在背的处罚令,源头是一次数据误用。FTC认定,2014到2019年间,Twitter把超过1.4亿用户为账号安全(双重验证)提交的手机号和邮箱,违规用于了广告定向投放。处罚结果是1.5亿美元罚款,外加一项持续20年、每两年一次的第三方独立审计义务。

这不是Twitter第一次栽在隐私问题上。早在2010年,FTC就因为一次安全漏洞对Twitter开出过十年期、每两年审计一次的处罚令。2022年这一份,本质上是监管的第二次升级,而不是孤立事件。X现在申请终止的,正是这第二道紧箍咒——理由是公司“已经不是当年那家公司”。

Twitter/X 两次隐私监管升级 2010年 安全漏洞 十年双年审计 2022年 1.5亿美元罚款 20年双年审计 2026年 X申请终止 令仅执行4年

Grok才是维权组织真正紧盯的东西

X的辩护逻辑是“业务已转型”,但维权组织列出的新风险清单指向一个相反的结论:Musk接手后的X,在数据使用上比Twitter时代走得更远。

清单里最扎眼的几项:Grok被三名未成年受害者起诉,指控该聊天机器人生成了儿童性虐待材料(CSAM)和非自愿私密影像(NCII);平台曾有2.8亿条记录泄露;Musk主导的DOGE项目从平台调取过大量美国人的敏感信息;FTC此前也查实,Musk曾指示员工做出违反该隐私令的行为,向记者开放内部数据用于所谓“Twitter Files”报道。

更根本的问题在于Grok的训练方式。X没有征求用户同意,只是更新了服务条款——把“用户帖子可用于AI训练”悄悄写进条款里,等于把默认同意的负担转嫁给了不看条款的用户。

  • 风险.X允许用户关闭AI训练授权,但入口隐蔽,多数用户根本不知道自己的帖子已经被拿去训练Grok。

删帖也不代表数据消失——用户删除的内容依然可能已经沉淀进模型的行为特征里,这一点用户很难感知,也几乎无法验证。

需要说明的是,网上流传一篇署名“Cambridge Analytica”的分析,把Grok的数据抓取模式类比为剑桥分析丑闻的“工业化升级版”。剑桥分析公司本身早在2018年就已解散,这个账号的真实身份存疑,其类比可以作为参考视角,但不宜当作权威信源采信。


欧盟已经出手,美国还在讨论要不要出手

这才是整件事最容易被忽略的部分。2024年8月,爱尔兰数据保护委员会已经就Grok训练欧盟用户数据一事采取了实际执法行动,X同意暂停处理特定时间窗口内收集的相关数据。同一时期,Meta也因欧盟监管压力暂停过部分AI训练计划,后来才恢复。

也就是说,X向FTC辩称“GDPR义务和FTC令重复,所以FTC可以放手”,但现实是:GDPR监管机构不仅没有放手,反而已经真刀真枪地叫停过X的Grok训练行为。这让“义务重复”的说法站不住脚——欧盟的监管不是纸面义务,是已经兑现的强制措施。

一边是欧盟已经叫停,一边是美国在讨论要不要继续管

对普通用户而言,现实处境是:如果你身在欧盟,你的公开帖子曾经、也可能再次被暂停用于Grok训练,监管方替你踩了刹车;如果你身在美国,这份保护完全取决于FTC接下来怎么裁决这份申请。前美国司法部长William Barr已经提交意见支持X终止监管,理由是长期监管构成“对私营企业的永久控制”。这场拉锯的走向,短期内不会有定论,但7月2日之后FTC是否正式回应、是否引用欧盟先例反驳X,会是下一个值得盯的节点。