X 想甩開 FTC 私隱監察：2FA 電話號碼點解會變成廣告問題

件事唔只係 Musk 同 FTC 拗數

X（前 Twitter）又向美國 FTC 出手，要求撤銷 2022 年私隱 order，或者最少改到 2026 年尾就完結。呢條 order 原本要管到 2042，重點包括限制 X 點用電話號碼同 email、定期搵獨立第三方 audit、FTC 亦可以要求文件核對合規。Ars Technica 呢篇報道值得睇，因為佢唔只係 Musk 想少啲監管，而係牽涉一個好日常嘅問題：你為咗保安畀平台嘅資料，平台可唔可以拎去幫廣告系統做配對？

2FA 資料點樣變咗廣告資料

FTC 2022 年嘅案底係咁：Twitter 喺 2013 至 2019 年間，收集用戶電話號碼同 email，用途包括兩步驗證、搵回帳戶、可疑登入後重新驗證；但 FTC 指控 Twitter 同時用呢批資料配對 Tailored Audiences、Partner Audiences，幫廣告商更準咁打中用戶。FTC 話超過 1.4 億用戶受影響，Twitter 最後同意罰 1.5 億美元，同埋接受一套長達 20 年嘅 privacy 同 security 要求。要講清楚，X 依家 petition 嘅講法係資料冇直接交畀廣告商，而係平台內部做配對；但對用戶嚟講，保安用途變成廣告用途，信任已經穿咗窿。

X 嘅新講法：舊公司已死，監管太貴

X 份 petition 話，當年嗰間 Twitter 已經唔存在，涉事管理層都離開咗，公司而家有「世界級」私隱同資料保護計劃。佢仲話 2022 order 令公司花接近 1700 萬美元做文書工作，要求監管即刻完，或者最遲 2026 年尾完；文件亦將事件拉到言論自由同美國 AI 競爭力。呢啲講法有明顯法律同政治味，FTC 暫時未裁決，只係喺 6 月 3 日公開徵求意見，comment 期去到 2026 年 7 月 2 日，之後先投票。

點解 audit 對普通用戶有意思

普通用戶要理，因為呢類私隱問題唔似 app crash 咁一眼見到。你見到嘅只係一個輸入電話號碼框，後面資料進咗邊個 database、同邊批廣告受眾名單配對、邊個 team 可以攞到，全部都係後台工程同內部權限。獨立 audit 嘅價值，就係逼公司拎文件、測試、訪問同外部評估交代，CEO 講「已經改好」只能當公關說法。當平台收入靠廣告，保安資料同廣告資料之間一定要有硬分界，唔係靠信字行先。

喺香港，呢單唔會即時改變 X 帳戶設定，但邏輯好近身：電話號碼同 email 成日被用嚟驗證銀行、電訊、網購同社交帳戶。若果同一批資料要轉去做廣告配對，最少要講清楚，最好要分開同意。香港 PDPO 嘅 DPP3 都有同一個基本精神：個人資料唔應該無端端改用途，除非有明確同自願嘅同意。暫時冇文件證明 X 而家喺香港用戶身上做同一件事；但呢件事提醒大家，平台講「為保安」，唔代表後台一定只為保安。

實用上點做

• 有 authentication app 或 security key 就優先用；SMS 2FA 保安同私隱風險都較高，留返做備援好過做唯一方法。
• 見到平台話為保安收電話或 email，順手睇清楚廣告、contacts discovery、personalization 設定。
• 公司 IT 做登入保護，應該將 security identifier 同 marketing list 分倉；收得到資料，唔等於用得嚟賣廣告。

X 想慳 compliance 成本唔難理解，但社交平台靠資料賺錢，就要接受有人查佢點用資料。用戶畀平台電話號碼，原意係守門口；平台若果要拎嚟賣廣告位，就要先攤開講，畀人揀。

參考來源

• Ars Technica — Elon Musk tries again to escape FTC audits of X data handling — original report
• FTC Seeks Comment on X Corp. Petition to Set Aside or Modify FTC Order Concerning Twitter — 官方確認 X petition 同 comment 時間表。
• Petition to Reopen and Set Aside or Modify Decision and Order — X 自己陳述撤銷或修改 order 嘅理據，包括成本、First Amendment 同 AI 競爭力。
• FTC Charges Twitter with Deceptively Using Account Security Data to Sell Targeted Ads — 核對 1.5 億美元罰款、2FA phone/email 同 targeted ads 背景。
• Twitter: Modified Order — 核對 2022 order 嘅限制、MFA 選項、獨立評估同 20 年期限。
• How to use two-factor authentication (2FA) on X — 核對 X 目前列出嘅 2FA 方法，包括 SMS、authentication app 同 security key。
• The Personal Data (Privacy) Ordinance at a Glance — 補充香港個人資料用途限制同 consent 原則。
• A Look Behind the Screens: Examining the Data Practices of Social Media and Video Streaming Services — 背景參考：社交平台廣告同資料收集唔係單一 X 問題。

本文根據原文及公開資料整理；資料有出入時，以原文及官方資料為準。